Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

Relais Colis : 10 millions de données volées, et un email d'alerte qui aggrave la fuite

Entre décembre 2025 et février 2026, Relais Colis a subi deux piratages exposant les données de millions de clients. Pire : l'email d'alerte envoyé aux victimes contenait 10 000 adresses en clair. Retour sur un fiasco qui illustre la vulnérabilité du secteur de la livraison en France.

Thomas Ferreira14 min de lecture

Le 15 janvier 2026, un client de Relais Colis ouvre sa boîte mail et découvre un message officiel de l'entreprise. Objet : « Information relative à la sécurité de vos données personnelles ». Jusque-là, rien d'inhabituel. Ce qui l'est davantage, c'est que l'email contient 10 000 adresses email d'autres clients, affichées en clair dans le champ destinataire.

Relais Colis, en voulant alerter ses clients d'un piratage, venait d'en provoquer un second.

L'affaire, révélée par Next.ink, résume à elle seule l'état de la cybersécurité dans le secteur de la livraison de colis en France : des systèmes informatiques perméables, des prestataires techniques mal sécurisés, et une gestion de crise qui empire la situation au lieu de la contenir.

Deux piratages en quelques semaines

Le premier accès frauduleux : décembre 2025 — janvier 2026

L'attaque initiale s'est produite entre la mi-décembre 2025 et les premiers jours de janvier 2026. Relais Colis a indiqué que « l'un de ses prestataires techniques » avait subi un incident de sécurité informatique, entraînant un accès non autorisé à des données clients.

Le fichier qui circule depuis sur les forums de revente contient environ 10 millions de lignes de données. Chaque ligne correspond à une livraison, ce qui signifie qu'un même client peut apparaître plusieurs fois. Le volume de personnes distinctes reste néanmoins considérable.

Les données exposées :

  • Nom et prénom
  • Adresse postale
  • Adresse email
  • Numéro de téléphone
  • Nom de l'entreprise (le cas échéant)

Relais Colis a précisé qu'« aucune donnée bancaire, aucun mot de passe, ni aucune information de paiement ou donnée sensible » n'était concernée. C'est une constante dans les communications de ce type : les entreprises tiennent à rassurer sur l'absence de données bancaires, comme si le nom, l'adresse complète et le numéro de téléphone d'un client n'étaient pas des « données sensibles » méritant protection.

Le second piratage : janvier 2026

En février 2026, Relais Colis a informé ses clients d'un second piratage, distinct du premier. Dans son email, l'entreprise évoque « un incident de sécurité affectant un de nos systèmes informatiques ». L'intrusion aurait eu lieu en janvier 2026.

Deux piratages en moins de deux mois. La question se pose : la faille exploitée lors du premier incident a-t-elle été réellement corrigée ? Relais Colis n'a pas communiqué de détails techniques sur les vecteurs d'attaque. Mais le fait qu'un second accès frauduleux ait été possible si rapidement après le premier laisse penser que les mesures correctives étaient, au minimum, insuffisantes.

La « fuite dans la fuite » : l'erreur de CCI

C'est l'aspect le plus remarquable — et le plus accablant — de cette affaire.

Le 15 janvier 2026, Relais Colis envoie un email d'information à ses clients pour les alerter du piratage. Un lecteur de Next.ink reçoit ce message à 12h02 (UTC). En l'ouvrant, il découvre que le champ destinataire contient une liste de 10 000 adresses email d'autres clients, affichées en clair.

L'explication est banale : le service communication a utilisé le champ « CC » (copie carbone) au lieu de « CCI » (copie carbone invisible, ou BCC en anglais). Une erreur de manipulation d'un logiciel d'envoi d'emails. Le résultat est désastreux : chaque destinataire de cet envoi peut voir les adresses email de 9 999 autres personnes.

10 000 adresses email supplémentaires exposées, par l'entreprise elle-même, dans le mail censé protéger ses clients.

Les emails DKIM, DMARC et SPF ont été vérifiés comme valides — c'était bien un email officiel de Relais Colis, pas une tentative de phishing. L'ironie n'a échappé à personne : ces 10 000 personnes, désormais identifiées comme clients Relais Colis victimes d'un piratage, deviennent une cible de choix pour de futures campagnes de phishing. Un attaquant sait exactement qui contacter, et avec quel prétexte.

Quelques heures plus tard, à 20h18, un second email est envoyé par Relais Colis — cette fois, en CCI. Le mal était fait.

Le secteur de la livraison sous le feu

L'affaire Relais Colis n'est pas un incident isolé. Elle s'inscrit dans une série d'attaques qui a frappé l'ensemble du secteur de la livraison de colis en France entre fin 2025 et début 2026.

Colis Privé : 11 millions de clients (novembre 2025)

Le 21 novembre 2025, Colis Privé, filiale du groupe CMA CGM et l'un des plus grands transporteurs français avec près de 90 millions de livraisons par an, a annoncé une cyberattaque. Les données de plus de 11 millions de clients ont été exfiltrées : noms, adresses postales, emails, numéros de téléphone. Selon les chercheurs en cybersécurité, 22 millions de données personnelles ont été publiées gratuitement sur un forum pirate — pas vendues, distribuées librement.

Dès le lendemain de l'annonce, les premiers SMS de phishing ciblés ont été envoyés aux victimes.

Mondial Relay : 2,2 millions de clients (décembre 2025)

Le 23 décembre 2025, Mondial Relay a subi un piratage exposant les données de 2,2 millions de clients français. La base a été mise en vente sur le dark web pour environ 5 000 dollars — un prix dérisoire qui illustre l'abondance de données de livraison disponibles sur le marché noir.

L'alerte a été donnée par un chercheur en cybersécurité qui avait repéré un individu proposant, sous le pseudonyme « GOD », un accès en temps réel aux bases de données de Mondial Relay. Pas un fichier statique : un accès actif permettant de consulter les informations des clients au moment même de la requête. Mondial Relay a indiqué que l'accès avait été coupé le 23 décembre au soir.

Chronopost : touché deux fois en 2025

Chronopost n'a pas été épargné. En janvier 2025, une première attaque a compromis les données de 210 000 clients, incluant dans certains cas les signatures numériques apposées à la livraison. En décembre 2025, un second piratage a touché le réseau de points relais Pickup, exposant 860 000 clients supplémentaires. Au total, un pirate revendiquait l'accès à 3,6 millions d'adresses email liées à Chronopost.

Le bilan : des dizaines de millions de Français exposés

En l'espace de quatre mois, de novembre 2025 à février 2026, les quatre principaux acteurs du dernier kilomètre en France ont tous été compromis :

EntrepriseDateClients exposés
Colis PrivéNovembre 202511 millions
Mondial RelayDécembre 20252,2 millions
ChronopostJanvier + décembre 2025210 000 + 860 000
Relais ColisDécembre 2025 — janvier 2026~10 millions (lignes)

Ce n'est pas une coïncidence. C'est un schéma. Les entreprises de livraison partagent des caractéristiques qui en font des cibles de choix : des bases de données volumineuses, des systèmes interconnectés avec de nombreux partenaires (e-commerçants, places de marché, prestataires logistiques), et des investissements en cybersécurité qui n'ont pas suivi la croissance du e-commerce.

L'explosion des arnaques à la livraison

+30 % en un an

Les fraudes liées aux services de livraison de colis ont augmenté de 30 % en 2025 selon les données de Cybermalveillance.gouv.fr. La Poste et Colissimo représentent à eux seuls 18 % des identités usurpées dans les campagnes de smishing (phishing par SMS) en France.

Ces fuites massives dans le secteur de la livraison alimentent directement cette explosion. Quand un arnaqueur dispose du nom, de l'adresse et du numéro de téléphone d'une victime, le SMS « Votre colis est en attente de livraison. Frais de port restants : 1,95 euro » devient beaucoup plus convaincant. Les victimes reconnaissent leur propre nom, se souviennent d'une commande récente, et cliquent.

Le phishing personnalisé : la nouvelle norme

Les données volées chez Relais Colis, Mondial Relay et Colis Privé permettent aux arnaqueurs de franchir un palier dans la sophistication du phishing. On ne parle plus de SMS génériques envoyés en masse à des numéros aléatoires. On parle de messages qui contiennent :

  • Le vrai nom de la victime
  • Sa vraie adresse de livraison
  • Parfois le nom du e-commerçant chez qui elle a passé commande
  • Un lien vers un faux site de suivi de colis, avec une URL personnalisée

Les arnaqueurs envoient des photos bidonnées de colis, avec le nom et le prénom du destinataire visibles. Le montant demandé est volontairement dérisoire — 1 ou 2 euros — pour ne pas éveiller les soupçons. Le vrai objectif est de récupérer les coordonnées bancaires saisies sur le faux site de paiement.

Pour tout comprendre sur les techniques de smishing qui exploitent ces données, consultez notre guide sur le smishing, le vishing et le quishing en 2026.

Pourquoi le secteur de la livraison est si vulnérable

La logique du maillon faible

Relais Colis n'a pas été piraté directement : c'est un « prestataire technique » qui a été compromis. Le même schéma se retrouve chez Boulanger, Cultura et Truffaut en 2024, tous touchés via un prestataire logistique commun. C'est l'attaque par la chaîne d'approvisionnement — supply chain attack — appliquée au secteur de la livraison.

Un transporteur comme Relais Colis est connecté à des centaines de e-commerçants, de places de marché (dont Le Bon Coin, dont Relais Colis est partenaire pour l'expédition de colis), de prestataires informatiques et de points relais. Chaque connexion est un point d'entrée potentiel. Et la sécurité d'un système interconnecté ne vaut que celle de son maillon le plus faible.

Des données de livraison particulièrement exploitables

Les bases de données des transporteurs ont une particularité qui les rend plus dangereuses que d'autres : elles contiennent l'adresse physique de livraison, confirmée et récente. Ce n'est pas une adresse postale déclarative qui peut être obsolète. C'est l'adresse où un colis a effectivement été livré, potentiellement quelques semaines plus tôt.

Pour un attaquant, cette information a une valeur directe. Elle permet des arnaques physiques (faux avis de passage, faux livreurs), du phishing géolocalisé, et dans les cas extrêmes, elle donne des informations sur les habitudes de vie d'une personne (commandes fréquentes = présence régulière à domicile).

La croissance du e-commerce, pas de la sécurité

Le volume de colis livrés en France a bondi avec le e-commerce. Les systèmes d'information des transporteurs ont grandi pour absorber cette croissance — mais les budgets de cybersécurité n'ont pas suivi au même rythme. Le résultat : des bases de données de plus en plus volumineuses, protégées par des mesures de plus en plus inadéquates proportionnellement au risque.

Ce que les clients Relais Colis doivent faire

Ne répondez à aucun SMS concernant un colis. Si vous recevez un message vous informant d'un « colis en attente », d'un « problème de livraison » ou de « frais de port à régler », ne cliquez pas sur le lien. Relais Colis ne vous demandera jamais de payer quoi que ce soit par SMS ou par email.

Méfiez-vous même si le message contient votre nom et votre adresse. C'est précisément ce qui rend ces arnaques dangereuses après une fuite : les messages contiennent vos vraies informations, ce qui leur donne une apparence de légitimité. La présence de votre nom n'est pas une garantie d'authenticité — c'est au contraire le signe que vos données ont été exploitées.

Surveillez votre boîte email dans les prochains mois. Votre adresse email est désormais associée à votre identité complète (nom, adresse, téléphone) dans des bases de données accessibles aux attaquants. Attendez-vous à recevoir du phishing ciblé — pas seulement lié aux colis, mais aussi des emails imitant votre banque, votre opérateur ou l'administration fiscale.

Signalez les tentatives de phishing. Transférez les SMS frauduleux au 33700 (numéro officiel de signalement). Si vous recevez un email de phishing, signalez-le sur Phishing Initiative.

Pour le contexte global des fuites de données en France, consultez notre recensement des 50 plus grandes fuites de données françaises.

Une gestion de crise catastrophique

Au-delà du piratage lui-même, l'affaire Relais Colis restera dans les annales pour la qualité désastreuse de la gestion de crise. L'erreur de CCI n'est pas un détail technique anecdotique. C'est une faute de traitement de données personnelles au sens du RGPD, commise par l'entreprise elle-même, au moment précis où elle était censée protéger ses clients.

L'article 32 du RGPD impose au responsable de traitement de « mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Envoyer un email à 10 000 personnes avec toutes les adresses en clair ne satisfait manifestement pas cette exigence.

La CNIL a été notifiée du piratage, comme la loi l'exige. Reste à savoir si l'erreur de CCI — qui constitue en elle-même une violation de données distincte du piratage initial — fera l'objet d'une procédure séparée.

Dix millions de lignes de données en vente sur un forum pirate. Deux piratages en quelques semaines. Un email d'alerte qui expose 10 000 adresses supplémentaires. Et un secteur entier — Colis Privé, Mondial Relay, Chronopost, Relais Colis — qui tombe comme des dominos en l'espace de quatre mois.

Le secteur de la livraison de colis en France traite quotidiennement les données personnelles de millions de personnes. Il le fait avec des systèmes interconnectés, des prestataires techniques mal contrôlés, et des procédures de gestion de crise qui, comme le montre l'épisode de l'email en CC, ne sont pas à la hauteur. Pour les millions de Français dont les données circulent désormais librement, la conséquence est concrète : chaque SMS de « colis en attente » reçu dans les mois à venir devra être traité comme une tentative d'arnaque potentielle — parce que c'est probablement le cas.

Sources :

  • Next.ink, « Relais Colis piraté : accès frauduleux, liste de 10 000 mails envoyée par mail aux clients », janvier 2026 : next.ink
  • Phonandroid, « Encore une fuite de données chez Relais Colis, avec des dangers concrets pour les victimes » : phonandroid.com
  • KultureGeek, « Relais Colis annonce (encore) avoir été piraté avec une fuite de données » : kulturegeek.fr
  • Europe Infos, « Phishing, faux colis, escroqueries : les dangers après la fuite de données chez Relais Colis et Mondial Relay » : europe-infos.fr
  • The Site Oueb, « Piratage Relais Colis : quand la communication de crise devient un deuxième scandale » : thesiteoueb.net
  • ZATAZ, « Mondial Relay et Colis Privé alertent sur un accès non autorisé aux données clients » : zataz.com
  • CNews, « Relais Colis confirme avoir été victime d'une cyberattaque massive » : cnews.fr
  • Cybermalveillance.gouv.fr, données sur les arnaques à la livraison 2025 : cybermalveillance.gouv.fr

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.