Le 09 septembre, Boulanger envoyait à ses clients un message électronique afin de les prévenir d’un incident survenu dans la nuit du 06 au 07 septembre. Si certains médias se veulent alarmistes, les impacts potentiels de la violation survenue semblent limités.
L’incident
Dans la nuit du 06 au 07 septembre, Boulanger a été victime d’un acte de cybermalveillance sur un applicatif utilisé dans le cadre de son service de livraison à domicile. C’est alors assez logiquement que différents types d’informations nécessaires à la livraison ont pu être récupérées par les attaquants.
Le périmètre
Si le nombre total de personnes dont les données ont fuitées n’a pas encore été divulgué, il semble, au regard des dernières communications de l’enseigne, que l’incident ne concerne pas l’intégralité de la base de données ciblée.
Les informations ayant éventuellement été récupérées par les attaquants, elles sont connues :
- nom et prénom
- adresses de livraison
- adresse e-mail et numéro de téléphone du client
Les factures, coordonnées bancaires, et détails de la livraison (autant d’informations permettant de préparer une éventuelle attaque ciblée) ne semblent heureusement pas avoir été touchées.
La suite de l’incident
Les notifications
Suite à l’incident, et conformément à ses obligations en la matière, Boulanger indique avoir procédé à la notification de la violation de données auprès de la Commission Nationale de l’Informatique et des Libertés, ainsi qu’avoir travaillé à la maîtrise de l’incident.
Contacté, le service de protection des données de Boulanger a indiqué que le premier e-mail de notification, que certains clients ont reçu le 09 septembre, avait été envoyé à l’ensemble des clients présents au sein de l’applicatif, le temps d’identifier les clients réellement impactés par la violation.
Un nouvel e-mail, cette fois-ci le 16 septembre, a été envoyé uniquement aux personnes dont les données ont bien fuitées durant l’attaque. Vous n’avez pas reçu cet e-mail ? Bonne nouvelle ! vos données ne sont pas concernées.
Eviter la panique
Si l’évènement reste bien sûr gênant tout autant pour l’enseigne que pour ses clients, certains médias parlent aujourd’hui de la “potentielle plus grosse fuite de données de 2024” ou encore de “catastrophe” malgré le périmètre faible de la violation.
Attention surtout à ne pas tomber dans la paranoïa. Les données récupérées lors de l’incident, notamment les informations d’identité, ou les coordonnées de contact, sont pour la plupart des français déjà présentes sur Internet. Ils se pourraient même qu’elles aient déjà été concernées par une précédente violation de données (nous réalisions avant les vacances un article sur l’une des manières de le vérifier).
Enfin, le type de données récupérées reste limité pour un usage futur.
Malgré tout, prudence reste bien sûr de mise :
- attention à ne jamais fournir d’informations personnelles ou bancaires par téléphone, y compris à une personne qui se présenterai comme un collaborateur de Boulanger ;
- attention aux futurs e-mails que vous recevrez si vous êtes concernées par la violation : des individus malveillants pourraient tenter de vous soutirer des informations en se faisant passer pour le magasin ;
- ne fournissez jamais un identifiant et mot de passe par téléphone ou sms.