Fuite de données chez des marques telles que Timberland, Vans et Napapijri ?

La société VF Corporation, propriétaire de marques de vêtements telles que Vans, Timberland, The North Face, Dickies, Eastpak, JanSport, Napapijri ou encore Supreme, alerte ses clients d’une fuite de données… 4 mois après le passage des hackers d’ALPHV.

Le 13 décembre 2024, une activité non autorisée a été détectée dans les systèmes de VF Corporation. Une cyberattaque menée par les pirates informatiques d’ALPHV/BlackCat. L’entreprise explique, quatre mois aprés l’infiltration du chat noir : « Nous avons rapidement mis en œuvre notre plan de réponse aux incidents ». Le 15 décembre 2023, 48 heures aprés cette malveillance, VF corporation sécurisait son environnement informatique.

Quelles données ont été affectées ?

L’enquête a révélé que l’incident « pourrait avoir compromis certaines données clients, comme les adresses e-mail, noms, numéros de téléphone, adresses de facturation et de livraison, ainsi que, dans certains cas, l’historique des commandes et le type de moyen de paiement. » Il est important de noter qu’aucune information financière détaillée ou mot de passe n’a été divulguée. Cependant, les pirates ont collecté de quoi orchestrer des cyber malveillances sans être obligés de passer par un mot de passe ou des données bancaires.

ALPHV avait collecté beaucoup de données et avait menacé VF Corporation diffusé sur leur blog, avant que ce dernier ne soit fermé par les autorités. ALPHV avait même accusé VF Corporation d’avoir motivé le FBI à faire fermer le blog des pirates.

À ce jour, il n’y a pas d’indications que cet incident ait directement impacté les consommateurs dont les données étaient concernées. Pas de traces probantes dans le darkweb, sur le web, Etc ? Aujourd’hui, les blogs de BlackCat ont disparu. Quid des données ? « Toutefois, nous ne pouvons écarter le risque de tentatives de fraude, telles que l’usurpation d’identité ou le hameçonnage, découlant de cette exposition de données. » explique la société qui continue de veiller via les sociétés Mandiant, CrowdStrike et son assureur Beazley.

Pourquoi communiquer si tardivement ? Les mauvaises langues pourraient expliquer ces 4 mois de silence par l’aspect business de VF Corporation. La société possède 13 marques telles que Vans, Timberland, The North Face, Dickies, Eastpak, JanSport, Napapijri ou encore Supreme. Certaines de ces marques travaillent énormément durant la période hivernale. Inquiéter les clients, c’est perdre leur confiance, et leurs achats. VF Corporation emploie plus de 35 000 personnes et génère un chiffre d’affaires annuel de 11,6 milliards de dollars.

Jusqu’ici, tout va bien ?

Les dommages causés par le piratage de décembre 2023 pourraient durer sur du long terme. Pourquoi ? Il s’est avéré que les données de 35,5 millions de personnes seraient dans de mauvaises mains. Nous avons été alertés de cette fuite à l’époque par ALPHV [le 22 décembre], mais aussi, par un document remis au gendarme de la bourse américaine, la SEC. La société avait déposé un rapport auprès de la Securities and Exchange Commission des États-Unis, le 13 décembre 2023, informant que VF Corporation avait alerté ses actionnaires. A l’époque, il n’était pas clair à savoir si les informations volées concernent uniquement les employés, fournisseurs, revendeurs, partenaires ou clients de l’entreprise.

Pendant l’attaque d’un ransomware, les magasins de détail exploités par VF dans le monde entier sont restés ouverts, et les consommateurs pouvaient acheter les marchandises disponibles, mais certaines perturbations opérationnelles ont bloqué l’entreprise, comme valider les commandes.

4 mois plus tard, comment vous protéger ?

La vigilance classique, notamment en scrutant attentivement toute demande de renseignements personnels courriers électroniques, SMS ou appel téléphonique. Méfiez-vous des liens et pièces jointes dans les mails et restez alerte face à toute communication suspecte, même si elle semble provenir de sources fiables. Des pirates pourraient vous téléphoner. « Votre vie privée et la protection de vos données personnelles restent notre priorité. » concluent VFC dans une réponse qui ne rassure que celui qui l’écrit. Une équipe dédiée est à la disposition des clients : [email protected].

Pour finir, on ne sait pas si ALPHV a toujours en main les données. Leur dernier coup, une arnaque, pourrait laisser penser qu’ils ont les informations, quelque part, bien au chaud. Espérons le contraire !