[MàJ] Fuite de données Cultura : 1,5 million de clients concernés, une plainte a été déposée

Et ce n’est surement pas fini…

Mise à jour du 10 septembre à 16h30 : Cultura nous précise que la fuite concerne 1,5 million de clients. L’actualité a été mise à jour.

Sébastien Gavois

Le 10 septembre à 16h31

5 min

Sécurité

Actualité originale du 10 septembre à 10h56 : En l’espace de quelques jours, plusieurs enseignes annoncent avoir été victime d’une cyberattaque. Nous avons pour le moment Boulanger, Cultura et DiviaMobilités (transports à Dijon). Les deux dernières expliquent qu’un prestataire était visé. D’autres pourraient donc suivre en fonction du partenaire externe, non identifié pour l’instant.

Alors que Boulanger communiquait hier sur une fuite de données sur des données de livraison de « quelques centaines de milliers de clients », c’est au tour de Cultura d’informer ses clients qu’elle a été victime d’une cyberattaque. Un lecteur nous a transféré le mail que lui a envoyé l'enseigne, merci.

La fuite de Cultura vient d’un prestataire externe

La société précise d’emblée que la fuite vient d’un « prestataire informatique externe » qui « été victime d’une intrusion malveillante dans sa base de données ». Cultura précise que cette cyberattaque « a ciblé plusieurs enseignes » ce vendredi 6 septembre, sans indiquer les noms ni si Boulanger est dans le lot.

Cultura n’est pas bavard sur les détails :

« Nos investigations indiquent que des données personnelles d’une partie de nos clients ont été touchées. Il s’agit des nom, prénom, identifiant client de Cultura, téléphone mobile, adresses mail et postales ainsi que l'information sur les produits achetés. Les données relatives aux mots de passe et aux données bancaires ne sont pas compromises ».

Bien évidemment, la faille « a été identifiée, et les mesures correctives ont été apportées ». Le nom du prestataire et les détails de la cyberattaque ne sont pas communiqués.

« 1,5 million de nos clients ont été touchées »

Contacté, Cultura nous précise que « 1,5 million de nos clients ont été touchées » et confirme au passage la liste des informations dans la nature : nom, prénom, identifiant client de Cultura, téléphone mobile, adresses mail et postales, ainsi que l’information sur les produits achetés.

L’enseigne nous précise aussi avoir « notifié cette violation à la CNIL et porté plainte au nom de [sa] société ». Enfin, Cultura « a décidé de contacter individuellement par mail ses clients concernés pour les informer de cet incident et leur donner un point de contact pour répondre à leurs questions ».

Le début d’une longue série ?

Il y a quelques jours, SaxX. annonçait la fuite de données chez Boulanger, avant que la société ne communique, mais le nombre de clients touchés n’était pas le même que celui annoncé par Boulanger.

L’expert en cybersécurité expliquait alors que le pirate, dont le profil date de ce mois d’août et n’était pas confirmé, vendait « aussi au passage les bases de données d'autres enseignes françaises comme : http://cultura.com, http://truffaut.com, http://dicia.fr ou encore l'assurance retraite… ».

DiviaMobilités aussi victime d’une fuite via un prestataire

Maintenant que Cultura rejoint officiellement la liste, on se demande si d’autres ne vont pas arriver via le prestataire qui travaille avec « plusieurs enseignes ». Cela pourrait être le cas de DiviaMobilités (Keolis Dijon Mobilité), comme le rapporte Le Bien Public.

L’entreprise a été victime d’une cyberattaque fin aout, également via un prestataire qui n’est pas nommé. Cette autre attaque fait partie de celles évoquées par SaxX quand il s'est fait l’écho des bases de données mises en vente par le pirate. Il parlait de Dicia dans son tweet initial, mais nous confirme que c’était une petite coquille et qu’il s’agissait bien de Divia.

« Les données identifiées à ce stade sont les nom, prénom, date de naissance, adresse postale, adresse e-mail, numéro de téléphone et IBAN », expliquent nos confrères. Nolwenn Leguillon, directrice communication de Keolis Dijon Mobilités, ajoute que « l’action malveillante » a été découverte le 4 septembre et que « les clients potentiellement concernés sont uniquement ceux qui disposent d’une carte DiviaMobilités ou d’un compte sur la e-boutique Divia ».

Bien évidemment, « des dispositions techniques complémentaires ont été prises pour renforcer la protection du système informatique de notre prestataire », ajoute la directrice.

Comme toujours, soyez prudents

Comme nous l’expliquons régulièrement, le risque est de voir des pirates tenter du phishing en se faisant passer pour une enseigne que vous connaissez à l’aide des données personnelles récupérées frauduleusement. Les pirates peuvent ensuite tenter de vous soutirer davantage d’information. Prudence donc.

Concernant le risque lié aux données bancaires et notamment à l’IBAN, nous avons déjà évoqué le sujet l’année dernière lors du piratage d’Adecco.

Quels risques pose une fuite de données bancaires ?

Commentaires (27)

floh Abonné

Le 10/09/2024 à 11h15

Pour Cultura, c'est l'ERP Octave qui a eu un crypto.

https://www.zataz.com/un-ransomware-sattaque-a-la-societe-octave/
https://www.octave.biz/clients/

Je ne vois pas Boulanger dans la liste. Donc ça ne devrait pas être le même cas.
A noter qu'une liste de client n'est pas très fiable car tous n'y figurent pas (mais les plus gros y seront surement) et que le client a pu partir mais qu'il est rarement enlevé de la liste.

hwti Abonné

Le 12/09/2024 à 17h13

Je viens de reçevoir un mail pour Grosbill : "Sécurité de Vos Données chez Grosbill – Incident Résolu"

Nous souhaitons vous informer qu'une tentative récente d'intrusion a ciblé une partie de nos systèmes informatiques, ce qui pourrait avoir compromis certaines informations personnelles de nos clients. [...]

Ils parlent de tentative, ce qui laisse supposer qu'ils ne sont pas sûrs de ce qui s'est exactement passé (à moins que ce soit pour minimiser...).

versgui Abonné

Le 10/09/2024 à 11h32

Le mail de Boulanger est incroyablement laconique :

Chère cliente, cher client,

Dans la nuit du 6 au 7 septembre, Boulanger a été victime d’un acte de cybermalveillance sur une partie de nos informations clients.

Les données récupérées sont uniquement liées aux livraisons. Aucune donnée bancaire client n’est concernée.

D’ores et déjà, l’incident a été circonscrit. Nos sites web et les applications mobiles Boulanger fonctionnent normalement, en toute sécurité, avec une vigilance renforcée.

Nous vous assurons que la protection de vos données est notre priorité absolue.

Nous vous remercions pour votre compréhension et votre confiance.

Cordialement,
Les équipes Boulanger.

pamputt Abonné

Le 10/09/2024 à 11h34

L'objet du mail est aussi incroyable : « Incident sécurité (résolu) - Données clients Boulanger »

sebp Abonné

Le 10/09/2024 à 14h46

c'est clair. "résolu" :) vous avez remis les données fuitées dans la boite?

meyrand018 Abonné

Le 10/09/2024 à 12h16

tellement laconique que je me demande si c'est bien réglo de ne pas dire clairement ce qui est concerné par la fuite de données.
Un beau noyage de poissons.

ragoutoutou Abonné

Modifié le 10/09/2024 à 13h33

Il faut dire qu'en France on peut violer la RGPD autant qu'on veut, du coup pas besoin de mettre les formes réglementaires comme stipulées à l'article 34 du RGPD comme indiquer le risque probable, le nom du DPO, les mesures prises...

En plus, sur twitter, il y a une personne se plaignant de phishing utilisant des données datant d'hier... ce qui indiquerait, si avéré, que Bolanger n'a PAS corrigé le tir et que sa communication est mensongère ou que ses équipes sont complètement incompétentes.

Fbanzay Abonné

Le 10/09/2024 à 11h45

Au moins, Boulanger semble avoir changé les mots de passe des comptes ( pour ma part, j ai du faire un reset pour pouvoir me connecter).
Par contre, pas de reset demandé chez Cultura. Cela manque. Est-ce pour ne pas générer trop d'appel aux service clientèle ? Bizarre...

floh Abonné

Le 10/09/2024 à 11h52

C'est l'erp qui a été attaqué. En gros, certaines infos de ton compte pour faire la facturation, livraison et un peu de marketing (via l'historique des commandes). Généralement on ne stock pas les mots de passe des clients dans l'erp.
Mais ils utilisent peut-être un autre système pour le site web avec une simple API pour la connecter à l'erp. Dans ce cas, ton mot de passe n'a pas fuité. C'est leur clé d'API qu'ils ont surement du changer (ou changer d'erp).

wild Abonné

Le 10/09/2024 à 14h22

pas de mot de passe à changer chez moi, pour me connecter à Boulanger.

SebGF Abonné

Le 10/09/2024 à 17h32

Pareil, ni comm d'alerte de Boulanger, ni mot de passe à changer sur le compte client.

Je l'ai fait de ma propre initiative.

fdorin Abonné

Le 10/09/2024 à 11h49

Sans parler de fuite, je constate que les arnaqueurs en tout genre font preuve de plus en plus d'ingéniosité.

Dernièrement, par exemple, j'ai reçu pour ma boite une demande de devis. Je suis sur à 99% qu'il s'agit d'une usurpation d'un organisme publique situé à Courbevoie (92).

Voici le message :

Veuillez nous faire deux propositions de prix pour 20 pc portables - Intel Core Ultra 7 - 32 Go - 1 To SSD - Français Clavier -Écran (14") Windows 11 Pro .Notre société étant une administration publique , nous souhaitons avant toute initiative savoir , si vous acceptez le paiement par mandat administratif , mode de paiement auquel nous sommes contraints .

Prenant très à coeur la qualité de nos relations avec nos fournisseurs, nous nous efforçons de régler les factures dans les meilleurs délais.

Vous remerciant de votre confiance, je vous prie d'agréer, mes salutations distinguées.

Pourquoi c'est une arnaque ? Plusieurs choses :
- c'est une administration publique : ça passe donc par un appel d'offre, et je n'ai JAMAIS vu une administration faire elle-même la recherche de prestataire en envoyant directement des demandes de devis (et je ne sais même pas si c'est légal). Tout au plus, elle pourra dire à un partenaire habituel de se positionner sur l'appel d'offre s'il est intéressé
- je travaille à presque 500km de l'organisme publique (il n'y a pas des fournisseurs plus près, surtout en région parisienne ?)
- je travaille dans l'informatique, mais je ne suis pas fournisseur de matériel, seulement éditeur de logiciel
- pourquoi demander à un petit indépendant situé à 500 bornes au lieu d'une entreprise avec des salariés et dont c'est véritablement le métier ?
- mandat administratif (attention, je ne dis pas que le mandat administratif est une arnaque, mais ici, ça l'est) : grosso modo, celui qui envoi le matos, ne sera jamais payé.
- l'organisme en question existe depuis près de 10 ans. Le nom de domaine associé a été pris il y a un an seulement (c'est louche).

Je tais volontairement l'organisme en question, car comme il s'agit d'une usurpation pour moi, je ne voudrais pas faire de "mauvaise publicité" à cet organisme qui est aussi une victime finalement.

Ah oui, dernière chose : l'organisme en question est quasiment invisible sur le net. Donc très difficile de vérifier les numéros de téléphone / fax qui sont donné par exemple, où que la personne qui a envoyé le mail existe bien et travaille bien pour cet organisme. Impossible aussi de trouver un mail pour les contacter et les avertir de cette usurpation.

Breizhad Abonné

Le 10/09/2024 à 12h04

Pour avoir dû m'y soumettre en tant qu'acheteur malgré régulièrement des désavantages lié à la rigidité du truc, je confirme que si c'est un organisme public c'est appel d'offre (personne n'en fera un pour 2 PC) ou prestataire style UGAP.

fdorin Abonné

Modifié le 10/09/2024 à 12h37

Merci pour la confirmation. Tout ça pour dire qu'il faut être vigilant, et tout le temps.

bilbonsacquet Abonné

Modifié le 10/09/2024 à 18h17

Ça dépend des organismes publics, dans un epic, on peut faire des demandes de devis hors marchés et ugap, tout dépend du montant et des choses à commander, l’important étant d’avoir plusieurs devis comparatifs.

pelotio Abonné

Le 10/09/2024 à 11h50

Je n'ai pas reçu de mail d'information de la part de Divia. Pas de bol pour moi, j'ai créé un compte il y a 2 mois.
On va attendre de voir si j'ai plus d'infos.

Myifee

Le 10/09/2024 à 16h53

Pas de mail non plus pour Divia, les banques locales ont l'air d'avoir activé une "surveillance des comptes", mais je n'ai pas réussi à en savoir plus; si quelqu'un a plus d'info sur le sujet, je serais curieux de comprendre les tenants et aboutissants.

Thorgalix_21 Abonné

Le 11/09/2024 à 10h07

Ma compagne a reçu un mail. de mémoire, ils lui demande de modifier son mot de passe de compte client. Sauf qu'elle ne l'a jamais activé ce compte.

Je relirai le mail ce soir.

Benthol

Le 11/09/2024 à 10h45

J'en ai reçu un jeudi dernier, tu dois certainement être passé entre les mailles du filet.
Car postant sur Next, je ne te ferai pas l'affront de te suggérer de regarder dans tes SPAMS ;)

Jarodd Abonné

Le 10/09/2024 à 11h58

Je n'ai rien reçu de la part de Cultura. Bon ou mauvais signe ?

theoldscudo Abonné

Modifié le 10/09/2024 à 16h14

~~j'ai reçu ni Boulanger ni Cultura... pourtant compte~~
j'ai finalement reçu boulanger, en spam

noplugni Abonné

Le 10/09/2024 à 15h59

Reçu messages pour Cultura et Boulanger (le mot de passe était toujours valide, pour les deux). Le 14 août c'était DELL, ça n'arrête pas.

ForceRouge Abonné

Le 10/09/2024 à 17h03

Techniquement, il est utopiste de croire que tous les sites marchands sur lequels on commande n'auront jamais de fuite de donnée. Et il suffit d'une fois pour que nos data se retrouvent sur le net.

Perso, avec toutes les fuites récentes (récemment Boulanger et Cultura pour ma part), mes data persos ont déjà fuité de multiple fois.

Il va falloir se faire une raison, mais les données:
- nom
- prenom
- numéro de téléphone
- adresse postal
- adresse email

Ne sont plus des données privées.

L'avantage, c'est que ces data n'ont donc plus de valeur pour les hacker, vu qu'elles ont déjà été volées

eglyn Abonné

Le 10/09/2024 à 19h45

Oui, au final, elles ont tellement été volées qu'elles n’intéressent plus personne

aware2 Abonné

Le 10/09/2024 à 19h14

Je ne sais pas si le sujet a déjà été abordé, mais vu que ce genre d'événements à lieu (malheureusement...) presque tous les jours, quelles actions/sanctions sont envisageables par les pouvoirs publics ?

J'entends par là, si ces fuites de données sont dues à un défaut de sécurisation des sociétés de leurs SI, peuvent elles être sanctionnées ? (c'est peut-être déjà prévu ? le cas ? )

Si c'est lié à d'autres moyens d'intrusion (ingénierie sociale, etc), je ne dis pas que ce n'est pas grave, mais c'est différent.

Parce que s'il y a juste une petite tape dans le dos de la part de la Cnil du genre "faites attention", c'est pas terrible

rm Abonné

Le 10/09/2024 à 19h26

Est-ce qu’il y a des mesures contraignantes concernant les prestataires, car ce sont très souvent ceux-là qui sont ciblés ?
Par exemple le téléchargement des dizaines de milliers de données pourrait être soumis à autorisation. Puis ces données supprimées au bout d’un temps défini par exemple.
Enfin. Peut-être que ça existe déjà finalement mais je manque d’info là-dessus.

hypo Abonné

Le 10/09/2024 à 20h22

Je suis pour ma part curieux de savoir si les données des clients belges font partie de la fuite. Ce n'est pas parce qu'ils ont fermé leur 2 magasins que les comptes ont forcément été effacés.