Fermeture en chaîne de Coop Suède via Kaseya

Le 3 juillet 2021, la coopérative de supermarchés suédoise Coop a fermé brutalement environ 800 magasins à travers la Suède. La cause n'était pas une attaque visant Coop elle-même, mais l'une des attaques par rançongiciel de la chaîne d'approvisionnement les plus marquantes de l'histoire — la compromission de Kaseya VSA par REvil — qui s'est propagée via un prestataire informatique jusqu'à paralyser les systèmes de caisse de Coop dans tout le pays.

Ce qui s'est passé

Le 2 juillet 2021, le groupe de rançongiciel lié à la Russie REvil (Sodinokibi) a exploité une vulnérabilité zero-day (CVE-2021-30116) dans Kaseya VSA, une plateforme de supervision et de gestion à distance utilisée par des prestataires de services gérés (MSP) dans le monde entier. En compromettant le logiciel de Kaseya, REvil a pu diffuser simultanément un rançongiciel vers des milliers d'organisations en aval via leurs MSP.

Coop n'était pas un client direct de Kaseya. L'attaque l'a atteinte via Visma Esscom, le MSP qui gère le logiciel de point de vente de Coop alimentant ses caisses et bornes de paiement en libre-service. Lorsque les systèmes de Visma ont été chiffrés, les terminaux de caisse de Coop se sont éteints — et un supermarché qui ne peut encaisser ses clients ne peut rester ouvert.

Impact

Coop a été contrainte de fermer environ 800 magasins — soit la quasi-totalité de son réseau suédois — durant un week-end férié.
Les magasins sont restés fermés plusieurs jours ; le partenaire de réponse aux incidents de Coop, Truesec, a aidé à reconstruire les systèmes de paiement, la plupart des magasins rouvrant en environ six jours, vers le 8 juillet.
Coop a déployé des contournements, dont une méthode de paiement par auto-scan via application mobile, pour remettre certains magasins en service plus tôt.
À l'échelle mondiale, REvil a exigé une rançon de 70 millions de dollars pour un déchiffreur universel couvrant toutes les victimes de Kaseya ; Coop n'a pas payé et Kaseya a finalement obtenu un déchiffreur.

Pourquoi c'est important

La fermeture de Coop est devenue la conséquence concrète la plus visible de l'attaque Kaseya et une illustration emblématique du risque lié à la chaîne d'approvisionnement et aux tiers de quatrième niveau. Coop avait fait tout ce qu'un client final pouvait raisonnablement faire, et s'est pourtant retrouvée paralysée parce qu'une vulnérabilité située trois niveaux plus haut dans sa chaîne logicielle — éditeur vers MSP vers détaillant — a été exploitée à grande échelle. L'incident a accéléré l'attention réglementaire et industrielle portée à la sécurité des MSP et à l'intégrité de la chaîne d'approvisionnement logicielle, des thèmes qui allaient ancrer la directive NIS2 de l'UE et des cadres de résilience similaires. Il demeure l'exemple européen de référence de la façon dont une seule faille zero-day en amont peut vider les rayons des supermarchés de leurs clients.

Chronologie

2 juillet 2021

REvil exploite une faille zero-day dans Kaseya VSA pour diffuser un rançongiciel vers des prestataires de services gérés et leurs clients en aval dans le monde entier.

2 juillet 2021

Le prestataire de Coop, Visma Esscom, qui gère le logiciel de point de vente de Coop, est touché, désactivant les caisses et les bornes de paiement en libre-service de Coop.

3 juillet 2021

Coop ferme environ 800 de ses quelque 800 magasins en Suède faute de pouvoir encaisser les clients.

4 juillet 2021

REvil exige publiquement 70 millions de dollars en bitcoin pour un déchiffreur universel couvrant toutes les victimes de Kaseya.

8 juillet 2021

Coop rouvre ses magasins après qu'un contournement a rétabli les fonctions de point de vente.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/coop-supermarket-closes-500-stores-after-kaseya-ransomware-attack/

therecord.mediahttps://therecord.media/supermarket-chain-coop-closes-800-stores-following-kaseya-ransomware-attack

thelocal.sehttps://www.thelocal.se/20210706/what-do-we-know-about-the-cyberattack-that-forced-hundreds-of-swedish-supermarkets-to-close

truesec.comhttps://www.truesec.com/why-truesec/cases/coop-back-in-business-after-the-largest-ransomware-attack-of-all-time

Incidents liés

Chaîne d’approvisionnementContenu2 juillet 2021

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim: Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss: $200.0M

Chaîne d’approvisionnementInconnu4 mai 2026

La Redoute : une base logistique de 96 000 clients liées aux livraisons en fuite

Le 4 mai 2026, un hacker sous le pseudonyme Lagui a mis en ligne une base d’environ 96 000 clients de La Redoute — noms, adresses postales, téléphones, e-mails et historiques de commandes/livraisons — que l’enseigne attribue à un incident de janvier 2026 chez son partenaire logistique Relais Colis.

Victim: La Redoute
Records: 96.0K

Chaîne d’approvisionnementContenu17 avril 2026

Fuite chez Jeu Jouet

Le distributeur français de jouets en ligne JeuJouet.com a alerté ses clients en avril 2026 après la compromission de sa plateforme e-commerce Magento dans une campagne d'exploitation massive, exposant potentiellement noms, e-mails, identifiants de compte et commandes ; aucune donnée bancaire concernée.

Victim: Jeu Jouet

Chaîne d’approvisionnementEn cours18 mars 2026

10 816 clients de Canada Goose dans une fuite de données

Des clients français de la marque de vêtements de luxe Canada Goose ont été touchés par une fuite de données diffusée par le groupe d'extorsion ShinyHunters, le sous-ensemble français comptant 10 816 enregistrements au sein d'un corpus d'environ 600 000 dossiers clients attribué à un prestataire de paiement tiers.

Victim: Canada Goose
Records: 10.8K