Fuite de données chez des marques telles que Timberland, Vans et Napapijri ?

Posted On 25 Mar 2024

La société VF Corporation, propriétaire de marques de vêtements telles que Vans, Timberland, The North Face, Dickies, Eastpak, JanSport, Napapijri ou encore Supreme, alerte ses clients d’une fuite de données… 4 mois après le passage des hackers d’ALPHV.

RECEVEZ, LE SAMEDI -> CLIQUEZ ICI <- LES ACTUS ZATAZ DE LA SEMAINE.

Le 13 décembre 2024, une activité non autorisée a été détectée dans les systèmes de VF Corporation. Une cyberattaque menée par les pirates informatiques d’ALPHV/BlackCat. L’entreprise explique, quatre mois aprés l’infiltration du chat noir : « Nous avons rapidement mis en œuvre notre plan de réponse aux incidents ». Le 15 décembre 2023, 48 heures aprés cette malveillance, VF corporation sécurisait son environnement informatique.

Quelles données ont été affectées ?

L’enquête a révélé que l’incident « pourrait avoir compromis certaines données clients, comme les adresses e-mail, noms, numéros de téléphone, adresses de facturation et de livraison, ainsi que, dans certains cas, l’historique des commandes et le type de moyen de paiement. » Il est important de noter qu’aucune information financière détaillée ou mot de passe n’a été divulguée. Cependant, les pirates ont collecté de quoi orchestrer des cyber malveillances sans être obligés de passer par un mot de passe ou des données bancaires.

ALPHV avait collecté beaucoup de données et avait menacé VF Corporation diffusé sur leur blog, avant que ce dernier ne soit fermé par les autorités. ALPHV avait même accusé VF Corporation d’avoir motivé le FBI à faire fermer le blog des pirates.

RECEVEZ, LE SAMEDI -> CLIQUEZ ICI <- LES ACTUS ZATAZ DE LA SEMAINE.

À ce jour, il n’y a pas d’indications que cet incident ait directement impacté les consommateurs dont les données étaient concernées. Pas de traces probantes dans le darkweb, sur le web, Etc ? Aujourd’hui, les blogs de BlackCat ont disparu. Quid des données ? « Toutefois, nous ne pouvons écarter le risque de tentatives de fraude, telles que l’usurpation d’identité ou le hameçonnage, découlant de cette exposition de données. » explique la société qui continue de veiller via les sociétés Mandiant, CrowdStrike et son assureur Beazley.

Pourquoi communiquer si tardivement ? Les mauvaises langues pourraient expliquer ces 4 mois de silence par l’aspect business de VF Corporation. La société possède 13 marques telles que Vans, Timberland, The North Face, Dickies, Eastpak, JanSport, Napapijri ou encore Supreme. Certaines de ces marques travaillent énormément durant la période hivernale. Inquiéter les clients, c’est perdre leur confiance, et leurs achats. VF Corporation emploie plus de 35 000 personnes et génère un chiffre d’affaires annuel de 11,6 milliards de dollars.

Jusqu’ici, tout va bien ?

Les dommages causés par le piratage de décembre 2023 pourraient durer sur du long terme. Pourquoi ? Il s’est avéré que les données de 35,5 millions de personnes seraient dans de mauvaises mains. Nous avons été alertés de cette fuite à l’époque par ALPHV [le 22 décembre], mais aussi, par un document remis au gendarme de la bourse américaine, la SEC. La société avait déposé un rapport auprès de la Securities and Exchange Commission des États-Unis, le 13 décembre 2023, informant que VF Corporation avait alerté ses actionnaires. A l’époque, il n’était pas clair à savoir si les informations volées concernent uniquement les employés, fournisseurs, revendeurs, partenaires ou clients de l’entreprise.

Pendant l’attaque d’un ransomware, les magasins de détail exploités par VF dans le monde entier sont restés ouverts, et les consommateurs pouvaient acheter les marchandises disponibles, mais certaines perturbations opérationnelles ont bloqué l’entreprise, comme valider les commandes.

4 mois plus tard, comment vous protéger ?

La vigilance classique, notamment en scrutant attentivement toute demande de renseignements personnels courriers électroniques, SMS ou appel téléphonique. Méfiez-vous des liens et pièces jointes dans les mails et restez alerte face à toute communication suspecte, même si elle semble provenir de sources fiables. Des pirates pourraient vous téléphoner. « Votre vie privée et la protection de vos données personnelles restent notre priorité. » concluent VFC dans une réponse qui ne rassure que celui qui l’écrit. Une équipe dédiée est à la disposition des clients : [email protected].

Pour finir, on ne sait pas si ALPHV a toujours en main les données. Leur dernier coup, une arnaque, pourrait laisser penser qu’ils ont les informations, quelque part, bien au chaud. Espérons le contraire !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.