Le groupe de rançongiciels DragonForce a frappé un nouveau coup en ciblant l’enseigne française 5àSec dans une cyberattaque majeure. L’attaque a conduit à l’exfiltration de 289 Go de données sensibles et menaçe l’entreprise d’une divulgation publique si ses exigences ne sont pas satisfaites. Cet incident souligne la menace croissante des cybercriminels et la vulnérabilité des entreprises face à de telles attaques sophistiquées.
289 Go de données volées par le groupe DragonForce
Le groupe de rançongiciels DragonForce a revendiqué une cyberattaque d’ampleur contre l’enseigne française 5àSec, spécialiste du pressing et du nettoyage textile. À travers une opération reposant sur la technique désormais bien rodée de la double extorsion, les cybercriminels ont affirmé avoir exfiltré 289 Go de données sensibles, tout en laissant entendre qu’un chiffrement partiel des systèmes avait également eu lieu.
DragonForce a infiltré les systèmes de 5àSec : vecteurs d’attaque et failles exploitées
Bien que les détails techniques exacts ne soient pas publics, l’attaque semble suivre le schéma classique observé dans les campagnes DragonForce : intrusion initiale via des identifiants compromis (récoltés par phishing ou sur des bases de données en fuite), puis mouvement latéral dans le système interne pour maximiser la compromission. Une fois les accès établis, les attaquants déploient leurs outils d’exfiltration et un logiciel de chiffrement bloquant tout ou partie des fichiers opérationnels.
Le groupe aurait également profité de failles dans les protocoles d’accès à distance ou d’un manque de segmentation réseau, deux faiblesses structurelles encore trop courantes dans les PME et ETI. Le volume de données récupérées laisse penser à une présence prolongée des attaquants dans le système avant détection.
Selon les premières analyses issues des canaux de surveillance du dark web, les 289 Go exfiltrés comprendraient :
- des fichiers clients (noms, coordonnées, historiques de commandes)
- des données RH (contrats, bulletins de paie, informations internes)
- des documents comptables et financiers
- des dossiers juridiques et commerciaux
Ce type d’information constitue une base idéale pour des opérations de chantage, de fraude ou de revente. En cas de diffusion, 5àSec pourrait être exposée à des sanctions réglementaires (RGPD), mais surtout à une perte durable de confiance de la part de ses clients et partenaires.
5àSec garde le silence après l’attaque : quelles mesures ont été prises ?
Au moment où DragonForce annonçait publiquement l’attaque, 5àSec n’avait pas encore communiqué officiellement. Aucun message d’alerte n’a été affiché sur le site et la direction ne s’est pas exprimée publiquement sur la nature des données volées ni sur l’état de ses systèmes. Ce mutisme peut traduire une stratégie de crise prudente (visant à éviter toute panique inutile) ou une difficulté à évaluer précisément l’ampleur de la fuite.
En arrière-plan, il est probable que l’entreprise ait enclenché :
- un plan de continuité d’activité pour isoler les machines compromises
- une analyse forensique complète de son infrastructure IT
- une déclaration à la CNIL si la fuite de données personnelles est confirmée
Reste à savoir si 5àSec choisira la voie de la transparence dans les jours à venir ou celle du règlement discret, à l’abri des projecteurs. Dans les deux cas, l’épisode rappelle cruellement que toutes les entreprises (même en dehors du secteur tech) sont devenues des cibles légitimes pour les groupes cybercriminels les plus actifs.
Découvrez comment activer la protection anti-ransomware gratuite avec Microsoft Defender.
Le mode opératoire des rançongiciels : une menace grandissante
Les attaques par rançongiciels n’ont jamais été aussi sophistiquées qu’en 2025. Longtemps cantonnées à un simple chiffrement des données avec demande de rançon, elles se sont transformées en véritables opérations de cybercriminalité industrielle. Les groupes comme DragonForce, LockBit ou encore BlackCat utilisent désormais des techniques avancées mêlant exploitation de vulnérabilités zero-day, accès RDP compromis et réseaux de botnets pour pénétrer rapidement les infrastructures informatiques de leurs cibles.
Les entreprises ne sont plus sélectionnées au hasard. Les cybercriminels ciblent désormais des organisations moyennes ou grandes disposant de volumes de données critiques mais peu protégées : secteurs du commerce, de l’industrie légère, de la santé ou encore de la formation. L’objectif est de frapper là où la résilience est faible, mais la dépendance à la continuité d’activité élevée.
La double extorsion : une stratégie redoutable
L’un des tournants majeurs observés depuis 2023 est l’adoption systématique du mode opératoire de la double extorsion. Concrètement, les données sont exfiltrées avant d’être chiffrées, puis les pirates formulent deux menaces : payer pour récupérer l’accès aux fichiers, mais aussi payer pour éviter la publication ou la revente des données volées. Cela place les entreprises dans une position délicate car même avec une sauvegarde fonctionnelle, le chantage médiatique et juridique reste un levier de pression redoutable.
Dans certains cas, une triple extorsion est mise en œuvre : en plus de cibler l’entreprise, les attaquants contactent directement les clients ou partenaires commerciaux, les menaçant d’exposer leurs propres données s’ils ne réagissent pas. Une stratégie qui renforce l’effet de panique et augmente les chances d’un paiement rapide.
Cet article vous a-t-il été utile ?
À propos de l'auteur
Adrien Piron
