En avril 2025, trois des enseignes de distribution les plus emblématiques du Royaume-Uni ont été paralysées en quelques semaines. Marks & Spencer, Co-op et Harrods ont subi des cyberattaques coordonnées orchestrées par le groupe Scattered Spider, armé du ransomware-as-a-service DragonForce. Bilan : £500 millions de pertes cumulées, 6,5 millions de membres Co-op exposés, 46 jours de ventes en ligne suspendues pour M&S, et quatre arrestations de jeunes Britanniques âgés de 17 à 20 ans. Un an plus tard, cette vague demeure l’événement cybercriminel le plus coûteux de l’histoire du commerce de détail européen, et ses leçons restent d’une actualité brûlante pour toutes les entreprises du continent.
Scattered Spider : anatomie d’un groupe criminel atypique
Scattered Spider, également référencé sous l’alias UNC3944 dans la taxonomie de Mandiant/Google Threat Intelligence, est une nébuleuse cybercriminelle anglophone composée principalement de jeunes adultes et d’adolescents britanniques et américains. Actif depuis 2022, le groupe a ciblé plus de 100 organisations dans des secteurs aussi variés que les télécommunications, la finance, le jeu vidéo et, plus récemment, la grande distribution. Sa signature : l’ingénierie sociale portée à un niveau de sophistication rarement observé, combinant SIM swapping, phishing vocal (vishing) et manipulation ciblée des helpdesks informatiques.
Contrairement aux groupes APT (Advanced Persistent Threat) étatiques, Scattered Spider opère dans un écosystème hybride : ses membres recrutent des compétences techniques sur des forums comme Telegram et BreachForums, puis externalisent la partie ransomware à des plateformes RaaS. En 2023, le groupe avait déjà paralysé MGM Resorts International pendant dix jours, causant des pertes estimées à 100 millions de dollars déclarées à la SEC américaine. L’attaque de 2025 contre les retailers britanniques confirme une montée en puissance inquiétante.
David Warburton, directeur de la recherche chez F5 Labs, souligne la singularité du groupe : « Scattered Spider casse tous les clichés de la cybercriminalité organisée. Ces jeunes gens parlent anglais nativement, maîtrisent parfaitement les cultures d’entreprise anglophones, et exploitent ce capital culturel pour tromper des agents de support sans méfiance. Aucune barrière linguistique, aucune hésitation lors des appels téléphoniques. »
DragonForce : le ransomware-as-a-service qui a tout déclenché
DragonForce est une plateforme RaaS émergente qui fournit à ses affiliés l’ensemble des outils nécessaires pour mener des attaques de double extorsion : chiffrement des systèmes cibles, exfiltration de données, site de fuite pour les victimes récalcitrantes, et infrastructure de négociation de rançon. Apparu fin 2023, DragonForce a rapidement recruté des affiliés parmi les groupes les plus actifs, dont Scattered Spider.
Le modèle économique est limpide : DragonForce perçoit une commission d’environ 20 à 30 % sur chaque rançon payée, le reste allant aux affiliés. Cette structure incite les groupes à cibler des victimes à haute valeur ajoutée. Les retailers britanniques, avec leurs systèmes POS et leurs bases de données clients massives, représentaient exactement ce profil. L’analyse technique publiée par Vorboss en août 2025 précise que les attaquants ont spécifiquement ciblé les serveurs VMware ESXi de M&S le 24 avril 2025, chiffrant les machines virtuelles hébergeant les systèmes d’e-commerce, de traitement des paiements et de logistique.
DragonForce a comblé un vide laissé par le démantèlement d’ALPHV/BlackCat par le FBI en décembre 2023. En moins de dix-huit mois, la plateforme est devenue l’une des plus actives du paysage RaaS mondial, revendiquant plus de 40 victimes supplémentaires dans les six mois suivant les attaques contre les retailers britanniques, selon les données publiées par les chercheurs de Recorded Future.
Chronologie de l’attaque contre Marks & Spencer
L’attaque contre M&S s’est déroulée en plusieurs phases distinctes, caractéristiques de la méthodologie Scattered Spider.
Phase de reconnaissance (mars-avril 2025). Les attaquants ont d’abord ciblé Tata Consultancy Services (TCS), le prestataire informatique qui gère le helpdesk IT de M&S. En se faisant passer pour des employés internes, ils ont obtenu des réinitialisations de mots de passe et des accès VPN, procédé classique de Scattered Spider que les chercheurs désignent sous le terme de « helpdesk social engineering ».
Phase d’intrusion et de déplacement latéral (début avril 2025). Une fois dans le réseau de TCS, les attaquants ont pivoté vers l’infrastructure M&S, volé des identifiants Active Directory et établi une persistance via des web shells et des connexions de commande-et-contrôle (C2).
Phase d’exfiltration (avant le 22 avril 2025). Avant de déclencher le ransomware, le groupe a extrait les données clients : noms, adresses postales, adresses e-mail, numéros de téléphone, dates de naissance et historiques de commandes. La tactique de double extorsion était en place.
Chiffrement DragonForce (24 avril 2025). Les serveurs VMware ESXi hébergeant les systèmes critiques de M&S ont été chiffrés. Les ventes en ligne de vêtements ont été suspendues immédiatement. M&S a continué à vendre en magasin physique, mais des ruptures de stock progressives ont touché les rayons, liées à la paralysie des systèmes logistiques.
Reprise partielle (10 juin 2025). Après 46 jours d’interruption, M&S a relancé ses ventes en ligne pour certaines gammes de vêtements. La pleine restauration des systèmes s’est prolongée jusqu’en juillet 2025.
Co-op et Harrods : une vague coordonnée sur le retail britannique
L’attaque contre M&S n’était pas isolée. Dans la même période de Pâques 2025, Scattered Spider a frappé deux autres enseignes britanniques de premier plan, confirmant une stratégie de campagne coordonnée plutôt que des opportunités ponctuelles.
Le Co-op, coopérative de grande distribution comptant plus de 2 500 magasins au Royaume-Uni, a subi une intrusion en avril 2025 qui a compromis les données de 6,5 millions de membres. Contrairement à M&S, Co-op avait récemment migré une partie de ses systèmes vers le cloud, ce qui a limité l’impact opérationnel : les stocks sont revenus à la normale dès fin mai 2025, et les magasins ont repris un fonctionnement habituel en juin. L’estimation de la perte de revenus atteint néanmoins £206 millions selon les déclarations officielles de la coopérative.
Harrods, le grand magasin de luxe de Knightsbridge à Londres, a également été ciblé dans la même campagne. Les détails de l’attaque contre Harrods sont demeurés plus discrets, l’enseigne n’ayant pas divulgué de chiffres précis sur l’impact financier ou le nombre de clients affectés. L’incident a néanmoins contraint Harrods à isoler temporairement certains systèmes informatiques.
Le Cyber Monitoring Centre (CMC) britannique a qualifié les attaques contre M&S et Co-op de « single combined cyber event », les classant comme « événement systémique de catégorie 2 ». Cette classification, utilisée habituellement pour des catastrophes naturelles affectant des infrastructures critiques, témoigne de l’ampleur macroéconomique de l’incident. L’impact financier total toutes enseignes confondues est estimé entre £270 millions et £440 millions, soit entre 363 et 592 millions de dollars selon les taux de change d’alors.
Tableau comparatif : les trois attaques de 2025
| Critère | Marks & Spencer | Co-op | Harrods |
|---|---|---|---|
| Date de l’attaque | Avril 2025 (chiffrement : 24 avril) | Avril 2025 | Avril-mai 2025 |
| Vecteur d’accès initial | Social engineering helpdesk TCS | Social engineering | Non divulgué |
| Ransomware déployé | DragonForce (VMware ESXi) | DragonForce | Non confirmé |
| Données compromises | Noms, adresses, e-mails, téléphones, dates de naissance, historiques commandes | 6,5 millions de membres | Non divulgué |
| Durée d’interruption | 46 jours (ventes en ligne) | Quelques semaines | Partielle |
| Perte financière estimée | £300 millions | £206 millions | Non divulguée |
| Arrestations liées | Oui (4 suspects, juillet 2025) | Oui (même affaire) | Oui (même affaire) |
Comment Scattered Spider a exploité TCS pour pénétrer M&S
Le vecteur d’attaque initial confirme une tendance alarmante pour toutes les grandes entreprises : les sous-traitants IT constituent un maillon vulnérable. M&S avait externalisé la gestion de son helpdesk informatique à Tata Consultancy Services (TCS), l’un des plus grands prestataires de services IT au monde avec plus de 600 000 employés. C’est par ce maillon que Scattered Spider a pénétré.
Le processus est documenté avec précision. Les attaquants ont contacté le helpdesk TCS en se faisant passer pour des employés M&S légitimes, invoquant des problèmes d’accès urgents. Exploitant la pression opérationnelle des agents de support et l’absence de vérification d’identité forte sur certains comptes, ils ont obtenu des réinitialisations de mots de passe et des tokens d’accès VPN. Le déplacement latéral vers l’infrastructure centrale de M&S a suivi en quelques jours.
Archie Norman, président du conseil d’administration de M&S, a confirmé devant une commission parlementaire britannique en juillet 2025 : « L’attaque a été menée via une ingénierie sociale sophistiquée impliquant un tiers. » Norman a explicitement nommé Scattered Spider et DragonForce devant les parlementaires, une transparence rare dans le monde des entreprises cotées, mais saluée par la communauté cybersécurité pour avoir permis au secteur retail d’identifier clairement le vecteur de risque.
Chester Wisniewski, chercheur principal chez Sophos, a commenté ce vecteur d’attaque dans une analyse publiée après l’incident : « Le helpdesk social engineering est systémique dans les attaques de Scattered Spider. La pression sur les agents de support pour résoudre rapidement les tickets crée une fenêtre d’exploitation que ces attaquants utilisent avec une efficacité redoutable. Les entreprises doivent traiter leur helpdesk comme un périmètre de sécurité à part entière. »
Les données volées : ce que les clients de M&S doivent savoir
M&S a confirmé que les données personnelles des clients ont été exfiltrées avant le déclenchement du ransomware. Les informations compromises comprennent : noms et prénoms, adresses postales, adresses e-mail, numéros de téléphone, dates de naissance et historiques de commandes en ligne. M&S a précisé que les données bancaires et les mots de passe en clair n’ont pas été compromis, les mots de passe étant stockés sous forme hachée.
Néanmoins, la combinaison de données personnelles identifiables (PII) exfiltrées représente un risque concret de phishing ciblé et d’usurpation d’identité pour les clients concernés. Les adresses e-mail couplées aux historiques de commandes permettent à des acteurs malveillants de construire des e-mails de phishing hautement personnalisés, imitant par exemple une notification de retour de commande M&S.
Co-op a de son côté confirmé que les données de ses 6,5 millions de membres ont été compromises, sans préciser l’étendue exacte des informations exfiltrées. Dans les deux cas, DragonForce a appliqué une tactique de double extorsion classique : chiffrement des systèmes ET menace de publication des données volées. Ni M&S ni Co-op n’ont divulgué si une rançon avait été payée.
Impact financier : £500M de pertes, un record historique
L’impact financier de cette campagne n’a pas de précédent dans l’histoire du commerce de détail britannique. En combinant les pertes déclarées de M&S (£300 millions en perte de bénéfice opérationnel) et de Co-op (£206 millions de perte de revenus), le total dépasse £506 millions pour les deux seules enseignes ayant divulgué des chiffres précis.
| Indicateur financier | Marks & Spencer | Co-op | Total (2 enseignes) |
|---|---|---|---|
| Perte financière déclarée | £300M (bénéfice opérationnel) | £206M (revenus) | £506M |
| Estimation CMC (fourchette) | £270M – £440M (M&S + Co-op combinés) | £270M-£440M | |
| Durée interruption e-commerce | 46 jours | Quelques semaines | N/A |
| Clients / membres affectés | Non divulgué (PII exfiltrées) | 6,5 millions de membres | 6,5M+ |
| Perte MGM Resorts 2023 (comparatif) | 100 millions USD (attaque similaire par Scattered Spider) | ||
Pour M&S spécifiquement, l’interruption de 46 jours des ventes en ligne de vêtements a privé l’entreprise d’un canal représentant une part croissante de son chiffre d’affaires total. La perte de £300 millions communiquée aux investisseurs dans le cadre des résultats annuels 2024-2025 constitue une réduction substantielle d’un bénéfice opérationnel qui se situait aux alentours de £875 millions l’année précédente.
La réponse des autorités : NCA, NCSC et arrestations
La réaction des autorités britanniques a été inhabituellement rapide. Le National Cyber Security Centre (NCSC) et la National Crime Agency (NCA) ont immédiatement ouvert des enquêtes parallèles, collaborant avec des partenaires comme l’ICO (Information Commissioner’s Office) et des agences étrangères.
Le 9 et 10 juillet 2025, la NCA a procédé à quatre arrestations dans le cadre de l’enquête sur les attaques contre M&S, Co-op et Harrods. Les profils des suspects sont révélateurs de la sociologie de Scattered Spider : une femme de 20 ans originaire du Staffordshire, deux hommes de 19 ans (l’un Britannique de Londres, l’autre de nationalité lettone du West Midlands), et un jeune homme de 17 ans originaire du West Midlands. Tous ont été arrêtés à leurs domiciles respectifs. Les chefs d’inculpation comprennent chantage, blanchiment d’argent, violation du Computer Misuse Act et appartenance à une organisation criminelle.
Un porte-parole de la NCA a déclaré suite aux interpellations : « Ces arrestations témoignent de notre détermination à poursuivre ceux qui utilisent les cyberattaques pour cibler des entreprises britanniques et voler des données appartenant à des millions de citoyens. Nous continuons à démanteler les réseaux criminels responsables de ces attaques. »
La NCA a également collaboré avec le FBI américain, qui menait ses propres investigations sur des membres présumés de Scattered Spider liés à des attaques antérieures contre des cibles américaines. Cette coopération transatlantique est coordonnée par Europol dans le cadre du Joint Cybercrime Action Taskforce (J-CAT). Malgré ces quatre arrestations, Scattered Spider n’a pas cessé ses activités, le groupe opérant sur un modèle décentralisé sans leadership unique identifiable.
Parallèle avec MGM Resorts 2023 : le même groupe, une montée en puissance
L’attaque de MGM Resorts International en septembre 2023 constitue le précédent le plus direct. Scattered Spider avait utilisé la même technique de helpdesk social engineering pour infiltrer les systèmes de MGM, en déployant ensuite le ransomware ALPHV/BlackCat. L’hôtelier américain avait subi 10 jours d’interruption de ses systèmes dans plusieurs propriétés à Las Vegas, avec des pertes estimées à 100 millions de dollars déclarées à la SEC.
La progression entre 2023 et 2025 est frappante : en deux ans, Scattered Spider est passé de cibles américaines uniques à des campagnes multi-victimes coordonnées au Royaume-Uni, multipliant l’impact financier par cinq. Le groupe a également changé de partenaire RaaS, passant d’ALPHV/BlackCat à DragonForce après la disruption d’ALPHV par le FBI en décembre 2023.
Kimberly Goody, responsable de la threat intelligence chez Google Mandiant, a noté cette évolution dans un rapport de juin 2025 : « UNC3944 démontre une capacité d’adaptation remarquable. Après la perturbation d’ALPHV, le groupe a rapidement pivoté vers DragonForce, maintenant son niveau opérationnel sans interruption significative. Ce comportement de résilience est caractéristique des groupes cybercriminels les plus sophistiqués du moment. »
Réponse réglementaire : ICO, UK GDPR et sanctions en perspective
L’Information Commissioner’s Office (ICO) britannique a ouvert une enquête sur la violation de données M&S. Sous le UK GDPR, l’ICO peut infliger une amende allant jusqu’à 4 % du chiffre d’affaires mondial annuel en cas de manquements avérés à la sécurité des données. Pour M&S, dont le chiffre d’affaires 2024 dépassait £13 milliards, cette exposition maximale théorique dépasse les £500 millions.
En pratique, les amendes pour violations liées à des cyberattaques sont généralement inférieures au plafond légal, les autorités tenant compte des mesures de coopération et de remédiation. À titre de comparaison, l’ICO a infligé des amendes de £963 900 à deux entreprises pour une cyberattaque affectant 633 000 personnes au Royaume-Uni en 2026, selon le rapport de suivi Gibson Dunn.
En France et en Europe, la CNIL et ses homologues observent attentivement cette affaire. Les obligations de notification sous le RGPD (72 heures après la découverte d’une violation) et les exigences de la directive NIS2 pour les entités essentielles et importantes concernent aussi les grands retailers opérant dans l’UE. Ces attaques alimentent les discussions au sein du Comité européen de la protection des données (CEPD) sur le renforcement des exigences de sécurité applicables au commerce de détail. Pour mieux comprendre les implications réglementaires, consultez notre analyse du Cyber Resilience Act 2026.
Leçons pour les entreprises européennes : cinq failles systémiques exposées
L’attaque contre les retailers britanniques expose des vulnérabilités structurelles qui concernent directement les entreprises françaises, allemandes, espagnoles et plus largement européennes.
1. Le risque de la chaîne d’approvisionnement IT. TCS n’a pas été compromis directement, mais utilisé comme vecteur via ses agents de support. Toute entreprise qui externalise son helpdesk sans imposer des protocoles de vérification d’identité robustes (MFA résistant au phishing de type FIDO2, callbacks de vérification, procédures d’escalade) expose son réseau principal. En France, de nombreuses grandes entreprises des secteurs retail, hôtellerie et services financiers utilisent des prestataires IT mutualisés, créant des risques identiques.
2. La protection des serveurs de virtualisation VMware ESXi. Le ciblage des hyperviseurs VMware illustre une tendance lourde : les ransomwares modernes ciblent les environnements de virtualisation pour chiffrer des dizaines de machines virtuelles en une seule opération, maximisant les dégâts. Les entreprises utilisant VMware ESXi doivent segmenter ces environnements, activer le secure boot, limiter l’accès administrateur et maintenir leurs versions à jour.
3. La migration cloud comme bouclier partiel. Co-op a résisté plus rapidement que M&S en partie grâce à sa migration cloud récente, qui a permis une restauration accélérée des systèmes critiques. Les systèmes on-premise VMware ESXi non sauvegardés de manière immuable représentent un risque disproportionné face aux ransomwares modernes.
4. L’absence de MFA résistant au phishing sur les comptes administrateurs. Scattered Spider exploite systématiquement les systèmes d’authentification faibles. L’implémentation de clés FIDO2 ou de passkeys pour tous les accès administrateurs aurait rendu l’attaque initiale contre TCS nettement plus difficile.
5. Les plans de continuité d’activité insuffisamment testés. Le contraste entre M&S (46 jours d’interruption) et Co-op (quelques semaines) illustre l’importance critique d’un plan de continuité d’activité (PCA) réellement testé, incluant des procédures de restauration à froid et des sauvegardes immuables hors ligne. Cette problématique est également au coeur des nouvelles obligations du cadre NIS2 pour les opérateurs en Europe.
5 prédictions pour la menace Scattered Spider en 2026-2027
- Extension aux retailers européens continentaux. Après le Royaume-Uni, les grandes enseignes de distribution française, allemande et espagnole représentent les prochaines cibles logiques. La densité de systèmes IT externalisés dans la distribution européenne reproduit exactement le vecteur TCS/M&S.
- Intégration de l’IA générative dans les attaques de social engineering. Scattered Spider va intégrer des voix synthétiques (voice cloning) et des deepfakes vidéo pour rendre ses attaques de vishing encore plus convaincantes. Des cas impliquant des deepfakes vocaux imitant des DSI ou RSSI sont déjà documentés dans d’autres campagnes cybercriminelles en 2026.
- Pression législative accrue sur les prestataires IT. Suite à l’affaire TCS/M&S, les régulateurs britanniques et européens vont renforcer les obligations de sécurité applicables aux MSP (Managed Service Providers). La directive NIS2 et le Cyber Resilience Act créeront de nouvelles responsabilités contractuelles pour les sous-traitants IT opérant en Europe.
- Davantage d’arrestations, mais renouvellement criminel constant. La NCA et le FBI vont poursuivre leurs opérations. Mais le modèle de recrutement décentralisé de Scattered Spider, via des forums accessibles à des milliers de jeunes, garantit un renouvellement continu des membres actifs.
- DragonForce comme concurrent direct de LockBit dans le paysage RaaS. Après la disruption de LockBit par Europol et le FBI en 2024, DragonForce se positionne pour occuper le segment haut de gamme du RaaS, attirant des affiliés issus de groupes démantelés. L’incident M&S a démontré sa capacité opérationnelle à large échelle.
Couverture connexe
À lire aussi sur shattered.io
- Foxconn et le ransomware Nitrogen : 8 To volés, données Apple et Nvidia exposées
- MOVEit CVE-2026-4670 : CVSS 9.8, 3 000 entreprises en alerte
- Cyber Resilience Act 2026 : 3 échéances, 15 M€ d’amende
- Ransomware en Europe : cyberextorsion et nouvelles tendances 2026
- FICOBA : 1,2 million de comptes bancaires piratés en France
Pour approfondir les mécanismes de défense, consultez nos ressources sur l’analyse Scattered Spider par The Hacker News, la réponse du secteur retail britannique selon Infosecurity Magazine, et le rapport SecurityWeek sur les arrestations de la NCA.
FAQ : Scattered Spider, DragonForce et les attaques retail
Qui est Scattered Spider ?
Scattered Spider (alias UNC3944) est un groupe cybercriminel anglophone composé principalement de jeunes adultes et d’adolescents britanniques et américains. Actif depuis 2022, il a ciblé plus de 100 organisations via l’ingénierie sociale, le SIM swapping et la manipulation des helpdesks IT. Sa capacité à parler anglais natif lui permet de tromper les agents de support sans éveiller de soupçons.
Qu’est-ce que DragonForce ransomware ?
DragonForce est une plateforme ransomware-as-a-service (RaaS) apparue fin 2023. Elle fournit à ses affiliés des outils de chiffrement, d’exfiltration et de négociation de rançon contre une commission de 20 à 30 % sur les paiements reçus. Scattered Spider l’a adopté après la disruption d’ALPHV/BlackCat par le FBI en décembre 2023.
Combien Marks & Spencer a-t-il perdu lors de la cyberattaque ?
M&S a estimé les pertes de bénéfice opérationnel à environ £300 millions selon ses communications aux investisseurs. La vente en ligne de vêtements a été interrompue pendant 46 jours, du 24 avril au 10 juin 2025. La pleine restauration des systèmes s’est prolongée jusqu’en juillet 2025.
Combien de clients Co-op ont été affectés ?
Co-op a confirmé que les données d’environ 6,5 millions de membres ont été compromises lors de l’attaque d’avril 2025. Les pertes de revenus associées ont été estimées à £206 millions. Co-op a récupéré plus rapidement que M&S grâce à une migration cloud récente.
Des arrestations ont-elles eu lieu ?
Oui. La NCA britannique a arrêté quatre individus les 9 et 10 juillet 2025 : une femme de 20 ans du Staffordshire, deux hommes de 19 ans (un Britannique de Londres et un ressortissant letton du West Midlands), et un jeune homme de 17 ans du West Midlands. Les chefs d’inculpation comprennent chantage, blanchiment d’argent et violation du Computer Misuse Act.
Comment se protéger contre Scattered Spider ?
Les mesures prioritaires incluent : MFA résistant au phishing (clés FIDO2/passkeys) pour tous les comptes administrateurs, formation des agents de helpdesk aux techniques de social engineering, procédures de vérification d’identité robustes pour les réinitialisations de mots de passe, segmentation des environnements VMware ESXi, sauvegardes immuables hors ligne, et révision des contrats avec les prestataires IT tiers pour imposer des standards de sécurité équivalents.
Quel lien entre Scattered Spider et l’attaque MGM Resorts 2023 ?
Scattered Spider est le même groupe qui a attaqué MGM Resorts en septembre 2023, causant 100 millions de dollars de pertes et 10 jours d’interruption dans plusieurs hôtels de Las Vegas. La méthode utilisée était identique : helpdesk social engineering pour obtenir un accès initial, suivi du déploiement de ransomware (ALPHV/BlackCat en 2023, DragonForce en 2025). L’ampleur a considérablement augmenté entre les deux campagnes.
