Résumé de la Fuite
| Date de la Fuite | Février à avril 2025 (période couverte par les données exfiltrées) |
|---|---|
| Date de Découverte | 19 décembre 2025 |
| Type d'information récupérée | Nom, Prénom, Adresse e-mail, Adresse postale complète, Numéro de téléphone, Informations relatives aux retraits de colis en points relais Pickup, Données de livraison et de dépôt de colis |
| Nombre de Comptes Affectés | ~ 860 000 |
| Pays |
🇫🇷 France |
| Gravité | Critique |
| Origine de la Fuite | Web scraping |
Vérifiez si votre email a été compromis
Entrez votre adresse e-mail ci-dessous pour savoir si elle a été impliquée dans des fuites de données.
Détails de l'Incident
Le 19 décembre 2025 (vendredi), un cybercriminel a publié sur BreachForums une annonce indiquant qu'il avait exfiltré des données dans "les systèmes pickup de Chronopost", utilisés pour les points relais. Il s'agit du dispositif de points relais et consignes automatiques exploités par Pickup (filiale de La Poste) pour permettre de déposer et retirer des colis Chronopost chez des commerçants de proximité ou dans des casiers. Le pirate, qui semble être français, a déclaré : "Aujourd'hui, je vous divulgue une base de données que j'ai moi-même scrape dans les systèmes pickup de Chronopost (utilisés pour les points relais). Pour info, cette database n'a jamais leak auparavant, elle vient directement de moi." Cette fuite est distincte et sans rapport avec l'incident de janvier 2025 qui avait touché 210 000 clients. Le hacker a partagé un fichier JSON de 680 Mo contenant les données de 860 000 personnes. Les données couvrent la période de février à avril 2025. À ce stade, ni Chronopost ni La Poste n'ont réagi publiquement à ce piratage.
Chronologie de l'incident
- Découverte : 19 décembre 2025
- Action de Sécurisation : Ni Chronopost ni La Poste n'ont publié de communiqué officiel ou de recommandations spécifiques concernant cette nouvelle fuite. L'absence de réaction publique contraste avec la gestion de l'incident de janvier 2025, où l'entreprise avait rapidement informé ses clients. Il est attendu que Chronopost notifie la CNIL dans les 72 heures suivant la prise de connaissance de l'incident et informe les 860 000 clients concernés par e-mail avec des recommandations de sécurité.
- Résolution Prévue : Non communiquée
Impact
| Type de Données | Données personnelles, Données de contact, Informations de localisation |
|---|---|
| Impact Potentiel | Intensification massive des arnaques à la livraison de colis ciblant spécifiquement les utilisateurs de points relais Pickup. Campagnes de phishing par e-mail et SMS hyper-personnalisées utilisant les vraies informations des victimes (nom, adresse, habitudes de retrait en point relais). Usurpation d'identité facilitée par la combinaison nom/prénom/adresse/téléphone. Spam commercial et téléphonique massif. Fraudes aux faux colis en attente avec demandes de paiement de frais de douane ou de stockage. Exploitation des données lors des périodes de forte activité comme Noël et les soldes. Perte de confiance accrue envers Chronopost et le réseau Pickup après le second incident en moins d'un an. Revente potentielle des données sur le dark web à d'autres cybercriminels. Risque de croisement avec d'autres bases de données compromises pour des fraudes plus sophistiquées. |
| Qui est touché ? | Clients ayant utilisé le réseau de points relais Pickup entre février et avril 2025. |
Mesures de Protection
- Redoublez de vigilance face aux arnaques au colis en point relais : Les cybercriminels disposent de vos vraies informations (nom, adresse, habitudes d’utilisation de Pickup) et peuvent créer des SMS ou e-mails extrêmement convaincants vous indiquant qu’un colis vous attend dans votre point relais habituel. Ne cliquez JAMAIS sur les liens reçus par message. Connectez-vous directement sur chronopost.fr ou pickup.fr pour vérifier vos colis.
- Vérifiez systématiquement l’authenticité des communications Chronopost/Pickup : En cas de notification de colis en attente, contactez directement votre point relais par téléphone ou rendez-vous sur place plutôt que de cliquer sur un lien. Les vrais e-mails de Chronopost proviennent toujours de domaines officiels (@chronopost.fr) – vérifiez minutieusement l’adresse de l’expéditeur.
- Surveillez vos comptes et signalez immédiatement toute tentative de phishing : Si vous avez utilisé les points relais Pickup entre février et avril 2025, vous êtes potentiellement concerné. Restez particulièrement vigilant dans les semaines et mois à venir. Signalez toute tentative d’arnaque sur signal-spam.fr et cybermalveillance.gouv.fr pour protéger les autres utilisateurs.
FAQ
- S'agit-il de la même fuite que celle de janvier 2025 ou d'un nouvel incident ? Il s'agit d'un incident totalement distinct de la fuite de janvier 2025. La première attaque (janvier) avait compromis les données de 210 000 clients et incluait notamment des signatures numériques. Cette nouvelle fuite (décembre 2025) concerne spécifiquement le système des points relais Pickup avec 860 000 victimes et des données couvrant la période février-avril 2025. Cela signifie que même si vous n'étiez pas concerné par la première fuite, vous pouvez l'être par cette nouvelle compromission si vous avez utilisé un point relais Pickup au printemps 2025.
- Comment le pirate a-t-il pu accéder aux données des points relais Pickup ? Le pirate affirme avoir utilisé une technique de "scraping" des systèmes Pickup de Chronopost. Cette méthode suggère qu'il existait des vulnérabilités dans les interfaces web ou les API permettant d'accéder aux informations des clients utilisant les points relais. Contrairement à une attaque directe sur les serveurs, le scraping exploite généralement des failles dans les pages web accessibles publiquement ou des protections insuffisantes contre les requêtes automatisées massives. Le pirate aurait ainsi pu extraire progressivement les données de 860 000 utilisateurs entre février et avril 2025 sans déclencher d'alertes de sécurité immédiates.
- Pourquoi Chronopost n'a-t-il pas encore communiqué officiellement sur cette fuite ? À ce jour (22 décembre 2025), ni Chronopost ni La Poste n'ont publié de communiqué officiel concernant cette fuite révélée le 19 décembre sur BreachForums. Plusieurs explications sont possibles : l'entreprise est peut-être en train de vérifier l'authenticité des données publiées par le pirate avant de communiquer, l'incident pourrait être en cours d'investigation interne, ou Chronopost pourrait préparer une communication coordonnée avec la CNIL. Cependant, cette absence de réaction contraste avec la gestion de l'incident de janvier 2025, où l'entreprise avait rapidement informé ses clients. Il est recommandé de surveiller les communications officielles de Chronopost dans les jours à venir et de rester vigilant, que vous receviez ou non un e-mail d'alerte de l'entreprise.
À propos de l'auteur
Section Légale et Communication
Pour plus d'informations, contactez-nous via : redaction@funinformatique.com
Avis de non-responsabilité : Les informations partagées sur cette page sont fournies à titre informatif uniquement. L'entreprise décline toute responsabilité pour toute action prise à partir de ces données.
Sources
- À ce jour (22 décembre 2025), ni Chronopost ni La Poste n’ont publié de communiqué officiel.