Mondial Relay a encore été piraté : 5 millions de clients sont concernés

Quand on se fait pirater une fois, on peut plaider la malchance. Quand ça arrive une deuxième fois en moins de cinq mois, on commence à se poser des questions. Mondial Relay vient d’informer ses clients qu’une nouvelle cyberattaque avait compromis leurs données personnelles, après un premier incident survenu fin 2025. Le timing de cette communication a de quoi faire grincer des dents, puisque l’intrusion remonterait au début de l’année 2026.

Concrètement, des pirates ont réussi à s’introduire dans la plateforme en ligne dédiée aux e-commerçants, qui permet le suivi des colis et la gestion des demandes clients. Mondial Relay assure que les données bancaires, les mots de passe et les informations de paiement n’ont pas été touchés. C’est à peu près la seule bonne nouvelle dans cette affaire, puisque tout le reste, semble impacté. Noms, prénoms, adresses e-mail, adresses postales, numéros de téléphone, noms des marchands, détails des produits commandés, instructions de livraison et informations techniques sur les colis… Une arnaque en kit, servie sur un plateau d’argent.

DumpSec mis en cause (encore)

Derrière cette attaque, c’est le groupe DumpSec qui est pointé du doigt. Ce collectif avait déjà revendiqué le premier piratage de Mondial Relay fin 2025. Manifestement, la leçon n’a pas suffi. La base de données dérobée représenterait environ 5 millions d’enregistrements, issus de 330 000 fichiers fusionnés, mis en vente sur BreachForums.

Mondial Relay affirme avoir immédiatement suspendu l’accès concerné, renforcé ses contrôles de sécurité et notifié la CNIL. Des mesures correctives auraient été prises dès la découverte de l’attaque. Sur le papier, la procédure semble respectée. Sauf que le vrai problème (au-delà de vos données qui se baladent dans la nature), c’est le délai aberrant entre la fuite et l’information des victimes.

Mondial Relay aurait mis vingt fois plus de temps que ce que prévoient la CNIL et le RGPD. L’article 34 du Règlement général sur la protection des données est pourtant clair : lorsqu’une violation expose les personnes concernées à un risque élevé, l’organisme responsable doit les prévenir dans les meilleurs délais. Avec deux mois de retard, on est plutôt sur un gouffre dans lequel les pirates ont eu tout le loisir de préparer leurs campagnes de phishing et d’exploitation des données volées.

Comment se protéger après cette fuite ?

Si vous avez utilisé Mondial Relay ces derniers mois, la prudence s’impose. Les données volées constituent une mine d’or pour le phishing ciblé. Avec un nom, une adresse, un numéro de téléphone et le détail d’une commande récente, un escroc peut fabriquer un SMS ou un e-mail très crédible, destiné à faire tomber dans le panneau même les plus méfiants.

Il faut donc redoubler de vigilance face aux messages qui vous demandent de régler un problème de colis bloqué, de paiement en attente ou une demande de vérification d’identité. Ce genre de sollicitations explose après chaque fuite de données, et les pirates sont désormais bien rodés. Dans le doute, ne cliquez jamais sur un lien de suivi reçu par SMS ou par e-mail. Mieux vaut se connecter directement sur le site officiel de Mondial Relay ou du marchand concerné pour vérifier l’état d’une commande.

Content retrieved from: https://www.journaldugeek.com/2026/03/11/mondial-relay-a-encore-ete-pirate-5-millions-de-clients-sont-concernes/.