Boulanger, Cultura… des clients de marques françaises victimes d’une fuite de données

Plusieurs enseignes françaises, dont Boulanger et Cultura, ont reconnu ces derniers jours avoir subi une cyberattaque ayant permis à un ou plusieurs hackers de voler les données personnelles de leurs clients. Des entreprises britanniques et américaines sont également concernées par cette vague de plaintes pour vol de données, dont les détails restent encore flous.

Depuis le 31 août, un internaute publie sur le forum de discussion BreachForums (spécialisé dans l’achat et la vente de données piratées) des échantillons de fichiers de données personnelles qu’il affirme avoir volés à des entreprises.

Il propose également à la vente ces limes qui proviennent selon lui de la marque Boulanger, mais aussi de Cultura, de la jardinerie Truffaut et de la marque de vêtements Pepe Jeans.

Numéros de téléphone et adresses postales

Tous les échantillons fournis par le pirate présumé contiennent les noms et prénoms des victimes, ainsi que les adresses postales, les adresses électroniques et les numéros de téléphone – portables ou non. Selon les conclusions de l’enquête MondeDes données associées aux achats des clients semblent également apparaître dans certains cas. Dans au moins un échantillon, il est même possible de retrouver une photo générique du produit potentiellement acheté par un client, hébergée sur la boutique en ligne de l’entreprise ciblée.

Toutes ces données semblent être des informations issues de bases de données destinées aux sous-traitants chargés de la livraison. Dans le cas de Boulanger par exemple, il existe des colonnes (non renseignées ici) où il était possible d’indiquer s’il y avait ou non un parking à proximité de l’adresse de livraison.

Boulanger, qui a reconnu dimanche 8 septembre avoir été victime d’un vol de données, a d’abord affirmé que les informations volées étaient « adresses de livraison uniquement »avant de reconnaître que des numéros de téléphone et des adresses e-mail avaient également été collectés. S’adressant au magazine Next, la société affirme que cette fuite « Cela ne concerne que quelques centaines de milliers de clients. » Le pirate affirme avoir volé les données de plus de 27 millions de personnes, mais n’a fourni aucune preuve.

Des prestataires ciblés ?

De son côté, Cultura a annoncé mardi 10 septembre que « Les données personnelles d’environ 1,5 million de nos clients ont été affectées » par une attaque similaire. « Cela comprend le nom, le prénom, l’identifiant client Cultura, le numéro de téléphone portable, les adresses e-mail et postale, ainsi que des informations sur les produits achetés. »l’explique la marque dans un communiqué. D’autres enseignes françaises sont concernées, dont la régie des transports de Dijon, Divia Mobilité, mais aussi des boutiques en ligne.

D’où viennent ces données ? Dans son communiqué, Cultura précise que l’attaque informatique a touché un « prestataire de services informatiques externe ». Contacté par Le mondeL’internaute se présentant comme l’auteur de ces piratages n’a pas souhaité préciser comment il avait obtenu frauduleusement ces données personnelles, expliquant simplement qu’il visait les systèmes de gestion des livraisons. Le mondeBoulanger n’a pas souhaité préciser si ce vol de données était lié à un prestataire ou à une solution spécifique de gestion des livraisons.