Entreprise française spécialisée dans les surgelés, Picard a été, à son tour, victime d’une cyberattaque d’ampleur. Au total, 45.000 de ses clients (membres du programme de fidélité) ont vu leurs données personnelles être subtilisées.
En plus des principaux concernés, ce géant de l’agro-alimentaire a également informé la CNIL (Commission nationale de l’informatique et des libertés).
Que savons-nous sur cette cyberattaque ?
Cette cyberattaque a été menée sur la base de la méthode du “credential stuffing”.
Celle-ci consiste à utiliser des adresses emails, des logins et des mots de passe subtilisés à l’occasion d’anciennes cyberattaques, dans le but de réussir à se connecter à d’autres sites ou plateformes.
Cette technique est de plus en plus courante chez les pirates informatiques comme le révèle le document RockYou2024.
Les internautes ont effectivement tendance à réutiliser le même mot de passe sur plusieurs sites web.
Résultat, les comptes Picard de ces derniers ont été forcés, permettant aux cybercriminels d’avoir accès à un grand nombre d’informations personnelles comme :
- identité (nom et prénom),
- date de naissance,
- adresse postale,
- numéro de téléphone.
L’intégration de chiffres ou de caractères spéciaux est une bonne technique pour créer des mots de passe sécurisés.
Quelle a été la réaction de Picard ?
Suite à la découverte de cette cyberattaque d’ampleur, la réaction de Picard s’est faite en trois temps.
Premièrement, les 45.000 personnes concernées ont reçu un mail d’information faisant état de la situation.
Dans ce mail, il était possible de lire :
Nous avons détecté, par l’intermédiaire de mesures techniques mises en place par Picard, un accès non autorisé à votre compte Picard par des tiers.
Picard a ensuite contacté la CNIL, le gendarme internet français, pour le tenir au courant de cette attaque cyber et de ses conséquences, ajoutant toutefois que les systèmes d’information du groupe ont été préservés.
Enfin, Picard a décidé de renforcer la surveillance et les contrôles de sécurité de sa plateforme avec pour objectif de bloquer la moindre tentative de connexion malveillante.
Quelle conséquence pour Picard et sa clientèle ?
Pour les clients Picard, ce sont des données personnelles qui ont été subtilisées et qui, à terme, pourraient être revendues ou utilisées à mauvais escient.
Pour l’enseigne, c’est un très mauvais coup de publicité. Les piratages de ce type sont très courants en France en ce moment. En témoigne l’attaque vécue par Free il y a peu.
Cela démontre que les grands groupes sont encore très friables face au vol des données et ont encore du travail à faire pour assurer la sécurité de leur clientèle.