Darty touché par une fuite de données de 80.000 clients : pourquoi le phishing va viser juste

80.000 clients dans la boucle. Darty a prévenu par mail, le 11 février, qu’une cyberattaque avait potentiellement compromis des données personnelles liées à Darty Cuisine – le parcours où tu prends rendez-vous et tu construis ton projet de cuisine sur mesure.

La bonne nouvelle, c’est qu’on ne parle pas de mots de passe ni d’infos bancaires volées. Le problème, c’est que le reste suffit largement pour te faire tomber dans un piège. Nom, prénom, adresse, mail, téléphone… et, dans certains cas, des infos autour de ton projet de cuisine. Résultat: les prochaines semaines risquent d’être sport côté phishing, et l’enseigne te demande de lever le pied sur la confiance automatique.

Ce qui a fuité chez Darty Cuisine, concrètement

Dans l’alerte envoyée aux clients, Darty parle d’un “accès non autorisé” à des données hébergées chez un prestataire. Traduction terrain: ce n’est pas forcément le site grand public qui s’est fait ouvrir en deux, mais un outil autour de la prise de rendez-vous et de la gestion des demandes pour la conception Cuisine.

Les données potentiellement concernées, c’est le kit classique des fuites françaises: noms et prénoms, adresses postales, adresses électroniques, numéros de téléphone. Sur le papier, ça ne te vide pas un compte en banque en direct. Dans la vraie vie, ça donne à un escroc exactement ce qu’il lui faut pour te parler comme une “vraie” enseigne.

Et il y a un détail qui compte: la fuite touche des gens qui ont utilisé les outils en ligne pour concevoir leur cuisine. Ce n’est pas juste “un client qui a acheté une multiprise”. C’est souvent un achat important, avec rendez-vous, budget, calendrier, échanges. Pour un arnaqueur, c’est du contexte en or.

Darty dit aussi ce qui n’a pas été pris: pas d’informations bancaires, pas de mots de passe. Ça limite les dégâts immédiats, mais ça ne supprime pas le risque. Parce que le phishing moderne, ce n’est plus “bonjour je suis un prince nigérian”. C’est “bonjour Madame Martin, votre dossier Cuisine, rendez-vous de jeudi, merci de confirmer”. Et là, tu hésites.

Pourquoi cette fuite prépare une vague de phishing sur-mesure

Quand un pirate a ton nom, ton mail et ton numéro, il peut te toucher sur trois canaux: email, SMS, appel. Et il peut faire du “mix”: un SMS qui te pousse à ouvrir un mail, puis un faux conseiller qui t’appelle derrière. Le truc c’est que plus le message colle à ta vie, plus ton cerveau baisse la garde.

On l’a déjà vu en France avec des campagnes documentées par des acteurs de la cybersécurité: des escrocs remplissent déjà tes infos sur une page frauduleuse, avant même que tu tapes quoi que ce soit. Tu arrives sur un faux formulaire et tu vois ton nom, ton adresse, ton téléphone. Psychologiquement, ça te fait croire que “c’est forcément eux”.

Dans le cas Darty Cuisine, le scénario est simple: “votre acompte”, “votre livraison”, “votre rendez-vous de conception”, “votre devis”, “votre dossier incomplet”. Même sans RIB ni carte bancaire volée, l’arnaque vise à te faire saisir toi-même tes coordonnées bancaires sur une fausse page, ou à te faire acheter des cartes cadeaux, ou à te faire valider un paiement.

Et il y a un piège encore plus vicieux: l’arnaque au “support”. Tu reçois un message qui dit “nous avons détecté une fraude sur votre dossier, appelez ce numéro”. Tu appelles, tu tombes sur quelqu’un qui a tes infos de base, qui parle vite, qui te met une pression douce. Ça finit par “pour sécuriser, on a besoin de vérifier votre carte”. Classique, efficace, rentable.

Prestataire externe: le maillon faible que tout le monde sous-estime

Darty explique que les données étaient hébergées chez un prestataire. Ce point-là, il mérite qu’on s’y attarde, parce qu’il raconte un truc plus large: aujourd’hui, une enseigne ne gère pas tout en interne. Elle empile des briques: prise de rendez-vous, CRM, emailing, stockage, support, analytics. Chaque brique, c’est une porte potentielle.

Dans les fuites récentes, tu retrouves souvent le même schéma: le cur de l’entreprise tient, mais un service autour craque. Et c’est logique: le prestataire a parfois accès à des milliers de fiches, il sert plusieurs clients, il a des équipes plus petites, et il est une cible “efficiente” pour des cybercriminels. Une intrusion, plusieurs marques touchées, jackpot.

Le revers de la médaille, c’est que ça devient compliqué à expliquer au client. Toi, tu as donné tes infos à Darty, pas à “un sous-traitant de gestion de rendez-vous”. Tu t’en fiches du montage technique. Tu veux juste savoir: qui a mes données, et comment on évite que ça recommence? Sur ce point, les entreprises sont souvent trop vagues, parce qu’elles protègent aussi leurs contrats et leurs process.

Darty dit que la brèche est colmatée, que la Cnil a été alertée et qu’une plainte a été déposée. C’est le minimum légal et opérationnel. Mais ça ne remet pas le dentifrice dans le tube: une fois que des fichiers circulent, ils peuvent être revendus, recoupés, réutilisés dans six mois. Du coup, la vigilance ne se joue pas sur 48 heures, mais sur la durée.

Ce que tu dois faire si tu fais partie des 80.000

Premier réflexe: considère que ton nom, ton adresse, ton mail et ton téléphone peuvent être utilisés contre toi. Ça ne veut pas dire paniquer, ça veut dire changer de posture. Si tu reçois un message “Darty” qui te demande une action urgente, tu ralentis. Tu ne cliques pas dans la précipitation, même si le texte parle de rendez-vous ou de dossier Cuisine.

Deuxième réflexe: vérifie par un canal que tu maîtrises. Pas celui du message. Si un mail te dit “connectez-vous pour confirmer”, tu passes par ton navigateur, tu tapes toi-même l’adresse du site, ou tu passes par l’appli officielle. Si un SMS te donne un numéro, tu ne l’appelles pas: tu récupères le numéro depuis le site officiel ou une facture que tu as déjà.

Troisième réflexe: méfie-toi des pièces jointes et des formulaires. Les arnaques aiment les faux PDF de devis, les fausses “factures”, les faux “bons de commande”. Un fichier peut servir à t’installer un truc, mais le plus fréquent reste le lien vers une page qui imite une marque. Et si la page te demande ta carte bancaire “pour 1 de vérification”, tu peux déjà refermer.

Quatrième réflexe, plus terre-à-terre: prépare-toi à des appels. Un escroc peut t’appeler avec un discours propre, et parfois même avec un numéro qui ressemble à un numéro français. Règle simple: une enseigne ne te demandera pas ton code de carte, ni un code reçu par SMS “pour annuler une fraude”. Si quelqu’un insiste, tu raccroches, point. Et tu rappelles via un numéro officiel.

Fnac Darty sous pression, et les fuites de données se ressemblent

Cette affaire tombe dans une séquence déjà chargée pour le groupe Fnac Darty, qui fait parler de lui côté capital: entrée du chinois JD. com, et annonce d’une OPA par Daniel Kretinsky pour investir 230 millions d’euros. Rien à voir avec la fuite sur le plan technique, mais sur le plan image, ça s’additionne. Quand une boîte est sous les projecteurs, la moindre alerte prend plus vite.

Ce qui frappe, c’est la répétition du scénario dans la grande distribution et les services: des données “non sensibles” en apparence, mais ultra exploitables. Les pirates n’ont pas besoin de mots de passe pour gagner de l’argent. Ils ont besoin de contexte, de volume, et d’un bon script. 80.000 clients, c’est déjà un vivier énorme pour tester des campagnes, mesurer qui mord, relancer.

Et il y a un effet domino: une fuite nourrit les suivantes. Les fichiers circulent, se revendent, se croisent avec d’autres bases. Ton adresse postale, ton téléphone, ton mail… si ça ressort dans plusieurs listes, tu deviens une cible “fiable” pour les escrocs, parce que tes infos sont cohérentes. C’est comme ça qu’on se retrouve avec des arnaques qui semblent lire dans ta vie.

Darty, de son côté, appelle à la vigilance face au phishing. C’est la bonne consigne, mais ça met aussi une partie de la charge sur le client: “attention à ce que vous recevez”. Perso, je trouve qu’on devrait entendre plus souvent des consignes ultra concrètes, répétées, avec des exemples de messages frauduleux typiques. Parce que dans le feu de l’action, entre un chantier de cuisine et un quotidien chargé, tu cliques parfois juste pour “en finir”. Et c’est exactement là qu’ils t’attendent.