En avril 2025, les distributeurs britanniques Marks & Spencer, Co-op et Harrods ont été frappés par une série de cyberattaques. L'accès à M&S n'est pas passé par une vulnérabilité technique sophistiquée, mais par un appel téléphonique : les attaquants — attribués au groupe Scattered Spider — se sont fait passer pour un employé et ont appelé le service d'assistance IT (externalisé chez un tiers), qui a alors effectué une réinitialisation de mot de passe. La porte d'entrée était ouverte. Les dégâts estimés se chiffrent en centaines de millions de livres. C'est le cas d'école international de l'ingénierie sociale du support.
Comment l'attaque s'est déroulée
Scattered Spider est connu pour déployer des membres anglophones qui jouent de façon convaincante le rôle d'un collègue ou d'un agent IT. Chez M&S, ils ont appelé le service d'assistance, se sont fait passer pour un employé incapable de se connecter, et ont obtenu une réinitialisation de mot de passe. Pas de malware, pas de zero-day — juste un appel et une histoire crédible.
Avec cet accès initial, les attaquants ont progressé jusqu'au cœur du réseau. Ils ont récupéré la base centrale de mots de passe d'Active Directory (le fichier NTDS.dit), cassé les empreintes de mots de passe hors ligne et obtenu l'accès à un large éventail de comptes. Ils ont fini par déployer le rançongiciel DragonForce sur l'environnement de M&S.
Fait notable : le support appelé était externalisé chez un fournisseur externe. Le maillon faible ne se trouvait donc pas seulement dans un processus, mais dans la chaîne d'approvisionnement — une combinaison d'ingénierie sociale et de risque fournisseur.
Pourquoi le support est une cible si attrayante
Un support IT existe pour aider les gens bloqués — souvent sous pression et avec une certaine propension à faire des exceptions. C'est précisément cette serviabilité qui en fait une cible idéale. Quelqu'un qui paraît convaincant et met un peu la pression ('j'ai une présentation dans cinq minutes et je suis bloqué') peut amener un agent à réinitialiser.
Le problème est structurel, pas individuel. Un agent qui effectue cent réinitialisations légitimes par jour ne peut pas rester en alerte avec chaque appelant sans procédure claire. La solution n'est donc pas 'faire plus attention', mais un processus de vérification strict qu'une bonne histoire ne peut contourner.
Une vérification d'identité forte avant une réinitialisation ou un changement de MFA est ici l'essentiel : un rappel vers un numéro enregistré, une confirmation par un second canal, ou l'approbation du responsable. Aucune vérification que l'appelant peut fournir lui-même.
La MFA et les mots de passe seuls ne suffisent pas
Beaucoup d'organisations s'appuient sur la MFA et des mots de passe complexes. M&S montre que c'est insuffisant quand le processus de récupération autour est faible. Un attaquant n'a pas besoin de casser ton mot de passe s'il peut amener le support à le réinitialiser — et à ré-enrôler la MFA sur son propre appareil.
Le processus de réinitialisation et de récupération est donc aussi critique que la sécurité de connexion elle-même. C'est un angle mort de beaucoup de programmes de sensibilisation : on consacre beaucoup d'attention aux mots de passe forts et au non-clic, mais presque aucune à la question 'comment le support sait-il avec certitude que c'est bien toi ?'
La MFA résistante au phishing (clés matérielles ou passkeys) aide, mais seulement si les processus d'exception — clé perdue, nouveau téléphone — sont tout aussi strictement sécurisés. Les attaquants cherchent toujours l'exception.
Pourquoi cela concerne aussi ton organisation
Scattered Spider n'est pas une menace exotique réservée aux distributeurs britanniques. La même technique — appeler, se faire passer pour, demander une réinitialisation — fonctionne dans presque toute organisation dotée d'un support. L'approche est bon marché, scalable et ne nécessite aucune vulnérabilité technique.
Sous le RGPD, une fuite comme celle de M&S est un incident à notifier, et pour beaucoup de secteurs NIS2 renforce le devoir de diligence ; en France, l'ANSSI encadre la sécurité des entités essentielles. Mais plus importante que la question de conformité est la question opérationnelle : ton support aurait-il arrêté un appelant convaincant ?
Cette question se teste. Un test d'ingénierie sociale ciblé sur le support révèle sans pitié si ton processus de vérification tient en pratique — pas sur le papier, mais quand quelqu'un appelle vraiment.
Comment l'intégrer dans ton programme de sensibilisation
Le cas M&S est idéal pour déplacer l'attention de 'ne pas cliquer' vers 'qui vérifies-tu, et comment'. Il rend aussi tangible pour la direction pourquoi processus et comportement doivent s'accorder.
Concentre-toi en particulier sur le support IT et sur toute personne pouvant réinitialiser des identités ou accorder des accès.
- Public + rythme : donne au support IT un module dédié et récurrent sur la vérification d'identité lors des réinitialisations et changements de MFA.
- Fixe une règle stricte : jamais de réinitialisation ou de changement de MFA sans vérification via un canal indépendant et enregistré (rappel, responsable, second facteur).
- Teste-le vraiment : mène un test d'ingénierie sociale ciblé sur le support et discute du résultat sans sanctionner personne.
- Mesure si la procédure tient : combien de demandes de réinitialisation sont correctement vérifiées avant exécution ?
- Besoin d'approfondir ? Découvre comment t'entraîner via la simulation de phishing et d'ingénierie sociale.
Articles connexes
- La fuite Odido : un appel, 6 millions de personnes
- L'attaque ChipSoft : le risque fournisseur dans ton programme
- Rançongiciel et comportement des employés
Questions fréquentes
Comment Scattered Spider est-il entré chez Marks & Spencer ?
Pas via une vulnérabilité technique, mais par ingénierie sociale du support IT. Les attaquants ont appelé le service d'assistance (externalisé), se sont fait passer pour un employé incapable de se connecter et ont obtenu une réinitialisation de mot de passe. Avec cet accès, ils ont ensuite saisi la base centrale de mots de passe d'Active Directory et déployé un rançongiciel.
Pourquoi le support IT est-il une cible privilégiée ?
Un support existe pour aider vite, souvent sous pression et avec une propension à faire des exceptions. Cette serviabilité est précisément ce qu'exploitent les attaquants. C'est un problème structurel : sans processus de vérification strict, un appelant convaincant peut forcer une réinitialisation, aussi attentif l'agent soit-il.
La MFA ne protège-t-elle pas contre ce type d'attaque ?
Pas d'elle-même. Si le support réinitialise un mot de passe et ré-enrôle la MFA sur l'appareil de l'attaquant, la MFA est contournée. Le processus de récupération et de réinitialisation est donc aussi critique que la sécurité de connexion. La MFA résistante au phishing n'aide que si les processus d'exception sont aussi strictement sécurisés.
Cela peut-il arriver à mon organisation ?
Oui. La technique — appeler, se faire passer pour, demander une réinitialisation — fonctionne dans presque toute organisation dotée d'un support et ne nécessite aucune vulnérabilité technique. Tu peux tester ta résilience avec un test d'ingénierie sociale ciblé sur le support qui montre si ton processus de vérification tient en pratique.