L’attaque contre Marks & Spencer — 64 000 employés, 1 400 magasins, un tiers du chiffre d’affaires en ligne — commence en réalité en février 2025, soit deux mois avant que quiconque ne s’en aperçoive. Les attaquants du collectif Scattered Spider s’introduisent dans le réseau via une technique d’ingénierie sociale audacieuse : ils se font passer pour un employé M&S par téléphone auprès du prestataire externalisé gérant le helpdesk IT, et obtiennent une réinitialisation de mot de passe. Munis de ces identifiants légitimes, ils accèdent au fichier NTDS.dit du contrôleur de domaine Windows — la base Active Directory contenant les hachages de mots de passe de tous les utilisateurs. Une fois ces hachages craqués hors-ligne, ils déploient le ransomware DragonForce sur les serveurs virtuels critiques.
- Fév. 2025 Intrusion silencieuse — Scattered Spider vole le NTDS.dit via vishing sur le helpdesk
- 19–21 avr. Premières pannes visibles — Paiements sans contact et Click & Collect défaillants
- 25 avr. Arrêt e-commerce — Site, app et commandes suspendus, début de la crise publique
- 13 mai Confirmation fuite de données — Noms, adresses, dates de naissance, historiques d’achats
- 21 mai Bilan financier — 300 M£ de pertes annoncées; site remis en lecture seule
- 10 juin Reprise partielle — Premières commandes vêtements acceptées après 46 jours d’arrêt
La même semaine d’avril 2025, Co-op et le grand magasin de luxe Harrods subissent des attaques similaires revendiquées par DragonForce. Cette vague coordonnée révèle que le retail britannique est ciblé systématiquement. Le président d’M&S, Archie Norman, a confirmé publiquement que l’attaque avait débuté par une impersonation et que les attaquants avaient réinitialisé des mots de passe via un service desk tiers — soulignant des lacunes dans la sécurisation des accès prestataires et la gestion de l’Active Directory. La question du paiement d’une rançon reste non confirmée (DragonForce n’a pas publié les données sur son site de leak).