Intersport France : fuite de données clients

Le distributeur d’articles de sport Intersport France a été victime d’une intrusion informatique mi-mars 2025, ayant entraîné l’exfiltration de données personnelles de ses clients. Selon les échantillons diffusés par l’attaquant et relayés par le service de veille ZATAZ, le vol daterait du 16 mars 2025. Un pirate (opérant sous le pseudonyme « God User ») a ensuite mis en vente la base sur le forum BreachForums, d’abord pour 2 500 dollars puis 1 000 dollars. D’après l’attaquant, la base contiendrait les données d’environ 3,4 millions de clients (chiffre cité : 3 388 826).

Les données exposées comprendraient, selon les sources, les noms et prénoms, adresses email, adresses postales, numéros de téléphone, des messages adressés au support client, des références de carte de fidélité ainsi que des données liées aux paiements PayPal (références et codes de transaction, informations de facturation). Intersport a indiqué qu’aucune donnée bancaire ni mot de passe n’aurait été compromis, mais plusieurs sources soulignent la présence de données de paiement PayPal dans le lot diffusé.

Intersport a confirmé l’incident début avril 2025 (le 4 avril selon Capital/Le Parisien) et a prévenu ses clients par email, évoquant une « consultation dans nos systèmes pouvant entraîner une perte de confidentialité ». L’entreprise indique avoir déclaré l’incident à la CNIL, conformément à la réglementation, et recommande à ses clients de rester vigilants face aux tentatives d’hameçonnage. Le volume exact de clients réellement concernés n’a pas été confirmé publiquement par Intersport ; le chiffre de 3,4 millions provient de l’attaquant.

Point de vigilance : il convient de ne pas confondre cette fuite de données (mars-avril 2025) avec une sanction distincte de la CNIL (amende de 3,5 millions d’euros, ~10,5 millions de membres concernés) liée à la transmission de données du programme de fidélité à des fins publicitaires, un dossier sans rapport avec l’intrusion décrite ici.