ZATAZ » Fuite de données chez le groupe Schmidt

Le groupe Schmidt, leader français de la cuisine équipée, a annoncé une fuite de données après l’accès non autorisé d’un tiers à des informations relatives à ses clients. Vendredi soir, des milliers de Français ont reçu un mail de Schmidt ou Cuisinella leur indiquant que leurs coordonnées (civilité, nom, prénom, téléphone, adresse mail) avaient pu être compromises. Le groupe affirme qu’aucune donnée bancaire, adresse de résidence, pièce d’identité ou mot de passe n’a été touchée et assure avoir immédiatement mis fin à l’intrusion, lancé des investigations et notifié la Cnil. Cette attaque s’inscrit dans une série de fuites majeures concernant MédecinDirect, Leroy Merlin et les missions locales, qui fragilise encore la confiance numérique des consommateurs.

Un leader de la cuisine visé par un accès non autorisé

Vendredi peu après 20 heures, des clients de Schmidt et Cuisinella découvrent dans leur boîte mail un message que beaucoup auraient préféré ne jamais lire. Le groupe Schmidt les informe qu’un tiers non autorisé a accédé à certaines données relatives à ses clients. Le périmètre annoncé est clair, les informations exposées sont des coordonnées fournies dans le cadre d’une relation avec un magasin Schmidt ou Cuisinella. Sont listés la civilité, le nom, le prénom, le numéro de téléphone et l’adresse mail de contact.

Ce message ne se limite pas aux acheteurs récents. Il peut aussi concerner des personnes ayant simplement monté un dossier, pris un rendez-vous ou engagé une démarche commerciale sans aller jusqu’à la signature. Autrement dit, le jeu de données potentiellement affecté dépasse le seul fichier des cuisines effectivement livrées pour inclure des prospects, parfois engagés depuis longtemps dans des projets d’aménagement.

Le groupe insiste cependant sur ce qui n’a pas été touché. Il affirme qu’aucune donnée bancaire, aucune adresse de résidence, aucun mot de passe et aucune pièce d’identité n’ont été compromises. Cette distinction est centrale dans la communication de crise, car elle vise à rassurer sur les risques immédiats de fraude financière ou d’usurpation d’identité directe. En l’état, le vol déclaré ne permet pas de vider un compte bancaire, mais il fournit des éléments solides pour cibler des victimes avec des escroqueries plus sophistiquées.

Schmidt explique que ses équipes de cybersécurité ont, dès la détection de l’incident, immédiatement mis fin à l’intrusion, lancé des investigations approfondies et pris les mesures nécessaires. Dans son communiqué, la direction évoque le respect des obligations réglementaires, notification à la Cnil, dépôt de plainte auprès des autorités compétentes et information individuelle des consommateurs potentiellement concernés, présentée comme transparente et responsable.

Derrière cette formule, se dessine un schéma désormais classique. Une fois l’intrusion repérée, l’entreprise doit isoler le périmètre compromis, comprendre par où l’attaquant est passé, évaluer le nombre de personnes concernées et enclencher une chaîne d’alertes obligatoires. Plus l’entreprise est exposée, plus la manière dont elle gère ces étapes devient un signal pour les autorités comme pour les clients. Avec un chiffre d’affaires de 1,3 milliard d’euros en 2024, dont 729 millions pour Schmidt et 582 millions pour Cuisinella, le groupe ne peut pas traiter ce dossier comme une simple anomalie technique.

D’un point de vue renseignement, une fuite visant un leader de marché ne se résume pas à une liste d’adresses. Elle offre à des acteurs malveillants une cartographie des clients d’un segment précis, ici l’aménagement de la maison, avec des indices implicites sur le pouvoir d’achat, les projets en cours et la sensibilité aux campagnes commerciales. Ces données constituent un capital exploitable bien au-delà d’un simple spam.

Des coordonnées exposées, un risque accru de phishing ciblé

Si les données bancaires et les mots de passe n’ont pas été touchés, les informations compromises suffisent largement à alimenter des campagnes de fraude. Civilité, nom, prénom, numéro de téléphone, adresse mail, le panier de données correspond exactement à ce dont ont besoin les cybercriminels pour lancer du phishing ou du smishing crédible.

Le groupe Schmidt appelle d’ailleurs explicitement ses clients à être particulièrement vigilants face à une éventuelle utilisation anormale de ces données personnelles, qu’il s’agisse d’appels, de SMS ou de mails frauduleux. Cette recommandation n’a rien de théorique. Un attaquant disposant du nom, du courriel et d’un numéro de téléphone peut se faire passer pour un conseiller du magasin, évoquer un projet de cuisine ou de dressing, et demander une confirmation de coordonnées bancaires ou un paiement complémentaire sous couvert d’acompte ou de modification de commande.

Le fait que les clients ciblés soient des acheteurs ou prospects d’aménagement intérieur renforce la crédibilité de ce type de mise en scène. Un mail qui mentionne un magasin Schmidt ou Cuisinella, un projet cuisine, une date de rendez-vous approximative ou un code postal cohérent suffira à emporter l’adhésion d’une partie des destinataires. Le danger ne vient pas seulement de la quantité de données volées, mais de leur capacité à se greffer sur une relation commerciale déjà installée.

Sur le plan opérationnel, les coordonnées exposées peuvent être revendues en blocs sur des marchés clandestins ou intégrées à des bases plus larges. Croisées avec d’autres fuites récentes, ces informations permettent de profiler des individus présents dans plusieurs fichiers à la fois, par exemple un jeune suivi par une mission locale, utilisateur d’une plateforme de téléconsultation et client d’un grand distributeur de bricolage. La valeur de la donnée augmente à mesure qu’elle se combine.

Dans ce contexte, la réaction ne peut pas se limiter à lire le mail d’alerte et passer à autre chose. Les personnes concernées doivent s’attendre à une hausse des sollicitations suspectes dans les semaines à venir, qu’il s’agisse de démarchages téléphoniques agressifs ou de messages se présentant comme des relances commerciales. En l’absence de mots de passe volés, le réflexe à adopter est double, vérifier soigneusement les adresses d’expédition et les numéros appelants, et ne jamais cliquer directement sur un lien reçu par mail ou SMS lorsqu’il s’agit de paiement ou de connexion.

Pour les équipes de cybersécurité et de renseignement économique, l’incident Schmidt est aussi une illustration des risques inhérents aux systèmes de gestion de la relation client. Plus le groupe est intégré, plus la base de données clients devient un actif critique. À ce niveau, la protection ne devrait pas reposer seulement sur des mesures techniques, mais aussi sur une gouvernance stricte des accès, un suivi continu des activités anormales et une anticipation des scénarios d’exploitation par les attaquants.

Mois noirs pour les données des Français

L’affaire Schmidt ne tombe pas du ciel. Elle s’inscrit dans une séquence de quelques jours marquée par plusieurs communications liées à des cyberattaques touchant des secteurs très différents, mais avec un point commun, la masse de données personnelles potentiellement compromises.

Ce vendredi après-midi, un groupe cybercriminel revendiquait déjà le vol de données de santé de plus de 320 000 patients du site de téléconsultation MédecinDirect. Là encore, il s’agit d’un service grand public, intégré dans le quotidien numérique de nombreux assurés. La veille, l’enseigne de bricolage Leroy Merlin expliquait avoir été visée par une cyberattaque ayant entraîné la fuite de données personnelles de plusieurs centaines de milliers de clients. Il y a quelques jours, France Travail et l’Union nationale des missions locales annonçaient que les données d’environ 1,6 million de jeunes suivis par les missions locales étaient susceptibles d’avoir été divulguées.

Dans ce dernier cas, la nature des informations en jeu est particulièrement lourde, noms, prénoms, dates de naissance, numéros de sécurité sociale, identifiants France Travail, adresses mail et postales, numéros de téléphone. Autrement dit, un kit complet d’identité administrative, sociale et de contact pour une population déjà souvent fragile.

Dans les trois cas, comme pour le groupe Schmidt, les données bancaires n’auraient pas été piratées. Ce point, mis en avant dans chaque communication, cherche à limiter l’angoisse immédiate liée à la perte d’argent. Mais il ne doit pas masquer l’essentiel : l’empilement de fuites successives sur des périodes très rapprochées fabrique une vulnérabilité systémique. Même sans coordonnées bancaires, les données agrégées suffisent à alimenter des usurpations, des arnaques sophistiquées et des formes de pression ciblée.

Pour un acteur malveillant qui collecterait ces différentes fuites, la France devient progressivement un terrain où des pans entiers de la population sont documentés par fragments, parfois recoupables. Le jeune suivi par une mission locale, client d’une enseigne de bricolage, utilisateur d’une plateforme de téléconsultation et acheteur d’une cuisine se retrouve, sans le savoir, présent dans quatre bases distinctes, chacune avec ses morceaux d’identité.

Du point de vue du renseignement, ces communications illustrent un déplacement du centre de gravité de la menace. Les grandes infrastructures critiques restent évidemment sous surveillance, mais les attaquants investissent massivement le quotidien numérique, là où s’agrègent des données personnelles en quantités énormes, souvent sous des niveaux de protection inégaux. Plateformes privées, acteurs de l’emploi, services de santé en ligne, réseaux commerciaux, tous contribuent à une mosaïque qui, une fois fracturée, nourrit un marché parallèle de l’information. La plupart du temps, des données volées afin de nourir des outils pirates tels que des Look Up.

Source : Lire l'article original