Piratage de données chez Boulanger et Cultura

Il y a quelques jours, le 6 septembre, un pirate informatique a annoncé avoir volé plus des dizaines de millions de données clients des enseignes Boulanger, Cultura, GrosBill, PepeJeans, Truffaut, Divia Mobilité, CyberTek. Des marques du groupe française Mulliez qui pourrait donc s’étendre encore plus qu’à ces six entreprises. Explications avec le piratage chez Boulanger et Cultura.

Piratage de Boulanger

C’est sur un forum de cybercriminalité (Breached) que l’auteur a déclaré avoir récolté 27 561 592 lignes de logs de Boulanger, la société française spécialisée dans l’électroménager et l’électronique grand public. Il a ainsi donné quelques preuves sur le vol de données clients de Boulanger, des extraits de bases de données avec entre autres name, address, email, phone…

L’enseigne Boulanger a réagi le 9 septembre en confirmant le piratage mais en assurant qu’aucune donnée bancaire n’a été compromise. Elle a aussi adressé un mail à tous ses clients pour informer de l’acte de malveillance. Sans s’excuser, Boulanger minimise le problème en parlant de « données liées aux livraisons » pour ne pas clairement affirmer que l’adresse postale, le numéro de téléphone et l’adresse e-mail de tous les clients ont été illégalement récupérés.

Ensuite, une « une vigilance renforcée » (un simple changement de mot de passe et un stagiaire qui surveille les logs d’accès ?) n’assure pas que le piratage ait été plus critique qu’officiellement annoncé. Notre recommandation est d’immédiatement modifier le mot de passe d’accès au site boulanger.com pour éviter le pire.

Autre solution, plus radicale et plus efficace : supprimer son compte client du site Boulanger.

Piratage aussi chez Cultura

D’autres enseignes du groupe Mulliez ne sont pas épargnées avec d’autres annonces du même pirate :

• 2,6 millions de données clients Cultura, magasins de livres et loisirs créatifs
• 2,7 millions chez Pepe Jeans, boutiques de vêtements
• 700 000 données de clients GrosBill et CyberTek, des sites de matériel informatique
• 250 000 clients de Divia Mobilité, transports en commun à Dijon

L’entreprise Cultura avoue que 1,5 million de comptes ont été impactés, avec adresse postale, e-mail, téléphone et liste des produits déjà achetés sur le site internet ou en magasin (même compte client). La DSI se défausse en indiquant : « Un prestataire informatique externe de Cultura a été victime d’une intrusion malveillante dans sa base de données dans le cadre d’une attaque qui a ciblé plusieurs enseignes ce vendredi 6 septembre ». Il s’agirait du même prestataire que Boulanger.

Là aussi, pas de données bancaires (a priori) et un mail adressé aux clients concernés. Changer de mot de passe est un conseil, mais il faut aussi redoubler de vigilance contre le hameçonnage et autres techniques convaincantes. Par exemple, avec les données volées, vous pourriez recevoir un (faux) mail de Cultura qui vous demande votre avis sur le dernier livre acheté en magasin, ou propose un remboursement sur un produit réellement acheté.

En même temps, on apprend un piratage d’envergure chez Capgemini. Serait-ce le prestataire en question cité par Cultura et Boulanger ?

Que faire

Ce n’est pas le premier piratage de toute ces enseignes et ce ne sera pas le dernier. On n’empêchera pas le vol de nos données confidentielles mais les règles sont toujours les mêmes pour subir le moins possible de conséquences :

1. Utiliser un mot de passe unique par site internet / compte client
2. Faire preuve de bon sens, ne pas ouvrir un mail de facture Free si vous n’avez pas de contrat chez eux
3. Ne pas cliquer sur les liens affichés dans les mails (risque de phishing)
4. Activer la double authentification (code par SMS ou avec application type Google Authentificator)
5. Installer les mises à jour de sécurité des appareils (ordinateur, smartphone, tablette…)
6. Ne pas télécharger de logiciels, de jeux, de films piratés, ils peuvent être faux ou piégés
7. Rendre vigilant votre entourage, surtout les personnes qui ne sont pas à l’aise avec le numérique