Fuite de données chez Cetelem : des adresses e-mail de clients potentiellement exposées après une cyberattaque

Le 20 avril 2026, BNP Paribas Personal Finance, qui gère notamment les enseignes Cetelem, Cofinoga et Findomestic, a subi une cyberattaque ayant entraîné la fuite d’adresses e-mail de plusieurs centaines de milliers de clients. Selon Numerama, l’incident n’a pas compromis de données bancaires, mais expose les victimes à un risque accru de phishing et d’arnaques ciblées.

BNP Paribas Personal Finance, filiale du groupe BNP Paribas spécialisée dans le crédit à la consommation, a confirmé à Numerama avoir subi une cyberattaque le 20 avril 2026. L’entreprise précise que cette intrusion n’a concerné que des adresses e-mail de certains de ses clients, sans que soient exposées des informations sensibles comme des coordonnées bancaires, des données de paiement ou des mots de passe. « Un fraudeur en possession d’un fichier d’adresses e-mails les a identifiées comme étant l’adresse de contact avec nous », explique un porte-parole du groupe.

Selon les informations recueillies par Numerama, plusieurs centaines de milliers de comptes sont concernés par cette fuite. Cependant, cette dernière ne touche pas l’intégralité de la base clients de BNP Paribas Personal Finance, qui s’étend à plusieurs millions de Français, notamment via ses cartes de fidélité et de crédit. Le groupe a indiqué avoir informé les clients concernés au début du mois de mai 2026 et recommandé une vigilance accrue face aux tentatives de phishing.

Un risque accru de phishing et d’arnaques ciblées

Bien que les données bancaires n’aient pas été compromises, la fuite d’adresses e-mail ouvre la porte à des scénarios d’arnaques sophistiquées. Les cybercriminels pourraient exploiter ces informations pour envoyer des messages frauduleux se faisant passer pour Cetelem ou BNP Paribas Personal Finance. Ces communications, souvent très convaincantes, visent à soutirer aux victimes leurs identifiants, codes SMS, numéros de carte bancaire ou pièces d’identité.

Les fraudeurs pourraient également cibler des profils jugés vulnérables financièrement, en proposant par exemple de faux rachats de crédits ou des solutions prétendument destinées à éviter le surendettement. « Avec une adresse mail et un nom, des fraudeurs peuvent envoyer de faux messages très crédibles pour inciter à baisser la garde », souligne un expert en cybersécurité interrogé par Numerama. Cependant, une simple adresse e-mail ne suffit pas pour effectuer un virement ou débiter une carte bancaire, car les attaquants manqueraient des éléments d’authentification essentiels, tels que les mots de passe ou les codes de validation.

« Nous leur avons recommandé la plus grande prudence face au phishing », a déclaré un porte-parole de BNP Paribas Personal Finance. « Il est essentiel de ne jamais communiquer ses identifiants ou ses données bancaires en réponse à un mail ou un appel, même s’ils semblent provenir de notre établissement. »

Des arnaques déjà identifiées dans d’autres secteurs

Cette attaque rappelle que les fuites de données ne concernent plus uniquement les géants du numérique, mais touchent désormais des acteurs du quotidien, comme les organismes de crédit. Cetelem, qui propose des crédits à la consommation (prêts personnels, crédits auto, travaux, rachat de crédits, etc.), est particulièrement exposée en raison de la nature des informations qu’elle manipule. Les fraudeurs pourraient croiser les adresses e-mail piratées avec d’autres données récupérées lors d’anciennes fuites ou sur les réseaux sociaux pour rendre leurs scénarios d’arnaque encore plus convaincants.

Les arnaques aux « faux conseillers » sont un exemple de menace grandissante. Elles consistent en des appels ou des e-mails se faisant passer pour un service client légitime, dans le but de soutirer des informations personnelles ou financières. Ces pratiques, déjà répandues dans le secteur bancaire, pourraient se multiplier avec la disponibilité de cette nouvelle base de données.

Comment se protéger et réagir en cas de suspicion ?

Pour limiter les risques, BNP Paribas Personal Finance a invité ses clients à adopter plusieurs mesures de prudence. Il est notamment conseillé de ne jamais communiquer ses identifiants, codes SMS ou numéros de carte bancaire en réponse à un message, quel que soit son apparence officielle. Les liens présents dans les e-mails suspects doivent être évités : il est préférable de se connecter directement à son espace client via l’adresse officielle du site ou l’application mobile.

En cas de doute, il est recommandé de ne pas céder à l’urgence et de contacter l’organisme concerné via ses coordonnées officielles. Les mails suspects peuvent également être signalés aux dispositifs dédiés au phishing, comme Phishing-Initiative ou Signal Spam.

Cette cyberattaque rappelle une fois de plus l’importance de la vigilance numérique. Même sans compromission de données sensibles, une fuite d’adresses e-mail peut servir de point d’entrée à des fraudes élaborées. Les organismes financiers, comme tous les acteurs exposés, doivent continuer à investir dans la sécurisation de leurs infrastructures, tandis que les utilisateurs doivent redoubler de prudence face aux sollicitations suspectes.