[Article mis à jour le 14/11/2024 à 16h39] - L'enseigne Picard rejoint la liste des entreprises françaises victimes d'une cyberattaque. Ce 12 novembre, le géant des surgelés annonce que 45 000 comptes clients de son programme de fidélité ont été piratés.

La série noire des enseignes françaises continue © Hiroshi Mori / Shutterstock
La série noire des enseignes françaises continue © Hiroshi Mori / Shutterstock

La série noire de la cybercriminalité en France semble bien partie pour durer. Après Boulanger et ses 27 millions de comptes compromis, Cultura et ses 2,6 millions de données clients dérobées, ou encore les jardineries Truffaut avec 277 000 comptes piratés, c'est au tour de Picard de subir les assauts des cybercriminels.

L'enseigne de surgelés vient d'alerter par e-mail les 45 000 membres de son programme de fidélité d'un « accès non autorisé » à leurs données personnelles. Un nouvel incident qui n'est pas sans rappeler l'analyse de Jean Gebarowski, expert en cybersécurité, selon qui les cyberattaques sont désormais « constantes et quasiment continues ».

La recette des hackers pour pénétrer les comptes Picard

Si Picard entre dans la lignée des enseignes françaises piratées ces derniers mois, la méthode employée pour cette cyberattaque tranche avec les précédents incidents.

Alors que d'autres enseignes ont été victimes d'intrusions par un prestataire commun, les pirates ont cette fois-ci opté pour une technique plus sophistiquée, même si elle est loin d'être inédite : le « credential stuffing ». Ce « bourrage d'identifiants » consiste à utiliser des identifiants et mots de passe déjà volés lors de précédentes fuites pour tenter d'accéder aux comptes des utilisateurs. Les cybercriminels n'inventent rien, ils ne font qu'exploiter une faille humaine : la réutilisation des mêmes mots de passe sur différents sites.

Et le fait que l'enseigne de surgelés affirme n'avoir détecté aucune intrusion dans ses systèmes centraux confirme le succès de cette stratégie d'attaque détournée. Comme l'explique Jean Gebarowski, « la sécurité informatique est une question de processus, et non d'outillage ». Picard a indiqué avoir effectué une notification à la CNIL et un renforcement des mesures de sécurité, mais l'expert rappelle que « la sécurité à 100 % n'existe pas ». Une vérité qui fait froid dans le dos.

Optez pour un gestionnaire de mots de passe pour vous protéger du credential stuffing © tsingha25 / Shutterstock
Optez pour un gestionnaire de mots de passe pour vous protéger du credential stuffing © tsingha25 / Shutterstock

La France subit une vague sans précédent de cyberattaques depuis septembre

Triste constat donc que de voir Picard entrer dans la famille de plus en plus nombreuse des marques et enseignes françaises cyberattaquées. Dès le mois de septembre, le « gentil hacker » SaxX anticipait déjà que « d'autres entreprises [allaient] suivre », avec 7 à 8 enseignes nationales dans le collimateur des pirates. Plus inquiétant encore, ces données alimenteront probablement des campagnes d'hameçonnage ciblées par région et type de population.

Comme le montre SaxX sur son compte X, Picard donne dans son e-mail aux clients concernés les recommandations habituelles.

Le roi du surgelé préféré des Français, conseille la modification de leurs identifiants et la vigilance, notamment en vérifiant leurs e-mails dans lesquels pourraient se trouver des tentatives de phishing ou de ransomware après le vol de leurs données.

Clubic vous invite à suivre les mêmes précautions, tout comme à faire le choix d'un gestionnaire de mots de passe et d'un bon antivirus, parmi nos comparatifs des meilleurs services ci-dessous.

À découvrir
Meilleur antivirus, le comparatif en décembre 2024

01 décembre 2024 à 11h06

Comparatifs services

Source : Le Parisien