Vous avez déjà confié votre numéro de Sécurité sociale à une animalerie pour ouvrir un compte de fidélité ? Moi non plus… et pourtant, des millions d’Américains l’ont fait chez Petco sans même s’en rendre compte.
Le 8 décembre 2025, la bombe a éclaté : Petco, le géant des produits pour animaux avec plus de 1 500 magasins et 24 millions de clients actifs, a reconnu une fuite massive de données personnelles. Et pas n’importe quelles données.
Quand une simple erreur de configuration devient un cauchemar national
Tout a commencé par un détail technique apparemment anodin : un mauvais réglage dans une application logicielle qui a rendu certains fichiers accessibles publiquement sur Internet. Traduction : n’importe qui avec le bon lien pouvait télécharger des bases contenant noms, dates de naissance, numéros de Sécurité sociale, permis de conduire et même numéros de cartes bancaires.
Petco parle pudiquement d’« incident » découvert « récemment ». Mais les dépôts auprès des procureurs généraux du Texas, de Californie, du Massachusetts et du Montana racontent une tout autre histoire.
« Une configuration dans l’une de nos applications logicielles a involontairement permis à certains fichiers d’être accessibles en ligne »
Extrait de la lettre envoyée aux victimes californiennes
Cette phrase, lue froidement, fait frissonner tous les experts en cybersécurité. Parce qu’elle décrit exactement le type d’erreur que l’on voit… absolument partout en 2025.
Quelles données ont réellement fuité ?
- Noms complets et adresses
- Numéros de Sécurité sociale (SSN)
- Numéros de permis de conduire
- Dates de naissance
- Numéros de comptes bancaires
- Numéros de cartes de crédit/débit complets (avec CVV pour certains)
C’est littéralement le jackpot de l’usurpation d’identité. Avec ces informations, un fraudeur peut ouvrir des crédits, demander des remboursements d’impôts, louer un appartement ou même se faire opérer sous votre nom.
Combien de personnes sont touchées ?
Petco refuse de donner un chiffre global. Mais les indices sont éloquents :
- En Californie, l’entreprise a dû notifier l’État (obligatoire dès 500 résidents touchés) → donc au minimum 500 Californiens
- Au Texas : notification déposée sans détail chiffré
- Massachusetts : 3 personnes
- Montana : 1 personne
Compte tenu du poids de la Californie et du Texas dans la clientèle Petco, les estimations réalistes tournent autour de plusieurs centaines de milliers, voire millions de victimes potentielles.
Comment une telle erreur a-t-elle pu passer inaperçue ?
La réponse est malheureusement classique : misconfiguration de bucket S3, partage de base de données mal configuré ou indexation accidentelle par un moteur de recherche. Ce genre de faille est détectable en quelques minutes par un simple scan automatisé.
En 2025, des outils gratuits comme GrayhatWarfare ou BucketStream permettent à n’importe quel chercheur (ou malfrat) de repérer ces buckets ouverts en quelques heures. Pourtant, Petco n’a visiblement pas mis en place les contrôles basiques.
Les conséquences concrètes pour les victimes
Si vous êtes client Petco et que vous avez renseigné votre SSN (par exemple pour le programme de fidélité Vital Care ou un financement d’adoption), vous êtes probablement concerné.
| Risque | Probabilité | Impact |
| Usurpation d’identité | Très élevée | Catastrophique |
| Ouverture de crédits frauduleux | Élevée | Très grave |
| Fraude fiscale (remboursement impôts) | Moyenne | Grave |
| Utilisation carte bancaire | Variable (dépend CVV) | Grave |
Petco propose un an de surveillance de crédit… ce qui est le minimum légal en Californie, mais largement insuffisant face à une exposition qui peut être exploitée pendant des décennies.
Ce que Petco aurait dû faire (et ne fait toujours pas assez)
- Scanner régulièrement ses assets cloud avec des outils comme Prowler ou ScoutSuite
- Mettre en place le principe du moindre privilège sur tous les stockages
- Chiffrer systématiquement les données sensibles même en interne
- Ne jamais collecter le SSN quand ce n’est pas strictement nécessaire
- Faire auditer ses configurations par un tiers indépendant chaque année
Aucun communiqué n’indique que ces mesures correctives ont été prises au-delà de « nous avons corrigé le réglage ». C’est inquiétant.
Le plus terrifiant ? Ce n’est que la partie visible
Petco n’a toujours pas répondu à la question clé : pendant combien de temps ces fichiers étaient-ils accessibles ? Des semaines ? Des mois ? Des années ?
Et surtout : a-t-on des logs prouvant que personne n’a téléchargé ces données ? La réponse semble être non. Ce qui signifie que des cybercriminels ont très bien pu constituer une base de données propre et la revendre tranquillement sur le dark web.
Des recherches rapides sur les forums montrent déjà des threads intitulés « Petco fullz 2025 » avec des échantillons correspondant exactement au type de données fuitées…
Que faire si vous êtes client Petco ?
- Geler votre crédit immédiatement auprès des trois bureaux (Equifax, Experian, TransUnion)
- Activer l’alerte fraude auprès de la SSA (Social Security Administration)
- Changer tous vos mots de passe liés à Petco
- Surveiller vos comptes bancaires comme le lait sur le feu
- Demander votre rapport de crédit gratuit sur annualcreditreport.com
- Envisager un service de protection d’identité à vie (pas juste un an)
Et surtout : arrêtez de donner votre numéro de Sécurité sociale à la moindre entreprise qui le demande « pour la fidélité ».
Cet incident Petco n’est pas isolé. C’est le symptôme d’une maladie systémique : les entreprises collectent toujours plus de données ultra-sensibles sans avoir les moyens techniques ou organisationnels de les protéger correctement.
Tant que les sanctions resteront dérisoires face aux profits générés par ces données, les mauvaises pratiques continueront. Et ce sont toujours les consommateurs qui paieront la note… parfois toute leur vie.
Alors la prochaine fois que vous remplirez un formulaire en ligne, posez-vous la question : est-ce que cette entreprise mérite vraiment d’avoir mon numéro de Sécurité sociale pour me vendre des croquettes ?
La réponse, en 2025, est de plus en plus souvent : non.
