Le 7 janvier dernier, la plateforme Seconde Main by Kiabi, dédiée à la vente et l’achat d’articles de seconde main entre particuliers, a été la cible d’une cyberattaque. L’incident a conduit à l’accès non autorisé à certains comptes clients.
Une attaque par réutilisation de mots de passe
Selon les explications de l’enseigne, les cybercriminels auraient exploité des listes d’emails et de mots de passe issus de fuites de données sur d’autres sites. Cette méthode, appelée credential stuffing, repose sur le fait que de nombreux internautes utilisent les mêmes identifiants sur plusieurs plateformes.
Les outils de surveillance de Kiabi ont détecté une forte augmentation des tentatives de connexion frauduleuses, déclenchant immédiatement une enquête interne.
Quelles données compromises ?
Les attaquants ont pu consulter les informations disponibles dans les comptes concernés :
- Identité et coordonnées des utilisateurs,
- IBAN éventuellement renseigné.
Kiabi précise toutefois qu’aucun RIB complet ni identifiant bancaire sensible n’a été exposé, les données de paiement n’étant pas stockées sur la plateforme.
Des mesures de sécurité renforcées
Face à cet incident, l’entreprise a annoncé plusieurs actions correctives :
- Réinitialisation des identifiants et mots de passe touchés,
- Passage à un mot de passe minimum de 14 caractères, au-delà des recommandations de la CNIL,
- Mise en place du masquage partiel de l’IBAN,
- Renforcement des dispositifs techniques contre les attaques automatisées.
Les utilisateurs appelés à la vigilance
Kiabi recommande à ses clients de :
- Modifier leur mot de passe et en choisir un unique pour chaque service,
- Éviter toute réutilisation d’identifiants,
- Redoubler de prudence face aux emails frauduleux qui pourraient exploiter l’incident pour piéger les victimes.
Une attaque symptomatique
Cet épisode illustre une nouvelle fois l’ampleur des attaques liées à la réutilisation de mots de passe. Les plateformes sont régulièrement confrontées à ce type de menace, qui repose moins sur une faille interne que sur le manque de bonnes pratiques des utilisateurs.
Pour Kiabi, l’enjeu est désormais de restaurer la confiance de ses clients, tout en rappelant la nécessité d’une hygiène numérique rigoureuse : mots de passe robustes, gestionnaires sécurisés et vigilance face au phishing.
Sources : Bonjour La Fuite / 01Net