Adidas : fuite via prestataire de service client
En mai 2025, Adidas a confirmé une fuite de données de contact de consommateurs via un prestataire tiers de service client, sans mots de passe ni données de paiement.
- Organisation
- Adidas AG
- Secteur
- Retail / e-commerce
- Pays
- Allemagne
- Date des faits
- Détection début mai 2025, divulgation publique le 23 mai 2025 ; révélations régionales préalables (Corée du Sud, Turquie) au printemps 2025
- Ampleur
- non communiqué (base mondiale de consommateurs ayant contacté le support)
- Vecteur
- sous-traitant
- Données exposées
- Nom et prénom, Adresse e-mail, Numéro de téléphone, Date de naissance, Adresse postale, Données de contact du service client
En mai 2025, Adidas a confirmé qu’un tiers non autorisé avait obtenu des données de consommateurs via un prestataire externe de service client. Selon le communiqué du groupe (daté du 23 mai 2025) et plusieurs médias spécialisés (The Register, BleepingComputer, SecurityWeek, Computer Weekly), les données concernées se limitent à des informations de contact de personnes ayant sollicité le service client par le passé : nom, prénom, adresse e-mail, numéro de téléphone, date de naissance et adresse. Adidas a précisé qu’aucun mot de passe ni aucune donnée bancaire ou de paiement n’était concerné.
L’incident s’inscrit dans une attaque de la chaîne d’approvisionnement : la compromission n’a pas touché les systèmes internes d’Adidas mais ceux d’un prestataire tiers, dont le nom n’a pas été rendu public. Des divulgations régionales préalables (Corée du Sud, Turquie) au printemps 2025 ont précédé une communication de portée mondiale. Adidas a indiqué informer les consommateurs potentiellement concernés ainsi que « les autorités de protection des données et les autorités compétentes, conformément au droit applicable ». S’agissant d’un groupe basé en Union européenne et opérant dans plus de 50 pays, des consommateurs européens figurent vraisemblablement parmi les personnes touchées, même si aucune ventilation par pays ni aucun chiffre officiel n’a été communiqué.
Point de vigilance important : l’allégation d’environ 420 Go de contenu « spécifiquement français » et de 815 000 enregistrements, attribuée au groupe Lapsus$, ne relève PAS de cette fuite de mai 2025. Elle correspond à un incident distinct, rendu public en février 2026, visant un extranet partenaires qu’Adidas rattache à un partenaire de licence et de distribution indépendant. Adidas affirme à ce sujet qu’aucune donnée consommateur de la marque n’est concernée. Le rattachement à la France via les 420 Go ne s’applique donc pas à l’incident de mai 2025.
En l’état, l’exposition liée à la fuite de 2025 reste de gravité modérée : il s’agit de données de contact, sans secrets d’authentification ni informations financières. Ces données demeurent toutefois exploitables pour de l’hameçonnage ciblé et de l’usurpation d’identité. Le nombre de personnes affectées n’a pas été divulgué et aucun acteur malveillant n’a été officiellement désigné pour cet incident.
Sources
- Adidas confirms data swiped from customer service provider, The Register
- Adidas warns of data breach after customer service provider hack, BleepingComputer
- Adidas Data Breach Linked to Third-Party Vendor, SecurityWeek
- Adidas confirms customer data was accessed during cyber attack, Computer Weekly
- Adidas Hit by Third Customer Data Breach Linked to Support Systems, CyberInsider