L'actualité de la semaine en matière de violations de données

Amérique du Nord

Bridgestone

Le fabricant japonais de pneus Bridgestone a confirmé qu'il enquêtait sur une cyberattaque qui a perturbé les activités de certaines de ses usines en Amérique du Nord.

Le mardi 2 septembre 2025, des informations ont fait état d'un incident de cybersécurité touchant deux sites de production de BSA dans le comté d'Aiken, en Caroline du Sud. Dès le mercredi, le problème s'était étendu à l'usine de fabrication canadienne de Bridgestone située à Joliette, au Québec.

L'entreprise a déclaré que son équipe d'intervention rapide avait maîtrisé l'intrusion dès ses premiers stades, empêchant ainsi le vol de données clients ou une compromission plus grave du réseau. Bridgestone a ajouté que, bien que l'entreprise ait connu quelques perturbations opérationnelles, notamment des retards de production, les activités sont désormais revenues à la normale.

Interrogée sur l'éventuelle implication d'un rançongiciel, la société Bridgestone n'a pas répondu, et aucun groupe n'avait revendiqué l'attaque au moment de la publication.

Amérique du Nord

Coopérative de crédit Navy Federal

Des chercheurs en sécurité ont découvert un serveur non sécurisé et mal configuré appartenant à la Navy Federal Credit Union (NFCU), qui exposait 378 Go de fichiers internes. Cette mine d'informations comprenait des données opérationnelles issues de Tableau, des identifiants d'accès internes, des adresses e-mail, des détails sur les rôles des utilisateurs, ainsi que, potentiellement, des mots de passe et des clés hachés.

Aucune donnée client en clair n'a été trouvée, et les informations relatives aux membres de la NFCU ne semblent pas avoir été compromises. Les fichiers exposés comprenaient principalement des classeurs Tableau et d'autres documents internes.

Les chercheurs ont signalé cette découverte à la NFCU, et la base de données a été sécurisée en quelques heures.

Royaume-Uni

Jaguar Land Rover

Jaguar Land Rover (JLR) a suspendu la production sur plusieurs sites à la suite d'une cyberattaque qui a infiltré ses systèmes informatiques internes ; les perturbations devraient se prolonger jusqu'en octobre. Des milliers de salariés des usines de JLR à Halewood, Solihull et Wolverhampton, au Royaume-Uni, ont reçu l'ordre de rester chez eux jusqu'à ce que le problème soit résolu, mais ils continueront à percevoir leur salaire. Des interruptions similaires touchent les activités de JLR en Slovaquie, au Brésil et en Inde.

Si les concessionnaires et les garages restent ouverts, des fournisseurs tels que WHS Plastics, Evtec, OPmobility et SurTec ont également été touchés.

Une chaîne Telegram liée aux groupes de pirates informatiques Scattered Spider, Lapsus$ et ShinyHunters a publié des captures d'écran de ce qui semble être les systèmes internes de JLR. Scattered Spider, déjà impliqué dans des attaques contre M&S, Co-op et Harrods, est soupçonné d'être impliqué.

Amérique du Nord

Salesloft Drift

Cloudflare, Zscaler et Palo Alto Networks ont confirmé cette semaine avoir été victimes d'une campagne de piratage exploitant les intégrations avec Salesloft Drift, une plateforme d'IA connectée aux systèmes Salesforce. Cette campagne, attribuée au groupe de pirates UNC6395, s'est déroulée du 8 au 18 août et aurait touché plus de 700 entreprises.

Salesloft a indiqué que les pirates avaient utilisé des identifiants volés pour extraire des données clients via son outil de chatbot Drift, acquis l'année dernière. Bien que Salesforce ait déconnecté Salesloft par mesure de précaution, la société a déclaré n'avoir constaté aucun signe d'activité malveillante au sein même de la plateforme.

Cloudflare a qualifié cet incident d'attaque sophistiquée visant la chaîne d'approvisionnement dans le cadre d'intégrations interentreprises. La société a identifié 104 jetons API parmi les données volées, qui ont tous été renouvelés depuis, et a averti que les informations client partagées dans les tickets d'assistance, notamment les journaux, les jetons ou les mots de passe, devaient être considérées comme compromises.

Google a précisé que la portée de cette campagne allait au-delà de l'intégration Salesforce-Salesloft et a recommandé à tous les clients de Salesloft Drift de considérer leurs jetons d'authentification comme potentiellement compromis.

Cet incident ne semblerait pas être lié à la faille de sécurité actuellement exploitée dans Salesforce, qui a touché de nombreuses grandes entreprises.

Amérique du Nord

Lovesac

Le détaillant de mobilier Lovesac a confirmé une violation de données après avoir détecté une activité suspecte dans son système de messagerie interne le 30 mai 2025. Une enquête a révélé qu'un individu non autorisé avait accédé au compte de messagerie d'un employé entre le 27 et le 30 mai 2025, exposant ainsi des données sensibles contenues dans des e-mails et des pièces jointes, notamment des noms et des numéros de sécurité sociale.

Le groupe de ransomware RansomHub a revendiqué l'attaque, affirmant avoir dérobé 40 Go de données de l'entreprise et menaçant de les publier sur le dark web. Lovesac a commencé à informer les personnes concernées par courrier le 4 septembre 2025 et a également signalé l'incident à plusieurs procureurs généraux d'État. L'entreprise n'a pas révélé le nombre de personnes touchées, mais celui-ci pourrait s'élever à plusieurs milliers.

Amérique du Nord

Wealthsimple

Wealthsimple, une banque en ligne et société d'investissement basée à Toronto, a révélé une faille de cybersécurité liée à un logiciel compromis provenant d'un fournisseur tiers. Wealthsimple a indiqué que cette faille avait été détectée le 30 août 2025. Cet incident a entraîné la divulgation d'informations sensibles sur les clients, notamment des numéros d'assurance sociale, des numéros de compte, des coordonnées, des adresses IP et des dates de naissance.

Moins de 1 % des clients de Wealthsimple ont été touchés, et tous ont été informés directement. La société a indiqué que la faille avait été maîtrisée en quelques heures, qu'aucun fonds n'avait été dérobé, que les mots de passe n'avaient pas été compromis et que les comptes restaient sécurisés.

Wealthsimple n'a pas révélé le nom du fournisseur concerné ni communiqué d'autres détails techniques concernant cette intrusion.