Mise à jour du 9 septembre à 17h53 :
Contacté, Boulanger nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) » et que la fuite « concerne uniquement quelques centaines de milliers de clients ». Le brief a été mis à jour.
Article original du 9 septembre à 16h14 : C’est via un email des plus laconique (merci aux lecteurs qui nous l’ont fait suivre) que l’enseigne annonce à ses clients avoir « été victime d’un acte de cybermalveillance sur une partie de [ses] informations clients » dans la nuit du 6 au 7 septembre. « Les données récupérées sont uniquement liées aux livraisons. Aucune donnée bancaire client n’est concernée ».
L’incident est désormais terminé et la « vigilance renforcée ». Comme toujours en pareille situation, la société promet que la protection des données est sa priorité… mais elle ne donne aucun détail sur la manière dont les pirates ont récupéré les informations.
Et il est toujours facile de faire des promesses après coup, comme l'illustre l’exemple récent de la Scam qui promettait avoir mis en place des « efforts soutenus en matière de prévention et de protection »… mais continuait d’envoyer des mots de passe en clair, par email.
Pour en revenir à Boulanger, SaxX. avait déjà annoncé le 7 septembre au matin (soit deux jours avant la communication de la boutique) qu’un pirate avait mis en vente « une base de données comportant 27 561 592 lignes de #Boulanger », sans toutefois que l'authenticité du fichier ait été confirmée.
Contactée, Boulanger ne confirme pas ce chiffre de 27 millions et nous précise que « les données récupérées sont uniquement des données de livraison (adresse, mail, téléphone) et concerne uniquement quelques centaines de milliers de clients. Aucune donnée bancaire client n’est concernée. D’ores et déjà, l’incident a été circonscrit et l’ensemble de nos clients a été informé ».
Le pirate explique qu’il faut le contacter par Telegram pour avoir le prix de vente. « On retrouve entre autre comme information dans cette base de données : Nom, Prénom, Numéro Téléphone, Adresse postale complète, Coordonnées géographiques (latitude et longitude), Email… », affirme SaxX, qui précise par ailleurs que, selon le pirate, la fuite daterait « d'il y a quelques jours… probablement courant août 2024 ». Une proximité qui interroge, même si l'existence et le contenu de cette base de données n'ont pas été vérifiés, à plus forte raison quand Boulanger se borne à parler d’un incident sans préciser l’ampleur des dégâts et quelles sont les données exactement concernées.
Comme toujours, le risque pour les consommateurs est une tentative de phishing. Une personne malveillante peut tenter de se faire passer pour Boulanger en utilisant les données dérobées pour ensuite vous en soutirer d’autres. Prudence donc.
Commentaires (51)
#1
Comme si uniquement le numéro de carte bancaire n'était pas touché.
#1.1
Ça serait bien qu’ils se prennent une méga-prune ! (Cf les articles précédents concernant l’inaction de l’instance)
#1.2
#1.3
Dans mon cas, -500€ de découvert du jour au lendemain, des factures bloquées pour raison de solde insuffisant qui se sont vues majorées (EDF, etc), une demi journée perdue (j'étais en formation pro à l'époque, donc perte sèche de la rémunération associée car jour non pointé) pour aller déposer plainte et ensuite faire les actions à la banque, bref un tas d'emmerde.
Ils communiquent donc sur ce qui a le plus de poids émotionnel pour la majorité des clients.
L'éducation à l'hygiène numérique, c'est clairement pas à eux de la faire. Par contre ce genre de comm devrait être assortie d'un guide standard, produit par la CNIL, pour donner les réflexes à avoir.
#1.5
#1.7
#1.9
Reste plus qu'à déménager et changer de numéro de téléphone et de nom...
Historique des modifications :
Posté le 10/09/2024 à 10h38
L'utilisation d'alias est de toute façon une pratique hautement recommandable. Par Firefox Relay, par exemple, dans une mésaventure de ce genre : création d'un nouvel alias aléatoire sur Boulanger et suppression pure et simple de l'ancien et c'est fini.
Reste plus qu'à déménager et changer de numéro de téléphone....
#1.4
#1.8
#1.6
#2
C'est ce qu'on dit a chaque fois qu'il y a ce genre de news.
Mais je me demande s'il y a des cas d'usurpation d'identité... pour faire du social engineering, ou juste pour harceler qqn et demander une rançon. etc.
#2.1
Pour une fois qu'utiliser des alias va servir à quelque chose...
ps: je n'ai pas pensé à faire suivre le mail à next
#2.2
#2.3
Et comme je peux pas mettre en silencieux les appel inconnu à cause du boulot ou autre... Impossible de vraiment bloquer ça
#2.4
#2.5
On reviendra mettre un petit commentaire ici le jour ou on sera spam
#2.6
#3
#3.1
Édit : a si, dans les spam, à 17h34.
Ouf, l'incident est résolu : '' Incident sécurité (résolu) ''. Un sacré titre de mail très rassurant. Mais sans donner beaucoup de détails... Merci à Next pour les précisions.
Historique des modifications :
Posté le 09/09/2024 à 21h10
Idem, rien pour l'instant. Malgré une commande il y a un mois.
#3.2
#4
#4.1
Enfin, plutôt remplacé par un alias 😉
#4.2
#5
Et on ne peut même pas leur répondre pour avoir plus d'infos : pourquoi il n'y a pas d'obligation d'ouvrir une ligne de contact dédiée pour ce genre de problème ? Faut-il les contacter en allant sur leur formulaire de contact classique ? (vu que ce n'est pas prévu pour, je doute que cela serve vu que les hotliners n'auront pas plus d'infos).
Enfin, est-ce que la CNIL a été notifiée ? Il me semblait que c'était obligatoire (et dans un délai court, genre 48 ou 72h).
Historique des modifications :
Posté le 09/09/2024 à 17h30
Leur e-mail ne sert pas à grand-chose : c'est quoi les "données de livraison" ? Juste l'adresse postale ? Le numéro de téléphone est parfois utilisé par le livreur, ou pour le suivi : il a fuité aussi ou pas ?
Et on ne peut même pas leur répondre pour avoir plus d'infos : pourquoi il n'y a pas d'obligation d'ouvrir une ligne de contact dédiée pour ce genre de problème ? Faut-il les contacter en allant sur leur formulaire de contact classique ? (vu que ce n'est pas prévu pour, je doute que cela serve vu que les hotliners n'auront pas plus d'infos).
#5.1
J'espère bien, c'est effectivement une obligation imposée par le RGPD. Il est bien de 72 heures à dater de la découverte de la violation, mais sans pour autant être contraignant du moment que la CNIL est prévenue et le retard justifié.
article 33 du RGPD
Historique des modifications :
Posté le 09/09/2024 à 18h08
J'espère bien, c'est effectivement une obligation imposée par le RGPD. Il est bien de 72 heures à dater de la découverte de la violation, mais sans pour autant être contraignant du moment que la CNIL est prévenue.
article 33 du RGPD
#6
Je viens de l'activer : compte créé avec les informations de la facture lors d'un achat en magasin.
Quelle bande de nuls.
#6.1
Je n'ai rien fait, et rien reçu depuis.
#7
@SébastienGavois Est-ce que vous pouvez leur demander de confirmer s'il y a une suppression des données avec le temps ?
Ma dernière livraison chez eux remonte à janvier 2024, donc cela pourrait expliquer que je n'ai pas été notifié de l'incident.
Historique des modifications :
Posté le 09/09/2024 à 18h15
Est-ce que vous pouvez leur demander s'il y a une suppression des données avec le temps ?
Ma dernière livraison chez eus remonte à janvier 2024, donc cela pourrait expliquer que je n'ai pas été notifié de l'incident.
Posté le 09/09/2024 à 18h16
@SébastienGavois Est-ce que vous pouvez leur demander de confirmer s'il y a une suppression des données avec le temps ?
Ma dernière livraison chez eus remonte à janvier 2024, donc cela pourrait expliquer que je n'ai pas été notifié de l'incident.
#7.1
Compte ouvert à priori y'avait plus de 5 ans, toujours actif il y a quelques mois (alors que l'adresse mail n'existait plus)
#7.2
Dans le cas de la suppression de compte, si j'en crois la section données personnelles, elle est censée intervenir à la fin de ce qu'ils appelle une relation commerciale et je crois comprendre que c'est lié à la durée de garantie. De mon interprétation de la règle de gestion (s'pas très clair quand même), en gros le décompte c'est 2 ans après le dernier achat, sauf si y'a une garantie étendue.
Tu devrais contacter leur DPO je pense.
#7.3
#7.4
#8
bah tiens, c'est vrai que c'est si peu, quelques centaines de milliers...
#9
#9.1
Mais cela fait plus de 5 ans que je n'y ai pas commandé : il y a donc non respect du RGPD. Je suis en train de préparer mon courrier, et la plainte CNIL suivra.
#10
Ah bon alors tout va bien.
#10.1
#11
#11.1
#11.2
#11.3
Je ne sais pas s'il existe des choses équivalentes dans d'autres cas.
#12
Rien de grave juste de quoi faire du phising ciblé..
Historique des modifications :
Posté le 09/09/2024 à 22h15
« sont uniquement des données de livraison (adresse, mail, téléphone) »
Rien de grave juste de quoi faire du phising ciblé et réussie..
#13
#13.1
Tu peux donc recevoir le mail en double, triple, quadruple etc selon le nombre de marketplace concernées ;-)
#13.2
L'un à 11h51, l'autre 13h27.
Historique des modifications :
Posté le 10/09/2024 à 10h10
Non, les deux viennent de "Boulanger"
L'un à 11h51, l'autre 13h27.
#14
Un lien sur la page de ton compte qui t'envoie vers un article de FAQ qui t'indique comment aller sur leur page de gestion des données perso (grand prince, ils donnent un lien pour y accéder directement). Là, faut trouver quelle section déplier, se fader 2-3 paragraphes pour trouver enfin en discret un email pour envoyer sa demande 🙄
Bref, à voir combien de temps ça va mettre...
#15
#16
Avec le grand public ça fonctionne, dans l'écosystème cyber les Damien Bancal et autres Baptiste Robert sont vite catégorisés.
#17
Aucun partage d'information donc chaque victime se retrouve à devoir se défendre seule.
#17.1
#18
Chère cliente, Cher client,
Dans la nuit du vendredi 6 septembre, Boulanger a été victime d’un acte de cybermalveillance sur une partie de ses informations clients liées à la livraison.
Après analyse, nous tenions à vous informer que vos données personnelles sont concernées.
Les données récupérées sont liées à la livraison, à savoir :
Nom et Prénom
Adresse de livraison
Adresse e-mail
Numéro de téléphone
Les données relatives au mot de passe de votre compte client et aux données bancaires ne sont pas concernées et l’incident est désormais maîtrisé.
Nous tenons à vous présenter nos sincères excuses à la suite de cette situation que nous déplorons malgré notre extrême vigilance. Notre priorité constante reste la protection de vos données.
Nos équipes sont pleinement mobilisées depuis le début de cette situation. Et nous vous avons communiqué l’ensemble des informations en toute transparence aussitôt qu’elles ont été portées à notre connaissance. Nous vous invitons à la plus grande vigilance et à prendre toutes les précautions qui en découlent.
Par exemple, Boulanger ne vous demandera jamais par mail ou sms vos informations personnelles tels qu’un mot de passe ou vos coordonnées bancaires. Nous vous invitons donc à la plus grande prudence avant de cliquer sur un lien.
En cas de doute, n’hésitez pas à vous rapprocher de notre service client ou de votre magasin le plus proche.
Toutes nos équipes se tiennent à votre disposition pour vous accompagner et répondre à toutes vos questions à : [email protected]
Nous vous remercions pour votre compréhension et votre confiance.
Cordialement,
Les équipes Boulanger.