En bref

  • Le distributeur néerlandais Rituals confirme une fuite de données sur sa base MyRituals, découverte après détection d'exfiltrations non autorisées.
  • Noms, emails, téléphones, dates de naissance, genre et adresses postales sont concernés ; aucun mot de passe ni moyen de paiement n'a été exfiltré selon l'entreprise.
  • Rituals compte 41 millions de membres en Europe ; le nombre exact de clients touchés n'est pas communiqué, mais les notifications ont été envoyées dans plusieurs pays dont la France.

Ce qui s'est passé

Rituals Cosmetics a confirmé ce 22 avril 2026 une compromission de sa base de membres MyRituals, via un communiqué adressé aux clients concernés en Europe. L'entreprise indique avoir été alertée de téléchargements non autorisés de données membres, avant de contenir l'incident en bloquant les accès de l'attaquant. Les autorités de protection des données compétentes ont été notifiées, conformément aux obligations RGPD de notification sous 72 heures.

Les données exfiltrées comprennent nom complet, adresse email, numéro de téléphone, date de naissance, genre, adresse postale, ainsi que des éléments comportementaux liés au programme de fidélité : magasins préférés, historique d'interactions avec la marque, caractéristiques du compte. Rituals affirme qu'aucun mot de passe ni donnée de paiement n'a été touché. L'enseigne, qui revendique 41 millions de membres dans sa base européenne, refuse de communiquer le nombre exact de personnes affectées — un flou qui soulève des questions sur la granularité de la segmentation compromise.

À ce stade, Rituals déclare n'avoir identifié aucune trace de fuite publique des données volées sur les forums clandestins ou les places de marché cybercriminelles. L'enquête interne se poursuit pour déterminer le vecteur initial de l'attaque, qui n'a pas été précisé dans la communication officielle.

Pourquoi c'est important

Le jeu de données exfiltré — identité, coordonnées, date de naissance, historique de fidélité — constitue une base idéale pour le phishing ciblé et l'usurpation d'identité. Combinés à d'autres fuites récentes comme celle de l'ANTS en France, les attaquants peuvent enrichir des profils très complets permettant des scénarios d'ingénierie sociale crédibles. Les clients français de Rituals doivent s'attendre à des vagues de tentatives de phishing personnalisées dans les semaines qui viennent.

L'incident s'inscrit dans une série d'attaques visant le retail européen en 2026 et confirme que les bases de fidélité restent des cibles privilégiées : fort volume, données durables, sécurité souvent en retrait des systèmes de paiement. La cohabitation avec des campagnes de ransomware industrialisées accentue la pression sur les équipes sécurité retail, tenues d'isoler les CRM et d'auditer les intégrations tierces qui accèdent aux profils clients.

Ce qu'il faut retenir

  • Fuite confirmée sur la base MyRituals : noms, emails, téléphones, adresses, dates de naissance, historique de fidélité — 41 millions de membres dans le périmètre.
  • Aucun mot de passe ni donnée de paiement exfiltré selon Rituals, qui a bloqué l'accès attaquant et notifié les autorités de protection des données.
  • Les clients concernés doivent se méfier des emails et SMS sollicitant des informations personnelles ou financières, et activer la double authentification partout où leur email est réutilisé.

Que doivent faire les clients français de Rituals ?

Vérifier la réception d'une notification directe de Rituals, ne cliquer sur aucun lien d'email non sollicité demandant à mettre à jour ses informations, activer la 2FA sur les comptes partageant le même email, et signaler à la CNIL tout usage abusif constaté des données exposées.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact