Plusieurs clients OnePlus ont tiré la sonnette d’alarme suite à de nombreux cas de paiements frauduleux avec leur carte bancaire qui avait servie à réaliser un achat en ligne sur le site officiel du fabricant chinois de smartphones OnePlus.
Chez OnePlus, il n’y a pas de distributeurs locaux comme avec d’autres grandes marques de mobiles : du coup, les clients doivent absolument passer via le site officiel pour commander leur smartphone. Les paiements sont font par Paypal ou CB. Mais visiblement, une vulnérabilité pourrait être présente sur l’espace e-commerce de OnePlus, et aurait permis à des cybercriminels de s’emparer des données bancaires des clients !
Les pliantes ont d’abord démarrées sur le forum officiel, avec de nombreuses victimes. Ces clients ont en effet remarqué sur leurs relevés bancaires que des transactions CB frauduleuses avaient été réalisées à l’étranger avec leur carte bancaire. Il y a donc une très forte suspicion de piratage des données bancaires. Le risque est important car on parle tout de même de plus de 450 000 réservations du OnePlus 5T en seulement 2 jours sur le site officiel… les conséquences pourraient donc être terribles si le vol de données s’avère réel.
Des chercheurs en sécurité de l’entreprise Fidus pointent du doigt une faille dans le processus de commande de la firme (déjà pointé du doigt en 2015). Au moment de payer, au lieu de rediriger l’internaute vers le site d’un établissement bancaire, la page est hébergée directement par le site du constructeur. Les informations ne sont transmises qu’ensuite à l’organisme financier et à ce moment-là les pirates peuvent en théorie subtiliser les numéros de cartes bancaires, avant que les données ne soient chiffrées.
Pourtant, OnePlus indique que la faille touchant Magento ne peut les toucher car il y a eu une refonte du site entre temps. Le mystère reste entier !
OnePlus a depuis pris la parole de manière officielle, et le message a été traduit en français par la communauté à cette adresse. La marque explique être en pleine investigation sur cette affaire, mais n’a pas vraiment d’information à transmettre concernant sa source. La firme explique notamment que :
- le problème ne semble pas toucher les utilisateurs ayant payé avec un service tiers comme PayPal.
- la carte de paiement est directement transmise au partenaire de OnePlus pour le paiement.
- la carte de paiement n’est jamais stockée sur les serveurs de OnePlus.
- la fonction « sauvegarder cette carte de paiement » ne sauvegarde pas réellement les informations de la carte sur les serveurs de OnePlus, mais simplement un extrait chiffré de la carte (que OnePlus ne peut déchiffrer) permettant d’identifier la carte stockée chez le partenaire.
- OnePlus n’est pas impacté par le bug de la plateforme d’e-commerce Magento que la marque utilisait partiellement en 2014.
- le site utilise le HTTPS et il devrait donc être difficile d’intercepter le trafic du site et d’injecter du code malicieux.
Quoi qu’il en soit, tous ceux ayant passé commande sur le site OnePlus doivent être très vigilent et surveiller les transactions bancaires effectuées via leur CB. Si vous avez utilisé Paypal, vous ne devrez pas être inquiété.
Rappel : pour payer en ligne en toute sécurité, pensez à utiliser une e-card avec cryptogramme dynamique si votre banque le permet, sinon, optez pour une carte bancaire prépayée permettant de contrôler le solde disponible à tout moment !