La série noire continue : fuites chez Auchan et Le Point (via un sous-traitant)
Le 19 novembre à 15h05
3 min
Sécurité
Sécurité
C’est à se demander si la liste arrêtera un jour de s’allonger…Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, et maintenant Auchan ainsi que le Point.
Plus de 500 000 clients concernés chez Auchan
Dans le cas du réseau de supermarché, on retrouve la ribambelle classique de données personnelles (peut-on d’ailleurs encore les qualifier ainsi tellement elles sont partout…) : « le nom, le prénom, l'adresse mail, l'adresse postale, le numéro de téléphone, la composition familiale si elle est renseignée, la date de naissance, le numéro de carte de fidélité et le montant de la cagnotte fidélité », explique un porte-parole à l’AFP. Données bancaires et mots de passe ne sont pas concernés.
Comme toujours en pareille situation, le groupe invite « à la plus grande vigilance au risque d'emails, SMS ou appels frauduleux ». Plus de 500 000 clients « associés à un compte de fidélité » sont concernés. Auchan ne précise par contre pas de quand date la cyberattaque.
L’ANSSI a signalé une fuite au Point
Le Point aussi informe ses utilisateurs avoir été la cible d’une cyberattaque : « Le 13 novembre dernier, l'Agence nationale de sécurité des systèmes d'information (Anssi) a signalé au journal une possible fuite de données personnelles ». Elles étaient en vente sur un forum prisé par les cybercriminels.
Nos confrères ont vérifié et confirmé la véracité des données. La fuite concerne « le nom, l'adresse email, le numéro de téléphone et l'adresse postale, et certaines autres données de manière marginale, comme la date de naissance, de ses abonnés ou d'anciens abonnés. Les pirates n'ont eu accès à aucune donnée sensible, notamment les données bancaires ».
Le retour du sous-traitant
« Les pirates informatiques auraient accédé à ces informations via un outil de gestion de la relation client utilisé par l'un des sous-traitants du journal », explique Le Point. Une plainte a été déposée devant le procureur de la République de Paris et la CNIL saisi.
Durant les multiples fuites de la rentrée, plusieurs sociétés ont pointé du doigt un partenaire/prestataire externe, sans jamais le nommer (et donc impossible de savoir si c’est le même à chaque fois). C’était le cas de Cultura, DiviaMobilités et Truffaut par exemple.
Signalons enfin une page dédiée mise en ligne par Aeris (bien connu sur les réseaux sociaux pour son combat en faveur du RGPD et ses multiples plaintes à la CNIL) pour savoir « c’est qui qui a fuité aujourd’hui ? ». Elle date de la semaine dernière et on y retrouve déjà cinq noms.
Le 19 novembre à 15h05
La série noire continue : fuites chez Auchan et Le Point (via un sous-traitant)
-
Plus de 500 000 clients concernés chez Auchan
-
L’ANSSI a signalé une fuite au Point
-
Le retour du sous-traitant
Commentaires (26)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/11/2024 à 15h10
D'après les news publiées, avez-vous été exposé à une fuite de données personnelles ?
Modifié le 19/11/2024 à 15h39
Sans compter toutes les anciennes fuites. Ca commence à faire beaucoup. Fut un temps où je ne recevais quasi plus aucun spam, mais avec toutes ces fuites récentes, c'est reparti de plus belle. J'en ai ras le bol.
Le 19/11/2024 à 16h16
Huttopia aussi mais visiblement, pas annoncé partout.
Il serait bien qu'il y ai vraiment une conscience dans ces boîtes.
Le 19/11/2024 à 15h16
Le 19/11/2024 à 15h52
Et l'outil n'est pas corrigé/patché par l'éditeur puis déployé ET maj chez les clients, c'est pas prêt de s'arrêter.
Ca peut aussi être une lib commune à plusieurs outils.
Tant qu'on n'a pas la cause/source réelle, ça va continuer.
Le 19/11/2024 à 15h19
Le 19/11/2024 à 15h30
Le 19/11/2024 à 15h54
Le 19/11/2024 à 16h13
Le 19/11/2024 à 17h15
Sinon on en parle de la minification des données ? Et des durées de conservation absurdes ? Certaines sociétés conservent 7 ans les données de simples prospects, quand la CNIL recommande 5 ans pour des... bulletins de paye !
Le 19/11/2024 à 18h25
Les alias pour les mails c'est fait, reste plus que le phone.
Proton/SimpleLogin en avait parlé il y a quelques temps, mais pas de nouvelles depuis.
J'avais essayé OnOff, mais j'avais hérité d'un numéro pas terrible, qui avait été utilisé pour des activités pas très convenable on va dire.
Le 19/11/2024 à 18h58
Autant pour les emails, il y a en virtuellement une infinité de disponible. Mais les numéros de téléphone ? On en aurait vite fait le tour...
Le 19/11/2024 à 19h27
Le problème c'est que beaucoup s'en servent pour crééer de fausses identités sur les plateformes entre particulier : leboncoin, tinder, et consors, s'en servent pour limiter et restreindre le spam, les arnauqes et escroqueries.
On/Off est aux plateformes de service en ligne, ce que le détecteur de radars Coyote était aux radars français.
Le 19/11/2024 à 22h38
Le 20/11/2024 à 07h44
Ça permet de mutualiser les numéros de spam entre tous les utilisateurs et de les bloquer sans même avoir aucune notif. Ça marche vraiment bien.
Le 19/11/2024 à 19h34
Ce genre d'informations n'étant que sur des sites spécialisés et communiqués aux clients (et rapidement oublié par ceux ci). Pourquoi s'en faire ?
en tout cas depuis les fuites de données de cette été je reçois du spam et des appels inconnus à tour de bras. Avant c'était quasi nul.
Le 19/11/2024 à 19h53
Le 19/11/2024 à 20h56
Le 19/11/2024 à 22h35
Le 19/11/2024 à 19h54
Le 20/11/2024 à 01h52
Modifié le 20/11/2024 à 19h31
Le 28/11/2024 à 13h56
"Les pirates n'ont eu accès à aucune donnée sensible, notamment les données bancaires"
Soit c'est les "données sensibles" au sens de la CNIL et donc du lien ci-dessus mais celui-ci n'évoque aucunement les "données bancaires", ce qui interroge sur le sens de la phrase.
Soit c'était "donnée sensible" au sens général et personnellement je trouve que, oui, les noms, emails, téléphones, adresses... dans la nature c'est bien un peu sensible...
Le 29/11/2024 à 10h01
A l'inverse, on ne risque pas d'usurpation d'identité par le vol des seules données bancaires, mais bien plus quand ce sont les noms, prénoms, date et lieu de naissance qui sont volés.
Le 30/11/2024 à 22h25
Le 02/12/2024 à 18h25