Toys « R » Us Canada a récemment révélé qu’elle avait été victime d’une atteinte à la protection des données touchant les renseignements de ses clients. La société a découvert l’incident après que des attaquants ont prétendu avoir accédé et publié des détails sur un forum « Internet non indexé », un terme faisant probablement référence à des sources du dark web. Selon la notification de l’entreprise, la violation a commencé fin juillet 2025. Toys « R » Us a noté que les attaquants avaient copié un sous-ensemble de sa base de données clients vers le 30 juillet, et ce n’est que plus tard que l’entreprise a détecté, enquêté et informé ceux dont les données ont pu être exposées.
Quelles données ont pu être exposées ?
L’avis d’atteinte à la vie privée de l’entreprise indiquait que les dossiers volés pouvaient comprendre l’un ou l’ensemble des éléments suivants : noms de clients, adresses postales physiques, adresses électroniques et numéros de téléphone. Aucune réclamation n’a été faite selon laquelle les données de carte de paiement, les mots de passe ou les informations de compte financier ont été consultés.
Toys « R » Us a souligné qu’elle n’était pas au courant d’une utilisation abusive des données à l’heure actuelle, bien qu’elle ait averti que les informations exposées pourraient être utilisées pour des attaques de phishing, une fraude d’identité ou d’autres activités malveillantes.
Dès qu’elle a pris connaissance de l’allégation d’atteinte, Toys « R » Us a retenu les services de spécialistes externes en cybersécurité pour enquêter. L’entreprise a contacté les clients touchés par le biais de lettres d’avis, principalement au Canada, pour les informer de leur exposition et leur fournir des conseils sur la marche à suivre.
L’avis de l’entreprise conseillait également aux destinataires de rester vigilants face aux demandes non sollicitées de renseignements personnels, aux communications usurpées, aux pièces jointes ou aux liens suspects, et de surveiller régulièrement leurs relevés de compte et leurs rapports de crédit.
Bien que la violation n’ait pas impliqué de détails financiers ou de mots de passe sensibles, l’exposition des coordonnées, des adresses postales et des adresses électroniques est tout de même importante. C’est exactement le genre de points de données que les escrocs et les voleurs d’identité peuvent utiliser pour élaborer des campagnes d’usurpation d’identité ou de phishing plausibles.
De plus, la découverte tardive ajoute des risques. Le fait que les attaquants aient pu y avoir accès pendant plusieurs mois avant d’être notifiés augmente la période pendant laquelle l’utilisation abusive des données peut se produire sans être remarquée. La taille de la chaîne de magasins et le nombre de clients servis signifient que la portée pourrait être importante, même si les chiffres précis n’ont pas été publiés.
Que faire si vous recevez l’avis
Si vous avez magasiné chez Toys « R » Us Canada et que vous avez reçu un avis, prenez-le au sérieux. Même si aucune donnée de paiement n’a été signalée comme volée, vous devez tout de même consulter les relevés, surveiller vos e-mails à la recherche de messages inhabituels et déterminer si des appels ou des messages non sollicités font référence à votre compte ou à vos achats.
Soyez particulièrement attentif aux e-mails ou aux appels prétendument provenant du magasin, vous demandant de confirmer ou de réinitialiser des informations, aux offres qui semblent faire référence à des achats que vous n’avez pas effectués, ainsi qu’à toute tentative de connexion ou changement de compte sur des services où vous pourriez réutiliser le même e-mail. Utilisez des mots de passe uniques pour différents comptes, activez l’authentification multifactorielle lorsque cela est possible et placez une alerte à la fraude gratuite auprès de l’agence d’évaluation du crédit appropriée au Canada.
L’incident de Toys « R » Us Canada nous rappelle que même les marques de détail bien connues sont vulnérables au vol de données. Même lorsque les détails de la carte de crédit ne sont pas impliqués, l’exposition des noms, des coordonnées et des adresses peut ouvrir la voie à de futures fraudes.
Ce qui compte maintenant, c’est la rapidité avec laquelle les personnes touchées agissent et le sérieux avec lequel l’entreprise donne suite aux mesures correctives. Pour de nombreux consommateurs, la clé sera de rester vigilant, d’adopter de solides habitudes de sécurité et de reconnaître que le risque d’identité s’étend au-delà du portefeuille.