Skip to content
Bourrage d’identifiantsContenu

Fuite chez Kiabi

En janvier 2025, l'enseigne française Kiabi a révélé une attaque par credential stuffing sur son site de seconde main (secondemain.kiabi.com) ayant exposé les nom, date de naissance, coordonnées et IBAN d'environ 20 000 clients.

Victime
Kiabi
données
20.0K

Le 14 janvier 2025, Kiabi — grande enseigne française de prêt-à-porter — a révélé que son site de revente d'occasion, secondemain.kiabi.com, avait été visé par une attaque par credential stuffing détectée le 7 janvier. Les attaquants ont utilisé des couples identifiant/mot de passe issus de fuites sans rapport pour s'introduire massivement, via des bots automatisés, dans les comptes clients de la plateforme.

En accédant à ces comptes, les cybercriminels ont pu récupérer des données personnelles et bancaires partielles d'environ 20 000 clients. La fuite est restée circonscrite au site de seconde main et n'a pas touché la plateforme e-commerce principale de Kiabi.

Les données exposées comprenaient :

  • Nom et prénom
  • Date de naissance
  • Adresse postale et coordonnées
  • IBAN (lorsque le client en avait enregistré un)

Kiabi a précisé que les RIB complets et les pièces d'identité n'ont pas été compromis, ceux-ci étant détenus par son partenaire de paiement Lemonway et non accessibles depuis les comptes clients. En réponse, l'entreprise a masqué les IBAN dans les comptes, imposé la réinitialisation de tous les mots de passe et porté la longueur minimale du mot de passe à 14 caractères. Cette vague d'attaques par credential stuffing a été reliée par des chercheurs à un incident similaire survenu quelques jours plus tôt chez Showroomprivé.

Sources

  1. usine-digitale.frhttps://www.usine-digitale.fr/article/kiabi-touche-par-une-cyberattaque-les-coordonnees-bancaires-de-20-000-clients-derobees.N2225770
  2. franceinfo.frhttps://www.franceinfo.fr/internet/securite-sur-internet/cyberattaques/le-site-de-seconde-main-de-kiabi-a-ete-victime-d-une-cyberattaque-ciblant-les-donnees-de-20-000-clients_7015898.html
  3. linformaticien.comhttps://www.linformaticien.com/magazine/cybersecurite/62924-kiabi-victime-d-une-attaque-par-credential-stuffing.html
  4. moneyvox.frhttps://www.moneyvox.fr/actu/101612/des-iban-voles-suite-a-une-cyberattaque-sur-un-site-web-de-kiabi

Incidents liés

Bourrage d’identifiantsContenu

Fuite chez Picard

Le 12 novembre 2024, l'enseigne de surgelés Picard a révélé une attaque par credential stuffing ayant compromis les comptes fidélité d'environ 45 000 clients, exposant des données personnelles et de fidélité ; aucune donnée bancaire n'était concernée et la CNIL a été notifiée.

Victim
Picard
Records
45.0K
Bourrage d’identifiantsEn cours

Fuite chez France Travail

Fin octobre 2025, France Travail — l'agence publique française pour l'emploi — révèle une fuite : des attaquants ont utilisé des identifiants dérobés par des infostealers pour accéder à des comptes de demandeurs d'emploi et exfiltrer des données personnelles, d'identité et financières ; environ 16 479 enregistrements recensés.

Victim
France Travail
Bourrage d’identifiantsContenu

Fuite chez Caisse des dépôts et des consignations

En février 2025, la Caisse des dépôts a révélé que des pirates avaient utilisé des identifiants de connexion volés pour accéder à la plateforme de retraite Ircantec et dérober les données personnelles d'environ 70 000 agents contractuels du public, praticiens hospitaliers et près de 1 000 élus locaux.

Victim
Caisse des dépôts et des consignations
Records
70.0K