💸 UBS, Chain IQ et le ransomware : Quand ton prestataire fout ta cybersécurité en l’air

Spoiler : ce n’est pas UBS qui s’est fait hacker. C’est « juste » son prestataire (encore…). Et pourtant, ce sont les données UBS qui sont dans la nature.
— Encore une belle leçon de cyberdépendance.

Bienvenue dans le merveilleux monde des attaques supply chain, où ce ne sont pas les banques qui se font attaquer directement, mais leurs partenaires… Et où, par effet domino, ce sont quand même les données d’une des plus grandes banques européennes qui finissent sur le dark web.
Et souvent, on retrouve la même situation. Je ne peux même plus vous donner de références, il y en a trop, chercher sur le site « Supply chain » ! (Allez je suis sympa y a juste à cliquer)

Le 12 juin 2025, le prestataire suisse Chain IQ, qui fournit des services d’approvisionnement à des grands comptes, a été la cible d’une attaque par ransomware menée par le groupe World Leaks (ex-Hunters International, le marketing du mal ne dort jamais).

🧨 Dommages collatéraux : UBS, Swisscom, Pictet…

Parmi les 20 entreprises impactées, on trouve :

• UBS, dont les données internes de plus de 130 000 collaborateurs ont été volées.
• Des entreprises suisses emblématiques : Pictet, Manor, Swisscom, KPMG, etc.
• Et sans doute bien d’autres qui ne se sont pas (encore) manifestées.

Le butin : 910 Go de données — dont 1,9 million de fichiers contenant noms, e-mails professionnels, numéros de téléphone (même celui du CEO d’UBS), adresses, lieux de travail, etc.

Aucune donnée client ?
UBS le jure. Nous voulons bien les croire. Mais rappelons que ce genre de discours précède souvent une “mise à jour” un mois plus tard…

🦠 La faille ? Pas UBS. Juste leur prestataire.

C’est là tout le sel de cette affaire.

Chain IQ a été compromis. L’attaque s’est déroulée en moins de 9 heures, affirme fièrement l’entreprise.
Bravo. Sauf que les données sont quand même parties.

Et c’est là qu’on se rend compte d’un truc tout bête : on peut être béton en cybersécurité interne… et tomber à cause d’un seul partenaire négligent.

C’est comme si vous sécurisiez votre coffre-fort à triple serrure… mais que le double de la clé était rangé sous le paillasson du voisin.

🎭 Le groupe World Leaks : les pros du leak-or-else

World Leaks, anciennement connu sous le doux nom de Hunters International, fait partie de ces groupes de ransomware qui ont remplacé les cryptolockers par la menace de divulgation.

Leur mode opératoire est simple :

1. Pénétration discrète dans les systèmes.
2. Exfiltration massive de données.
3. Publication partielle sur le dark web.
4. Extorsion : “Payez, ou on balance tout.”

Et ils ont bien appliqué la méthode. Le leak est désormais disponible sur leur site Tor, dans un joli répertoire tout prêt pour être exploré par les attaquants, les concurrents… ou n’importe quel script kiddie curieux.

🧱 Pourquoi c’est ultra préoccupant

Parce que ce n’est pas juste une entreprise compromise. C’est une porte d’entrée vers tout un écosystème. Un prestataire technique, c’est :

• Des droits d’accès indirects
• Des copies de données
• Des systèmes interconnectés

Donc oui, même si UBS n’a pas été directement attaquée, elle est tout aussi exposée.

Et le pire ? Ce n’est pas une faille dans un firewall ou un zero-day obscur.
Non. C’est un bon vieux prestataire… négligé. Mal évalué. Trop intégré.

📋 À qui la faute ?

• À UBS, pour avoir laissé un prestataire accéder à tant de données sans supervision renforcée ?
• À Chain IQ, pour ne pas avoir su sécuriser ses propres systèmes ?
• À personne ? Ou à tout le monde, justement ?

Dans les faits, aucune gouvernance des risques fournisseurs n’est infaillible, mais beaucoup sont inexistantes ou… cosmétiques.

🛡️ Que faire (avant que ce soit votre tour) ?

1. Cartographiez vos prestataires IT : qui a accès à quoi ?
2. Demandez des preuves de sécurité, pas juste un ISO 27001 plastifié.
3. Mettez en place un cloisonnement fort : pas d’accès global aux fichiers RH ou internes.
4. Testez vos fournisseurs : audits, pentests externes, simulation d’incidents.
5. Anticipez la crise : préparez les messages, les processus de coupure d’accès, les hotlines, les revocations de jetons/API.
6. Négociez des clauses cybersécurité dans tous vos contrats.

📉 Et maintenant ?

Les données internes d’UBS sont dans la nature. D’autres banques pourraient suivre. L’autorité suisse des marchés (FINMA) et la BCE s’en inquiètent. On va encore parler de résilience, de SOC, de NIS2… Et pourtant, tout est parti d’un prestataire qu’on n’a pas assez challengé.

🧠 En conclusion

Ce n’est plus « vous êtes ce que vous installez ».
C’est « vous êtes ce que vos fournisseurs laissent fuir ».

Tant qu’on ne sécurisera pas toute la chaîne, du contrat à l’API en passant par les fichiers Excel partagés “juste pour 48h”, ces attaques continueront.

Et le jour où vos données RH fuient parce que votre prestataire imprime encore sur une imprimante WiFi en WEP… vous regretterez de ne pas avoir lu cet article.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com