La série noire continue de plus belle. Alors que nous expliquions récemment comment un pirate avait dérobé des données de centaines de milliers de licenciés de plusieurs fédérations françaises de sport, voilà que c’est au tour de E.Leclerc de prévenir ses clients d’une potentielle fuite de données.
E.Leclerc peut « confirmer qu’il y a eu des tentatives frauduleuses »
Le message débute par « la protection de vos données personnelles est plus que jamais notre priorité »… laissant facilement deviner la suite avec ce genre d’accroche (ce n’est jamais bon signe). Et c’est bel et bien le cas : « Aujourd’hui, à la suite d’investigations approfondies de nos services de sécurité informatique, nous sommes en mesure de confirmer qu’il y a eu des tentatives frauduleuses d’accès à des comptes Primes énergie E.Leclerc ».
« De ce fait, certaines informations ont pu être exposées, à savoir : nom, prénom, adresse e-mail, identifiants d’accès, numéro de dossier, montant de la prime, libellé de prestation ». En plus des données malheureusement classiques que sont les nom, prénom et email, les pirates peuvent donc avoir de nombreuses informations sur la prestation dont ses clients ont bénéficié. Ils peuvent ensuite les utiliser pour des tentatives de phishing ; prudence donc.
L’enseigne affirme qu’une notification a été réalisée auprès de la Commission nationale de l’informatique et des libertés (CNIL) et que leur compte a été bloqué par mesure de sécurité : « En tout état de cause, si vous ne l’avez pas déjà fait, nous vous demandons de réinitialiser, dès à présent, votre mot de passe sur votre compte Primes énergie E.Leclerc ».
La communication de E.Leclerc a bien évoluée en une semaine
La communication de l’enseigne s’est faite en deux temps. Le 17 janvier, nous avions déjà eu un premier email, moins inquiétant :
« Dans un contexte où les attaques sur les données personnelles se multiplient, la sécurité de vos informations est plus que jamais notre priorité. Ainsi, afin de renforcer la sécurité de votre compte, nous vous demandons de bien vouloir modifier votre mot de passe et avons d’ores et déjà bloqué votre mot de passe actuel. Cette action vise à garantir la sécurité de vos données et à prévenir toute tentative d’accès non autorisée ».
Il n’était pas question d’une fuite de données ni de « tentatives frauduleuses d’accès ». Mais, une semaine plus tard, le discours n’est plus du tout le même.
La question des mots de passe se pose car, dans le second email, E.Leclerc parle d’« identifiants d’accès » au pluriel, alors que les autres éléments sont au singulier. Nous avons évidemment posé la question à l’enseigne pour avoir des précisions.