Auchan alerte ses clients après avoir été victime d'une cyberattaque. Dans un mail adressé à certains utilisateurs, la chaîne de supermarché française indique avoir été victime d'une cyberattaque. Au cours de l'intrusion, les cybercriminels sont parvenus à dérober une quantité considérable de données personnelles des consommateurs. Néanmoins, Auchan assure à ses clients que les données bancaires, mots de passe, et code pin ne sont pas concernées. L'attaque a également été notifiée à la CNIL.
Fuites de données à répétition, un risque de banalisation ?
Tribune / Benoit Grunemwald – Expert en Cybersécurité chez ESET France réagit :
La multiplication des fuites de données personnelles est devenue un phénomène préoccupant. S'il y a banalisation, cela risque d'avoir un effet pervers : le découragement des internautes face à la cybersécurité. En effet, pourquoi investir temps et énergie dans la protection de ses comptes si les entreprises elles-mêmes ne semblent pas accorder suffisamment d'importance à ces données ?
Ce désengagement aurait des conséquences graves tant sur le plan économique que social. Une baisse de la vigilance des utilisateurs, déjà insuffisante, faciliterait davantage les violations de données et éroderait la confiance envers l'ensemble des acteurs numériques.
Pour briser ce cercle vicieux, deux leviers demeurent essentiels : d'une part, maintenir des actions de sensibilisation continues auprès du public et accompagner les entreprises dans leur transformation numérique sécurisée. L'Europe et les états membre ont saisi l'importance du sujet. Le cadre réglementaire évolue au travers plusieurs textes majeurs (DMA, DSA, RGPD, NIS2, DORA…) qui harmonisent les exigences de résilience et prévoient des sanctions dissuasives contre les acteurs négligents. La grande majorité des entreprises ne prennent pas le sujet à la légère. A l'heure où les données sont le nouvel or noir, elles sont conscientes de la valeur des informations personnelles qu'elles collectent et détiennent. Les entreprises investissent pour protéger leur patrimoine numérique, certes parfois insuffisamment, mais la tâche est ardue, même pour les bons élèves.
Quels sont les risques liés à la fuite des données de l'enseigne Auchan ? Celle-ci est assez complète. Elle contient le nom, l'adresse mail, le numéro de téléphone et l'adresse postale, la composition du foyer et les numéros et valeur du compte de fidélité. Certes pas de mot de passe, mais de quoi créer ou enrichir une base de données sur des cibles potentielles.
Quelles sont les exploitations possibles de ces données ?
Les coordonnées complètes vont venir alimenter les bases de données déjà bien fournies des dernières fuites de données. Elles peuvent être utilisées pour des campagnes d'hameçonnage ciblées ou génériques. Notons que les nombreux détails peuvent donner lieu à des messages très précis et donc très convaincants.
On peut imaginer que l'adresse postale apporte un ciblage géographique, ce qui peut être utile pour des arnaques aux fausses zones ZFE par exemple.