Kering vient allonger la liste des victimes des ShinyHunters

« En juin 2025, nous avons constaté qu’un tiers non autorisé avait temporairement accédé à nos systèmes et consulté des données clients limitées provenant de certaines de nos Maisons », explique le service de presse de Kering dans une déclaration adressée à la rédaction.

Celle-ci ajoute que « nos Maisons ont immédiatement signalé cette intrusion aux autorités compétentes et ont informé les clients conformément aux réglementations locales ».

Et de préciser qu’aucune « information financière, telle que des numéros de compte bancaire ou de carte de crédit ni aucun numéro d’identification personnelle (numéro de sécurité sociale) n’ont été compromis lors de cet incident ».

Selon le service de presse de Kering, « l’intrusion a été rapidement identifiée et des mesures appropriées ont été prises pour sécuriser les systèmes concernés et éviter que de tels incidents ne se reproduisent à l’avenir ».

Les acteurs malveillants impliqués donnent un éclairage différent sur l’incident, rapporté par databreaches.net.

Selon les éléments publiés par notre confrère, les ShinyHunters auraient obtenu des données relatives aux clients de Gucci dès 2024, suivant le mode opératoire utilisé contre de nombreux clients de Salesforce.

Les données relatives aux clients des enseignes Balenciaga, Brioni, et Alexander McQueen auraient été obtenues plus tardivement : le 23 avril 2025. C’est ce que les assaillants disent avoir indiqué à Kering, deux mois plus tard.

Les ShinyHunters auraient contacté Balenciaga début juin, l’intéressé n’entrant en contact avec les assaillants que le 20 juin. Une chronologie cohérente avec la constatation évoquée par le service de presse de Kering.

La conversation aurait duré jusqu’au 18 août. Un paiement de 500 000 euros de rançon aurait été initialement accepté, mais n’a jamais été payé. Le service de presse de Kering assure de son côté que « ni Kering, ni ses Maisons, ni aucune entité liée n’ont versé de rançon ». Un très modeste paiement à titre de test (0,00045 btc) serait toutefois survenu, selon les éléments rapportés par databraches.net.

La conversation publiée par notre confrère comporte un rebondissement : le 30 juillet, la victime dit qu’il « est indiqué dans la presse que le groupe des ShinyHunters a été arrêté par la police ». Et d’assurer vouloir payer ce groupe « compte tenu de sa réputation », mais que rien ne « garantit que vous êtes un membre de ce groupe ».

Le Parisien a effectivement indiqué, le 25 juin, que quatre pirates liés aux ShinyHunters venaient tout juste d’être interpellés en France. Ils en faisaient partie, mais n’étaient manifestement pas suffisamment essentiels à ce collectif aux contours flous, notamment impliqué dans les attaques contre des détaillants britanniques au printemps.

Ce groupe spécialiste de l’ingénierie sociale a revendiqué la récente attaque contre Jaguar Land Rover (JLR). Il a récemment assuré avoir mis la main sur les données de 160 millions de personnes au Vietnam.

Durant l’été, les membres de ce collectif, qui se désignent eux-mêmes sous le nom des « Scattered Lapsus$ Hunters », se sont illustrés par une série d’attaques contre les instances Salesforce de nombreuses entreprises : Google, Air France-KLM, Allianz for Life, Cisco, Pandora, et d’autres encore. Il y a quelques jours, ils ont annoncé prendre leur retraite.