L’enseigne de bricolage confirme une intrusion ayant permis l’accès non autorisé à des données personnelles, touchant une part significative de sa clientèle.
Après France Travail, l’URSSAF, puis les fédérations françaises de tir et de football, Leroy Merlin rejoint la liste des organisations récemment visées par des cyberattaques.
Nature de la fuite et données concernées
Selon les informations publiées par l’entreprise, les données compromises concernent les noms, prénoms, numéros de téléphone, adresses e-mail, adresses postales, dates de naissance ainsi que les informations liées aux comptes de fidélité des clients concernés.Certaines communications internes évoquent une date précise pour l’attaque : le 30 novembre 2025. Un courriel aurait été envoyé peu après aux clients, les informant de l’incident.À ce stade, l’enseigne affirme que les données bancaires et les mots de passe des comptes web n’ont pas été touchés.
Risques et réactions
Même si les informations bancaires ne sont pas concernées, la nature des données volées, nom, adresse, date de naissance, contacts, suffit à exposer les clients à des risques de phishing, d’usurpation d’identité ou d’arnaques personnalisées.
Plusieurs médias alertent sur la possibilité de sollicitations frauduleuses via SMS, e-mail ou téléphone, utilisant ces données pour rendre les tentatives plus crédibles. Dans son message, Leroy Merlin indique avoir immédiatement pris des mesures pour bloquer l’accès non autorisé et contenir l’incident. L’entreprise invite par ailleurs les clients concernés à la plus grande vigilance face à des sollicitations suspectes.
