Skip to content

1001Coques : 327 511 clients revendiqués par ChimeraZ dans une base de factures

Le 6 juillet, ChimeraZ revendique une base attribuée à 1001Coques : 404 427 enregistrements pour 327 511 personnes, avec coordonnées, adresses et références de factures.

Publié le 5 min de lecture

Le 6 juillet 2026, l'acteur ChimeraZ met en vente sur un forum cybercriminel une base attribuée au marchand français 1001Coques.fr, spécialiste des coques et accessoires de protection pour smartphones et tablettes. La revendication porte sur 404 427 enregistrements couvrant 327 511 personnes uniques, selon les descriptions relayées par Cyberattaque.org et FrenchBreaches. Cinq jours après la revendication IAD Group du même acteur, la trajectoire de ChimeraZ ajoute un troisième secteur — e-commerce — aux campagnes tourisme et immobilier déjà documentées.

Ce qui est revendiqué

D'après les échantillons publiés sur le forum, la base contient des données de commandes clients :

  • Nom et prénom.
  • Adresse postale complète.
  • Numéro de téléphone.
  • Références de commande et de facture.
  • Montants des commandes.

Les deux observatoires FR qui suivent l'annonce précisent que l'échantillon en ligne montre principalement des informations liées aux commandes et à la facturation, sans mention à ce stade de mots de passe ni de coordonnées de paiement complètes. Le format et la structure des champs sont cohérents avec un export applicatif de type back-office e-commerce ; ni le vecteur d'accès ni la souche technique de la compromission ne sont documentés publiquement.

Statut de l'attribution

1001Coques n'a pas confirmé la compromission. Aucun communiqué public du marchand au moment de cette publication, aucune notification CNIL rendue publique. Le rapprochement entre la base mise en vente et le système d'information de 1001Coques repose à ce stade uniquement sur :

  • La revendication explicite de ChimeraZ dans son annonce.
  • La cohérence structurelle des échantillons publiés avec un back-office de commande e-commerce.

L'origine exacte — SI 1001Coques directement, prestataire logistique, plateforme e-commerce hébergeante, base marketing tierce — n'est pas établie publiquement.

ChimeraZ, troisième secteur touché

ChimeraZ a d'abord ciblé le tourisme français au printemps 2026 (Krys, Avea Vacances, Belambra, Gîtes de France, Maeva Group, Vacances Lagrange, Nemea Group), puis a pivoté vers l'immobilier fin juin avec une base agrégée revendiquée à plus de 4 millions de lignes couvrant Leboncoin Immobilier, PAP, ParuVendu et SeLoger, avant les revendications successives contre Propriétés Privées, Digit RE Group, IAD Group le 2 juillet. L'acteur avait déclaré à FrenchBreaches disposer de « 14 compromissions en cours », formulation reprise dans le portrait publié par FrenchBreaches.

La revendication 1001Coques est la première publiquement attribuée à ChimeraZ hors des périmètres tourisme et immobilier. Elle n'établit pas de vecteur commun ; rien ne permet à ce stade de dire s'il s'agit d'une compromission directe du SI 1001Coques, d'un prestataire mutualisé, ou d'une base marketing sous-traitée que l'acteur agrège dans son catalogue.

Que faire

  1. Clients ayant passé commande sur 1001Coques — surveiller les messages entrants sur les prochaines semaines. Le triptyque nom + adresse + référence de commande précise est un kit de phishing ciblé prêt à l'emploi : faux SMS de transporteur (« votre colis 1001Coques est bloqué en douane »), faux mail de service client, faux appel de banque évoquant un remboursement.
  2. Vigilance particulière sur les scénarios « remboursement » et « colis bloqué ». C'est le vecteur classique d'exploitation post-fuite e-commerce : le pirate connaît une commande réelle, ce qui suffit à faire tomber la vigilance sur un lien vers un faux formulaire de saisie de RIB ou de carte bancaire.
  3. Ne jamais renseigner de RIB, de code SMS bancaire ou de mot de passe sur un lien reçu. Aucun transporteur, banque ou marchand légitime ne demande ces éléments dans un mail ou un SMS avec lien direct. Passer systématiquement par les applications officielles ou par un numéro connu.
  4. DPO et équipe sécurité 1001Coques — communication et notification CNIL relèvent de l'article 33 RGPD en cas de confirmation. L'absence de communication dans les 24 heures suivant une revendication étayée n'est pas neutre côté clients : les marchands FR ayant traversé la même situation en 2026 ont majoritairement communiqué dans un délai de 24 à 72 heures.
  5. Équipes SI 1001Coques ou prestataire hébergeur — vérifier les journaux d'export et d'accès administrateur back-office sur les 90 derniers jours. Un export applicatif de cette taille laisse une trace utile en post-mortem : requêtes d'API à volume anormal, sessions administrateur inhabituelles, dumps de base.

Le contexte

La revendication porte à un chiffre à trois voire quatre chiffres le nombre de bases françaises mises en vente publiquement depuis janvier 2026 — sur ce point le tableau de bord de FrenchBreaches reste la référence quantitative la plus lisible. Pour ChimeraZ seul, en cumulé, les revendications approchent désormais 50 millions d'enregistrements répartis sur tourisme, immobilier et e-commerce. C'est un ordre de grandeur qui rend statistiquement improbable qu'un foyer français équipé d'un smartphone ne figure dans aucune des bases mises en circulation ces derniers mois.

Un point d'attention pour la suite : le passage d'un secteur à un autre (tourisme → immobilier → e-commerce) suggère que l'acteur ne dépend pas d'une brique métier spécifique, mais soit d'un vecteur d'accès générique (identifiants réutilisés, prestataire commun d'un type d'export), soit d'un simple agrégat opportuniste de bases achetées à d'autres acteurs. Aucune de ces deux hypothèses n'est confirmée. C'est le maillon manquant du tableau — et celui qui déterminera si la vague continue au rythme actuel dans un quatrième secteur avant l'automne.

Articles liés