Repéré par Christophe Boutry, ancien enquêteur judiciaire spécialisé en contre-terrorisme et expert en investigations numériques, le piratage d'Eiffage via la plateforme NextSend touche près de 176 000 personnes. LAPSUS$ a publié 77 fichiers contenant des données allant des identifiants de connexion aux informations financières sensibles.
Eiffage, le groupe de BTP coté en bourse, s'est retrouvé dans le collimateur de LAPSUS$ le 25 février 2026. Le collectif de pirates revendique l'exfiltration d'une base de données de 175 942 enregistrements issus de NextSend, une plateforme de transfert de fichiers utilisée en interne par l'entreprise.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Que contiennent ces fichiers ?
NextSend, édité par Hegyd, est une plateforme française permettant d'envoyer des fichiers volumineux à des collaborateurs ou des partenaires extérieurs. C'est précisément cet usage qu'en faisait Eiffage, ce qui explique pourquoi la base compromise mêle à la fois des employés internes mais aussi des prestataires de l'entreprise.
Sur les 175 942 personnes concernées, 50 336 sont des collaborateurs internes au groupe, et 125 606 des contacts externes (clients, sous-traitants, partenaires et destinataires de documents…). On identifie cinq profils distincts dans la base :
- Les utilisateurs actifs de la plateforme, avec leurs logs de connexion, adresses IP, navigateurs et systèmes d'exploitation via le User-Agent
- Les clients et prospects avec SIRET, numéro de TVA, chiffre d'affaires et niveau de satisfaction
- Les carnets d'adresses saisis manuellement
- Les destinataires de fichiers avec suivi de téléchargement et indicateurs de lecture
- Les comptes administrateurs, avec leurs identifiants et niveaux de droits - hachés selon les algorithmes bcrypt et SHA-512.
Dans leur message publié sur Telegram, les membres de LAPSUS$ soulignent qu'Eiffage est cotée en bourse et affiche 25 milliards d'euros de chiffre d'affaires en 2025, un chiffre réel, confirmé par les résultats annuels du groupe publiés le 24 février. Les pirates s'en servent pour justifier leur ciblage, en affirmant que la société "ne se soucie pas de la sécurité des données". La publication vient alimenter leur "wall of shame", une liste publique de victimes destinée à exercer une pression maximale.
Ce n'est pas la première fois que LAPSUS$ vise une entreprise française : nous rapportions en janvier 2026, qu'ENI avait confirmé une cyberattaque revendiquée par le même groupe, exposant les données de milliers de clients professionnels.
Pour les personnes figurant dans la base, le risque le plus immédiat est le phishing ciblé. En disposant d'un nom, d'une adresse professionnelle et de données financières détaillées, il devient facile construire un message frauduleux très crédible. D'ailleurs, l'entreprise elle-même a placé un avertissement sur son site avec une page dédiée. Les numéros SIRET et de TVA pourraient aussi être utilisés pour des arnaques de type fausse facture ou usurpation d'identité professionnelle, des scénarios d'autant plus plausibles que les données proviennent d'un outil métier utilisé au quotidien.
Source : Christophe Boutry
