L’enseigne de surgelés suspecte une attaque par « credential stuffing » qui aurait permis aux pirates d’exfiltrer certaines données de clients de son programme de fidélité. Les données bancaires ne sont toutefois pas compromises.
Après SFR et Free, c’est au tour de Picard d’avoir été victime d’une attaque par « credential stuffing », ou « bourrage d’identifiants ». Cette méthode consiste à utiliser des identifiants et mots de passe volés lors de précédentes attaques pour tenter d’infiltrer un espace client et d’en prendre le contrôle. Aucun piratage de la base de données n’est donc nécessaire dans ce cas, puisque les pirates comptent sur l’imprudence des clients qui utilisent les mêmes identifiants et mots de passe pour plusieurs services.
D’après Le Parisien, l’enseigne de surgelés française a informé les clients de son programme de fidélité que leurs données avaient été potentiellement compromises. « Nous avons détecté, grâce à des mesures techniques mises en place par Picard, un accès non autorisé à votre compte Picard par des tiers », a expliqué l’entreprise dans un courriel envoyé à des dizaines de milliers de clients.
Un type d’attaque en hausse
Les pirates ont pu accéder aux noms, prénoms, dates de naissance, adresses e-mail, adresses postales et numéros de téléphone des clients. Leurs informations bancaires ne semblent toutefois pas être concernées par la fuite, celles-ci étant stockées ailleurs.
Picard indique avoir notifié l’attaque auprès de la Commission nationale de l’informatique et des libertés (CNIL). L’enseigne invite également ses clients à faire preuve de vigilance contre de potentielles tentatives de phishing et à renforcer leur sécurité en modifiant leurs mots de passe.
Cette attaque fait suite à deux autres incidents similaires contre SFR en septembre et Free en octobre. « Ce qui est inquiétant, c’est qu’il y a une véritable multiplication des attaques de credential stuffing, avec une forte augmentation prévue pour 2024. C’est une tendance à la hausse », nous explique Benjamin Barrier, cofondateur et Chief Strategy Officer de DataDome.
Le risque est particulièrement élevé en raison d’une mauvaise pratique courante parmi les internautes : l’utilisation du même mot de passe pour plusieurs services, ou en tout cas avec peu de variations. « Cela peut sembler incroyable en 2024, mais c’est encore un problème », regrette Benjamin Barrier. D’après une étude de NordPass, « 123456 » a remporté, comme les années précédentes, la première place des mots de passe les plus courants. En France, le podium est occupé par « 123456 », « 123456789 » et « azerty ».