Bienvenue dans le monde du retail ou lâĂšre du ZĂ©ro Malware, 100% IdentitĂ©. Fini les ransomwares criards et les ransom notes en Comic Sans MS. Place aux attaques discrĂštes, presque polies, qui utilisent⊠votre propre systĂšme contre vous. Oui, cher lecteur, on parle dâattaques basĂ©es sur lâidentitĂ©Â â ce truc que tout le monde pense maĂźtriser avec deux mots : âmot de passeâ et âadminâ.
Et câest le monde du retail qui prend cher. Adidas, Dior, The North Face, Victoria’s Secret, Cartier, M&S, Coâop… un vrai dĂ©filĂ© de victimes chic et choquĂ©es. Toutes tombĂ©es non pas sous les assauts dâune APT chinoise sponsorisĂ©e par lâĂtat, mais dâun truc beaucoup plus bĂȘte : leurs propres accĂšs mal gĂ©rĂ©s.
Voici les cinq façons bien nulles dont les plus grandes marques se sont faites dĂ©pouiller. Spoiler : elles lâont bien cherchĂ©.
1. Adidas â Jetons obsolĂštes, esprit vintage
Chez Adidas, un tiers prestataire â que personne nâavait pensĂ© Ă dĂ©brancher â disposait encore de jetons API valides. Oui, en 2025. Ces artefacts dâun contrat expirĂ© dormaient paisiblement dans un coin de leur intĂ©gration SaaS, attendant quâun cybercriminel vienne les rĂ©veiller. Il lâa fait.
đ§ Pro Tip : Un jeton dâaccĂšs qui ne meurt jamais, câest un peu comme laisser un double des clĂ©s dans la boĂźte aux lettres aprĂšs un dĂ©mĂ©nagement.
2. The North Face â Lâart du mot de passe recyclĂ©
LĂ , on touche Ă la poĂ©sie. Les attaquants nâont rien forcĂ© : ils ont simplement pris des identifiants volĂ©s dans une ancienne fuite (MITRE T1110.004 pour les puristes), les ont testĂ©s⊠et bingo. Des milliers dâutilisateurs rĂ©utilisaient le mĂȘme combo gagnant que sur Facebook en 2014.
đ SĂ©curitĂ© moderne : âMotDePasse123â + absence de MFA = bienvenue chez toi, cybercriminel.
3. M&S et Co-op â Le help desk, ce cheval de Troie humain
Un classique. Le groupe Scattered Spider, fans d’ingĂ©nierie sociale, appelle le support en prĂ©tendant ĂȘtre âun cadre trĂšs pressĂ© sans accĂšs Ă son compteâ. Ils obtiennent une rĂ©initialisation de mot de passe ET un contournement de la MFA, tout ça sans transpirer.
Notre article : đïž DragonForce frappe Marks & Spencer : quand la mode prend un coup de crypto
đ€ Remarque RH : Si votre help desk accorde plus de droits quâun administrateur Azure, revoyez votre script d’appel.
4. Victoriaâs Secret â Lâadmin tout-puissant (et mal configurĂ©)
Un compte admin SaaS mal ficelĂ©, probablement laissĂ© Ă un robot (ou un stagiaire), a permis aux attaquants dâinterfĂ©rer avec les commandes, les stocks, et possiblement les donnĂ©es clients. Rien de mieux que de lâaccĂšs âglobal adminâ sans audit, nâest-ce pas ?
đ„ Sagesse populaire : âAvec de grands pouvoirs viennent⊠de grosses fuites de donnĂ©es.â
5. Cartier & Dior â Le CRM, cette passoire de luxe
Les systĂšmes de relation client ont Ă©tĂ© visĂ©s directement, sans mĂȘme passer par la maison mĂšre. Pourquoi sâembĂȘter avec le rĂ©seau interne quand un sous-traitant CRM vous offre toutes les infos sur un plateau ? DonnĂ©es clients ? Check. Commandes ? Check. MFA ? Pas check.
On en parle : Haute Couture, Faible Sécurité : Cartier piraté, la mode des leaks continue
đ Luxury Securityâą : Si votre CRM sait tout et que tout le monde peut sây connecter sans contrĂŽle⊠alors tout le monde va sây connecter. MĂȘme ceux que vous ne connaissez pas.
đ§Œ La morale de lâhistoire : arrĂȘtez de faire confiance
Pas Ă vos fournisseurs. Pas Ă vos anciens employĂ©s. Et surtout pas Ă vous-mĂȘme.
Les attaques identitaires ne sont pas spectaculaires. Elles ne laissent pas de ransom note, pas de trace visible. Mais elles sont redoutablement efficaces, car elles exploitent ce que vous avez mal géré depuis des années : la confiance implicite dans vos accÚs.
đ ïž Conseils pour Ă©viter de passer sur Le Monde Ă 20h
| Fail typique | Pourquoi câest bĂȘte | Comment Ă©viter ça |
|---|---|---|
| Jetons dâaccĂšs Ă©ternels | âOn les supprimera un jourâŠâ | Expirez et surveillez tous les tokens |
| Pas de MFA | âTrop contraignantâ | Imposer MFA partout, mĂȘme pour mĂ©mĂ© |
| Help desk naĂŻf | âJe vais aider ce gentil monsieur pressĂ©â | VĂ©rifications croisĂ©es, scripts dâauthentification |
| Admins surpuissants | âCâest plus pratiqueâ | Least privilege, sĂ©paration des rĂŽles, audit |
| CRM laissĂ© en roue libre | âCâest le prestataire qui gĂšreâ | Contrats, journalisation, cloisonnement des accĂšs |
đ Conclusion
Si vous laissez vos accÚs non surveillés, vos tokens non expirés, vos utilisateurs non formés, et vos prestataires non cloisonnés⊠ne soyez pas surpris de retrouver vos données client dans un sous-forum russe à 3h du matin.
Les pirates nâont pas besoin dâexploits. Juste dâun peu de patience et dâune faille humaine.
