🛍️ DragonForce frappe Marks & Spencer : quand la mode prend un coup de crypto

Une cyberattaque bien taillée pour faire mal

Ce 21 mai 2025, l’historique enseigne britannique Marks & Spencer (M&S) s’est retrouvée sous les projecteurs… pas pour ses soldes, mais pour avoir été victime d’un ransomware mené par le groupe DragonForce. L’attaque a paralysé ses ventes en ligne, provoqué des pertes colossales, et mis en évidence — une fois encore — la fragilité numérique du secteur retail.

🐉 Qui est DragonForce ?

DragonForce est un groupe cybercriminel connu, actif depuis plusieurs années. Leurs actions mêlent revendications idéologiques, tactiques de double extorsion (vol + chiffrement des données) et une excellente capacité à exploiter des failles rapidement après leur divulgation.

Leur mode opératoire :

• Accès initial via phishing ou exploitation de failles non corrigées,
• Mouvement latéral pour prendre le contrôle des systèmes critiques (Active Directory, ERP),
• Chiffrement des données + exfiltration pour pression médiatique,
• Publication progressive des données si la rançon n’est pas payée.

💰 L’impact : des millions partis en fumée

• Site e-commerce paralysé pendant plusieurs jours.
• Pertes estimées à 300 millions de livres sterling pour l’exercice 2025/2026.
• Communication de crise activée, avec hotline dédiée pour les clients.
• Des données clients auraient été compromises (noms, adresses, historiques d’achat), mais pas les infos bancaires.

Ce genre d’incident rappelle à quel point une attaque numérique peut se traduire en dégâts très concrets sur le chiffre d’affaires.

🛠️ Que s’est-il passé côté technique ?

Les premiers éléments d’enquête pointent :

• Une compromission via des identifiants réutilisés d’un partenaire IT,
• L’exploitation rapide d’un outil interne non patché (type Citrix ou MOVEit),
• Une montée en privilèges via un compte AD non surveillé,
• Le déploiement du ransomware via PSExec ou GPO sur l’ensemble du parc Windows.

Autrement dit : un scénario classique, mais redoutablement efficace.

🧩 Retail = cible parfaite ?

Le secteur du retail coche toutes les cases d’une cible de choix :

• Données clients et financières très attractives,
• Systèmes hétérogènes (ERP, caisse, e-commerce),
• Dépendance aux services en ligne pour générer du CA,
• Souvent une cybersécurité sous-investie par rapport au volume d’exposition.

Un attaquant sait qu’un site e-commerce down = pression maximale = rançon plus probable.

✅ Que faire si vous êtes dans le retail (ou pas) ?

• Mettez à jour vos accès tiers : les prestataires sont souvent la porte d’entrée.
• Analysez les comptes AD à privilèges : comptes dormants, mots de passe partagés, etc.
• Surveillez vos journaux d’événements (SIEM) : détection précoce = dégâts limités.
• Segmentez vos réseaux : un ransomware ne doit pas passer d’un service à l’autre comme une lettre à La Poste.
• Entraînez vos équipes : le phishing reste la première cause d’intrusion.
• Voir notre article sur les vulnérabilités par secteur : « Grande distribution & cybersécurité : quand les failles se glissent entre deux promos« 

🧠 En résumé

• M&S victime d’un ransomware ciblé par DragonForce.
• Impact : centaines de millions de pertes, services paralysés, données volées.
• Cause probable : un accès externe compromis + défaut de patch.
• Leçon clé : même les géants du commerce doivent renforcer leur cyberdéfense.

🎯 Et maintenant ?

On ignore si la rançon a été payée, mais une chose est sûre : ce genre d’attaque va se répéter tant que les fondamentaux ne seront pas en place. Les acteurs du retail ont tout intérêt à penser sécurité comme une brique business à part entière, et non comme un coût accessoire.

👉 La cybersécurité ne protège pas que des données. Elle protège votre capacité à vendre, à exister, et à faire confiance.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com