L'enseigne de bricolage annonce avoir été victime d'un acte de cybermalveillance. Il a abouti à une fuite importante de données clients.
Quand est-ce que ça s'arrête? Après France Travail, Leroy Merlin vient d'être victime d'un acte de cybermalveillance. D'abord repérée par le "gentil hacker", tel qu'il se définit, et expert en cybersécurité Saxx sur X, l'information a été confirmée par l'enseigne à Tech&Co.
Le hack du géant du bricolage concerne "quelques centaines de milliers de clients". La fuite de données semble ne devoir concerner que les clients dont les données sont associées à un compte de fidélité.
Cette attaque a compromis les données suivantes: les nom, prénom, numéro de téléphone, adresse mail, adresse postale et date de naissance, ainsi que les informations "relatives au programme de fidélité", précise le groupe.
La Cnil notifiée, des clients susceptibles d'être arnaqués
Les données bancaires et les mots de passe ont en revanche échappé aux pirates. Les clients concernés ont par ailleurs été informés "dès que nous avons pris connaissance de l'attaque", nous précise Leroy Merlin.
Conformément à la loi, la Cnil, le gendarme des données personnelles, a été contactée, et une plainte va être déposée. La Cnil nous a confirmé avoir été notifiée par Leroy Merlin. En outre, des vérifications sont encore en cours "pour évaluer l'étendue de l'attaque".
L'enseigne dédiée au bricolage n'est malheureusement pas la première à subir ce type de cyberattaques. Plusieurs gr
TPRM report: https://www.rankiteo.com/company/leroy-merlin
"id": "ler1764792040",
"linkid": "leroy-merlin",
"type": "Breach",
"date": "2025-12-03T00:00:00.000Z",
"severity": "85",
"impact": "4",
"explanation": "Attack with significant impact with customers data leaks"{'incident': {'affected_entities': [{'customers_affected': 'Hundreds of '
'thousands',
'industry': 'Home Improvement',
'location': 'France',
'name': 'Leroy Merlin',
'size': None,
'type': 'Retailer'}],
'customer_advisories': 'Customers informed of potential scams',
'data_breach': {'data_encryption': None,
'data_exfiltration': None,
'file_types_exposed': None,
'number_of_records_exposed': 'Hundreds of '
'thousands',
'personally_identifiable_information': ['First '
'name',
'Last '
'name',
'Phone '
'number',
'Email '
'address',
'Postal '
'address',
'Date of '
'birth'],
'sensitivity_of_data': 'High',
'type_of_data_compromised': ['Personal '
'Identifiable '
'Information',
'Loyalty program '
'data']},
'description': 'Leroy Merlin, a home improvement retailer, '
'suffered a cyberattack leading to a significant '
'data breach affecting hundreds of thousands of '
'customers. The breach involved personal data '
'associated with loyalty program accounts.',
'impact': {'brand_reputation_impact': None,
'conversion_rate_impact': None,
'customer_complaints': None,
'data_compromised': 'Personal data of loyalty program '
'customers',
'downtime': None,
'financial_loss': None,
'identity_theft_risk': 'High',
'legal_liabilities': None,
'operational_impact': None,
'payment_information_risk': 'None',
'revenue_loss': None,
'systems_affected': None},
'initial_access_broker': {'backdoors_established': None,
'data_sold_on_dark_web': None,
'entry_point': None,
'high_value_targets': None,
'reconnaissance_period': None},
'investigation_status': 'Ongoing',
'post_incident_analysis': {'corrective_actions': None,
'root_causes': None},
'ransomware': {'data_encryption': None,
'data_exfiltration': None,
'ransom_demanded': None,
'ransom_paid': None,
'ransomware_strain': None},
'references': [{'date_accessed': None,
'source': 'Tech&Co',
'url': None},
{'date_accessed': None,
'source': 'Saxx (cybersecurity expert on X)',
'url': None}],
'regulatory_compliance': {'fines_imposed': None,
'legal_actions': 'Complaint to be '
'filed',
'regulations_violated': ['GDPR'],
'regulatory_notifications': ['CNIL '
'notified']},
'response': {'adaptive_behavioral_waf': None,
'communication_strategy': 'Customers informed upon '
'discovery of the attack',
'containment_measures': None,
'enhanced_monitoring': 'Ongoing verification to '
'assess attack extent',
'incident_response_plan_activated': None,
'law_enforcement_notified': 'Yes (complaint to be '
'filed)',
'network_segmentation': None,
'on_demand_scrubbing_services': None,
'recovery_measures': None,
'remediation_measures': None,
'third_party_assistance': None},
'title': 'Leroy Merlin Cyberattack and Data Breach',
'type': 'Data Breach'}}