C’est une cyberattaque d’ampleur qui a été enregistrée la semaine dernière. Le groupe Mulliez, propriétaire de 130 enseignes commerciales, a vu des millions de données clients sensibles mises en ligne sur le dark web. Parmi les enseignes concernées, on retrouve notamment Cultura, Boulanger, Pepe Jeans et Truffaut, mais aussi d’autres noms plus incertains, comme Kiabi, Leroy Merlin, Flunch, Norauto, Décathlon, PicWicToys et Jules, qui appartiennent, eux aussi, au géant industriel. Les vendeurs de matériel informatique CyberTek et GrosBill sont également touchés, ainsi que le réseau de transport dijonnais Drivia Mobilité.
Au total, ce sont plus de 30 millions d’informations sensibles qui ont été mises aux enchères sur le forum pirate BreachForums. À l’origine de cette fuite, un utilisateur répondant au pseudonyme de Horror404x/horrormar44 assure avoir en sa possession des noms, des adresses, mails et coordonnées téléphoniques.
Comment réagir si vous êtes concernés ?
Si vous êtes concernés, il convient de réagir vite. Aucune donnée bancaire n’a vraisemblablement été dérobée, et les informations en fuite datent de plusieurs années, assurent les premières analyses. La Cnil a été prévenue de l’incident, conformément aux règlementations légales en vigueur, de même que l’ensemble des internautes (1,5 million au total) susceptibles d’avoir vu leurs données compromises.
Si vous avez reçu un mail d’alerte de la part de Cultura ou Boulanger, il convient de prendre quelques précautions en amont. Attention donc, il s’agira de redoubler de vigilance face aux mails que vous recevrez. Vous êtes tout particulièrement susceptibles d’être visés par une campagne d’hameçonnage dans les semaines et les mois à venir. Prenez garde à ne jamais ouvrir de liens sans en avoir vérifié l’expéditeur et la finalité, n’entrez pas vos coordonnées bancaires pour payer des prétendus “frais de relivraison” sur un colis que vous n’attendez pas, et restez sceptiques face aux appels et aux mails se faisant passer pour un site marchand de confiance ou un organisme officiel. Au moindre doute, passez par le site officiel de l’entreprise, ou par un numéro de téléphone de contact fiable.
Autre étape importante : changer votre mot de passe et activer la double authentification si cela est possible. Idéalement, il est nécessaire d’utiliser un mot de passe fort et différent pour chaque site : un gestionnaire de mots de passe permet par exemple de s’y retrouver. A priori, aucune donnée bancaire n’a fuité, ces dernières ayant l’interdiction d’être stockées en clair sur les sites marchands. Reste qu’il est facile pour un pirate de croiser ses sources, et de compiler vos données pour obtenir un profil complet et détaillé de sa future victime.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Je ne suis pas en phase avec ce qu’il convient de faire. Certes il faut être vigilant mais comme toujours, ni plus ni moins. En revanche, pour se prémunir d’un hameçonnage direct, il est préférable de clôturer son compte afin d’être sur qu’en cas de réception d’un mail Boulanger ou Cultura vous ne pourrez pas avoir de doute, n’étant plus client. Par ailleurs, c’est la punition à prendre auprès des commerces qui manquent de vigilance direct ou via leur revente de données. By bye Boulanger, Cultura et Cdiscount (il y a quelques années, vols des données par un salarié revendu sur le web).
Aucune indemnité de prévue…
Bon il y’a pas de conseil car il n’y a rien à faire à part changer d’adresse, de mail, de numéro de téléphone, de nom,…
“gestionnaire de mots de passe” toujours ce conseil/20 mais ce soft est une faille, c’est la faille principale la plus critique qui permet au hacker d’aller se brancher jusqu’à des sites comme tipeee et changer le rib, y’a des famous qui ont tout perdu, absolument tout comme ça. Pour se connecter le mieux c’est le calepin et vous vous connecter chez vous comme ça il se balade pas n’importe où, et quand on ferme le navigateur on garde pas de coockies on efface tout. Faudrait vraiment faire interdire ce truc.
Par contre je note l’inutilité des hacks, les mecs depuis le piratage du pole emploi et autres, ils ont déjà ces données, ils font des collections de bases en doublon non ?