Skip to content
Chaîne d’approvisionnementContenu

Fuite chez Alltricks

En août 2025, le système d'emailing Sendinblue/Brevo du cybermarchand français de cycles et de sport Alltricks a été compromis ; les pirates ont envoyé aux clients des e-mails de phishing depuis l'infrastructure de la marque, exposant noms, adresses e-mail et historique d'achat.

Victime
Alltricks

Le 12 août 2025, Alltricks — cybermarchand français d'équipements de cyclisme, de running et de sports outdoor — a révélé une intrusion dans son système d'envoi d'e-mails marketing. Dès le matin du 11 août, des clients ont reçu des messages d'apparence parfaitement authentique : envoyés depuis le domaine légitime de la marque (r.sb3.alltricks.com), ils passaient l'ensemble des contrôles SPF, DKIM et DMARC, les rendant invisibles aux filtres anti-phishing classiques.

Ces messages constituaient en réalité une campagne de phishing. Ils invitaient les destinataires à renouveler leur mot de passe ou à ouvrir des fichiers Excel et des documents OneDrive, menant vers de fausses pages destinées à dérober leurs identifiants. L'attaque a été reliée à une compromission du compte utilisé par Alltricks chez son prestataire d'emailing Sendinblue (Brevo) : les pirates ont détourné l'infrastructure d'envoi de confiance du marchand pour diffuser les pièges.

Les catégories de données exposées semblent inclure :

  • Nom et prénom des clients
  • Adresses e-mail
  • Historique d'achat / de transactions (utilisé pour personnaliser les pièges)

Alltricks a indiqué qu'aucune donnée de paiement ou bancaire n'était concernée. L'entreprise a alerté ses clients le jour même, les a invités à ne pas ouvrir les messages, a déclaré mettre en place des mesures pour sécuriser son système et a indiqué qu'elle notifierait la CNIL comme l'exige la loi. Une enquête interne a été ouverte pour déterminer l'ampleur exacte d'une éventuelle exfiltration de données. (Cette intrusion du système d'emailing d'août 2025 est distincte d'une autre fuite, plus vaste, de la base clients d'Alltricks signalée ultérieurement.)

Sources

  1. zataz.comhttps://www.zataz.com/intrusion-chez-alltricks-comment-des-mails-frauduleux-ont-passe-tous-les-filtres/
  2. next.inkhttps://next.ink/195409/alltricks-pirate-de-faux-mails-avec-de-vrais-pieges-envoyes-aux-clients/
  3. frenchbreaches.comhttps://frenchbreaches.com/alertes/alltricks-a0d5393f8210

Incidents liés

Chaîne d’approvisionnementContenu

Fuite chez Mango

En octobre 2025, le détaillant de mode espagnol Mango a révélé qu'un prestataire marketing externe avait été compromis, exposant les prénom, pays, code postal, adresse e-mail et numéro de téléphone de clients ; aucun mot de passe ni donnée bancaire n'était concerné.

Victim
Mango
Chaîne d’approvisionnementContenu

Fuite chez Pandora

En août 2025, le bijoutier danois Pandora a révélé une compromission d'une plateforme CRM tierce (Salesforce) au cours de laquelle des attaquants ont dérobé des données de contact clients — noms, adresses email et dates de naissance — sans accès, selon l'entreprise, aux mots de passe ni aux données bancaires.

Victim
Pandora
Chaîne d’approvisionnementContenu

Fuite chez Afflelou

En avril 2025, l'enseigne française d'optique et d'audition Alain Afflelou a révélé une fuite causée par une vulnérabilité chez un prestataire CRM tiers, exposant les données personnelles et commerciales de milliers de clients et prospects.

Victim
Afflelou