Chronopost / Pickup : fuite de données points relais

Le 19 décembre 2025, une base de données liée au réseau de points relais et consignes Pickup, filiale du Groupe La Poste utilisée par Chronopost et Colissimo, a été mise en ligne sur le forum cybercriminel BreachForums. L’auteur de la publication affirme avoir extrait par scraping les données d’environ 860 000 colis, couvrant des envois déposés ou retirés entre le 25 février et le 10 avril 2025. Selon les analyses de veille, le jeu de données contiendrait des noms et prénoms, des adresses e-mail, des numéros de suivi, des codes-barres, les dimensions des colis ainsi que l’identifiant et la localisation des points de retrait.

La principale exposition réside dans le risque d’hameçonnage et de smishing ciblés : la combinaison de l’identité, de l’e-mail et du point de retrait habituel permet de construire des messages frauduleux très crédibles, voire d’inférer une zone géographique précise. Cet incident est présenté comme distinct de la fuite de janvier 2025, qui avait concerné environ 210 000 clients et exposé des signatures, et qui avait alors fait l’objet d’une notification à la CNIL.

Le statut de confirmation reste prudent. Plusieurs articles publiés le 22 décembre 2025 indiquaient qu’aucune réaction officielle de Chronopost ou de La Poste n’avait été émise. Un article du 23 décembre évoque une confirmation rattachant l’incident à une faille du printemps 2025 qui aurait été activement traitée, mais sans communiqué officiel ni citation verbatim documentée, ni mention vérifiable d’une notification à la CNIL pour ce cas précis.

Les chiffres avancés proviennent des déclarations de l’attaquant et de chercheurs en veille, non d’une source officielle, et doivent donc être considérés comme une fourchette haute. En l’absence de communiqué formel et de confirmation par une autorité, la fiche est classée comme alléguée, dans l’attente d’éléments officiels permettant d’étayer l’ampleur exacte et la nature des données concernées.