Des centaines de milliers de clients de l’enseigne Boulanger ont été touchés par une fuite de données suite à une cyberattaque survenue ce week-end. Si aucune donnée bancaire n’a fuité, la légèreté de Boulanger interroge.
L’annonce a été faite lundi, dans un mail envoyé aux clients de l’enseigne d’électronique grand public et d’électroménager. « Dans la nuit du 6 au 7 septembre, Boulanger a été victime d’un acte de cybermalveillance visant une partie de nos informations clients. » L’entreprise assure que « l’incident a été circonscrit » et que ses services fonctionnent normalement. Les sites web et applications mobiles de l’entreprise fonctionnent normalement « en toute sécurité, avec une vigilance renforcée. » Boulanger a reconnu que des informations liées aux livraisons avaient fuité, mais qu’« aucune donnée bancaire client n’est concernée. »
Non conforme au RGPD
Certains diront que Boulanger minimise, car selon des informations recueillies par Le Parisien, les données concerneraient le nom, prénom, adresse, code postal, ville, téléphone et mail, largement suffisants pour mener des campagnes de phishing, par exemple. Frandroid précise de son côté que ces informations sont celles qui ont été mises en vente sur le dark web dans une base de données contenant quelques 27 millions de données. Au total, une centaine de milliers de clients seraient concernés par la cyberattaque.
De son côté, si l’entreprise assure sur X avoir informé l’ensemble de ses clients, elle n’a pas communiqué sur les risques encourus par les personnes concernées, ni sur les mesures à appliquer pour atténuer ces risques, et n’a même pas communiqué les coordonnées du délégué à la protection des données (DPO), comme l’exige l’article 34 du RGPD. Sur X toujours, des internautes mécontents n’hésitent pas à qualifier l’enseigne de mauvaise ou à lui reprocher d’avoir menti publiquement. Certains clients affirment également ne pas avoir reçu le courriel de Boulanger les informant de l’incident de sécurité.