Skip to content
Bourrage d’identifiantsContenu

Fuite chez Picard

Le 12 novembre 2024, l'enseigne de surgelés Picard a révélé une attaque par credential stuffing ayant compromis les comptes fidélité d'environ 45 000 clients, exposant des données personnelles et de fidélité ; aucune donnée bancaire n'était concernée et la CNIL a été notifiée.

Victime
Picard
données
45.0K

Le 12 novembre 2024, Picard — l'enseigne française de surgelés — a alerté par e-mail environ 45 000 membres de son programme de fidélité pour les avertir que leurs comptes avaient fait l'objet d'un accès non autorisé. L'entreprise a attribué l'incident à une attaque par credential stuffing : plutôt que de pirater les bases de données de Picard, les attaquants ont réutilisé des identifiants et mots de passe dérobés lors d'autres fuites pour se connecter aux comptes fidélité de clients ayant recyclé les mêmes identifiants.

Picard indique n'avoir constaté aucune intrusion dans ses systèmes centraux, ce qui suggère que la compromission s'est limitée à des comptes clients individuels et non à une base de données interne. Les données bancaires n'étaient pas concernées. Les données exposées dans les comptes consultés comprenaient :

  • Nom, prénom et date de naissance
  • Adresse e-mail, adresse postale et numéro de téléphone
  • Numéro de carte de fidélité, points de fidélité, bons de réduction
  • Historique des commandes, tickets de caisse, listes d'achats et préférences d'achat

L'entreprise a notifié l'incident à la CNIL, a renforcé ses systèmes de sécurité et accru la surveillance des tentatives de connexion suspectes sur les comptes clients. Elle a recommandé aux clients concernés de changer immédiatement leur mot de passe — en particulier partout où ils l'avaient réutilisé — et de se méfier des tentatives d'hameçonnage ou autres communications suspectes. Cette fuite s'inscrivait dans une série d'attaques visant des marques grand public françaises fin 2024, après des incidents similaires chez SFR et Free.

Sources

  1. clubic.comhttps://www.clubic.com/actualite-543425-cet-e-mail-des-surgeles-picard-risque-de-glacer-le-sang-de-ses-45-000-clients.html
  2. usine-digitale.frhttps://www.usine-digitale.fr/article/picard-victime-d-une-fuite-de-donnees-plusieurs-milliers-de-clients-concernes.N2222253
  3. linformaticien.comhttps://www.linformaticien.com/magazine/cybersecurite/62687-des-clients-de-picard-victimes-d-une-fuite-de-donnees.html
  4. economiematin.frhttps://www.economiematin.fr/alerte-fuite-donnees-clients-picard-piratage

Incidents liés

Bourrage d’identifiantsContenu

Fuite chez Kiabi

En janvier 2025, l'enseigne française Kiabi a révélé une attaque par credential stuffing sur son site de seconde main (secondemain.kiabi.com) ayant exposé les nom, date de naissance, coordonnées et IBAN d'environ 20 000 clients.

Victim
Kiabi
Records
20.0K
Bourrage d’identifiantsContenu

Fuite chez Companie de Transport Strasbourgeoise

En novembre 2024, la Compagnie des Transports Strasbourgeois (CTS) — opérateur de transport public de Strasbourg — a détecté des connexions frauduleuses sur une centaine de ses quelque 350 000 comptes clients, via une attaque par credential stuffing réutilisant des mots de passe volés lors de fuites externes.

Victim
Companie de Transport Strasbourgeoise
Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Records
560.0M