Connexion
Abonnez-vous

Le Slip français se fait trouer : 1,5 million d’emails et des données de 696 144 clients dérobés ?

C'est la fête du slip ! (© Fred42)

Le Slip français se fait trouer : 1,5 million d’emails et des données de 696 144 clients dérobés ?

Ce matin, nous parlions de la fuite de données chez le Slip Français. Nous avons depuis de nouvelles informations, et notamment pu consulter un fichier de « démonstration » des données dérobées. La fuite concerne également des clients « désinscrits ». Contactée, et à défaut de nous apporter des précisions, l’entreprise nous explique que l’enquête « est en cours ». Elle s’engage néanmoins à « informer régulièrement » ses clients.

Le 17 avril à 16h07

Dans une communication à ses clients, Le Slip Français reconnait avoir été victime d’un « acte de malveillance informatique » : « le 15 avril dernier nous avons eu connaissance que certaines données personnelles de nos clients ont malheureusement été volées par des hackeurs ».

« Vous êtes désinscrits », mais concernés quand même par la fuite

Pour d’autres clients, un email différent est envoyé. Il précise au début que : « Vous êtes désinscrits de nos bases de données mais nous avons malheureusement été victimes d’un acte de malveillance informatique que nous avons notifié à la CNIL ce jour et dans ce cadre, conformément à la loi, nous nous devons d’informer les personnes susceptibles d’être affectées par cet acte malveillant. Tel est l’objet de la présente communication ».

Voici une copie des deux emails reçus par des clients (à gauche ceux qui sont « désinscrits », à droite les autres) :

Dans les commentaires de notre brief, plusieurs lecteurs nous indiquent avoir reçu l’email indiquant avoir été « désinscrits de nos bases de données ». Sur les réseaux sociaux, aussi, des clients font part de leur étonnement et se demandent pourquoi ils sont dans la fuite de données.

Quelques retours que nous avons eu. « J'ai été client chez eux en 2018 et n'ai plus eu aucun contact avec cette marque depuis. Or depuis l'année dernière ils m'arrosent d'emails. Je leur ai signalé en début d'années que six ans plus tard il n'était pas normal qu'ils aient encore mes données ».

« J'avais demandé à ce que mon compte soit supprimé il y a plusieurs années de cela. Apparemment lorsqu'ils ont effectué la migration de leur site (en 2023 de souvenir) cela a réactivé tout plein de comptes y compris les souscriptions aux newsletters », ajoute un autre.

« Effectivement comme client j’ai modifié mon adresse mail depuis mes premières commandes et je reçois leur mail concernant leur hack sur ces deux adresses alors qu’elle n’apparaît plus dans mon profil », indique un troisième.

Plus de 1,5 million de clients touchés ?

Sur un forum spécialisé dans la publication de données dérobées, un certain ShopifyGUY publiait samedi 13 avril un message annonçant avoir « mis en ligne la base de données » du Slip Français, « que vous pouvez télécharger ». La fuite avait d'ailleurs dans la foulée été relayée sur Twitter/X par plusieurs observateurs du dark web et des forums de vente de données volées. Deux jours avant que l’entreprise n’identifie la fuite et quatre jours avant la communication aux clients.

« Il y a 1 506 395 emails, dont 696 144 informations complètes sur les clients : adresses email, noms, numéros de téléphone, adresses physiques et achats », précise le message sur le forum. Le pirate propose également un « échantillon » avec des données sur pas moins de 611 clients.

Nous avons interrogé l’entreprise sur le nombre de clients impactés, mais elle n’a pas souhaité s'étendre (sa réponse est disponible en fin d’article).

Un sample de 611 clients accessibles en ligne

Si la publication sur le forum n’est plus disponible depuis hier, le fichier « démo » peut malheureusement encore être téléchargé à l’heure actuelle. Il comporte plusieurs informations, notamment les noms, adresses, emails et numéros de téléphone. On y retrouve aussi des variables comme « email_marketing_consent », « tax_exemptions », « orders_count », etc.

Voici un exemple pour une entrée, où nous avons rajouté des « xxx » pour ne pas dévoiler de données personnelles :

Confirmation de la véracité des infos sur… le site du Slip Français

L’entreprise propose un suivi de livraison sur son site, nous avons tenté de voir ce qu’il en était avec plusieurs entrées du fichier sample. Il suffit en effet de rentrer une adresse email et un code postal pour consulter les commandes du client. D’un clic, on a également accès au suivi détaillé du transporteur.

Voici deux exemples issus du fichier de démonstration :

La (très vague) réponse du Slip Français

Contacté par nos soins, Le Slip Français nous répond par l’intermédiaire de Guillaume Gibault, fondateur de l'entreprise : « Comme indiqué par email à nos clients hier, nous avons été victimes d’un acte de malveillance informatique comme malheureusement beaucoup d’autres organisations ces dernières semaines. Nous prenons le sujet très au sérieux, la sécurité des données de nos clients est notre priorité ».

Nous demandons des précisions sur le nombre de clients concernés et pourquoi certains désinscrits sont par ailleurs affectés. Le responsable botte en touche : « Le travail d’analyse de nos partenaires experts en cybersécurité est en cours et nous ne pouvons pas vous partager plus d'éléments à ce stade ».

Guillaume Gibault nous confirme simplement qu’un « dépôt de plainte pour accès frauduleux dans un système de traitement automatisé de données a été déposé et un signalement a été fait à la CNIL ». « Toutes nos équipes restent mobilisées pour apporter leur concours aux autorités judiciaires qui suivent cet acte frauduleux », ajoute-t-il.

Il s’engage enfin avec sa société à « informer régulièrement [leurs] clients de l’évolution de la situation ».

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Alors autant la mauvaise sécurisation de la BDD, bon, c'est pas les premiers... Mais rajouter à cela le fait que des personnes désinscrites étaient encore dans la bdd, ça risque de leur faire très mal...

Le RGPD va frapper très fort à mon avis :p
votre avatar
Ca ne m'étonne pas plus que ca en fait. Quand je vois les prestataires de logiciels de gestion en tous genres qui utilisent le même mot de passe pour tous leurs clients, le même compte Admin, les mêmes mots de passe de BDD, qui font transiter le tout en clair dans des échanges et qui te proposent encore des interfaces en FTP..

Quand tu leur fait la remarque, ca les fait sourire... Alors je ne comprends pas... Toutes les semaines on a des actus du genre, ca met en péril leur société, mais ils n'en n'ont rien à faire visiblement. Ah si il sont heureux de te montrer leur beau Antivirus :reflechis:

Pour le Slip, on doit avoir en face de nous une PME d'une centaine de salariés qui a négligé son changement de CRM/ERP en récupérant des données d'anciens clients, qui doit avoir un budget serré pour son SI, comme la plupart des PME, donc c'est pas forcément fait dans les règles de l'art... Par contre, niveau communication, je ne trouve pas que ce soit mauvais, ils donnent ce qu'on leur à dit qu'ils pouvaient dire et en fonction du peu d'information qu'ils doivent avoir.
votre avatar
J'espère pour eux qu'il ne va pas frapper au niveau du slip, parce que ça ferait effectivement très mal.

Note : Content que mon commentaire de ce matin ait été repris en sous-titre. :D
votre avatar
Je suis jaloux, ma proposition a pourtant eu autant de succès, et même avec un emoji qui rigolait beaucoup plus. :D

Vivement la prochaine fuite (de données) pour que je puisse prendre ma revanche. :devil:
votre avatar
On est sur un site francophone. :langue: et ton jeu de mot ne veut rien dire en anglais. :D
votre avatar
Site francophone qui s'appelle... Next :zero:

Sinon "data slipped out" ça a du sens en anglais justement, juste que le jeu de mot marche pas pour les anglophones (encore que Le Slip Français étant une marque, s'ils relayaient l'actu ils n'écriraient pas "The French Briefs", donc ça resterait compréhensible).

Mais je suis fair, le juge a décidé... Je l'aurai un jour, je l'aurai :plantage:
votre avatar
Et bien sur ce coup-là, t’as eu du :bocul: ou bien de la chatte ! (y'a pas une seule icône de chat ici?? pourtant avec Internet... :reflechis: )
:mdr2:

En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)

:incline: :yes: :smack:
.
votre avatar
Sur les précédentes attaques de ce type, ça a quand même sonné comme un OSEF total.

Toute la comm' est ciblée vers le "pirate" qui a extrait les informations.
Pour le coup les enquêtes semblent soignées, il y en a qui se font rattraper

Mais pas de suites (ou tout du moins pas publiques) sur pourquoi les informations apparemment superflues sont stockées, ou comment elles ont mal été protégées.

Dommage d'ailleurs, car certaines fuites doivent être très croustillantes.

Je regrette que la CNIL n'ai pas une fonction de BEA avec audits post accidents rendus publics.
votre avatar
En voyant l’article sur la page d’accueil j’ai tout de suite pensé à Sebastien comme auteur 😁
Pas besoin d'être devin : son nom et sa photo sont juste au dessus du titre de l'article. :langue:
votre avatar
Oui on voit les commandes sur le suivi en ligne, ils devraient dans le contexte le bloquer aux non identifiés. Même si c'est pas trop problématique dans le cadre de la gamme de LSF, on sait à peu près à quoi s'attendre.

Reste l'exception des broderies personnalisées, dont on voit un exemple dans l'article. En l’occurrence, un hacker pourrait exploiter un prénom demandé en broderie pour une attaque de type phishing SMS "stp c'est TRUC, c'est la galère aide moi je suis bloqué, envoie des sous". La capture ne semble toutefois pas préciser le texte qui a été demandé, mais je ne sais pas si ça a été masqué ou si ça n'est juste pas affiché.
votre avatar
Principalement du XXL ? Pour le devant ou le derrière ?

:francais:
votre avatar
Concernant la présence de personnes désinscrites, ce n'est pas forcément complètement déconnant, même si cela semble aller à l'encontre du RGPD.

Déjà, désinscrites ne signifie pas compte clôturé. On peut avoir un compte "actif" mais être désinscrit de toutes communications.

Ensuite, en tant qu'entreprise, le Slip Français se doit de conserver certains éléments, notamment tout ce qui à trait à la facturation pendant au moins 10 ans (c'est la loi). Que des informations comme les nom, prénom, adresse soient encore stockées n'est donc pas forcément étonnant. De même que le mail peut être utilisé pour répondre aux demandes d'accès aux données personnelles sans forcément avoir besoin de demander de pièces justificatives.

Donc même si certaines personnes n'ont pas eu de contact depuis 2018, si ces personnes avaient commandé sur le Slip Français, il est normal que le Slip Français ait encore des informations les concernant.

On peut bien sur s'interroger sur d'autres aspects, comme la minimisation des données, ou le fait que certains désinscrit se sont soudainement mis à recevoir de nouveau des sollicitations publicitaires, mais cela n'a rien à voir avec la fuite de données à proprement parler.
votre avatar
Pour les factures, si ce n'est pas de l'archivage probatoire (en PDF par exemple), c'est stocké dans les entêtes de facture, pas besoin du compte client pour ressortir ce type de documents. Heureusement d'ailleurs, car une modification du compte client entre 2 éditions modifierait la facture :non:

Mais je suis d'accord, ca ne me choque pas qu'un compte soit passé en inactif après 3 ans mais reste en BDD. Après en effet, reste la question de la minimisation, et dans les bonnes pratiques il faudrait faire des revues de comptes tous les ans (automatique ou pas).
votre avatar
Pour les factures, si ce n'est pas de l'archivage probatoire (en PDF par exemple), c'est stocké dans les entêtes de facture, pas besoin du compte client pour ressortir ce type de documents. Heureusement d'ailleurs, car une modification du compte client entre 2 éditions modifierait la facture :non:
On est d'accord ;) Mais pour répondre aux demandes d'accès imposées par le RGPD, c'est beaucoup plus simple pour l'entreprise de conserver le compte client que de ne conserver que les factures ;)
votre avatar
Les archives de facturation sont, comme leur nom l'indique, des archives qui, après un temps donné, n'ont rien à faire dans la base de données du site web.
Si ce n'est pas fait par réduction de coût, il ne faut pas s'étonner de se faire voler son unique base interne.
votre avatar
L'archivage ne suppose absolument pas une séparation des données dans des base de données différentes. L'archivage consiste à marquer des données qui ne sont plus utiles pour un objectif précis, afin d'en restreindre l'accès et l'utilisation. Mais absolument pas à retirer de la base des données pour les mettre dans une autre (même si cela reste une possibilité).

Classiquement, on distingue 3 états de la donnée :
- en base active : les données sont encore utiles pour l'objectif fixé (par exemple, l'état d'une commande)
- archivage temporaire : les données ne sont plus utiles pour l'objectif fixé (par exemple, la commande est livrée depuis 1 mois). Toutefois, les données peuvent devoir être conservé pour la gestion des litiges, répondre à des obligations légales, etc.
- archivage définitif : il s'agit de données qui ne répondent plus à des enjeux légaux, contentieux, ... mais qui conservent une valeur "stratégique" pour l'entreprise. Depuis le RGPD, la conservation définitif de données à caractère personnelle est généralement impossible (je ne connais aucun cas où cela serait justifié, mais cela doit bien pouvoir se trouver).

Ces 3 états se distinguent par une accessibilité décroissante, mais absolument pas par une séparation physique du stockage (même si, une fois encore, cette séparation peut être mise en oeuvre).
votre avatar
un coup de Sébastien Patoche ? Et de son légendaire tube bien entendu !
votre avatar
Le JSON montrant un problème d'encodage sur l'accent du prénom est l'exacte raison pour laquelle j'ai arrêté de le mettre sur le mien lors d'une saisie.
votre avatar
Ça permet d'être incognito en cas de fuite aussi !
votre avatar
Ah c'est pour ça que sur ma carte d'identité c'est marqué :

%C3%89DOUARD A%C3%87ENDI%C3%92
votre avatar
Pour ma part, j'avais un compte chez eux et fait une commande en 2021 ou 2022 (je ne sais plus trop).
Je n'ai pas reçu de mail de leur part pour cette fuite.
Et par curiosité, quand je tente de me connecté à mon compte, j'ai ce message qui s'affiche sur leur site :

*E-mail ou mot de passe incorrect.
Nous venons de changer de site.
Si votre dernière commande date d’avant le 16 Octobre 2023, CLIQUEZ ICI pour recréer votre compte et retrouver vos commandes.
Sinon, veuillez réinitialiser votre mot de passe en cliquant sur mot de passe oublié.*

Cela signifierait-ils que lors de la migration de leur site, ils auraient supprimé mon compte ? Car mon MDP semble bon vu qu'il est enregistré dans mon gestionnaire de MDP.
votre avatar
Oui je crois qu'ils n'ont pas repris les comptes à la migration.
J'ai recu pour ma part le mail s'adressant au client sans compte (j'imagine que j'ai effectué mes commandes sur le nouveau site sans compte, directement avec paypal ?!)
votre avatar
Les entreprises - françaises - et la cybersécurité, ça fait deux :keskidit:
votre avatar
C'est un mal plutôt commun de la plupart des entreprises, peu importe leur nationalité.
votre avatar
la sécurité des données de nos clients est notre priorité
Visiblement ça ne l'était pas il y a quelques jours ?

J'en peux plus de lire cette phrase creuse (ou sa jumelle sur la vie privée)... Ils ont merdé, ils assument, mais qu'ils arrêtent de nous prendre pour des glands !
votre avatar
Odalys à fait une communication a ses clients hier pour une fuite de donnée hier (17/04)... Il vaut franchement le détour dans le genre foutage de guele...
votre avatar
Pour rebondir sur la fin de l'article. Je suis patron d'une boite d'informatique de 25 personnes. Nous avons eu (avant-hier) un événement malencontreux. Notre prestataire d'infra a ... enlevé deux disques d'un de nos serveurs de prod. Oups... le technicien s'est trompé de serveur, c'était celui d'à côté...)
Bilan : tout un tas de clients HS. Panique chez nos clients, qui appellent pour savoir ce qu'il se passe.
Notre réponse est standard : "on sait, on s'en occupe, on revient vers vous plus tard pour expliquer". C'est normal, l'urgence, c'est de réparer. Après, on communique et on explique.
Donc, je pense qu'il ne faut pas en vouloir au slip français de limiter sa comm à des banalités.

[pour nous, en l'espèce, le pb a été résolu environ 3H plus tard, sans dommage, ouf]
votre avatar
Après le pro du slip, le prod du pot... Speedy à été victime d'une cyberattaque...

Le Slip français se fait trouer : 1,5 million d’emails et des données de 696 144 clients dérobés ?

  • « Vous êtes désinscrits », mais concernés quand même par la fuite

  • Plus de 1,5 million de clients touchés ?

  • Un sample de 611 clients accessibles en ligne

  • Confirmation de la véracité des infos sur… le site du Slip Français

  • La (très vague) réponse du Slip Français

Fermer