Wired, avec l’aide de Reveal, du Center for Investigative Reporting, a publié une vaste enquête concernant la sécurité des données personnelles des utilisateurs d’Amazon. Sur la foi de documents internes, mémos, rapports ainsi que plusieurs témoignages d’anciens employés, le média américain révèle la légèreté avec laquelle le géant américain a traité les données les plus sensibles de ses clients, surtout entre 2017 et 2018.

Amazon a longtemps ignoré où se trouvaient les données de ses utilisateurs

L’enquête dévoile à quel point les équipes de sécurité de l’activité eCommerce d’Amazon – AWS semble épargné – étaient débordées par l’expansion du géant numérique. Selon l’un de ses anciens dirigeants, Gary Gagnon, congédié après moins d’un an en poste, il disposait de 300 personnes là où il espérait en avoir 1000 pour assumer sa mission de protection.

Des effectifs jugés suffisant par les hauts responsables de l’entreprise. Une opinion qui a entraîné bon nombre de difficultés importantes pour la sécurité des données : Gary Gagnon note que ses équipes étaient incapables d’établir une cartographie pour localiser les données personnelles des utilisateurs, alors qu’elles explosent avec le succès de la plateforme, entre les profils, les recherches, les livraisons, les produits consultés, les échanges avec Alexa…

Un constat alarmant alors que le RGPD de l’Union européenne devait entrer en vigueur en 2018. Gary Gagnon se souvient s’être dit, « je ne sais pas comment on va faire avec ça […] parce qu’on n’a aucune idée de l’endroit où se trouvent nos putains de données ». En parallèle, le représentant d’Amazon, Andrew DeVore, demandait au Sénat américain une « interférence minimale » du législateur sur la protection des données. Il expliquait que son entreprise était déjà alignée sur le RGPD. « Des conneries, » répond sans ménagement Gary Gagnon. Une équipe spécifique de mise en conformité sera formée 5 semaines seulement avant l’entrée en vigueur du règlement.

Des employés ont pu consulter les achats de leurs ex ou de stars telles que Kanye West

À son arrivée, le nouveau responsable de la sécurité des données d’Amazon, Jeff Carter, ancien responsable du transfert des données d’Oracle vers AWS, partage les constats de son prédécesseur. Il a ordonné une évaluation des risques potentiels par secteur. Les conclusions sont édifiantes. Le risque qu’une violation de cybersécurité passe inaperçue est jugé maximal, à cause du manque de moyens. L’incapacité de l’entreprise à protéger des informations secrètes pour accéder aux données est également jugée maximale. L’incapacité d’identifier l’emplacement des données est aussi au plus au niveau. Des constats surévalués à l’époque à en croire le porte-parole de la plateforme.

Pourtant le résultat est là. Un jour, 24 millions de numéros de cartes bancaires American Express sont retrouvés dans un endroit du réseau interne non sécurisé. Il a été impossible de déterminer si quelqu’un de malintentionné a pu exploiter ces données avant que cette faille ne soit colmatée.

Le fonctionnement même d’Amazon, en petite équipe, a participé à une dispersion des données, copiées, collées, manipulées, par chaque équipe selon les besoins. Un mémo de sécurité interne de 2018 constate une « prolifération essentiellement non documentée de copies d’ensembles de données nécessaires ». Des employés du service clientèle ont pu consulter les achats de Kanye West, des stars de la saga Avengers, de leurs ex ou actuel partenaire. Un ancien responsable du service affirme que « tout le monde le faisait », ce que nie évidemment un porte-parole d’Amazon.

Dès 2015, des rapports indiquent que 23 000 employés d’Amazon bénéficient de codes d’accès privilégiés à des comptes vendeurs sans en avoir nécessairement besoin. Des cas de corruption d’employés par des vendeurs ont été recensés, dans le but de torpiller un concurrent ou supprimer des commentaires négatifs sur un produit.

Une entreprise chinoise, TouchData, a également profité d’une faille pour proposer à des vendeurs tiers d’Amazon d’améliorer leur classement sur la plateforme. Connue sous le nom AMZReview, elle est parvenue à obtenir 92 clefs d’identifications de vendeurs, pour aspirer des informations sur 16 millions de clients revendiqués, les équipes d’Amazon penchent plutôt pour 4,8 millions de clients touchés. Un porte-parole d’Amazon a indiqué que l’entreprise a « mis en place des politiques et des conditions contractuelles strictes qui interdisent l’utilisation abusive des données des clients par les vendeurs et les fournisseurs de services ».

Pour le géant américain, ces difficultés appartiennent au passé

Amazon a affirmé que les documents sur lesquels s’appuie Wired sont de « vieux documents » qui « ne reflètent pas la posture de sécurité actuelle d’Amazon ». Selon le porte-parole de l’entreprise, « le fait que les problèmes de confidentialité et de sécurité d’Amazon soient largement documentés avec un examen approfondi de la part de la haute direction souligne notre engagement sur ces questions et démontre la vigilance avec laquelle nous identifions, escaladons et répondons aux risques potentiels ».

De fait, les sources internes du média américain confirment de nets progrès sur la sécurité des données et des investissements importants pour régler les problèmes identifiés. Une amélioration que nuance un ancien responsable de la sécurité, « Cela va prendre une éternité pour redresser ce navire ». En 2021, Amazon a été condamné au Luxembourg à une amende record de 746 millions d’euros pour non-respect du RGPD. Une décision pour laquelle le géant américain a fait appel.