Auchan, Boulanger, Cultura, Truffaut, and e-commerce players alike, the retail sector is under relentless cyberattacks. Attackers are targeting businesses managing thousands of customer profiles. Retailers, through their loyalty programs, manage millions.

Le 19 novembre 2024, Auchan annonçait avoir été victime d’une fuite de données de grande ampleur, une annonce confirmée le lendemain par un email envoyé à ses clients : Auchan y reconnaissait un piratage informatique ayant entraîné un accès non autorisé à une partie des données personnelles des clients détenteurs d’une carte de fidélité Auchan Waaoh. La fuite de données porterait sur 550 000 comptes clients. L’information dérobée est plutôt riche, puisque si les coordonnées bancaires n’y figurent pas, les pirates ont eu accès au nom, prénom, adresse postale, l’adresse mail et au numéro de téléphone des clients. Ils disposent aussi des dates de naissance, de la composition familiale, du numéro de carte de fidélité et du montant de la cagnotte. Le parquet de Paris a confié l’enquête à l’Office anti-cybercriminalité et depuis, Auchan s’est muré dans le mutisme. L’affaire fait suite à une annonce très rapidement démentie par Intermarché auprès de certains clients de l’enseigne. Le distributeur suspectait un accès par un tiers non autorisé, suite à des attaques par Credential Stuffing. Ces attaques n’ont visiblement pas abouti, ce qui explique ce rétropédalage. Après les attaques contre Boulanger, Cultura, Truffaut et les E-Commerçants Grosbill et LDLC, cette fuite massive chez Auchan montre que la grande distribution est une cible de choix pour les attaquants. Au même titre que les opérateurs de télécoms, SFR et Free en tête, ceux-ci manipulent des données sensibles sur des centaines de milliers, voire des millions de clients.

Des contraintes très spécifiques au secteur

Expert du secteur, Vincent Lefret, administrateur du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) souligne : « L’écosystème d’un acteur de la distribution est extrêmement complexe : celui-ci traite avec de très nombreux fournisseurs, de même qu’il a recours à de nombreux prestataires de service qui sont communs. Une fuite de données chez l’un d’eux et ce sont de multiples enseignes qui sont touchées. Or, c’est l’enseigne qui est montrée du doigt ! » Ce scénario a notamment été évoqué lors des fuites de données déclarées par Boulanger, Truffaut et Grosbill. « Historiquement, le niveau de maturité du secteur vis-à-vis de la Cybersécurité est sans doute plus bas que des secteurs très réglementés comme la banque, par exemple. Le RGPD a déjà permis de faire bouger les choses et NIS 2 va avoir un impact fort dans la filière. » Les acteurs intégrés se sont déjà dotés d’organisation Cyber et ont gagné en maturité, mais les indépendants, dont les moyens sont, par nature, plus limités, vontlimités vont devoir investir pour rattraper leur retard. Les distributeurs doivent sécuriser tous leurs parcours digitaux, mais vont devoir aussi investir dans la sécurisation de leur Supply Chain et de leurs points de vente.

Par contre, il est un point sur lequel les distributeurs ne peuvent rehausser librement le niveau de sécurité de leurs systèmes : leurs points de contact avec les consommateurs. « Il est compliqué pour un acteur du commerce de mettre en place du MFA ou encore imposer des mots de passe complexes aux clients. Ceux-ci utilisent le même mot de passe sur tous leurs comptes personnels et lorsqu’un attaquant achète un fichier de login/password sur le Darknet, il va les essayer de manière massive partout où il le peut jusqu’à ce qu’il trouve une correspondance. C’est difficile d’adresser ce type de risque, car le distributeur a du mal à influer sur le comportement du consommateur dans le parcours client. » 

Les analystes sonnent l’alarme

Dans son Cyber Security Report 2024, Check Point Research confirme ce regain d’intérêt des attaquants pour le secteur de la distribution au niveau mondial. Le nombre d’attaques s’est accru de 22 % en un an. Mais si le secteur est victime en moyenne de 1 062 attaques par semaine, cela reste encore bien inférieur à d’autres secteurs d’activité, notamment l’enseignement et la recherche qui reste le plus visé avec 2 046 attaques par semaine, suivi par le secteur de la défense, de la santé, des télécoms et des banques. La menace est encore à un niveau moyen, mais la menace est bien réelle. Les analyses placent la distribution au deuxième rang derrière l’industrie face au risque de ransomware

La vague des fuites de données rendue publique par les distributeurs français traduit-elle cette tendance mondiale dans l’hexagone ? Il faut se garder d’en tirer des conclusions trop hâtives. Ainsi, en tant que partenaire premium des Jeux olympiques de Paris, Carrefour a été très exposé cet été sans pour autant que cela ne se traduise en une vague d’attaques majeures contre ses sites. Le leader français de la grande distribution représentait pourtant une cible de choix pour les hacktivistes voulant afficher leurs revendications sur le site de l’enseigne ou pire, à ceux qui auraient voulu immobiliser la logistique des jeux, puisque Carrefour assurait le ravitaillement en nourriture des restaurants et boutiques des sites olympiques…

Contrairement à ce que l’on pouvait attendre, le site n’a pas été visé par des attaques étatiques venues de pays qui n’approuvent pas la politique étrangère de la France, notamment son soutien à l’Ukraine. « Au début de la guerre en Ukraine, nous avons eu quelques signaux » reconnait Guillaume Cécile, SecOps Manager et CISO de Carrefour Group. « Il y a plusieurs années, Carrefour avait des magasins en Russie, mais cela s’est éteint très vite, car le groupe a communiqué pour rappeler que nous n’avions plus aucun contact avec la Russie depuis 2009 ». Un retrait de Russie que n’ont pas fait Auchan et Decathlon.

Message envoyé par Auchan à ses clients suite à la cyberattaque

1 000 attaques par mois en régime de croisière

Même lors des Jeux, le site Carrefour.fr n’a pas été particulièrement attaqué. En moyenne, celui-ci subit de l’ordre de 1 000 attaques par mois, « un décompte très large » prévient. « Le credential stuffing, c’est-à-dire la réutilisation de mots de passe, est le scénario le plus commun. Nous en observons toutes les semaines, quasiment tous les jours. Nous constatons aussi des scans de reconnaissance de nos sites Web et du scrapping de nos sites. » Pour le CISO, si la nature des menaces évolue dans le temps, en quantité, ce chiffre de 1 000 attaques par mois reste à peu près stable dans le temps. « Ce que les attaquants visent, c’est la compromission client. La grande distribution n’est pas forcément la cible en tant que telle. Les attaquants cherchent surtout à capter de la donnée client, les noms, prénoms, email et IBAN. C’est la raison pour laquelle SFR et Free ont été attaqués et qu’Auchan l’a été à son tour. »

Si les détenteurs de la carte de fidélité Carrefour ont été visés en 2023 par des attaques de phishing, Guillaume Cécile souligne : « Nous avons fait une communication sur les cartes de fidélité, mais nous n’avons pas constaté plus d’attaques qu’à l’habitude. Les attaquants cherchent à utiliser les login/mots de passe des utilisateurs afin d’utiliser la cagnotte de leur carte de fidélité. Cela fait 10 ans que cela existe, avec de petits pics d’activité avant Noël et avant les vacances d’été notamment. » Il révèle que, sur les 8 pays dont il a la responsabilité de la sécurité, la France n’est pas plus attaquée que les autres : « Le nombre d’attaques est lié au nombre de magasins, au nombre d’encartés, mais si on fait une moyenne, la France n’est pas plus attaquée que le Brésil ou l’Espagne. » Il souligne que le taux d’attaque dépend beaucoup de l’attractivité du programme de fidélité. Au plus un programme de fidélité est généreux, au plus il sera ciblé, car le montant des cagnottes sera plus important. « Quand je discute avec mes homologues de chez Auchan ou Darty, nous avons des chiffres assez comparables. » Face à cette constance des attaques, le distributeur a formé une équipe chargée de traquer les fraudes et surveiller les forums de hackers. Il a aussi mis en place un process interne pour traiter les comptes compromis au plus vite.

Un récent rapport d’IBM et du Ponemon Institute montre que le coût des violations de données reste encore assez faible pour le secteur de la distribution, de l’ordre de 3,48 millions de dollars en moyenne, bien loin des montants constatés dans le secteur de la santé ou de la finance, l’ouverture des systèmes d’information et les masses de données personnelles brassées par les géants de la distribution en font des cibles particulièrement intéressantes pour les attaquants.

Articles by the same author:
Stay tuned in real time
Subscribe to
the newsletter
By providing your email address you agree to receive the Incyber newsletter and you have read our privacy policy. You can unsubscribe at any time by clicking on the unsubscribe link in all our emails.
Stay tuned in real time
Subscribe to
the newsletter
By providing your email address you agree to receive the Incyber newsletter and you have read our privacy policy. You can unsubscribe at any time by clicking on the unsubscribe link in all our emails.