Pas d’intrusion directe dans les systèmes du groupe, mais une nouvelle faille chez un partenaire. Adidas enquête sur une compromission survenue chez un licencié chargé de la distribution d’équipements de sports de combat.
Et rebelote. Le groupe Lapsus$ affirme avoir mis la main sur des centaines de milliers de lignes de données issues d’un extranet utilisé par l’écosystème commercial d’Adidas. D’après The Register, la marque allemande a confirmé avoir ouvert une enquête sur un incident touchant l’un de ses partenaires indépendants, tout en assurant que son infrastructure interne, ses plateformes e-commerce et les données de ses clients n’ont pas été affectées. Une affaire qui s’inscrit dans une série d’incidents récents impliquant des prestataires du groupe, déjà à l’origine de fuites de données par le passé.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une compromission chez un licencié, pas dans le système d’Adidas
Dans le détail, les cybercriminels revendiquent l’exfiltration d’environ 815 000 lignes de données comprenant noms, adresses électroniques, mots de passe, dates de naissance ou encore informations techniques. Présentée ainsi, la fuite peut laisser penser à une exposition directe de données clients Adidas. Les éléments disponibles suggèrent plutôt que ces informations proviennent de comptes liés à des entreprises partenaires, revendeurs ou utilisateurs professionnels disposant d’un accès à cet extranet.
Les chercheurs de Cybernews, qui ont pu analyser le dump, estiment d’ailleurs que le volume avancé est largement surestimé. Les fichiers évoqués contiendraient de nombreuses lignes techniques propres aux bases de données, ce qui gonfle mécaniquement le total, tandis que le nombre de comptes réellement concernés tournerait autour d’une petite centaine.
Adidas n’a pas nommé l’entreprise concernée par l’intrusion, évoquant seulement un partenaire de licence indépendant chargé de la distribution d’articles destinés aux disciplines de combat et exploitant ses propres systèmes informatiques. De son côté, Cybernews affirme que les données proviendraient de Double D, société française spécialisée dans la conception et la commercialisation d’équipements de sports de combat sous licence Adidas.
Comme un air de déjà-vu
Ce n’est pas la première fois qu’Adidas se retrouve exposée par l’intermédiaire d’un prestataire. En mai 2025, l’entreprise avait déjà signalé une violation de données liée à un fournisseur chargé du service client, par laquelle des informations de contact de consommateurs avaient été récupérées après un accès non autorisé aux systèmes du sous-traitant. D’autres incidents avaient également touché certaines entités régionales du groupe la même année.
Même lorsque les systèmes centraux ne sont pas directement atteints, les connexions avec des partenaires externes élargissent le périmètre d’exposition. Licenciés, distributeurs ou prestataires techniques disposent d’accès à des outils ou à des données partagés, avec des niveaux de protection qui varient selon les organisations.
Plusieurs groupes cybercriminels se sont spécialisés dans ce type d’opérations visant l’écosystème de grandes enseignes. Lapsus$, à l’origine de la revendication dans cette affaire, s’est déjà illustré par des intrusions très médiatisées contre Microsoft, Nvidia, Samsung, ou encore Ubisoft, souvent en misant sur l’ingénierie sociale et la compromission d’identifiants plutôt que sur l’exploitation de vulnérabilités complexes.
D’autres collectifs actifs dans l’extorsion de données, comme Scattered Spider ou ShinyHunters, ont eux aussi été associés ces dernières années à des attaques touchant de grandes entreprises du commerce ou des services, parfois en opérant sous bannière commune (Scattered Lapsus$ Hunters), sans qu’un lien direct ait été confirmé avec l’incident actuel.
Sources : The Register, Cybernews
