un service de la poste piraté, 30 Go de données diffusées

L’attaque au rançongiciel visant bpost prend une nouvelle dimension : la fuite de 30 Go de données apparaît cartographiée et archivée.

Selon les éléments confirmés par bpost et les observations de sites spécialisés, dont le Service de Veille ZATAZ, le groupe de rançongiciel Tridentlocker revendique le vol de 5 140 fichiers issus d’un département spécifique de l’opérateur postal belge. La fuite, que l’entreprise décrit comme limitée à une plateforme d’échange gérée par un fournisseur externe, n’affecterait pas la distribution du courrier et des colis. Le service de veille ZATAZ précise que les données, mises en ligne le 1er décembre 2025, représentent 30,46 Go d’archives structurées, organisées en multiples blocs compressés. Une affaire qui illustre une fois de plus la fragilité des chaînes logicielles tierces et l’intérêt des groupes criminels pour les donnéesà forte valeur de renseignement.

Une attaque ciblée sur une plateforme tierce

Le récit de l’incident suit un schéma désormais familier dans le paysage des rançongiciels. Des données apparaissent d’abord sur le site de fuite de Tridentlocker, où les criminels affirment avoir compromis des systèmes liés à bpost. Un porte-parole de bpost reconnaît une attaque au rançongiciel, mais insiste sur le caractère sectorisé de l’atteinte.

L’entreprise explique que l’incident touche un département précis, sans lien direct avec les activités de tri et d’acheminement des courriers ou des colis. Ce service exploite une plateforme d’échange administrée par un fournisseur externe, ce qui élargit la surface d’attaque au-delà du périmètre informatique interne de bpost. Autrement dit, le point de fragilité ne se situe pas dans les cœurs de système postaux, mais dans un maillon logiciel périphérique, confié à un prestataire. Il semble que ce département soit proche de la conception des timbres belges.

Dans son communiqué, bpost évoque une « fuite limitée » d’informations personnelles et professionnelles concernant un « certain nombre de clients » de ce département. L’absence de chiffres précis ne permet pas de mesurer l’étendue exacte de l’impact humain, mais confirme que des données identifiantes ont quitté l’environnement contrôlé par l’entreprise. Le Service de Veille ZATAZ confirme que les données sont à 90% des PDF de timbres courant de 2022 à 2025. Bpost assure parallèlement que ses opérations quotidiennes se poursuivent normalement et qu’aucun arrêt de service n’est à déplorer, ce qui indique une attaque centrée sur l’exfiltration plutôt que sur le chiffrement bloquant.

La réaction interne suit le référentiel classique de réponse à incident. Bpost affirme avoir pris des mesures immédiates pour contenir la fuite, avec l’intervention de ses équipes de sécurité pour limiter l’exfiltration et enclencher des procédures correctives. L’entreprise mentionne l’appui d’experts externes en cybersécurité, chargés d’analyser les traces techniques, d’identifier les mécanismes d’intrusion et de consolider la stratégie de remédiation. Les autorités compétentes ont été informées, et les clients concernés doivent être avisés dès que la cartographie des données impactées sera achevée.

Un inventaire détaillé des archives dérobées

C’est sur ce terrain que le service de veille ZATAZ apporte une précision supplémentaire, qui éclaire la volumétrie et la structuration de la fuite. Selon ces éléments, la mise en ligne des données attribuées à bpost par Tridentlocker date du 1er décembre 2025. Le dépôt comprend 5 140 fichiers pour une taille totale de 30,46 Go, confirmant l’ampleur numérique de l’archive malgré le qualificatif de fuite « limitée » employé par bpost.

Les informations exfiltrées ne sont pas diffusées de manière désordonnée. Elles sont organisées par les pirates qui décrivent l’arborescence complète du contenu. Ce type de document facilite la consultation, l’indexation et l’exploitation des données volées, autant pour les attaquants que pour d’éventuels acheteurs ou partenaires criminels. Il s’agit d’une forme de catalogue technique, qui transforme la fuite brute en stock structuré, prêt à être exploré sous un angle financier ou de renseignement.

ZATAZ répertorie une série de paquets compressés au format 7z, qui découpent le butin en ensembles thématiques ou opérationnels. La présence de ce découpage fin, assorti d’un fichier listant la structure des répertoires, montre que les cybercriminels ne gèrent plus leurs fuites comme de simples archives jetées en vrac. Ils tendent à se comporter comme de véritables documentalistes du crime numérique, capables de proposer aux acteurs de la menace un corpus exploitable sans effort préliminaire de tri. Pour une entreprise comme bpost, cela signifie que chaque sous-ensemble de la fuite peut devenir le point de départ d’un incident secondaire ciblant un partenaire, un sous-traitant ou un cluster de clients.

Enjeux de renseignement et dépendance aux fournisseurs

Pour un groupe comme Tridentlocker, ils sont apparus en octobre 2025 et signent 11 cyber attaques documentées, la valeur de ce type de fuite dépasse largement le simple espoir d’un paiement de rançon. Un corpus de 30,46 Go de fichiers organisés, issu d’un opérateur postal national, constitue une base de renseignement de premier plan pour cartographier des relations économiques, repérer des flux, observer des habitudes contractuelles et profiler des organisations.

Même circonscrit à un seul département, un tel stock peut servir de matrice à d’autres attaques. Des attaquants peuvent par exemple exploiter des noms de projets, des noms de contact ou des formats de documents pour imiter les codes de communication de bpost ou de ses partenaires. Des campagnes de phishing pourraient ainsi être conçues à partir de modèles de courriels authentiques extraits de ces archives, augmentant considérablement leur crédibilité auprès de destinataires déjà en relation avec l’écosystème postal.

Le recours à une plateforme d’échange gérée par un fournisseur illustre par ailleurs la dépendance structurelle des grands opérateurs à des maillons logiciels externes. Même si le cœur des infrastructures de tri et de distribution n’est pas atteint, la compromission d’un service tierce partie suffit à exposer des pans entiers de données à des acteurs malveillants. Du point de vue du renseignement de menace, cet épisode rappelle la nécessité pour les organisations de cartographier précisément leurs flux de données, non seulement en interne mais aussi chez leurs prestataires, et de mesurer la criticité réelle de chaque plateforme connectée.

La chronologie fournie par ZATAZ, qui date l’annonce de la fuite publique au 1er décembre 2025, montre aussi que la fenêtre entre l’exfiltration, la mise en ligne et la réaction de la victime constitue une zone de risque majeure. Tant que les données restent en ligne, même partiellement chiffrées ou segmentées, elles peuvent être copiées, revendues ou intégrées à des bases criminelles plus larges. Chaque jour de présence sur ces espaces de fuite renforce la capacité des attaquants à exploiter la matière brute, à la croiser avec d’autres leaks et à produire de nouveaux scénarios offensifs comme expliqué dans l’article : « Look Up, coulisses des fuites« 

Pour bpost, comme pour l’ensemble des opérateurs de services essentiels, l’enjeu dépasse la simple remédiation ponctuelle. Il s’agit de réduire l’attractivité globale de leurs données en limitant leur duplication, en cloisonnant davantage les accès chez les fournisseurs et en exigeant de ces derniers des pratiques de sécurité au niveau des standards internes. La fuite attribuée à Tridentlocker met en lumière la réalité d’une chaîne de valeur où chaque partenaire, même périphérique, peut devenir une porte d’entrée privilégiée pour un adversaire déterminé.