C’est une cyberattaque d’ampleur qui a été enregistrée la semaine dernière. Le groupe Mulliez, propriétaire de 130 enseignes commerciales, a vu des millions de données clients sensibles mises en ligne sur le dark web. Parmi les enseignes concernées, on retrouve notamment Cultura, Boulanger, Pepe Jeans et Truffaut, mais aussi d’autres noms plus incertains, comme Kiabi, Leroy Merlin, Flunch, Norauto, Décathlon, PicWicToys et Jules, qui appartiennent, eux aussi, au géant industriel. Les vendeurs de matériel informatique CyberTek et GrosBill sont également touchés, ainsi que le réseau de transport dijonnais Drivia Mobilité.
Au total, ce sont plus de 30 millions d’informations sensibles qui ont été mises aux enchères sur le forum pirate BreachForums. À l’origine de cette fuite, un utilisateur répondant au pseudonyme de Horror404x/horrormar44 assure avoir en sa possession des noms, des adresses, mails et coordonnées téléphoniques.
Comment réagir si vous êtes concernés ?
Si vous êtes concernés, il convient de réagir vite. Aucune donnée bancaire n’a vraisemblablement été dérobée, et les informations en fuite datent de plusieurs années, assurent les premières analyses. La Cnil a été prévenue de l’incident, conformément aux règlementations légales en vigueur, de même que l’ensemble des internautes (1,5 million au total) susceptibles d’avoir vu leurs données compromises.
Si vous avez reçu un mail d’alerte de la part de Cultura ou Boulanger, il convient de prendre quelques précautions en amont. Attention donc, il s’agira de redoubler de vigilance face aux mails que vous recevrez. Vous êtes tout particulièrement susceptibles d’être visés par une campagne d’hameçonnage dans les semaines et les mois à venir. Prenez garde à ne jamais ouvrir de liens sans en avoir vérifié l’expéditeur et la finalité, n’entrez pas vos coordonnées bancaires pour payer des prétendus “frais de relivraison” sur un colis que vous n’attendez pas, et restez sceptiques face aux appels et aux mails se faisant passer pour un site marchand de confiance ou un organisme officiel. Au moindre doute, passez par le site officiel de l’entreprise, ou par un numéro de téléphone de contact fiable.
Autre étape importante : changer votre mot de passe et activer la double authentification si cela est possible. Idéalement, il est nécessaire d’utiliser un mot de passe fort et différent pour chaque site : un gestionnaire de mots de passe permet par exemple de s’y retrouver. A priori, aucune donnée bancaire n’a fuité, ces dernières ayant l’interdiction d’être stockées en clair sur les sites marchands. Reste qu’il est facile pour un pirate de croiser ses sources, et de compiler vos données pour obtenir un profil complet et détaillé de sa future victime.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
