[MàJ] Fuite chez Boulanger, sur des données de « quelques centaines de milliers de clients »

Mise à jour du 9 septembre à 17h53 :  
Contacté, Boulanger nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) » et que la fuite « concerne uniquement quelques centaines de milliers de clients ». Le brief a été mis à jour.

Article original du 9 septembre à 16h14 : C’est via un email des plus laconique (merci aux lecteurs qui nous l’ont fait suivre) que l’enseigne annonce à ses clients avoir « été victime d’un acte de cybermalveillance sur une partie de [ses] informations clients » dans la nuit du 6 au 7 septembre. « Les données récupérées sont uniquement liées aux livraisons. Aucune donnée bancaire client n’est concernée ».

L’incident est désormais terminé et la « vigilance renforcée ». Comme toujours en pareille situation, la société promet que la protection des données est sa priorité… mais elle ne donne aucun détail sur la manière dont les pirates ont récupéré les informations.

Et il est toujours facile de faire des promesses après coup, comme l'illustre l’exemple récent de la Scam qui promettait avoir mis en place des « efforts soutenus en matière de prévention et de protection »… mais continuait d’envoyer des mots de passe en clair, par email.

Pour en revenir à Boulanger, SaxX. avait déjà annoncé le 7 septembre au matin (soit deux jours avant la communication de la boutique) qu’un pirate avait mis en vente « une base de données comportant 27 561 592 lignes de #Boulanger », sans toutefois que l'authenticité du fichier ait été confirmée.

Contactée, Boulanger ne confirme pas ce chiffre de 27 millions et nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) et concerne uniquement quelques centaines de milliers de clients. Aucune donnée bancaire client n’est concernée. D’ores et déjà, l’incident a été circonscrit et l’ensemble de nos clients a été informé ».

Le pirate explique qu’il faut le contacter par Telegram pour avoir le prix de vente. « On retrouve entre autre comme information dans cette base de données : Nom, Prénom, Numéro Téléphone, Adresse postale complète, Coordonnées géographiques (latitude et longitude), Email… », affirme SaxX, qui précise par ailleurs que, selon le pirate, la fuite daterait « d'il y a quelques jours… probablement courant août 2024 ». Une proximité qui interroge, même si l'existence et le contenu de cette base de données n'ont pas été vérifiés, à plus forte raison quand Boulanger se borne à parler d’un incident sans préciser l’ampleur des dégâts et quelles sont les données exactement concernées.

Comme toujours, le risque pour les consommateurs est une tentative de phishing. Une personne malveillante peut tenter de se faire passer pour Boulanger en utilisant les données dérobées pour ensuite vous en soutirer d’autres. Prudence donc.

Commentaires (51)


C'est vrai que leur mail n'indique pas grand chose.
Comme si uniquement le numéro de carte bancaire n'était pas touché.
J’ai également reçu le message de boulanger . Pour eux, visiblement seules les info bancaires sont importantes… alors que tout le reste peut très bien servir à du phishing, de l’usurpation d’identité (ouverture de compte bancaire).

Ça serait bien qu’ils se prennent une méga-prune ! (Cf les articles précédents concernant l’inaction de l’instance)

bilbonsacquet

J’ai également reçu le message de boulanger . Pour eux, visiblement seules les info bancaires sont importantes… alors que tout le reste peut très bien servir à du phishing, de l’usurpation d’identité (ouverture de compte bancaire).

Ça serait bien qu’ils se prennent une méga-prune ! (Cf les articles précédents concernant l’inaction de l’instance)
C'est toujours comme ça. Alors qu'une CB ça se change, mais ton mail, tes infos perso, c'est over... Et pourtant ça semble toujours moins grave 🙄

R4VEN

C'est toujours comme ça. Alors qu'une CB ça se change, mais ton mail, tes infos perso, c'est over... Et pourtant ça semble toujours moins grave 🙄
Mettez-vous à la place des clients qui reçoivent l'info : la première réaction sera de se demander si la CB a été volée. Se faire vider son compte et se retrouver à découvert (et donc payer des agios) dans ce genre de situation, perso ça m'est arrivé il y a une quinzaine d'années. À l'époque où les banques exigeaient encore une plainte au commissariat pour rembourser (alors que c'était inutile).

Dans mon cas, -500€ de découvert du jour au lendemain, des factures bloquées pour raison de solde insuffisant qui se sont vues majorées (EDF, etc), une demi journée perdue (j'étais en formation pro à l'époque, donc perte sèche de la rémunération associée car jour non pointé) pour aller déposer plainte et ensuite faire les actions à la banque, bref un tas d'emmerde.

Ils communiquent donc sur ce qui a le plus de poids émotionnel pour la majorité des clients.

L'éducation à l'hygiène numérique, c'est clairement pas à eux de la faire. Par contre ce genre de comm devrait être assortie d'un guide standard, produit par la CNIL, pour donner les réflexes à avoir.

SebGF

Mettez-vous à la place des clients qui reçoivent l'info : la première réaction sera de se demander si la CB a été volée. Se faire vider son compte et se retrouver à découvert (et donc payer des agios) dans ce genre de situation, perso ça m'est arrivé il y a une quinzaine d'années. À l'époque où les banques exigeaient encore une plainte au commissariat pour rembourser (alors que c'était inutile).

Dans mon cas, -500€ de découvert du jour au lendemain, des factures bloquées pour raison de solde insuffisant qui se sont vues majorées (EDF, etc), une demi journée perdue (j'étais en formation pro à l'époque, donc perte sèche de la rémunération associée car jour non pointé) pour aller déposer plainte et ensuite faire les actions à la banque, bref un tas d'emmerde.

Ils communiquent donc sur ce qui a le plus de poids émotionnel pour la majorité des clients.

L'éducation à l'hygiène numérique, c'est clairement pas à eux de la faire. Par contre ce genre de comm devrait être assortie d'un guide standard, produit par la CNIL, pour donner les réflexes à avoir.
C'est vrai qu'un guide d'information serait utile pour beaucoup. Difficile de mesurer les impacts (phishing ...) pour la plupart des clients je pense.

R4VEN

C'est toujours comme ça. Alors qu'une CB ça se change, mais ton mail, tes infos perso, c'est over... Et pourtant ça semble toujours moins grave 🙄
La BNP estime qu'il n'est pas nécessaire de changer le numéro de carte après une fuite d'une enseigne.

R4VEN

C'est toujours comme ça. Alors qu'une CB ça se change, mais ton mail, tes infos perso, c'est over... Et pourtant ça semble toujours moins grave 🙄
L'utilisation d'alias est de toute façon une pratique hautement recommandable. Par Firefox Relay, par exemple, dans une mésaventure de ce genre : création d'un nouvel alias aléatoire sur Boulanger et suppression pure et simple de l'ancien et c'est fini.
Reste plus qu'à déménager et changer de numéro de téléphone et de nom...
Modifié le 10/09/2024 à 10h38

Historique des modifications :

Posté le 10/09/2024 à 10h38


L'utilisation d'alias est de toute façon une pratique hautement recommandable. Par Firefox Relay, par exemple, dans une mésaventure de ce genre : création d'un nouvel alias aléatoire sur Boulanger et suppression pure et simple de l'ancien et c'est fini.
Reste plus qu'à déménager et changer de numéro de téléphone....

bilbonsacquet

J’ai également reçu le message de boulanger . Pour eux, visiblement seules les info bancaires sont importantes… alors que tout le reste peut très bien servir à du phishing, de l’usurpation d’identité (ouverture de compte bancaire).

Ça serait bien qu’ils se prennent une méga-prune ! (Cf les articles précédents concernant l’inaction de l’instance)
Un document d'identité n'est pas obligatoire pour ouvrir un compte bancaire ? Il me semblait que c'était une directive européenne.

SebGF

Un document d'identité n'est pas obligatoire pour ouvrir un compte bancaire ? Il me semblait que c'était une directive européenne.
Ça se vole car mal protégé et demandé abusivement.
Ils passent par Adyen pour leurs paiements par carte. C'est ce dernier qui les stocke.
Comme toujours, le risque pour les consommateurs est une tentative de phishing.


C'est ce qu'on dit a chaque fois qu'il y a ce genre de news.

Mais je me demande s'il y a des cas d'usurpation d'identité... pour faire du social engineering, ou juste pour harceler qqn et demander une rançon. etc.
Dès que j'ai un mail sur l'adresse dédiée à ce site, j'en saurai plus.
Pour une fois qu'utiliser des alias va servir à quelque chose...

ps: je n'ai pas pensé à faire suivre le mail à next

ecatomb

Dès que j'ai un mail sur l'adresse dédiée à ce site, j'en saurai plus.
Pour une fois qu'utiliser des alias va servir à quelque chose...

ps: je n'ai pas pensé à faire suivre le mail à next
Le problème n'est pas tant le mail que le numéro de téléphone, en même temps que le mail de Boulanger, j'ai reçu un SMS m'informant que mon colis était en cours de livraison (je n'ai rien commandé)

Tandhruil

Le problème n'est pas tant le mail que le numéro de téléphone, en même temps que le mail de Boulanger, j'ai reçu un SMS m'informant que mon colis était en cours de livraison (je n'ai rien commandé)
Les faux appels ou sms, j'ai souvent.
Et comme je peux pas mettre en silencieux les appel inconnu à cause du boulot ou autre... Impossible de vraiment bloquer ça

ecatomb

Les faux appels ou sms, j'ai souvent.
Et comme je peux pas mettre en silencieux les appel inconnu à cause du boulot ou autre... Impossible de vraiment bloquer ça
Moi je n'en avais jamais avant aujourd'hui, mon téléphone n'était pas référencé jusqu'à présent.

ecatomb

Dès que j'ai un mail sur l'adresse dédiée à ce site, j'en saurai plus.
Pour une fois qu'utiliser des alias va servir à quelque chose...

ps: je n'ai pas pensé à faire suivre le mail à next
pareil, alias unique pour chaque compte :fumer:
On reviendra mettre un petit commentaire ici le jour ou on sera spam :fume:
Je n'ai rien reçu de leur part pour le coup.
Idem, rien pour l'instant. Malgré une commande il y a un mois.

Édit : a si, dans les spam, à 17h34.

Ouf, l'incident est résolu : '' Incident sécurité (résolu) ''. Un sacré titre de mail très rassurant. Mais sans donner beaucoup de détails... Merci à Next pour les précisions.
Modifié le 09/09/2024 à 21h49

Historique des modifications :

Posté le 09/09/2024 à 21h10


Idem, rien pour l'instant. Malgré une commande il y a un mois.

Xandr0s

Idem, rien pour l'instant. Malgré une commande il y a un mois.

Édit : a si, dans les spam, à 17h34.

Ouf, l'incident est résolu : '' Incident sécurité (résolu) ''. Un sacré titre de mail très rassurant. Mais sans donner beaucoup de détails... Merci à Next pour les précisions.
Toujours rien en ce qui me concerne :/
@ecatomb Je n'utilise que des alias pour chaque site, jamais ma boite principale :mrgreen:
Pareil, j'avais supprimé ma première boite mail (hotmail) à cause de ça.
Enfin, plutôt remplacé par un alias 😉
Et ton adresse postale ? Et ton numéro de téléphone pour la livraison ?
Leur e-mail ne sert pas à grand-chose : c'est quoi les "données de livraison" ? Juste l'adresse postale ? Le numéro de téléphone est parfois utilisé par le livreur, ou pour le suivi : il a fuité aussi ou pas ?

Et on ne peut même pas leur répondre pour avoir plus d'infos : pourquoi il n'y a pas d'obligation d'ouvrir une ligne de contact dédiée pour ce genre de problème ? Faut-il les contacter en allant sur leur formulaire de contact classique ? (vu que ce n'est pas prévu pour, je doute que cela serve vu que les hotliners n'auront pas plus d'infos).

Enfin, est-ce que la CNIL a été notifiée ? Il me semblait que c'était obligatoire (et dans un délai court, genre 48 ou 72h).
Modifié le 09/09/2024 à 17h30

Historique des modifications :

Posté le 09/09/2024 à 17h30


Leur e-mail ne sert pas à grand-chose : c'est quoi les "données de livraison" ? Juste l'adresse postale ? Le numéro de téléphone est parfois utilisé par le livreur, ou pour le suivi : il a fuité aussi ou pas ?

Et on ne peut même pas leur répondre pour avoir plus d'infos : pourquoi il n'y a pas d'obligation d'ouvrir une ligne de contact dédiée pour ce genre de problème ? Faut-il les contacter en allant sur leur formulaire de contact classique ? (vu que ce n'est pas prévu pour, je doute que cela serve vu que les hotliners n'auront pas plus d'infos).

Enfin, est-ce que la CNIL a été notifiée ? Il me semblait que c'était obligatoire (et dans un délai court, genre 48 ou 72h).


J'espère bien, c'est effectivement une obligation imposée par le RGPD. Il est bien de 72 heures à dater de la découverte de la violation, mais sans pour autant être contraignant du moment que la CNIL est prévenue et le retard justifié.
article 33 du RGPD
Modifié le 09/09/2024 à 18h09

Historique des modifications :

Posté le 09/09/2024 à 18h08


Enfin, est-ce que la CNIL a été notifiée ? Il me semblait que c'était obligatoire (et dans un délai court, genre 48 ou 72h).


J'espère bien, c'est effectivement une obligation imposée par le RGPD. Il est bien de 72 heures à dater de la découverte de la violation, mais sans pour autant être contraignant du moment que la CNIL est prévenue.
article 33 du RGPD

Concerné aussi. Je ne me rappelait pas avoir de compte chez eux.
Je viens de l'activer : compte créé avec les informations de la facture lors d'un achat en magasin.
Quelle bande de nuls.
Après un achat en août, j'ai reçu deux SMS :
Bonjour, veuillez saisir le code : XXXXXX pour vérifier votre compte sur le site de Boulanger. Merci.

Bonjour, pour activer votre espace client digital (sic), veuillez saisir le code YYYYYY après avoir cliqué sur le lien suivant www.b.fr/compte?channel=store.


Je n'ai rien fait, et rien reçu depuis.
Contacté, Boulanger nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) » et que la fuite « concerne uniquement quelques centaines de milliers de clients ». Le brief a été mis à jour.


@SébastienGavois Est-ce que vous pouvez leur demander de confirmer s'il y a une suppression des données avec le temps ?

Ma dernière livraison chez eux remonte à janvier 2024, donc cela pourrait expliquer que je n'ai pas été notifié de l'incident.
Modifié le 09/09/2024 à 18h16

Historique des modifications :

Posté le 09/09/2024 à 18h15


Contacté, Boulanger nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) » et que la fuite « concerne uniquement quelques centaines de milliers de clients ». Le brief a été mis à jour.


Est-ce que vous pouvez leur demander s'il y a une suppression des données avec le temps ?

Ma dernière livraison chez eus remonte à janvier 2024, donc cela pourrait expliquer que je n'ai pas été notifié de l'incident.

Posté le 09/09/2024 à 18h16


Contacté, Boulanger nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) » et que la fuite « concerne uniquement quelques centaines de milliers de clients ». Le brief a été mis à jour.


@SébastienGavois Est-ce que vous pouvez leur demander de confirmer s'il y a une suppression des données avec le temps ?

Ma dernière livraison chez eus remonte à janvier 2024, donc cela pourrait expliquer que je n'ai pas été notifié de l'incident.

Je connais la réponse : Non
Compte ouvert à priori y'avait plus de 5 ans, toujours actif il y a quelques mois (alors que l'adresse mail n'existait plus)

ecatomb

Je connais la réponse : Non
Compte ouvert à priori y'avait plus de 5 ans, toujours actif il y a quelques mois (alors que l'adresse mail n'existait plus)
Là je parlais surtout de ce qu'ils appellent les données de livraison. Est-ce que c'est genre une base tampon le temps que les produits soient livrés et qui est purgée ? par exemple.

Dans le cas de la suppression de compte, si j'en crois la section données personnelles, elle est censée intervenir à la fin de ce qu'ils appelle une relation commerciale et je crois comprendre que c'est lié à la durée de garantie. De mon interprétation de la règle de gestion (s'pas très clair quand même), en gros le décompte c'est 2 ans après le dernier achat, sauf si y'a une garantie étendue.

Tu devrais contacter leur DPO je pense.
juillet 2021 pour moi j'ai été notifié, l'adresse est toujours sur mon compte et impossible pour moi de la suprimmer

erw_da

juillet 2021 pour moi j'ai été notifié, l'adresse est toujours sur mon compte et impossible pour moi de la suprimmer
OK donc là ça devient plus perturbant, la notification semble foireuse ou le périmètre vraiment bizarrement défini.
et que la fuite « concerne uniquement quelques centaines de milliers de clients »


bah tiens, c'est vrai que c'est si peu, quelques centaines de milliers...
J'ai vérifié mon compte chez eux : ils ont une vieille adresse de livraison (j'ai rien acheté chez eux depuis plus de 3 ans), que je ne peux pas supprimer. Pourquoi garder les adresses aussi longtemps ?
Les données sont conservées 5 ans après la dernière commande.

Mais cela fait plus de 5 ans que je n'y ai pas commandé : il y a donc non respect du RGPD. Je suis en train de préparer mon courrier, et la plainte CNIL suivra.
> la fuite « concerne uniquement quelques centaines de milliers de clients

Ah bon alors tout va bien.
Ça doit être leur nombre de clients total :mrgreen:
Est-il conseillé aux personnes concernées de déposer un plainte ?
Contre qui et pour quel motif ?
Tu peux faire une plainte à la CNIL si tu es concerné alors que tu n'as pas commandé depuis 5 ans ou plus.
Je pensais au piratage d'Amélie avec ce type de lettre plainte mis en place : https://www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys

Je ne sais pas s'il existe des choses équivalentes dans d'autres cas.
Tiens, j'ai reçu le mail en double. Je devais être deux fois dans leur base.
Si tu as acheté chez Boulanger via une marketplace, tu reçois aussi le mail; mais avec pour expéditeur « Boulanger, via opérateur Marketplace XXX »

Tu peux donc recevoir le mail en double, triple, quadruple etc selon le nombre de marketplace concernées ;-)

benspx

Si tu as acheté chez Boulanger via une marketplace, tu reçois aussi le mail; mais avec pour expéditeur « Boulanger, via opérateur Marketplace XXX »

Tu peux donc recevoir le mail en double, triple, quadruple etc selon le nombre de marketplace concernées ;-)
Non, les deux viennent de Boulanger (edit : l'adresse mail a été mangée par next)
L'un à 11h51, l'autre 13h27.
Modifié le 10/09/2024 à 10h11

Historique des modifications :

Posté le 10/09/2024 à 10h10


Non, les deux viennent de "Boulanger"
L'un à 11h51, l'autre 13h27.

La procédure de suppression de compte, même si c'est un peu tard, est risible :
Un lien sur la page de ton compte qui t'envoie vers un article de FAQ qui t'indique comment aller sur leur page de gestion des données perso (grand prince, ils donnent un lien pour y accéder directement). Là, faut trouver quelle section déplier, se fader 2-3 paragraphes pour trouver enfin en discret un email pour envoyer sa demande 🙄

Bref, à voir combien de temps ça va mettre...
Et Cultura aussi dans la foulée, je viens de recevoir un email à ce sujet
J'ai encore du mal à situer "SaxX" dans l'écosystème cyber. Il publie des informations intéressantes mais j'ai aussi l'impression qu'il tombe doucement dans l'info à sensation. La mauvaise foi et l'incompétence des entreprises visées est évidemment à mettre en lumière, mais ça réagit au quart de tour sur des fuites non-vérifiées et ça retombe toujours sur ses pattes en disant "je l'avais dit il y a déjà 2 jours, c'est scandaleux" ou alors que c'est le revendeur des données qui est en tort.

Avec le grand public ça fonctionne, dans l'écosystème cyber les Damien Bancal et autres Baptiste Robert sont vite catégorisés.
Boulanger, c'est une vieille histoire (au moins une journée), aujourd'hui, c'est Truffaut.
Aucun partage d'information donc chaque victime se retrouve à devoir se défendre seule.
Il n'y a pas la possibilité de lancer une action groupée contre ces entreprises? Il me semblait que c'était maintenant possible?
@SébastienGavois pour info je viens de recevoir un nouveau mail de Boulanger (sur lequel je vais m'abstenir de tout commentaire...) :

Chère cliente, Cher client,

Dans la nuit du vendredi 6 septembre, Boulanger a été victime d’un acte de cybermalveillance sur une partie de ses informations clients liées à la livraison.

Après analyse, nous tenions à vous informer que vos données personnelles sont concernées.

Les données récupérées sont liées à la livraison, à savoir :

Nom et Prénom

Adresse de livraison

Adresse e-mail

Numéro de téléphone

Les données relatives au mot de passe de votre compte client et aux données bancaires ne sont pas concernées et l’incident est désormais maîtrisé.
Nous tenons à vous présenter nos sincères excuses à la suite de cette situation que nous déplorons malgré notre extrême vigilance. Notre priorité constante reste la protection de vos données.

Nos équipes sont pleinement mobilisées depuis le début de cette situation. Et nous vous avons communiqué l’ensemble des informations en toute transparence aussitôt qu’elles ont été portées à notre connaissance. Nous vous invitons à la plus grande vigilance et à prendre toutes les précautions qui en découlent.

Par exemple, Boulanger ne vous demandera jamais par mail ou sms vos informations personnelles tels qu’un mot de passe ou vos coordonnées bancaires. Nous vous invitons donc à la plus grande prudence avant de cliquer sur un lien.

En cas de doute, n’hésitez pas à vous rapprocher de notre service client ou de votre magasin le plus proche.

Toutes nos équipes se tiennent à votre disposition pour vous accompagner et répondre à toutes vos questions à : [email protected]

Nous vous remercions pour votre compréhension et votre confiance.
Cordialement,
Les équipes Boulanger.
Fermer