Credentialstuffing, fuites massives, double authentification : pourquoi les enseignes doivent agir vite. L’hémorragie numérique est persistante, malgré la tendance mondiale à la baisse.
Le premier trimestre 2025 aurait dû être celui du soulagement. Selon le rapport trimestriel de Surfshark, les fuites de données ont chuté de 93 % à l’échelle mondiale par rapport au dernier trimestre 2024. Une tendance en nette amélioration qui traduit les efforts conjoints d’entreprises, de gouvernements et d’utilisateurs pour renforcer les dispositifs de cybersécurité. Pourtant, en France, les voyants restent au rouge. Avec plus de 2,1 millions de comptes piratés entre janvier et mars 2025, l’Hexagone conserve sa place parmi les pays les plus exposés au monde, juste derrière les États-Unis, la Russie, l’Allemagne et l’Inde.
Maud Lepetit, responsable France chez Surfshark, résume la situation sans ambages : «un Français moyen a été victime d’une violation de données environ dix fois.» Un chiffre alarmant qui en dit long sur la vulnérabilité du tissu numérique français. Le pays affiche aujourd’hui un ratio de 1 006 comptes compromis pour 100 habitants, contre une moyenne mondiale de 280. Si la France parvient à suivre partiellement la dynamique internationale avec une baisse de 56,5 % des piratages, la densité des attaques reste extrêmement élevée.
Cette hémorragie s’explique en grande partie par le comportement des utilisateurs. Selon une étude de Bilend, 69 % des Français emploient le même mot de passe pour plusieurs services en ligne. Parmi eux, 11 % admettent réutiliser ce mot de passe pour tous leurs comptes. Cette réutilisation chronique d’identifiants déjà compromis est une aubaine pour les cybercriminels.
Credentialstuffing : une mécanique implacable d’exploitation des fuites
La technique dite du « credentialstuffing » (bourrage d’identifiants) est au cœur des cyberattaques que subissent les enseignes françaises. Il s’agit d’exploiter des listes d’identifiants et de mots de passe dérobés lors de fuites de données antérieures, pour tenter d’accéder en masse à d’autres services. Cette stratégie repose sur une faiblesse humaine tenace : la paresse à modifier ou diversifier ses mots de passe. Avec des bots qui peuvent tester des millions de combinaisons en quelques heures, les résultats sont redoutables.
En janvier, l’enseigne Kiabi a été la première grande victime de l’année. Près de 20 000 comptes clients ont été compromis sur son ancienne plateforme Seconde Main. Les cybercriminels ont accédé à des informations sensibles telles que les noms, prénoms, adresses postales, dates de naissance et même les IBAN. Le site ciblé était censé être dé-commissionné fin 2024, mais la porte était restée entrouverte. L’attaque a mis en lumière un angle mort critique : les services obsolètes et peu surveillés constituent des failles systémiques.
E.Leclerc n’a pas été épargné non plus. Les cybercriminels ont ciblé les comptes liés au programme Primes Énergie, exfiltrant des données personnelles, telles que les adresses e-mail, les numéros de dossier, le montant des aides perçues, voire les mots de passe chiffrés. Pour prévenir un effet domino, l’enseigne a réinitialisé tous les mots de passe de ses comptes utilisateurs. La CNIL a été saisie et une enquête est en cours pour évaluer le niveau de responsabilité technique.
Chez Boulanger, les chiffres donnent le vertige. Une première cyberattaque en 2024 avait permis l’exfiltration de 27 millions de données clients. Ces données sont réapparues gratuitement en avril 2025 sur BreachForums, forum pirate très fréquenté. Cette gratuité apparente masque une menace bien réelle : une diffusion virale des fichiers, susceptibles d’être téléchargés, croisés et exploités par n’importe quel acteur malveillant. Clément Domingo, hacker éthique et lanceur d’alerte cyber, connu sous le nom de SaxX, prévient : «un simple SMS avec votre nom et votre adresse réelle peut suffire à piéger une victime.»
Du déni à la réaction : la CNIL change de posture
Face à cette accumulation de fuites et à l’incapacité structurelle d’une partie des entreprises à faire face, la CNIL a décidé de durcir le ton. Dans son rapport annuel présenté fin avril, l’autorité recense 5 629 violations de données en 2024, soit une augmentation de 20 % par rapport à l’année précédente. Plus alarmant encore, plus de 2 500 incidents ont déjà été enregistrés pour le seul premier trimestre 2025.
Conséquence : une mesure jusqu’alors recommandée devient obligatoire. La CNIL exige, dès 2026, la mise en place d’une authentification forte pour tous les accès distants concernant des bases de données de plus de deux millions de personnes. «Quatre violations massives sur cinq auraient pu être évitées avec de la double authentification», affirme Marie-Laure Denis, présidente de l’institution. Pour les entreprises concernées, ne pas s’y conformer pourra être considéré comme un manquement à l’obligation de moyens du RGPD, article 32.
La double authentification, déjà largement appliquée dans les secteurs bancaire ou administratif, va donc devenir une norme de fait pour les opérateurs du e-commerce, des télécoms et de la grande distribution. Et pour cause : elle bloque la plupart des attaques automatisées, même en cas de vol d’identifiants.
Un changement culturel nécessaire dans le retail
La multiplication des incidents, en France comme au Royaume-Uni, avec des cas très médiatisés et récents chez Marks & Spencer ou Harrods, met en lumière la fragilité du modèle opérationnel actuel du commerce. Les failles ne sont pas seulement techniques. Elles sont organisationnelles, culturelles, contractuelles. Dans les cas de Thermomix ou Afflelou, les intrusions provenaient d’un prestataire de CRM. Il ne suffit donc plus de sécuriser ses propres serveurs : l’ensemble de la chaîne de sous-traitance doit être audité, contractuellement encadré et techniquement surveillé.
Les entreprises doivent aussi abandonner la vision court-termiste du retour sur investissement en matière de cybersécurité. Kevin Mitnick, ex-hacker américain reconverti en consultant, le rappelle dans un slogan devenu adage : «la cybersécurité n’est pas un coût. C’est un investissement pérenne.» Car une fois la confiance brisée, le lien avec le client ne se répare pas facilement. Des mois de campagnes marketing ne suffisent pas à effacer la méfiance.
Un véritable changement de culture s’impose. Cela passe par la généralisation de la double authentification, la surveillance proactive des activités suspectes, la désactivation rapide des services obsolètes, l’éducation continue des collaborateurs et l’intégration de la sécurité dès la conception des services (approche « security by design »).
En 2025, la question n’est plus de savoir si une enseigne sera attaquée, mais quand et comment. Le credentialstuffing évoqué n’est qu’un symptôme. Le vrai enjeu est de savoir si les acteurs du retail sont prêts à assumer leur responsabilité dans la protection des données qu’ils collectent et exploitent chaque jour. Dans un monde connecté, la confiance client se construit elle aussi à double facteur.
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire