Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Arrêt des chaînes de production de TSMC par WannaCry

Une variante du rançongiciel WannaCry s'est propagée à travers les équipements de fabrication Windows 7 non corrigés de TSMC, le plus grand fondeur de puces au monde, paralysant la production des usines de Hsinchu, Taichung et Tainan et causant environ 170 millions de dollars de pertes.

Victime
Taiwan Semiconductor Manufacturing Company (TSMC)
Perte
$170.0M
SecteurIndustrieTechnologie
PaysTaïwan
CVECVE-2017-0144

Le 3 août 2018, la Taiwan Semiconductor Manufacturing Company (TSMC) — le plus grand fondeur de puces sous contrat au monde et un fournisseur essentiel d'Apple, AMD et Nvidia — a subi une perturbation sans précédent lorsqu'une variante du rançongiciel WannaCry a balayé son réseau de production, paralysant les chaînes de fabrication pendant deux jours et coûtant environ 170 millions de dollars.

Ce qui s'est passé

L'infection n'a pas commencé par une intrusion ciblée mais par une défaillance d'hygiène de la chaîne d'approvisionnement. Un fournisseur a connecté un nouvel équipement de fabrication au réseau de TSMC sans l'analyser au préalable. La machine était porteuse d'une variante de WannaCry, le ver qui avait semé le chaos mondial en mai 2017.

WannaCry se propage à l'aide d'EternalBlue (CVE-2017-0144), un exploit d'une faille du protocole SMBv1 de Microsoft divulgué par la NSA. Bien que Microsoft ait corrigé la vulnérabilité plus d'un an auparavant, les usines de TSMC faisaient tourner des milliers de machines Windows 7 non corrigées hébergeant l'interface d'automatisation qui contrôle les équipements de fabrication. Le ver s'est propagé rapidement à travers ces systèmes, provoquant plantages et redémarrages en boucle plutôt que de chiffrer des fichiers contre rançon.

En quelques heures, plus de 10 000 machines ont été affectées, contraignant TSMC à fermer ses usines de Hsinchu, Taichung et Tainan — dont certaines produisaient des composants système sur puce pour les futurs iPhone d'Apple.

Impact

  • La production a été interrompue pendant environ deux jours dans plusieurs usines.
  • TSMC a estimé que l'incident amputerait d'environ 3 % le chiffre d'affaires du troisième trimestre, pour des pertes totales d'environ 170 millions de dollars (environ 5,2 milliards NT$).
  • Au 5 août, environ 80 % des équipements affectés étaient rétablis ; le rétablissement complet a suivi peu après.
  • Aucune donnée client n'a été dérobée et aucune rançon n'a été payée — les dommages furent purement opérationnels.

Pourquoi c'est important

TSMC a été un signal d'alarme pour la sécurité des technologies opérationnelles (OT) dans l'industrie. L'épisode a montré comment un seul outil non analysé et un parc de machines Windows héritées et non corrigées pouvaient mettre à l'arrêt l'une des usines les plus avancées de la planète. Les environnements industriels font souvent tourner des systèmes d'exploitation obsolètes parce que la requalification des équipements de production est lente et coûteuse — mais TSMC a prouvé que cette dette technique a un coût à neuf chiffres.

L'incident a accéléré l'adoption de procédures d'intégration d'équipements plus strictes, de segmentation réseau et de gouvernance des correctifs dans toute l'industrie des semi-conducteurs, et constitue l'exemple canonique d'un ver générique causant des dommages stratégiques à une infrastructure critique de la chaîne d'approvisionnement, sans aucun sabotage délibéré.

Chronologie

  1. Un fournisseur de TSMC connecte au réseau un nouvel équipement de fabrication infecté sans l'analyser, introduisant une variante de WannaCry.

  2. Le ver se propage via l'exploit SMB EternalBlue sur des milliers de machines Windows 7 non corrigées exécutant l'interface d'automatisation des outils, provoquant des plantages et des redémarrages en boucle.

  3. TSMC prend des mesures d'urgence tandis que les usines de Hsinchu, Taichung et Tainan ferment pendant le week-end.

  4. TSMC rétablit environ 80 % des équipements affectés et confirme qu'une variante de WannaCry, et non une attaque ciblée, en est responsable.

  5. TSMC annonce un rétablissement complet et estime l'impact à environ 3 % du chiffre d'affaires du troisième trimestre, soit environ 170 millions de dollars de pertes.

Sources

  1. securityweek.comhttps://www.securityweek.com/chip-giant-tsmc-says-wannacry-behind-production-halt/
  2. thehackernews.comhttps://thehackernews.com/2018/08/tsmc-wannacry-ransomware-attack.html
  3. sst.semiconductor-digest.comhttps://sst.semiconductor-digest.com/2018/08/tsmc-wannacry-infection-forces-shutdowns-financial-losses/
  4. bloomberg.comhttps://www.bloomberg.com/news/articles/2018-08-04/tsmc-takes-emergency-steps-as-operations-hit-by-computer-virus

Incidents liés

RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)
Bourrage d’identifiantsEn cours

FortiBleed : un jeu de données fuite les identifiants VPN de ~74 000 pare-feu Fortinet

Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.

Victim
Organizations running Fortinet FortiGate firewalls worldwide
RançongicielInconnu

L'entreprise allemande de défense navale Atlas Elektronik figure sur le site de fuite du rançongiciel TheGentlemen

Le groupe d'extorsion en pleine expansion TheGentlemen a ajouté le 28 juin 2026 le fabricant allemand d'électronique de défense navale Atlas Elektronik à son site de fuite sur le dark web, revendiquant une attaque par double extorsion datée d'environ le 25 juin, bien que la filiale de TKMS n'ait confirmé publiquement aucune compromission.

Victim
Atlas Elektronik (TKMS)