Selon des sources citées par Bloomberg du dossier, le piratage aurait été orchestré par des hackers associé au collectif Warlock. Ce groupe est connu pour fournir un service de ransomware à d’autres cybercriminels, leur permettant de crypter les systèmes de leurs victimes et de réclamer une rançon pour leur restitution.
Dans ce cas précis, les pirates ont exploité une faille dans les systèmes internes d’Orange. L’attaque a permis l’exfiltration d’environ 4 gigaoctets de données, qui ont été rendues publiques sur le dark web à la mi-août.
Des données limitées mais exposées
Orange a reconnu l’incident et confirmé que les données volées avaient été publiées. Toutefois, l’entreprise assure que les informations concernées étaient soit obsolètes, soit de faible sensibilité. L’accès des pirates aux systèmes aurait été « limité », selon un porte-parole.
L’opérateur indique également avoir informé en amont les entreprises concernées par cette fuite et collaborer étroitement avec les autorités compétentes depuis la détection de l’attaque.
Une série noire pour Orange en 2025
Ce n’est pas la première fois qu’Orange fait face à une compromission cette année. En juillet, la filiale belge de l’opérateur a subi une intrusion révélée cette semaine ayant entraîné la fuite de données clients. Le même mois, une cyberattaque a touché Orange Cyberdefense Plus tôt cette année, un autre incident a également exposé des données d’employés en Roumanie, qui ont elles aussi été mises en ligne sur le dark web.
Warlock, un nouveau visage de la cybercriminalité
Apparu récemment sur la scène des ransomwares, Warlock s’est rapidement fait un nom en multipliant les attaques contre des entreprises de télécommunications (Colt par exemple).
Ce groupe ne mène pas toujours les assauts directement : il loue son outil de chiffrement à d’autres hackers, leur permettant de bloquer l’accès aux systèmes informatiques de leurs cibles tout en exigeant une rançon pour restaurer les données.
Depuis la mi-août, Warlock aurait revendiqué pas moins de 22 nouvelles victimes, selon la plateforme de veille RansomLook.io.
Selon Microsoft et les chercheurs de Trend Micro, le succès de Warlock repose sur l’exploitation de deux vulnérabilités critiques de SharePoint Server, connues sous le nom de ToolShell. Ces failles permettent de contourner l’authentification et d’exécuter du code à distance. Malgré la diffusion rapide de correctifs, de nombreuses entreprises ont tardé à les appliquer, ouvrant la voie à des attaques complexes.
