Le groupe Volvo en Amérique du Nord a été la cible d’une cyberattaque le 20 août 2025. L’incident n’a été détecté que trois jours plus tard par la société scandinave Miljödata, prestataire spécialisé dans les solutions de gestion des ressources humaines. Ses services sont utilisés notamment pour la gestion des certificats médicaux, les procédures de réhabilitation et le suivi des accidents du travail.
Quel acteur ?
L’attaque a été revendiquée par des pirates affiliés à DataCarry, une opération de rançongiciel et d’extorsion de données récemment observée. Le groupe a déjà fait de nombreuses victimes dans divers secteurs — assurance, santé, immobilier, vente au détail et aérospatiale — à travers plusieurs pays, dont la Lettonie, la Belgique, la Turquie, l’Afrique du Sud, la Suisse, le Danemark et le Royaume-Uni. L’émergence rapide et l’ampleur internationale de DataCarry témoignent d’une organisation particulièrement structurée et active.
Quelle type d’attaque ?
Il s’agit d’une attaque de type rançongiciel (ransomware) ayant visé le prestataire suédois Miljödata. Cette intrusion a permis au groupe pirate d’accéder à des informations confidentielles telles que les noms, numéros de sécurité sociale, adresses et identifiants gouvernementaux.
L’attaque menée contre l’entreprise suédoise a touché au moins 25 organisations, parmi lesquelles figurent des sociétés par actions simplifiées (SAS) et plusieurs municipalités.
Pour le groupe Volvo, l’incident s’est traduit par la divulgation de 870 000 comptes compromis, contenant des adresses e-mail, numéros de téléphone, adresses physiques, dates de naissance, identifiants gouvernementaux et informations relatives au sexe. Toutefois, les serveurs internes de Volvo n’ont pas été infiltrés.
Le groupe de cybercriminels a par la suite publié une partie des données volées sur son site clandestin.
Note de rançon
Your network has been attacked.
All files have been encrypted with a strong encryption algorithm.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation.
No decryption software is available in the public. If you wish to try decryption on your own, do it on a file that does not matter.
DO NOT RESET OR SHUTDOWN, files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
This may lead to the impossibility of recovery of the certain files.
We can provide free decryption samples.
To get info (decrypt your files) contact us at: datacarry@riseup.net
NOTE:
We have also successfully backed up data such as customer information from your databases. We can provide listing.
Ensuring if you DO NOT comply your data will be leaked. (http://dcarryhaih5oldidg3tbqwnde4lxljytnpvberrwgj2vlvunopd46dad.onion/)
Current price: 1 BTC, can be negotiated
Failure to meet the payment will result in your data being leaked to the public.
Failure to contact will result in a dataleak.
If contacting via email and you receive no response please refer to our session ID: 050d1feda2751e807b2a731f1f5fe764910ba9ea8bc46e2643d3180876a5bc953c (getsession.org)Quelle réaction de la part des victimes ?
Pour Miljödata :
L’entreprise a fait appel à des experts en cybersécurité afin d’évaluer l’ampleur de la compromission et de renforcer la sécurité de son infrastructure hébergée.
Pour Volvo Group
Volvo Group a informé les autorités, dont le procureur général du Massachusetts, que les données de ses employés nord-américains avaient été compromises, tout en précisant qu’aucune intrusion n’avait été détectée sur ses propres serveurs.
En réaction à cette fuite, le constructeur a mis en place une offre de 18 mois de protection via le service Identity Protection Pro+ d’Allstate, comprenant une surveillance de crédit et des alertes en cas d’utilisation frauduleuse des données personnelles. L’entreprise a également recommandé à ses collaborateurs de surveiller attentivement leurs relevés financiers.
Conclusion
Cette attaque illustre parfaitement les risques associés à la dépendance envers les prestataires externes et la difficulté persistante à sécuriser la chaîne numérique des ressources humaines. Collectivités comme entreprises se trouvent aujourd’hui confrontées à ces mêmes vulnérabilités.