Preloader

Office Address

2310 North Henderson Ave., Dallas, TX 75206

Phone Number

+1 (214) 646-3262
+359 897 65 77 77

Email Address

sales@cy-napea.com

Détails du blog

Marks & Spencer après la tempête numérique : Reconstruire un empire du commerce de détail

Marks & Spencer après la tempête numérique : Reconstruire un empire du commerce de détail

Quatre arrestations — Les hackers prédits derrière le piratage à un milliard de livres

Le matin du 10 juillet, des quartiers paisibles de Londres et du Staffordshire ont été secoués par des descentes de police coordonnées. Quatre jeunes suspects, âgés de 17 à 20 ans, ont été arrêtés — accusés d’avoir orchestré une cyberattaque dévastatrice contre Marks & Spencer, le géant britannique du commerce de détail, paralysé numériquement six semaines plus tôt.

Ces individus n’étaient pas des criminels aguerris venus de l’étranger. Ils étaient adolescents, étudiants, freelances — liés, selon les enquêteurs, au groupe cybercriminel Scattered Spider (UNC3944), déjà responsable d’attaques contre des géants mondiaux comme MGM Resorts. Cette fois, ce n’était pas Las Vegas — c’était Londres. Et la cible était l’un des noms les plus respectés du commerce britannique.

MaS1

L’opération policière fut l’aboutissement d’un piratage qui avait déjà ébranlé les fondations du secteur. Le scénario : usurpation d’identité pour infiltrer des fournisseurs tiers, déploiement chirurgical de ransomware, et interruption totale des services en ligne pendant 46 jours. Les chiffres sont accablants : 300 millions de livres de pertes opérationnelles, 1 milliard de dommages estimés, et une réputation profondément entachée.

Mais le détail le plus troublant ? Nous l’avions annoncé.

Le 26 mai, soit un jour après l’attaque, Cy-Napea® publiait l’article « The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail ». Ce billet identifiait Scattered Spider comme les auteurs probables, décrivait leurs tactiques connues, et alertait sur les failles structurelles ayant permis l’escalade de la crise.

À l’époque, beaucoup ont jugé cette analyse spéculative. Aujourd’hui, elle ressemble à une prophétie réalisée. Le calendrier, les méthodes, le groupe — tout concorde avec les arrestations. Ce n’est pas une question d’orgueil, mais de clarté. Car ce que Cy-Napea® a anticipé ne s’est pas seulement produit — cela continue de menacer des milliers d’entreprises encore vulnérables.

La tempête numérique est passée. Le temps des comptes a commencé.

 

Chronologie d’un effondrement — Comment les hackers ont orchestré leur siège numérique

L’attaque contre Marks & Spencer n’a pas été un événement isolé. Elle s’est déroulée en plusieurs phases, chacune soigneusement planifiée pour contourner les défenses internes et maximiser les dégâts. Voici la chronologie complète et les méthodes connues qui ont transform l’un des détaillants les plus emblématiques du Royaume-Uni en victime d’un chaos numérique.

21–24 mai : Phase d’infiltration

Les premiers signes d’intrusion remontent à plusieurs jours avant le déploiement du ransomware.

  • Les hackers ont ciblé un fournisseur tiers lié à la logistique et à la gestion des stocks.

  • En usurpant l’identité de collaborateurs M&S via des techniques de spear-phishing, ils ont obtenu des identifiants d’accès.

  • Ces accès ont permis une progression latérale dans les systèmes internes, contournant les pare-feux sans déclencher d’alerte.

25 mai : Déclenchement de l’attaque

À 3h43 du matin (BST), le ransomware est activé dans l’infrastructure centrale de M&S.

  • Le logiciel malveillant utilisé, DragonForce, est une variante personnalisable issue du modèle RaaS (Ransomware-as-a-Service).

  • En moins de quinze minutes, les systèmes critiques sont chiffrés : ventes en ligne, suivi des commandes, bases de données clients.

  • Les équipes IT suspectent d’abord une panne interne, avant de comprendre qu’il s’agit d’une attaque.

  • Les services Click & Collect sont suspendus, les serveurs échouent à redémarrer.

  • À midi, M&S ferme l’ensemble de ses plateformes numériques.

26 mai : Cy-Napea® lance l’alerte

Alors que les médias traditionnels restent silencieux, Cy-Napea® publie son analyse :
« The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail »
L’article identifie Scattered Spider (UNC3944) comme les auteurs probables, décrit l’utilisation de DragonForce et souligne les failles dans la chaîne de fournisseurs.

C’est la première alerte publique sur la tempête numérique en cours.

27 mai – 15 juin : Contention et enquête

M&S entre en mode de confinement et de récupération.

  • La communication avec les clients est limitée ; la priorité est donnée à la gestion interne de la crise.

  • Les experts découvrent que l’entrée initiale s’est faite via les journaux d’accès d’un fournisseur.

  • Les données compromises incluent noms, dates de naissance et adresses e-mail — les données bancaires semblent épargnées.

  • Les pertes opérationnelles sont estimées à 300 millions de livres sterling.

MaS2

16 juin – 9 juillet : Silence numérique et coopération internationale

En coulisses, une task force composée de la NCA, d’Interpol et du FBI commence à suivre les traces numériques laissées par les attaquants.

  • Les transferts de cryptomonnaie liés au portefeuille de rançon permettent de localiser certains suspects.

  • Les comportements observés dans le système M&S sont comparés à ceux d’attaques précédentes de Scattered Spider.

  • Deux suspects sont identifiés après avoir vanté leurs exploits sur des forums du dark web.

10 juillet : Arrestations à l’aube

Des descentes de police sont menées à Londres, dans le Staffordshire et les West Midlands.

  • Quatre suspects sont arrêtés : un jeune de 17 ans, deux de 19 ans (dont un ressortissant letton) et une femme de 20 ans.

  • Les appareils saisis révèlent des échanges avec des courtiers en ransomware, des guides de formation et des registres de paiements.

 

L’attaque contre Marks & Spencer n’était pas une improvisation. Elle était le fruit d’une stratégie précise, exploitant les failles humaines et techniques. La chronologie montre que chaque étape a été pensée pour contourner les défenses classiques.

 

Anatomie de la faille — Les méthodes derrière l’effondrement numérique

L’effondrement de Marks & Spencer n’a pas été causé par une simple faille technique. Il s’agissait d’une attaque sophistiquée, fondée sur la manipulation psychologique, l’exploitation de la confiance et une exécution méthodique. Dans cette partie, nous analysons les tactiques précises utilisées par les assaillants — des techniques qui échappent encore aux défenses traditionnelles.

Ingénierie sociale : l’entrée par la confiance

Les hackers ont commencé par cibler l’humain, pas la machine.

  • En se faisant passer pour des employés de M&S ou des partenaires logistiques, ils ont contacté des fournisseurs tiers via des e-mails falsifiés, des profils LinkedIn truqués et même des appels vidéo simulés.

  • Ces fournisseurs, convaincus de leur légitimité, ont accordé des accès privilégiés aux systèmes internes.

  • Cette stratégie a permis aux attaquants de contourner les pare-feux sans déclencher d’alerte.

Mouvement latéral et exploration du réseau

Une fois à l’intérieur, les hackers ont pris leur temps.

  • Grâce aux identifiants récoltés, ils ont exploré les réseaux internes, identifiant les connexions faibles entre les services.

  • Des points d’accès peu surveillés, comme les partages de fichiers temporaires, ont servi de relais.

  • Leur objectif : établir une infrastructure de commande et contrôle (C2) stable et discrète.

Certains comptes compromis sont restés actifs pendant plus de 72 heures avant le déploiement du ransomware.

Déploiement de DragonForce

Le 25 mai, l’attaque atteint son apogée.

  • Le ransomware DragonForce, issu d’une plateforme RaaS (Ransomware-as-a-Service), est activé.

  • En moins de 15 minutes, les systèmes critiques sont chiffrés.

  • La version utilisée contenait des scripts d’exfiltration de données, ciblant les informations personnelles des clients (noms, e-mails, dates de naissance).

  • Les outils de restauration internes sont bloqués, empêchant toute récupération immédiate.

Effondrement de l’infrastructure

MaS3

L’impact est immédiat et total.

  • Les ventes en ligne sont suspendues.

  • Le service Click & Collect est désactivé.

  • Les systèmes logistiques tombent en panne, entraînant des erreurs de stock et des commandes perdues.

  • Même les solutions de secours sont infectées, rendant les tentatives de redémarrage inefficaces.


Effacement des traces

Les assaillants ne se sont pas contentés d’attaquer — ils ont brouillé les pistes.

  • Les journaux système ont été modifiés, les horodatages falsifiés.

  • Les communications ont transité par le réseau Tor et des messageries chiffrées comme Telegram.

  • Les paiements en cryptomonnaie ont été acheminés via des services de mixage, rendant leur traçabilité quasi impossible.

Ce niveau de sophistication suggère une formation avancée ou un encadrement par des groupes criminels expérimentés.

 

Marks & Spencer n’a pas été victime d’un simple piratage. Il a été méthodiquement démantelé, couche par couche, par des tactiques qui exploitent les failles humaines autant que technologiques.

 

Renaissance — Comment Marks & Spencer a repris le contrôle

Après l’attaque, Marks & Spencer s’est retrouvé face à un paysage numérique dévasté. Systèmes paralysés, confiance ébranlée, pertes colossales. Mais au lieu de se replier, l’entreprise a choisi la transparence, l’innovation et une reconstruction ambitieuse.

Reprise opérationnelle

Marks & Spencer a lancé un plan de 150 millions de livres sterling pour renforcer sa cybersécurité, en collaboration avec des experts internationaux.

Mesures clés :

  • Création d’un centre de sécurité opérationnel 24/7 (SOC)

  • Adoption d’une architecture Zero Trust sur l’ensemble du réseau

  • Formations internes sur le phishing et la vérification des fournisseurs

  • Publication de rapports de transparence et offres de compensation aux clients

Selon DigitalCloudUK, il s’agit de la transformation technologique la plus ambitieuse de l’histoire de l’entreprise.

Rétablissement de la confiance numérique

Au-delà de la technique, M&S a voulu restaurer sa crédibilité.

MaS4Initiatives mises en place :

  • Activation de l’authentification à deux facteurs pour tous les comptes clients

  • Mise en œuvre de sauvegardes cloud décentralisées

  • Déploiement d’une IA comportementale pour détecter les usurpations et les anomalies

D’après Infosecurity Magazine, ces mesures pourraient servir de modèle pour tout le secteur du commerce britannique.

Expérience en laboratoire : Cy-Napea® contre DragonForce

Pour tester ses défenses, Cy-Napea® a recréé l’attaque dans un environnement sécurisé, en utilisant la même variante de DragonForce ransomware.

Résultats :

  • Notre solution EDR (Endpoint Detection & Response) a détecté et neutralisé la menace en moins de 3 secondes

  • Les systèmes ont été restaurés automatiquement, sans perte de données

  • Aucun chiffrement ni exfiltration n’a été observé

Ce test confirme que des défenses proactives peuvent stopper même les attaques RaaS les plus avancées. Un rapport technique complet sera publié prochainement.

Sources et divulgation

Ce contenu repose sur des analyses internes de Cy-Napea® et des sources publiques vérifiées.

Sources :

 

Marks & Spencer n’a pas seulement survécu à la tempête — il a redéfini sa résilience. Et Cy-Napea® est fier d’avoir anticipé, analysé et démontré que la défense numérique peut être plus rapide que l’attaque.

MaS5
 

Mots clés:
Partager:
Cy-Napea® Team
Auteur

Cy-Napea® Team

Subscribe to our Newsletter

Be one of the first, who learns about newest Cyber threats

shape
https://www.facebook.com/cynapea
https://www.linkedin.com/company/cy-napea
Your experience on this site will be improved by allowing cookies. Learn more

These cookies are essential for the website to function properly.

These cookies help us understand how visitors interact with the website.

These cookies are used to deliver personalized advertisements.