Plusieurs établissements français, y compris Boulanger et Cultura, ont admis avoir été récemment victimes d’une attaque cybernétique. Cette attaque a permis à un ou plusieurs pirates informatiques de voler les informations privées de leurs clients. De plus, des entreprises basées en Angleterre et aux États-Unis ont également été touchées par cette série de prétendus vols de données.
Depuis le dernier jour d’août, un utilisateur a laissé des traces de fichiers contenant des données personnelles sur le forum de discussion BreachForums, qui est dédié à l’achat et la vente de données volées. Il prétend avoir obtenu ces fichiers à partir de différentes entreprises. De plus, ces fichiers sont disponibles à l’achat et sont supposés provenir de plusieurs entreprises dont Boulanger, Cultura, la jardinerie Truffaut et la marque de vêtements Pepe Jeans.
Les exemples disponibles de ces fichiers contiennent non seulement les noms complets des victimes mais aussi leurs adresses postales, leurs emails et leurs numéros de téléphone, qu’ils soient fixes ou mobiles. D’après les observations faites par le journal Le Monde, les données relatives aux achats des clients semblent aussi figurer dans certains cas. En effet, au moins un exemple comprend une image générique du produit que le client aurait potentiellement acheté, stockée sur le site web de l’entreprise visée.
Toutes ces informations semblent provenir des bases de données dédiées aux sous-traitants en charge de la livraison. Par exemple, dans le cas de Boulanger, des colonnes (ici vides) indiquaient la présence ou non d’un parking près de l’adresse de livraison.
Boulanger, le géant de l’électroménager, a admis le dimanche 8 septembre qu’il avait subi un vol de données. Au tout début, l’entreprise avait indiqué que seules les adresses de livraison avaient été dérobées. Cependant, ils ont dû admettre que des numéros de téléphone et des emails étaient aussi parmi les données volées. L’entreprise a déclaré au magazine Next que seulement quelques centaines de milliers de leurs clients étaient concernés. Par contre, l’individu responsable du vol affirme avoir dérobé les données de plus de 27 millions de personnes. Cependant, aucune preuve n’a été apportée pour appuyer cette affirmation.
En parallèle, Cultura a aussi révélé le mardi 10 septembre que 1,5 million de leurs clients ont vu leurs données personnelles compromise suite à une attaque similaire. La nature des données volées inclut les noms, prénoms, identifiants client de Cultura, numéros de téléphone mobile, adresses email et postale ainsi que l’information sur les produits achetés. L’entreprise a partagé cette information à travers un communiqué. D’autres entreprises françaises ont aussi été affectées, comme Divia Mobilité, le service de transports de Dijon, ainsi que d’autres boutiques en ligne.
Cultura a indiqué dans son communiqué que l’incident était lié à une attaque sur un fournisseur de services informatiques externe. L’individu qui se présente comme le responsable de ces attaques n’a pas précisé comment il a réussi à obtenir ces données de façon illicite, se limitant simplement à dire qu’il ciblait des systèmes de gestion de livraison. Quand Boulanger a été contacté par Le Monde, l’entreprise n’a pas voulu déterminer si ce vol de données était lié à un fournisseur spécifique ou à un système de gestion de livraison spécifique.