Les sites de Kiabi et Showroomprivé victimes de cyberattaques avec vol de données de clients

Les sites de Kiabi et Showroomprivé victimes de cyberattaques avec vol de données de clients

L'enseigne et le site de ventes privées ont subi des cyberattaques compromettant les données de leurs clients respectifs. Les identifiants d'accès ainsi que des dates de naissance et des relevés d'identité bancaire ont notamment été piratés.

Après une année déjà riche en "incidents", les piratages d'entreprises françaises continuent en 2025 ! Début janvier, deux enseignes spécialisées dans la vente de prêt-à-porter ont été victimes de cyberattaques ayant entraîné le vol de plusieurs informations personnelles de leurs clients respectifs.

"Le 7 janvier, les équipes du site Seconde main by Kiabi ont détecté une cyberattaque par 'credential stuffing", a confié Kiabi à l'AFP. Selon Sud-Ouest qui rapporte les faits, près de 20 000 clients de l'enseigne d'habillement sont concernés. Ils ont depuis été informés de la cyberattaque. Kiabi a notamment précisé qu'une "fonctionnalité de masquage des IBAN a été ajoutée pour empêcher toute récupération de cette donnée" et que les mots de passe des comptes clients avaient été réinitialisés. L'enseigne ajoute que son site Kiabi.com n'a pas été la cible des pirates informatiques mais que c'est bien le site secondemain.kiabi.com qui est concerné.

© Kiabi

Cyberattaque : Showroomprivé également victime de credential stuffing

Le spécialiste des ventes en ligne de grandes marques, Showroomprive.com, a lui aussi été victime d'une cyberattaque début janvier. "Entre le 3 et le 6 janvier 2025", le site a fait état d'une "série de tentatives de connexions suspectes", précise l'enseigne dans un mail adressé à ses clients. Cette dernière a pris les mesures nécessaires afin d'endiguer le problème (réinitialisation de mot de passe) et appelle les utilisateurs à créer un nouveau mot de passe lors de leur prochaine connexion.

Par mesure de sécurité, Showroomprivé conseille également à ses clients de modifier leurs mots de passe dans le cas où ils seraient similaires à ceux utilisés pour d'autres sites tels que leurs emails, les réseaux sociaux ou encore les services bancaires.

Cyberattaque : c'est quoi le credential stuffing ?

Pour soutirer de telles informations, les pirates informatiques ont utilisé une méthode appelée le 'credential stuffing'. Selon Benoit Grunemwald, Expert en Cybersécurité chez ESET France, "le Credential Stuffing est une succession de tentatives d'identification sur des comptes en ligne, réseaux sociaux, messagerie ou encore sites de vente. Ces essais sont basés sur des listes de combinaisons d'identifiants (nom d'utilisateur et mot de passe) volées ou devinées."

Face à de telles pratiques, les entreprises peuvent limiter la cyberattaque en choisissant l'une des trois méthodes exposées par Benoit Grunemwald :

  • En instaurant un nombre maximal d'essais dans le cas où le mot de passe est tenté d'être deviné
  • En ajoutant une authentification multi-facteur, qui agit dès la première tentative, même si l'attaquant connaît le mot de passe de sa cible. Un code éphémère est alors demandé en plus du mot de passe pour valider l'accès au compte.
  • En ayant recours aux mécanismes de connexion sans mot de passe

Selon le spécialiste, "ce type d'attaque repose sur le fait que de nombreux utilisateurs réutilisent leurs identifiants sur plusieurs sites" mais également que les mots de passe choisis par les clients de Kiabi et Showroomprivé sont "facilement devinables." En conclusion, il conseille d'utiliser un gestionnaire de mot de passe (comme celui de Chrome par exemple) qui permet ainsi de générer "des mots de passe complexes et uniques pour chaque site" et de les conserver dans une base de données personnelle. Un outil pratique pour retrouver ses mots de passe et efficace face à piratage.