Kiabi victime d’une cyberattaque : 20 000 clients touchés

L'ombre du piratage informatique plane une fois de plus sur le secteur du commerce en ligne. Kiabi, géant français du prêt-à-porter, vient d'être la cible d'une cyberattaque d'envergure. Les assaillants ont eu recours à une méthode de plus en plus prisée des cybercriminels : le bourrage d'identifiants, ou "credential stuffing". Cette technique consiste à exploiter des identifiants issus de fuites de données provenant d'autres sites web, dans le but d'infiltrer les comptes clients de la cible visée.

20 000 clients de Kiabi touchés par la fuite de données

Dans le cas de Kiabi, les pirates ont réussi leur pari. Après avoir testé des millions de combinaisons nom d'utilisateur/mot de passe, ils ont pu accéder à pas moins de 20 000 comptes clients. Un butin conséquent qui leur a permis de mettre la main sur une mine d'informations personnelles :

• Noms et prénoms
• Dates de naissance
• Adresses postales
• Numéros IBAN (numéro de compte bancaire international)

Si Kiabi assure que les pirates n'ont pas pu accéder aux RIB et pièces d'identité stockés chez un partenaire externe, la fuite des IBAN reste préoccupante. Ces données bancaires sont en effet une porte ouverte à de potentielles fraudes.

Kiabi renforce sa sécurité mais le risque zéro n'existe pas

Face à cette attaque, Kiabi a réagi rapidement en mettant en place plusieurs mesures :

• Masquage des IBAN des clients
• Réinitialisation de tous les mots de passe client
• Augmentation du nombre minimum de caractères pour les mots de passe (passé à 14)

Si ces dispositions vont dans le bon sens, elles ne garantissent pas une protection absolue. Les experts en cybersécurité sont formels : le risque zéro n'existe pas. D'autant que les attaques par bourrage d'identifiants connaissent un taux de réussite non négligeable, de l'ordre de 0,1% selon Cloudflare.

Le commerce en ligne, cible privilégiée des hackers

L'attaque subie par Kiabi est loin d'être un cas isolé. Ces derniers mois, plusieurs enseignes de commerce électronique ont été victimes de piratages similaires. Picard a notamment vu les données personnelles de 45 000 de ses clients exposées suite à une cyberattaque par credential stuffing en novembre dernier.

La recrudescence des attaques par bourrage d'identifiants n'est pas anodine. Les cybercriminels disposent désormais de bases de données colossales regroupant des milliards d'identifiants piratés, en provenance des quatre coins du web.

Rapport du Club des Experts de la Sécurité de l'Information et du Numérique (CESIN)

Face à cette menace grandissante, les entreprises du secteur doivent impérativement renforcer leur cybersécurité. Authentification multi-facteurs, chiffrement des données, sensibilisation des collaborateurs... Les solutions existent mais tardent encore à être généralisées.

L'attaque contre Kiabi est un nouveau rappel de l'importance cruciale de la protection des données personnelles à l'ère du numérique. Si les géants du e-commerce semblent parfois démunis face à la créativité des pirates, il est de leur responsabilité de tout mettre en œuvre pour sécuriser les informations de leurs clients. Un défi permanent, qui nécessite une vigilance de chaque instant et des investissements conséquents. Le prix à payer pour maintenir la confiance dans un secteur en perpétuelle évolution.