Bienvenue dans le monde du retail ou l’ère du Zéro Malware, 100% Identité. Fini les ransomwares criards et les ransom notes en Comic Sans MS. Place aux attaques discrètes, presque polies, qui utilisent… votre propre système contre vous. Oui, cher lecteur, on parle d’attaques basées sur l’identité — ce truc que tout le monde pense maîtriser avec deux mots : “mot de passe” et “admin”.
Et c’est le monde du retail qui prend cher. Adidas, Dior, The North Face, Victoria’s Secret, Cartier, M&S, Co‑op… un vrai défilé de victimes chic et choquées. Toutes tombées non pas sous les assauts d’une APT chinoise sponsorisée par l’État, mais d’un truc beaucoup plus bête : leurs propres accès mal gérés.
Voici les cinq façons bien nulles dont les plus grandes marques se sont faites dépouiller. Spoiler : elles l’ont bien cherché.
1. Adidas – Jetons obsolètes, esprit vintage
Chez Adidas, un tiers prestataire — que personne n’avait pensé à débrancher — disposait encore de jetons API valides. Oui, en 2025. Ces artefacts d’un contrat expiré dormaient paisiblement dans un coin de leur intégration SaaS, attendant qu’un cybercriminel vienne les réveiller. Il l’a fait.
🧠 Pro Tip : Un jeton d’accès qui ne meurt jamais, c’est un peu comme laisser un double des clés dans la boîte aux lettres après un déménagement.
2. The North Face – L’art du mot de passe recyclé
Là, on touche à la poésie. Les attaquants n’ont rien forcé : ils ont simplement pris des identifiants volés dans une ancienne fuite (MITRE T1110.004 pour les puristes), les ont testés… et bingo. Des milliers d’utilisateurs réutilisaient le même combo gagnant que sur Facebook en 2014.
🔒 Sécurité moderne : “MotDePasse123” + absence de MFA = bienvenue chez toi, cybercriminel.
3. M&S et Co-op – Le help desk, ce cheval de Troie humain
Un classique. Le groupe Scattered Spider, fans d’ingénierie sociale, appelle le support en prétendant être “un cadre très pressé sans accès à son compte”. Ils obtiennent une réinitialisation de mot de passe ET un contournement de la MFA, tout ça sans transpirer.
Notre article : 🛍️ DragonForce frappe Marks & Spencer : quand la mode prend un coup de crypto
🤖 Remarque RH : Si votre help desk accorde plus de droits qu’un administrateur Azure, revoyez votre script d’appel.
4. Victoria’s Secret – L’admin tout-puissant (et mal configuré)
Un compte admin SaaS mal ficelé, probablement laissé à un robot (ou un stagiaire), a permis aux attaquants d’interférer avec les commandes, les stocks, et possiblement les données clients. Rien de mieux que de l’accès “global admin” sans audit, n’est-ce pas ?
🔥 Sagesse populaire : “Avec de grands pouvoirs viennent… de grosses fuites de données.”
5. Cartier & Dior – Le CRM, cette passoire de luxe
Les systèmes de relation client ont été visés directement, sans même passer par la maison mère. Pourquoi s’embêter avec le réseau interne quand un sous-traitant CRM vous offre toutes les infos sur un plateau ? Données clients ? Check. Commandes ? Check. MFA ? Pas check.
On en parle : Haute Couture, Faible Sécurité : Cartier piraté, la mode des leaks continue
💍 Luxury Security™ : Si votre CRM sait tout et que tout le monde peut s’y connecter sans contrôle… alors tout le monde va s’y connecter. Même ceux que vous ne connaissez pas.
🧼 La morale de l’histoire : arrêtez de faire confiance
Pas à vos fournisseurs. Pas à vos anciens employés. Et surtout pas à vous-même.
Les attaques identitaires ne sont pas spectaculaires. Elles ne laissent pas de ransom note, pas de trace visible. Mais elles sont redoutablement efficaces, car elles exploitent ce que vous avez mal géré depuis des années : la confiance implicite dans vos accès.
🛠️ Conseils pour éviter de passer sur Le Monde à 20h
Fail typique | Pourquoi c’est bête | Comment éviter ça |
---|---|---|
Jetons d’accès éternels | “On les supprimera un jour…” | Expirez et surveillez tous les tokens |
Pas de MFA | “Trop contraignant” | Imposer MFA partout, même pour mémé |
Help desk naïf | “Je vais aider ce gentil monsieur pressé” | Vérifications croisées, scripts d’authentification |
Admins surpuissants | “C’est plus pratique” | Least privilege, séparation des rôles, audit |
CRM laissé en roue libre | “C’est le prestataire qui gère” | Contrats, journalisation, cloisonnement des accès |
😈 Conclusion
Si vous laissez vos accès non surveillés, vos tokens non expirés, vos utilisateurs non formés, et vos prestataires non cloisonnés… ne soyez pas surpris de retrouver vos données client dans un sous-forum russe à 3h du matin.
Les pirates n’ont pas besoin d’exploits. Juste d’un peu de patience et d’une faille humaine.