Le géant allemand des vêtements de sport vient de révéler avoir été victime d’une fuite de données impliquant un prestataire externe. Une tierce partie non autorisée aurait accédé à certaines informations de consommateurs, sans toutefois compromettre de mots de passe ni de données bancaires.
Une brèche via un sous-traitant
Dans un communiqué, Adidas a précisé que la faille provenait d’un fournisseur de services à la clientèle -et non pas d'un service interne. Les données exposées concerneraient principalement des informations de contact (nom, adresse e-mail, numéro de téléphone) de clients ayant sollicité l’assistance de la marque dans le passé.
Adidas a tenu à rassurer ses clients : aucun mot de passe, ni information de carte de crédit n’ont été compromis dans cet incident. Toutefois, même les données de contact, lorsqu’elles sont exploitées à grande échelle, peuvent servir à des campagnes de phishing ciblées ou à des escroqueries numériques.
Nous avons immédiatement pris des mesures pour contenir l’incident et lancé une enquête approfondie, en collaboration avec des experts en sécurité de l’information, précise la marque sans s'étendre outre-mesure. Pour l’instant, aucun détail supplémentaire n’a été communiqué sur l’ampleur de la fuite ni sur le nom du prestataire impliqué.
La marque indique avoir commencé à informer les consommateurs potentiellement concernés. Les utilisateurs identifiés dans les bases de données affectées vont recevoir ou ont déjà reçu des emails ou des notifications qui seront envoyés dans les jours à venir.
Cet incident souligne une nouvelle fois les risques liés à la sous-traitance des services clients, souvent externalisés à des prestataires tiers qui n’appliquent pas toujours les mêmes standards de cybersécurité que les entreprises principales. En effet, dans les six derniers mois, ce schéma semble se répéter dans la majorité des attaques.
Adidas rejoint ainsi la longue liste des grandes marques touchées par des fuites de données via des fournisseurs externes -un phénomène de plus en plus fréquent, notamment dans le secteur du e-commerce. En 2024, plusieurs acteurs de la tech et de la mode avaient déjà été confrontés à des failles similaires impliquant des partenaires techniques ou logistiques.
Les violations touchant les grandes bases de données se sont multipliées en 2024 (extrait www.cnil.com) :
En 2024, la Cnil a été notifiée de 5 629 violations de données personnelles, soit 20 % de plus qu’en 2024. Au-delà de cet accroissement notable, la tendance la plus préoccupante est celle d’une recrudescence de violations de très grande ampleur.
En plus des violations sans précédent qui ont concernées les opérateurs du tiers payant, France Travail ou encore la société Free, la CNIL constate que le nombre de violations touchant plus d’un million de personnes a doublé en un an.
• 5 629 violations de données ont été notifiées à la CNIL en 2024 • +20 % par rapport à l’année précédente
