Table des matières
Vous est-il déjà arrivé de vous demander comment les grandes marques protègent leurs données ? Imaginez un instant que la sécurité de l’un de vos sites web favoris soit compromise, non pas directement, mais à cause d’un partenaire externe. Ce scénario est exactement ce qu’Adidas vient de vivre. Que s’est-il passé exactement et quelles en sont les implications ? Découvrez les détails d’une affaire qui rappelle l’importance cruciale de la sécurité chez les prestataires.
Les 3 infos à ne pas manquer
Adidas a récemment fait face à une compromission de données liée à l’un de ses partenaires. Ce partenaire, un licencié indépendant chargé de la distribution d’articles pour les sports de combat, a subi une intrusion dans ses systèmes informatiques. Bien que les systèmes centraux d’Adidas n’aient pas été touchés, cette faille a permis aux cybercriminels d’accéder à des données sensibles.
Les attaquants, appartenant au groupe Lapsus$, affirment avoir obtenu environ 815 000 lignes de données. Celles-ci incluent des noms, adresses électroniques, mots de passe, dates de naissance, et des informations techniques. Bien que cela puisse donner l’impression que des données clients d’Adidas aient été compromises, il semble que les informations proviennent plutôt de comptes liés à des partenaires commerciaux ou revendeurs disposant d’un accès à l’extranet de l’entreprise.
Cybernews, qui a analysé les données exfiltrées, estime que le nombre de comptes réellement affectés est bien inférieur à ce qui a été annoncé, probablement autour de cent.
Adidas a réagi en ouvrant une enquête afin de déterminer l’étendue de la compromission. L’entreprise a tenu à rassurer ses clients en affirmant que ses propres systèmes et les données de ses clients n’ont pas été touchés. Cependant, cet incident s’inscrit dans une série de failles similaires subies par Adidas à travers ses prestataires au fil des années.
En mai 2025, la marque avait déjà signalé une fuite de données impliquant un fournisseur de service client, où des informations de consommateurs avaient été compromises suite à un accès non autorisé.
Lapsus$ n’en est pas à sa première intrusion médiatisée. Le groupe a précédemment ciblé des géants tels que Microsoft, Nvidia, Samsung et Ubisoft. Leur méthode repose souvent sur l’ingénierie sociale et la compromission d’identifiants plutôt que sur l’exploitation de failles techniques complexes.
D’autres groupes cybercriminels, comme Scattered Spider et ShinyHunters, ont également opéré des attaques similaires, parfois sous une bannière commune avec Lapsus$, bien qu’aucun lien direct n’ait été confirmé avec l’incident actuel impliquant Adidas.