Gearbest, géant chinois de la vente en ligne, a laissé fuiter les informations personnelles contenues dans plusieurs millions de commandes, a révélé Noam Rotem, chercheur en sécurité. L’intéressé indique avoir découvert la présence d’un serveur Elasticsearch employé par le site marchand. Ce dernier, qui n’est protégé par aucun mot de passe (le rendant ainsi accessible à quiconque cherchant à en consulter le contenu, explique le spécialiste en sécurité), laisse fuiter chaque semaine les informations personnelles présentes  dans les enregistrements de paiements et les millions de commandes passées sur la plateforme. TechCrunch, qui a d’ores et déjà tenté de contacter Gearbest par le biais de son formulaire dédié aux questions de sécurité, n’a pour l’heure obtenu aucune réponse du e-marchand. Le média avance par ailleurs qu’aucune mesure n’a pour le moment été prise pour remédier à cette fuite de données caractérisée.

Très présent en Europe, notamment au travers d’entrepôts implantés en Grande-Bretagne, en Pologne et en Espagne, Gearbest compte parmi les 250 plus gros vendeurs en ligne au monde. Cette présence en Europe pourrait toutefois se retourner contre la plateforme, spécialisée notamment dans la vente de produits électroniques. Et pour cause, la faille majeure de sécurité découverte cette semaine, associée à l’apparent manque de sérieux du marchand quant à la protection des données personnelles de ses clients, pourrait tomber sous le coup du récent RGPD. Les conséquences pour la boutique en ligne, basée à Shenzhen, seraient alors fâcheuses. Le règlement général européen sur la protection des données prévoit en effet une amende pouvant s’élever à 4% des revenus totaux de l’entreprise.

De nombreuses données personnelles dans la nature, certaines très compromettantes

Parmi les données figurant sur le serveur non sécurisé découvert par Noam Rotem : les noms, adresses postales, adresses email et numéros de téléphone de téléphone des clients ayant acheté des produits sur Gearbest ces dernières semaines, mais aussi la liste précise des articles ayant fait l’objet d’une commande, ainsi que les informations de facturation relatives à ces différents achats. Ces dernières laissent d’ailleurs apparaître les sommes totales dépensées, explique Noam Rotem. Plus inquiétant, certains profils de clients comportaient des numéros de passeport et d’autres informations en lien avec des documents d’identité, est-il précisé.

« Le contenu des commandes de certains clients est très compromettant », note par ailleurs le chercheur. TechCrunch explique ainsi que des objets intimes, tels que des sex-toys, achetés via Gearbest pourraient compromettre certains clients dans des pays où les relations prémaritales et/ou homosexuelles, par exemple, sont punies par la loi. Le média indique à ce propos que des pays comme les Émirats Arabes Unis ou encore le Pakistan disposent d’une législation extrêmement sévère quant à ces questions. La responsabilité de Gearbest, qui expédie mondialement ses produits, est donc largement mise en cause dans cette affaire. TechCrunch rappelle enfin que le site chinois avait déjà été pointé du doigt pour le sérieux discutable de ses mesures de sécurité. En 2017, la société admettait ainsi que les comptes de certains clients avaient été piratés à la suite d’une attaque par « Credential Stuffing ».

De manière plus globale, le laxisme des entreprises chinoises en termes de protection des données est souvent critiqué. En début de mois, 300 millions de messages privés provenant de plateformes de messagerie chinoises ont par exemple été divulgués publiquement.