Source : inside-it.ch – Philipp Anz
Date : 20 janvier 2026
🎯 Faits clés
L’attaque ransomware subie par Ingram Micro à l’été 2025 s’est révélée bien plus grave que prévu. L’entreprise confirme désormais une fuite massive de données personnelles concernant plus de 42 000 personnes, selon une notification officielle déposée auprès du procureur général de l’État du Maine (États-Unis).
L’attaque, détectée le 3 juillet 2025, avait initialement entraîné l’indisponibilité temporaire du site web et des systèmes de commande du distributeur IT mondial. Le groupe ransomware Safepay a revendiqué l’opération et affirmé avoir exfiltré 3,5 To de données.
📂 Données compromises
Les investigations ont montré que des fichiers issus de répertoires internes ont été volés. Les données exposées incluent notamment :
- Nom et coordonnées
- Date de naissance
- Identifiants officiels :
- Numéro de sécurité sociale
- Numéro de permis de conduire
- Numéro de passeport
- Informations liées à l’emploi :
- Dossiers RH
- Candidatures
- Évaluations professionnelles
👉 Les personnes concernées seraient principalement des employés actuels ou anciens, ainsi que des candidats à l’embauche. Ingram Micro emploie environ 24 000 personnes dans le monde.
🇨🇭 Impact en Suisse
Des analyses menées par inside-it.ch ont révélé que les données exfiltrées contenaient également de nombreux documents liés à Ingram Micro Suisse, notamment :
- Programmes de financement fournisseurs (« Supplier Finance Programs Switzerland »)
- Contrats et accords avec :
- Fabricants IT
- Distributeurs
- Consultants
- Revendeurs et prestataires IT suisses
À l’époque, l’entreprise n’avait pas répondu aux demandes de clarification concernant l’impact local.
🧠 TTPs (extraits MITRE ATT&CK – probables)
Les détails techniques complets n’ayant pas été rendus publics, les TTPs ci-dessous reposent sur des déductions cohérentes avec les opérations ransomware de type Safepay.
- T1566 – Phishing (vecteur d’accès initial possible)
- T1078 – Valid Accounts (usage potentiel de comptes compromis)
- T1486 – Data Encrypted for Impact (ransomware)
- T1041 – Exfiltration Over C2 Channel
- T1567.002 – Exfiltration vers des services hébergés / cloud
- T1490 – Inhibit System Recovery (suppression de sauvegardes)
- T1059 – Command and Scripting Interpreter
🧾 IOCs observables
Aucun IOC technique détaillé (hashs, adresses IP, domaines C2) n’a été publié à ce stade.
Indicateurs contextuels
- Publication d’un arbre de répertoires sur le dark web par Safepay
- Ultimatums de rançon multiples
- Vol ciblé de :
- Répertoires RH
- Dossiers de candidatures
- Données sensibles à forte valeur d’extorsion
⚠️ Enjeux et enseignements
Cette affaire illustre :
- La forte valeur des données RH pour les groupes ransomware
- Les risques de double extorsion (chiffrement + fuite)
- L’impact durable d’une compromission, même après un rétablissement opérationnel rapide
Elle rappelle également que les répertoires internes non critiques en apparence (RH, candidatures) constituent des cibles stratégiques pour les attaquants.
Cet article relève d’une couverture d’actualité visant à informer sur l’étendue de l’exposition de données à la suite d’un incident.