S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Fuite de données chez Auchan, des centaines de milliers de clients concernés

Le 22 août 2025 à 07h59

Les clients concernés n’ont probablement pas fait « Waaoh » en ouvrant l’email : Auchan a en effet informé jeudi une partie de ses clients d’une fuite des données personnelles « associées à votre compte de fidélité ». L’enseigne du groupe Mulliez ne précise pas les causes de l’incident, mais indique avoir été « victime d’une cyberattaque ».

« Cette attaque a entraîné un accès non autorisé à certaines données personnelles associées à votre compte de fidélité : civilité, statut client professionnel, nom, prénom, adresses email et postale, numéro de téléphone, numéro de la carte fidélité. Vos données bancaires, mot de passe et code PIN ne sont pas concernés. »

Auchan affirme en suivant que toutes les mesures nécessaires ont été prises afin de circonscrire l’incident et que la CNIL a dûment été notifiée. L’enseigne adresse enfin à ses clients le traditionnel message de prudence, quant à l’utilisation frauduleuse qui pourrait être faite de ces informations personnelles.

« Nous regrettons sincèrement cette atteinte à la confidentialité de vos informations et nous vous invitons à rester attentif à votre cagnotte fidélité », conclut-elle. Auchan affirme à l’AFP que « quelques centaines de milliers » de clients sont concernés par cette attaque.

Le distributeur avait déjà été victime d’une attaque similaire en novembre dernier. À l’époque, il évoquait 500 000 clients touchés, sur un périmètre de données personnelles similaire.

Capture d’écran de l’email d’information envoyé par Auchan à ses clients le 21 août

Le 22 août 2025 à 07h59

Commentaires (27)

votre avatar
2 fois en moins d'un an, certains se poseraient des questions : Auchan est-il malchanceux, le SI est un gruyère ou certains ne sont pas formés à la cybersécurité et ouvre tous les PDF qu'ils trouvent ?
votre avatar
Ça me paraitrait normal qu'en telles situation, un audit soit organisé, et publié auprès des victimes.
Car là, le mail standard reflète un balec' total.
votre avatar
Si le code PIN n'est pas concerné, pourquoi ce conseil de faire attention à sa cagnotte de fidélité ?

Bon de toute façon, laisser cette cagnotte grossir sur une carte de fidélité c'est faire gratuitement de la trésorerie au groupe, donc perso j'évite.
votre avatar
Si tu veux t'offrir un truc un peu cher, il faut bien la laisser grossir un peu, c'est de la treso que tu n'auras pas a sortir le jour où tu voudras te faire un plaisir. Juste une question de point de vu, l'un dans l'autre tant que tu la consommes, la finalité est la même.

Parce qu'un code PIN ça se trouve facilement sinon... Combien de gens mettent une date de naissance et exposent ces dates sur les RS par exemple ?
votre avatar
Juste pour le fun : il y a un an ou 2, ma mère avait égaré son code fidélité chez Carrefour.
Accueil du magasin, contrôle de la carte d'identité, et la caissière qui demande à haute voix le plus naturellement du monde devant son écran : je mets quoi comme nouveau code ?

Elle a compris l'absurdité de la situation quand je lui ai demandé le clavier pour saisir moi-même le code. Mais ça veut dire que c'est leur process :D
votre avatar
Que tu dépenses ta cagnotte à chaque fois pour acheter à manger ou que tu laisses grossir cette cagnotte pour un achat conséquent, au final ça revient au même non ?
votre avatar
Oui, c'est exactement ce que j'ai dit, la finalité est la même.
votre avatar
Pour un groupe comme Auchan, l'analyse des achats via la carte de fidélité a bien plus de valeur que l'argent qui dort sur les cagnottes.
Le vrai truc qui pourrait embêter un tel groupe serait que personne ne prenne de carte de fidélité.
votre avatar
C'est toute la beauté des cartes de fidélité, faire croire que c'est un avantage exclusivement client, qui donne au passage une image positive de l'enseigne.
votre avatar
faire gratuitement de la trésorerie au groupe
Euh. Le coût du programme de fidélité est déjà pris en compte lors de la fixation du prix.
Ils ne perdent rien si ta "cagnotte" ne grossit pas.
Et le cadeau, tu leur as déjà fait en liant tes données personnelles à ta carte de fidélité, qui est ensuite croisée avec tes paiements, pour peu que tu utilises une carte bancaire.

Je suis hébété par les gens persuadés de pouvoir gagner contre une maison en évoluant au sein de celle-ci, avec des mécanismes pensés et fournis par celle-ci. :D
votre avatar
Quand je parlais de trésorerie : ils comptent une somme moyenne qui reste sur chaque carte, globalement, ça fait une très grosse somme, qui n'est pas à eux (ils devront la rembourser), mais qui est sur leurs comptes : de la trésorerie. Et ces grosses boites savent très bien faire fructifier l'argent de la trésorerie.
votre avatar
Il n'y a rien libéré ni même libérable, comme une provision pour risque le serait.

Cette monnaie virtuelle viendra juste abaisser la somme due au paiement en caisse.
Enlève-toi cette idée de trésorerie de la tête, et tu seras plus proches de la réalité. Si cela t'aide, appelle-les des "points" et non une "cagnotte", comme ça l'est (l'était ?) dans certains programmes de fidélité d'ailleurs.
votre avatar
Quand on pense que les Mulliez veulent rassembler toutes les données clients de toutes leurs enseignes (dont Auchan, Décathlon, Boulanger, Leroy Merlin) au sein d´une seule... Ça fait d´autant plus rêver.
votre avatar
C'est déjà fait : ça s'appelle Valiuz.
Régime de l'opt-out.
votre avatar
Et la CNIL qui les a "accompagnés" à dit amen, évidemment?
votre avatar
Auchan invoque l'intérêt légitime (+ opt-out) pour Valiuz. C'est un doigt d'honneur aux clients de ne pas utiliser le consentement. Mais comme personne ne conteste l'interprétation de l'intérêt légitime, Auchan aurait tord, de son point de vue, de s'emmerder avec un consentement client.

Dans le cas de cette mise en place, je ne vois pas pourquoi la CNIL les aurait "accompagnés", je ne pense pas que la constitution d'un tel fichier nécessite une déclaration CNIL (et encore moins une autorisation - il n'y a pas de données sensibles RGPD en jeu).
votre avatar
Next en avait parlé il y a quelque temps:

next.ink Next

Article de eWatchers:

https://ewatchers.org/article/la-cnil-a-aide-la-societe-valiuz-a-realiser-un-profilage-de-masse-des-francais-mais-refuse-de-l-assumer-46
votre avatar
Je n'avais pas la réf, merci :)
votre avatar
Et c'est déjà sur bonjourlafuite.eu.org. L'occasion de rappeler que le tuyau semble percé de partout.
votre avatar
Il n'y avait pas eu aussi une fuite chez Décathlon, non?
Cela sentirait les mêmes failles de sécurité dans les SI.
votre avatar
Les SI de toutes les entreprises du groupe Mulliez ne sont pas mutualisées à ma connaissance. Decathlon gère son SI de manière indépendant de celui de Auchan
votre avatar
Les SI ne sont pas mutualisés mais il y a des prestataires qui interviennent sur plusieurs des grandes enseignes du groupe, d'où l'intérêt de savoir par quel canal s'est faite l'attaque (on peut devancer certaines divulgations...)
votre avatar
Sans pouvoir rentrer dans le détail, la précédente fois n'a pas été causée (tel que j'en ai compris, difficile de tirer les vers du nez) via un 3rd party.

En ce qui concerne les synergies des entreprises de l'AFM, ça se passe via la SRS qui permet de se positionner comme intermédiaire pour les achats en GNFR.

Et je confirme que les SI des sociétés de l'AFM ne sont pas mutualisés. La famille ne se voit pas comme un groupe, toutes les entités sont autonomes et contractualisent individuellement.
votre avatar
Et dire qu'il suffirait que ces données NE SOIENT PAS OBLIGATOIRES À LA SAISIE pour qu'elles ne fuitent pas !

:censored::censored::censored:
votre avatar
Je me pose une question :
Si on peut chiffrer le mot de passe pourquoi les autres données sont elles encore en clair dans la base de données ?
Chiffrons tout. Comme ça plus de fuites!
votre avatar
Un mot de passe est hashé, pas chiffré. C'est irreversible et on compare le résultat du hash.

Les bases de données sont déjà chiffrées au moins at rest (sauf le cas des mega vieux nanars tournant sur des vieilles bases Oracle). Chiffrer la donnée dans les colonnes, ça risque de pas être top pour les perfs par contre. Et de toute façon, ça signifie qu'il faut utiliser une clé de chiffrement. Donc si l'appli est attaquée, ou que la fuite de données a lieu par rebond, la clé peut fuiter aussi.
votre avatar
On attend toujours de savoir en quoi consistent ces fameux "renforcements de protection des systèmes d'information" que toutes les entreprises attaquées annoncent mettre en place.

Fuite de données chez Auchan, des centaines de milliers de clients concernés