Tout de suite, c’est beaucoup moins sûr. Après Kiabi, Chronopost ou encore la Caisse des dépôts, c’est au tour de l’entreprise Autosur d’être la cible d’un piratage massif de données. Dans un communiqué publié vendredi 28 mars sur son site internet, le leader français du contrôle technique confirme avoir été victime d’un «incident de sécurité». De quoi permettre aux pirates du net d’accéder de manière «non autorisée» aux données personnelles de l’entreprise.

Autosur chiffre à «environ» 4 millions le nombre de clients concernés par cette fuite de données. La cyberattaque a visé «une base de données contenant des informations de contact limitées». Ainsi, les noms, prénoms, mails, adresses postales, numéros de téléphone ou encore plaques d’immatriculation font partie des informations récupérées par les pirates informatiques, reconnaît l’entreprise. Auprès de l’émission de BFMTV, Autosur assure néanmoins «qu’aucun mot de passe de passe de particuliers, donnée bancaire ou donnée sensible» ne fait partie du lot de données piratées.

Selon le média spécialisé L’Usine Digitale, un hacker a fait savoir sur un site dédié au piratage qu’il était en possession plus de 12,3 millions de lignes de données appartenant à Autosur, en mettant en vente une copie de ces données à un prix compris entre 5 000 et 7 000 dollars. D’après lui, les données subtilisées comprendraient également des mots de passe hackés, les numéros de série de véhicules, ainsi que des données commerciales et internes.

Dans son communiqué, l’entreprise recommande donc à ses clients de rester «vigilants face aux risques d’e-mails, SMS ou appels frauduleux». Car avec plaque d’immatriculation et adresse postale désormais en circulation sur internet, des acteurs malveillants pourraient s’en servir pour se faire passer pour des centres de contrôle technique ou des garages auto. Et ainsi piéger les clients en leur demandant de sortir le chéquier. Ou encore en usurpant l’identité des conducteurs, qui se retrouvent destinataires de PV indus.

D’après l’entreprise, un «audit est toujours en cours» afin de repérer d’éventuelles brèches exploitables par les hackeurs. Une analyse est actuellement menée par des experts indépendants de l’Agence nationale de la sécurité des informations (Anssi) pour faire la lumière sur les origines de ce piratage de données. «Conformément aux obligations légales en vigueur», la Cnil a été informée ainsi que les autorités compétentes, a fait savoir l’entreprise qui a par ailleurs déposé plainte. «Nos clients ont été informés en conséquence. La protection des données est une priorité absolue pour notre entreprise et nous prenons cet incident très au sérieux», précise une porte-parole d’Autosur auprès de BFM.

Quelques jours auparavant, mercredi, l’enseigne Intersport avait prévenu ses clients qu’elle avait été elle aussi victime d’une cyberattaque. Une intrusion informatique survenue durant le week-end du 15 au 16 mars. Un cybercriminel a mis en vente sur un forum de hackers la base de données prétendument volée à l’enseigne sportive. Un fichier mis à prix 1 000 dollars donnant accès aux informations de près de 3,4 millions d’internautes. Pour éviter le pire, Intersport a été forcé de demander à ses clients de modifier leur mot de passe.

Ces nouveaux piratages interviennent dans la foulée d’une année 2024 «incontestablement marquée par un nombre record de violations de données personnelles, dont certaines très massives», a affirmé le 27 mars le groupe d’intérêt public «Action contre la cybermalveillance». Créée en 2017, la structure qui regroupe des acteurs étatiques et de la société civile impliqués dans la sécurité numérique est plus que jamais sollicitée face au perfectionnement des logiciels malveillants dont les attaques se multiplient. Les chiffres parlent d’eux-mêmes : les piratages ciblant les identifiants et mots de passe ont triplé entre 2023 et 2024.