Pas de “connexion illégitime” et pas non plus de compromission des données des clients. Après investigations, le géant de la grande distribution Carrefour vient de démentir une fuite de données de ses utilisateurs. Un internaute, un certain “LaFouine”, avait mis en vente ce dimanche 19 janvier sur le site Breach Forums une prétendue base de données de Carrefour.
Cette dernière, proposée au plus offrant, était censée comprendre des informations sur plus de 13 millions de clients de l’entreprise. Avec des entrées relatives aux noms, prénoms, adresses postales complètes, numéros de téléphones, mail, informations du profil, date de naissance, et enfin des données sur les achats.
La page Breach Forums de la personne affirmant avoir mis la main sur une base de données Carrefour, une intrusion démentie par l’entreprise. Visiblement une opération de com’ pour prendre la lumière avant une future nouvelle opération médiatique
— Gabriel Thierry (@gabrielthierry.bsky.social) 21 janvier 2025 à 22:06
Analyses
“Le lundi 20 janvier, nous avons été informés d’une possible connexion illégitime à l’un de nos systèmes informatiques ou à celui de l’un de nos partenaires”, rappelle l’entreprise dans un communiqué transmis à ZDnet.fr. Une hypothèse inquiétante qui supposait “un risque de vol de certaines données personnelles de nos clients”, contextualise Carrefour.
“Nos équipes se sont immédiatement mobilisées pour effectuer toutes les analyses nécessaires afin de vérifier ces informations”, poursuit l’entreprise. Mais deux jours après la mise en ligne de l’annonce, l’hypothèse d’une fuite de données s’est finalement dégonflée.
L’entreprise avait d’abord signalé la piste d’une possible connexion illégitime, avant de partager avec la presse un premier démenti lundi soir. Il sera confirmé le lendemain après des recherches plus complètes.
Se faire mousser
Un enchaînement d’événements pas très étonnant. Ce n’est pas parce qu’une annonce est postée sur un site tel que Breach Forums qu’elle est vraie. Les personnes à l’origine des messages postés sur ce site peuvent aussi chercher à se faire mousser. C’est visiblement le cas de “LaFouine”, qui fait désormais du teasing autour d’une future “surprise” dans quelques jours. Il peut également s’agir tout simplement d’une arnaque, par exemple en rassemblant dans un même fichier des informations ayant déjà fuité présentées alors comme “fraîches”.
A contrario, les organisations visées peuvent parfois avoir des difficultés à identifier l’origine d’une fuite de données, ce qui rend l’exercice du démenti délicat. Et ce genre de revendication est assez crédible après une fin d’année 2024 marquée en France par de nombreuses fuites de données.
A tel point que la Cnil vient d’annoncer avoir fait de la cybersécurité, via notamment ses opérations de contrôle à l’issue de violations de données, l’un de ses quatre axes de travail de son plan stratégique 2025-2028.