Fuite massive chez Florajet : 1,4 million de commandes et messages personnels exposés

Selon GNT, Florajet, important service français de livraison de fleurs, a subi début mars 2026 une cyberattaque ayant conduit à l’exfiltration et à la mise en vente d’une vaste base de données de commandes.

• Type d’attaque : accès non autorisé à un outil interne BtoB via les identifiants d’un fleuriste partenaire (chaîne de sous-traitance), ayant permis l’exfiltration de données.
• Impact : 1,4 million de commandes (2023–2026) compromises, 136 Go de bons de commande PDF.
• Données volées : noms et prénoms de l’expéditeur et du destinataire, adresses complètes, près de 952 000 numéros de téléphone uniques, et surtout les messages d’accompagnement souvent très intimes (déclarations, excuses, condoléances).
• Monétisation : base mise en vente sur des forums du dark web. 🌐

L’élément le plus sensible est la divulgation des messages personnels, représentant une atteinte grave à la vie privée au-delà d’une simple fuite de coordonnées.

Les risques évoqués pour les personnes concernées incluent :

• Phishing ciblé (hameçonnage) à partir des détails précis des commandes,
• Usurpation d’identité (combinaisons nom–adresse–téléphone),
• Potentiel chantage lié au contenu intime des messages. ⚠️

Côté réponse, Florajet indique avoir bloqué l’accès malveillant et s’engage à réduire la durée de conservation des documents pour limiter l’exposition future. Sur le plan légal, le RGPD offre aux victimes le droit d’accès, la possibilité de porter plainte à la CNIL, et d’engager une action en réparation pour préjudice moral — la jurisprudence européenne reconnaissant que la perte de contrôle sur ses données est indemnisable.

• IOCs : aucun indicateur technique (IP, domaines, hash) n’est fourni.
• TTPs observables :
  • Accès initial via identifiants compromis d’un partenaire (chaîne de sous-traitance),
  • Abus d’accès BtoB à un outil interne,
  • Exfiltration de lots de PDF contenant des données personnelles,
  • Vente des données sur des forums du dark web.

Article de presse spécialisé visant à informer sur un incident de fuite de données et ses impacts ainsi que les recours RGPD.

---

🔗 Source originale : https://www.generation-nt.com/actualites/florajet-fuite-donnees-cyberattaque-rgpd-dark-web-2072025