L'enseigne de surgelés Picard a récemment été victime d'une fuite de données concernant environ 45 000 clients membres de son programme de fidélité. Les pirates ont accédé aux informations des clients en se connectant à leurs comptes sans pirater directement la base de données de l'enseigne. Les données compromises incluent les noms, prénoms, dates de naissance, adresses mail, adresses postales, numéros de téléphone, numéros de carte de fidélité et informations concernant le compte fidélité. Les informations bancaires ne seraient pas compromises.
Tribune ESET – Les pirates ont probablement utilisé des données dérobées lors de fuites précédentes et la technique du « credential stuffing », qui consiste à tenter des milliers de combinaisons de mots de passe et d'identifiants pour accéder à des espaces protégés. Picard a renforcé la surveillance et les contrôles de sécurité des tentatives de connexion malveillantes et recommande à ses clients de changer leurs mots de passe. L'attaque a été signalée à la Commission nationale de l'informatique et des libertés (CNIL).
Benoit Grunemwald – Expert en Cybersécurité chez ESET France réagit :
« Les récentes fuites de données viennent s'ajouter aux précédentes, nourrissant les bases de données à la disposition des cybercriminels. Il est pourtant rare que les fuites de données contiennent les mots de passe en clair (non chiffrés). C'est pour cette raison que les pirates utilisent le bourrage d'identifiants.
Les entreprises possédant des portails clients doivent impérativement mettre en place des mesures de sécurité solides pour les protéger contre cette technique. Deux solutions permettent de limiter les chances de réussite de ce type d'attaque, d'une part l'authentification multi-facteur, qui demande aux utilisateurs de s'identifier avec plusieurs preuves d'identité (mot de passe, code envoyé par SMS, empreinte digitale, etc.) et d'autre part la limitation du nombre d'essais autorisés avant de bloquer temporairement le compte. Ceci empêche les attaquants de tester indéfiniment différentes combinaisons.
Par ailleurs, parmi les nombreuses recommandations à destination des internautes deux se détachent : utiliser des mots de passe uniques, ils limitent le risque de « credential stuffing » et utiliser un gestionnaire de mots de passe. Ceux-ci génèrent et stockent des mots de passe forts et uniques pour chaque compte. »