Leroy Merlin confirme une cyberattaque ayant exposé les données personnelles de centaines de milliers de clients. Les données bancaires ne sont pas touchées, mais la vigilance est appelée face aux risques de phishing.
Le groupe de bricolage et d’aménagement Leroy Merlin a confirmé avoir été victime d’un « acte de cyber-malveillance » visant son système d’information. Des centaines de milliers de clients sont concernés par cette fuite de données, selon la direction. Dans un mail envoyé le mardi 2 décembre, l’enseigne informe les personnes touchées que certaines de leurs données personnelles ont pu « fuiter à l’extérieur » de l’entreprise, tout en assurant avoir pris des mesures de sécurité dès la détection de l’incident.
Les informations compromises concernent l’état civil et les coordonnées des clients: nom, prénom, numéro de téléphone, adresse e-mail, adresse postale et date de naissance, ainsi que des données liées au programme de fidélité. Cette brèche ne touche donc pas les moyens de paiement, précise la direction. Leroy Merlin insiste sur le fait que « les données bancaires et les mots de passe des comptes clients ne sont pas concernés » et qu’ils restent « totalement sécurisés », un point confirmé par plusieurs médias spécialisés et par le message adressé aux clients.
L’enseigne, basée dans la métropole lilloise, indique avoir activé des « mesures de sécurité supplémentaires » et renforcé la surveillance de ses systèmes informatiques. La Commission nationale de l’informatique et des libertés (Cnil) a été informée, et une plainte doit être déposée. L’enquête doit encore permettre d’évaluer précisément l’ampleur de l’attaque et l’usage éventuel des données exfiltrées. D’après les premières analyses relayées dans la presse et par des spécialistes de la cybersécurité, les informations volées concernent en priorité les détenteurs d’un compte fidélité, ce qui expliquerait le volume de personnes touchées.
Même en l’absence de fuite de coordonnées bancaires, le risque n’est pas nul pour les clients. Ce type de jeu de données – identité complète, adresse, date de naissance, coordonnées – peut alimenter des campagnes de phishing ciblées ou des tentatives d’usurpation d’identité. Leroy Merlin appelle d’ailleurs ses clients à la vigilance face aux mails, SMS ou appels suspects, invitant à ne jamais cliquer sur un lien douteux ni transmettre d’informations sensibles en réponse à une sollicitation non vérifiée. Des experts rappellent que la multiplication récente des fuites de données en France, touchant aussi bien des services publics que de grandes enseignes privées, constitue un terrain propice aux escroqueries, notamment via de faux messages se présentant comme des relances commerciales, des notifications de commande ou des alertes de sécurité.
Cette affaire s’ajoute à une série noire de cyberattaques en France ces dernières semaines, qui a déjà touché France Travail, l’Urssaf, des acteurs de la distribution ou encore des fédérations sportives. Elle illustre une nouvelle fois la vulnérabilité des bases de données clients et la nécessité, pour les entreprises, de renforcer la protection de leurs systèmes autant que la sensibilisation de leurs salariés à la cybersécurité. Pour les particuliers, le réflexe reste le même: surveiller les messages inhabituels, vérifier l’authenticité des expéditeurs et, en cas de doute, passer directement par les canaux officiels de l’enseigne plutôt que par un lien reçu dans un mail.
