Skip to content
Fuite de donnéesContenu

Lidl révèle une fuite de données de sa boutique en ligne après le piratage d'un prestataire informatique tiers

Lidl a informé les clients de sa boutique en ligne en Allemagne, en Belgique et aux Pays-Bas que des attaquants ayant piraté l'un de ses prestataires informatiques externes avaient dérobé un fichier de données personnelles comprenant noms, coordonnées et dates de naissance, tout en précisant que les données de paiement, les mots de passe et les comptes clients n'étaient pas concernés.

Victime
Lidl

Le 13 juillet 2026, Lidl — la chaîne de supermarchés discount allemande détenue par le groupe Schwarz, premier distributeur alimentaire d'Europe — a révélé que les clients de sa boutique en ligne avaient été touchés par une fuite de données survenue chez l'un de ses prestataires informatiques externes. Des attaquants ont brièvement pu accéder à un fichier de données clients stocké séparément et en exfiltrer une partie, conduisant l'enseigne à notifier les acheteurs concernés en Allemagne, en Belgique et aux Pays-Bas.

Selon Lidl, le fichier dérobé contenait la civilité, le nom et le prénom, le numéro de téléphone, l'adresse e-mail, la date de naissance et le numéro client des personnes concernées. L'entreprise a souligné que les mots de passe, les adresses de facturation et de livraison, les coordonnées bancaires et les autres informations de paiement n'étaient pas concernés, et que les comptes clients ainsi que le système de la boutique en ligne lui-même n'avaient pas été compromis. Lidl n'a pas rendu public le nom du prestataire touché ni le nombre de clients affectés.

Réponse et risques

Lidl indique avoir identifié l'incident après en avoir été informé par le prestataire, avoir fait appel à des experts externes en criminalistique et avoir notifié les autorités européennes de protection des données compétentes, dont le régulateur néerlandais. Comme les champs exposés — noms, coordonnées et dates de naissance — sont précisément le type d'informations utilisées pour rendre des messages frauduleux crédibles, l'enseigne a invité ses clients à se méfier des tentatives d'hameçonnage faisant référence à Lidl ou à leur historique de commandes.

Le fichier compromis se limitant à des données personnelles de contact et les systèmes propres à Lidl étant présentés comme non affectés, l'incident était contenu au moment de la divulgation, même si l'enquête sur le prestataire tiers et l'étendue exacte de l'exposition se poursuivait.

Chronologie

  1. Lidl confirme qu'une intrusion chez un prestataire informatique tiers a exposé des données de clients de sa boutique en ligne et commence à notifier les clients concernés en Allemagne, en Belgique et aux Pays-Bas.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/lidl-discloses-online-shop-breach-after-service-provider-hack/
  2. helpnetsecurity.comhttps://www.helpnetsecurity.com/2026/07/13/lidl-data-breach-customer-data/
  3. infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/lidl-notifies-customers-of/
  4. scworld.comhttps://www.scworld.com/brief/lidl-reports-data-breach-affecting-online-customers-in-germany-belgium-and-the-netherlands

Incidents liés

Fuite de donnéesRésolu

Fuite de données schenkYOU (2024)

En septembre 2024, des données de la boutique de cadeaux en ligne allemande schenkYOU ont été mises en vente sur un forum de piratage populaire. Obtenues le mois précédent, les données incluaient 237 000 adresses e-mail uniques ainsi que des noms, des dates de naissance et des hachages de mots de passe SHA-256 salés.

Victim
schenkYOU
Records
237.3K
Fuite de donnéesRésolu

Fuite de données Fitmart (2021)

En octobre 2021, des données du magasin allemand d'articles de fitness Fitmart ont été obtenues puis redistribuées en ligne. Les données comprenaient 214 000 adresses e-mail uniques accompagnées de mots de passe en clair, prétendument « déhachés » à partir de la version stockée d'origine.

Victim
Fitmart
Records
214.5K
Fuite de donnéesRésolu

Fuite de données Domino's (2014)

En juin 2014, Domino's Pizza en France et en Belgique a été piraté par un groupe se faisant appeler « Rex Mundi » et leurs données clients ont été prises en otage contre rançon. Domino's a refusé de payer la rançon et six mois plus tard, les attaquants ont publié les données ainsi que des trésors d'autres comptes piratés.

Victim
Domino's
Records
648.2K