Un piratage d’envergure frappe Boulanger : Que sait-on vraiment ?
Dans la nuit du 6 au 7 septembre 2024, Boulanger, l’enseigne française d’électroménager et de multimédia, a été victime d’une attaque informatique. Selon le communiqué de l’entreprise, seules les données relatives aux livraisons auraient été compromises. « Les données récupérées sont uniquement liées aux livraisons. Aucune donnée bancaire client n’est concernée », précise Boulanger.
Cependant, le manque de transparence soulève des questions parmi les clients, qui doivent eux-mêmes déterminer quelles informations personnelles ont pu être exposées : adresse postale, identité, numéro de téléphone, code de porte, adresses électroniques, et plus encore. La direction de Boulanger a rapidement tenté de rassurer en annonçant que l’incident avait été « circonscrit » et que leurs sites web et applications fonctionnaient normalement, « en toute sécurité ».
Une attaque aux répercussions plus larges ?
Le 6 septembre, un pirate informatique, utilisant les pseudonymes Horror404x ou horrormar44, a revendiqué le vol de plus de 27 millions de données clients de Boulanger sur le forum Breached, un espace en ligne souvent utilisé par les cybercriminels pour échanger des informations piratées. Ce pirate prétend avoir accédé à une vaste quantité de données sensibles, telles que des adresses, des numéros de téléphone, et des codes d’accès. Boulanger a confirmé l’incident le 9 septembre, sans toutefois préciser la nature exacte des données exposées.
Ce même pirate a également affirmé avoir dérobé des informations auprès d’autres enseignes :
- GrosBill et CyberTek : 685 000 données clients,
- Cultura : 2,6 millions de clients,
- DIVIA Mobilité : 248 500 clients,
- PepeJeans : 2 707 000 clients,
- « Assurance Retraite » : 375 760 données.
Le cybercriminel cherche-t-il à vendre les données volées ?
Selon les déclarations d’Horror404x, ces données auraient été mises en vente dès le 6 septembre 2024. Les informations volées pourraient potentiellement être utilisées à des fins de phishing, de fraudes ou d’usurpation d’identité.
Une menace déjà identifiée en mars 2024
Ce n’est pas la première fois que Boulanger est la cible de cybercriminels. En mars 2024, une alerte avait déjà été lancée après que des données similaires eurent été diffusées sur le dark web. Cette nouvelle attaque confirme la nécessité d’une vigilance accrue concernant la protection des données personnelles en ligne. Il est essentiel de vérifier les informations avant de les partager sur les réseaux sociaux pour éviter de propager des rumeurs non fondées.
Quelles précautions prendre face à ce type de piratage ?
Pour les clients potentiellement concernés, plusieurs mesures de précaution s’imposent :
- Changer immédiatement les mots de passe liés à tous les comptes en ligne.
- Surveiller de près les comptes bancaires et les relevés pour détecter toute activité suspecte.
- Activer une double authentification (2FA) sur tous les services qui la proposent.
- Être vigilant aux tentatives de phishing via e-mails, appels ou SMS.
- Suivre les recommandations de votre Prestataire informatique ou d’autres services de veille pour être alerté en cas de fuite de données.