Fuite de données chez Picard : que faire si vous êtes concernés par le piratage ?

 
L’année 2024 sera définitivement celle des fuites de données en France. Après Free, SFR et d’autres, c’est au tour de Picard de faire les frais d’une cyberattaque.
Source : RiceCracker – Wikimedia Commons (CC BY-SA 4.0)

La valse de données piratées continue. Le 12 novembre, c’est l’enseigne Picard qui a envoyé une salve de mails pour prévenir certains de ses clients et clientes que leur compte avait fait l’objet d’un accès frauduleux. Cela fait suite à une longue traînée de piratage en tout genre qui ont rythmé ces dernières semaines, de celui de Free à celui de SFR en passant par la vrai-fausse panique chez Intermarché.

En tout, d’après les informations relayées par le spécialiste de la sécurité Clément Domingo (alias @_SaxX sur X), ce ne sont pas moins de 45 000 comptes qui auraient été piratés. Cela représente certes un tout petit pourcentage des 11 millions de clients ayant un compte fidélité chez le spécialiste du surgelé, mais la masse de données est tout de même importante.

Un bon paquet de données concernées

Dans le mail prévenant les clients concernés, Picard explique en effet que, si les données bancaires ne sont pas touchées, les hackers malveillants ont pu mettre la main sur « nom, prénom, date de naissance, adresse mail, adresse postale, numéro de téléphone, numéro de carte de fidélité, points de fidélité et bons de réduction/avantages éventuels, historique des commandes et des tickets de caisse, liste d’achats et favoris de produits. ».

Sur 45 000 comptes, cela fait une belle base de données. Comme l’enseigne l’explique par contre, il ne semble pas y avoir eu « d’intrusion dans [les] systèmes d’information ». Cela laisse donc penser que l’attaque a été ciblée sur certains comptes en utilisant la technique du « credential stuffing », c’est-à-dire en réutilisant des couples identifiants/mots de passe trouvés dans d’autres bases de données. L’occasion de rappeler donc quelques bonnes pratiques en termes d’hygiène numérique.

Que faire pour se protéger ?

Pour éviter de se faire cibler par ce genre d’attaque toutes bêtes, voici quelques conseils :

  • Changer votre mot de passe Picard : facile, celui-là est même conseillé dans le mail et évitera que les pirates ne continuent de siphonner vos données
  • Utiliser un mot de passe unique et complexe : clé de voute de votre identité numérique, vos mots de passe doivent idéalement être complexes et uniques pour éviter justement qu’une fuite de données sur un site permette de s’identifier sur d’autres
  • Utiliser un gestionnaire de mot de passe : pour vous faciliter la vie et ne pas jongler avec des suites de caractères impossibles à mémoriser, il est conseillé d’utiliser un gestionnaire de mot de passe qui générera des clés d’accès uniques et complexes. Pour savoir quel est le meilleur, n’hésitez pas à consulter notre article dédié.
  • Se méfier des mails d’hameçonnage : Plus un pirate a d’informations personnelles sur vous, plus une campagne d’hameçonnage peut être convaincante. Si vous êtes concernés, méfiez-vous donc des mails que vous recevrez dans votre boite. Si vous avez le moindre doute, ne cliquez sur aucun lien et rendez-vous directement sur les sites concernés via Google ou vos favoris.

Aucun système informatique n’est inviolable et personne ne peut être parfaitement protégé de ce genre d’attaque. Mais en complexifiant la tâche des pirates, vous réduisez les chances d’être visé par ce genre de campagne malveillante.


Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.