[email protected]
Publier mon innovation

Fuite de Données chez Petco : Vetco Exposé

Accueil - Technologies et Avenirs - Start-ups - Fuite de Données chez Petco : Vetco Exposé
Fuite de Données chez Petco Vetco Exposé Innovationsfr
décembre 23, 2025

Fuite de Données chez Petco : Vetco Exposé

Imaginez un instant que les informations les plus personnelles sur votre animal de compagnie – son historique médical, ses vaccins, mais aussi votre adresse complète et votre numéro de téléphone – soient accessibles à quiconque sur internet. Pas besoin de mot de passe, juste une simple manipulation d’URL. C’est exactement ce qui s’est produit chez Petco, le géant américain des produits pour animaux, avec sa filiale vétérinaire Vetco.

Cette affaire, révélée mi-décembre 2025, met une nouvelle fois en lumière les fragilités de la sécurité numérique dans des entreprises pourtant bien établies. Et ce n’est pas la première fois cette année que Petco fait les gros titres pour les mauvaises raisons.

Une faille béante qui expose des millions de dossiers

Le problème provenait du portail client de Vetco, accessible via petpass.com. Ce site permet normalement aux propriétaires d’animaux de récupérer leurs documents vétérinaires en format PDF après connexion. Mais une erreur de configuration a rendu une page de génération de ces PDF totalement publique.

En pratique, il suffisait de modifier légèrement l’adresse web en changeant un numéro d’identification client pour accéder aux fichiers d’un autre utilisateur. Ces numéros étant séquentiels, un attaquant pouvait théoriquement parcourir des millions de dossiers en automatisant le processus.

Les documents exposés contenaient bien plus que de simples reçus. On y trouvait :

  • Les noms complets des propriétaires et leurs coordonnées personnelles (adresse, email, téléphone)
  • Les historiques médicaux détaillés des animaux
  • Les résultats d’analyses, diagnostics et prescriptions
  • Les noms des vétérinaires, dates de consultation et même les signatures des clients
  • Pour les animaux : nom, race, âge, sexe, numéro de puce électronique et signes vitaux

TechCrunch, qui a découvert la vulnérabilité, a confirmé que certains de ces fichiers étaient même indexés par Google, rendant leur découverte triviale pour quiconque savait quoi chercher.

Une vulnérabilité classique mais destructrice : l’IDOR

Cette faille porte un nom technique précis : Insecure Direct Object Reference, ou IDOR en abrégé. Il s’agit d’une erreur courante où le serveur ne vérifie pas correctement si l’utilisateur a le droit d’accéder à la ressource demandée.

Dans le cas de Vetco, aucune authentification n’était requise pour la page générant les PDF. Le système se contentait de recevoir un identifiant et de servir le fichier correspondant, sans contrôle supplémentaire.

Cette lacune existe depuis au moins 2020, date du plus ancien document repéré. Pendant cinq ans, des millions de dossiers ont potentiellement été à portée de clic.

« Nous avons mis en place, et continuerons à mettre en place, des mesures supplémentaires pour renforcer la sécurité de nos systèmes »

– Ventura Olvera, porte-parole de Petco

Malgré cette déclaration, l’entreprise n’a pas précisé si elle disposait de logs permettant de savoir si des données avaient été massivement téléchargées avant la correction.

Troisième incident majeur en 2025

Ce n’est malheureusement pas une première pour Petco cette année. Début 2025, un groupe de hackers lié à Scattered Lapsus$ Hunters avait revendiqué le vol de données clients depuis une base Salesforce de l’entreprise.

En septembre, un second incident avait été révélé : une mauvaise configuration d’application avait rendu accessibles des fichiers contenant des informations hautement sensibles comme des numéros de Sécurité sociale, permis de conduire et données bancaires.

Cet épisode Vetco apparaît comme un troisième breach distinct, touchant spécifiquement les clients des cliniques vétérinaires.

Ces incidents répétés soulèvent des questions sérieuses sur la maturité cybersécurité d’une entreprise de cette taille.

Pourquoi ces failles se produisent-elles encore ?

Malgré les progrès technologiques, les erreurs humaines et organisationnelles restent la principale cause des breaches. Les IDOR, en particulier, figurent régulièrement dans le top 10 des vulnérabilités publié par l’OWASP.

Plusieurs facteurs expliquent leur persistance :

  • La pression pour livrer rapidement de nouvelles fonctionnalités au détriment de la sécurité
  • Un manque de tests de sécurité approfondis avant mise en production
  • Des architectures héritées complexes difficiles à sécuriser complètement
  • Une sous-estimation du risque sur des données considérées comme « moins sensibles » (ici, données vétérinaires)

Pourtant, les données sur les animaux de compagnie sont loin d’être anodines. Elles permettent souvent d’identifier précisément leurs propriétaires et peuvent être utilisées dans des attaques d’ingénierie sociale.

Les conséquences pour les clients et l’entreprise

Pour les clients affectés, les risques sont multiples : usurpation d’identité, harcèlement, ou utilisation frauduleuse de leurs coordonnées. Même si les données bancaires n’étaient pas directement exposées cette fois, la combinaison avec d’autres breaches peut créer un profil très complet.

Pour Petco, les conséquences sont déjà visibles : mise hors ligne du site Vetco, perte de confiance des clients, et probablement des amendes à venir. La loi californienne oblige à notifier publiquement les breaches touchant plus de 500 résidents de l’État.

À plus long terme, cette affaire pourrait accélérer le mouvement vers des solutions de santé animale plus sécurisées, peut-être basées sur la blockchain ou des systèmes zéro trust.

Leçons à tirer pour toutes les entreprises

Cette affaire Vetco rappelle plusieurs bonnes pratiques essentielles :

  • Toujours vérifier les autorisations côté serveur, jamais seulement côté client
  • Utiliser des identifiants non séquentiels et imprévisibles (UUID par exemple)
  • Mettre en place une surveillance active des expositions accidentelles
  • Former régulièrement les équipes développement à la sécurité
  • Réaliser des audits de sécurité externes périodiques

Dans un monde où les données sont devenues l’or noir des entreprises, leur protection n’est plus une option mais une obligation morale et légale.

L’affaire Petco-Vetco nous rappelle brutalement que même les géants peuvent trébucher sur des erreurs élémentaires. Espérons qu’elle servira de électrochoc pour renforcer la cybersécurité partout où des données personnelles sont manipulées.

Car au final, derrière chaque ligne de code mal sécurisée, il y a des vies réelles potentiellement impactées.

Mots Clés:
Partager:

Steven Soarez Rédacteur Web

Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.

Autres Sujets

Ajouter Un Commentaire

Chercher

Étiquettes

abus technologie Accord OpenAI Apple accélérateur innovation santé accélérateur startup accélérateur startups Acquisition start-up actions fintech addiction réseaux sociaux adoption IA générative adoption intelligence artificielle all4pack emballages durables innovations packaging écoconception économie circulaire ambitions venture capitalists Andreessen Horowitz Twitter influence réseaux sociaux capital risque Anthropic levée fonds autonomie véhicules électriques avenir IA générative avenir intelligence artificielle Avenir semi-conducteurs barquettes inox consigne réduction déchets Berny transition écologique biotechnologie avancée Bot Manager campus cybersécurité Chine OMC Droits douane Voitures électriques Tensions commerciales Subventions distorsion concurrence commerce international commissaires vie privée confiance intelligence artificielle controverse Elon Musk crise financement startups croissance start-ups cybersécurité web3 données personnelles défis start-ups défis véhicules autonomes Energie verte expérience utilisateur Géotechnique Décarbonation industrie Empreinte carbone Transition énergétique Prototype innovant Imagino levée de fonds marketing digital données clients expansion internationale Industrie du futur Relocalisation industrielle Transition écologique Startups deeptech Souveraineté technologique innovation industrielle mobilité urbaine protection bots Radware Bot transformation numérique Écosystème startup Innovation technologique Résilience entrepreneuriale Défis startups Croissance startup Canada énergies renouvelables

Beauty and lifestyle influencer

Follow my journey on all Social Media channels

Alienum phaedrum torquatos nec eu, vis detraxit periculis ex, nihilmei. Mei an pericula euripidis, hinc partem ei est.
facebook
5M+
Facebook followers
Follow Me
youtube
4.6M+
Youtube Subscribers
Subscribe Me
tiktok
7M+
Tiktok Followers
Follow Me
instagram
3.4M+
Instagram Followers
Follow Me