Les jours se suivent et se ressemblent. Lundi, Boulanger a annoncé être victime d’une fuite de données sur « quelques centaines de milliers de clients ». Mardi, c’était au tour de Cultura sur 1,5 million de clients, avec le dépôt d’une plainte. En fin de semaine dernière, c’était DiviaMobilités. Point commun entre Cultura et Divia : la fuite vient d’un prestataire externe, dont l’identité n’est pas précisée.
Ce mercredi, c’est au tour de Truffaut, comme l’indique Guillaume Champeau sur X : « Nous vous informons qu’un de nos prestataires informatiques externes a été visé par un acte de cyber malveillance. Ainsi, les données personnelles liées aux commandes réalisées sur Truffaut.com ont été ciblées. Aucune donnée bancaire n’est concernée ».
L’enseigne ajoute que l’incident est résolu et elle reprend un élément de langage de Boulanger avec une « vigilance renforcée ». Truffaut se distingue en donnant dans son message la messagerie pour contacter son délégué à la protection des données (DPO) : d.dpo@truffaut.com. On regrette par contre que la liste précise des données dérobées ne soit pas donnée.
Comme nous l’expliquions hier, un pirate affirme détenir et mettre en vente des bases de données provenant de Cultura, Truffaut et Divia. Pour le moment, c’est donc un carton plein. Mais d’autres sociétés pourraient suivre suivant la présence du prestataire. Selon Zataz (merci floh), le prestataire pourrait être Octave.biz et on pourrait s’attendre à d’autres annonces de fuites chez GrosBill, PepeJeans et CyberTek.
Selon SaxX., la base de données Truffaut mise en vente contiendrait 277 000 comptes clients. On l’a vu avec Cultura et Boulanger, les chiffres ne sont généralement pas les mêmes entre les services presse des enseignes et les revendications du pirate. Nous avons contacté Truffaut pour de plus amples renseignements, sans réponse pour l’instant.
Comme toujours, le principal risque est une tentative de phishing. Une personne malveillante peut tenter de se faire passer pour Truffaut avec les données récupérées et vous soutirer ensuite d’autres informations, voire de l’argent. Prudence donc.