Le Petit Vapoteur : fuite de données clients

Fin mars 2026, un acteur malveillant opérant sous le pseudonyme « underus » (parfois « undef ») a revendiqué le vol de la base de données du e-commerçant français Le Petit Vapoteur, spécialiste de la cigarette électronique basé à Cherbourg-en-Cotentin. L’archive, présentée comme la base complète du backend du site, a été mise en vente sur un forum cybercriminel autour du 28 mars 2026. Selon le pirate, elle contiendrait les fiches de 3 307 087 clients et de 599 employés, couvrant un historique de 2012 à 2026.

Les données décrites par les agrégateurs de veille incluraient, côté clients, des noms et prénoms, adresses e-mail, numéros de téléphone, adresses postales ainsi que des journaux de connexion avec adresses IP. Des données relatives aux employés (poste, coordonnées, informations internes) seraient également concernées. Plusieurs sources indiquent qu’aucune donnée bancaire ni mot de passe ne ferait partie du lot, sans que cela soit confirmé de manière indépendante.

L’entreprise a communiqué publiquement, notamment via sa page Facebook, et aurait, d’après les comptes rendus des agrégateurs et un forum communautaire de vapoteurs, reconnu un accès non autorisé à sa base clients. Elle estimerait que moins de 2 % de sa base est réellement concernée, tout en ayant notifié l’ensemble de ses clients par précaution et déclaré l’incident à la CNIL. Des clients ont confirmé indépendamment avoir reçu un message d’alerte début avril 2026.

À ce stade, l’ampleur exacte reste à confirmer : le chiffre de 3,3 millions provient de la revendication du pirate, tandis que l’entreprise le minimise fortement. Aucune publication de la CNIL ni couverture par une presse nationale de référence n’a été identifiée. Les informations disponibles proviennent essentiellement d’agrégateurs spécialisés et de comptes de veille, ce qui invite à la prudence sur les volumes annoncés.