Plusieurs enseignes françaises, dont Boulanger et Cultura, ont reconnu, ces derniers jours, avoir subi une cyberattaque ayant permis à un ou plusieurs pirates de dérober les données personnelles de clients. Des entreprises britanniques et américaines sont également concernées par cette vague de revendications de vols de données aux contours toujours flous.
Depuis le 31 août, un internaute diffuse, sur le forum de discussion BreachForums (spécialisé dans l’achat et la vente de données piratées), des échantillons de fichiers de données personnelles, qu’il affirme à chaque fois avoir dérobées à des entreprises.
Il propose également à la vente ces fichiers, qui proviennent selon ses dires de l’enseigne Boulanger mais aussi de Cultura, de la jardinerie Truffaut ou encore de la marque de vêtements Pepe Jeans.
Numéros de téléphone et adresses postales
Tous les échantillons proposés par le pirate présumé contiennent les nom et prénom de victimes, mais aussi des adresses postales, adresses e-mail et des numéros de téléphone – mobile ou non. Selon les constatations du Monde, des données associées aux achats des clients semblent aussi apparaître dans certains cas. Dans au moins un échantillon, il est même possible de trouver une photo générique du produit potentiellement acheté par un client, hébergée sur la boutique en ligne de l’entreprise ciblée.
Toutes ces données semblent être des informations provenant des bases de données destinées aux sous-traitants chargés de la livraison. Dans le cas de Boulanger, on trouve par exemple des colonnes (ici non renseignées) où il était possible de signaler la présence ou non d’un parking à proximité de l’adresse de livraison.
Boulanger, qui a reconnu dimanche 8 septembre avoir été victime d’un vol de données, a initialement affirmé que les informations dérobées étaient « uniquement des adresses de livraison », avant de reconnaître que des numéros de téléphone et des adresses e-mail avaient également été récupérés. Auprès du magazine Next, l’entreprise affirme que cette fuite « concerne uniquement quelques centaines de milliers de clients. » Le pirate, lui, affirme avoir volé les données de plus de 27 millions de personnes, mais n’en apporte aucune preuve.
Des prestataires visés ?
De son côté, Cultura a annoncé mardi 10 septembre que « des données personnelles d’environ 1,5 million de nos clients ont été touchées » par une attaque similaire. « Il s’agit des nom, prénom, identifiant client de Cultura, téléphone mobile, adresses mail et postale, ainsi que l’information sur les produits achetés », explique l’enseigne dans un communiqué. D’autres enseignes françaises sont concernées, dont la régie de transports de Dijon, Divia Mobilité, mais aussi des boutiques en ligne.
D’où proviennent ces données ? Dans son communiqué, Cultura fait savoir que l’attaque informatique a touché un « prestataire informatique externe ». Contacté par Le Monde, l’internaute se présentant comme à l’origine de ces piratages n’a pas voulu préciser comment il avait obtenu frauduleusement ces données personnelles, se contentant d’expliquer qu’il cible des systèmes de gestion de livraison. Sollicité par Le Monde, Boulanger n’a pas souhaité préciser si ce vol de données était relié à un prestataire ou à une solution spécifique de gestion des livraisons.