Après plusieurs plaintes de clients ayant fait remonter des opérations bancaires frauduleuses juste après des achats effectués sur sa boutique en ligne, le chinois OnePlus a bloqué les paiements par carte bancaire. Une enquête est en cours mais les transactions par PayPal continuent.
Seuls les paiements via PayPal sont possibles sur la boutique en ligne oneplus.net. (crédit : D.F.)
OnePlus n’en n’a pas fini avec les soucis. Après avoir été pris la main dans le sac en octobre dernier pour avoir fait remonter des données personnelles d’utilisateurs sans leur consentement, le fournisseur de smartphones chinois fait aujourd’hui face à une nouvelle polémique. Plusieurs clients ont en effet remonté ici et là des transactions bancaires suspectes juste après avoir effectué des achats sur la boutique en ligne Oneplus.net du vendeur. Une situation que OnePlus prend très au sérieux puisqu’il a désactivé pour une durée indéterminée le paiement par carte bancaire sur son site, bien qu’il continue d’accepter les paiements via PayPal.
« Au cours du week-end, plusieurs membres de la communauté OnePlus ont rapporté des cas de transactions bancaires inconnues sur leurs comptes après un achat sur Oneplus.net », peut-on lire dans un billet de support. « Nous avons immédiatement commencé à enquêter de toute urgence et vous tiendrons informés. »
Un site entièrement réécrit avec du code spécifique en 2014
Dans sa FAQ, OnePlus précise que les informations de cartes de crédit ne sont jamais traitées ni sauvées sur son site web, mais envoyées directement pour traitement à un partenaire conforme PCI-DSS, par le biais d’une connexion chiffrée, sur des serveurs sécurisés. « Notre site web est chiffré HTTPS, donc il est très difficile d’intercepter du trafic et d’injecter du code malveillant, cependant nous menons un audit complet », précise le fabricant chinois qui indique par ailleurs avoir réécrit entièrement son site avec du code spécifique depuis 2014 pour se prémunir de tout risque lié au hacking de sites utilisant la plateforme e-commerce Magento. Des mesures de bon aloi bien qu’une analyse du traitement des paiements du site par la firme de sécurité Fidus suggère l’existence d’une brève fenêtre « dans laquelle le code malveillant est capable de siphonner les détails de la carte de crédit avant que les données soient chiffrées ».