En septembre 2024, trois grandes enseignes françaises, Cultura, Boulanger et Truffaut, ont été frappées par des cyberattaques majeures. Ces incidents ont compromis les données personnelles de millions de clients.
Boulanger : 27 millions de données compromises
Quelques jours avant l’incident de Cultura, Boulanger, spécialiste de l’électroménager, a également été victime d’une cyberattaque dans la nuit du 6 au 7 septembre 2024. Cette attaque a compromis 27 millions de données liées à plusieurs centaines de milliers de clients. Les informations concernées incluent les noms, prénoms et adresses des clients, principalement liées aux livraisons, sans impliquer de données bancaires.
Cultura : 1,5 million de clients affectés
Le 10 septembre 2024, Cultura, spécialisée dans les produits culturels, a annoncé qu’une cyberattaque visant un de ses prestataires avait compromis les données personnelles de 1,5 million de clients. Les informations volées comprennent les noms, prénoms, numéros de téléphone, adresses e-mail, adresses postales et détails des commandes effectuées.
L’enseigne a toutefois rassuré ses clients en confirmant que ni les mots de passe ni les données bancaires n’ont été compromis. L’incident a rapidement pris de l’ampleur, les données ayant été mises en vente sur des forums du dark web. Cultura a informé la Commission nationale de l’informatique et des libertés (CNIL), comme l’exige la réglementation en matière de protection des données, et a pris des mesures correctives pour éviter que ce type d’incident ne se reproduise.
Truffaut : 370 000 données compromises
Le 12 septembre 2024, Truffaut, enseigne spécialisée dans les produits de jardinerie, a révélé qu’une cyberattaque via l’un de ses prestataires avait compromis les données personnelles de plusieurs centaines de milliers de clients. Parmi les informations volées figurent les noms, prénoms, numéros de téléphone, adresses e-mail, adresses postales, ainsi que les détails des commandes effectuées. Truffaut a précisé qu’aucune donnée bancaire n’avait été compromise. L’enseigne a signalé l’incident à la CNIL et a renforcé la sécurité de son site. Les données volées ont été mises en vente sur le dark web, bien que des investigations soient encore en cours pour établir l’ampleur exacte de l’attaque.
Les clients des deux enseignes doivent redoubler de vigilance face aux potentielles tentatives de phishing qui pourraient survenir à la suite de ces attaques. En exploitant les données volées, les cybercriminels pourraient cibler les utilisateurs avec des e-mails ou des SMS frauduleux, cherchant à extorquer des informations sensibles ou à diffuser des logiciels malveillants. Il est essentiel de vérifier attentivement l’authenticité de toute communication reçue et de ne jamais partager des informations personnelles ou bancaires sans s’assurer de la légitimité de l’émetteur.
