La compagnie régionale américaine Envoy Air a confirmé vendredi qu’une partie de ses données avait été compromise après le piratage de son application Oracle E-Business Suite.
Le transporteur, filiale d’American Airlines (AA), devient la deuxième organisation à reconnaître avoir été touchée par cette campagne attribuée au groupe de cybercriminels russes Clop. Selon Envoy Air, « une quantité limitée d’informations commerciales et de coordonnées professionnelles » aurait été exposée. L’entreprise affirme qu’aucune donnée sensible ni client n’a été affectée, et que ses opérations de vol et d’assistance au sol n’ont subi aucun impact.
Une attaque ciblant la chaîne Oracle
Les pirates avaient revendiqué jeudi le vol d’informations liées à American Airlines, ajoutant son nom à leur site de fuite. La maison mère a rapidement précisé qu’il s’agissait en réalité de sa filiale Envoy Air, seule utilisatrice du logiciel Oracle E-Business Suite. Le groupe a lancé une vérification interne et a confirmé l’absence d’impact sur ses propres systèmes.
L’enquête d’Envoy Air, menée avec les autorités fédérales, n’a pas permis de déterminer quand l’intrusion s’est produite ni la durée de présence des pirates. La compagnie, basée au Texas, emploie plus de 20 000 personnes et opère environ 800 vols quotidiens vers 160 destinations sous la marque American Eagle.
⚠️ Êtes-vous une proie facile ?⚠️ ️
Confidentiel • Instantané • Sécurisé • 100 % Made in France
Une campagne plus large contre Oracle
Envoy Air est la deuxième victime connue après l’université Harvard, qui avait reconnu lundi un incident similaire. Oracle n’a pas commenté publiquement, mais les experts de Mandiant estiment que « des dizaines d’entreprises » ont été touchées et que le nombre réel est probablement bien supérieur.
Les pirates du groupe Clop, ils sont spécialisés dans la prise d’otage de documents et demandes de rançons, a exploité plusieurs vulnérabilités de la suite Oracle, dont une faille récemment ajoutée à la liste fédérale américaine des menaces critiques. L’exploitation combinée de ces failles aurait permis aux attaquants d’accéder aux environnements internes d’entreprises avant de tenter de les extorquer en menaçant de publier les données volées.
Oracle avait reconnu une « campagne active » de piratage, affirmant que les correctifs nécessaires figuraient déjà dans la mise à jour de juillet, sans préciser quelles failles exactes étaient exploitées. Le FBI a pour sa part qualifié l’une d’elles de vulnérabilité « à corriger immédiatement », selon l’assistant directeur Brett Leatherman.
L’incident souligne à nouveau la dépendance critique des entreprises à des logiciels intégrés souvent anciens et complexes, comme la suite Oracle, dont les cycles de mise à jour peuvent laisser des fenêtres d’exploitation aux cybercriminels. La multiplication récente des attaques contre des applications d’entreprise en fait désormais un vecteur privilégié pour les groupes spécialisés dans l’extorsion.
La compromission d’Envoy Air montre comment une faille dans une application d’entreprise peut avoir un impact en cascade sur tout un écosystème. La question reste ouverte : combien d’organisations non encore identifiées ont été compromises par cette même campagne ?
Clop s’est fait connaître par l’exploitation de failles de type 0Day [lire ci-dessous]. Leur message : « Clop est l’une des principales organisations offrant un service de test d’intrusion après incident. » Les menaces revendiquent des intrusions via des logiciels tiers (Progress MOVEit, Cleo). Clop s’amuse à suggèrer un « service de pentest » après coup. C’est un élément rhétorique. Il vise à normaliser l’attaque et à inciter au contact.
Rejoignez ZATAZ sur les réseaux :
Aucun spam – Désinscription en un clic – Vie privée respectée
Clop, l’évolution d’un groupe cybercriminel
Le groupe Clop, aussi appelé Cl0p ou TA505, est l’un des collectifs de cybercriminels les plus actifs de la dernière décennie. Né dans la sphère du cybercrime financier russophone, il a progressivement évolué vers un modèle industriel d’extorsion numérique ciblant les grandes entreprises.
Clop apparaît en février 2019 dans une campagne de rançongiciels liée au groupe TA505, un acteur déjà connu depuis 2014 pour des campagnes massives de spam (Dridex, Locky, Necurs Botnet). TA505, d’origine russo-ukrainienne, utilisait initialement des malwares bancaires et des chevaux de Troie d’accès à distance (RAT) avant de se tourner vers le chiffrement de données et l’extorsion. Le nom Clop vient du mot russe klop (плоп), signifiant « punaise » ou « parasite ». Il désigne à la fois le rançongiciel et la marque utilisée pour les opérations de vol et de publication de données.
2019–2020 : premières campagnes et montée en puissance
Les premières attaques Clop sont observées contre des institutions sud-coréennes et européennes à l’aide du rançongiciel Clop ransomware, une variante de CryptoMix. Le groupe se distingue rapidement par des attaques manuelles, ciblées, menées après une intrusion initiale via phishing ou exploitation de serveurs vulnérables. En mars 2020, Clop s’impose sur la scène internationale en lançant des attaques contre des entreprises telles qu’ExecuPharm, Software AG et Nissan Motor Group, combinant chiffrement des systèmes et publication de données sur un site de fuite public, une méthode alors nouvelle pour un groupe russophone.
2021 : arrestations et continuité des opérations
En juin 2021, une opération conjointe menée par la police ukrainienne, Interpol et les autorités sud-coréennes aboutit à l’arrestation de six individus à Dnipro (Ukraine). Les enquêteurs pensent alors avoir démantelé une cellule logistique de Clop. Toutefois, les infrastructures de fuite restent actives. L’organisation montre une structure en franchise, avec séparation claire entre développeurs du rançongiciel, opérateurs d’intrusion et négociateurs. Peu après, de nouvelles attaques réapparaissent, notamment contre Qualys, Flagstar Bank, et plusieurs universités américaines. L’épisode démontre que le cœur technique et le modèle d’affaires du groupe n’ont pas été affectés.
2023 : la campagne MOVEit et le basculement vers l’exploitation de vulnérabilités zero-day
En mai 2023, Clop lance une opération mondiale en exploitant une faille zero-day dans Progress MOVEit Transfer, un logiciel de transfert de fichiers largement utilisé. Cette campagne devient l’une des plus importantes de l’histoire du cybercrime industriel : plus de 2 500 entreprises et plus de 60 millions de personnes sont affectées, selon les estimations de Emsisoft et Kroll. Les victimes incluent des entités majeures telles que BBC, British Airways, Shell, Ernst & Young, PwC, Sony, Gen Digital, et des administrations publiques américaines. Clop abandonne alors le chiffrement de disques : il privilégie le vol de données et l’extorsion publique, une évolution stratégique appelée data-only extortion.
2024 : diversification et nouvelles cibles logicielles
Après MOVEit, Clop réutilise la même méthode d’exploitation ciblée sur d’autres logiciels d’entreprise : GoAnywhere MFT, Accellion FTA, Cleo, Oracle E-Business Suite. Le groupe tire parti de vulnérabilités critiques dans des produits très déployés pour maximiser la surface d’impact. Le FBI et CISA publient plusieurs bulletins d’alerte, classant Clop parmi les cinq collectifs les plus dangereux, avec LockBit, BlackCat (ALPHV), Black Basta et Play. Contrairement à ces derniers, Clop ne recrute pas ouvertement via forums clandestins. Son modèle repose sur un noyau fermé d’opérateurs agissant via réseaux privés, ce qui le rend plus opaque.
2025 : mutation vers une structure de marché noir rationalisée
En 2025, Clop se présente comme une « organisation de test d’intrusion après incident », un euphémisme visant à justifier ses actes et brouiller le cadre légal.
Il adopte une rhétorique pseudo-corporate : mentions de « service », de « sécurité », et d’« éducation des entreprises ». Ses communiqués publics affichent des listes massives de victimes avec liens de téléchargement sur le Darknet, confirmant le passage à une logique d’industrialisation du chantage par publication. Les cibles de 2025 incluent notamment Harvard University, Envoy Air (American Airlines), Emerson, Objective Emballages (France) et Oracle E-Business Suite. Les publications utilisent des torrents et des liens magnétiques pour distribuer des archives de données, renforçant la résilience du système face aux retraits.
Clop illustre la maturité du cybercrime organisé de type post-ransomware. Le groupe combine recherche de vulnérabilités, exfiltration massive et communication publique maîtrisée. Sa stratégie repose sur la réputation de nuisance : prouver sa capacité à nuire plutôt qu’à chiffrer. Depuis 2019, il aurait généré plus de 500 millions $ (461 millions d’euros) en rançons confirmées, selon Chainalysis. Aucune arrestation n’a, à ce jour, démantelé le cœur décisionnel. Les membres identifiés en 2021 n’étaient que des relais techniques.
