Relais Colis victime d'une cyberattaque : 10 millions de données personnelles dans la nature

Par rac le 10.02.2026 10.02.2026

Illustration pour l'article: Relais Colis subit une nouvelle fuite de données : des informations personnelles ont encore été comp

Le transporteur français Relais Colis a confirmé mi-janvier avoir été victime d'une cyberattaque d'envergure. L'incident, qui a touché l'un de ses prestataires techniques, a entraîné la compromission des données personnelles de millions d'utilisateurs. Pire encore, l'entreprise a commis une bourde retentissante en exposant 10 000 adresses e-mail dans son propre message de notification aux clients.

C'est un nouvel épisode dans la longue série noire qui frappe le secteur de la livraison en France. Après Chronopost, Mondial Relay et Colis Privé, Relais Colis a officiellement reconnu, le 16 janvier 2026, avoir subi une violation de sécurité informatique. L'attaque n'a pas directement visé les systèmes du transporteur, mais ceux d'un de ses sous-traitants techniques, permettant à des cybercriminels d'accéder frauduleusement à des bases de données contenant les informations personnelles des clients.

Selon les éléments recueillis par plusieurs médias spécialisés, un pirate informatique opérant sous le pseudonyme de NPRS avait mis en vente, quelques jours avant l'annonce officielle, une base de données estampillée « relaiscolis » sur le forum BreachForums, haut lieu du commerce de données volées. Le lot comprenait près de 10 millions de lignes contenant noms, prénoms, noms d'entreprises, adresses postales, numéros de téléphone et adresses e-mail.

Des données personnelles en circulation sur le dark web

Dans son communiqué, Relais Colis a tenté de rassurer ses utilisateurs en précisant qu'« aucune donnée bancaire, aucun mot de passe, ni aucune information de paiement ou donnée sensible ne sont concernés par cet incident ». L'entreprise a également indiqué que des « mesures correctives ont été mises en œuvre afin de limiter l'impact, sécuriser l'infrastructure concernée et renforcer les dispositifs de protection existants ».

Conformément aux obligations du RGPD, la Commission nationale de l'informatique et des libertés (CNIL) a été notifiée. Cette déclaration ouvre la voie à une éventuelle enquête de l'autorité de régulation, qui pourrait sanctionner l'entreprise si des manquements aux obligations de sécurité étaient démontrés. Pour mémoire, Free avait écopé d'une amende record de 42 millions d'euros après le piratage massif de 2024.

Mais l'affaire ne s'est pas arrêtée là. L'e-mail de notification envoyé par Relais Colis à ses clients, le 15 janvier à 20h18, contenait dans son corps de message une liste de 10 000 adresses e-mail d'autres utilisateurs, soit 240 315 caractères d'adresses exposées en clair. Une erreur de manipulation qui a aggravé la situation, les destinataires se retrouvant avec les coordonnées électroniques de milliers d'autres personnes victimes de la fuite.

Une explosion redoutée des arnaques à la livraison

Si aucune utilisation frauduleuse des données n'avait été constatée au moment de l'annonce, les experts en cybersécurité redoutent une vague massive d'arnaques ciblées. Les données dérobées — noms, adresses, téléphones — constituent un terreau idéal pour des campagnes de phishing particulièrement crédibles. Des SMS ou e-mails usurpant l'identité de services de livraison pourraient affluer dans les semaines à venir, invitant les victimes à cliquer sur des liens frauduleux ou à communiquer leurs coordonnées bancaires.

Selon un rapport publié en 2025, les arnaques à la livraison ont déjà bondi de 30 % par rapport à l'année précédente. L'accumulation des fuites dans le secteur logistique — Mondial Relay avec 2,2 millions de clients exposés, Chronopost via son réseau Pickup, Colis Privé — laisse craindre une intensification sans précédent de ces pratiques frauduleuses.

Relais Colis recommande à ses utilisateurs de ne jamais communiquer d'informations sensibles par e-mail ou SMS, de vérifier systématiquement l'expéditeur des messages reçus et de passer uniquement par le site officiel pour toute démarche. Il est également conseillé de modifier ses mots de passe sur les services utilisant la même adresse e-mail et d'activer l'authentification à deux facteurs lorsque cela est possible.