Un important incident de cybersécurité touche la marketplace européenne ManoMano : environ 38 millions de clients ont vu leurs données personnelles exposées suite à une compromission chez un prestataire tiers.


Une fuite liée à un prestataire, pas à ManoMano directement


La plateforme française de e‑commerce de bricolage, jardinage et maison ManoMano a confirmé avoir été victime d’une fuite de données massive touchant près de 38 millions de personnes, à cause d’une attaque visant un prestataire externe chargé du support client.


L’incident remonterait à janvier 2026, mais n’a été rendu public que fin février, lorsque les notifications ont commencé à être envoyées aux personnes potentiellement concernées par la plateforme.


Comment les hackers ont accédé aux données


Selon les premiers éléments de l’enquête :

  • La compromission est survenue chez un sous‑traitant chargé du service client, possiblement basé en Tunisie. 
  • Les hackers ont exploité un accès à l’environnement de support (probablement Zendesk).
  • Un acteur se faisant appeler “Indra” a revendiqué le vol d’une grande quantité de données sur un forum clandestin.


C’est ce mécanisme d’attaque par chaîne d’approvisionnement (supply chain attack) qui montre combien un partenaire extérieur peut devenir un point d’entrée critique pour des cybercriminels.


Quelles données ont été exposées ?


D’après les éléments communiqués par ManoMano et des médias spécialisés :

  • Nom et prénom 
  • Adresse email 
  • Numéro de téléphone 
  • Échanges effectués avec le support client (tickets, commentaires, etc.)


La société précise que les mots de passe, mots de passe de paiement ou comptes bancaires n’ont pas été compromis, et qu’aucune modification des données n’a été constatée sur ses propres systèmes.


Qui est concerné ?


La fuite touche principalement les consommateurs des pays européens où ManoMano est active, notamment :

  • France 
  • Allemagne 
  • Espagne 
  • Italie 
  • Royaume‑Uni


Cette large portée s’explique par la base de clients vaste et internationale de la plateforme, qui attire environ 50 millions de visiteurs par mois.


Quels risques pour les utilisateurs ?


Même si les mots de passe ou données bancaires ne sont pas directement affectés, les informations exposées restent suffisamment sensibles pour créer des risques sérieux, notamment :

  • Phishing ciblé (emails ou SMS frauduleux) 

  → Des courriels potentiellement crédibles qui mentionnent par exemple un ticket de support réel ou un numéro de commande peuvent tromper les utilisateurs.
  • Usurpation d’identité 

  → Avec nom, email et téléphone, un attaquant peut tenter de se faire passer pour la victime. 
  • Escroqueries avancées basées sur des échanges passés 

  → Les tickets de support contiennent parfois des détails utilisables pour paraître légitime.


Que fait ManoMano ?


Après la découverte de l’incident :

  • L’accès du prestataire compromis a été révoqué immédiatement.
  • Des mesures de sécurité renforcées ont été mises en place.
  • ManoMano a notifié les autorités compétentes, dont la CNIL (Commission Nationale de l’Informatique et des Libertés) et l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
  • Les clients affectés ont été informés et encouragés à rester vigilants face aux tentatives de phishing.


Malgré ces actions, certaines zones d’ombre restent, notamment la durée exacte de l’accès non autorisé et les méthodes d’exfiltration précises utilisées par les attaquants.


Pourquoi cette fuite est inquiétante


Cette attaque illustre une tendance inquiétante :


  Les entreprises ne sont pas seulement ciblées dans leurs propres systèmes, mais via des prestataires ou partenaires, créant un effet domino en matière de cybersécurité.


C’est un rappel que même si une entreprise protège bien ses serveurs, le maillon le plus faible peut suffire pour exposer des données massives.


En bref


  • Une fuite de données a affecté environ 38 millions de clients de ManoMano à travers l’Europe.
  • Les informations exposées incluent noms, emails, téléphones et historiques de support client. 20 
  • L’incident provient d’un prestataire tiers compromis, soulignant l’importance de la sécurité des fournisseurs.
  • ManoMano a pris des mesures et notifié les autorités, mais les clients doivent rester vigilants face aux tentatives de fraude.

#cybersécurité #ManoMano #fuitededonnées #privacy #ecommerce #GDPR #phishing