Les informations personnelles de plusieurs millions de clients de marques de luxe sont dans la nature. Le géant français du luxe Kering, fondé par François Pinault, a confirmé avoir été victime d'une cyberattaque d'ampleur compromettant les données de consommateurs de ses marques, comme Balenciaga, Gucci ou Alexander McQueen. C'est ce qu'a rapporté, lundi 15 septembre, la radio-télévision britannique BBC. Kering affirme avoir alerté les autorités compétentes en matière de protection des données et informé sa clientèle.
7,4 millions d'adresses e-mail volées
Bien qu'aucune information financière n'ait été collectée, selon Kering, les autres données sont nombreuses et détaillées. Elles comprennent, pour chaque client, le nom, l'adresse e-mail, le numéro de téléphone, l'adresse postale ainsi que le montant total dépensé dans les boutiques de luxe du groupe à travers le monde. Au total, les pirates ont revendiqué avoir obtenu 7,4 millions d'adresses e-mail uniques. Après avoir échangé avec eux, la BBC a pu consulter une échantillon "qui semble authentique" et qui comprenait bien une ligne "total des ventes" associée à un montant, pouvant atteindre plusieurs dizaines de milliers d'euros selon les clients.
L'identité des pirates est quant à elle bien connue des spécialistes de la cybersécurité. Il s'agit du groupe français ShinyHunters, très actif à partir de 2020 et dont le hacker Sébastien Raoult, arrêté aux Etats-Unis puis en France, était membre. Quatre autres membres de ShinyHunters, soupçonnés d'avoir administré la plateforme cybercriminelle BreachForums, ont par ailleurs été interpellés en juin, en France.
Un groupe toujours très actif
Dans le contexte de leur attaque contre le groupe Kering, le groupe a affirmé avoir mené à bien une première intrusion dès le mois d'avril et contacté le géant du luxe deux mois plus tard en lui imposant de payer une rançon en Bitcoin. Un déroulé des événements que ce dernier conteste, tout en affirmant avoir renforcé sa sécurité informatique. Il n'est d'ailleurs pas le seul acteur du luxe français à avoir connu de tels déboires. En mai, la maison Dior a vu les données de ses clients fuiter, avant que ce ne soit le tour, deux mois plus tard, de la filiale sud-coréenne de Louis Vuitton.
Faut-il y voir la marque d'un seul et même groupe cybercriminel, à savoir ShinyHunters ? Difficile à dire, à ce stade. Les pirates français se sont fait remarquer ces derniers mois dans d'autres affaires, hors du monde du luxe. Ils ont notamment été accusés par Google, en août, de s'être introduit via Salesforce dans les bases de données de logiciels tiers de gestion de la relation client, ce qui a abouti à des fuites de données.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
