S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Alltricks piraté : de faux mails avec de vrais pièges envoyés aux clients

Allphishings

Alltricks piraté : de faux mails avec de vrais pièges envoyés aux clients

Illustration : Flock

Alltricks s’est fait pirater son système d’envoi d’e-mails, qui passe visiblement par Sendinblue (Brevo). Des clients ont reçu des tentatives de phishing. La société continue son enquête pour voir s’il y a eu exfiltration de données.

Le 12 août 2025 à 10h55

La saison des fuites de données est au beau fixe, au grand dam de vos données personnelles et bancaires, avec des risques de phishing. C’est au tour de la boutique en ligne spécialisée dans le cyclisme d’en faire les frais, comme vous avez été plusieurs à nous le signaler (merci à vous !).

Certains ont, en effet, reçu un email de phishing provenant de la boutique en ligne, parfois sur alias utilisé uniquement pour cette enseigne, ce qui ne laisse que peu de doute quant à la provenance de « l’incident de cybersécurité » pour reprendre un terme à la mode.

Le système d’envoi d’e-mails piratés pour envoyer du phishing

L’email piégé affiche en gros un lien « Open in OneDrive », sur lequel il ne faut évidemment pas cliquer. Le lien semble légitime puisqu’il est de la forme « https://r.sb3.alltricks.com/xxxx ». Il reprend donc bien le domaine d’Alltricks, avec un sous domaine « r.sb3 ». Mais ce lien n’est qu’une redirection vers une autre adresse. Le domaine r.sb3.alltricks.com renvoie vers Sendinblue, une plateforme de gestion des newsletters.

C’est une pratique courante avec ce genre de service : les liens sont modifiés afin de pouvoir récupérer des statistiques sur le taux d’ouverture par exemple. Problème, impossible de savoir où mène ce lien juste en le regardant. Plus embêtant dans le cas présent, son domaine principal pourrait laisser penser que c’est un lien légitime, alors que non !

Hier, le revendeur a communiqué auprès de ses clients : « Nous souhaitons vous informer qu’une intrusion récente a affecté notre système d’envoi d’e-mails. Il est possible que vous ayez reçu, au cours des derniers jours, un message provenant d’adresses telles que : pro@alltricks.com, infos@alltricks.com
ou no-reply@alltricks.com ». La société ne donne pas plus de détails sur la méthode utilisée par les pirates.

Suivant les cas, « ces e-mails pouvaient contenir un lien vous invitant à : renouveler votre mot de passe, ouvrir un fichier Excel, consulter un document OneDrive ». Le revendeur ajoute qu’ils « ne proviennent pas de [son] équipe et ne doivent pas être ouverts ». Dans le cas contraire, il recommande « de modifier rapidement le mot de passe associé à votre compte e-mail ».

Pas de données bancaires… quid des données personnelles ?

Alltricks affirme « qu’aucune données bancaires et/ou de paiement ne sont concernées ». Comme toujours ou presque en pareille situation, l’enseigne affirme : « la sécurité de vos données est notre priorité. Nous avons immédiatement mis en place des mesures pour sécuriser notre système et éviter que cette situation ne se reproduise ».

Un lecteur nous précise avoir contacté le service client et obtenu une réponse précisant qu’une enquête était en cours afin de vérifier si des données avaient été exfiltrées. Dans sa réponse que nous avons consultée, la société affirme aussi qu’elle va se rapprocher de la CNIL afin de déclarer cet incident, comme la loi l’y oblige.

L’entreprise ne communique par contre pas de manière publique, que ce soit sur son site ou les réseaux sociaux. Pourtant, des clients en parlent sous une publication Facebook, l’un d’entre eux s’étonne d’ailleurs d’avoir reçu cet email de phishing.

Commentaires (20)

votre avatar
Je leur ai envoyé une alerte dimanche soir.

Ils m´ont répondu le lendemain en fin de matinée. Et l´email de communication est parti le soir.

En données personnelles, y a au moins le nom et le prénom.

Pour l´instant leur gestion de l´incident me semble plus sérieuse que la moyenne (oui Slip Français, je ne t´ai pas oublié. Non tu n´as pas di tout la moyenne, loin de là).
votre avatar
Et pareil que d´autres camarades Nextiens, compte sous alias.

C´est ultra pratique pour savoir d´où viennent les embrouilles.

Je ne fais plus que ça, à chaque création de compte.
votre avatar
J'ai aussi eu le phishing et le message d'Alltricks (sur un email alias également).

Le fuite concerne également (logiquement) l'adresse électronique. Il y a peut-être également l'historique des emails transactionnel avec les infos de commandes / livraison…

À noter qu'avec le RGPD, le suivi des clics / ouverture dans les emails est interdit par défaut.

J'espère que le mot de passe sur sendinblue n'était pas du type alltricks2024…

Ce n'est pas la 1re fois qu'ils font de la daube avec leur plateforme d'emailing, j'avais déjà eu un email venant de "alltricks.de" alors que je ne suis client que de la version française.
votre avatar
En effet, concerné aussi, avec alias unique. Je tente depuis hier de changer de mail sur mon compte. Le lien de demande de confirmation de changement que je reçois ne fonctionne pas, je ne peux donc pas changer le mail :cartonrouge:
votre avatar
C'est pour empêcher que ton autre adresse fuite : pas de possibilité de changement, pas de nouvelle fuite.

Ce n'est pas un bug, mais une fonctionnalité 😅
votre avatar
Pareil pour le changement de mail. Ca va se terminer en suppression de l'alias et création d'un nouveau compte quand le besoin s'en fera ressentir.
votre avatar
Moi, je ne reçois même pas le mail.
votre avatar
Quand vous dites "alias unique", vous utilisez des faux noms et prénoms dans le compte, pour l'adresse de livraison aussi ?
votre avatar
Non, il s'agit d'un alias mail (adresse mail différente pour chaque compte créé) qui arrive au final à la même adresse mail qui elle ne devrait être jamais divulguée.
votre avatar
Y a un truc que je comprend pas :
Ok ils ont piraté le système d'envoi de mail.
Mais pour avoir aussi un sous domaine (même si ensuite redirigé), ils ont aussi eu leur gestion de domaine piraté ?
votre avatar
Non, juste l'accès à l'admin brevo suffit car c'était déjà configuré pour envoyer au nom d'alltricks (via un cname pointant vers Sendinblue)
votre avatar
J'ai toujours pas compris mdr.
Que l'emailing passe par Sendinblue, avec redirection "alltrick.com" en fonction du protocol ok.
Mais dans le mail le lien vers le document hébergé sur le cloud, lui n'est pas sur un protocol mail ? Il ont bien mis en place un sous-domaine qui repond sur autre chose que du protocole/port mail ?
votre avatar
En fait, tu devrais te renseigner sur comment fonctionnent de telles plateformes ;)

Pour faire le tracking dans les emails, il y a un "site internet" qui répond côté sendinblue. Ça permet également de générer les versions "voir en ligne" personnalisées pour chaque email…

Bref, ce n'est pas "que" de l'email, loin de là.
votre avatar
Quand tu fait appel à une plateforme comme brevo, tu commence par permettre à cette plateforme à transmettre du courrier au nom d'un domaine ou d'un sous-domaine à l'aide d'un en registrement SPF idoine. Une bonne pratique étant de mettre un spf none pour tous les sous-domaines qui ne doivent pas servir à envoyer des mails.

En suite, tu ajoute dans le domaine ou le sous domaine la clef dkim fournie par la plateforme pour autentifier ses mails. Ainsi, la plateforme peut envoyer des mails légitimes en ton nom sans passer par tes serveurs mails.

Si tu es chez O2switch, tu seras bridé à des clef dkim de 1024 bits car ils sont technologiquement à la ramasse.

L'avantage d'une plateforme d'envois est le dépassement des 200 mails quotidiens et la conformité avec le RGPD avec la présence automatique d'un lien de désinscription. Cela évite beaucoup de problèmes.
votre avatar
Concernant le RGPD, je suis moins affirmatif que toi, la preuve ici, tu ajoutes une faille de plus.

Il est possible d’héberger soi-même un tel outil (ex : phplist), cela demande du boulot et d’avoir des IPs « propre », mais rien d’insurmontable.
votre avatar
La conformité RGPD dont je parlais est liée au fait que ces outils intègrent systématiquement un lien de désabonnement qui met de côté les adresses en questions automatiquement. Il y a aussi la sortie des listes de toutes les adresses en erreur.

Rien que pour le travail qu'ils sont capables de faire pour se faire retirer des listes noires, c'est un incontournable car cela nécessite bien plus que des connaissances techniques.

Dans le cas d'une société ou d'une association dont le cœur de métier n'est pas technique, il est ainsi quasi impossible de se passer de ce type d'outil.

Concernant le pistage, c'est l'envoyeur qui décide ou non d'intégrer les pixels permettant de savoir si les courriels ont été lus. On peut très bien faire des publipostages éthiques en enlevant ces options.
votre avatar
Je n'ai rien reçu. Compte créé il y a ~3 semaines, j'espère que le piratage date d'avant :stress:
votre avatar
L'email de phishing est parti la semaine dernière hier, donc il y a de grandes chances que tu sois concerné. N'hésite pas à les contacter.

EDIT : le message date d'hier matin.
votre avatar
RCZ bike shop a eu le même problème en début d'année. Le mail de phishing était bien foutu : c'était un avis de remboursement pour une commande passée, qui réclamait les coordonnées bancaires. Contrairement a Alltricks, ils n'ont jamais répondu aux mails de signalement.
votre avatar
Terrevivante (scop Éditeur de journaux bio/permaculture avec boutique en ligne) aussi. Le mail de phishing était mal fait mais ils ont envoyés rapidement une information le 5 aout, par contre aucune information sur un possible vol de donnée.