🔔 Interruption massive des systèmes de Marks & Spencer

Cyberattaque chez Marks & Spencer

Début mai 2025, les enseignes britanniques Marks & Spencer (M&S) et Co-op ont été la cible de cyberattaques sophistiquées, rendues possibles par des campagnes d’ingénierie sociale visant leurs services d’assistance informatique. Des acteurs malveillants ont réussi à se faire passer pour des employés légitimes, obtenant la réinitialisation de mots de passe critiques sans déclencher d’alertes majeures. Cette faille humaine a permis un accès non autorisé aux systèmes internes des deux entreprises.

M&S a dû suspendre ses opérations en ligne, entraînant des pertes estimées à 30 millions de livres sterling, tandis que Co-op a vu ses activités perturbées dans des centaines de magasins. Les attaques s’appuient sur des techniques connues telles que le contournement de l’authentification multifacteur par harcèlement de notifications et usurpation d'identité, une signature possible du groupe Scattered Spider, bien que cela reste non confirmé.

Pourquoi c’est important ?

L’incident survenu chez Marks & Spencer rappelle brutalement à quel point une attaque ransomware aboutie, paralysant l’ensemble des systèmes d’information d’une organisation, peut générer des impacts critiques — opérationnels, financiers, mais aussi réputationnels. Trop souvent, l’ampleur réelle de ces événements n’est perçue qu’a posteriori.

Face à ce constat, la préparation à la crise ne peut plus être une option. Elle doit s’appuyer sur des stratégies de résilience éprouvées, incluant des scénarios de continuité, des tests réguliers, et une gouvernance robuste de la réponse aux incidents. C’est l’objectif poursuivi par le programme REMPAR25, coordonné au niveau national par l’ANSSI.

Dans ce cadre, nous proposons un accompagnement forfaitaire (4 500 € HT) pour aider les organisations à se préparer efficacement à ce type de menaces, en conformité avec les exigences du programme. Pour en savoir plus ou échanger avec nos équipes, n’hésitez pas à nous contacter.

Sécurité des serveurs MCP

Une équipe d'expert en cybersécurité et en IA a mis en place une base de donnée et un laboratoire sur la sécurité des serveurs MCP. Le site web recense dans un premier temps les vulnérabilités connues sur les serveurs MCP. Allant des classiques erreurs de configuration à des vulnérabilités propres à la logique de ces applications.

Pourquoi c’est important ?

Ce travail communautaire permettra d'améliorer le niveau de sécurité de ces nouvelles applications. Il est important de commencer à travailler dessus rapidement car la technologie promet d'intégrer des applications classiques avec des IA génératives. Elles seront donc incontournables dans moins de 10 ans.

Les pirates piratés

Le site de fuite du groupe de ransomware Everest a été compromis et défiguré par un acteur inconnu. Ce site, utilisé par le groupe pour publier des données volées et extorquer ses victimes, a été remplacé par un message sarcastique : « Don’t do crime CRIME IS BAD xoxo from Prague ». Le site est désormais hors ligne, affichant une erreur « Onion site not found ».

Bien que les détails de l'attaque restent flous, certains experts en cybersécurité suggèrent que le groupe aurait utilisé un modèle WordPress pour son site de fuite, ce qui pourrait avoir facilité l'exploitation d'une vulnérabilité. Il est encore incertain si l'attaque a entraîné une violation de données internes du groupe.

Pourquoi c’est important ?

Everest, un groupe de ransomware lié à la Russie, est responsable de plusieurs violations de données depuis sa création en 2020, notamment le vol de données de plus de 420 000 clients de la chaîne de détail de cannabis Stiiizy. Le gouvernement américain a également attribué plusieurs piratages à Everest, y compris des violations à la NASA et au gouvernement brésilien.

Cet incident souligne que même les groupes de cybercriminalité sophistiqués ne sont pas à l'abri des attaques, mettant en évidence les vulnérabilités potentielles dans leurs infrastructures.