Ce n’est plus une question de quelques gigas volés au service RH d’une PME : cette fois, SafePay attaque Ingram Micro, l’un des plus gros distributeurs IT au monde, avec 3,5 téraoctets de données exfiltrées. Le gang ne bluffe plus. Et ce n’est pas qu’une simple prise d’otage numérique, c’est une menace sur toute la chaîne d’approvisionnement informatique mondiale. Bienvenue dans l’ère du ransomware grand format.
🕵️♂️ SafePay, encore eux ?
Oui, encore eux.
Déjà observé dans plusieurs attaques ciblant des infrastructures critiques depuis le début de l’année, SafePay se distingue par sa stratégie marketing très 2025 : des leaks en streaming, des comptes sur les réseaux sociaux alternatifs, et un sens du chantage tout à fait… moderne.
Leur cible du mois ? Ingram Micro, mastodonte du secteur IT, avec des clients aussi petits que vos commerçants de quartier… et aussi gros que les GAFAM.
Le 30 juillet, SafePay publie une menace claire : « 3.5 TB de données prêtes à fuir. Négociations terminées. »
Une déclaration digne d’un trailer Netflix.
💾 3,5 To, c’est quoi concrètement ?
Petit rappel utile :
- 3,5 To = plus de 700 000 documents Word,
- ou l’équivalent de 35 millions de pages PDF,
- ou encore des mois de logs, d’emails, de contrats, de fichiers clients, de configurations internes, voire d’accès privilégiés à d’autres SI.
Autrement dit : assez de données pour mettre Ingram Micro à genoux… et potentiellement provoquer des effets dominos sur ses partenaires, fournisseurs et clients finaux. Si ce n’est pas déjà le cas.
🧯 Et côté cyberdéfense, on fait quoi ?
Pour l’instant, Ingram Micro n’a pas confirmé publiquement la nature des données ni comment l’intrusion a eu lieu.
Mais côté cybersécurité, ce genre d’attaque pose les bonnes (ou mauvaises) questions :
- Y a-t-il eu segmentation réseau ?
- Où étaient les alertes DLP ou NDR ?
- Pourquoi 3,5 To ont-ils pu sortir du SI sans déclencher de sirène ?
- Et le double chiffrement, on en parle ?
Mais soyons honnêtes : les attaquants professionnels passent sous les radars classiques. Les outils de sécurité mal configurés sont leurs meilleurs alliés.
Et quand ils arrivent à déposer leurs charges utiles dans un Active Directory vulnérable ou sur un serveur de partage mal protégé, il est souvent déjà trop tard.
⚙️ Scénario d’attaque probable (selon les schémas SafePay classiques)
- Initial Access : via phishing ciblé, ou RDP exposé (oui, en 2025 ça existe encore).
- Reconnaissance : enumeration AD, scan latéral.
- Escalade : LSASS dump, Kerberoasting, vulnérabilités non patchées (CVE-2024-5807 par exemple).
- Exfiltration : RClone, Mega.io, ou plus subtil : transfert via CDN chiffré.
- Chantage public : un leak, puis deux, puis full disclosure si pas de paiement.
Pas de ransomware chiffrant ? Pas toujours. SafePay fonctionne aussi en « data-only extortion », ce qui les rend moins détectables par les solutions EDR/antivirus classiques.
📉 Risques étendus : l’effet domino de la chaîne IT
Ingram Micro n’est pas une entreprise isolée.
C’est un nœud névralgique de la distribution IT mondiale.
Des centaines de milliers de produits passent par ses canaux. Ce qui veut dire : clients, revendeurs, intégrateurs, catalogues, configurations, identifiants OEM, contrats de support…
Si des accès à des portails tiers, des interfaces clients ou des API partenaires ont été exposés, le piratage d’Ingram pourrait devenir un tremplin pour d’autres attaques. Le scénario “SolarWinds 2.0” n’est pas exclu.
Voir notre article : Supply Chain & Cybersécurité : la faille invisible qui fait tomber les géants
🧠 Et maintenant ?
Comme toujours, deux mondes s’opposent :
- Les équipes SSI, en PLS, qui scrutent la data pour déterminer l’impact, notifient la CNIL, contactent les clients impactés, révisent les SIEM, patchent, segmentent, prient.
- Les communicants, qui hésitent entre le silence radio ou un communiqué insipide façon “nous prenons la sécurité très au sérieux”.
SafePay, eux, attendent. Tranquillement. Que la pression monte. Et si la rançon n’est pas payée, ils lâcheront tout.
Et là, on passera de la tension à la déflagration.
🧨 Moralité (et coup de gueule)
🗯️ 3,5 To. De données. Volées. En 2025. Chez un géant IT.
Ça ne vous semble pas un peu fou, vous ?
Ce n’est pas un manque d’antivirus.
Ce n’est pas un oubli de firewall.
C’est le reflet d’un modèle d’organisation obsolète face à des cybercriminels ultra-motivés, bien outillés, avec des compétences que certaines DSI n’osent même pas recruter “parce que trop techniques”.
Et pendant ce temps, les RSSI crient dans le désert :
« Il faut investir ! Documenter ! Segmenter ! Monitorer ! Former ! »
Mais tant qu’on demandera à la cybersécurité de faire des miracles sans budget, les 3,5 To ne seront qu’un début.
