Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

Le Petit Vapoteur : 3,3 millions de clients exposés, 14 ans de données dans la nature

Fin mars 2026, une intrusion dans les systèmes du Petit Vapoteur a conduit à la fuite des données de 3,3 millions de clients et 599 employés. Noms, adresses, emails, téléphones, IP : 14 ans d'historique entre 2012 et 2026. Retour sur une affaire où les chiffres de l'entreprise ne collent pas.

Thomas Ferreira10 min de lecture

Le 20 mars 2026, les équipes techniques du Petit Vapoteur, leader français de la vente en ligne de cigarettes électroniques, détectent des signes d'intrusion sur leurs outils internes. Quelques jours plus tard, un pirate utilisant le pseudonyme « undef » met en vente sur un forum spécialisé ce qu'il présente comme la base de données complète de l'enseigne : 3 307 087 comptes clients et 599 fiches employés, couvrant une période allant de 2012 à 2026.

Quatorze ans de données personnelles. Des millions de noms, d'adresses, de numéros de téléphone et d'adresses IP, accumulés depuis les débuts de l'entreprise. L'affaire ne se résume pas à son volume — d'autres fuites françaises récentes ont touché davantage de monde. Ce qui la distingue, c'est la profondeur historique du fichier et le fossé entre ce que l'entreprise dit et ce qu'elle fait.

Les faits

Ce qu'on trouve dans le fichier

D'après les échantillons publiés par le pirate et les analyses des sources de veille cybersécurité, le fichier contient deux ensembles distincts.

Côté clients (3 307 087 comptes) :

  • Noms et prénoms
  • Adresses email
  • Numéros de téléphone
  • Adresses postales complètes
  • Logs de connexion avec adresses IP

Côté employés (599 fiches) :

  • Informations personnelles
  • Postes occupés
  • Coordonnées professionnelles et personnelles
  • Données internes à l'entreprise

Le Petit Vapoteur a précisé que les mots de passe et les coordonnées bancaires n'étaient pas concernés par la fuite. Si cette affirmation est exacte, c'est le seul point rassurant de l'affaire.

14 ans d'historique : une profondeur inhabituelle

La particularité de cette fuite tient dans l'étendue temporelle des données. Le fichier couvre la période 2012-2026, soit l'intégralité de l'existence commerciale du Petit Vapoteur. Cela signifie qu'un client ayant passé une seule commande en 2013 et n'ayant jamais remis les pieds sur le site voit aujourd'hui ses données personnelles exposées, treize ans après.

Ce type de conservation longue est un problème connu. Le RGPD, en vigueur depuis 2018, impose le principe de minimisation des données : ne conserver que ce qui est nécessaire, et pas plus longtemps que ce que la finalité du traitement exige. Les recommandations de la CNIL fixent généralement à trois ans après le dernier contact la durée maximale de conservation des données de prospects et de clients inactifs.

Un fichier qui remonte à 2012 pose la question de la conformité de cette conservation. Et surtout, il illustre un mécanisme que chaque fuite de données confirme : plus une entreprise stocke de données longtemps, plus le préjudice est grave quand elle se fait pirater. Les données de 2013 ne servaient probablement plus à rien pour le marketing du Petit Vapoteur. Mais pour un attaquant, elles sont aussi exploitables que celles d'hier.

Les logs de connexion et les adresses IP

Un élément mérite qu'on s'y attarde. Le fichier ne contient pas seulement des données d'identité classiques — il inclut les logs de connexion associés aux adresses IP des clients.

Une adresse IP, combinée à une date de connexion, permet de géolocaliser un utilisateur à l'échelle d'une ville, voire d'un quartier. Associée à un nom et une adresse email, elle permet de reconstituer les habitudes de connexion d'une personne : à quelle heure elle se connecte, depuis quel lieu, avec quelle fréquence.

Pour un attaquant, ces métadonnées sont un outil de profilage. Elles permettent de calibrer des attaques de phishing en fonction des habitudes de la cible, ou d'établir des corrélations avec d'autres fuites de données pour enrichir un profil.

La guerre des chiffres

C'est le point de friction de cette affaire. Le pirate « undef » revendique 3,3 millions de comptes. Le Petit Vapoteur affirme que seuls 2 % de sa base de données ont été affectés.

Si l'on prend le chiffre du pirate au pied de la lettre, 2 % de 3,3 millions donnerait environ 66 000 comptes. L'entreprise laisserait entendre que la fuite se limiterait à quelques dizaines de milliers de clients. Un incident mineur, en somme.

Mais les actes de l'entreprise racontent une autre histoire. Quelques jours après la détection de l'intrusion, Le Petit Vapoteur a envoyé une alerte de sécurité à l'ensemble de ses clients. Pas à 2 %. À tout le monde.

Si l'entreprise était convaincue que seule une fraction marginale de sa base était touchée, pourquoi alerter la totalité de sa clientèle ? Ce type de notification a un coût — en termes de réputation, de charge sur le support client et de panique potentielle. Aucune entreprise ne déclenche cette procédure par excès de prudence si elle dispose d'éléments solides limitant le périmètre de la fuite.

Cette contradiction entre les déclarations officielles et le comportement opérationnel est un schéma récurrent dans la gestion des fuites de données en France. On l'a vu avec Cegedim, qui distinguait « données administratives » et « données médicales » pour minimiser l'impact perçu. On l'a vu avec d'autres enseignes qui parlent de « quelques comptes » avant que la réalité des chiffres n'émerge.

Le conseil, face à ces situations, est simple : se fier à ce que l'entreprise fait, pas à ce qu'elle dit. Et ce que Le Petit Vapoteur a fait, c'est alerter tout le monde.

Le profil de l'attaquant

Le pirate opérant sous le pseudonyme « undef » n'est pas un inconnu sur les forums de revente de données. Ce type de profil publie des échantillons pour démontrer l'authenticité du fichier et négocie la vente en privé avec des acheteurs intéressés.

La méthode de compromission n'a pas été détaillée publiquement par Le Petit Vapoteur, qui se contente d'indiquer que des « signes d'intrusion » ont été remarqués le 20 mars 2026 sur ses outils internes. L'entreprise ne précise pas depuis combien de temps l'attaquant avait accès à ses systèmes avant la détection — un point qui pourrait changer considérablement l'évaluation du périmètre réel de la fuite.

Ce que les clients du Petit Vapoteur doivent faire

Changez vos mots de passe. Même si Le Petit Vapoteur affirme que les mots de passe n'ont pas fuité, la prudence impose de changer celui de votre compte sur le site, et surtout de changer le mot de passe de tout autre service où vous utilisiez le même. Si vous n'utilisez pas encore un gestionnaire de mots de passe, c'est le moment.

Surveillez votre boîte email et votre téléphone. Votre nom, votre adresse email et votre numéro de téléphone sont potentiellement entre les mains d'attaquants. Attendez-vous à recevoir des tentatives de phishing par email et par SMS dans les semaines et mois à venir. Tout message prétendant provenir du Petit Vapoteur, d'un service de livraison ou d'un organisme officiel doit être traité avec méfiance.

Méfiez-vous des courriers postaux. C'est un vecteur que l'on oublie souvent. Les adresses postales complètes étant dans le fichier, des courriers frauduleux imitant des factures, des relances ou des offres commerciales peuvent arriver dans votre boîte aux lettres physique. Ce type de fraude est plus rare mais aussi plus difficile à identifier, car les gens font davantage confiance au courrier postal qu'aux emails.

Vérifiez vos comptes sur d'autres services. Si vous recevez des notifications de connexion inhabituelles ou des demandes de réinitialisation de mot de passe que vous n'avez pas initiées, c'est peut-être le signe que vos données sont activement exploitées.

Déposez plainte si vous constatez une utilisation frauduleuse. Rendez-vous sur cybermalveillance.gouv.fr pour signaler la situation et obtenir un accompagnement.

La conservation des données : le vrai problème de fond

Cette fuite ramène sur la table une question que la CNIL pose depuis des années sans que les pratiques changent à la vitesse nécessaire : combien de temps les entreprises conservent-elles les données de leurs clients, et pourquoi ?

Un site de e-commerce a besoin de vos données tant que votre compte est actif et pendant la durée légale de conservation des factures (dix ans pour les données de facturation). En revanche, conserver le numéro de téléphone, l'adresse postale et les logs de connexion d'un client qui n'a plus commandé depuis 2014 ne répond à aucune finalité légitime.

Si Le Petit Vapoteur avait purgé les comptes inactifs conformément aux principes du RGPD, le fichier de 2026 ne contiendrait pas 14 ans d'historique. Le nombre de personnes exposées serait mécaniquement inférieur. Le préjudice, plus limité.

C'est une leçon que chaque fuite de données rappelle : les données que vous ne stockez plus sont les seules que personne ne peut vous voler.

Les 599 employés : les oubliés de l'affaire

La couverture médiatique se concentre naturellement sur les 3,3 millions de clients. Mais 599 employés du Petit Vapoteur sont aussi concernés, avec des données plus détaillées : informations personnelles, postes occupés, coordonnées, données internes.

Pour un employé, la fuite de sa fiche dans le contexte de son employeur présente des risques spécifiques. Un attaquant qui connaît la structure interne d'une entreprise — qui occupe quel poste, comment joindre telle personne — dispose du matériel nécessaire pour monter des fraudes au président (BEC) ou des attaques de spearphishing ciblées contre l'entreprise elle-même.

Les employés dont les données ont fuité sont aussi des cibles individuelles. Leurs informations personnelles peuvent être croisées avec d'autres fuites pour enrichir un profil, et leur lien avec l'entreprise peut être utilisé pour des arnaques par ingénierie sociale auprès de leurs proches.

Trois millions trois cent mille comptes. Quatorze ans de données. Un chiffre officiel de « 2 % » qui ne résiste pas à l'examen des faits. Et une alerte envoyée à tout le monde, en contradiction avec le discours minimisant.

L'affaire du Petit Vapoteur n'a rien de spectaculaire comparée aux fuites de France Travail ou de Cegedim. Mais elle illustre, une fois de plus, deux constantes de la cybersécurité française : les entreprises conservent trop de données trop longtemps, et quand la fuite arrive, le premier réflexe est de minimiser. Les clients, eux, n'ont d'autre choix que d'agir comme si le pire était avéré — parce que dans la majorité des cas, il l'est.

Sources :

  • FrenchBreaches, « Fuite de données : Le Petit Vapoteur » : frenchbreaches.com
  • Cyberattaque.org, « Le Petit Vapoteur victime d'une cyberattaque » : cyberattaque.org
  • TheSiteOueb.net, « Le Petit Vapoteur : fuite de données de 3,3 millions de clients » : thesiteoueb.net
  • Sébastien Latombe (X), analyse de la fuite Le Petit Vapoteur : x.com/seblatombe

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.