Relais Colis piraté : accès frauduleux, liste de 10 000 mails envoyée par mail aux clients
Quand le WTF rencontre le JPP
Que se passe-t-il chez Relais Colis ? La question mérite vraiment d’être posée, vu l’email reçu par certains clients. Il contient pas moins de… 10 000 adresses email d’autres personnes. Pendant ce temps, un pirate mettrait en vente un fichier avec 10 millions de données de Relais Colis.
Emailception : un email de Relais Colis, avec 10 000 adresses emails
VivaSentenza, lecteur de Next a reçu hier un email pour le moins étrange et inquiétant. Il fait en effet partie des destinataires à avoir reçu, dans le corps d'un email, une liste de 10 000 emails d’autres personnes (le contenu représente 10 000 @ et 240 315 caractères).
Le lecteur a ensuite reçu un second courrier quelques heures plus tard l’informant d’un « incident de sécurité informatique ». Il nous a fait suivre les deux emails au complet (exportation au format .eml) pour que nous les analysions.
Contacté, le service presse de Relais Colis nous confirme « avoir été alerté d’un accès frauduleux cette semaine à certaines données clients ».
Voici ce que nous apprennent les informations dans les métadonnées. L’email a été créé le 15 janvier à 12h02 (en UTC) et son sujet est « Information relative à la sécurité de vos données personnelles ». Il passe entre les mains du service de messagerie SimpleLogin (qui appartient à Proton) puis enfin dans la boite email du destinataire (Proton Mail).
Sur les réseaux sociaux, d’autres personnes ont visiblement reçu le même email (SaxX par exemple). Le destinataire n’est pas le même (l’heure diffère aussi un peu), mais la liste des emails dans le contenu du message semble être identique à chaque fois.
DKIM, DMARC et SPF : tout est ok !
Toutes les signatures DKIM, DMARC et SPF sont au vert. Les champs signés sont notamment From, Subject, To et Date.
Arc-Authentication-Results: i=1; mail.protonmail.ch;
dmarc=pass (p=quarantine dis=none) header.from=relaiscolis.com;
spf=pass smtp.mailfrom=eu-central-1.amazonses.com;
dkim=pass (1024-bit key) header.d=amazonses.com header.i=@amazonses.com […];
dkim=pass (1024-bit key) header.d=relaiscolis.com header.i=@relaiscolis.com […];Nous vérifions au passage les serveurs autorisés à envoyer des emails au nom du domaine relaiscolis.com (via le DNS). Allons directement à la partie importante : « include:amazonses.com ». Amazonses.com est bien autorisé à envoyer des emails pour le compte de Relaiscolis.com. Dans l’email reçu par le lecteur, DKIM confirme que relaiscolis.com a bien signé l’email.
Il est donc légitime, mais nous ne savons pas comment cela a pu se produire. Piratage du compte de gestion des envois d’emails de Relais Colis ? Fausse manip’ du stagiaire ? Bug technique ? Impossible à dire pour le moment.
Relais Colis informe d’un « incident de sécurité »
Quelques heures plus tard, à 20h18, le lecteur reçoit donc un autre email de Relais Colis, intitulé « Information – Incident de sécurité affectant certaines données de contact ». L’email qui reçoit le message est utilisé uniquement pour Le Bon Coin nous précise le lecteur, alors que la communication vient de Relais Colis, mais les deux sont partenaires pour l'expédition des colis.
« Nous souhaitions vous informer qu’un incident de sécurité informatique a récemment été porté à notre connaissance et a affecté l’un de nos prestataires techniques intervenant dans le cadre de nos activités. Bien que cet incident soit désormais contenu et résolu, il a pu entraîner une atteinte limitée à la confidentialité de certaines données à caractère personnel vous concernant ».
Dans le lot, nom, prénom, adresse e-mail et numéro de téléphone. « Aucune donnée bancaire, aucun mot de passe, ni aucune information de paiement ou donnée sensible ne sont concernés par cet incident », ajoute Relais Colis. La CNIL a été notifiée, comme la loi l’y oblige.
Pas un mot par contre sur le précédent email.
Relais Colis nous confirme « un accès frauduleux cette semaine »
Nous avons contacté le transporteur en leur expliquant la situation et notamment les 10 000 emails dans le message et la signature de l’email par relaiscolis.com. Son agence de presse nous répond que, « à l’issue des premières vérifications, Relais Colis confirme avoir été alerté d’un accès frauduleux cette semaine à certaines données clients ».
La suite de la réponse est du même acabit que le second email envoyé aux clients : « Les données concernées sont des données téléphoniques et postales. Aucune donnée bancaire, aucun mot de passe ni aucune information sensible liée à la sécurité n’ont été compromis ».
« Dès l’identification de l’incident, Relais Colis a engagé les actions nécessaires et a entamé les démarches réglementaires en cours, notamment auprès de la CNIL, conformément aux obligations en vigueur. Cet incident est bien entendu regrettable et fait l’objet d’un suivi attentif visant à renforcer les dispositifs de sécurité », ajoute le service presse.
Nous avons redemandé comment un email avec 10 000 adresses emails a été envoyé à des clients, sans réponse pour l’instant.
Une base de données « relaiscolis » en vente sur Breachforum
Cette semaine, un nouveau message sur Breachforum annonçait « la vente de la base de données "relaiscolis" » avec les nom, prénom, nom de l’entreprise, adresse, téléphone et email. Le fichier contiendrait près de 10 millions de données.
Une vingtaine de comptes sont donnés en exemples avec la publication. Nous avons comparé les e-mails aux 10 000 dans l’email envoyé au lecteur : aucun ne correspond, mais cela ne permet pas d’en conclure grand-chose pour le moment.
Commentaires (24)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 16/01/2026 à 17h34
Le 16/01/2026 à 17h45
Le 16/01/2026 à 19h06
Le 16/01/2026 à 19h13
Le 16/01/2026 à 17h59
Le 16/01/2026 à 19h05
Le 16/01/2026 à 19h36
Le 16/01/2026 à 18h14
Le 16/01/2026 à 18h17
Ca faisait longtemps ...
Le 16/01/2026 à 18h31
Le 16/01/2026 à 19h58
Le 16/01/2026 à 20h03
Le 16/01/2026 à 20h05
Je n'avais pas compris non plus avant que @SébastienGavois ne le précise en commentaire. Peut-être faudrait-il l'ajouter dans l'article, la copie d'écran étant plus difficile à comprendre.
Le 16/01/2026 à 20h14
Super tendu quand même cette situation pour relais colis !
Le 16/01/2026 à 21h15
(malgré le "emails" en trop 🤔, et "le contenu compte" serait plus appropriée, mais bon 😅)
Le 16/01/2026 à 23h41
Modifié le 17/01/2026 à 01h50
Le 17/01/2026 à 07h43
Ensuite je consulte le site sur mobile, je n’ai donc pas correctement vu l’image. Pour moi, voyant la liste des mails en haut, ça collait. Je n’ai donc pas spécialement cherché à zoomer mais j’aurai certainement dû le faire !
Le 16/01/2026 à 20h41
Modifié le 17/01/2026 à 08h58
Le 17/01/2026 à 12h01
(ou alors aux pirates 🤭)
Le 17/01/2026 à 12h02
free est déjà bien placé mais les compétiteurs redoublent d'efforts.
Franchement, il y a de quoi rembourser une partie de la dette de la Françe avec la quantité d'ammendes potentielles.
Le 17/01/2026 à 18h57
Le 19/01/2026 à 10h49
Je n'ai jamais été pris au sérieux, seules réponses: c'est une coïncidence, faites preuve de vigilence habitelle sur le net.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?