Rançongiciel DoppelPaymer chez Pemex (Mexique, 2019)

Le rançongiciel DoppelPaymer a paralysé les systèmes informatiques d'entreprise de la compagnie pétrolière publique mexicaine Pemex, gelant pendant des semaines paiements et communications. Les attaquants exigeaient 565 BTC (~5 M$). Pemex a refusé de payer ; le coût total de remédiation a atteint environ 71 millions de dollars.

En novembre 2019, la compagnie pétrolière publique mexicaine Petróleos Mexicanos (Pemex) a été frappée par le rançongiciel DoppelPaymer, qui a paralysé ses systèmes informatiques d'entreprise pendant des semaines. Les attaquants exigeaient 565 BTC (~5 millions de dollars). Pemex a refusé de payer ; les coûts totaux de remédiation ont atteint environ 71 millions de dollars.

Ce qui s'est passé

L'attaque a été détectée le 10 novembre 2019. Pemex a mis ses ordinateurs hors ligne dans tout le Mexique, interrompant le traitement des paiements et gelant les communications administratives clés. Des courriels internes ont initialement étiqueté à tort le logiciel malveillant comme Ryuk ; une demande de rançon publique renvoyant à un site sur le darknet a clarifié la famille comme étant DoppelPaymer, qui était à l'époque une opération de rançongiciel relativement nouvelle mais déjà prolifique.

La demande de DoppelPaymer s'élevait à 565 BTC (environ 4,9 millions de dollars aux cours de l'époque), avec un ultimatum de 48 heures. Le 13 novembre, Pemex a publiquement déclaré qu'elle ne paierait pas.

La production pétrolière proprement dite s'est poursuivie pendant l'incident — les systèmes industriels de technologie opérationnelle (OT) de Pemex étaient architecturalement séparés et n'ont pas été touchés. Le périmètre de l'impact s'est limité à l'informatique d'entreprise : courriel, traitement des paiements, gestion documentaire. Malgré cela, l'entreprise a déclaré des coûts de nettoyage d'environ 71 millions de dollars, dont une faible partie seulement couverte par l'assurance.

Impact

Informatique d'entreprise paralysée pendant des semaines ; traitement des paiements gelé.
Systèmes de technologie opérationnelle non affectés — la production pétrolière s'est poursuivie.
Aucune rançon payée (refus de la demande d'environ 5 M$).
Environ 71 millions de dollars en coûts de nettoyage.
L'une des décisions de non-paiement les plus médiatisées dans l'histoire des rançongiciels visant des infrastructures critiques à l'époque.

Pourquoi cela compte

Pemex constitue une référence fondatrice pour la transition de DoppelPaymer d'opérations purement criminelles vers des cibles publiques à forte valeur. C'est aussi un exemple précoce et probant de la manière dont la segmentation IT/OT peut maintenir un rançongiciel à l'écart du contrôle industriel critique pour la sécurité, tout en infligeant des dizaines de millions de dollars de dégâts à l'informatique d'entreprise.

Chronologie

10 novembre 2019

Pemex détecte une activité de rançongiciel sur ses systèmes d'entreprise. Les ordinateurs sont mis hors ligne dans tout le pays ; le traitement des paiements est gelé.

12 novembre 2019

Une demande de rançon renvoyant à un site sur le darknet exige 565 BTC (~4,9 M$) ; ultimatum de 48 heures. La note est cohérente avec la famille du rançongiciel DoppelPaymer (initialement étiquetée à tort en interne comme Ryuk).

13 novembre 2019

Pemex déclare publiquement qu'elle ne paiera pas la rançon.

2019-11 — 2019-12

Les systèmes de communication et d'administration restent dégradés pendant des semaines ; la production pétrolière se poursuit — les systèmes de technologie opérationnelle ne sont pas affectés. Les coûts de nettoyage atteignent environ 71 millions de dollars.

Sources

industryweek.comhttps://www.industryweek.com/technology-and-iiot/article/22028585/a-hacker-wants-about-5-million-in-ransom-from-pemex-by-end-of-november

insurancejournal.comhttps://www.insurancejournal.com/news/international/2019/11/13/548252.htm

bankinfosecurity.comhttps://www.bankinfosecurity.com/ransomware-mexican-oil-firm-reportedly-refuses-to-pay-up-a-13404

controleng.comhttps://www.controleng.com/throwback-attack-hackers-demand-5-million-from-mexican-oil-and-gas-giant-in-pemex-cyberattack/

Incidents liés

RançongicielInconnu24 mai 2026

La mairie d’Eyguières paralysée par un ransomware

La mairie d’Eyguières, commune d’environ 7 000 habitants située dans les Alpilles, a été victime d’une cyberattaque au ransomware ce vendredi 22 mai 2026.

Victim: La mairie d’Eyguières

RançongicielInconnu21 avril 2026

Engie : une cyberattaque revendiquée par un groupe ransomware

Le groupe de hackers Coinbasecartel affirme avoir mené une cyberattaque contre Engie, géant français de l’énergie présent dans l’électricité, le gaz et

Victim: Engie

RançongicielInconnu26 décembre 2025

Fuite chez Commune de Lens

probable ransomware

Victim: Commune de Lens

RançongicielContenu21 août 2024

Attaque RansomHub contre Halliburton (2024)

RansomHub a obtenu l'accès aux systèmes de Halliburton, conduisant le géant des services pétroliers à mettre des infrastructures hors ligne. L'incident a retardé la facturation et les bons de commande, et Halliburton a comptabilisé une perte de 35 millions de dollars dans ses dépôts SEC.

Victim: Halliburton
Loss: $35.0M