Après les fuites de données de plusieurs enseignes, c’est donc au tour du distributeur Auchan de subir une attaque similaire. L’enseigne, qui a notifié ce piratage à la Commission nationale de l’informatique et des libertés (CNIL), tient, toutefois, à assurer à ses clients que « les données bancaires, mot de passe et code pin ne sont pas concernés ».
Ce mardi 19 novembre, Auchan explique, dans un mail adressé à ses clients, que cette cyberattaque a « entraîné un accès non autorisé à une partie des données personnelles » associées à leur compte fidélité. Tout en affirmant que les données bancaires, mots de passe et codes pin ne sont pas concernés, l’enseigne révèle que les noms, prénoms, adresses mail et postale, numéros de téléphone, compositions familiales si elles sont renseignées, dates de naissance, numéros de carte fidélité et montants de la cagnotte font partie des données volées.
Une porte-parole du groupe Auchan indique à l’ADP qu’au total, plus de 500 000 clients sont touchés par ces fuites de données. Afin que ceux-ci ne perdent pas les montants de leur cagnotte sur leur carte fidélité, l’enseigne nordique affirme avoir « renforcé les contrôles en cas de décarottage ». Auchan appelle aussi ses clients à « la plus grande vigilance face au risque de mails, SMS ou appels frauduleux ».
Auchan met en garde ses clients
Dans ledit mail, l’enseigne alerte sur les possibilités qui s’offrent aux pirates avec les données volées. « Si vous recevez un message, ne cliquez sur aucun lien, n’appelez pas le numéro indiqué et ne tenez pas compte des informations qu’il contient, car il s’agit sans doute d’un message de phishing », prévient-elle.
Rappelons que ces dernières semaines, la France a connu plusieurs attaques de ce genre. Boulanger, Cultura, mais surtout Free, pour ne citer que ceux-ci, en ont fait les frais. Cependant, l’opérateur Free a été le plus touché, étant donné que les données clients volées comportaient également des informations bancaires, notamment l’IBAN, faisant courir le risque imminent de fraude.
À noter que l’IBAN est un code standardisé dont la fonction consiste à identifier un compte bancaire en France ou à l’international. Pour éviter que les clients soient victimes de tentative de phishing, il est recommandé d’activer une option qui consiste à réclamer une confirmation via l’application bancaire avant la validation d’un mandat de prélèvement. Ainsi, la victime sera avertie en cas de tentative de prélèvement via un faux mandat et pourra, ainsi, mettre fin l’opération.
Autre solution plus radicale : définir les débiteurs autorisés à faire des prélèvements, en demandant à sa banque la mise en place d’une liste blanche. Rappelons que le gouvernement a mis en place un dispositif d’assistance pour les victimes de cyberattaque, cybermalveillance.gouv.fr, sur lequel il est possible d’obtenir l’aide nécessaire pour gérer ce genre de situation.
