Mise à jour du 10 septembre à 16h30 : Cultura nous précise que la fuite concerne 1,5 million de clients. L’actualité a été mise à jour.
Actualité originale du 10 septembre à 10h56 : En l’espace de quelques jours, plusieurs enseignes annoncent avoir été victime d’une cyberattaque. Nous avons pour le moment Boulanger, Cultura et DiviaMobilités (transports à Dijon). Les deux dernières expliquent qu’un prestataire était visé. D’autres pourraient donc suivre en fonction du partenaire externe, non identifié pour l’instant.
Alors que Boulanger communiquait hier sur une fuite de données sur des données de livraison de « quelques centaines de milliers de clients », c’est au tour de Cultura d’informer ses clients qu’elle a été victime d’une cyberattaque. Un lecteur nous a transféré le mail que lui a envoyé l'enseigne, merci.
La fuite de Cultura vient d’un prestataire externe
La société précise d’emblée que la fuite vient d’un « prestataire informatique externe » qui « été victime d’une intrusion malveillante dans sa base de données ». Cultura précise que cette cyberattaque « a ciblé plusieurs enseignes » ce vendredi 6 septembre, sans indiquer les noms ni si Boulanger est dans le lot.
Cultura n’est pas bavard sur les détails :
« Nos investigations indiquent que des données personnelles d’une partie de nos clients ont été touchées. Il s’agit des nom, prénom, identifiant client de Cultura, téléphone mobile, adresses mail et postales ainsi que l'information sur les produits achetés. Les données relatives aux mots de passe et aux données bancaires ne sont pas compromises ».
Bien évidemment, la faille « a été identifiée, et les mesures correctives ont été apportées ». Le nom du prestataire et les détails de la cyberattaque ne sont pas communiqués.
« 1,5 million de nos clients ont été touchées »
Contacté, Cultura nous précise que « 1,5 million de nos clients ont été touchées » et confirme au passage la liste des informations dans la nature : nom, prénom, identifiant client de Cultura, téléphone mobile, adresses mail et postales, ainsi que l’information sur les produits achetés.
L’enseigne nous précise aussi avoir « notifié cette violation à la CNIL et porté plainte au nom de [sa] société ». Enfin, Cultura « a décidé de contacter individuellement par mail ses clients concernés pour les informer de cet incident et leur donner un point de contact pour répondre à leurs questions ».
Le début d’une longue série ?
Il y a quelques jours, SaxX. annonçait la fuite de données chez Boulanger, avant que la société ne communique, mais le nombre de clients touchés n’était pas le même que celui annoncé par Boulanger.
L’expert en cybersécurité expliquait alors que le pirate, dont le profil date de ce mois d’août et n’était pas confirmé, vendait « aussi au passage les bases de données d'autres enseignes françaises comme : http://cultura.com, http://truffaut.com, http://dicia.fr ou encore l'assurance retraite… ».
DiviaMobilités aussi victime d’une fuite via un prestataire
Maintenant que Cultura rejoint officiellement la liste, on se demande si d’autres ne vont pas arriver via le prestataire qui travaille avec « plusieurs enseignes ». Cela pourrait être le cas de DiviaMobilités (Keolis Dijon Mobilité), comme le rapporte Le Bien Public.
L’entreprise a été victime d’une cyberattaque fin aout, également via un prestataire qui n’est pas nommé. Cette autre attaque fait partie de celles évoquées par SaxX quand il s'est fait l’écho des bases de données mises en vente par le pirate. Il parlait de Dicia dans son tweet initial, mais nous confirme que c’était une petite coquille et qu’il s’agissait bien de Divia.
« Les données identifiées à ce stade sont les nom, prénom, date de naissance, adresse postale, adresse e-mail, numéro de téléphone et IBAN », expliquent nos confrères. Nolwenn Leguillon, directrice communication de Keolis Dijon Mobilités, ajoute que « l’action malveillante » a été découverte le 4 septembre et que « les clients potentiellement concernés sont uniquement ceux qui disposent d’une carte DiviaMobilités ou d’un compte sur la e-boutique Divia ».
Bien évidemment, « des dispositions techniques complémentaires ont été prises pour renforcer la protection du système informatique de notre prestataire », ajoute la directrice.
Comme toujours, soyez prudents
Comme nous l’expliquons régulièrement, le risque est de voir des pirates tenter du phishing en se faisant passer pour une enseigne que vous connaissez à l’aide des données personnelles récupérées frauduleusement. Les pirates peuvent ensuite tenter de vous soutirer davantage d’information. Prudence donc.
Concernant le risque lié aux données bancaires et notamment à l’IBAN, nous avons déjà évoqué le sujet l’année dernière lors du piratage d’Adecco.
Commentaires (27)
#1
https://www.zataz.com/un-ransomware-sattaque-a-la-societe-octave/
https://www.octave.biz/clients/
Je ne vois pas Boulanger dans la liste. Donc ça ne devrait pas être le même cas.
A noter qu'une liste de client n'est pas très fiable car tous n'y figurent pas (mais les plus gros y seront surement) et que le client a pu partir mais qu'il est rarement enlevé de la liste.
#1.1
Ils parlent de tentative, ce qui laisse supposer qu'ils ne sont pas sûrs de ce qui s'est exactement passé (à moins que ce soit pour minimiser...).
#2
Chère cliente, cher client,
Dans la nuit du 6 au 7 septembre, Boulanger a été victime d’un acte de cybermalveillance sur une partie de nos informations clients.
Les données récupérées sont uniquement liées aux livraisons. Aucune donnée bancaire client n’est concernée.
D’ores et déjà, l’incident a été circonscrit. Nos sites web et les applications mobiles Boulanger fonctionnent normalement, en toute sécurité, avec une vigilance renforcée.
Nous vous assurons que la protection de vos données est notre priorité absolue.
Nous vous remercions pour votre compréhension et votre confiance.
Cordialement,
Les équipes Boulanger.
#2.1
#2.4
#2.2
Un beau noyage de poissons.
#2.3
En plus, sur twitter, il y a une personne se plaignant de phishing utilisant des données datant d'hier... ce qui indiquerait, si avéré, que Bolanger n'a PAS corrigé le tir et que sa communication est mensongère ou que ses équipes sont complètement incompétentes.
Historique des modifications :
Posté le 10/09/2024 à 13h32
Il faut dire qu'en France on peut violer la RGPD autant qu'on veut, du coup pas besoin de mettre les formes réglementaires comme stipulées à l'article 34 du RGPD comme indiquer le risque probable, le nom du DPO, les mesures prises...
En plus, sur twitter, il y a une personne se plaignant de phishing utilisant des données datant d'hier... ce qui indiquerait, si avéré, que Bolanger n'a PAS corrigé le tir et que sa communication est mensongère ou que ses équipes sont complètement incompétentes.
#3
Par contre, pas de reset demandé chez Cultura. Cela manque. Est-ce pour ne pas générer trop d'appel aux service clientèle ? Bizarre...
#3.1
Mais ils utilisent peut-être un autre système pour le site web avec une simple API pour la connecter à l'erp. Dans ce cas, ton mot de passe n'a pas fuité. C'est leur clé d'API qu'ils ont surement du changer (ou changer d'erp).
#3.2
#3.3
Je l'ai fait de ma propre initiative.
#4
Dernièrement, par exemple, j'ai reçu pour ma boite une demande de devis. Je suis sur à 99% qu'il s'agit d'une usurpation d'un organisme publique situé à Courbevoie (92).
Voici le message :
Pourquoi c'est une arnaque ? Plusieurs choses :
- c'est une administration publique : ça passe donc par un appel d'offre, et je n'ai JAMAIS vu une administration faire elle-même la recherche de prestataire en envoyant directement des demandes de devis (et je ne sais même pas si c'est légal). Tout au plus, elle pourra dire à un partenaire habituel de se positionner sur l'appel d'offre s'il est intéressé
- je travaille à presque 500km de l'organisme publique (il n'y a pas des fournisseurs plus près, surtout en région parisienne ?)
- je travaille dans l'informatique, mais je ne suis pas fournisseur de matériel, seulement éditeur de logiciel
- pourquoi demander à un petit indépendant situé à 500 bornes au lieu d'une entreprise avec des salariés et dont c'est véritablement le métier ?
- mandat administratif (attention, je ne dis pas que le mandat administratif est une arnaque, mais ici, ça l'est) : grosso modo, celui qui envoi le matos, ne sera jamais payé.
- l'organisme en question existe depuis près de 10 ans. Le nom de domaine associé a été pris il y a un an seulement (c'est louche).
Je tais volontairement l'organisme en question, car comme il s'agit d'une usurpation pour moi, je ne voudrais pas faire de "mauvaise publicité" à cet organisme qui est aussi une victime finalement.
Ah oui, dernière chose : l'organisme en question est quasiment invisible sur le net. Donc très difficile de vérifier les numéros de téléphone / fax qui sont donné par exemple, où que la personne qui a envoyé le mail existe bien et travaille bien pour cet organisme. Impossible aussi de trouver un mail pour les contacter et les avertir de cette usurpation.
#4.1
#4.2
Historique des modifications :
Posté le 10/09/2024 à 12h37
Merci pour la confirmation. Tout ça pour dire qu'il faut être vigilent, et tout le temps.
#4.3
Historique des modifications :
Posté le 10/09/2024 à 18h17
Ça dépend des organismes publics, dans un Épicerie, on peut faire des demandes de devis hors marchés et ugap, tout dépend du montant et des choses à commander, l’important étant d’avoir plusieurs devis comparatifs.
#5
On va attendre de voir si j'ai plus d'infos.
#5.1
#5.2
Je relirai le mail ce soir.
#5.3
Car postant sur Next, je ne te ferai pas l'affront de te suggérer de regarder dans tes SPAMS ;)
#6
#6.1
j'ai reçu ni Boulanger ni Cultura... pourtant comptej'ai finalement reçu boulanger, en spam
Historique des modifications :
Posté le 10/09/2024 à 13h45
j'ai reçu ni Boulanger ni Cultura... pourtant compte
#7
#8
Perso, avec toutes les fuites récentes (récemment Boulanger et Cultura pour ma part), mes data persos ont déjà fuité de multiple fois.
Il va falloir se faire une raison, mais les données:
- nom
- prenom
- numéro de téléphone
- adresse postal
- adresse email
Ne sont plus des données privées.
L'avantage, c'est que ces data n'ont donc plus de valeur pour les hacker, vu qu'elles ont déjà été volées
#8.1
#9
J'entends par là, si ces fuites de données sont dues à un défaut de sécurisation des sociétés de leurs SI, peuvent elles être sanctionnées ? (c'est peut-être déjà prévu ? le cas ? )
Si c'est lié à d'autres moyens d'intrusion (ingénierie sociale, etc), je ne dis pas que ce n'est pas grave, mais c'est différent.
Parce que s'il y a juste une petite tape dans le dos de la part de la Cnil du genre "faites attention", c'est pas terrible
#10
Par exemple le téléchargement des dizaines de milliers de données pourrait être soumis à autorisation. Puis ces données supprimées au bout d’un temps défini par exemple.
Enfin. Peut-être que ça existe déjà finalement mais je manque d’info là-dessus.
#11