Un fichier de 16 Go contenant des millions de données clients de Boulanger circule sur un forum grand public, ravivant les inquiétudes autour de données qui vont être utilisées par des milliers de pirates.
En septembre 2024, ZATAZ vous révélait que l’enseigne Boulanger, l’enseigne française spécialisée dans l’électroménager et le multimédia, faisait partie des victimes d’une cyberattaque de grande ampleur. Une attaque que ZATAZ avait mis en alerte, dés février 2024. Moins d’un an plus tard, les données issues de cette attaque resurgissent sur un forum pirate en libre accès du clear web. Pour accéder aux données, 1 crédit, rien de plus. Un retour inattendu qui met en lumière la vulnérabilité persistante des données personnelles dans le commerce numérique et les risques concrets pour les millions de consommateurs concernés.
Créée en 1954, Boulanger s’est imposée comme un acteur majeur de la vente de produits technologiques en France, avec près de 200 magasins, un site e-commerce actif et une application mobile téléchargée plus d’un million de fois. Mais cette position de force n’épargne pas l’entreprise face à la recrudescence des cyberattaques ciblant les données sensibles de ses clients. L’affaire actuelle repose sur la réapparition d’un fichier volumineux contenant, selon nos vérifications, les informations personnelles de centaines de milliers d’individus. Ce fichier, mis à disposition sans contrepartie financière, révèle une nouvelle forme de danger : celui d’une diffusion massive à bas bruit.
Les piratages de 2024 ressortent de l’ombre
Les premières traces de cette nouvelle fuite sont apparues sur un forum bien connu des amateurs de piratage et de partage de bases de données compromises vendredi, à la veille du week-end de Pâques. Selon le service veille ZATAZ, un stockage dans un cloud public orchestré dès le 14 avril (18h).
L’auteur du message, anonyme mais actif, y décrit deux jeux de données : un fichier brut de 16 Go au format .JSON, contenant plus de 27 millions d’enregistrements, et un fichier « propre » de 500 Mo en .CSV, présenté comme plus facilement exploitable. Selon lui, ce dernier renferme environ cinq millions de profils clients. Mais l’analyse du Service veille ZATAZ montre que ce chiffre est exagéré.
En réalité, le fichier contient un peu plus d’un million de lignes uniques — certaines doublons incluses —. Cela reste tout de même un nombre de clients conséquents avec les coordonnées complètes : nom, prénom, adresse postale, adresse mail et numéro de téléphone.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
« La publication gratuite de ces fichiers pourrait augmenter considérablement l’exposition des clients à des escroqueries ciblées »
ZATAZ confirme l’origine l’authenticité des données en s’appuyant sur une comparaison avec les fuites antérieures [lire]. Tout porte à croire que ce sont les mêmes informations issues de l’attaque de 2024 qui réapparaissent ici, mais sous une forme plus accessible. À l’époque, le hacker malveillant se présentant sous le pseudonyme de « horrormar44 » revendiquait une série d’intrusions visant plusieurs enseignes de distribution, dont Truffaut et Cultura. ZATAZ Watch du Service de veille a repéré d’autres « BDD » d’entreprises piratées en 2024. Nous ne les citeront pas. cela évitera de voir n’importe qui en parler
Le même pirate avait mis en vente le fichier sur un autre forum, pour un prix fixé à 2 000 euros. Il est impossible de déterminer si la vente a abouti, mais la publication gratuite de ces fichiers pourrait considérablement augmenter l’exposition des clients à des escroqueries ciblées.
Des centaines de pirates vont se jeter sur les données volées et copiées
L’élément le plus préoccupant de cette affaire reste la nature des informations divulguées. Un fichier contenant des noms, adresses physiques, mails et numéros de téléphone constitue une véritable mine d’or pour les cybercriminels. Avec ces données, il est possible de monter des campagnes de phishing sophistiquées, de mettre en place des arnaques personnalisées ou encore d’organiser des attaques d’ingénierie sociale destinées à manipuler les victimes pour obtenir encore plus d’informations sensibles.
Le pirate a diffusé deux fichiers compressés le 14 avril.
Un simple SMS semblant provenir de Boulanger, mentionnant le nom et l’adresse réelle du client, pourrait suffire à convaincre une victime de cliquer sur un lien frauduleux. Le danger n’est donc pas seulement théorique. D’autant que, contrairement à une fuite diffusée sur le dark web — difficile d’accès et nécessitant des compétences techniques — cette nouvelle publication est visible sur un forum accessible depuis n’importe quel navigateur, sans chiffrement ni anonymisation particulière. Il suffit de « liker » le message ou d’y répondre pour obtenir les liens de téléchargement.
« Ces données peuvent servir de socle à des attaques hybrides, mêlant techniques classiques et ingénierie psychologique avancée »
Le contexte de cette fuite s’inscrit dans une tendance inquiétante : l’explosion des attaques de type ransomware visant les enseignes grand public. Ils anticipent la possibilité de monétiser les données en les revendant ou, comme ici, en les diffusant gratuitement pour des raisons idéologiques, stratégiques ou simplement par goût du chaos. Les bases de données comme celles des opérateurs ont permis un business autour du LookUp.
Dans ce cas précis, la gratuité peut paradoxalement accroître le risque. Elle permet une diffusion virale de l’information, souvent reprise par d’autres forums ou téléchargée en masse par des personnes malveillantes. Et si certaines données sont redondantes ou obsolètes, la densité d’informations valides reste suffisante pour permettre des opérations de fraude à grande échelle.
Face à cette situation, les clients potentiellement concernés disposent de peu de moyens pour se protéger, mais peuvent tout de même adopter des réflexes salvateurs. Il est conseillé de faire preuve d’une grande vigilance face aux communications suspectes, de renforcer les paramètres de confidentialité sur les réseaux sociaux, et de signaler tout comportement inhabituel à Boulanger ou aux autorités compétentes. Le Service Veille ZATAZ a alerté ses clients concernés dès vendredi soir.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
