La **cyberattaque** récente touchant l’enseigne française **Kiabi** soulève de vives inquiétudes concernant la **sécurité des données personnelles** des consommateurs. Dans un climat où les attaques informatiques se multiplient, cette situation met en lumière la vulnérabilité des informations bancaires et personnelles des clients. Faisons le point sur ces événements troublants.
Ce qu’il faut savoir sur la fuite de données qui a frappé Kiabi
Le 7 janvier 2025, **Kiabi** a été victime d’une attaque de type **« credential stuffing »**. Ce mode opératoire consiste à utiliser des identifiants volés provenant d’autres fuites de données afin d’accéder aux comptes de clients ciblés.
« Ce type d’attaque particulier utilise les identifiants issus de fuites de données d’autres sites web pour tenter d’accéder aux comptes clients visés. », a déclaré la chaîne de magasins.
Il est essentiel de noter que tous les clients n’ont pas été affectés ; l’attaque a principalement frappé le site **Seconde Main by Kiabi**, dédié aux vêtements d’occasion, laissant de nombreux acheteurs épargnés.
Les informations dérobées
À la suite de cette cyberattaque, les hackers ont réussi à accéder à des données sensibles telles que le **nom**, le **prénom**, les **coordonnées** et les **dates de naissance** de près de **20 000 clients**. Toutefois, Kitabi a rassuré ses utilisateurs en affirmant que les **RIB** n’ont pas été compromis. Pour renforcer la sécurité, l’entreprise a mis en place un **masquage des IBAN** et a procédé à une réinitialisation des mots de passe pour tous les utilisateurs affectés.
Kiabi a pris contact avec les clients victimes des hackers
Pour les clients habitués au site de **Seconde main**, il n’y a pas de démarches supplémentaires à entreprendre. Selon la réglementation actuelle, c’est à l’entreprise de notifier ses clients en cas de violation de données. Ainsi, si aucun avertissement n’a été reçu de la part de **Kiabi**, les utilisateurs peuvent être rassurés.
Les dangers du « credential stuffing »
Cette terminologie masque une réalité préoccupante. Le **credential stuffing** permet aux pirates de s’emparer de données personnelles telles que noms, prénoms, adresses email et mots de passe. Les hackers peuvent alors accéder aux comptes en ligne des victimes, en particulier celles qui utilisent le même mot de passe sur plusieurs sites. Benoit Grunemwald, expert en cybersécurité, décrit ainsi la méthode:
« Après une fuite de données, les cybercriminels récupèrent des milliers d’emails et utilisent des programmes automatisés pour les tester sur de multiples sites. Un mot de passe unique réutilisé devient une porte dérobée donnant accès à l’ensemble de votre vie numérique, surtout si cet accès ouvre votre messagerie. Il devient alors possible de réinitialiser des mots de passe aisément. »