Le 12 novembre 2024, une cyberattaque a frappé Picard, célèbre enseigne de produits surgelés. Cette attaque a exposé les données personnelles de 45 000 clients de son programme de fidélité. Bien que l’entreprise ait assuré que les informations bancaires ne sont pas concernées, cette fuite pose des risques importants pour les clients affectés. Mais que s’est-il vraiment passé ? Quels dangers pour les consommateurs, et comment se protéger ?
ALERTE : fuite de données de milliers de clients chez Picard
L'attaque contre Picard : une intrusion ciblée
D’après un communiqué de Picard, des tiers ont réussi à accéder aux comptes clients via une faille de sécurité, possiblement en utilisant une méthode connue sous le nom de « credential stuffing ». Cette technique exploite les informations de connexion (identifiants et mots de passe) récupérées lors d’autres piratages pour essayer de se connecter aux comptes des utilisateurs sur différentes plateformes. « Nous avons détecté, par l’intermédiaire de mesures techniques mises en place par Picard, un accès non autorisé à votre compte Picard par des tiers », explique l’entreprise dans le mail envoyé aux clients.
Données compromises :
- Identité : nom, prénom, et date de naissance ;
- Coordonnées : adresse e-mail, adresse postale, et numéro de téléphone ;
- Informations de fidélité : numéro de carte de fidélité, points et éventuels bons de réduction.
« Les informations bancaires ne sont pas concernées, car elles ne sont pas accessibles sur l’espace client », assure Picard dans un e-mail adressé aux clients concernés. La société a immédiatement notifié la Commission nationale de l’informatique et des libertés (CNIL), conformément aux exigences légales en cas de violation de données.
Piratage de Picard : Quels sont les risques pour les clients ?
La fuite de données chez Picard expose les clients à plusieurs menaces, parmi lesquelles le phishing, l’usurpation d’identité, et les arnaques ciblées.
a) Phishing et arnaques numériques
Les cybercriminels pourraient profiter de ces informations pour envoyer des e-mails ou des SMS frauduleux, prétendant représenter Picard ou d'autres services, afin de recueillir encore plus de données. Par exemple, ils peuvent inciter les utilisateurs à cliquer sur un lien sous prétexte de vérifier leur compte, ou leur promettre des avantages comme des chèques-cadeaux fictifs pour les inciter à fournir leurs informations bancaires.
b) Usurpation d’identité et fraudes
Avec des informations personnelles telles que les coordonnées et l’historique d’achats, les criminels peuvent usurper l’identité des victimes pour effectuer des démarches frauduleuses, telles que des ouvertures de comptes ou des achats sous leur nom. Cette menace d’usurpation est amplifiée par le niveau de détail des données compromises.
🚨🔴CYBERALERT, 🇫🇷FRANCE🔴 | Picard a prévenu 45000 de ses clients d'un accès frauduleux à leurs données.
Dans un mail envoyé à certains leurs clients, 45 000 au total, l'enseigne de surgelés Picard informe ses clients que leur compte a fait l'objet d'un "accès non autorisé… pic.twitter.com/a0V0Y9P5es
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) November 12, 2024
Tableau récapitulatif des données volées et des risques encourus
Type de données compromises | Risques potentiels |
---|---|
Identité : nom, prénom, date de naissance | Usurpation d’identité |
Coordonnées : adresse, e-mail, téléphone | Phishing, arnaques ciblées |
Détails de fidélité : carte, points | Fraudes et exploitation des avantages |
Réactions et mesures de sécurité prises par Picard
En réponse à l'incident, Picard a renforcé ses systèmes de sécurité et surveille de près toutes les tentatives de connexion suspectes sur les comptes clients. L’enseigne a recommandé aux clients concernés de changer immédiatement leur mot de passe et de faire preuve de prudence face aux communications suspectes.
Recommandations spécifiques de Picard :
- Changer de mot de passe sur le compte Picard et, si le même mot de passe est utilisé ailleurs, le modifier également sur les autres sites.
- Activer l’authentification à deux facteurs pour les comptes offrant cette option.
- Vérifier attentivement les e-mails et SMS reçus pour éviter de tomber dans le piège du phishing.
- Ne pas cliquer sur des liens douteux et signaler tout e-mail suspect au service client de Picard.
Une hausse inquiétante des cyberattaques en France
Cette cyberattaque s’ajoute à une série d’intrusions numériques visant des entreprises françaises ces derniers mois. En septembre 2024, des enseignes comme Boulanger et Cultura ont elles aussi été victimes de fuites de données, exposant respectivement des centaines de milliers et 1,5 million de clients à des risques similaires. La hausse de ces attaques met en lumière la vulnérabilité des données personnelles dans l'ère numérique et appelle les entreprises à adopter des protocoles de sécurité de plus en plus rigoureux.
Les clients, de leur côté, sont invités à adopter de bonnes pratiques pour se protéger :
- Utiliser des mots de passe uniques et complexes pour chaque service en ligne.
- Éviter de réutiliser les mêmes identifiants sur plusieurs sites.
- Mettre à jour leurs informations et systèmes de sécurité régulièrement.