Ce mail des surgelés Picard risque de geler le sang de ses 45 000 clients
Si Picard rejoint la lignée des marques françaises piratées ces derniers mois, la méthode utilisée pour cette cyberattaque tranche avec les incidents précédents.
Alors que d’autres marques ont été victimes d’intrusions d’un prestataire commun, les hackers ont cette fois opté pour une technique plus sophistiquée, même si elle est loin d’être nouvelle : le « credential stuffing ». Ce « credential stuffing » consiste à utiliser des noms d’utilisateur et des mots de passe déjà volés lors de précédentes fuites pour tenter d’accéder aux comptes des utilisateurs. Les cybercriminels n’inventent rien, ils exploitent seulement une faille humaine : la réutilisation des mêmes mots de passe sur différents sites.
Et le fait que l’enseigne de surgelés affirme n’avoir détecté aucune intrusion dans ses systèmes centraux confirme le succès de cette stratégie d’attaque par porte dérobée. Comme l’explique Jean Gebarowski, « La sécurité informatique est une question de processus, pas d’outils « . Picard a indiqué avoir prévenu la CNIL et renforcé les mesures de sécurité, mais l’expert a rappelé que » La sécurité à 100% n’existe pas « . Une vérité qui donne des frissons dans le dos.