Depuis fin janvier 2025, l’enseigne française E. Leclerc, et plus particulièrement sa branche E. Leclerc Énergies, fait l’objet d’une cyberattaque ayant compromis les données personnelles de ses clients. Un email envoyé récemment aux bénéficiaires (actuels ou passés) de services Énergies confirme l’incident et signale une exposition potentielle de plusieurs types d’informations sensibles.

Selon le communiqué envoyé par l’enseigne, des tentatives frauduleuses d’accès à des comptes Primes Énergies ont été détectées, menant à l’exposition de données confidentielles et à la réinitialisation forcée des mots de passe.

2. Données compromises

Les informations exposées pourraient inclure, selon les premiers éléments communiqués :

• Nom et prénom,
• Adresse e-mail,
• Identifiants de connexion (et potentiellement le mot de passe ou son hash),
• Numéro de dossier,
• Montant de la prime,
• Libellé de la prestation.

Important : E. Leclerc souligne avoir déposé une notification auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) et procédé à la réinitialisation de tous les mots de passe affectés.

---

3. Modes d’attaque possibles

Si E. Leclerc ne donne pas encore de détails techniques, on peut envisager plusieurs scénarios :

1. Scraping de données : extraction automatisée des informations depuis des plateformes web vulnérables.
2. Exploitation d’une faille : utilisation d’une vulnérabilité dans le site ou l’infrastructure informatique de l’entreprise.
3. Credential stuffing : utilisation d’identifiants volés lors d’attaques précédentes pour essayer d’accéder à d’autres comptes, surtout si les utilisateurs réutilisent le même mot de passe sur plusieurs services.

---

4. Mesures prises par E. Leclerc

• Réinitialisation des mots de passe : tous les utilisateurs touchés sont contraints de réactualiser leurs identifiants.
• Communication aux clients : un email de notification a été envoyé, incitant à la vigilance et aux bonnes pratiques de sécurisation.
• Notification CNIL : conformément à la réglementation RGPD, l’enseigne a déclaré la fuite de données à l’autorité compétente en France.

---

5. Conseils de sécurité à mettre en place

a) Changez vos mots de passe

• Immédiatement sur votre compte E. Leclerc Énergies si ce n’est pas déjà fait.
• Pour tous les services où vous utilisez le même mot de passe ou un mot de passe similaire.

b) Utilisez un gestionnaire de mots de passe

• Outils recommandés : Ils génèrent et stockent vos identifiants de manière sécurisée.
• Gain de temps : vous n’avez plus besoin de mémoriser de multiples mots de passe.

c) Activez la double authentification (2FA/MFA)

• SMS, e-mail ou application dédiée : ces dispositifs ajoutent une couche de sécurité supplémentaire, rendant le piratage de votre compte plus difficile.

d) Méfiez-vous des liens suspects

• Phishing : ne cliquez pas sur un lien reçu par SMS ou e-mail douteux, même s’il semble provenir d’E. Leclerc ou d’une autre source réputée.
• Vérifiez l’adresse expéditrice : si elle vous semble suspecte, mieux vaut ne pas prendre de risque.

e) Restez vigilant et informez votre entourage

• Partagez l’information avec vos proches, en particulier ceux qui peuvent être moins familiers avec ces pratiques (parents, grands-parents, etc.).
• En cas de doute, contactez directement le service client officiel via les canaux habituels (site officiel, numéro de téléphone indiqué sur la carte de fidélité, etc.).

---

6. Conclusion

Cet incident vient s’ajouter à une liste déjà longue de cyberattaques recensées en France depuis le début de l’année 2025. Il illustre une nouvelle fois l’importance de mettre en place des mesures de cybersécurité strictes et de ne pas réutiliser le même mot de passe sur plusieurs sites.

Restez vigilant, suivez les recommandations de l’enseigne, et adoptez sans tarder les bonnes pratiques en matière de sécurité informatique. Votre vigilance est la meilleure garantie pour limiter l’impact d’éventuelles fuites de données à l’avenir.

Note : Les informations contenues dans cet article sont basées sur les premiers éléments transmis par la marque et des retours de clients. Elles pourront être mises à jour en fonction des communiqués ultérieurs d’E. Leclerc ou de la CNIL.