Connexion
Abonnez-vous

La série noire continue : fuites chez Auchan et Le Point (via un sous-traitant)

La série noire continue : fuites chez Auchan et Le Point (via un sous-traitant)

Le 19 novembre à 15h05

C’est à se demander si la liste arrêtera un jour de s’allonger…Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraiteRED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, et maintenant Auchan ainsi que le Point.

Plus de 500 000 clients concernés chez Auchan

Dans le cas du réseau de supermarché, on retrouve la ribambelle classique de données personnelles (peut-on d’ailleurs encore les qualifier ainsi tellement elles sont partout…) : « le nom, le prénom, l'adresse mail, l'adresse postale, le numéro de téléphone, la composition familiale si elle est renseignée, la date de naissance, le numéro de carte de fidélité et le montant de la cagnotte fidélité », explique un porte-parole à l’AFP. Données bancaires et mots de passe ne sont pas concernés.

Comme toujours en pareille situation, le groupe invite « à la plus grande vigilance au risque d'emails, SMS ou appels frauduleux ». Plus de 500 000 clients « associés à un compte de fidélité » sont concernés. Auchan ne précise par contre pas de quand date la cyberattaque.

L’ANSSI a signalé une fuite au Point

Le Point aussi informe ses utilisateurs avoir été la cible d’une cyberattaque : « Le 13 novembre dernier, l'Agence nationale de sécurité des systèmes d'information (Anssi) a signalé au journal une possible fuite de données personnelles ». Elles étaient en vente sur un forum prisé par les cybercriminels.

Nos confrères ont vérifié et confirmé la véracité des données. La fuite concerne « le nom, l'adresse email, le numéro de téléphone et l'adresse postale, et certaines autres données de manière marginale, comme la date de naissance, de ses abonnés ou d'anciens abonnés. Les pirates n'ont eu accès à aucune donnée sensible, notamment les données bancaires ».

Le retour du sous-traitant

« Les pirates informatiques auraient accédé à ces informations via un outil de gestion de la relation client utilisé par l'un des sous-traitants du journal », explique Le Point. Une plainte a été déposée devant le procureur de la République de Paris et la CNIL saisi.

Durant les multiples fuites de la rentrée, plusieurs sociétés ont pointé du doigt un partenaire/prestataire externe, sans jamais le nommer (et donc impossible de savoir si c’est le même à chaque fois). C’était le cas de Cultura, DiviaMobilités et Truffaut par exemple.

Signalons enfin une page dédiée mise en ligne par Aeris (bien connu sur les réseaux sociaux pour son combat en faveur du RGPD et ses multiples plaintes à la CNIL) pour savoir « c’est qui qui a fuité aujourd’hui ? ». Elle date de la semaine dernière et on y retrouve déjà cinq noms.

Le 19 novembre à 15h05

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
>C’est à se demander si la liste arrêtera un jour de s’allonger…Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, et maintenant Auchan ainsi que le Point.
Faudrait faire un sondage auprès des lecteurs:

D'après les news publiées, avez-vous été exposé à une fuite de données personnelles ?
votre avatar
Si je reprend la liste, je suis dans 6 des dernières fuites.
Sans compter toutes les anciennes fuites. Ca commence à faire beaucoup. Fut un temps où je ne recevais quasi plus aucun spam, mais avec toutes ces fuites récentes, c'est reparti de plus belle. J'en ai ras le bol.
votre avatar
Et encore des fuites.
Huttopia aussi mais visiblement, pas annoncé partout.
Il serait bien qu'il y ai vraiment une conscience dans ces boîtes.
votre avatar
ce qui serait intéressant c'est est ce que les failles exploités sont connues, et/ou toujours les même?
votre avatar
Le même outil chez différents prestataire à défaut du même prestataire.
Et l'outil n'est pas corrigé/patché par l'éditeur puis déployé ET maj chez les clients, c'est pas prêt de s'arrêter.
Ca peut aussi être une lib commune à plusieurs outils.
Tant qu'on n'a pas la cause/source réelle, ça va continuer.
votre avatar
À ce point-là, on peut considérer que pratiquement toute la population française est dans une fuite ou une autre à force.
votre avatar
Les cyberattaques sont désormais « constantes et quasiment continues », comme dit un excelllllllllent expert :bisous:
votre avatar
Est-ce qu'il va rester quelque chose de privé à protéger à force ? :'(
votre avatar
Nos pensées ? Mais pour combien de temps ? :roll:
votre avatar
Faites une actu ur ceux qui n'ont pas (encore) été concernés, ça ira plus vite :-D
Sinon on en parle de la minification des données ? Et des durées de conservation absurdes ? Certaines sociétés conservent 7 ans les données de simples prospects, quand la CNIL recommande 5 ans pour des... bulletins de paye !
votre avatar
J'attends un service type Cloaked / MySudo en France pour avoir des numéros de téléphone pour limiter les effets de bord de ces fuites.

Les alias pour les mails c'est fait, reste plus que le phone.
Proton/SimpleLogin en avait parlé il y a quelques temps, mais pas de nouvelles depuis.

J'avais essayé OnOff, mais j'avais hérité d'un numéro pas terrible, qui avait été utilisé pour des activités pas très convenable on va dire.
votre avatar
Tant qu'on est limité au format des numéros de téléphone actuels, je sais même pas comment un tel service pourrait fonctionner.
Autant pour les emails, il y a en virtuellement une infinité de disponible. Mais les numéros de téléphone ? On en aurait vite fait le tour...
votre avatar
"J'avais essayé OnOff, mais j'avais hérité d'un numéro pas terrible, qui avait été utilisé pour des activités pas très convenable on va dire."

Le problème c'est que beaucoup s'en servent pour crééer de fausses identités sur les plateformes entre particulier : leboncoin, tinder, et consors, s'en servent pour limiter et restreindre le spam, les arnauqes et escroqueries.

On/Off est aux plateformes de service en ligne, ce que le détecteur de radars Coyote était aux radars français.
votre avatar
@aware2 Merci pour votre retour d'expérience avec OnOff que j'allais essayer suite à toutes les fuites dans lesquelles je figure afin d'essayer de dissocier numéro de téléphone vraiment personnel et numéro de téléphone pour les achats en ligne, doctolib, etc... Je dois dire que votre retour d'expérience m'incite à ne pas le faire.
votre avatar
Il existe une appli 'call filter' ou filtre d'appel sous Android
Ça permet de mutualiser les numéros de spam entre tous les utilisateurs et de les bloquer sans même avoir aucune notif. Ça marche vraiment bien.
votre avatar
Je n'arrive pas à savoir si l'une de ces entreprises aura à faire face à des conséquences pécuniaires (à part les couts directes à traiter la fuite de données).
Ce genre d'informations n'étant que sur des sites spécialisés et communiqués aux clients (et rapidement oublié par ceux ci). Pourquoi s'en faire ?
en tout cas depuis les fuites de données de cette été je reçois du spam et des appels inconnus à tour de bras. Avant c'était quasi nul. :frown:
votre avatar
Le prochain service qui me demande mes données personnelles je gueule 😅
votre avatar
Bah pourquoi te les demanderaient-elles ? Elles sont en open-data, même plus besoin.
votre avatar
Tu va s renoncer à l'assurance retraite ?
votre avatar
Durant les multiples fuites de la rentrée, plusieurs sociétés ont pointé du doigt un partenaire/prestataire externe, sans jamais le nommer
faudrait SURTOUT PAS que les autres entreprises puisse se protéger de façon préemptives...
votre avatar
La fuite concerne « le nom, l'adresse email, le numéro de téléphone et l'adresse postale, et certaines autres données de manière marginale, comme la date de naissance, de ses abonnés ou d'anciens abonnés. Les pirates n'ont eu accès à aucune donnée sensible...
Depuis quand le nom, l'adresse email, le numéro de téléphone et l'adresse postale... ne sont pas des données sensibles ?
votre avatar
Relis le RGPD pour savoir ce qu'est une donnée sensible ou lis ce que résume la CNIL
votre avatar
La phrase est:
"Les pirates n'ont eu accès à aucune donnée sensible, notamment les données bancaires"

Soit c'est les "données sensibles" au sens de la CNIL et donc du lien ci-dessus mais celui-ci n'évoque aucunement les "données bancaires", ce qui interroge sur le sens de la phrase.

Soit c'était "donnée sensible" au sens général et personnellement je trouve que, oui, les noms, emails, téléphones, adresses... dans la nature c'est bien un peu sensible...
votre avatar
Clairement je suis toujours surpris de voir toujours autant d'insistance sur les données bancaires et leur prétendue sensibilité. Pour moi c'est certainement les données les moins sensibles d'un profil utilisateur dans la mesure ou ce sont les banques qui supportent le risque de leur vol.

A l'inverse, on ne risque pas d'usurpation d'identité par le vol des seules données bancaires, mais bien plus quand ce sont les noms, prénoms, date et lieu de naissance qui sont volés.
votre avatar
Exactement :dix:
votre avatar
Merci beaucoup pour ce lien. Toutefois dans la fuite du point, sauf erreur de ma part, ce journal étant traditionnellement classé à droite (https://fr.wikipedia.org/wiki/Le_Point), on peut en déduire que cette fuite concerne des données sensibles (à mon sens). Qu'en pensez-vous ?

La série noire continue : fuites chez Auchan et Le Point (via un sous-traitant)

  • Plus de 500 000 clients concernés chez Auchan

  • L’ANSSI a signalé une fuite au Point

  • Le retour du sous-traitant

Fermer