Extorsion des données d'un sous-traitant de Saudi Aramco en 2021

En juillet 2021, le plus grand producteur de pétrole au monde, Saudi Aramco, a confirmé que 1 téraoctet de ses données propriétaires avait été volé et était utilisé dans un stratagème de cyber-extorsion. Un groupe se faisant appeler ZeroX a exigé une rançon de 50 millions de dollars — mais, fait inhabituel, les propres réseaux de l'entreprise n'ont jamais été compromis.

Ce qui s'est passé

Les données sont apparues pour la première fois le 23 juin 2021, lorsqu'un vendeur sur la place de marché cybercriminelle RaidForums a mis en vente 1 To de fichiers d'Aramco. ZeroX a affirmé avoir obtenu ce trésor environ un an plus tôt en exploitant une vulnérabilité zero-day, sans toutefois fournir de précisions. Surtout, Aramco a déclaré que les données ne provenaient pas de ses propres systèmes mais de l'un de ses sous-traitants tiers — une compromission classique de la chaîne d'approvisionnement.

ZeroX a transformé l'extorsion en spectacle public. Sur le forum, le groupe a publié un compte à rebours de 662 heures avant le début des négociations, le présentant comme une « énigme » pour le géant pétrolier. Le prix de départ était de 5 millions de dollars, avec une option de rachat « exclusif » rapportée à 50 millions de dollars, payable dans la cryptomonnaie confidentielle Monero.

Impact

L'archive divulguée contenait environ 14 254 fiches d'employés, comprenant noms, photographies, scans de passeports et de pièces d'identité, courriels et numéros de téléphone.
Elle renfermait également des spécifications de projets, des rapports internes, des schémas de topologie réseau et des listes de clients, avec des fichiers remontant à 1993.
Aramco a souligné que l'incident n'avait aucun impact sur ses opérations et que la violation n'avait pas touché ses systèmes OT ou de production essentiels.
Aucune preuve publique n'indique qu'Aramco a payé la rançon ; les données ont été proposées à la vente à tout acheteur.

Attribution

L'acteur n'est connu que sous le pseudonyme ZeroX. La question de savoir si ZeroX était l'intrus d'origine ou simplement un courtier revendant des données volées par un tiers n'a jamais été tranchée. Aucune attribution à un État-nation n'a été établie, et l'opération est apparue comme une cybercriminalité purement motivée par l'appât du gain plutôt qu'un sabotage.

Pourquoi c'est important

Survenant près d'une décennie après l'attaque destructrice Shamoon de 2012, cet incident a montré comment le risque d'Aramco était passé du sabotage par wiper au vol de données via la chaîne d'approvisionnement. L'entreprise ayant renforcé son propre périmètre après 2012, les attaquants se sont rabattus sur ses sous-traitants et fournisseurs plus faibles. Le cas est devenu une référence en matière de gestion des risques liés aux tiers dans le secteur de l'énergie, soulignant que même une organisation dotée de défenses internes de classe mondiale peut être victime d'extorsion via les données qu'elle partage avec ses partenaires.

Chronologie

23 juin 2021

Un acteur malveillant sur la place de marché RaidForums met en vente 1 To de données volées à Saudi Aramco, avec des fichiers remontant à 1993.

14 juillet 2021

ZeroX entame les négociations, publiant un compte à rebours de 662 heures et une mise de départ de 5 millions de dollars pour le jeu de données.

21 juillet 2021

Saudi Aramco confirme une fuite de données, déclarant qu'elle provenait d'un sous-traitant tiers et n'a pas affecté ses propres opérations.

22 juillet 2021

Les médias rapportent une demande d'extorsion de 50 millions de dollars, payable en cryptomonnaie Monero.

23 juillet 2021

Aramco réaffirme que la violation n'a eu aucun impact sur ses opérations et qu'elle maintient une posture de cybersécurité robuste.

Sources

aljazeera.comhttps://www.aljazeera.com/economy/2021/7/21/saudi-aramco-confirms-data-leak-after-reports-of-cyber-ransom

techradar.comhttps://www.techradar.com/news/saudi-aramco-hit-by-1tb-data-breach

flashpoint.iohttps://flashpoint.io/blog/saudi-aramco-data-breach-highlights-risks-to-oil-and-gas-industry/

cpomagazine.comhttps://www.cpomagazine.com/cyber-security/third-party-security-failure-caused-1-tb-data-breach-at-saudi-aramco-hackers-play-puzzle-games-with-oil-giant/

Incidents liés

WiperContenu15 août 2012

Wiper Shamoon contre Saudi Aramco

Le wiper Shamoon, attribué à l'Iran, a détruit les données d'environ 30 000 postes de travail de Saudi Aramco en une seule journée, mettant hors ligne pendant deux semaines le parc informatique de la plus grande compagnie pétrolière au monde. La première grande opération cyber iranienne de représailles.

Victim: Saudi Aramco
Loss: $200.0M

Fuite de donnéesContenu12 mai 2026

Fuite de données chez Enercoop après compromission d'un compte

Le 11 mai 2026, le fournisseur coopératif d'énergie renouvelable Enercoop a subi un incident de sécurité au cours duquel des adresses e-mail liées à des comptes clients, prospects et sociétaires ont été compromises puis utilisées pour envoyer des messages frauduleux usurpant son service client.

Victim: Enercoop

Fuite de donnéesEn cours27 décembre 2025

Fuite chez ENI

En décembre 2025, les activités françaises du groupe énergétique italien ENI ont subi une fuite de données revendiquée par le groupe Lapsus$, exposant les coordonnées professionnelles de dizaines de milliers de clients entreprises ; ENI a confirmé l'incident et notifié la CNIL.

Victim: ENI

Fuite de donnéesInconnu28 février 2025

Fuite chez EDF DPIH

Le 28 février 2025, un pirate a affirmé avoir dérobé une base de données de la division hydraulique d'EDF (DPIH), exposant des plans d'intervention et de maintenance des centrales, des résultats de contrôles de sécurité et des identifiants d'agents ; EDF et les chercheurs ont contesté les allégations nucléaires.

Victim: EDF DPIH