Début janvier 2026, un hacker répondant au pseudonyme « Indra » a revendiqué sur BreachForums l’accès aux données de 37,8 millions de comptes clients de ManoMano. La plateforme française de bricolage en ligne, qui attire plus de 50 millions de visiteurs par mois, n’a pas été attaquée directement. C’est son prestataire de support client, basé à Tunis, qui a servi de porte d’entrée. Un seul compte compromis. Des dizaines de millions de personnes exposées dans cinq pays européens.
Comment ManoMano s’est retrouvé pris en otage par l’un de ses sous-traitants
L’intrusion ne vient pas d’une faille dans le code de ManoMano. Elle part d’un compte agent compromis chez un centre de support externalisé. Ce prestataire utilisait Zendesk, un outil de gestion de tickets très répandu dans le service client. Une fois le compte de l’agent détourné, l’attaquant a eu accès à l’ensemble de l’environnement de support.
Il a pu consulter les échanges clients, télécharger les pièces jointes et extraire les données associées aux comptes utilisateurs. 43 gigaoctets de données au total. Plus de 900 000 tickets de support. Plus de 13 000 fichiers joints.
ManoMano a détecté l’intrusion et bloqué le compte compromis le jour même de la découverte. Mais à ce stade, les données étaient déjà sorties.
Ce que ManoMano confirme sur les données volées
La plateforme a contacté ses clients concernés fin février 2026. Les données exposées tournent autour de l’identité et du contact : noms, prénoms, adresses e-mail et numéros de téléphone. S’y ajoutent les conversations échangées avec le support client, y compris les pièces jointes transmises lors de litiges ou de demandes de remboursement.
Ce périmètre peut sembler limité au premier regard. Il ne l’est pas. Un ticket de support contient souvent bien plus qu’une simple question sur un délai de livraison. On y trouve des références de commande précises, des montants, des descriptions de produits, parfois des photos ou des documents. C’est une matière première de choix pour fabriquer des arnaques ciblées.
Sur les coordonnées bancaires, ManoMano confirme qu’elles n’étaient pas stockées dans l’environnement accessible au prestataire. Elles ne font donc pas partie des données extraites. L’entreprise a notifié la CNIL et l’ANSSI conformément au RGPD, et a publiquement détaillé le mode opératoire de l’attaque, ce que peu d’entreprises font spontanément.
ManoMano et le risque sous-estimé de la chaîne de sous-traitance
Ce type d’attaque porte un nom bien précis dans le jargon de la cybersécurité. On parle d’une attaque par la chaîne d’approvisionnement numérique, ou supply chain attack. L’objectif n’est pas de s’attaquer à la cible principale de front. C’est de trouver un maillon périphérique moins bien gardé.
Dans le cas présent, le prestataire tunisien disposait d’un accès étendu aux données clients de ManoMano. Il gérait des interactions avec des millions d’utilisateurs, en France, en Espagne, en Italie, en Allemagne et au Royaume-Uni. Or ses pratiques de sécurité n’étaient visiblement pas à la hauteur des données qu’il manipulait.
Ce n’est pas un problème propre à ManoMano. Leroy Merlin, Boulanger, Conforama, Cultura ont tous subi des incidents comparables ces derniers mois. Le sous-traitant est devenu le talon d’Achille du e-commerce européen.
Les risques réels pour les clients touchés par la fuite ManoMano
Les données volées ne permettent pas de vider directement un compte bancaire. Mais elles ouvrent la porte à des attaques bien plus sophistiquées.
L’historique des échanges avec le support est particulièrement sensible. Un pirate qui connaît votre dernière commande, le montant exact, le problème que vous avez signalé et la réponse que vous avez reçue peut construire un message de phishing quasi indétectable. Il se fait passer pour ManoMano, cite des détails que seule la vraie plateforme pourrait connaître, et vous invite à cliquer sur un lien ou à confirmer un paiement.
Les 13 000 pièces jointes récupérées amplifient ce risque. Elles peuvent contenir des photos de produits, des justificatifs, parfois des documents d’identité transmis lors d’un litige.
Ce que les clients ManoMano doivent faire maintenant
Si vous avez reçu un e-mail de ManoMano vous signalant que votre compte est concerné, quelques réflexes s’imposent.
Ne répondez à aucun message qui vous demande de confirmer vos coordonnées ou de cliquer sur un lien, même s’il semble provenir de la plateforme. Accédez directement à votre compte depuis le site officiel manomano.fr en tapant l’adresse dans votre navigateur. Changez votre mot de passe si vous l’utilisez sur d’autres services. Activez la double authentification si ce n’est pas déjà fait.
Tout message suspect peut être signalé sur cybermalveillance.gouv.fr. En cas d’utilisation frauduleuse de vos données, une plainte en ligne est possible via la plateforme THESEE.
Lire plus d’articles sur DigiTechnologie :
– Fuite de données de santé chez Cegedim, cliquez-ici
– Le kit de russe de 23 exploits appelé Coruna, cliquez-ici
– L’ingérence américaine en europe avec Freedom, cliquez-ici