Fuite chez Picard
Le 12 novembre 2024, l'enseigne de surgelés Picard a révélé une attaque par credential stuffing ayant compromis les comptes fidélité d'environ 45 000 clients, exposant des données personnelles et de fidélité ; aucune donnée bancaire n'était concernée et la CNIL a été notifiée.
- Victime
- Picard
- données
- 45.0K
Le 12 novembre 2024, Picard — l'enseigne française de surgelés — a alerté par e-mail environ 45 000 membres de son programme de fidélité pour les avertir que leurs comptes avaient fait l'objet d'un accès non autorisé. L'entreprise a attribué l'incident à une attaque par credential stuffing : plutôt que de pirater les bases de données de Picard, les attaquants ont réutilisé des identifiants et mots de passe dérobés lors d'autres fuites pour se connecter aux comptes fidélité de clients ayant recyclé les mêmes identifiants.
Picard indique n'avoir constaté aucune intrusion dans ses systèmes centraux, ce qui suggère que la compromission s'est limitée à des comptes clients individuels et non à une base de données interne. Les données bancaires n'étaient pas concernées. Les données exposées dans les comptes consultés comprenaient :
- Nom, prénom et date de naissance
- Adresse e-mail, adresse postale et numéro de téléphone
- Numéro de carte de fidélité, points de fidélité, bons de réduction
- Historique des commandes, tickets de caisse, listes d'achats et préférences d'achat
L'entreprise a notifié l'incident à la CNIL, a renforcé ses systèmes de sécurité et accru la surveillance des tentatives de connexion suspectes sur les comptes clients. Elle a recommandé aux clients concernés de changer immédiatement leur mot de passe — en particulier partout où ils l'avaient réutilisé — et de se méfier des tentatives d'hameçonnage ou autres communications suspectes. Cette fuite s'inscrivait dans une série d'attaques visant des marques grand public françaises fin 2024, après des incidents similaires chez SFR et Free.
Sources
- clubic.comhttps://www.clubic.com/actualite-543425-cet-e-mail-des-surgeles-picard-risque-de-glacer-le-sang-de-ses-45-000-clients.html
- usine-digitale.frhttps://www.usine-digitale.fr/article/picard-victime-d-une-fuite-de-donnees-plusieurs-milliers-de-clients-concernes.N2222253
- linformaticien.comhttps://www.linformaticien.com/magazine/cybersecurite/62687-des-clients-de-picard-victimes-d-une-fuite-de-donnees.html
- economiematin.frhttps://www.economiematin.fr/alerte-fuite-donnees-clients-picard-piratage