Fuite de données chez London Hydro : les informations de comptes clients exposées
Des attaquants ont utilisé un compte client pour exploiter une vulnérabilité des systèmes du distributeur canadien London Hydro, accédant potentiellement aux noms, coordonnées et informations de compte d'autres clients.
- Victime
- London Hydro
Le 20 juin 2026, London Hydro — le distributeur d'électricité qui dessert environ 170 000 clients résidentiels, institutionnels, commerciaux et industriels à London, en Ontario — a divulgué une fuite de données susceptible d'avoir exposé des informations personnelles et de compte appartenant à certains de ses clients. L'entreprise a indiqué avoir d'abord remarqué une activité suspecte sur un compte client le 18 juin 2026 et avoir immédiatement lancé une enquête.
Selon le distributeur, le compte compromis a servi à exploiter une vulnérabilité de ses systèmes, ce qui a permis d'accéder à certaines informations concernant d'autres clients. London Hydro a déclaré contacter de manière proactive les clients touchés et collaborer avec les forces de l'ordre locales, sans toutefois préciser le nombre de personnes concernées.
Données exposées
Les informations potentiellement consultées comprennent les coordonnées des clients — noms, adresses, adresses e-mail et numéros de téléphone — ainsi que des données de compte telles que les numéros de compte et de facturation, les adresses de service, les plans tarifaires, les dates de début de contrat, et les numéros et types de compteurs.
London Hydro a souligné que l'incident n'a pas concerné les dates de naissance, les numéros d'identification délivrés par le gouvernement, les données de cartes de paiement, les informations bancaires ni d'autres données financières sensibles.
Pourquoi c'est important
Cette fuite illustre comment un seul compte client compromis, associé à une faille applicative non corrigée, peut être exploité pour atteindre les données d'une population d'utilisateurs bien plus large. Pour un opérateur d'infrastructure critique tel qu'un distributeur d'électricité, même une violation limitée aux informations de facturation et de contact comporte des enjeux accrus : les détails exposés sont précisément le type de données qui alimente des campagnes convaincantes d'hameçonnage et d'ingénierie sociale ciblant les clients des services publics. Plusieurs médias ont noté que des faits essentiels — dont le nombre de clients touchés et l'existence ou non d'une exfiltration de données — restaient flous dans les jours qui ont suivi la divulgation.
Chronologie
London Hydro détecte une activité suspecte sur un compte client et lance une enquête.
Le distributeur divulgue publiquement la fuite de données et commence à notifier les clients potentiellement touchés.
Sources
- securityweek.comhttps://www.securityweek.com/canadian-electricity-provider-london-hydro-discloses-data-breach/
- cbc.cahttps://www.cbc.ca/news/canada/london/london-hydro-investigating-data-breach-affecting-some-customer-accounts-9.7243545
- theregister.comhttps://www.theregister.com/security/2026/06/22/canadian-utility-fesses-up-to-data-breach-but-key-details-remain-off-grid/5259309
- londonhydro.comhttps://www.londonhydro.com/data