Imaginez un instant que les informations les plus personnelles de votre animal de compagnie – son historique médical, ses vaccins, son nom et même votre adresse personnelle – soient accessibles à quiconque tape quelques chiffres dans un navigateur. Effrayant, non ? C’est pourtant ce qui s’est produit chez Vetco, la branche vétérinaire de Petco, géant américain du pet care. Une simple faille technique a exposé des millions de dossiers clients pendant des années.

Une faille de sécurité qui expose des données sensibles

En décembre 2025, Petco a été contraint de mettre hors ligne une partie du site de Vetco Clinics après la découverte d’une vulnérabilité majeure. Cette erreur de configuration permettait à n’importe qui sur internet de télécharger des dossiers clients complets sans aucune authentification. Le problème ? Une page de génération de PDF publique et mal protégée.

Les journalistes de TechCrunch ont révélé que les identifiants clients étaient séquentiels. En modifiant simplement un numéro d’un ou deux chiffres dans l’URL, on accédait aux fichiers d’un autre client. Résultat : des noms, adresses, numéros de téléphone, mais aussi des détails vétérinaires très précis étaient à portée de clic.

Quelles données étaient exactement exposées ?

Les fichiers PDF contenaient bien plus que de simples factures. Ils incluaient des éléments hautement sensibles, tant pour les propriétaires que pour leurs animaux.

  • Noms complets, adresses postales, emails et numéros de téléphone des clients
  • Localisation précise de la clinique Vetco visitée
  • Résumés de visites, historiques médicaux complets et résultats d’analyses
  • Prescriptions, vaccins et diagnostics posés par les vétérinaires
  • Noms des animaux, leur espèce, race, sexe, âge et date de naissance
  • Numéros de puce électronique (microchip)
  • Signes vitaux, formulaires de consentement signés et coûts des soins

Ces informations, une fois combinées, permettent non seulement d’identifier précisément une personne, mais aussi de reconstituer une partie de sa vie privée. Pire : certains de ces dossiers dataient de 2020 et avaient même été indexés par Google.

Comment une telle vulnérabilité a-t-elle pu exister ?

Les experts en cybersécurité parlent ici d’une Insecure Direct Object Reference, ou IDOR en anglais. C’est une faille classique : le serveur ne vérifie pas si la personne qui demande un fichier a réellement le droit de le consulter. Il se contente de servir le document correspondant à l’identifiant fourni dans l’URL.

Lorsque les identifiants sont prévisibles et séquentiels, le risque devient exponentiel. En testant des intervalles de 100 000 numéros, les journalistes ont estimé que des millions de dossiers étaient potentiellement accessibles. Une véritable mine d’or pour des cybercriminels.

Une simple modification de l’URL suffisait à passer d’un dossier à un autre, comme tourner les pages d’un annuaire ouvert à tous.

Observation issue de l’enquête TechCrunch

La réaction tardive de Petco

TechCrunch a alerté Petco dès le vendredi précédant la publication. Il a fallu plusieurs jours, et l’envoi de preuves concrètes sous forme de fichiers exposés, pour que l’entreprise réagisse officiellement. Le site concerné a été mis hors ligne, mais aucune information n’a été donnée sur la durée exacte de l’exposition ni sur d’éventuels accès malveillants.

Le porte-parole de Petco a déclaré que l’entreprise renforçait ses mesures de sécurité, sans toutefois préciser lesquelles. Aucune confirmation non plus sur la conservation de logs permettant de tracer d’éventuels téléchargements non autorisés.

Troisième incident majeur en 2025

Ce n’est malheureusement pas la première fois que Petco fait les gros titres pour des raisons de sécurité. L’année 2025 aura été particulièrement difficile pour l’entreprise.

  1. Au début de l’année, le groupe de hackers Scattered Lapsus$ Hunters revendique le vol de données clients hébergées chez Salesforce.
  2. En septembre, Petco annonce une seconde fuite liée à une mauvaise configuration logicielle, exposant cette fois des données hautement sensibles : numéros de Sécurité sociale, permis de conduire et informations bancaires.
  3. Décembre voit l’affaire Vetco éclater, distincte des précédentes selon les indices disponibles.

Ces incidents répétés soulèvent des questions légitimes sur la maturité cybersécurité d’un acteur majeur du secteur pet care, qui gère pourtant des volumes considérables de données personnelles.

Les risques concrets pour les clients

Une fuite de données de cette ampleur n’est pas anodine. Les conséquences peuvent être multiples et durables.

Type de risqueExemples concrets
Usurpation d’identitéUtilisation du nom, adresse et téléphone pour ouvrir des comptes frauduleux
Hameçonnage cibléEnvoi de mails ou SMS personnalisés imitant Vetco ou Petco
Revente sur le dark webDossiers complets vendus à bas prix aux cybercriminels
Atteinte à la vie privéeConnaissance précise des habitudes (visites vétérinaires régulières, problèmes de santé de l’animal)

Si les données bancaires n’étaient pas directement concernées cette fois, la combinaison avec les fuites précédentes pourrait aggraver le tableau pour certains clients.

Les leçons à tirer pour les entreprises

Cette affaire Vetco illustre parfaitement les erreurs encore trop fréquentes dans le développement web sécurisé. Les bonnes pratiques existent pourtant depuis longtemps.

  • Implémenter systématiquement des contrôles d’autorisation serveur-side
  • Éviter les identifiants séquentiels visibles pour les ressources sensibles
  • Réaliser des tests de pénétration réguliers (pentests)
  • Monitorer les logs d’accès aux fichiers critiques
  • Indexer correctement les environnements de production pour éviter l’exposition par les moteurs de recherche

Les startups et scale-ups du secteur pet tech, en pleine croissance, devraient prendre note. La confiance des clients est fragile, surtout quand il s’agit de données touchant à la santé de membres de la famille à quatre pattes.

Vers une meilleure protection des données animales ?

Le secteur vétérinaire numérique est en pleine expansion. Applications de suivi santé, télémédecine animale, plateformes de dossiers partagés se multiplient. Mais cette numérisation accélérée ne doit pas se faire au détriment de la sécurité.

Les propriétaires d’animaux sont particulièrement attachés à leurs compagnons. Une fuite touchant leur santé ou leur identification (puce électronique) peut générer une émotion forte et une perte de confiance durable envers la marque.

Peut-être que cet incident chez Petco Vetco servira de déclencheur. Les acteurs du marché pourraient accélérer l’adoption de normes plus strictes, similaires au RGPD européen, même aux États-Unis où la législation reste fragmentée.

Conclusion : vigilance accrue nécessaire

L’affaire Vetco nous rappelle brutalement que même les grandes entreprises peuvent commettre des erreurs élémentaires en matière de cybersécurité. Les données de nos animaux de compagnie méritent la même protection que nos propres données médicales.

Pour les clients concernés, il est conseillé de surveiller attentivement leurs comptes et communications. Pour les entreprises, l’heure est à la remise en question des pratiques de développement et de gouvernance sécurité.

Dans un monde où la donnée est reine, la transparence et la proactivité restent les meilleures défenses contre les conséquences d’une fuite. Espérons que Petco saura tirer les leçons de ces incidents répétés pour restaurer la confiance de ses millions de clients.

(Article mis à jour avec les informations disponibles au 29 décembre 2025)

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,