[Info mind Fintech] Mastercard Allemagne a été alerté dès juillet d’une faille dans son site Priceless Specials

Depuis la première mention d’une fuite de données du programme Priceless Specials de Mastercard Allemagne (dont mind Fintech se faisait l’écho ici), la situation a empiré. Deux fichiers sont en ligne, le premier contenant les données de 90 000 clients, le second 84 000 numéros de cartes bancaires, le tout en clair. Mastercard a suspendu le site de son programme de fidélité le 19 août après-midi, après la publication des premiers articles de presse sur le sujet. Pourtant, révèle mind Fintech, les soupçons de piratage remontent à plusieurs semaines plus tôt. 

Une “galerie marchande en ligne” doublée d’un cashback

Priceless Specials est un programme déployé par Mastercard dans de nombreux pays pour les possesseurs de certaines de ses cartes (World Elite, Platinum, Gold, @ccess, Business, Business Executive Mastercards). Bâti en partenariat avec “près de 1000 commerçants en ligne”, il permet de réaliser des achats “dans tous les univers de consommation”, selon le site français. À chaque achat effectué, le compte en ligne du propriétaire de la carte Mastercard est crédité d’une remise (cashback) pouvant atteindre 20% du prix du produit. 

Pour en profiter, une inscription en ligne est nécessaire. Cette étape implique obligatoirement de donner ses nom, prénom, adresses postale et électronique, ainsi que, facultativement, sa date de naissance et son numéro de téléphone. Le formulaire de souscription demande aussi des informations relatives à la carte Mastercard de l’utilisateur. Une fois le compte ouvert, le titulaire accumule des points, les Coins, équivalents au cashback reçu au gré des achats en ligne. Ces Coins sont ensuite échangeables contre des chèques cadeaux valables chez les différents partenaires du fournisseur de cartes. 

Des chèques cadeaux dans la nature

Le 11 avril 2019, Mastercard Allemagne faisait la promotion de son partenariat avec le tour-opérateur TUI sur son compte Twitter. Au programme : la possibilité d’utiliser ses Coins Priceless Specials pour gagner 200 ou 400 euros de chèque cadeaux. Le 6 mai, une offre intitulée [Mastercard Priceless Specials] 100€ de bons TUI pour 190 Coins apparaissait sur le site allemand de bonnes affaires mydealz.de. Rapidement, les premiers utilisateurs s’échangent quelques techniques pour accumuler des Coins plus rapidement, parmi lesquelles la multiplication de cartes Mastercard ou l’utilisation de comptes Curve puis d’autres néobanques. Ils exploitent les faiblesses du système pour amasser des points de fidélité qu’ils échangeront ensuite contre divers chèques cadeaux.

Mais à partir du 16 juillet, les premières interrogations apparaissent : des Coins ont disparu de certains comptes sans raison apparente. Plusieurs membres du forum de mydealz.de affirment avoir envoyé des e-mails à Mastercard pour obtenir des explications. En réponse, ils reçoivent un mail générique d’excuses (et la possibilité de réclamer leurs points perdus… par courrier). Les plaintes se multiplient, y compris sur d’autres forums, au sujet de disparitions de Coins inexpliquées et du fait que le support téléphonique de Priceless Specials soit incapable d’expliquer ce phénomène. Et le 17 juillet, l’utilisateur “HackHassenderZerhacker” finit par demander aux autres membres du forum : “dites, à quel point serait-il improbable qu’il y ait une faille quelque part sur leur page, à travers laquelle il serait possible de récupérer des bons déjà attribués [à des membres de Priceless Specials, NDLR] ?” 

Absence de réaction de Mastercard

La thèse n’est pas invraisemblable : plusieurs personnes affirment avoir obtenu des chèques cadeaux dont ils constatent, au moment de s’en servir, qu’il ont déjà été utilisés. Les utilisateurs tentent encore d’atteindre le standard téléphonique, de se faire rembourser leurs points ou d’obtenir leurs chèques cadeaux… “Vous voulez rendre Mastercard responsable de la perte de chèques cadeaux que vous avez récupérés illégalement ? Ça n’a aucun sens”, se moque “FrankScherer”. Néanmoins, même si leurs méthodes peuvent sembler abusives au regard de conditions d’utilisation normales, ces utilisateurs ont renseigné des données personnelles dans le formulaire d’inscription au programme Priceless Specials et s’inquiètent de la disparition anormale de Coins. 

Pendant deux journées supplémentaires, les utilisateurs du forum débattent de la possibilité d’un piratage. Le 19 juillet, pour la première fois, l’internaute “Symon” signale “des pages de forum sur lesquelles on trouve des chèques cadeaux piratés (c’est-à-dire utilisés depuis un long moment), le tout pour une valeur bien moindre que celle affichée (à peu près 35% de moins que leur valeur d’origine”. On trouve encore trace de ces ventes sur eBay : 250 euros de bons TUI proposés pour 120 euros, 200 euros de bons proposés pour 100 euros, etc. 

Du côté de Mastercard, toujours aucune aide ni explication. “Porax”, l’utilisateur de mydealz.de à l’origine du fil de conversation, propose de contacter des journalistes. Sur Twitter et sur Facebook, on commence à contacter publiquement la filiale allemande du fournisseur de cartes pour lui signaler un potentiel piratage. @Marc31979953 s’inquiète ainsi :  “que se passe-t-il avec les bons déjà utilisés de Mastercard Priceless ? Avez-vous été hacké ? Nos données sont-elles en sécurité ?”.

En message privé, un autre twitto contacté par mind Fintech estime que “tant que la fuite de données n’était pas connue du public, [Mastercard a] simplement ignoré ce qui lui était signalé”. Un silence qui va à l’encontre du Réglement Général sur la Protection des Données (RGPD) que Zoé Vilain, avocate associée chez 1862, rappelle à mind Fintech : “l’une des grandes nouveautés du RGPD, c’est cette obligation de notification. Si une entreprise prend connaissance d’une violation des données personnelles de ses clients, elle doit alerter la CNIL [ou son équivalent dans les autres pays européens, NDLR] dans les 72 heures.” Elle a aussi l’obligation d’avertir ses clients.

“La loi reste un peu vague sur les délais de cette notification-là, admet Zoé Vilain. Ce qui est certain, c’est que l’article 33 du RGPD ordonne à l’entreprise ayant connaissance d’une violation de données critiques d’alerter ses clients “dans les meilleurs délais“ et de leur donner les conseils nécessaires sur les mesures à prendre”. Dans le cas de Mastercard, il s’agirait par exemple de les pousser à bloquer leur carte. 

Double fuite de données

Mais le silence perdure, et la situation dure jusqu’au 19 août, date à laquelle le Heise online publie l’un des premiers articles sur le sujet et révèle qu’un fichier contenant les noms complets, adresses, numéros de téléphone, e-mails et dates de naissance de près de 90 000 clients du programme de fidélité de Mastercard est en ligne. Une soixantaine de collaborateurs du groupe sont même directement concernés par la fuite. Mastercard ferme rapidement le site web dédié à Priceless Specials, le remplaçant par une page qui affirme “nous prenons la protection des données et la sécurité très au sérieux” ainsi que l’absence de lien entre cette fuite de données et le système de paiement.

Un message que Mastercard France a réitéré auprès de mind Fintech, soulignant par ailleurs qu’une enquête était en cours “sur la totalité du processus”, c’est-à-dire-sur ce qui a permis la fuite de données comme sur la rapidité de la réponse apportée. 

Quelques heures après la révélation de ce premier fichier, la presse allemande en évoque un second contenant quelque 84 000 numéros de cartes de crédit en clair (mais sans leurs dates de péremption ni les codes CVC). S’il n’est pas avéré que les deux listes se répondent parfaitement, plusieurs personnes ayant retrouvé leurs données dans la première confirment avoir repéré leur numéro de carte dans la seconde, comme le rapportent le rédacteur en chef du site spécialisé MobiFlip ou Manager Magazin.  

La société Mastercard a pris le soin de contacter chaque personne concernée par la fuite de données. Malgré tout, des consommateurs se sont plaints sur les réseaux de la lenteur de cette campagne d’information : certains ont été plus ou moins bien informés par de tierces parties, comme n26, Curve ou d’autres (néo)banques. D’autres ont dû attendre au moins trois jours après la révélation de la découverte du premier fichier “fuité” avant de recevoir une quelconque communication. 

Le 23 août, l’équivalent belge de la CNIL annonçait avoir été informé, de concert avec son homologue allemand, d’une brèche concernant le programme de fidélité “Priceless Specials”. Le siège de Mastercard Europe est situé à Waterloo, ce qui explique que l’entreprise collabore aussi avec l’Autorité de protection des données belge : c’est elle qui décidera des sanctions à prendre contre la société de systèmes de paiement.