King Jouet : revendication de fuite de données clients

En février 2025, un pirate informatique a revendiqué l’intrusion dans la base de données de King Jouet, enseigne française spécialisée dans la vente de jeux et de jouets. Selon les éléments rapportés par la presse, la revendication remonte à la nuit du 8 au 9 février 2025. L’attaquant a mis en vente sur un forum malveillant ce qu’il présentait comme plus de 4 millions, voire 4,3 millions, de comptes clients, pour un montant très faible (de l’ordre de 150 à 200 dollars).

King Jouet a publiquement reconnu avoir été victime d’une cyberattaque. L’enseigne a fortement relativisé l’ampleur revendiquée : selon elle, l’attaque a visé l’interface de suivi des commandes en ligne et est restée limitée au périmètre de deux magasins, avec moins de 25 000 clients concernés. Les données en cause se limiteraient à des informations personnelles classiques (nom, prénom, numéro de téléphone, adresse postale, adresse électronique) et à des informations liées aux commandes. Le pirate évoquait également des données bancaires, ce que l’enseigne n’a pas confirmé.

L’entreprise indique avoir prévenu la CNIL, déposé plainte, sécurisé ses systèmes d’information et informé les clients concernés. La crédibilité du pirate a été mise en doute par des chercheurs en cybersécurité, l’échantillon de preuves fourni étant jugé insuffisant et l’auteur possiblement lié à de précédentes revendications fabriquées contre d’autres enseignes françaises.

Le caractère réel d’une cyberattaque est confirmé par l’enseigne et recoupé par la presse, ce qui justifie un statut confirmé. En revanche, le volume réel de données et la nature exacte des informations exposées restent incertains : l’écart entre la revendication du pirate (plusieurs millions) et le chiffre communiqué par l’entreprise (moins de 25 000 clients) demeure non tranché par une source officielle indépendante. Le chiffre retenu correspond à la borne basse confirmée par l’enseigne.