Le géant néerlandais de la cosmétique Rituals a confirmé une violation de données ciblant son programme de fidélité My Rituals, les attaquants ayant obtenu un accès non autorisé aux données personnelles de ses 41 millions de membres. La violation a été découverte en avril 2026 et divulguée publiquement le 23 avril.
La violation de données Rituals: ce qui s'est passé
Rituals, la marque de cosmétiques basée à Amsterdam avec plus de 1 400 boutiques dans 33 pays, a détecté un téléchargement non autorisé de sa base de données de membres. Le programme My Rituals offre des récompenses exclusives et des remises personnalisées - et stocke pour cela d'importantes données personnelles. L'entreprise a lancé une enquête forensique, bloqué l'accès des attaquants et notifié les autorités compétentes. Aucun groupe cybercriminel n'a revendiqué la responsabilité, et Rituals n'a pas encore trouvé de preuves que les données volées aient été publiées en ligne.
Quelles données personnelles ont été volées
Selon la divulgation officielle de Rituals, les attaquants ont accédé aux informations clients suivantes:
- Nom complet
- Adresse e-mail
- Numéro de téléphone
- Date de naissance
- Genre
- Adresse personnelle
- Boutique préférée et type de compte
La violation a principalement touché les membres en Europe et au Royaume-Uni. Les clients concernés ont été directement notifiés par e-mail.
Les mots de passe et données de paiement ne sont pas exposés
Rituals a confirmé que les mots de passe de compte et les données de carte bancaire ne faisaient pas partie de la base de données compromise. Cependant, les experts en cybersécurité mettent en garde: la combinaison nom, adresse, date de naissance et coordonnées est largement suffisante pour des attaques de phishing ciblées et, dans certains cas, pour une usurpation d'identité. Ces données personnelles permanentes ne peuvent pas être simplement réinitialisées comme un mot de passe compromis.
Pourquoi les violations de fidélité sont plus dangereuses qu'il n'y paraît
Les données des programmes de fidélité sont souvent sous-estimées comme vecteur de menace. Avec 41 millions d'enregistrements en jeu, l'ampleur potentielle des attaques ultérieures est considérable. Les criminels peuvent utiliser ces données pour:
- Créer des e-mails de phishing convaincants mentionnant votre vrai nom et statut de fidélité
- Commettre une fraude à l'identité, notamment de fausses demandes de crédit
- Cibler les victimes par SMS imitant les communications officielles Rituals
- Combiner avec d'autres données volées pour créer des profils d'ingénierie sociale détaillés
Des cas comme celui-ci soulignent pourquoi les utilisateurs ordinaires - pas seulement les experts techniques - adoptent les VPN comme protection de base, notamment lors d'achats ou d'accès à des comptes membres via le Wi-Fi public.
Ce que les clients concernés doivent faire maintenant
- Restez vigilant face aux e-mails de phishing utilisant votre vrai nom ou mentionnant votre adhésion Rituals
- Ne cliquez pas sur les liens dans des e-mails ou SMS inattendus prétendant venir de Rituals
- Changez votre mot de passe Rituals par précaution, même si les mots de passe n'ont pas été directement volés
- Activez l'authentification à deux facteurs sur votre compte e-mail
- Surveillez toute activité inhabituelle sur les comptes liés à votre adresse e-mail Rituals
