14 mai 2026
L’extorsion par vol de données, comme son nom l’indique, se produit lorsqu’un pirate informatique accède illégalement aux données ou aux systèmes sensibles d’une organisation et exige ensuite un paiement en échange du rétablissement de l’accès ou de l’arrêt de l’attaque. Plus largement, l’extorsion englobe tout scénario dans lequel un acteur menaçant demande une compensation pour mettre fin à une activité malveillante.
Les organisations peuvent être victimes de ces attaques de plusieurs manières, notamment par des violations de données, l’exploitation des vulnérabilités du système et des tactiques d’ingénierie sociale qui incitent les employés à accorder un accès non autorisé. Alors que les entreprises continuent de renforcer leurs défenses, les attaquants font évoluer simultanément leurs méthodes, devenant souvent plus sophistiquées et intensifiant leurs tactiques.
Ce blog explore plusieurs incidents d’extorsion de données bien connus, en examinant comment ils ont été menés et comment les organisations ont réagi.
Violation de données Vastaamo
En octobre 2020, des pirates ont contacté 40 000 patients du prestataire finlandais de psychothérapie Vastaamo, exigeant 200 € en bitcoins dans les 24 heures, suivis de 500 € dans les 48 heures supplémentaires, menaçant de divulguer leurs informations personnelles identifiables (PII) et leurs dossiers thérapeutiques s’ils refusaient de payer. Avant ces courriels, Vastaamo avait refusé de répondre à la demande des pirates informatiques lorsqu’ils avaient reçu une rançon de 450 000 € en bitcoins. Dans la première réponse, le pirate informatique a publié les transcriptions de 300 patients sur un forum public. Finalement, un fichier de données de 10 Go est apparu sur des sites Web sombres contenant des notes privées entre au moins 2 000 patients et leurs thérapeutes.
L’information a été obtenue en raison des pratiques de sécurité inadéquates de l’entreprise. Les données sensibles appartenant aux patients n’étaient ni cryptées ni anonymisées. Les dossiers ont été consultés pour la première fois en 2018 et les failles de sécurité n’ont été corrigées qu’en mars 2019.
En octobre 2022, le Bureau national d’enquête a identifié le suspect de l’infraction comme étant Aleksanteri Kivimäki, 25 ans. Il a ensuite été inculpé par contumace devant le tribunal de district d’Helsinki de multiples infractions, notamment violation de données aggravée, tentative d’extorsion aggravée, diffusion aggravée d’informations violant la vie privée, chantage, violation de la confidentialité et falsification de preuves. Il a finalement été reconnu coupable et condamné à six ans de prison. L’attaque a incité le gouvernement finlandais à mettre en œuvre des mesures de sécurité renforcées pour protéger les données des citoyens, tout en apportant un soutien aux victimes et en introduisant une nouvelle législation contre le vol et l’extorsion de données.
Violation de Salesforce
Fin 2024, le groupe d’acteurs menaçants Scattered Lapsus$ Hunters (SLH) a eu accès aux données d’entreprise Salesforce en utilisant des techniques d’ingénierie sociale, en particulier le vishing (hameçonnage vocal). Entre mars 2025 et juin 2025, les attaquants ont eu accès au compte GitHub d’entreprise de Salesloft. Salesloft est une plateforme d’engagement commercial dotée d’un chatbot IA, Drift, qui s’intègre à Salesforce et à d’autres applications. Après avoir compromis le compte GitHub, les attaquants ont téléchargé du contenu à partir de plusieurs référentiels, créé leur propre utilisateur au sein de l’organisation et établi des flux de travail personnalisés.
Le 3 octobre 2025, SLH a lancé un site Tor de fuite de données extorquant 39 entreprises touchées par les violations de Salesforce. Les entreprises extorquées dans le lien incluent Disney/Hulu, FedEx, Google, McDonald’s et bien d’autres encore. Une entrée distincte sur le site demandait à Salesforce de payer une rançon pour empêcher la divulgation des clients concernés (environ 1 milliard d’enregistrements contenant des informations personnelles). Le groupe a fixé au 10 octobre la date limite pour que Salesforce paie la rançon ou que les entreprises potentiellement concernées contactent le groupe pour sécuriser leurs données. Salesforce a refusé de négocier avec les auteurs de la menace, estimant que leurs menaces n’étaient pas fondées, et a proposé son soutien à tous ses clients concernés.
Alors que le groupe avait menacé de divulguer toutes les informations si ses demandes n’étaient pas satisfaites, il n’a finalement divulgué que les données de six sociétés. Les victimes comprenaient Albertsons, Engie Resources, Fujifilm, Gap, Qantas et Vietnam Airlines. Qantas et Vietnam Airlines ont chacune exposé plus de cinq millions de dossiers clients.
Cyberattaque Jaguar Land Rover
Le constructeur automobile Jaguar Land Rover (JLC) a révélé en septembre 2025 avoir été victime d’une cyberattaque qui a « gravement perturbé les activités de production ». L’attaque a commencé le 31 août, ce qui a conduit JLC à arrêter la production le lendemain et, le 22 septembre, la perturbation a forcé l’arrêt complet de ses lignes de production pendant trois semaines, les employés ayant pour instruction de rester chez eux.
L’acteur menaçant Scattered Lapsus$ Hunters (SLH) a assumé la responsabilité de l’attaque via une chaîne Telegram. JLC n’a pas divulgué de détails sur la façon dont les informations ont été compromises, mais SLH a généralement eu recours à des campagnes d’ingénierie sociale pour attaquer ses victimes.
Le type d’extorsion utilisé par SLH n’a pas été rendu public, mais le gouvernement britannique a finalement dû intervenir et prêter 1,5 milliard de livres sterling à JLR. Sans ce prêt, le gouvernement a affirmé que des milliers de personnes seraient « licenciées ». Selon les derniers résultats financiers publiés par JLR, la cyberattaque a eu un impact substantiel sur sa rentabilité. La société a déclaré une perte avant impôts et éléments exceptionnels de 485 millions de livres sterling au deuxième trimestre et de 134 millions de livres sterling pour le premier semestre, contre des bénéfices de 398 millions de livres sterling et 1,1 milliard de livres sterling, respectivement, au cours de la même période de l’année dernière. Le gouvernement a ensuite fait référence à l’attaque et au prêt en expliquant les raisons de la faiblesse du PIB du pays au troisième trimestre 2025.
Suite Oracle E-Business
Les dirigeants d’entreprise ont été victimes d’une campagne d’extorsion suite à la violation de données d’Oracle E-Business Suite (EBS). Le groupe de ransomwares Clop a envoyé des e-mails à plusieurs dirigeants affirmant que leurs données avaient été volées dans les systèmes EBS d’Oracle. Dans l’e-mail, le groupe affirme avoir réussi à infiltrer le système et à exfiltrer des données sensibles. Leur e-mail commence par une introduction directe, s’identifiant et suggérant à la victime de vérifier sa réputation en ligne.
Le groupe poursuit en affirmant avoir copié « de nombreux documents », notamment des dossiers privés et d’autres informations confidentielles, qu’il prétend désormais contrôler. Plutôt que de se concentrer uniquement sur la perturbation du système, les attaquants mettent l’accent sur la possession de données. La menace s’intensifie si le paiement est refusé. Le groupe prévient que les données volées seront distribuées, soit vendues à d’autres acteurs malveillants, soit rendues publiques via leurs propres canaux, notamment les blogs et les plateformes torrent. Cette approche à double menace (perte financière combinée à une atteinte à la réputation) est une caractéristique des campagnes de ransomware modernes.
Les organisations touchées par les attaques comprenaient Logitech, Harvard, Envoy Air, le National Health Service du Royaume-Uni et le Washington Post. Clop est connu pour mener des campagnes d’extorsion à grande échelle et soigneusement coordonnées qui ciblent des organisations de plusieurs secteurs et régions, dans le but d’exploiter les vulnérabilités et d’extraire les données de nombreuses victimes simultanément plutôt que de se concentrer sur un seul secteur ou emplacement.
Comment protéger votre entreprise
Si votre entreprise a été victime d’une violation de données ou d’un incident d’extorsion, envisagez de suivre les étapes suivantes :
- Opérations sécurisées
Agissez rapidement pour contenir la violation en sécurisant les systèmes, en corrigeant les vulnérabilités, en verrouillant les zones physiques affectées et en mobilisant une équipe d’intervention composée d’experts légistes, juridiques et techniques pour enquêter sur la cause et la portée. Arrêtez toute perte de données supplémentaire en mettant hors ligne l’équipement concerné (sans mise hors tension), en surveillant les points d’accès, en remplaçant les systèmes compromis si possible et en mettant à jour toutes les informations d’identification pour empêcher tout accès non autorisé continu. - Corriger les vulnérabilités
Travaillez avec des experts légistes pour évaluer la violation : vérifiez le cryptage, examinez les sauvegardes et les journaux, identifiez qui avait et a toujours accès et limitez-le si cela n’est pas nécessaire. Déterminez quelles données ont été compromises, combien de personnes ont été affectées et si vous pouvez les contacter. Vérifiez qui (au sein et à l’extérieur) de votre organisation a accès aux informations et examinez si les privilèges doivent être modifiés. - Notifier les parties concernées
Déterminez les exigences légales, car certains États ont des lois et réglementations spécifiques concernant les personnes qui doivent être informées. De plus, les forces de l’ordre peuvent faciliter le processus d’enquête et doivent être informées peu de temps après la découverte initiale.
