Les derniers gros vols de données – 11 déc 2025

Voici la revue hebdomadaire des fuites, pertes ou vols de données signalés cette semaine, avec un focus sur les incidents les plus sensibles.

Cette semaine met en scène une même logique, déclinée sur plusieurs continents : la donnée comme cible principale et levier de pression. Les attaques mêlant zero-day, exfiltration et divulgation publique frappent le secteur santé en Europe, tandis qu’une exposition massive chez un géant du e-commerce en Asie confirme le risque systémique des plateformes. Le cas ASUS rappelle que la chaîne d’approvisionnement reste un point d’entrée stratégique, même lorsque l’éditeur affirme un impact limité sur ses environnements internes.

Selon GBHackers, Barts Health NHS Trust a révélé une violation de données significative après l’exploitation d’une vulnérabilité critique zero‑day dans Oracle E‑Business Suite par le rançongiciel Cl0p. Le groupe criminel a accédé à une base de données de facturation et volé des fichiers contenant des informations sur des patients et des membres du personnel. L’incident lie explicitement le bug zero‑day d’Oracle au vol ciblé de fichiers d’une base de factures, ce qui montre que l’attaque n’a pas seulement visé l’interruption de service mais aussi l’exfiltration de données exploitables. La diffusion sur des forums clandestins constitue le dernier stade décrit de cette opération menée par Cl0p.

D’après TechCrunch, des chercheurs de l’ONG Amnesty International affirment, à partir d’une vidéo fuitée, que des employés d’Intellexa avaient un accès à distance, en direct, aux systèmes de surveillance de certains clients gouvernementaux. La vidéo de formation montrerait l’interface du logiciel espion Predator, son tableau de bord et un système de stockage contenant photos, messages et autres données de surveillance collectées sur les victimes. L’accès distant passait par TeamViewer, un outil standard de prise de contrôle de postes à distance. Amnesty décrit des tentatives d’infection « live » visant de vraies cibles, dont au moins une en lien avec un appareil situé au Kazakhstan, avec affichage de l’URL d’infection, de l’adresse IP et des versions logicielles du téléphone ciblé.

La plateforme française de téléconsultation MédecinDirect a confirmé un incident de sécurité majeur touchant les données de santé de millions de personnes. Comme le rapporte Generation‑NT, les intrus ont accédé à des informations personnelles incluant le numéro de Sécurité sociale des patients. Les données compromises comprennent aussi des éléments médicaux très sensibles, comme le motif des consultations réalisées via le service de médecine à distance.

Selon Le Monde, les données personnelles d’environ 1,6 million de jeunes suivis par les missions locales pour l’emploi « sont susceptibles d’être divulguées » après le piratage d’un compte agent. Les informations concernées incluent nom, prénom, date de naissance, numéro de Sécurité sociale, identifiant France Travail, adresses e‑mail et postale ainsi que numéro de téléphone. Le compte compromis appartenait à un responsable « gestion de compte » d’une mission locale, l’intrus ayant créé deux nouveaux comptes pour consulter les dossiers. Aucun mot de passe ni coordonnée bancaire n’aurait été extrait.

Le géant sud‑coréen du commerce en ligne Coupang a annoncé une violation de données de très grande ampleur, exposant les informations personnelles d’environ 34 millions d’utilisateurs. Comme le détaille CyberInsider, un premier accès non autorisé avait été détecté le 18 novembre sur environ 4 500 comptes, avant que l’enquête ne révèle un impact réel bien plus large, remontant à une exposition initiale datée du 24 juin 2025. Les données compromises incluent noms, numéros de téléphone, adresses e‑mail, historiques de commandes et adresses de livraison, mais pas les informations de paiement ni les mots de passe.

Le constructeur ASUS a confirmé une compromission chez un fournisseur tiers après la revendication d’attaque par le groupe de rançongiciel Everest. Selon SecurityAffairs, l’entreprise indique qu’un de ses fournisseurs a été piraté, exposant une partie du code source des modules caméra de ses téléphones, sans impact déclaré sur les produits, les systèmes internes ou les données des utilisateurs. Le 2 décembre 2025, Everest a ajouté ASUS à son site de fuites sur Tor, affirmant détenir aussi des données liées à ArcSoft et Qualcomm. Les cybercriminels disent avoir volé environ 1 téraoctet de fichiers, incluant modules binaires, code source et correctifs, journaux mémoire (RAM dumps), outils internes OEM, jeux de données d’images.

Le prestataire fintech texan Marquis a été victime d’un piratage par rançongiciel ayant entraîné le vol de données personnelles et financières concernant plus de 780 000 personnes. D’après SecurityAffairs, les informations compromises incluent noms, adresses, numéros de Sécurité sociale, dates de naissance, numéros de contribuable et données de cartes. Marquis fournit des plateformes de marketing, de données clients, d’analytique et de conformité à plus de 700 banques et coopératives de crédit américaines, souvent de 200 à 500 employés, ce qui en fait un fournisseur central pour la banque communautaire. L’attaque a été détectée le 14 août 2025 après un accès non autorisé via un pare‑feu SonicWall.

Le distributeur de bricolage Leroy Merlin a commencé à informer ses clients français d’une fuite de données personnelles à la suite d’une cyberattaque. Comme le rapporte BleepingComputer, l’enseigne, qui emploie 165 000 personnes, opère dans plusieurs pays européens ainsi qu’en Afrique du Sud et au Brésil, mais l’incident ne concerne que la France. Les informations exposées comprennent nom complet, numéro de téléphone, adresse e‑mail, adresse postale, date de naissance et données liées au programme de fidélité.

Les procureurs américains ont mis en cause deux frères résidant en Virginie, arrêtés un mercredi, pour complot visant à voler des informations sensibles et à détruire des bases de données gouvernementales après leur licenciement comme sous‑traitants fédéraux. Comme le rapporte BleepingComputer, ils sont accusés d’avoir effacé 96 bases de données appartenant à des agences publiques, ce qui représente un volume conséquent de systèmes impactés.

L’entreprise pharmaceutique américaine Inotiv a déclaré avoir subi une attaque par rançongiciel en août 2025, entraînant un vol de données personnelles. Selon BleepingComputer, la société notifie actuellement des milliers de personnes dont les informations ont été compromises lors de cet incident. Le communiqué précise que l’attaque remonte explicitement au mois d’août 2025 et qualifie l’événement de ransomware, ce qui implique à la fois chiffrement et exfiltration de données dans le scénario décrit.

La Commission européenne a infligé à X une amende de 120 millions d’euros, soit environ 140 millions de dollars, pour non‑respect des obligations de transparence imposées par le Digital Services Act. Comme l’indique BleepingComputer, la sanction est liée en particulier à des manquements concernant la présentation et la transparence des badges bleus de vérification sur la plateforme. Le montant exact, chiffré à 120 millions d’euros, s’inscrit dans le cadre répressif du DSA, qui encadre les grands services en ligne opérant au sein de l’Union européenne.