Les livraisons de Deliveroo détournées par des pirates affamés

Christophe Lagane,

Des clients de Deliveroo ont vu leurs comptes bancaires allégés pour des commandes de repas qu’ils n’ont jamais consommés.

98 livres sterling (115 euros) par ci, 113 livres par là, et jusqu’à 200 livres facturés pour des repas jamais commandés. C’est la mésaventure qui est arrivée à des utilisateurs britanniques de Deliveroo, a rapporté la BBC. Les commandes étaient généralement livrées à plusieurs adresses différentes et souvent à des dizaines de kilomètres du domicile du client débité.

Créé en 2013 en Angleterre, Deliveroo a développé une plate-forme en ligne de livraison de plats cuisinés. Elle met en relation des restaurateurs avec leurs consommateurs qui sont livrés par coursiers amateurs de coups de pédales et de gros sacs à dos cubiques. Le paiement des consommations s’effectuent uniquement par carte bancaire en ligne.

Aucune information bancaire volée

De toute évidence, si des clients de la plate-forme ont vu leurs comptes bancaires débités sans rien avoir commandé, c’est qu’ils y a du piratage dans l’air (ou de l’arnaque). Selon la BBC, Deliveroo assure qu’aucune information bancaire n’a été volée de son côté. « Vos détails de paiement sont stockés en sécurité auprès de notre partenaire de paiement, en utilisant un cryptage de qualité bancaire », indique la page du site au moment de payer, sans préciser le nom du prestataire de paiement en question (probablement l’établissement bancaire de l’entreprise). Accepter que le vendeur conserve les informations de paiement est probablement pratique (cela évite d’avoir à ressaisir le code à chaque commande) mais introduit un risque supplémentaire.

Pour expliquer ces usurpations de commandes, le livreur évoque un piratage de comptes e-mails des clients. « Nous avons été alertés par Watchdog ( l’émission de la BBC, NDLR), a répondu Deliveroo au média britannique.Cela implique des repas volés, mais pas des numéros de carte de crédit. Ces problèmes se produisent lorsque les criminels utilisent un mot de passe volé à un autre service comme dans le cas des récents vols massif de données. »

L’usurpation d’e-mails crédible

Le cas de vols de données massifs comprenant l’email et le mot de passe associés ne manquent pas ces dernières années. Parmi les plus massifs, citons celui des 167 millions de comptes Linkedin en 2012, des 360 millions de MySpace en 2008, des 51 millions d’iMesh en 2013 ou, plus récemment découvert, des 500 millions de comptes Yahoo en 2012. Il est possible de vérifier si votre adresse e-mail s’est fait pirater en se rendant sur HaveIbeenpwned.

Il est donc crédible que les pirates aient usurpé des comptes e-mails et profité du stockage en mémoire du numéro de carte bancaire (qui nécessite pourtant le cryptogramme virtuel, en France du moins) pour manger aux frais des clients légitimes du service de livraison de repas à domicile. Rappelons une fois encore qu’il est indispensable d’utiliser un mot de passe différent par compte de service. Pour la petite histoire, les clients britanniques arnaqués ont vu leurs débits réapprovisionnés par Deliveroo. Néanmoins, si les cas se multiplient, la plate-forme numérique aura tout intérêt à revoir sa politique de sécurité ou son mode de paiement.

Lire également
FriendFinder Networks : un piratage dépouille 412 millions de comptes
Wendy’s : un piratage à la sauce Target et Home Depot
Des millions de comptes Twitter à risque après le piratage de Linkedin

Photo credit: Môsieur J. [version 9.1] via Visualhunt.com / CC BY