Une nouvelle fuite massive frappe une entreprise française majeure.
Le groupe Indigo Group, l’un des plus grands opérateurs mondiaux de parkings et de mobilité urbaine, serait victime d’un piratage majeur revendiqué par le groupe ransomware Secp0 ransomware group.
Selon les informations publiées par les attaquants, plus de 1,7 million de fichiers auraient été exfiltrés, incluant des données financières, des documents d’entreprise, des informations clients… et même des données de santé sensibles.
Autrement dit : un mélange explosif de données critiques, qui pourrait avoir des conséquences importantes pour des milliers d’organisations et d’individus.
Et une fois de plus, la question revient :
comment une infrastructure aussi stratégique peut-elle se retrouver exposée de cette manière ?
📊 Une fuite de données massive
Les pirates affirment avoir compromis les systèmes internes d’Indigo et exfiltré une base documentaire gigantesque.
Les chiffres avancés donnent une idée de l’ampleur de l’incident :
- 897 000+ fichiers uniques exposés
- 1 707 433 fichiers au total (avec doublons)
- 27 000 organisations concernées
- 27 000 individus identifiés dans les données
Autrement dit, ce n’est pas un simple incident isolé :
c’est un écosystème complet qui pourrait être impacté.
Car Indigo ne gère pas seulement des parkings.
L’entreprise travaille avec :
- collectivités locales
- entreprises privées
- hôpitaux
- infrastructures de transport
- opérateurs de mobilité
Chaque partenariat implique des échanges de données administratives et financières.
Et quand ces documents sont stockés dans les systèmes internes… ils deviennent une cible idéale pour un ransomware.
🧾 Les types de données compromises
Les pirates ont publié une analyse statistique du contenu de la base compromise.
Selon leurs déclarations, les données incluraient :
📂 Informations business confidentielles
327 497 fichiers
Ces documents pourraient contenir :
- contrats
- dossiers internes
- plans d’infrastructure
- communications internes
- documents stratégiques
Pour une entreprise opérant des infrastructures urbaines, ce type d’information peut être particulièrement sensible.
💰 Données financières
360 921 fichiers
Cela peut inclure :
- factures
- comptes clients
- contrats financiers
- documents comptables
- données de paiement
Dans certains cas, ces informations peuvent permettre :
- fraude financière
- escroqueries ciblées
- attaques de type Business Email Compromise (BEC)
👤 Données clients et partenaires
59 624 fichiers
Ces fichiers pourraient contenir :
- coordonnées
- contrats
- informations administratives
- dossiers clients
Autrement dit : une base parfaite pour des campagnes de phishing ciblé.
🏥 Données de santé sensibles
23 737 fichiers
C’est probablement la partie la plus préoccupante.
Les attaquants évoquent des documents liés à :
- dossiers médicaux
- certificats
- informations liées à des infrastructures hospitalières
Si ces données sont confirmées, on pourrait être face à une violation de données sensibles au sens du RGPD.
Et là, les conséquences juridiques peuvent être lourdes.
🔎 Un moteur de recherche pour exploiter les données volées
Le groupe Secp0 affirme également avoir mis en place :
- un moteur de recherche dans les données volées
- un échantillon public de la base compromise
C’est une tactique devenue classique dans les opérations de ransomware.
Les cybercriminels ne se contentent plus de chiffrer les systèmes.
Ils utilisent désormais une stratégie dite “double extorsion” :
1️⃣ vol des données
2️⃣ menace de publication
3️⃣ diffusion progressive pour augmenter la pression
Cette approche vise à forcer l’entreprise à payer la rançon.
🧠 Comment ce type d’attaque arrive-t-il ?
Même si les détails techniques de l’intrusion ne sont pas encore connus, les attaques contre ce type d’infrastructure passent souvent par des vecteurs assez classiques :
1️⃣ Accès VPN compromis
Un mot de passe faible ou une absence de MFA peut suffire.
C’est d’ailleurs exactement le scénario que tout bon RSSI devrait expérimenter :
les attaques par brute force sur les accès distants restent une porte d’entrée majeure.
2️⃣ Vulnérabilité non patchée
Les infrastructures critiques reposent souvent sur :
- VPN
- appliances réseau
- systèmes d’administration
Et ces équipements sont régulièrement visés par des exploits publics.
3️⃣ Compromission d’un compte interne
Une fois à l’intérieur :
- mouvement latéral
- accès aux serveurs de fichiers
- extraction massive des documents
Dans ce type d’attaque, les pirates ne chiffrent même pas forcément les machines immédiatement.
Ils commencent par exfiltrer les données les plus sensibles.
🛡️ Les leçons pour les entreprises
Encore une fois, ce type d’incident rappelle plusieurs principes essentiels.
🔐 MFA partout
Pas seulement sur :
- Office 365
- VPN
Mais aussi sur :
- consoles d’administration
- accès cloud
- accès partenaires
📦 segmentation réseau
Les serveurs de fichiers contenant des documents critiques ne devraient jamais être accessibles depuis tout le réseau.
📊 surveillance des exfiltrations
Un volume de 1,7 million de fichiers exfiltrés ne devrait jamais passer inaperçu.
Les solutions modernes de sécurité permettent de détecter :
- transferts anormaux
- volumes de données suspects
- accès inhabituels aux partages.
🧾 classification des données
Les entreprises accumulent des fichiers pendant des années.
Résultat :
- documents obsolètes
- archives non protégées
- données sensibles oubliées
Et quand une attaque arrive… tout part avec.
🎯 Conclusion
L’attaque contre Indigo montre une fois de plus que les grandes entreprises françaises ne sont pas à l’abri.
Même lorsqu’elles gèrent des infrastructures critiques et travaillent avec des milliers d’organisations.
Le véritable problème n’est plus seulement l’intrusion initiale.
C’est la quantité de données accessibles une fois que l’attaquant est à l’intérieur.
Et quand plus d’un million de fichiers peuvent être exfiltrés, la question n’est plus seulement :
“Comment les pirates sont entrés ?”
Mais plutôt :
“Pourquoi avaient-ils accès à autant de données ?”
Parce qu’en cybersécurité, la vraie règle reste toujours la même :
si un attaquant peut tout voir… il finira par tout prendre.
Mais qui sont Secp0
Secp0
Secp0 est un groupe de cybercriminalité spécialisé dans les attaques par rançongiciel (ransomware). Apparue en 2024, cette organisation a mené des campagnes de double extorsion, volant puis chiffrant les données d’entreprises avant de menacer de les divulguer si aucune rançon n’était payée. Son activité s’inscrit dans la lignée des groupes de rançongiciel émergents visant divers secteurs à l’échelle internationale.
Faits clés
- Type d’organisation : Groupe de rançongiciel (cybercrime)
- Première apparition : 2024
- Méthode principale : Double extorsion – chiffrement et publication de données
- Cibles : Entreprises de services, industrie, santé et secteur public
- Motivation : Gain financier par chantage numérique
Origine et évolution
Secp0 a émergé comme un acteur de nouvelle génération dans l’écosystème des rançongiciels, tirant parti de fuites de code et de tactiques déjà utilisées par d’autres collectifs comme LockBit ou ALPHV. Le groupe opère principalement via le modèle « Ransomware-as-a-Service » (RaaS), recrutant des affiliés pour mener les intrusions en échange d’une part des rançons.
Techniques et modes opératoires
Les attaques de Secp0 reposent sur des techniques de compromission de réseaux internes (phishing, exploitation de vulnérabilités, accès RDP compromis). Après exfiltration des données sensibles, le groupe chiffre les systèmes des victimes à l’aide de son propre code malveillant. Un site de fuite hébergé sur le dark web est ensuite utilisé pour publier les données des victimes récalcitrantes.
Impact et réponse
Les campagnes attribuées à Secp0 ont touché des organisations de taille moyenne à grande en Europe et en Amérique du Nord. Les autorités et chercheurs en cybersécurité surveillent activement ce collectif, dont la structure et les membres restent peu identifiés. Les recommandations incluent la mise en œuvre de sauvegardes isolées, la segmentation réseau et la sensibilisation accrue au phishing.
