Piratage de Boulanger : des centaines de milliers de clients touchés

Boulanger a été victime d'un vol de données clients dans la nuit de vendredi à samedi dernier. Dans le même temps un hacker met un vente une base qui contiendrait des millions d'enregistrements prétendument liés aux clients de l'enseigne de distribution de produits électroménager et informatique.

Les clients de l'enseigne de distribution de produits électroménager et informatique Boulanger doivent faire preuve de vigilance face à de possibles tentatives d'escroquerie. La société a en effet prévenu ce 8 septembre à 21h10 avoir été victime "d'un acte de cybermalveillance" dans la nuit du vendredi 6 au samedi 7 septembre 2024. Les clients du groupe ont été informés ce lundi par mail de cette fuite de données.

Boulanger indique que les données récupérées sont liées aux livraisons et que les données bancaires de ses clients ne sont pas concernées. "Les données récupérées sont uniquement des données (adresse, mail et téléphone) de livraison et concernent quelques centaines de milliers de clients", nous a indiqué un porte-parole de Boulanger. En possession de ces informations, des pirates pourraient ainsi tenter d'usurper la marque en se faisant par exemple passer pour le service après-vente du groupe en faisant référence à une commande passée sur le site ou en magasin et en se servant de l'adresse de livraison, du mail et/ou téléphone de l'utilisateur pour duper ses victimes.

Une vente de base de données opportuniste sur le dark web ?

"D'ores et déjà l'incident a été circonscrit. Nos sites web et les applications mobiles Boulanger fonctionnent normalement, en toute sécurité, avec une vigilance renforcée", assure le groupe. Concomitamment une base de près de 28 millions de lignes a au même moment été mise en vente sur le dark web, contenant prétendument des données clients de Boulanger dont également des numéros de téléphone, des e-mails, des noms/prénoms...

"La fuite d'information daterait selon le cybercriminel d'il y a quelques jours... probablement courant aout 2024", a indiqué le hacker éthique Clément Domingo aka SaxX. Des doutes planent toutefois quant à la véracité de cette base : "Il est a noter que le profil du cybercriminel n'est pas de ceux étant confirmés... il a créé son compte courant aout 2024 [...] il convient de prendre cette information avec des pincettes. Je n'ai pas vu passer au travers de mes sondes des différents milieux cybercriminels de telles infos", poursuit Clément Domingo.