Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Chronopost confirme « un incident ayant conduit à un vol d’une partie des données personnelles »

Y'a pas marqué La Poste !

Chronopost confirme « un incident ayant conduit à un vol d’une partie des données personnelles »

Contacté par Next, Chronopost confirme une fuite de données personnelles, sans toutefois préciser le nombre de clients concernés. Les risques sont un peu toujours les mêmes en pareille situation, il faut donc redoubler de prudence.

Le 12 février à 18h03

Chronopost victime d’un « incident » le 29 janvier 2025

La nouvelle tourne sur les réseaux sociaux, avec des clients qui expliquent avoir reçu un e-mail de Chronopost suite à une cyberattaque et une fuite de données (ici par exemple). Coup de bluff d’un pirate en quête de notoriété ou vraie annonce ? Nous avons contacté la société qui nous confirme « avoir été victime le 29/01/2025 d’un incident ayant conduit à un vol d’une partie des données personnelles de certains de nos clients ».

La signature dans la nature, en plus d’autres données personnelles

La société ne précise pas les données dérobées, mais donne des détails dans le courrier envoyé aux clients : nom, prénom « et dans certains cas » le numéro de téléphone, l’adresse postale et « la signature telle qu’apposée sur nos preuves de livraisons ».

Ce dernier élément est « nouveau » dans la liste de données ayant fuité, mais il peut faire de gros dégâts si on le combine aux RIB pour « signer » de fausses autorisations de prélèvement par exemple… à condition que la signature soit un tant soit peu réaliste. Apposer une signature propre sur un petit écran tactile est souvent une gageure.

Pour Chronopost, l’incident est clos

Chronopost ajoute que « cet incident, qui n’est pas lié à un rançongiciel, a été maîtrisé dès sa prise de connaissance et est désormais clos ». L’entreprise nous affirme avoir notifié la CNIL « dans les délais impartis » et avertir les clients concernés. Une enquête a immédiatement été ouverte avec l’aide d’experts en cybersécurité. 

Comme toujours en pareille situation, Chronopost leur demande de « rester vigilants face à toute sollicitation suspecte pouvant conduire à l’utilisation de leurs données à des fins de spam ou de tentatives de phishing ».

De son côté, la société a « renforcé [ses] systèmes, notamment en améliorant la sécurité de l’application impactée et [sa] réponse face aux événements suspects ».

Le service presse de Chronopost n’a pas souhaité nous donner de précisions supplémentaires sur le nombre de clients concernés ni sur la liste précise des données dérobées.

Une fuite de plus dans un océan de cyberattaques

Bref, une fuite de plus à ajouter à la très longue liste des entreprises victimes de cyberattaques réussies ces derniers mois : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Point, un client de Mediboard, Direct Assurance, Norauto, des fédérations françaises de sport, E.Leclerc, Aides.org

Sans compter que parfois ce sont les internautes eux-mêmes qui partagent leurs propres données bancaires à la demande d’un influenceur.

Commentaires (13)

votre avatar
Comme toujours en pareille situation, Chronopost leur demande de « rester vigilants ... »
Magnifique. Ils portent la responsabilité sur l'individu, possible victime de leurs propres erreurs. Ils pourraient ajouter "vu que nous, nous ne le sommes pas" !
à condition que la signature soit un tant soit peu réaliste. Apposer une signature propre sur un petit écran tactile est souvent une gagure.
Une signature est faite pour prouver qu'on s'adresse à la bonne personne. Vu que le livreur n'a pas un original auquel se fier, il suffit de faire un trai, une croix, ou n'importe quel grigri. Vu qu'en cas de problème, cette trace n'a aucune valeur, autant ne pas donner cette donnée personnelle très sensible.
votre avatar
Tout à fait, team Grigri aussi :D
votre avatar
Si on pouvait enfin arrêter de donner quelconque valeur à une signature manuscrite !
votre avatar
J'aime beaucoup analyser l'écriture manuscrite et la signature des gens.
On en apprend beaucoup sur la personne.
votre avatar
Vu que le livreur n'a pas un original auquel se fier, il suffit de faire un trai, une croix, ou n'importe quel grigri. Vu qu'en cas de problème, cette trace n'a aucune valeur, autant ne pas donner cette donnée personnelle très sensible.
Je me demande surtout à quoi sert cette signature, vu que j'ai pas l'impression que le livreur vérifie quoi que ce soit (il ne la regarde même pas).
votre avatar
Les mecs sont nullissimes, chers, mais histoire de se démarquer des autres corniauds maintenant laissent carrément fuiter des signatures.

Changez rien Chronopost, changez rien...
votre avatar
Quand on voit la liste des entreprises victimes on se dit que bientôt ce sera plus simple de lister les entreprises qui n’ont pas été vidées de leurs données.

Par contre on parle souvent des données des clients mais qu’en est il des données stratégiques de l’entreprise ? On a beaucoup moins d’informations sur le sujet et elles pourraient tout aussi bien impacter violemment l’entreprise.
votre avatar
Plus confidentiel certes, mais on peut ajouter à la liste la plateforme Rolskanet (Fédération Française Roller & Skateboard).

Mail reçu le 11/02 et les données concernées sont : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone.

Ps : y a-t-il un moyen d'inclure plusieurs paragraphes en une seule citation dans les commentaires ?
votre avatar
Oui, on en parlait fin janvier quand un pirate avait obtenu des accés à plusieurs fédérations sportives lien.

La FFRS nous avait d’ailleurs répondu : « La Fédération Française de Roller et Skateboard nous confirme aussi avoir été victime d’une cyberattaque. Plus de 570 000 comptes sont concernés et une plainte a été déposée ».
:chinois:
votre avatar
J'étais passé à côté de l'article en effet et visiblement aussi du lien présent en fin de cet article, désolé.

En parallèle, ça me permet de réaliser que la FFRS a mis plus de 2 semaines pour prévenir ses licenciés, ça me parait long personnellement.
votre avatar
Signer avec sang sera bientôt une idée avancée pour authentifier.
Ah... mince on sait cloner les gens aujourd'hui...
votre avatar
Avant d'en arriver à s'ouvrir les veines pour s'authentifier/signer, je pense qu'il y a un plan intermédiaire qui se dessine avec France Identité.
Soit le téléphone avec l'appli, soit un lecteur de carte à puce/NFC pour lire la carte d'identité avec code perso, pas mal de services administratifs utilisent ce moyen dans d'autres pays européens.
votre avatar
...Et donc le vol de dispositif ou clonage de dispositif seront la norme.

Chronopost confirme « un incident ayant conduit à un vol d’une partie des données personnelles »

  • Chronopost victime d’un « incident » le 29 janvier 2025

  • La signature dans la nature, en plus d’autres données personnelles

  • Pour Chronopost, l’incident est clos

  • Une fuite de plus dans un océan de cyberattaques

Fermer