Florajet : fuite de données clients
Fuite de plus de 1,4 million de commandes Florajet (noms, adresses, téléphones, messages personnels), révélée le 3 mars 2026 et mise en vente sur des forums.
- Organisation
- Florajet
- Secteur
- Retail / e-commerce
- Pays
- France
- Date des faits
- Découverte début mars 2026, données couvrant 2023-2026
- Ampleur
- Plusieurs centaines de milliers à environ 1 million de personnes (chiffres revendiqués : 1 457 473 commandes, environ 952 000 numéros de téléphone uniques, environ 1,2 million d'adresses)
- Vecteur
- Accès non autorisé à l'outil BtoB de Florajet, exploitation alléguée d'identifiants d'un fleuriste partenaire (chaîne de sous-traitance)
- Données exposées
- Noms et prénoms, Adresses postales de livraison, Numéros de téléphone, Détails de commande, Messages personnels d'accompagnement
Florajet, réseau français de livraison de fleurs, est concerné par une fuite de données révélée publiquement le 3 mars 2026. Selon plusieurs sources de presse et de veille cybersécurité, un acteur malveillant a mis en vente sur des forums spécialisés une base d’environ 136 Go regroupant 1 457 473 commandes couvrant la période 2023-2026. Les données revendiquées incluent des noms et prénoms, des adresses postales de livraison, environ 952 000 numéros de téléphone uniques, le détail des commandes ainsi que les messages personnels d’accompagnement joints aux bouquets.
D’après ces mêmes sources, Florajet aurait reconnu un accès non autorisé à son outil professionnel BtoB, la compromission étant attribuée à l’exploitation d’identifiants d’un fleuriste partenaire du réseau, ce qui illustrerait une faille dans la chaîne de sous-traitance. Les articles consultés indiquent qu’aucune donnée bancaire ni mot de passe ne figureraient dans le lot exposé. Le nombre exact de personnes physiques distinctes reste incertain, car le décompte porte sur des commandes et non sur des individus, et expéditeurs comme destinataires peuvent être concernés.
La sensibilité particulière de cette fuite tient à la présence des messages personnels accompagnant les envois, qui peuvent révéler des éléments intimes et faciliter des opérations d’ingénierie sociale ciblée. À la date de rédaction, aucune communication officielle de la CNIL ni notification réglementaire publique n’a pu être confirmée, et les chiffres proviennent essentiellement des revendications de l’attaquant relayées par la presse. Le statut est donc qualifié d’allégué dans l’attente d’une confirmation officielle complète.
Les personnes ayant utilisé Florajet ces dernières années sont invitées à la vigilance face aux tentatives d’hameçonnage par téléphone, SMS ou courrier exploitant des informations personnelles crédibles, et à signaler toute sollicitation suspecte. Le RGPD impose au responsable de traitement de notifier la CNIL sous 72 heures et d’informer les personnes concernées en cas de risque élevé pour leurs droits et libertés.