Cyberattaque ManoMano : 37,8 millions de comptes potentiellement compromis
Le site de bricolage en ligne ManoMano a confirmé ce lundi 10 février avoir été victime d'une cyberattaque survenue en janvier 2026. L'incident, qui a touché un prestataire externe chargé du service client, a entraîné le vol de données personnelles de milliers d'utilisateurs. Un pirate revendique toutefois un butin bien plus massif : 37,8 millions de comptes compromis dans cinq pays européens.
C'est un scénario devenu tristement banal dans le paysage numérique français. ManoMano, plateforme leader du e-commerce spécialisée dans le bricolage et le jardinage avec des millions de clients actifs en Europe, a informé ses utilisateurs d'une fuite de données consécutive à la compromission du compte d'un agent travaillant pour un sous-traitant. L'identifiant détourné a permis aux attaquants d'accéder aux interfaces internes et de télécharger des informations personnelles associées aux comptes utilisateurs.
Les données dérobées comprennent les noms, prénoms, adresses électroniques, numéros de téléphone ainsi que les échanges entre les clients et le support. ManoMano assure en revanche que les mots de passe et les données bancaires n'ont pas été compromis. « Dès la découverte des faits, le compte a été bloqué le jour même », précise l'entreprise dans son communiqué adressé aux clients concernés.
37,8 millions de comptes revendiqués en vente sur le dark web
Si ManoMano évoque officiellement des « milliers de clients » touchés, la réalité pourrait être bien plus inquiétante. Sur BreachForums, un forum prisé des cybercriminels, un pirate se faisant appeler « Indra » revendique la compromission de 37,8 millions de comptes utilisateurs, représentant environ 43 Go de données. Le butin inclurait également 935 000 tickets de service après-vente et plus de 13 500 pièces jointes, couvrant les bases de données de plusieurs pays européens : France, Espagne, Italie, Royaume-Uni et Allemagne.
Les données auraient été extraites depuis Zendesk, la plateforme de support client utilisée par ManoMano. Cette faille illustre une vulnérabilité systémique désormais bien documentée : la centralisation des outils de relation client chez un prestataire tiers peut transformer une seule brèche en incident transfrontalier de grande ampleur. Comme le souligne le site spécialisé Secuslice, « la chaîne de confiance est aussi solide que son maillon le plus négligé ».
Des risques concrets de phishing et d'usurpation d'identité
Les informations volées constituent une mine d'or pour les campagnes d'hameçonnage. Avec les noms, les adresses mail et surtout l'historique des échanges avec le service client, les pirates peuvent élaborer des messages frauduleux extrêmement crédibles, en se faisant passer pour ManoMano ou ses partenaires. Un simple ticket de support réel suffit à construire un courriel de phishing quasi indétectable. Les experts en cybersécurité alertent sur un risque accru d'attaques par e-mail, SMS ou appel téléphonique dans les semaines à venir.
ManoMano recommande à ses clients de redoubler de vigilance : vérifier systématiquement l'origine des courriels reçus, ne jamais communiquer de données bancaires ou de mots de passe sans certitude sur l'identité du demandeur, ne pas ouvrir de pièces jointes suspectes et surveiller régulièrement leurs comptes bancaires. L'entreprise indique avoir notifié la CNIL, l'ANSSI ainsi que la plateforme Urgence Cyber Île-de-France, conformément à ses obligations légales.
Cet incident s'inscrit dans une série de cyberattaques qui frappent les entreprises françaises depuis plusieurs mois. Free a récemment écopé d'une amende record de 42 millions d'euros pour un piratage massif en 2024, un précédent qui pourrait peser lourd pour ManoMano si les manquements à la protection des données étaient avérés. Les enseignes Kiabi, Chronopost, Conforama, Orange ou encore Auchan ont également été ciblées. Selon la CNIL, 5 919 violations de données ont été notifiées en 2024, en hausse de 29 % par rapport à 2023, exposant potentiellement les informations de 8 millions de Français.
Pour les victimes de fuites de données et de SMS frauduleux, les autorités rappellent qu'il est possible de déposer plainte auprès de la CNIL si les données personnelles restent accessibles un mois après une demande de suppression. Dans un contexte où les attaques via des prestataires tiers se multiplient, la question de la gouvernance des accès et de la responsabilité des donneurs d'ordre se pose avec une acuité croissante pour l'ensemble du e-commerce français.