Cyberattaque Jaguar Land Rover : les enquêteurs pointent la Russie, mais le groupe reste non identifié

Attribution et résultats clés de la cyberattaque contre Jaguar Land Rover

Le groupe de pirates russes responsable n'a pas été publiquement nommé au niveau de l'unité opérationnelle. Les enquêteurs des agences de renseignement britanniques et américaines, ainsi que des entreprises privées de cybersécurité, ont conclu que l'attaque avait été menée par des hackers russes. Cependant, selon les rapports les plus détaillés (The New York Times, juin 2026), la désignation spécifique du groupe – comme un groupe APT nommé (APT29/Cozy Bear, Sandworm ou Star Blizzard) – n'a pas été formellement divulguée dans les sources ouvertes . Les autorités cherchaient encore à déterminer si les attaquants agissaient à la demande du Kremlin ou avec son assentiment tacite .

Comment l'attaque s'est déroulée

La brèche a commencé le 31 août 2025 et a reposé sur l'ingénierie sociale plutôt que sur des exploits techniques sophistiqués .

• L'accès initial a été obtenu grâce à une campagne de vishing (hameçonnage vocal) hautement contextualisée. Les attaquants ont appelé le service d'assistance informatique de JLR – en ciblant un employé de son fournisseur de services informatiques, Tata Consultancy Services – en se faisant passer pour des employés légitimes afin de demander des réinitialisations de mots de passe et des réenregistrements d'authentification multifacteur. Cela a permis le vol de jetons et la connexion avec des identifiants volés.
• Une fois à l'intérieur, les attaquants se sont déplacés latéralement des systèmes informatiques vers les systèmes ERP/MES (gestion de la production et de la relation client), perturbant finalement les lignes de production sur le terrain.
• L'intrusion a été détectée le 31 août, et JLR a suspendu sa production le 1er septembre. Il a fallu près de six semaines pour commencer à redémarrer la fabrication, ce qui a coûté à l'entreprise environ 50 millions de livres sterling par semaine de pertes directes .

Entités menant l'enquête d'attribution

L'enquête a été menée par les agences de renseignement et les entreprises privées de cybersécurité du Royaume-Uni et des États-Unis . Le New York Times a rapporté les conclusions en s'appuyant sur cinq sources anonymes proches de l'enquête . Le Cyber Monitoring Centre (CMC), un organisme indépendant britannique, a classé l'incident comme un événement systémique de catégorie 3 et a estimé l'impact économique total au Royaume-Uni à 1,9 milliard de livres sterling (environ 2,5 milliards de dollars), affectant plus de 5 000 entreprises.

Contradiction avec les premières revendications de Scattered Lapsus$ Hunters

Immédiatement après l'attaque, un groupe se faisant appeler Scattered Lapsus$ Hunters a revendiqué la responsabilité sur Telegram. Le nom suggérait une collaboration entre Scattered Spider, Lapsus$ et ShinyHunters – trois groupes de cybercriminels anglophones .

Mais les enquêteurs ont ensuite conclu que cette revendication était fausse. L'attaque était différente dans sa méthodologie et sa motivation des ransomwares criminels typiques : il n'y a jamais eu de demande d'argent, et l'intention semblait être le sabotage plutôt que l'extorsion . Les attaquants ont utilisé "Scattered Lapsus$ Hunters" comme une identité de couverture, et l'attribution initiale à ce groupe par certains médias était incorrecte.

La réponse du gouvernement britannique : un prêt de 1,5 milliard de livres

Les 27-29 septembre 2025, le secrétaire d'État aux Affaires, Peter Kyle, a annoncé que le gouvernement britannique garantirait un prêt de 1,5 milliard de livres sterling (2 milliards de dollars) auprès d'une banque commerciale pour Jaguar Land Rover . Cette intervention sans précédent visait à stabiliser les finances de JLR, à protéger les emplois qualifiés et à sécuriser sa chaîne d'approvisionnement, qui menaçait de s'effondrer en raison de retards de paiement . La garantie a été décrite comme une mesure d'urgence pour empêcher des milliers de licenciements dans la chaîne d'approvisionnement, les critiques avertissant plus tard qu'elle créait un "précédent fâcheux" pour de futurs incidents cybernétiques.

Découverte insolite concernant un hacker jordanien

Les sources disponibles ne contiennent aucun reportage confirmé concernant un hacker jordanien qui aurait simultanément infiltré les réseaux de JLR. Aucun des articles cités ne fait référence à ce détail, et le budget de recherche a été épuisé avant qu'une recherche ciblée puisse être effectuée. Cette information semble non fondée dans les preuves disponibles. Si vous avez une source pour cette affirmation, je peux la vérifier plus en détail.