Cyberattaques en France : les dernières fuites de données et entreprises touchées

Moins d’un an après le précédent hack, la Fédération Française de Football (FFF) a essuyé une nouvelle cyberattaque. Les pirates se sont envolés avec les données personnelles des bénévoles, des licenciés et du personnel de la fédération. Trois millions d’individus sont affectés par la fuite. Les données ont été mises en vente dans la foulée de l’intrusion.

Les données de 4,5 millions de Français ont été vendues par le biais de BreachForums. Il s’agit des données volées auprès de huit fédérations sportives le mois dernier.

Un cybercriminel bien connu a mis en vente une base de données appartenant à Sport-Découverte. Aux dires du pirate, le répertoire comprend des informations sur près de 500 000 personnes, dont la civilité, le nom, le prénom, la date de naissance, le numéro de mobile, ou encore l’adresse e-mail.

La Caisse des dépôts a été piratée. En se servant d’identifiants compromis, des cybercriminels ont pu récolter les données personnelles de 70 000 personnes affiliées à l’Ircantec, un régime de retraite. Parmi les victimes, on trouve plus de 1000 élus locaux. Le numéro de Sécurité sociale, les noms et prénoms, la date, la ville et le département de naissance font partie des informations volées.

Fin janvier, Chronopost a été victime d’une attaque. Les cybercriminels ont dérobé une foule de données personnelles, comme le numéro de téléphone, l’adresse postale et la signature des individus présente sur les preuves de livraison. La firme indique que 210 000 personnes ont été affectées par la fuite. La CNIL a été prévenue.

Vorwerk, l’entreprise allemande à l’origine du Thermomix, a subi une violation de données. En piratant un forum en ligne dédié à l’échange de recettes, un cybercriminel est parvenu à mettre la main sur les informations personnelles de certains utilisateurs du robot cuisine. Une faille de sécurité d’un prestataire est à l’origine de la fuite.

EDF dément avoir été victime d’une fuite de données. Le groupe français concède avoir été la cible d’une cyberattaque sur son site Prime Énergies, avec « une centaine de connexions anormales ».

Les données n’ont pas été compromises, contrairement à ce que le pirate Varun annonce sur BreachForums. Il s’agit plutôt d’une opération de credential stuffing, qui consiste à recycler des données déjà piratées pour s’en prendre à un autre système.

« Nous n’avons donc aucun élément qui nous laisse croire à une fuite massive, mais plutôt à une réutilisation d’autres fuites de données avec des mots de passe et des e-mails ou identifiants », explique EDF.

Comme nous l’explique Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint, il ne faut pas faire confiance aux cybercriminels qui prétendent avoir mis la main sur des données compromises :

« Cet incident met en lumière un point crucial : il n’existe pas de « code d’honneur » quand on parle de cybercriminalité. Avoir confiance envers des individus qui viennent de prendre en otage vos données (ou qui prétendent l’avoir fait) sera toujours une mauvaise idée ».

Un hacker prétend avoir piraté EDF et Conforama. Au terme de ces intrusions, le cybercriminel aurait compromis les données personnelles de 15 millions de Français. Elles sont en train d’être négociées par les criminels sur BreachForums.

Plusieurs fédérations sportives ont constaté une fuite des données personnelles de leurs adhérents. Selon le communiqué de la Fédération Française de Tir à l’Arc et de la Fédération Française de la Montagne et de l’Escalade (FFME), ces violations découlent d’une faille chez un prestataire qui collabore avec une foule de fédérations.

Ces piratages se sont directement traduits par des mises en vente de données compromises. Sur BreachForums, un cybercriminel a proposé aux enchères huit bases de données piratées appartenant à des fédérations sportives. Elles concernent plus de 4,5 millions de personnes.

L’enseigne E. Leclerc a subi une attaque. L’entreprise a signalé avoir détecté « des tentatives d’accès frauduleux » sur des comptes Primes énergie E.Leclerc. Parmi les nombreuses données volées, on trouve des « identifiants d’accès ». C’est pourquoi le groupe a réinitialisé tous les comptes et recommande aux personnes touchées de changer leur mot de passe « sur tous les services pour lesquels vous utilisez des identifiants similaires ». 

Après enquête, Carrefour dément avoir été la cible d’une cyberattaque. L’enseigne affirme que « les systèmes de Carrefour n’ont pas fait l’objet d’une connexion illégitime et que les données des clients n’ont pas été compromises ».

Un pirate a mis en vente une base de données appartenant à Carrefour. Elle renfermerait les données de 13 millions des clients de l’enseigne, dont le nom de famille, l’adresse postale complète, le numéro de téléphone, et l’adresse email.

C’est au tour de Kiabi, l’enseigne de prêt-à-porter française fondée à la fin des années 1970, de se retrouver dans le viseur des cybercriminels. La firme indique avoir « détecté une cyberattaque » qui s’est soldée par la compromission des données personnelles de 20 000 comptes de la plateforme Seconde Main by Kiabi. Les pirates ont notamment consulté l’IBAN des utilisateurs, ce qui ouvre la porte à des prélèvements frauduleux. En miroir de Showroomprivé, Kiabi a en fait été victime d’une attaque de « credential stuffing », qui consiste à recycler des fuites de données pour tenter d’accéder à un compte.

Showroomprivé a subi une série de tentatives de connexion malveillantes. En se servant de données compromises en amont, des pirates ont voulu se connecter aux comptes de certains clients. Le site a repoussé les offensives et demande aux personnes ciblées de changer leur mot de passe.

Après enquête, Atos a conclu que les pirates du gang Space Bears ont propagé de fausses informations. Il s’avère que les cybercriminels n’ont pas volé de données appartenant à Atos par le biais d’un ransomware. Les hackers ont simplement mis la main sur une infrastructure tierce qui mentionne le nom de la firme française.

« Atos comprend que l’infrastructure externe d’une tierce partie, non connectée à Atos, a été compromise par le groupe Space Bears. Cette infrastructure contenait des données mentionnant le nom de la société Atos, mais n’est ni gérée ni sécurisée par Atos », explique le groupe français dans un court communiqué.

Entre le mardi 31 décembre 2024 et le 1ᵉʳ janvier 2025, une vague d’attaques DDoS est venue bousculer la France. Revendiquées par les pirates pro-russes de NoName057(016), ces attaques ont paralysé les sites de nombreuses collectivités françaises. Une enquête a été ouverte.

Ecritel, un géant français du cloud, a subi une fuite de ses données. « Une tentative d’intrusion » a été détectée, et l’entreprise a pu limiter les dégâts, bien que les cybercriminels aient réussi à compromettre « un serveur interne de documents de travail des collaborateurs d’Ecritel ». L’offensive est revendiquée par le gang Hunters International, spécialisé dans les opérations d’extorsion par ransomware.

Top Achat, le site e-commerce racheté par LDLC en 2020, vient de subir une fuite de données. Le site indique avoir « été victime d’un incident de cybersécurité » qui a abouti au vol d’une partie des informations des clients. Les données n’ont pas encore fait surface sur des marchés noirs, mais elles pourraient servir à piéger les utilisateurs ayant passé des commandes auprès de Top Achat.

En juin dernier, un des partenaires d’Eurostar a été victime d’une intrusion. L’attaquant s’est envolé avec une montagne de données personnelles sur les personnes qui ont voyagé en Eurostar. Ces informations se sont récemment retrouvées sur des marchés noirs, à la portée de tous les cybercriminels.

LDLC vient de subir une seconde cyberattaque. De l’aveu du groupe français, des pirates ont volé des données de ses clients au cours d’une intrusion. Tandis qu’une enquête est en cours en interne, LDLC a prévenu les autorités compétentes. La firme recommande à sa clientèle de faire preuve de prudence face aux messages de phishing.

Free a décidé de mettre un terme au travail à distance dans ses centres d’appels. Mettant en avant des raisons de cybersécurité, l’opérateur ne veut plus que ses salariés fassent du télétravail. Cette décision, directement motivée par la fuite de données d’octobre, a poussé les employés à faire gréve pendant plusieurs heures. Pour les syndicats, la sécurité informatique n’est qu’un prétexte pour priver les travailleurs de leurs acquis sociaux et les pousser vers la sortie.

Suite à la cyberattaque de Free, la CNIL a reçu un record de plaintes relatives à la violation de données. Lors d’une interview accordée à Ouest-France, Mathias Moulin, secrétaire général adjoint du régulateur, affirme avoir enregistré « plus de 2000 plaintes à ce stade ». Le responsable rappelle qu’une enquête est en cours, et que celle-ci pourrait bien durer « entre 8 et 10 mois ». Viamedis, Almerys et France Travail, d’autres victimes de cyberattaques, sont également dans le viseur du gendarme, et des contrôles sont en cours.

« Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout », explique Mathias Moulin.

Plus globalement, la CNIl explique avoir enregistré « 5 100 notifications au 26 septembre », contre 4 668 au cours de l’année dernière. Cette hausse des plaintes découle évidemment de l’explosion des fuites de données en France.

« L’an dernier, nous avons adopté 14 sanctions pour manquement à la sécurité. Nous avons aussi adressé 168 mises en demeure. En 2024, nous serons probablement sur une proportion de manquement équivalente », ajoute Mathias Moulin.

Selon les investigations menées par le chercheur Clément Domingo, le piratage de Free a commencé avec la trahison d’un des agents du service clientèle. Celui-ci aurait communiqué ses identifiants OpenVPN au pirate. Avec cet accès aux ressources internes de l’entreprise, le hacker a pu manipuler et berner d’autres employés de l’assistance client. Il les a convaincus de lui communiquer leurs identifiants, ce qui lui a ouvert la porte aux données personnelles des abonnés.

Un nouveau virus, baptisé DroidBot, s’attaque aux clients de huit banques françaises. Pour arriver à ses fins, le malware cherche à infiltrer les smartphones Android en se faisant passer pour une application légitime. Ensuite, il met tout en œuvre pour aspirer les données des usagers, dont les identifiants de leur compte bancaire. In fine, les cybercriminels parviennent à réaliser des virements à votre insu. Des centaines d’attaques sont en cours dans plusieurs pays d’Europe.

Alors que les fêtes de fin d’année approchent, les arnaques à la livraison de colis se multiplient. Les cybercriminels ont enregistré une vingtaine de noms de domaine usurpant l’identité de Mondial Relay. Avec ces noms, ils veulent convaincre les internautes de communiquer leurs coordonnées bancaires. Le nombre de courriels frauduleux risque d’exploser à la hausse durant les fêtes, suite à l’explosion des commandes en ligne.

C’est au tour de Norauto, une entreprise française spécialisée dans l’entretien automobile, de subir une attaque informatique. Suite à une faille, « des données à caractère personnel spécifiquement liées à notre service location ont été ciblées » ont été compromises. C’est le cas du « numéro de pièce d’identité » fourni par les clients du service de location. Les données ont été mises en vente sur BreachForums, la plaque tournante des fuites d’informations.

Guy Demarle, une entreprise française spécialisée dans les ustensiles de cuisine, a été victime d’une intrusion. L’enseigne a constaté « un acte de cybermalveillance portant sur une partie de ses informations clients ». Votre nom et prénom, votre adresse postale, votre adresse e-mail et votre numéro de téléphone sont peut-être compromis si vous avez passé commande sur la boutique. La société a contacté la Commission Nationale de l’Informatique et des Libertés (CNIL) pour la prévenir.

Quelques jours après les revendications des pirates, la Banque de France a tenu à démentir l’existence d’une « attaque sur son système d’information sécurisé ». Par contre, « un accès extérieur occasionnel sur un extranet RH (ressources humaines) » a été constaté. Cependant, « aucune donnée personnelle ou financière sensible n’a été compromise », contrairement aux assertions des criminels.

Après SFR, Direct Assurances et un hôpital parisien, c’est la Banque de France qui s’est retrouvée dans le viseur des pirates de Near2tlg. Sur BreachForums, les cybercriminels ont mis en ligne des documents internes appartenant à la banque centrale. Le gang assure avoir dérobé les dossiers des employés, des informations sur les clients, et des « documents internes confidentiels ». Le tout est vendu pour la somme de 10 000 dollars.

Les hackers du collectif Near2tlg ont mis en ligne gratuitement les données personnelles de 3,6 millions d’abonnés SFR. Bien que SFR démente l’existence d’une seconde fuite d’informations, les pirates prétendent qu’il s’agit bien de nouvelles données. Le répertoire circule actuellement sur des marchés noirs, dont BreachForums, accroissant les menaces qui planent déjà sur les clients.

En dépit de l’explosion des cyberattaques en France, les collectivités françaises n’investissent pas grand-chose dans leur sécurité informatique. Une étude de Cybermalveillance.gouv.fr montre que les collectivités peinent à prendre conscience des risques. De facto, elles se contentent d’un budget réduit pour protéger leurs infrastructures et leurs données.

Plus de 75 % des petites et moyennes collectivités n’investissent pas plus de 2000 euros par an dans la cybersécurité. Les élus pointent du doigt un manque de connaissances et de personnel qualifié.

Une vague d’arnaques bancaires vise actuellement les abonnés de Free. En exploitant les informations divulguées lors du hack du mois dernier, dont les numéros IBAN, des escrocs se font passer pour des conseillers bancaires. Au téléphone, ils vont enjoindre la victime à installer une application malveillante ou à fournir des codes de sécurité reçus par SMS.

Les hackers utilisent aussi les données volées à SFR pour orchestrer leurs tentatives de vol. On vous conseille de redoubler de prudence si vous faites partie des clients touchés par les vols de données de ces dernières semaines.

La compagnie d’assurance en ligne Direct Assurance a été victime d’une cyberattaque d’envergure. Les attaquants sont parvenus à dérober les données personnelles de « 6137 clients et de 9517 prospects », y compris certains numéros IBAN et des relevés d’identité bancaire (RIB). Le répertoire sera vendu à un maximum de trois acheteurs.

Derrière l’offensive, on trouve un collectif de pirates français, qui se fait appeler near2tlg. Le collectif est responsable du hack du média Le Point et de plusieurs hôpitaux français, à savoir Centre Luxembourg, la Clinique Alleray-Labrouste, la Clinique Jean d’Arc, la Clinique Saint-Isabelle et l’Hôpital Privé de Thiais.

Les dossiers médicaux de 750 000 Français ont été compromis. En prenant le contrôle d’un compte détenant des privilèges au sein d’un logiciel de gestion, un hacker est parvenu à exfiltrer des données médicales sensibles. Celles-ci ont été mises en vente sur un marché noir fréquenté par les pirates.

Dans un mail adressé à certains clients, Auchan indique avoir subi une cyberattaque. L’intrusion s’est soldée par le vol d’une montagne de données personnelles sensibles. Auchan recommande « la plus grande vigilance » face au « risque d’emails, SMS ou appels frauduleux ». Pour en savoir plus, et découvrir la liste des données volées, consultez notre article consacré à la cyberattaque contre Auchan.

01Net fait le point sur les risques générés par le vol des numéros IBAN des abonnés Free. Nous avons en effet mené l’enquête, et réalisé des expérimentations, pour découvrir s’il était possible de ponctionner un compte bancaire à l’aide d’un IBAN. Découvrez les résultats de nos démarches dans notre article.

Free indique avoir reçu une demande de rançon à la suite de la cyberattaque. Les pirates ont exigé dix millions d’euros en échange des données volées le mois dernier. En réaction, l’opérateur de Xavier Niel a tout mis en œuvre pour remonter jusqu’aux cybercriminels.

Pour y parvenir, Free veut que Telegram fournissent les données du pirate à la justice. Afin de forcer la main de la messagerie, l’entreprise a saisi le juge des référés. Celui-ci a accepté la demande de Free. Il ordonne donc à Telegram de communiquer « toutes les données d’identification de la personne qui a créé le compte de la messagerie » à Free.

Après la cyberattaque qui a frappé Free, la CNIL a décidé de venir inspecter les locaux de l’opérateur. L’agence chargée de la protection des données indique avoir mené un contrôle chez le FAI, vraisemblablement à la recherche de négligences dans la manière dont les informations des abonnés sont protégées.

Molotov prévient une partie de ses utilisateurs d’une fuite de données.  La plateforme de streaming annonce avoir subi « une intrusion dans ses systèmes d’information », qui a abouti au vol des données personnelles des abonnés. Parmi les informations dérobées, on trouve l’adresse email et la date de naissance des internautes. 

La chaine de supermarchés Picard a subi une intrusion informatique. L’entreprise prévient une partie de sa clientèle d’« un accès non autorisé » à leur compte Picard. Au terme de l’attaque, des données personnelles ont été volées. C’est le cas des noms, adresses mail, postales et des numéros de téléphone. Un total de 45 000 clients sont touchés. Picard recommande à toutes les victimes de changer leur mot de passe.

Le géant de l’énergie Schneider Electric a été victime d’une attaque par ransomware. Le gang HellCat utilisé des identifiants déjà compromis pour entrer dans le serveur et voler une montagne de données, dont 75 000 adresses mail uniques et noms complets de clients.

Pour éviter la publication des données sur le dark web, le groupe français est invité à verser la somme de 125 000 dollars en cryptomonnaies. L’entreprise peut réduire le montant de la rançon en confirmant officiellement la cyberattaque.

Intermarché a constaté « des tentatives d’accès frauduleux sur certains comptes » dans le courant de la semaine, indique le chercheur Clément Domingo. Pour protéger les données personnelles de sa clientèle, l’enseigne française oblige les comptes concernés à changer leur mot de passe. Apparemment, Intermarché a été visé par une attaque de « credential stuffing ». Pour en savoir en plus, consultez notre article sur la fausse alerte d’Intermarché.

Un rapport de l’Anssi révèle que 30 hôpitaux français ont été victimes d’une attaque par ransomware entre 2022 et 2023. En quelques années, le monde de la santé est devenu une cible de choix pour les cybercriminels. Lors des attaques, les pirates cherchent surtout à s’emparer de données personnelles, comme des dossiers médicaux, afin de réclamer une rançon. Considéré comme « hautement critique », le secteur sanitaire est « davantage ciblé de façon opportuniste par des attaques informatiques à but lucratif ».