Le début de l’année 2025 est marqué par des cyberattaques visant deux grandes enseignes françaises du e-commerce, Kiabi et Showroomprivé. Ces incidents révèlent des failles dans la sécurité des données et posent des questions sur la protection des consommateurs en ligne.
Piratage : Kiabi et Showroomprivé touchés, faites attention !
Par
Publié le 15 janvier 2025 à 6h21
99%Microsoft a constaté que le MFA peut bloquer plus de 99,9 % des attaques de compromission de compte
Entre le 3 et le 7 janvier 2025, les plateformes de Kiabi et Showroomprivé ont été la cible d'attaques informatiques sophistiquées. Utilisant une technique de piratage bien connue des experts en cybersécurité, le credential stuffing, les pirates ont exploité des bases de données d'identifiants volés lors de précédentes fuites pour accéder à des comptes utilisateurs. Ces attaques, bien que similaires dans leur approche, ont eu des conséquences très différentes pour les deux entreprises. Si Showroomprivé a réussi à contenir les tentatives sans compromettre les données de ses clients, Kiabi a vu les informations personnelles et financières de 20 000 utilisateurs exposées.
Le credential stuffing : une faille comportementale exploitable à grande échelle
Le credential stuffing repose sur une faiblesse courante chez les internautes : la réutilisation des mêmes mots de passe sur plusieurs plateformes. Les pirates collectent des identifiants dérobés lors de fuites précédentes pour les tester automatiquement sur différents sites. Si une combinaison fonctionne, ils accèdent au compte ciblé et peuvent en extraire des informations sensibles. Cette technique s'appuie sur des outils automatisés capables de tester des milliers, voire des millions de combinaisons en un temps record, rendant la tâche des entreprises de plus en plus complexe.
Les bases de données utilisées par les pirates proviennent souvent de fuites massives sur des plateformes peu sécurisées. Ces listes d’identifiants sont ensuite revendues ou partagées sur des forums clandestins, alimentant un marché noir particulièrement actif. Ce qui rend le credential stuffing redoutable, c’est sa simplicité d’exécution. Un pirate n’a pas besoin de pénétrer directement les systèmes de sécurité d’une entreprise : il suffit que les utilisateurs eux-mêmes ne changent pas régulièrement leurs identifiants ou qu’ils utilisent des mots de passe faibles.
Showroomprivé : une réaction rapide contre le piratage permet d'éviter le pire
Showroomprivé, spécialiste des ventes privées en ligne, a détecté des connexions suspectes sur sa plateforme entre le 3 et le 6 janvier 2025. Ces tentatives n'ont pas abouti à des fuites de données grâce à une surveillance constante et des mécanismes de protection avancés. Dès les premiers signes d'activité inhabituelle, l’entreprise a réinitialisé les mots de passe des comptes ciblés, empêchant ainsi les pirates de poursuivre leurs actions.
Dans un courriel adressé à ses utilisateurs, Showroomprivé a recommandé de modifier les mots de passe sur toutes les plateformes où des identifiants similaires pourraient avoir été utilisés. Cette communication proactive, accompagnée d’une transparence sur la nature des attaques, a permis de rassurer les clients tout en leur fournissant des conseils pratiques pour sécuriser leurs données. L’entreprise a également mis en avant ses systèmes de détection, capables d’identifier rapidement des comportements anormaux, illustrant l’importance d’investir dans des technologies préventives.
Kiabi : 20 000 comptes compromis et des IBAN volés
Contrairement à Showroomprivé, Kiabi a été plus durement touché. L’attaque a ciblé l’ancien site de seconde main de la marque, une plateforme moins fréquentée mais visiblement moins bien protégée. Les pirates ont réussi à accéder aux données personnelles et financières de 20 000 clients, incluant des noms, prénoms, coordonnées complètes, et IBAN utilisés pour des transactions. Kiabi a certes immédiatement pris des mesures pour masquer les IBAN et alerter les clients concernés, mais le mal était fait et les risques sont plus qu’importants
Clément Domingo, alias SaxX, expert en cybersécurité, a révélé sur les réseaux sociaux que les pirates avaient utilisé des bots pour tester des millions de combinaisons d’identifiants. Au final, près de 20 000 comptes ont été compromis. Si les systèmes centraux de Kiabi n’aient pas été directement piratés, l’impact sur les utilisateurs est bien réel. Les données financières, notamment les IBAN, sont particulièrement sensibles, car elles peuvent être utilisées pour des tentatives de fraude bancaire.
🚨🔴CYBERALERT : 🇫🇷FRANCE🔴 | 💥L'enseigne KIABI a aussi subi une cyberattaque de type credential stuffing ayant impacté de nombreux utilisateurs !
L'info est toute fraîche et provient du RSSI de Kiabi lui même, Jean-Luc Vandendriessche.
"Chez KIABI, nous venons de subir la… pic.twitter.com/MwMwocMuHM
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) January 14, 2025
Le credential stuffing : un piratage simple, efficace et redoutable
Ces incidents illustrent les enjeux de la cybersécurité dans un environnement numérique de plus en plus interconnecté et susceptible de piratages. Pour contrer le credential stuffing, les entreprises doivent mettre en place des stratégies de protection avancées. Par exemple, limiter le nombre de tentatives de connexion, utiliser des systèmes d’authentification multi-facteurs et détecter les activités suspectes en temps réel sont des pratiques essentielles. Ces mesures sont désormais indispensables pour protéger non seulement les données des utilisateurs mais également la réputation des entreprises.
Benoît Grunemwald, expert chez ESET France, rappelle que l’ajout d’une authentification multi-facteur peut grandement réduire les risques. Même si un pirate possède le bon mot de passe, un code éphémère ou une demande de validation sur un second appareil peut empêcher l'accès au compte. En outre, des technologies comme les connexions sans mot de passe commencent à émerger, offrant des alternatives aux identifiants traditionnels.
Un avertissement pour les internautes : changez vos mots de passe !
Ces attaques sont également un rappel pour les utilisateurs de l’importance de sécuriser leurs comptes en ligne. La réutilisation des mots de passe reste l’une des principales failles. Opter pour un gestionnaire de mots de passe permet de créer des combinaisons uniques et complexes, rendant la tâche des pirates beaucoup plus difficile.
De même, changer régulièrement ses identifiants et activer l’authentification multi-facteur sur toutes les plateformes possibles sont des gestes simples mais efficaces.
Les piratages de Kiabi et Showroomprivé dévoilent une tendance préoccupante. Alors que les pirates s’appuient sur des techniques de plus en plus automatisées, les entreprises et les consommateurs doivent s’adapter rapidement pour faire face à ces menaces. Si Showroomprivé a su limiter les dégâts grâce à une anticipation et une réaction rapide, le cas de Kiabi souligne les conséquences d’une protection insuffisante.