La marque française Arsène Valentin a informé ses clients avoir détecté la présence d’un code malveillant sur son site internet, ayant potentiellement permis l’exposition de certaines données personnelles.
Selon l’email envoyé aux clients, l’incident a été signalé à la CNIL et les infrastructures ont été sécurisées immédiatement après la découverte de l’intrusion.
Des données personnelles et historiques de commandes concernés
Les données susceptibles d’avoir été exposées incluent :
- Nom et prénom
- Adresse email
- Adresse postale
- Numéro de téléphone
- Date de naissance
- Historique de commandes
Arsène Valentin précise qu’aucune donnée bancaire ne serait stockée sur ses serveurs et qu’aucun usage malveillant des informations compromises n’a été constaté à ce stade.
Le risque principal : phishing et usurpation d’identité
Ce type d’incident peut toutefois exposer les clients à des campagnes de phishing particulièrement crédibles. Avec des informations personnelles et un historique de commandes, les attaquants peuvent construire de faux emails ou SMS se faisant passer pour la marque.
L’injection de code malveillant sur un site e-commerce peut également laisser penser à un scénario de compromission de la boutique en ligne, potentiellement via un plugin vulnérable, une dépendance compromise ou un accès administrateur détourné.
Les clients sont invités à changer leur mot de passe et à rester particulièrement vigilants face aux messages inattendus demandant des informations personnelles ou bancaires.