Chronopost, Ircantec... Deux nouvelles fuites de données personnelles, près de 300 000 victimes

L'entreprise de livraison, filiale du groupe La Poste, a été victime fin janvier d'une cyberattaque qui a permis à un attaquant d'accéder à des données personnelles de 210 000 clients, a-t-elle indiqué. L'attaquant a pu consulter leurs nom, prénom, leur adresse postale et la signature telle qu'apposée sur les preuves de livraison, et parfois leur numéro de téléphone, a indiqué Chronopost.

Des données personnelles de « certains affiliés à l'Ircantec »

Du côté de la Caisse des dépôts (CDC), un attaquant a pu « accéder de manière illégitime à des données personnelles de certains affiliés à l'Ircantec », une caisse de retraite complémentaire d'agents publics gérée par la CDC, a indiqué à l'AFP cette dernière, confirmant une information de Franceinfo. Elle n'a toutefois pas précisé la teneur des données personnelles concernées.

La Caisse des dépôts a vérifié « l'absence d'acte irrégulier à partir des espaces personnels des affiliés »

L'attaquant a pu consulter ces données car il a eu accès à des « identifiants de connexion (...) appartenant à plusieurs employeurs publics ». « Ont été identifiées environ 70 000 personnes concernées », dont des contractuels de la fonction publique « et environ 1 000 élus » locaux, qui ont été informés de cette attaque. La Caisse des dépôts a indiqué avoir vérifié, « par mesure de précaution, l'absence d'acte irrégulier à partir des espaces personnels des affiliés ».

Conformément à la loi, la Cnil a été notifiée de ces deux attaques par Chronopost et la Caisse des dépôts. Une fois que les attaquants ont accédé aux bases de données, ils revendent parfois les données récoltées, ce qui permet à d'autres attaquants de tenter d'escroquer les victimes via des techniques d'ingénierie sociale, souvent par SMS ou par e-mail, en s'appuyant sur les données volées.