Ce mercredi 21 novembre, de nombreux utilisateurs d’Amazon américains, européens et britanniques ont reçu de la part du leader en e-commerce un message d’alerte annonçant que leurs noms et adresses courriels avaient été divulgués du fait d’une « erreur technique ».
Dans ce message, Amazon tente également de rassurer ces utilisateurs à deux jours du Black Friday, jour des soldes de fin d’année, en niant tout piratage du site ou de ses systèmes. La société garantit par là-même que les mots de passe sont restés à l’abri de toute intrusion et qu’il n’est donc nullement nécessaire pour les utilisateurs de s’inquiéter et de les modifier. De plus, le géant assure que cette « erreur technique » a été réparée et que les tous les utilisateurs concernés ont été alertés.
Toutefois, Richard Walters, expert en cybersécurité à Censornet, met en doute les conseils d’Amazon et préconise à l’inverse aux utilisateurs de rester vigilant en changeant leurs mots de passe car même si le bug n’a concerné que des données basiques comme les noms et adresses courriels, cela ne veut pas dire que les utilisateurs ne sont pas pour autant exposés à certains risques. En effet, il met en évidence que cette brèche de données n’est pas si inoffensive puisque les cybercriminels sont tout à fait capables d’utiliser ces noms et adresses courriels à mauvais escient.De plus, de nombreux clients d’Amazon utilisent de nos jours des mots de passes extrêmement faciles à décrypter et dès lors, leurs comptes contenant leurs données sensibles, comme entre autres les numéros de cartes bancaires, deviennent faciles à pirater pour les cybercriminels.
Aussi, certains reprochent à Amazon de rester trop vague quant à la cause, la portée et les circonstances de cette « erreur technique ». En effet, suite à cet incident, la compagnie refuse de donner plus de détails malgré les tentatives d’approches d’utilisateurs et de rédacteur du site internet spécialisé Techcrunch.On ne connait ni quels sites d’Amazon ont été touchés, ni qui a pu avoir accès à ces données, ni le nombre de victimes exactes concernées par l’incident. Ce refus est donc particulièrement problématique car il ne permet pas aux utilisateurs concernés d’adopter des mesures proportionnelles à la faille pour se protéger adéquatement. D’où l’intérêt pour les utilisateurs de rester vigilants comme le préconise Richard Walters.
On ne sait pas non plus à l’heure actuelle si Amazon a contacté les autorités gouvernementales dans un délai de 72 h, conformément aux exigences du Règlement Général sur la Protection des Données (RGPD)applicable depuis mai 2018. En effet, bien que le siège social d’Amazon se situe à Washington DC, aux États-Unis, la société Amazon offre des biens et services à des citoyens européens, et dès lors, le RGPD s’applique. Ainsi, selon l’article 33 du RGPD, suite à la violation de données à caractère personnel, Amazon a l’obligation de notifier cette violation auprès de l’autorité de contrôle compétente. Or il n’a pas été possible dans ce cas-ci, de vérifier si Amazon a rempli son obligation en alertant les autorités britanniques, américaines ou européennes.
Cependant, conformément à l’article 34 du RGPD, Amazon a bien remplit ses obligations d’alerter les personnes concernées de la violation de leurs données à caractère personnel. Toutefois, en restant vague et en refusant de divulguer plus d’informations aux utilisateurs concernés par ce qu’elle qualifie d’incident, peut-on réellement dire qu’Amazon satisfait à ces obligations ?
Il semblerait qu’en restant évasif sur l’étendu de l’incident, Amazon tente d’éviter tout scandale ayant un impact négatif sur ces ventes de fin d’année. Toutefois, le manque de transparence de la société ne risque-t-il pas d’inquiéter ces consommateurs davantage et de perdre in fine leur confiance ?
De nos jours, les différents scandales faisant état de la violation des données personnelles ont ébranlé la confiance que les utilisateurs portaient à ces sites. Il est donc de la responsabilité de ses sociétés et désormais d’Amazon de réellement documenter la manière dont ces droits sont garantispour leurs clients et de communiquer en toute transparence sur les procédures en place permettant de détecter, analyser et rapporter toute violation des données personnelles afin de pouvoir se plier au délai de 72 heures avant notification accordé par le RGPD.Il y va de la confiance de leurs consommateurs qui réclament eux aussi transparence et responsabilité dès lors que de tels incidents se produisent.
Commentaires