Engie: des hackers ont dérobé les données de 110.000 clients “en réponse à l’inflation”

“Rien n’est à l’abri, y compris les cibles les plus grosses”. Sur un forum de hackers, des individus revendiquent avoir piraté les données de quelque 140.000 clients du fournisseur d’énergie Engie, grâce à une faille logicielle exploitée en avril 2023. Auprès de Tech&Co, l’entreprise reconnaît avoir été touchée par une cyberattaque, confirmant une information du site Numerama. Elle évoque en revanche le chiffre de 110.000 victimes.

Cette attaque est motivée par la volonté de répondre “à l’inflation des prix du gaz en France”, expliquent les hackers, qui concluent leur message par “Force aux travailleurs et aux patriotes français”.

Un sous-traitant visé, comme chez Pôle emploi

D’après les pirates, la fuite de données a été permise en exploitant une faille de sécurité dans le système informatique d’un sous-traitant gérant le site dédié à la prime Énergie d’Engie (monespaceprime.engie.fr). Une situation qui n’est pas sans rappeler l’immense fuite de données (10 millions de victimes) qui a récemment touché Pôle emploi, là encore en raison d’une mauvaise sécurisation des systèmes d’un sous-traitant, l’entreprise Majorel.

Parmi les informations des clients Engie ayant fuité figurent les prénoms, noms, adresses mail, numéros de téléphone et numéros de client. Des données particulièrement sensibles, qui peuvent être ensuite réutilisées pour envoyer des mails d’arnaques crédibles, aux couleurs d’Engie. Les hackers ont en revanche décidé de supprimer les adresses postales des victimes de leur fichier, pour des raisons “éthiques”.

En page d’accueil du site du fournisseur, on trouve d'ailleurs un avertissement concernant ce type d'escroquerie (hameçonnage), qui consiste à convaincre la victime de cliquer sur un lien vers un site frauduleux, pour ensuite effectuer un paiement.

Auprès de Tech&Co Engie assure toutefois que les coordonnées bancaires des clients ou leur mot de passe ne sont pas concernés. L’entreprise annonce par ailleurs avoir effectué une déclaration auprès de la CNIL, déposé une plainte, et prévenu les personnes concernées, comme l’impose la loi.