Kering (Gucci, Balenciaga) : fuite de données clients

Le groupe de luxe français Kering, maison mère de Gucci, Balenciaga, Alexander McQueen et Saint Laurent, a confirmé le 15 septembre 2025 avoir été victime d’une fuite de données clients. Selon le groupe et plusieurs médias spécialisés, un tiers non autorisé a obtenu un accès temporaire à ses systèmes, accès détecté en juin 2025 ; les attaquants affirment toutefois avoir pénétré l’environnement dès avril 2025. L’attaque est attribuée au groupe cybercriminel ShinyHunters, déjà associé à une série de compromissions d’instances Salesforce visant de grandes entreprises.

D’après la presse, les données exfiltrées comprennent les noms, adresses e-mail, numéros de téléphone, adresses postales et le montant total dépensé en boutique par les clients. Kering indique qu’aucune donnée bancaire ni numéro de carte de paiement n’a été dérobé. Le vecteur évoqué est la compromission de portails Salesforce via des techniques d’hameçonnage (phishing/vishing), schéma commun à d’autres victimes attribuées à ShinyHunters.

ShinyHunters revendique le vol de données portant sur environ 7,4 millions d’adresses e-mail uniques. Ce chiffre est une allégation des attaquants : Kering a reconnu l’incident mais n’a pas communiqué de nombre officiel de personnes concernées, et le total réel pourrait différer. Selon plusieurs sources, le groupe aurait refusé de payer une rançon (un montant de 750 000 USD a été évoqué), conformément aux recommandations des autorités.

Kering étant un groupe mondial dont la clientèle inclut largement l’Europe et la France, des résidents européens et français figurent parmi les personnes potentiellement touchées. Plusieurs médias rapportent que Kering a notifié les autorités de protection des données compétentes au titre du RGPD et engagé l’information des clients par e-mail. À ce stade, aucune décision publique de la CNIL ni communiqué officiel détaillant le périmètre français n’a été identifié, ce qui invite à la prudence sur l’ampleur exacte en France.