Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

[MàJ] Fuite chez Boulanger, sur des données de « quelques centaines de milliers de clients »

Mise à jour du 9 septembre à 17h53 :  
Contacté, Boulanger nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) » et que la fuite « concerne uniquement quelques centaines de milliers de clients ». Le brief a été mis à jour.

Le 09 septembre à 17h58

Article original du 9 septembre à 16h14 : C’est via un email des plus laconique (merci aux lecteurs qui nous l’ont fait suivre) que l’enseigne annonce à ses clients avoir « été victime d’un acte de cybermalveillance sur une partie de [ses] informations clients » dans la nuit du 6 au 7 septembre. « Les données récupérées sont uniquement liées aux livraisons. Aucune donnée bancaire client n’est concernée ».

L’incident est désormais terminé et la « vigilance renforcée ». Comme toujours en pareille situation, la société promet que la protection des données est sa priorité… mais elle ne donne aucun détail sur la manière dont les pirates ont récupéré les informations.

Et il est toujours facile de faire des promesses après coup, comme l'illustre l’exemple récent de la Scam qui promettait avoir mis en place des « efforts soutenus en matière de prévention et de protection »… mais continuait d’envoyer des mots de passe en clair, par email.

Pour en revenir à Boulanger, SaxX. avait déjà annoncé le 7 septembre au matin (soit deux jours avant la communication de la boutique) qu’un pirate avait mis en vente « une base de données comportant 27 561 592 lignes de #Boulanger », sans toutefois que l'authenticité du fichier ait été confirmée.

Contactée, Boulanger ne confirme pas ce chiffre de 27 millions et nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) et concerne uniquement quelques centaines de milliers de clients. Aucune donnée bancaire client n’est concernée. D’ores et déjà, l’incident a été circonscrit et l’ensemble de nos clients a été informé ».

Le pirate explique qu’il faut le contacter par Telegram pour avoir le prix de vente. « On retrouve entre autre comme information dans cette base de données : Nom, Prénom, Numéro Téléphone, Adresse postale complète, Coordonnées géographiques (latitude et longitude), Email… », affirme SaxX, qui précise par ailleurs que, selon le pirate, la fuite daterait « d'il y a quelques jours… probablement courant août 2024 ». Une proximité qui interroge, même si l'existence et le contenu de cette base de données n'ont pas été vérifiés, à plus forte raison quand Boulanger se borne à parler d’un incident sans préciser l’ampleur des dégâts et quelles sont les données exactement concernées.

Comme toujours, le risque pour les consommateurs est une tentative de phishing. Une personne malveillante peut tenter de se faire passer pour Boulanger en utilisant les données dérobées pour ensuite vous en soutirer d’autres. Prudence donc.

Le 09 septembre à 17h58

Commentaires (51)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
C'est vrai que leur mail n'indique pas grand chose.
Comme si uniquement le numéro de carte bancaire n'était pas touché.
votre avatar
J’ai également reçu le message de boulanger . Pour eux, visiblement seules les info bancaires sont importantes… alors que tout le reste peut très bien servir à du phishing, de l’usurpation d’identité (ouverture de compte bancaire).

Ça serait bien qu’ils se prennent une méga-prune ! (Cf les articles précédents concernant l’inaction de l’instance)
votre avatar
C'est toujours comme ça. Alors qu'une CB ça se change, mais ton mail, tes infos perso, c'est over... Et pourtant ça semble toujours moins grave 🙄
votre avatar
Mettez-vous à la place des clients qui reçoivent l'info : la première réaction sera de se demander si la CB a été volée. Se faire vider son compte et se retrouver à découvert (et donc payer des agios) dans ce genre de situation, perso ça m'est arrivé il y a une quinzaine d'années. À l'époque où les banques exigeaient encore une plainte au commissariat pour rembourser (alors que c'était inutile).

Dans mon cas, -500€ de découvert du jour au lendemain, des factures bloquées pour raison de solde insuffisant qui se sont vues majorées (EDF, etc), une demi journée perdue (j'étais en formation pro à l'époque, donc perte sèche de la rémunération associée car jour non pointé) pour aller déposer plainte et ensuite faire les actions à la banque, bref un tas d'emmerde.

Ils communiquent donc sur ce qui a le plus de poids émotionnel pour la majorité des clients.

L'éducation à l'hygiène numérique, c'est clairement pas à eux de la faire. Par contre ce genre de comm devrait être assortie d'un guide standard, produit par la CNIL, pour donner les réflexes à avoir.
votre avatar
C'est vrai qu'un guide d'information serait utile pour beaucoup. Difficile de mesurer les impacts (phishing ...) pour la plupart des clients je pense.
votre avatar
La BNP estime qu'il n'est pas nécessaire de changer le numéro de carte après une fuite d'une enseigne.
votre avatar
L'utilisation d'alias est de toute façon une pratique hautement recommandable. Par Firefox Relay, par exemple, dans une mésaventure de ce genre : création d'un nouvel alias aléatoire sur Boulanger et suppression pure et simple de l'ancien et c'est fini.
Reste plus qu'à déménager et changer de numéro de téléphone et de nom...
votre avatar
Un document d'identité n'est pas obligatoire pour ouvrir un compte bancaire ? Il me semblait que c'était une directive européenne.
votre avatar
Ça se vole car mal protégé et demandé abusivement.
votre avatar
Ils passent par Adyen pour leurs paiements par carte. C'est ce dernier qui les stocke.
votre avatar
Comme toujours, le risque pour les consommateurs est une tentative de phishing.
C'est ce qu'on dit a chaque fois qu'il y a ce genre de news.

Mais je me demande s'il y a des cas d'usurpation d'identité... pour faire du social engineering, ou juste pour harceler qqn et demander une rançon. etc.
votre avatar
Dès que j'ai un mail sur l'adresse dédiée à ce site, j'en saurai plus.
Pour une fois qu'utiliser des alias va servir à quelque chose...

ps: je n'ai pas pensé à faire suivre le mail à next
votre avatar
Le problème n'est pas tant le mail que le numéro de téléphone, en même temps que le mail de Boulanger, j'ai reçu un SMS m'informant que mon colis était en cours de livraison (je n'ai rien commandé)
votre avatar
Les faux appels ou sms, j'ai souvent.
Et comme je peux pas mettre en silencieux les appel inconnu à cause du boulot ou autre... Impossible de vraiment bloquer ça
votre avatar
Moi je n'en avais jamais avant aujourd'hui, mon téléphone n'était pas référencé jusqu'à présent.
votre avatar
pareil, alias unique pour chaque compte :fumer:
On reviendra mettre un petit commentaire ici le jour ou on sera spam :fume:
votre avatar
Depuis le piratage de Deez.., je reçois des mails en spam indiquant mon ancienne ville. Et depuis quelques ce même mail est doté de mon nom de famille.
votre avatar
Je n'ai rien reçu de leur part pour le coup.
votre avatar
Idem, rien pour l'instant. Malgré une commande il y a un mois.

Édit : a si, dans les spam, à 17h34.

Ouf, l'incident est résolu : '' Incident sécurité (résolu) ''. Un sacré titre de mail très rassurant. Mais sans donner beaucoup de détails... Merci à Next pour les précisions.
votre avatar
Toujours rien en ce qui me concerne :/
votre avatar
@ecatomb Je n'utilise que des alias pour chaque site, jamais ma boite principale :mrgreen:
votre avatar
Pareil, j'avais supprimé ma première boite mail (hotmail) à cause de ça.
Enfin, plutôt remplacé par un alias 😉
votre avatar
Et ton adresse postale ? Et ton numéro de téléphone pour la livraison ?
votre avatar
Leur e-mail ne sert pas à grand-chose : c'est quoi les "données de livraison" ? Juste l'adresse postale ? Le numéro de téléphone est parfois utilisé par le livreur, ou pour le suivi : il a fuité aussi ou pas ?

Et on ne peut même pas leur répondre pour avoir plus d'infos : pourquoi il n'y a pas d'obligation d'ouvrir une ligne de contact dédiée pour ce genre de problème ? Faut-il les contacter en allant sur leur formulaire de contact classique ? (vu que ce n'est pas prévu pour, je doute que cela serve vu que les hotliners n'auront pas plus d'infos).

Enfin, est-ce que la CNIL a été notifiée ? Il me semblait que c'était obligatoire (et dans un délai court, genre 48 ou 72h).
votre avatar
Enfin, est-ce que la CNIL a été notifiée ? Il me semblait que c'était obligatoire (et dans un délai court, genre 48 ou 72h).
J'espère bien, c'est effectivement une obligation imposée par le RGPD. Il est bien de 72 heures à dater de la découverte de la violation, mais sans pour autant être contraignant du moment que la CNIL est prévenue et le retard justifié.
article 33 du RGPD
votre avatar
Concerné aussi. Je ne me rappelait pas avoir de compte chez eux.
Je viens de l'activer : compte créé avec les informations de la facture lors d'un achat en magasin.
Quelle bande de nuls.
votre avatar
Après un achat en août, j'ai reçu deux SMS :
Bonjour, veuillez saisir le code : XXXXXX pour vérifier votre compte sur le site de Boulanger. Merci.
Bonjour, pour activer votre espace client digital (sic), veuillez saisir le code YYYYYY après avoir cliqué sur le lien suivant www.b.fr/compte?channel=store.
Je n'ai rien fait, et rien reçu depuis.
votre avatar
Contacté, Boulanger nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) » et que la fuite « concerne uniquement quelques centaines de milliers de clients ». Le brief a été mis à jour.
@SébastienGavois Est-ce que vous pouvez leur demander de confirmer s'il y a une suppression des données avec le temps ?

Ma dernière livraison chez eux remonte à janvier 2024, donc cela pourrait expliquer que je n'ai pas été notifié de l'incident.
votre avatar
Je connais la réponse : Non
Compte ouvert à priori y'avait plus de 5 ans, toujours actif il y a quelques mois (alors que l'adresse mail n'existait plus)
votre avatar
Là je parlais surtout de ce qu'ils appellent les données de livraison. Est-ce que c'est genre une base tampon le temps que les produits soient livrés et qui est purgée ? par exemple.

Dans le cas de la suppression de compte, si j'en crois la section données personnelles, elle est censée intervenir à la fin de ce qu'ils appelle une relation commerciale et je crois comprendre que c'est lié à la durée de garantie. De mon interprétation de la règle de gestion (s'pas très clair quand même), en gros le décompte c'est 2 ans après le dernier achat, sauf si y'a une garantie étendue.

Tu devrais contacter leur DPO je pense.
votre avatar
juillet 2021 pour moi j'ai été notifié, l'adresse est toujours sur mon compte et impossible pour moi de la suprimmer
votre avatar
OK donc là ça devient plus perturbant, la notification semble foireuse ou le périmètre vraiment bizarrement défini.
votre avatar
et que la fuite « concerne uniquement quelques centaines de milliers de clients »
bah tiens, c'est vrai que c'est si peu, quelques centaines de milliers...
votre avatar
J'ai vérifié mon compte chez eux : ils ont une vieille adresse de livraison (j'ai rien acheté chez eux depuis plus de 3 ans), que je ne peux pas supprimer. Pourquoi garder les adresses aussi longtemps ?
votre avatar
Les données sont conservées 5 ans après la dernière commande.

Mais cela fait plus de 5 ans que je n'y ai pas commandé : il y a donc non respect du RGPD. Je suis en train de préparer mon courrier, et la plainte CNIL suivra.
votre avatar
> la fuite « concerne uniquement quelques centaines de milliers de clients

Ah bon alors tout va bien.
votre avatar
Ça doit être leur nombre de clients total :mrgreen:
votre avatar
Est-il conseillé aux personnes concernées de déposer un plainte ?
votre avatar
Contre qui et pour quel motif ?
votre avatar
Tu peux faire une plainte à la CNIL si tu es concerné alors que tu n'as pas commandé depuis 5 ans ou plus.
votre avatar
Je pensais au piratage d'Amélie avec ce type de lettre plainte mis en place : https://www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys

Je ne sais pas s'il existe des choses équivalentes dans d'autres cas.
votre avatar
« sont uniquement des données de livraison (adresse, mail, téléphone) »

Rien de grave juste de quoi faire du phising ciblé..
votre avatar
Tiens, j'ai reçu le mail en double. Je devais être deux fois dans leur base.
votre avatar
Si tu as acheté chez Boulanger via une marketplace, tu reçois aussi le mail; mais avec pour expéditeur « Boulanger, via opérateur Marketplace XXX »

Tu peux donc recevoir le mail en double, triple, quadruple etc selon le nombre de marketplace concernées ;-)
votre avatar
Non, les deux viennent de Boulanger (edit : l'adresse mail a été mangée par next)
L'un à 11h51, l'autre 13h27.
votre avatar
La procédure de suppression de compte, même si c'est un peu tard, est risible :
Un lien sur la page de ton compte qui t'envoie vers un article de FAQ qui t'indique comment aller sur leur page de gestion des données perso (grand prince, ils donnent un lien pour y accéder directement). Là, faut trouver quelle section déplier, se fader 2-3 paragraphes pour trouver enfin en discret un email pour envoyer sa demande 🙄

Bref, à voir combien de temps ça va mettre...
votre avatar
Et Cultura aussi dans la foulée, je viens de recevoir un email à ce sujet
votre avatar
J'ai encore du mal à situer "SaxX" dans l'écosystème cyber. Il publie des informations intéressantes mais j'ai aussi l'impression qu'il tombe doucement dans l'info à sensation. La mauvaise foi et l'incompétence des entreprises visées est évidemment à mettre en lumière, mais ça réagit au quart de tour sur des fuites non-vérifiées et ça retombe toujours sur ses pattes en disant "je l'avais dit il y a déjà 2 jours, c'est scandaleux" ou alors que c'est le revendeur des données qui est en tort.

Avec le grand public ça fonctionne, dans l'écosystème cyber les Damien Bancal et autres Baptiste Robert sont vite catégorisés.
votre avatar
Boulanger, c'est une vieille histoire (au moins une journée), aujourd'hui, c'est Truffaut.
Aucun partage d'information donc chaque victime se retrouve à devoir se défendre seule.
votre avatar
Il n'y a pas la possibilité de lancer une action groupée contre ces entreprises? Il me semblait que c'était maintenant possible?
votre avatar
@SébastienGavois pour info je viens de recevoir un nouveau mail de Boulanger (sur lequel je vais m'abstenir de tout commentaire...) :

Chère cliente, Cher client,

Dans la nuit du vendredi 6 septembre, Boulanger a été victime d’un acte de cybermalveillance sur une partie de ses informations clients liées à la livraison.

Après analyse, nous tenions à vous informer que vos données personnelles sont concernées.

Les données récupérées sont liées à la livraison, à savoir :

Nom et Prénom

Adresse de livraison

Adresse e-mail

Numéro de téléphone

Les données relatives au mot de passe de votre compte client et aux données bancaires ne sont pas concernées et l’incident est désormais maîtrisé.
Nous tenons à vous présenter nos sincères excuses à la suite de cette situation que nous déplorons malgré notre extrême vigilance. Notre priorité constante reste la protection de vos données.

Nos équipes sont pleinement mobilisées depuis le début de cette situation. Et nous vous avons communiqué l’ensemble des informations en toute transparence aussitôt qu’elles ont été portées à notre connaissance. Nous vous invitons à la plus grande vigilance et à prendre toutes les précautions qui en découlent.

Par exemple, Boulanger ne vous demandera jamais par mail ou sms vos informations personnelles tels qu’un mot de passe ou vos coordonnées bancaires. Nous vous invitons donc à la plus grande prudence avant de cliquer sur un lien.

En cas de doute, n’hésitez pas à vous rapprocher de notre service client ou de votre magasin le plus proche.

Toutes nos équipes se tiennent à votre disposition pour vous accompagner et répondre à toutes vos questions à : [email protected]

Nous vous remercions pour votre compréhension et votre confiance.
Cordialement,
Les équipes Boulanger.

[MàJ] Fuite chez Boulanger, sur des données de « quelques centaines de milliers de clients »

Fermer