Le groupe Optic 2000, l’un des principaux réseaux d’opticiens en France, apparaît dans une fuite de données publiée sur un forum cybercriminel. Les attaquants du groupe AplaGroup affirment avoir récupéré plusieurs milliers de documents internes et données liées aux franchisés de l’enseigne.
Selon leur publication, l’attaque ne reposerait pas sur un malware sophistiqué mais sur une faille d’accès présente dans une interface interne accessible via un sous-domaine de l’entreprise.
Une faille dans un portail interne de franchisés
Les cybercriminels expliquent avoir identifié un espace d’administration destiné aux magasins franchisés d’Optic 2000. Après avoir obtenu les accès d’un magasin, ils auraient exploré le portail jusqu’à découvrir un système de génération de PDF accessible via une URL contenant simplement un identifiant numérique.
En modifiant cet identifiant dans l’adresse web, les attaquants affirment avoir pu accéder aux documents d’autres franchisés sans aucune restriction.
Ce type de vulnérabilité, souvent appelé IDOR (Insecure Direct Object Reference), permet d’accéder à des ressources appartenant à d’autres utilisateurs lorsque les contrôles d’autorisation sont absents ou mal configurés.
Près de 8 000 factures PDF récupérées
Les hackers disent avoir automatisé l’extraction des documents via un script ayant envoyé plus de 30 000 requêtes vers la plateforme.
La fuite contiendrait notamment :
- 7 898 fichiers PDF de factures ;
- un fichier « data.json » contenant 7 898 lignes ;
- des informations sur des magasins franchisés ;
- des coordonnées de responsables et gérants ;
- des adresses de livraison et de facturation ;
- emails, téléphones mobiles et fax ;
- liens associés aux factures et commandes internes.
Des documents liés au fonctionnement interne du réseau
D’après les explications publiées par les attaquants, les documents récupérés concerneraient notamment les commandes internes des magasins franchisés : signalétique, cartes de visite, fournitures ou documents administratifs.
Les cybercriminels affirment également qu’aucune protection anti-extraction n’était active sur la plateforme. Selon eux, aucune authentification forte (2FA) n’était déployée et aucun blocage d’adresse IP n’aurait été déclenché malgré des dizaines de milliers de requêtes automatisées.
Les réseaux de franchises de plus en plus ciblés
Les plateformes internes utilisées par les réseaux de franchises concentrent souvent une grande quantité de données administratives, financières et logistiques. Lorsqu’elles sont mal sécurisées, une simple faille d’autorisation peut permettre l’accès à l’ensemble des documents de nombreux magasins affiliés.
À ce stade, Optic 2000 n’a pas communiqué publiquement sur l’authenticité ou l’ampleur exacte des données publiées.