Les fuites continuent : Truffaut informe ses clients et pointe lui aussi un prestataire

Les jours se suivent et se ressemblent. Lundi, Boulanger a annoncé être victime d’une fuite de données sur « quelques centaines de milliers de clients ». Mardi, c’était au tour de Cultura sur 1,5 million de clients, avec le dépôt d’une plainte. En fin de semaine dernière, c’était DiviaMobilités. Point commun entre Cultura et Divia : la fuite vient d’un prestataire externe, dont l’identité n’est pas précisée.

Ce mercredi, c’est au tour de Truffaut, comme l’indique Guillaume Champeau sur X : « Nous vous informons qu’un de nos prestataires informatiques externes a été visé par un acte de cyber malveillance. Ainsi, les données personnelles liées aux commandes réalisées sur Truffaut.com ont été ciblées. Aucune donnée bancaire n’est concernée ».

L’enseigne ajoute que l’incident est résolu et elle reprend un élément de langage de Boulanger avec une « vigilance renforcée ». Truffaut se distingue en donnant dans son message la messagerie pour contacter son délégué à la protection des données (DPO) : [email protected]. On regrette par contre que la liste précise des données dérobées ne soit pas donnée.

Comme nous l’expliquions hier, un pirate affirme détenir et mettre en vente des bases de données provenant de Cultura, Truffaut et Divia. Pour le moment, c’est donc un carton plein. Mais d’autres sociétés pourraient suivre suivant la présence du prestataire. Selon Zataz (merci floh), le prestataire pourrait être Octave.biz et on pourrait s’attendre à d’autres annonces de fuites chez GrosBill, PepeJeans et CyberTek.

Selon SaxX., la base de données Truffaut mise en vente contiendrait 277 000 comptes clients. On l’a vu avec Cultura et Boulanger, les chiffres ne sont généralement pas les mêmes entre les services presse des enseignes et les revendications du pirate. Nous avons contacté Truffaut pour de plus amples renseignements, sans réponse pour l’instant.

Comme toujours, le principal risque est une tentative de phishing. Une personne malveillante peut tenter de se faire passer pour Truffaut avec les données récupérées et vous soutirer ensuite d’autres informations, voire de l’argent. Prudence donc.

Commentaires (10)


Sait-on si Jules et Jim sont dans la liste des clients affectés par cette fuite de données ?

Oui, je sais où se trouve la sortie...! ---> []
J'ai aussi reçu avant hier un mail de Boulanger indiquant que des données sur les livraisons avaient fuité. Ils "rassurent" en disant que les données bancaires ne sont pas impactées, mais ne disent rien sur les données personnelles. Ils disent que c'est "résolu" car ils ont mis des correctifs en place. Leur mail donne une impression de "circulez, y'a rien à voir"...
Pour Boulanger, on en a parlé lundi :)
Pour Truffaut je pense que c'est un autre prestataire.

Il y en a plusieurs qui revendique ce client dont celui-ci qui fait dans la logistique.
https://www.shippingbo.com/integrations/solution-logistique-truffaut/

Il revendique aussi Boulanger. :
https://www.shippingbo.com/integrations/solution-logistique-boulanger/
On voit aussi le logo de Décathlon (logique puisqu'ils partagent une même galaxie d'actionnaires).

Je n'ai donc pas d'informations à ce sujet mais tout se recoupe. Les 2 sociétés sont clients de ce prestataire logistique et Boulanger avait avertit que c'était les données de livraison uniquement qui avaient fuitées.
Je n'ai pas (encore ?) reçu de message de Cultura & de Truffaut…

Bientôt, ça sera plus simple d'établir la liste des sites qui ne se sont pas (encore) fait trouer que l'inverse :(

Edit : après vérif, visiblement mes comptes Cultura & Truffaut avaient été supprimés par les deux sites (pas d'actions dessus depuis longtemps).

Un bon point, si les données ne se sont pas retrouvées quand même dans les données fuitées.
Modifié le 11/09/2024 à 17h51

Historique des modifications :

Posté le 11/09/2024 à 17h41


Je n'ai pas (encore ?) reçu de message de Cultura & de Truffaut…

Bientôt, ça sera plus simple d'établir la liste des sites qui ne se sont pas (encore) fait trouer que l'inverse :(

Octave a subit une attaque par raçongiciel à la mi-août. Cette attaque continue d'affecter plusieurs éditeurs et distributeurs clients d'Octave. Pas cool en pleine rentrée littéraire.
https://actualitte.com/article/118886/technologie/piratage-les-petits-editeurs-paralyses-en-pleine-rentree-litteraire

La sécurité des données personnelles ne peut pas être garantie sur internet.

Même le président de la république ne peut protéger les info sur sa vaccination covid ...


Si les données sont vraiment sensibles, elle ne doivent pas être accessibles depuis internet.
Pour le reste, il faut réduire au strict nécessaire les informations réclamées au internautes, et limiter les durée de stockage.

Vu la quantité de sites manipulant des données sensibles, ce n'est probablement qu'une question de temps avant que nous soyons tous exposés.
Si les données sont vraiment sensibles, elle ne doivent pas être accessibles depuis internet.


La donnée n'a pas besoin d'être exposée directement pour fuiter. Elle peut être extraite par rebond via une autre application dont l'exposition est justifiée, ou encore via compte d'un profil à privilège, ou tout simplement depuis le réseau interne avec un poste vérolé.

SebGF

Si les données sont vraiment sensibles, elle ne doivent pas être accessibles depuis internet.


La donnée n'a pas besoin d'être exposée directement pour fuiter. Elle peut être extraite par rebond via une autre application dont l'exposition est justifiée, ou encore via compte d'un profil à privilège, ou tout simplement depuis le réseau interne avec un poste vérolé.
En effet, les chemins pour récupérer les données peuvent êtres indirects.

Dans notre société actuelle ou le numérique nous permet de faire toujours plus de choses, toujours plus vite, nous nous retrouvons aussi à exposer plus de données.

Si je prends le cas du fichier médical partagé: c'est une super idée pour la plupart des situations. Mais quelle prise de risque à long terme !
Au moins, le lien fourni vers les protocoles d'action de la CNIL et de l'ANSSI sont très utiles.

Y'a pas de lien ? Un oubli ? Non, la CNIL et l'ANSSI n'en ont rien à battre manifestement, démerdez vous et circulez y'a rien à voir...
Fermer