Skip to content
Faille zero-dayRésolu

Exploitation massive de MOVEit Transfer (Cl0p)

Cl0p a exploité la CVE-2023-34362 dans MOVEit Transfer de Progress Software pour rançonner plus de 2 700 organisations, dont la BBC, British Airways et le département américain de l’Énergie.

Partie de la campagnecl0p mass exploitation
Victime
Progress Software MOVEit Transfer (2 700+ en aval)
Perte
$12.15B
données
95.0M
utilisateurs
95.0M

Fin mai 2023, le groupe d’extorsion russophone Cl0p a armé la CVE-2023-34362, une injection SQL zero-day dans MOVEit Transfer de Progress Software — un logiciel de transfert de fichiers utilisé par les banques, les administrations, les prestataires de paie et les cabinets d’avocats pour déplacer des données sensibles entre organisations.

Ce qui s’est passé

Cl0p a mené la campagne comme une exploitation massive plutôt qu’en ciblant des victimes individuelles : des scanners ont martelé toutes les instances MOVEit Transfer exposées sur Internet, déposé un webshell (« LEMURLOOT »), puis exfiltré des bases de données. Les correctifs sont arrivés le 31 mai 2023, mais la plupart des victimes avaient déjà été compromises.

Plutôt que de chiffrer les données, Cl0p a choisi une extorsion pure : les organisations étaient listées sur le site de fuite du groupe avec des deadlines, et celles qui refusaient de payer voyaient leurs données publiées au fil des mois.

Conséquences

  • Plus de 2 700 organisations confirmées compromises, avec Emsisoft qui a suivi la longue traîne tout au long de 2024.
  • Environ 95 millions de personnes ont vu leurs données exposées — bénéficiaires Medicare américains (via Maximus), retraités britanniques (via Zellis), clients de banques allemandes.
  • Victimes notables : BBC, British Airways, Boots, Aer Lingus, Shell, Sony, Deloitte, EY, PwC, département américain de l’Énergie, Johns Hopkins University, Maximus.
  • Coût cumulé estimé : plus de 12 milliards de dollars (selon IBM/Ponemon).

Pourquoi c’est important

MOVEit illustre le risque amont de chaîne d’approvisionnement à l’état pur : une vulnérabilité dans un produit, exploitée à l’échelle d’Internet, propagée en aval vers des milliers d’organisations qui n’avaient jamais directement choisi MOVEit mais dépendaient d’un prestataire de paie, de comptabilité ou de remboursement qui l’utilisait. La campagne a aussi marqué la maturité opérationnelle de l’extorsion pure de données comme alternative au chiffrement — pas de chiffrement, pas d’indisponibilité, juste du levier.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
12.15B
USD · 12 150 000 000 $US
Rançon payée
$100.0M
  • Rançon payée$100.0M
  • Perte d’exploitation$4.50B
  • Remédiation$7.00B
  • Amendes & règlements$550.0M

Chronologie

  1. Cl0p commence l’exploitation massive de la CVE-2023-34362, une injection SQL zero-day dans MOVEit Transfer.

  2. Progress Software publie un avis d’urgence et des correctifs.

  3. La CISA publie l’avis AA23-158A. Cl0p publie les premières victimes sur son site de fuite.

  4. British Airways, la BBC et Boots révèlent leur impact via Zellis (un prestataire de paie britannique utilisant MOVEit).

  5. Maximus, prestataire de services fédéraux américain, déclare jusqu’à 11 millions de dossiers compromis.

  6. Le décompte final dépasse 2 700 organisations et environ 95 millions de personnes dans le monde.

Sources

  1. cisa.govhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
  2. progress.comhttps://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability
  3. emsisoft.comhttps://www.emsisoft.com/en/blog/45044/unpacking-the-moveit-breach-statistics-and-analysis/

Incidents liés

WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B
Faille zero-dayContenu

La NAIC confirme une fuite de données après l'exploitation d'une faille zero-day Oracle PeopleSoft par ShinyHunters

La National Association of Insurance Commissioners a révélé le 23 juin 2026 que des attaquants avaient exploité une faille zero-day d'Oracle PeopleSoft pour accéder à une partie de son environnement ; dès le 25 juin, le groupe d'extorsion ShinyHunters avait publié en ligne les données volées, revendiquant plus de 3,1 téraoctets.

Victim
National Association of Insurance Commissioners (NAIC)
Chaîne d’approvisionnementContenu

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss
$100.00B