BREAKING NEWS

Fuite massive de données chez Boulanger : ce que révèle le retour inattendu d’un leak

Posted On 22 Avr 2025
By :
Comments: 2
Tag:

Un fichier de 16 Go contenant des millions de données clients de Boulanger circule sur un forum grand public, ravivant les inquiétudes autour de données qui vont être utilisées par des milliers de pirates.

En septembre 2024, ZATAZ vous révélait que l’enseigne Boulanger, l’enseigne française spécialisée dans l’électroménager et le multimédia, faisait partie des victimes d’une cyberattaque de grande ampleur. Une attaque que ZATAZ avait mis en alerte, dés février 2024. Moins d’un an plus tard, les données issues de cette attaque resurgissent sur un forum pirate en libre accès du clear web. Pour accéder aux données, 1 crédit, rien de plus. Un retour inattendu qui met en lumière la vulnérabilité persistante des données personnelles dans le commerce numérique et les risques concrets pour les millions de consommateurs concernés.

Créée en 1954, Boulanger s’est imposée comme un acteur majeur de la vente de produits technologiques en France, avec près de 200 magasins, un site e-commerce actif et une application mobile téléchargée plus d’un million de fois. Mais cette position de force n’épargne pas l’entreprise face à la recrudescence des cyberattaques ciblant les données sensibles de ses clients. L’affaire actuelle repose sur la réapparition d’un fichier volumineux contenant, selon nos vérifications, les informations personnelles de centaines de milliers d’individus. Ce fichier, mis à disposition sans contrepartie financière, révèle une nouvelle forme de danger : celui d’une diffusion massive à bas bruit.

Les piratages de 2024 ressortent de l’ombre

Les premières traces de cette nouvelle fuite sont apparues sur un forum bien connu des amateurs de piratage et de partage de bases de données compromises vendredi, à la veille du week-end de Pâques. Selon le service veille ZATAZ, un stockage dans un cloud public orchestré dès le 14 avril (18h).

L’auteur du message, anonyme mais actif, y décrit deux jeux de données : un fichier brut de 16 Go au format .JSON, contenant plus de 27 millions d’enregistrements, et un fichier « propre » de 500 Mo en .CSV, présenté comme plus facilement exploitable. Selon lui, ce dernier renferme environ cinq millions de profils clients. Mais l’analyse du Service veille ZATAZ montre que ce chiffre est exagéré.

En réalité, le fichier contient un peu plus d’un million de lignes uniques — certaines doublons incluses —. Cela reste tout de même un nombre de clients conséquents avec les coordonnées complètes : nom, prénom, adresse postale, adresse mail et numéro de téléphone.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

« La publication gratuite de ces fichiers pourrait augmenter considérablement l’exposition des clients à des escroqueries ciblées »

ZATAZ confirme l’origine l’authenticité des données en s’appuyant sur une comparaison avec les fuites antérieures [lire]. Tout porte à croire que ce sont les mêmes informations issues de l’attaque de 2024 qui réapparaissent ici, mais sous une forme plus accessible. À l’époque, le hacker malveillant se présentant sous le pseudonyme de « horrormar44 » revendiquait une série d’intrusions visant plusieurs enseignes de distribution, dont Truffaut et Cultura. ZATAZ Watch du Service de veille a repéré d’autres « BDD » d’entreprises piratées en 2024. Nous ne les citeront pas. cela évitera de voir n’importe qui en parler

Le même pirate avait mis en vente le fichier sur un autre forum, pour un prix fixé à 2 000 euros. Il est impossible de déterminer si la vente a abouti, mais la publication gratuite de ces fichiers pourrait considérablement augmenter l’exposition des clients à des escroqueries ciblées.

Des centaines de pirates vont se jeter sur les données volées et copiées

L’élément le plus préoccupant de cette affaire reste la nature des informations divulguées. Un fichier contenant des noms, adresses physiques, mails et numéros de téléphone constitue une véritable mine d’or pour les cybercriminels. Avec ces données, il est possible de monter des campagnes de phishing sophistiquées, de mettre en place des arnaques personnalisées ou encore d’organiser des attaques d’ingénierie sociale destinées à manipuler les victimes pour obtenir encore plus d’informations sensibles.

Le pirate a diffusé deux fichiers compressés le 14 avril.

Un simple SMS semblant provenir de Boulanger, mentionnant le nom et l’adresse réelle du client, pourrait suffire à convaincre une victime de cliquer sur un lien frauduleux. Le danger n’est donc pas seulement théorique. D’autant que, contrairement à une fuite diffusée sur le dark web — difficile d’accès et nécessitant des compétences techniques — cette nouvelle publication est visible sur un forum accessible depuis n’importe quel navigateur, sans chiffrement ni anonymisation particulière. Il suffit de « liker » le message ou d’y répondre pour obtenir les liens de téléchargement.

« Ces données peuvent servir de socle à des attaques hybrides, mêlant techniques classiques et ingénierie psychologique avancée »

Le contexte de cette fuite s’inscrit dans une tendance inquiétante : l’explosion des attaques de type ransomware visant les enseignes grand public. Ils anticipent la possibilité de monétiser les données en les revendant ou, comme ici, en les diffusant gratuitement pour des raisons idéologiques, stratégiques ou simplement par goût du chaos. Les bases de données comme celles des opérateurs ont permis un business autour du LookUp.

Dans ce cas précis, la gratuité peut paradoxalement accroître le risque. Elle permet une diffusion virale de l’information, souvent reprise par d’autres forums ou téléchargée en masse par des personnes malveillantes. Et si certaines données sont redondantes ou obsolètes, la densité d’informations valides reste suffisante pour permettre des opérations de fraude à grande échelle.

Face à cette situation, les clients potentiellement concernés disposent de peu de moyens pour se protéger, mais peuvent tout de même adopter des réflexes salvateurs. Il est conseillé de faire preuve d’une grande vigilance face aux communications suspectes, de renforcer les paramètres de confidentialité sur les réseaux sociaux, et de signaler tout comportement inhabituel à Boulanger ou aux autorités compétentes. Le Service Veille ZATAZ a alerté ses clients concernés dès vendredi soir.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZRejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. Il s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. ZATAZ.COM est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. 9ème influenceur Cyber d'Europe. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Réserviste de la Gendarmerie Nationale (Unité Nationale Cyber - réserve volontaire citoyenne) et de l'Éducation Nationale Hauts-de-France. Médaillé de la Défense Nationale (Marine Nationale) et de la médaille des réservistes volontaires de défense et de sécurité intérieure. (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.
  1. licornerebelle 28/04/2025 at 18:12

    bonjour,
    ce que vous ne mentionnez pas dans votre article c’est que les pirates ont changé les adresses de livraison liées à chacune des identités des clients de Boulanger avant de les mettre librement et gratuitement sur ce site du darkweb (pour flouter les poursuites ??). J’ai reçu l’alerte de google ce dimanche 27/04/2025 au matin pour m’avertir de vol de mes données le 16/04/2025 Google avait bien compris qu’il s’agissait des données volées en septembre 2024 chez Boulanger mais l’adresse cryptée en bonne partie par google indiquait une adresse à Pantin et moi je n’habite pas à Pantin – etrange quand meme !!!!

    • Damien Bancal 28/04/2025 at 22:50

      Bonjour,
      Tout simplement parce que Google se trompe, et que nous ne pouvons pas mentionner des choses qui n’existent pas et/ou dont nous n’avons pas connaissance/preuve.
      Faits avérés : Nous avons pu faire un certain nombre de vérifications autorisées par des clients du Service de veille ZATAZ. Toutes les données étaient bonnes ; Nous sommes flattés d’apprendre que notre service de veille avait l’information plus d’une semaine avant le géant américain Google ; Google parle de vol de données le 16/04 ? Le pirate les a mis en ligne le 14. BREF.

Partenaires

Transmettre vos fichiers sécurisés à ZATAZ Oteria Cyber School IS Decisions Logo Guardia CS, école de cybersécurité à Paris, Lyon et Bordeaux ZATAZ Partenaire du Forum International de la Cybersécurité ZATAZ Partenaire du Forum International de la Cybersécurité

Publicité

Partenaires de ZATAZ

Cyber Secu Expo 2025, le 17 juin. LockSelf - Sécurité fabriquée en France Barracuda ! Abonnez-vous gratuitement aux actualités de ZATAZ facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

mai 2025
L M M J V S D
 1234
567891011
12131415161718
19202122232425
262728293031  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

210 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

150 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/BSK/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com
Service Client

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: +50 000 Alertes envoyées au 01/12/2025 : +190 000 Fuites constatées en 2024 : +20 milliards Service veille ZATAZ : Service Veille ZATAZ

Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon