Mifarma informe ses clients d’un incident de sécurité ayant exposé certaines données personnelles. Selon une notification adressée aux personnes concernées, la fuite serait liée à une faille détectée chez l’un de ses partenaires techniques.
L’incident a été porté à la connaissance de Mifarma le 1er juillet 2026. Une partie non autorisée aurait eu accès aux systèmes du prestataire concerné, entraînant la consultation de données clients.
Mifarma touché via un prestataire
D’après le message envoyé aux clients, l’origine de l’incident ne viendrait pas directement d’un accès interne à Mifarma, mais d’une faille de sécurité affectant les systèmes d’un partenaire technique. L’entreprise indique avoir pris des mesures immédiates pour sécuriser les systèmes concernés et évaluer l’impact de l’incident.
Le protocole de réponse aux failles de sécurité aurait également été activé par le partenaire, tandis que les autorités compétentes en matière de protection des données auraient été informées.
Quelles données ont été exposées ?
Les informations concernées ne se limitent pas à de simples coordonnées. La notification mentionne plusieurs catégories de données personnelles potentiellement consultées :
- nom et prénom ;
- adresse postale ;
- numéro de téléphone ;
- adresse email ;
- historique partiel des commandes ;
- produits achetés.
La présence d’un historique partiel des commandes rend l’incident plus sensible. Dans le cas d’une pharmacie ou d’un site lié à des produits de santé, les produits achetés peuvent parfois révéler des informations intimes sur les habitudes, besoins ou préoccupations personnelles des clients.
Des risques de phishing ciblé
Le principal risque concerne les campagnes de phishing ou de smishing. Un attaquant disposant d’un nom, d’un email, d’un téléphone, d’une adresse et d’un historique de commande peut créer des messages très crédibles.
Les clients pourraient recevoir de faux messages évoquant une commande, une livraison, un remboursement, un problème de paiement ou une mise à jour de compte. Le fait qu’un email ou SMS mentionne un produit réellement acheté ne suffit donc pas à prouver qu’il est légitime.
Aucune action immédiate demandée
Dans sa notification, Mifarma indique qu’aucune action immédiate n’est requise de la part des clients. Cela ne supprime pas le risque d’exploitation ultérieure des données, mais signifie qu’aucune mesure urgente n’a été demandée dans le message adressé aux personnes concernées.
Les clients doivent toutefois rester vigilants face aux messages inhabituels, notamment ceux qui demandent un paiement, une confirmation d’identité, un mot de passe, une carte bancaire ou une connexion à un lien externe.
Une fuite sensible par la nature des achats
Cette fuite rappelle que les données de commande peuvent être aussi sensibles que des données de compte. Lorsqu’elles concernent des produits de santé, de bien-être ou d’hygiène, elles peuvent être utilisées pour cibler les clients avec des arnaques particulièrement personnalisées.
Le nombre de personnes concernées n’est pas précisé dans la notification consultée. L’incident confirme toutefois l’importance de sécuriser toute la chaîne technique, y compris les prestataires qui manipulent des données clients.