Pour de nombreux commerçants, utiliser la plateforme de vente d’Amazon est un véritable atout : fiable et sécurisée, elle donne accès à des millions de clients potentiels. Mais, pour une centaine de marchands, l’expérience s’est transformée en cauchemar quand leurs comptes ont été siphonnés par des pirates : retour sur une affaire encore non résolue.
Des comptes vidés
L’affaire a été révélée le 8 mai 2019 par Bloomberg : pendant six mois, de mai à octobre 2018, une centaine de comptes vendeurs Amazon ont fait l’objet d’une attaque de pirates informatiques. Ceux-ci ont vidé les comptes, qui contenaient des fonds provenant de ventes, mais aussi d’emprunts accordés par Amazon aux vendeurs. Les fonds ont été transférés depuis les comptes Amazon des marchands sur des comptes se trouvant dans les banques Barclays Plc et Prepay Technologies.
La technique utilisée
Le piratage n’est pas dû à une faille ou à une vulnérabilité du système informatique d’Amazon. Les pirates n’ont pas hacké les comptes des revendeurs, mais y ont accédé grâce au phishing, une technique qui joue sur la défaillance humaine. Le phishing, ou hameçonnage en français, consiste à envoyer un email à une personne en lui faisant croire qu’il émane d’une institution ou d’une société de confiance, puis à lui soutirer des données confidentielles. Dans ce cas, les victimes ont reçu des emails semblant venir d’Amazon, qui leur demandait d’indiquer leurs identifiants et mots de passe. Armés de ces informations, les pirates se sont tout simplement connectés aux comptes des marchands comme s’ils leur appartenaient.
Et maintenant ?
Il existe encore beaucoup d’inconnues dans cette affaire. On ne sait pas quelle somme d’argent a été volée, ni qui ont été les cibles de l’attaque, et encore moins l’identité des pirates. L’enquête est en cours au Royaume-Uni, et Amazon ne peut pas en dire plus pour l’instant. Les avocats de la société ont demandé à un juge londonien de leur permettre l’accès aux relevés bancaires de Barclays et de Prepay Technologies, pour en savoir plus sur les pirates. Amazon a conseillé à ses clients et revendeurs de redoubler de vigilance, de ne pas ouvrir les liens et documents reçus par email, et d’indiquer leurs identifiants et mots de passe uniquement sur le site d’Amazon.
Si vous souhaitez en savoir plus sur la cyber-sécurité et comment protéger votre entreprise, il est essentiel de vous tourner vers un professionnel de la sécurité informatique.