Nom, prénom, adresse mail et postale, n° de téléphone, codes d’accès, commandes… Des données personnelles sensibles ont été dérobées par un pirate informatique touchant plusieurs enseignes.
La liste s’allonge… Après Boulanger et Cultura, c’est désormais au tour de Truffaut d’être victime d’une cyberattaque d’ampleur sur ses données clients via l’un de ses prestataires informatiques. L’enseigne de jardinage a confirmé, le 11 septembre, « qu’un de (ses) prestataires informatiques externes a été visé par un acte de cyber malveillance », dans un communiqué envoyé à ses clients. Les données personnelles dérobées sont liées aux commandes de produits en ligne, mais pas en magasin, « et aucune donnée bancaire n’est concernée », selon l’enseigne qui indique que l’incident est à présent résolu, « notre site fonctionne tout à fait normalement et en toute sécurité, avec une vigilance renforcée ». L’enseigne indique également – chose rare – les coordonnées de sa déléguée à la protection des données (DPO) pour les clients qui souhaiteraient exercer leur droit à l’effacement de leurs données personnelles.
Plus de 30 millions de données personnelles dérobées
Lundi 9 septembre, c’est l’enseigne Boulanger qui avait reconnu, dans un communiqué envoyé à ses clients, avoir été victime, dans la nuit du 6 au 7 septembre, d’un « acte de cyber malveillance sur une partie d’une informations clients. Les données récupérées sont uniquement liées aux livraisons. Aucune donnée bancaire client n’est concernée », a assuré, là aussi, le spécialiste de l’électronique grand public et de l’électroménager qui indiquait que « l’incident a été circonscrit. Nos sites web et les applications mobiles Boulanger fonctionnent normalement, en toute sécurité, avec une vigilance renforcée ».
Le lendemain, le mardi 10 septembre, Cultura annonçait également, « qu’un prestataire informatique externe de Cultura a été victime d’une intrusion malveillante dans sa base de données dans le cadre d’une attaque qui a ciblé plusieurs enseignes ». L’enseigne de produits culturels et créatifs, elle a souligné que des données personnelles d’une partie de ses clients avaient été touchées : nom, prénom, identifiant clients, téléphone mobile, adresse mail et postale, produits achetés. « Les données relatives au mot de passe et aux données bancaires ne sont pas compromises », a-t-elle assuré tout en précisant que « la faille qui a provoqué cet incident sur notre prestataire a été identifiée et les mesures correctives ont été apportées. Le site web de Cultura fonctionne en toute sécurité ».
Cibler les systèmes de gestion de livraison
Il s’agirait d’un même pirate informatique qui a annoncé, dès « le 6 septembre, sur le forum Breached, qu’il avait volé 27 561 592 lignes de logs de l’enseigne Boulanger », explique Damien Bancal, expert en cybersécurité et fondateur du projet Zataz, dans un article sur son site. Le même hackeur a également revendiqué le vol de données d’autres enseignes comme Cultura (2,6 millions), Grosbill (680 000), Pepe Jeans (2,7 millions), de Truffaut (270 000) ou encore Divia Mobilité qui gère les transports de Dijon, cette fois, avec certains IBAN de clients dérobés. Selon Le Monde, toutes ces données semblent être des informations provenant des bases de données destinées aux sous-traitants chargés de la livraison. Le quotidien a contacté le pirate informatique qui s’est contenté d’expliquer qu’il ciblait « des systèmes de gestion de livraison ».
La liste pourrait s’allonger…
De son côté, Clément Domingo @SaxX, « gentil hacker » comme il se définit sur son profil X, et spécialiste en cybersécurité, a pu, lui aussi, échanger avec le cybercriminel par message dès le vendredi soir, le 6 septembre. Invité au 20H de TF1 le 10 septembre, il raconte que le pirate propose de vendre les 27 millions de données de Boulanger au prix de 2 000€ : « J’apprends, en discutant avec lui, qu’il a d’autres bases de données, donc d’autres bases données françaises qu’il s’apprête peut-être à diffuser. »
Sur son compte X, il développe ses propos sur « ces fuites de données massives touchant plus de 30 millions de personnes », et, notamment, sur « le prix de base de données de Boulanger de 2000€ qui est totalement dérisoire au regard de la quantité et de la qualité des informations siphonnées ». Clément Domingo pointe du doigt « la responsabilité des entreprises à sécuriser nos données personnelles. Elles leur incombent ! ». Selon lui, il faudra faire preuve d’une « vigilance accrue dans les jours, semaines, et mois à venir quant à des sollicitations par mail ou SMS pour éviter le phishing et arnaques en tout genre ! ». Et craint, que dans les prochains jours ou semaines, d’autres revendications ou diffusions de bases de données d’enseignes françaises soient dévoilées.
C.B.
