Nouveau coup dur pour Auchan : une cyberattaque expose les données personnelles de centaines de milliers de clients de l'enseigne. Les cartes de fidélité Waaoh ont été désactivées, et une vague de phishing est attendue.
Un déjà-vu troublant secoue les clients d'Auchan depuis le 21 août. Pour la deuxième fois en moins d'un an, l'enseigne du groupe Mulliez reconnaît avoir été victime d'une cyberattaque touchant les données personnelles de plusieurs centaines de milliers de porteurs de cartes Waaoh, ses fameuses cartes de fidélité. Les nom, prénom, adresses postale et électronique, ou encore numéro de téléphone font partie des informations dérobées. Elles constituent désormais une base idéale pour les prochaines campagnes de phishing menées par les cybercriminels.
Des données personnelles complètes volées, les codes bancaires épargnés
Damien Bancal, le fondateur de Zataz et expert en cybersécurité, confie avoir d'abord pensé à une arnaque en recevant l'alerte. Le courrier d'Auchan du 21 août reprend en effet la formulation de novembre dernier : même structure, mêmes phrases, seule la date change. La répétition est troublante, et autant dire qu'elle interroge sur la préparation de l'enseigne face aux cybermenaces récurrentes qui frappent le secteur de la grande distribution, mais aussi les grandes entreprises françaises en général, comme dernièrement Bouygues Telecom ou Orange.
Les pirates ont en tout cas mis la main sur un trésor d'identités. On le disait, civilité, noms, prénoms, adresses physiques et électroniques, numéros de téléphone et identifiants associés aux cartes Waaoh font partie du package. Si Auchan se veut rassurant sur l'absence de compromission des données bancaires et codes PIN, Zataz alerte sur le danger réel. Ces informations constituent, il est vrai, un kit parfait pour des attaques d'hameçonnage sophistiquées, qui exploiteront la confiance établie entre les clients et la marque.
La mesure d'urgence prise par Auchan en disent long sur le problème rencontré. Imaginez que toutes les cartes potentiellement compromises ont été désactivées. Du coup, pour les clients, il leur est impossible d'utiliser leur cagnotte sans se rendre physiquement en magasin pour obtenir une nouvelle carte. Un processus fastidieux qui transforme un simple programme de fidélité en véritable parcours d'obstacles. Contactées par Zataz, les équipes du service client font face à l'avalanche d'appels avec professionnalisme, et rassurent patiemment les clients inquiets.
La série noire des grandes enseignes françaises
Nous le disions plus haut, cette nouvelle cyberattaque survient dans un contexte peu favorable aux grandes enseignes françaises. Outre les télécoms, on peut aussi citer Air France/KLM dernièrement ou certaines enseignes du secteur du luxe. Et maintenant Auchan ! Zataz note une possible connexion via des partenaires communs, sans pouvoir confirmer l'hypothèse. Ce qui est certain, c'est que les cybercriminels sont doucement en train de de dessiner le portrait d'une nouvelle année catastrophique pour la protection des données personnelles en France.
Le silence sur l'origine exacte de la faille – interne ou externe – alimente les spéculations. Combien de temps les pirates ont-ils eu accès aux données ? Qui sont-ils ? L'enseigne reste muette et se contente d'assurer avoir notifié la CNIL et pris des mesures immédiates, conformément à la réglementation. Mais pour des milliers de clients contraints de sacrifier leur samedi pour récupérer leur cagnotte en magasin, la pilule reste amère.
Quant à Auchan, déjà fragilisé par l'annonce de 2400 suppressions d'emplois fin 2024, ce nouveau scandale tombe au pire moment. L'enseigne multiplie les messages de prévention, martelant à ses clients de ne jamais divulguer identifiants ou codes par téléphone, email ou SMS. Une communication défensive qui peine à masquer une réalité inquiétante : les systèmes de fidélisation, censés créer du lien, deviennent des portes dérobées pour les cybercriminels.
