Et ce n’est surement pas fini…
![[MàJ] Fuite de données Cultura : 1,5 million de clients concernés, une plainte a été déposée](http://next.ink/wp-content/uploads/2024/09/boulanger.webp)
Mise à jour du 10 septembre à 16h30 : Cultura nous précise que la fuite concerne 1,5 million de clients. L’actualité a été mise à jour.
Actualité originale du 10 septembre à 10h56 : En l’espace de quelques jours, plusieurs enseignes annoncent avoir été victime d’une cyberattaque. Nous avons pour le moment Boulanger, Cultura et DiviaMobilités (transports à Dijon). Les deux dernières expliquent qu’un prestataire était visé. D’autres pourraient donc suivre en fonction du partenaire externe, non identifié pour l’instant.
Alors que Boulanger communiquait hier sur une fuite de données sur des données de livraison de « quelques centaines de milliers de clients », c’est au tour de Cultura d’informer ses clients qu’elle a été victime d’une cyberattaque. Un lecteur nous a transféré le mail que lui a envoyé l’enseigne, merci.
La fuite de Cultura vient d’un prestataire externe
La société précise d’emblée que la fuite vient d’un « prestataire informatique externe » qui « été victime d’une intrusion malveillante dans sa base de données ». Cultura précise que cette cyberattaque « a ciblé plusieurs enseignes » ce vendredi 6 septembre, sans indiquer les noms ni si Boulanger est dans le lot.
Cultura n’est pas bavard sur les détails :
« Nos investigations indiquent que des données personnelles d’une partie de nos clients ont été touchées. Il s’agit des nom, prénom, identifiant client de Cultura, téléphone mobile, adresses mail et postales ainsi que l’information sur les produits achetés. Les données relatives aux mots de passe et aux données bancaires ne sont pas compromises ».
Bien évidemment, la faille « a été identifiée, et les mesures correctives ont été apportées ». Le nom du prestataire et les détails de la cyberattaque ne sont pas communiqués.
« 1,5 million de nos clients ont été touchées »
Contacté, Cultura nous précise que « 1,5 million de nos clients ont été touchées » et confirme au passage la liste des informations dans la nature : nom, prénom, identifiant client de Cultura, téléphone mobile, adresses mail et postales, ainsi que l’information sur les produits achetés.
L’enseigne nous précise aussi avoir « notifié cette violation à la CNIL et porté plainte au nom de [sa] société ». Enfin, Cultura « a décidé de contacter individuellement par mail ses clients concernés pour les informer de cet incident et leur donner un point de contact pour répondre à leurs questions ».
Le début d’une longue série ?
Il y a quelques jours, SaxX. annonçait la fuite de données chez Boulanger, avant que la société ne communique, mais le nombre de clients touchés n’était pas le même que celui annoncé par Boulanger.
L’expert en cybersécurité expliquait alors que le pirate, dont le profil date de ce mois d’août et n’était pas confirmé, vendait « aussi au passage les bases de données d’autres enseignes françaises comme : http://cultura.com, http://truffaut.com, http://dicia.fr ou encore l’assurance retraite… ».
DiviaMobilités aussi victime d’une fuite via un prestataire
Maintenant que Cultura rejoint officiellement la liste, on se demande si d’autres ne vont pas arriver via le prestataire qui travaille avec « plusieurs enseignes ». Cela pourrait être le cas de DiviaMobilités (Keolis Dijon Mobilité), comme le rapporte Le Bien Public.
L’entreprise a été victime d’une cyberattaque fin aout, également via un prestataire qui n’est pas nommé. Cette autre attaque fait partie de celles évoquées par SaxX quand il s’est fait l’écho des bases de données mises en vente par le pirate. Il parlait de Dicia dans son tweet initial, mais nous confirme que c’était une petite coquille et qu’il s’agissait bien de Divia.
« Les données identifiées à ce stade sont les nom, prénom, date de naissance, adresse postale, adresse e-mail, numéro de téléphone et IBAN », expliquent nos confrères. Nolwenn Leguillon, directrice communication de Keolis Dijon Mobilités, ajoute que « l’action malveillante » a été découverte le 4 septembre et que « les clients potentiellement concernés sont uniquement ceux qui disposent d’une carte DiviaMobilités ou d’un compte sur la e-boutique Divia ».
Bien évidemment, « des dispositions techniques complémentaires ont été prises pour renforcer la protection du système informatique de notre prestataire », ajoute la directrice.
Comme toujours, soyez prudents
Comme nous l’expliquons régulièrement, le risque est de voir des pirates tenter du phishing en se faisant passer pour une enseigne que vous connaissez à l’aide des données personnelles récupérées frauduleusement. Les pirates peuvent ensuite tenter de vous soutirer davantage d’information. Prudence donc.
Concernant le risque lié aux données bancaires et notamment à l’IBAN, nous avons déjà évoqué le sujet l’année dernière lors du piratage d’Adecco.