Synthèse de l'incident
Le 11 février 2026, Darty (groupe Fnac Darty) a confirmé par email à ses clients avoir été victime d'une cyberattaque. Un attaquant a compromis les systèmes d'un prestataire tiers gérant l'outil de prise de rendez-vous de Darty Cuisine, le service de conception de cuisines sur mesure. Résultat : les données personnelles de 79 164 clients et 137 000 rendez-vous accumulés sur 3 ans (2022-2026) ont été exfiltrées et mises en vente sur un forum cybercriminel.
Ce n'est pas le système central de Darty qui a été piraté, mais celui d'un sous-traitant dont l'identité n'a toujours pas été révélée. Un schéma désormais classique qui illustre la fragilité de la chaîne de confiance numérique.
L'incident s'inscrit dans une vague sans précédent de fuites de données chez les enseignes françaises : après Boulanger, SFR, Free, Leroy Merlin et Alain Afflelou, c'est au tour de Darty de voir ses clients exposés via un maillon faible de sa supply chain.
Données compromises
La base de données exfiltrée contient deux catégories d'informations :
Données d'identification personnelle
- Noms et prénoms des clients
- Adresses postales complètes (rue, ville, code postal)
- Adresses email
- Numéros de téléphone
Données liées au projet cuisine
- Type de logement (maison, appartement)
- Budget estimé (fourchette min/max pour la rénovation)
- Nombre d'appareils à acheter ou conserver
- Historique des rendez-vous et détails des projets
Darty a confirmé qu'aucune donnée bancaire, mot de passe ou information de paiement n'a été compromise. Cela n'atténue cependant pas les risques de phishing ciblé.
Chronologie
- 2022 — début 2026 : période couverte par les données volées (3 ans d'historique de rendez-vous Darty Cuisine).
- ~1er février 2026 : un pirate publie la base de données (79 164 enregistrements) sur un forum cybercriminel et la propose à la vente.
- Février 2026 : le chercheur en cybersécurité Seb (@seblatombe) publie une alerte sur X/Twitter, signalant la mise en vente des données.
- 11 février 2026 : Darty envoie un email de notification à ses clients concernés et confirme publiquement l'incident.
- 11-12 février : couverture médiatique massive (Clubic, Génération-NT, KultureGeek, Le Tribunal du Net).
Vecteur d'attaque : la supply chain
L'attaque n'a pas ciblé l'infrastructure de Darty directement. Le prestataire compromis gérait spécifiquement l'outil de planification de rendez-vous pour le service Darty Cuisine. Ce type de sous-traitance applicative est courant dans la grande distribution, où des outils métier spécialisés sont souvent opérés par des éditeurs externes.
Darty a refusé d'identifier le prestataire concerné, invoquant des raisons légales. Ce manque de transparence empêche les autres clients du même prestataire de vérifier s'ils sont également exposés.
Quand un seul sous-traitant peut exposer 80 000 clients sans que l'enseigne détecte l'intrusion en amont, c'est toute la gouvernance des accès tiers qui doit être remise en question.
Un schéma récurrent
Darty avait déjà été sanctionné par la CNIL d'une amende de 100 000 euros pour une précédente fuite impliquant un prestataire tiers. La répétition du même scénario soulève la question de l'efficacité des mesures correctives mises en place à l'époque.
Risques pour les clients
Phishing ultra-ciblé
La combinaison nom + adresse + email + téléphone + budget cuisine constitue un kit de social engineering redoutable. Un attaquant peut élaborer un email imitant Darty Cuisine, référençant un rendez-vous réel et un budget précis, pour inciter la victime à cliquer sur un lien frauduleux ou à transmettre ses coordonnées bancaires.
Arnaques téléphoniques
Avec le numéro de téléphone et les détails du projet, un escroc peut se faire passer pour un conseiller Darty appelant pour « confirmer un rendez-vous » ou « finaliser un devis ». La connaissance du budget et du type de logement rend l'appel crédible.
Cambriolages ciblés
Les données contiennent l'adresse physique, le type de logement et le budget de rénovation — soit une indication du pouvoir d'achat du foyer. Ces informations peuvent intéresser des réseaux de cambrioleurs qui ciblent les domiciles en fonction de leur potentiel.
Réponse de Darty
Dans son email de notification, Darty a indiqué :
- L'incident est « contenu et résolu »
- La CNIL a été notifiée conformément au RGPD
- Une plainte a été déposée
- Les accès internes aux applications ont été renforcés
- Des mesures de sécurité réseau supplémentaires ont été déployées
La communication reste cependant minimaliste : pas de détails sur la nature de la compromission, pas d'identification du prestataire, pas de proposition d'accompagnement (surveillance de crédit, etc.).
Recommandations
Pour les clients concernés
- Méfiez-vous des emails et appels mentionnant Darty Cuisine, un rendez-vous ou un projet de rénovation. Vérifiez systématiquement l'expéditeur et ne cliquez sur aucun lien suspect.
- Changez vos mots de passe sur votre compte Darty/Fnac par précaution, même si les identifiants ne sont pas concernés.
- Surveillez vos comptes bancaires et signalez toute activité inhabituelle à votre banque.
- Signalez les tentatives de phishing sur la plateforme gouvernementale cybermalveillance.gouv.fr.
Pour les entreprises ayant recours à des sous-traitants
- Auditer les prestataires régulièrement : exiger des rapports de sécurité (SOC 2, pentest), vérifier les pratiques de chiffrement et la gestion des accès.
- Appliquer le principe de moindre privilège : un outil de prise de rendez-vous n'a pas besoin d'accéder à 3 ans d'historique client. Limiter les données exposées limite le rayon d'impact.
- Mettre en place une surveillance des forums : un monitoring du dark web permet de détecter la mise en vente de données avant même que les clients ne soient alertés.
- Contractualiser les délais de notification : imposer au prestataire un délai de notification de 24h en cas d'incident, et prévoir des clauses de pénalité en cas de non-respect.
Enseignements clés
L'affaire Darty Cuisine illustre une réalité que de nombreuses entreprises refusent encore d'admettre : la sécurité d'une enseigne est celle de son maillon le plus faible. Quand un sous-traitant stocke 3 ans de données clients sans supervision, sans limitation d'accès et sans détection d'exfiltration, le risque n'est pas hypothétique — il est inévitable.
Le fait que Darty ait déjà été sanctionné pour un scénario identique rend cette récidive d'autant plus préoccupante. La CNIL pourrait cette fois appliquer des sanctions significativement plus lourdes, conformément à l'article 83 du RGPD qui prévoit des amendes pouvant atteindre 4% du chiffre d'affaires mondial en cas de manquements répétés.
Externaliser un service ne signifie pas externaliser la responsabilité. Aux yeux du RGPD et de vos clients, c'est votre nom qui apparaît sur la notification de fuite — pas celui de votre sous-traitant.
Sources
- Clubic — Darty : une cyberattaque siphonne les données de 80 000 clients
- Génération-NT — Darty a été victime d'une cyberattaque avec fuite de données
- KultureGeek — Darty confirme un piratage avec vol de données des clients
- La Revue Tech — Darty touché par une fuite de données : pourquoi le phishing va viser juste
Sécurisez votre chaîne de sous-traitance
Votre entreprise dépend de prestataires pour ses outils métier ? C-DIM vous accompagne dans l'audit de vos tiers, la mise en conformité RGPD et le déploiement de mesures de détection pour protéger vos clients.
Contactez C-DIMOu écrivez-nous directement à contact@c-dim.fr