Fuite des plans de sécurité de Gunnebo

Des attaquants ont compromis l'entreprise suédoise de sécurité physique Gunnebo, dérobé 19 Go de données et, après le refus de paiement de l'entreprise, divulgué des plans de chambres fortes de banques, des schémas d'alarme et les dispositifs de sécurité de clients de premier plan, dont un bâtiment du Parlement suédois.

En août 2020, Gunnebo Group — une entreprise suédoise spécialisée dans la sécurité physique, notamment les chambres fortes de banques, le stockage sécurisé et les systèmes de contrôle d'accès — a été compromise par un groupe de rançongiciel. Lorsque Gunnebo a refusé de payer, les attaquants ont publié environ 19 Go de ses fichiers les plus sensibles, transformant une violation d'entreprise en crise de sécurité physique pour certains des sites les mieux gardés d'Europe.

Ce qui s'est passé

La compromission avait une longue mèche. Dès mars 2020, le journaliste spécialisé Brian Krebs a averti Gunnebo que des pirates avaient pénétré son réseau et vendaient l'accès à un groupe de rançongiciel. L'intrusion majeure a suivi en août 2020, une « attaque hautement organisée » que Gunnebo a signalée au Service de sécurité suédois (Säpo).

Les attaquants, identifiés comme le groupe de rançongiciel Mount Locker, ont exigé une rançon en bitcoin. La direction de Gunnebo — sous la houlette du PDG Stefan Syrén — a refusé de payer. En représailles, le groupe a mené une fuite de double extorsion, téléversant environ 38 000 fichiers dérobés sur un serveur public du dark web en octobre 2020.

Impact

En raison de l'activité de Gunnebo, les documents dérobés étaient extraordinairement sensibles — non pas des données personnelles, mais les plans de sécurité physique de ses clients :

Plans et dispositifs de sécurité de chambres fortes de plusieurs banques, dont des banques allemandes et une agence suédoise de SEB.
Documentation des systèmes d'alarme et de vidéosurveillance des installations de clients.
Plans confidentiels relatifs aux nouveaux bureaux de l'Agence fiscale suédoise et dispositifs de sécurité liés à des locaux parlementaires suédois.

La fuite a effectivement remis aux criminels une feuille de route des alarmes, caméras et agencements de chambres fortes de cibles de premier plan — des informations susceptibles de permettre des intrusions physiques bien après la violation numérique.

Pourquoi c'est important

Gunnebo est un exemple frappant de la façon dont une violation de données peut devenir une menace physique. Pour la plupart des victimes, les données divulguées exposent à la fraude ou à des atteintes à la vie privée ; pour un fournisseur de sécurité physique, des plans divulgués exposent à des casses de banques et à des intrusions dans des bâtiments gouvernementaux. L'incident a souligné que les entreprises détenant des conceptions de sécurité de tiers sont des cibles de grande valeur dont les violations mettent en péril leurs clients, et pas seulement elles-mêmes. Il est aussi devenu une étude de cas précoce et marquante du modèle de rançongiciel à double extorsion qui allait dominer le paysage des menaces, où le refus de payer est puni par la publication des données les plus dommageables que les attaquants puissent trouver.

Chronologie

1 mars 2020

KrebsOnSecurity alerte Gunnebo que des pirates ont compromis son réseau et vendu l'accès à un groupe de rançongiciel.

25 août 2020

Les attaquants mènent une intrusion hautement organisée contre les serveurs de Gunnebo ; l'incident est signalé au service de sécurité suédois Säpo.

1 septembre 2020

Le groupe de rançongiciel Mount Locker exige une rançon en bitcoin ; la direction de Gunnebo refuse de payer.

1 octobre 2020

Environ 38 000 fichiers (~19 Go) sont publiés sur le dark web, dont des plans de chambres fortes de banques et des dispositifs de sécurité de clients.

28 octobre 2020

Les médias rapportent la fuite, exposant les plans de sécurité des clients de premier plan de Gunnebo.

Sources

krebsonsecurity.comhttps://krebsonsecurity.com/2020/10/security-blueprints-of-many-companies-leaked-in-hack-of-swedish-firm-gunnebo/

infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/hackers-leak-swedish-security/

cpomagazine.comhttps://www.cpomagazine.com/cyber-security/security-blueprints-of-heavily-guarded-companies-leaked-after-ransomware-attack-on-swedish-firm/

hackread.comhttps://hackread.com/mount-locker-ransomware-group-gunnebo-ab-data/

Incidents liés

RançongicielContenu13 janvier 2020

Arrêt de production par rançongiciel chez Picanol Group (Belgique, 2020)

Une attaque par rançongiciel a paralysé les usines du fabricant de machines à tisser Picanol à Ieper (Belgique), en Roumanie et en Chine, interrompant pendant plus d'une semaine la production qui emploie environ 2 300 salariés. La cotation de l'action Picanol a été suspendue durant la perturbation.

Victim: Picanol Group

RançongicielContenu13 mai 2026

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim: Foxconn (Hon Hai Precision Industry)

RançongicielEn cours5 mai 2026

Erla Technologies : une fuite de données revendiquée par un ransomware

Le 5 mai 2026, le groupe de ransomware SpaceBears a inscrit le fabricant français d'équipements industriels Erla Technologies SAS sur son site de fuites, affirmant avoir dérobé des données personnelles d'employés et de clients, des documents financiers et des fichiers projets — dont de la documentation liée à un client de l'armée française.

Victim: Erla Technologies

RançongicielEn cours17 avril 2026

Filair : près de 50 ans d’archives internes publiées après une cyberattaque

Filair, une entreprise française de fabrication métallique industrielle, a été visée par le groupe d’extorsion Lamashtu, qui a exfiltré et publié près de 50 ans d’archives internes — des dizaines de milliers de fichiers : données CAO, documents financiers et RH.

Victim: Filair