S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Au tour de Mondial Relay d’être piraté, avec une fuite de données personnelles des clients

Alors que la Poste s‘est tout juste remise d’une cyberattaque de type DDoS qui a paralysé ses services pendant plusieurs jours (mais sans fuite de données des clients), Mondial Relay expliquait ce week-end à l’AFP avoir détecté « des accès non autorisés à sa plateforme ». L’entreprise ne donne pas de détails sur l’origine précise de la fuite ni son ampleur.

« Sur la plateforme, dédiée au suivi des colis et au support client, se trouvaient le nom, prénom, adresse e-mail et postale et numéro de téléphone des clients. Aucune donnée bancaire ou de paiement n’était accessible », expliquent nos confrères de l’AFP, via Sud Ouest. Les clients de l’entreprise « potentiellement exposés » sont contactés.

Mondial Relay affirme avoir informé la CNIL, comme la loi l’y oblige. Elle a également fait part de son intention de déposer plainte.

Les risques en pareilles situations sont un peu toujours les mêmes : du phishing personnalisé, d’autant plus en cette période de fête où les livraisons de colis sont en forte augmentation. Redoublez donc de prudence en cas de correspondance venant de Mondial Relay.

Commentaires (36)

votre avatar
Comment se fait il qu'à chaque fois ou presque, les données de paiement ne soient pas concernées ? Ne pourraient ils pas stocker les autres données de façon aussi sécurisé que les données de paiement, ou est-ce moi qui n'est rien compris et qu'en fait les pirates ne sont pas intéressés par les données de paiement ?

Et si les données de paiement sont hébergées ailleurs ne vaudrait il pas mieux qu'il en soit de même pour les autres puisqu' apparemment, les mesures de cyber sécurité de toutes ces boîtes qui se font pawn sont juste aux fraises...

N'y a-t-il pas un minimum de sécurité exigible par nous, ou rêvons, le législateur, quant à la sécurité du stockage de nos données ?

Parce que là, "ça fait beaucoup quand même"...
votre avatar
raisons : phishing en projet ou simple incompétence.
Mais quand même, MR n'a pas besoin de connaitre votre adresse (point de dépot ou de retrait), MR n'a pas besoin de connaitre votre num de tel, enfin pour le mail qu'ils ont besoin de connaitre, y-a mozmail ou des solutions équivalentes.
Et les fournisseurs qui refusent le mail provisoire, bin… ils vont se faire foutre… mais faut leur dire :glasses:
votre avatar
Oui c'est ça, c'est aux clients de faire acte de prévention en ne fournissant que le minimum dont des alias. Sauf que ce n'est évidemment pas le plus courant, et même si ce serait souhaitable, ce n'est pas non plus au client d'avoir des mesures pro-active de cyber sécurité (qui plus est, payantes) concernant ses données lorsqu'il utilise un service. Alors oui le numéro de téléphone pourrait ne pas être requis, seulement facultatif, mais bon, ce n'est pas non plus tout le monde amqui a des notifications pour ses mails, moi le premier.
votre avatar
J'ai eu un déboire avec Mondial Relay. J'avais fait une commande et choisi de récupérer dans des casiers (excellent pour faire cela à 23h!!). Sauf que le site e-commerce n'avait pas exigé une information (mon numéro de téléphone de mémoire)). Dans une logique de minimisation de données, je ne l'avais donc pas renseigné. C'était la première fois que j'utilisais les casiers.
Impossible de récupérer mon colis, Mondial Relay ne m'a pas contacté car il leur manquait une information et à rejeter l'erreur sur le site de e-commerce.
J'ai fini par récupérer mon colis mais cela fut une gageure pour ce que je considère une erreur d'architecture informatique.

La tentation devient forte pour les prestataires de demander un maximum de donné pour couvrir tous les cas possible. Une solution de demandes d'informations en fonctions de conditions est théoriquement possible mais plus facilement sujet à des bugs, je suppose.
votre avatar
Les données de paiement (les informations de la carte bancaire) ne sont stockées nulle part car elles sont uniquement utilisées le temps de générer une transaction, et seule la transaction est éventuellement stockée. (sauf si le site permet de mémoriser la carte pour les futures achats, genre fnac, amazon, ...)
votre avatar
dans ce cas les données de CB sont généralement stockées au niveau du processeur de paiement (fourni soit par la banque, soit par un établissement spécialisé genre Stripe, Payzen et consorts), dont les protections sont - en principe ! - autrement plus solides
votre avatar
Bref, c'est juste une communication pour rassurer.

Edit : je me demandais tout de même s'il n'y aurait pas des IBAN, plus standard pour le B2B.
Les CGV ne le mentionnent pas, mais je pense que ce genre de contrat est spécifique type client en compte. Dans le cas du service plus ponctuel, réduit, Mondial Relay ne stocke a priori pas d'info de paiement puisque tout est via un prestataire.
votre avatar
Il n'y a aucun intérêt à stocker les données CB à partir du moment où la transaction a été réalisée avec la banque. Le numéro de transaction devrait être suffisant pour identifier tous les éléments.
votre avatar
Au delà du fait que ca coûte très cher. Chaque site web ou service que t'utilises ne l'implémentera pas. Donc au premier hack du site le moins secure, et c'est fini...

Franchement, je pense que la quasi totalité des français a déjà été impliqué dans au moins un leak. Donc à quoi bon se battre... tout est déjà dans la nature.
votre avatar
Pour avoir le droit de stocker des données bancaires, il faut appliquer le standard PCI DSS en.wikipedia.org Wikipedia

Le RGPD est bien plus souple (il s’enquiert peu du niveau de protection des données).
votre avatar
Parceque les entités qui se font pirater ne sont souvent pas directement les entreprises "finales" mais des tiers genre le SAV, l'entreprise de livraison, le prestataire qui gère le logiciel de SAV etc. A ces intermédiaires on ne donne pas les infos genre carte bleue ou mot de passe.
votre avatar
Une question : ici, "client" désigne qui exactement ? L'expéditeur, qui choisi de faire appel au service de Mondial Relais ? Le destinataire (qui lui, se contente généralement de choisir le relai dans lequel le produit sera livré, mais pas l'usage de Mondial Relay) ?
votre avatar
Bonne question, pour le moment, aucune info reçue alors que j’ai un compte chez eux…
votre avatar
est-ce que Mondial Relay enregistre des données personnelles des personnes qui retirent des colis sans avoir ouvert de compte chez Mondial Relay ?
votre avatar
Si j'en crois la politique de gestion des données, elle défini "client" comme étant les expéditeurs ou les sites utilisant Mondial Relay comme transporteur (comme Leboncoin).

Cela dit, leur document me semble non conforme, car il n'indique jamais la durée de conservation de manière explicite. Ils disent juste "on les garde le temps de les garder".
votre avatar
Indiquer la durée n'est pas obligatoire dans le RGPD (articles 13 et 14) :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
On est d'accord que
La durée de conservation diffère selon les services concernés. Mondial Relay conserve vos données personnelles pour une durée limitée à raison des besoins que justifie la finalité de leur traitement, afin de limiter cette conservation au strict nécessaire.
est un peu facile et qu'il faut les croire sur parole.

Néanmoins, leur page est plutôt bien faite et complète. Il était probablement difficile d'ajouter des durées de conservation, même dans leurs tableaux, certaines données pouvant être conservées pour des durées différentes suivant la finalité.

Quant au terme client, c'est l'AFP/Sud Ouest qui l'a utilisé. Je pense que le terme est ici impropre parce qu'il doit concerner les expéditeurs (possiblement) et les destinataires tels que décrits dans le premier paragraphe de leur page.
votre avatar
Indiquer la durée n'est pas obligatoire dans le RGPD (articles 13 et 14) :
Merci, je ne me souvenais plus de cette subtilité :)
votre avatar
Quand je pense que je me fais engueuler au relais colis quand on voit sur l'étiquette que je n'ai pas indiqué mon numéro de téléphone !
« Aucune donnée bancaire ou de paiement n’était accessible »
Précision totalement inutile, destinée à minimiser l'impact de la fuite. Pourquoi un livreur devrait avoir les données bancaires ? Vous donnez votre numéro de CB à la poste quand vous envoyez un courrier ? :keskidit:

Sinon j'aimerais bien que les entreprises victimes d'une fuite indiquent la période. Quelle est la finalité de conserver ces données pendant longtemps ? S'il n'y a pas de litige ouvert dans les jours qui suivent la livraison, toutes les données devraient être supprimées.
Elle a également fait part de son intention de déposer plainte.
J'espère que c'est contre sa propre direction qui a probablement sous-investi sur la sécurité des données et fait n'importe quoi au niveau de leur protection ?
votre avatar
Je viens d’essayer de me connecter sur mon compte mondial relais et ça me demande maintenant obligatoirement renseigner mon numéro de téléphone, je n’ai accès à rien sinon.
votre avatar
C'est peut-être nécessaire si tu es expéditeur, mais on n'a pas besoin de compte pour consulter un suivi d'expédition.
votre avatar
J’ai déjà fait un envoi via ce compte et je n’avais visiblement pas renseigné le numéro de tel, donc ça n’était pas nécessaire jusqu’à relativement récemment.
votre avatar
Faut bien collecter les données avant de les libérer :-D
votre avatar
Pourquoi un livreur devrait avoir les données bancaires ?
Pour le payer lorsqu'on fait appel à ses services. Le destinataire le paye de manière indirecte via son achat en ligne, mais l'expéditeur paye directement Mondial Relay pour la prestation.
votre avatar
Moi c'est Chronopost qui me les brise avec leur code à la con. Une fois sur 2 je le reçois par e-mail mais souvent juste avant qu'il arrive ce qu'il ne me laisse pas le temps de le voir à l'avance et le livreur perd du temps. Une fois sur 2 je le reçois pas, et le livreur râle tout ce qu'il peut parce que je l'ai pas, en prétextant que je n'ai pas donné mon numéro de téléphone, alors que ça m'est aussi arrivé de ne pas le recevoir même en ayant donné mon numéro et qu'on peut très bien recevoir par e-mail. Une fois le gars n'a pas même voulu me donner le colis alors qu'il s'est tapé 20 bornes pour venir jusqu'à chez moi et que je suis seul à habiter ici.

Y a qu'eux qui font ça, leur process est foireux et ils veulent quand-même qu'on se plie en 4 pour eux. Perso je les évite dès que possible, mais le plus souvent je ne sais même pas que c'est eux qui livrent.
votre avatar
C'est vrai, entre "colis pris en charge" et "colis livré" il n'y a aucune étape.
Mais j'ai ce pb avec la plupart des sociétés, pas que Chronopost. La livraion de colis, c'est un secteurs où public et privé sont à la ramasse dans tous les cas.
votre avatar
Allez, encore 2 jours avant la fin de 2025. Qui sera le dernier de l'année ? Les candidats sont dans les starting blocks !
votre avatar
Cette année, plusieurs sociétés que j’utilise se sont fait pirater et mes données ont fuitées depuis plusieurs endroits.

Il existe des associations françaises qui font des actions de groupe en justice ?

Si c’est le cas, j’aimerais faire partie de ces actions de groupe.
votre avatar
Voir du côté de PURR (Pour Un RGPD Respecté). Ils font pas mal d'actions en cas de violation du RGPD. Mais ce n'est pas en justice, c'est auprès de la CNIL seulement.
votre avatar
Je confirme, j'ai reçu un mail de phishing (détecté comme spam par Protonmail) le 25 décembre, qui disait qu'il n'avaient pas pu me livrer un colis le 24. Ce qui est couillon, le principe de Mondial Relay, c'est d'aller au relais récupérer son colis, ils ne font pas de livraison à ta porte. Le mail était adressé à mon alias mail qui avait été compris il y a un bail quand LDLC s'était fait trouer. Il contenait une de mes ancienne adresse postale d'il y a 3 ans. Je n'ai jamais créé de "compte" Mondial Relay, mais j'ai déjà utilisé leurs services.

En lisant la news, je regrette un peu d'avoir supprimé ça, ça aurait peut-être permis à certains de voir à quoi s'attendre. Il y avait un bouton pour "reprogrammer la livraison" ou quelque chose comme ça. Il y avait un n° de suivi qui était invalide (trop de caractères). Le mail émanait à 1e vue de mondialrelay.fr. Le mail était très propre et crédible, pas de mise en page foireuse, les liens en bas de page étaient présents, etc.
votre avatar
Idem pour moi, mais l'adresse mail de l'expéditeur n'avait aucun rapport donc facile à identifier. Mais c'est vrai que la présence de l'adresse postale peut tromper du monde.
votre avatar
J'ai reçu ce genre de spam bien avant l'annonce de la fuite, sachant d'ailleurs que je n'ai pas de compte Mondial Relay.
Donc je pense qu'il n'y a pas de lien.
votre avatar
Dans d'autres pays, Mondial Relay livre à domicile. Ca reste cependant idiot de ne pas prendre le pays en compte, même s'il y aura toujours des gens qui ne savent pas que ce n'est pas le cas en France.
votre avatar
Je n'ai pas reçu de mail de mondial relay m'informant qu'il y a eu un vol de données personnelles, j'ai un compte que j'utilise régulièrement chez eux. La moindre des choses c'est d'informer tous ses clients.

Il n'y a pas un service pour faire avoir de numéros de téléphone portable jetable ?
votre avatar
La moindre des choses c'est d'informer tous ses clients.
Toutes les personnes concernées.

Les clients sont ceux qui payent directement Mondial Relay.

On va dire que tu n'es pas concerné par la fuite si les données volées sont gardées peu de temps (le temps d'envoyer le colis et de traiter d'éventuelles réclamations). Ça devrait être le cas s'ils font bien ce qu'il disent.
Ça peut aussi être qu'ils n'ont pas encore pu prévenir tout le monde.
En cas de doute, contacte-les pour savoir si tu es concerné.
votre avatar
J'ai bien marqué que j'ai un compte chez Mondial Relay et que je paie directement Mondial Relay lorsque je fais de envois
votre avatar
Tu n'avais pas indiqué que tu payais. J'avais bien vu que tu avais un compte.

Le système compromis est celui qui gère les livraisons et le service client (associé). Tes données ne sont peut-être pas compromises. Il n'y a qu'eux qui peuvent te le dire.