Le groupe Nitrogen revendique le vol de 8 téraoctets de données chez Foxconn, soit plus de 11 millions de fichiers. Ils portent tous la marque d'Apple, Nvidia, Google, Intel, Dell ou AMD. Foxconn confirme une cyberattaque sur ses sites nord-américains.
Foxconn assemble une partie des serveurs, téléviseurs et composants de la quasi-totalité des géants de la tech. Mais le 1er mai dernier, l'usine de Mount Pleasant, dans le Wisconsin, a perdu l'accès à ses systèmes. La production s'est arrêtée pendant près d'une semaine. Certains employés sont repassés au papier et au crayon, d'autres sont rentrés chez eux jusqu'au rétablissement du réseau.
Foxconn a reconnu l'incident onze jours plus tard. Selon un porte-parole de l'entreprise, les équipes ont activé un mécanisme de réponse immédiat et la production a repris normalement. Entre temps, Nitrogen avait déjà ajouté Foxconn à sa vitrine du dark web. Quels documents ont vraiment fui ? Et que valent-ils ?
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Des schémas de serveurs Apple authentifiés, mais peu exploitables seuls
Notre confrère Apple Insider a obtenu de nouveaux fichiers échantillons, dont plus de trente documents Apple confidentiels qui semblent authentiques. Les pirates ont récupéré des schémas de composants de serveurs Apple datés de mars 2026 et de fin 2025. Ils ont notamment mis la main sur le projet Matterhorn, des configurations de serveurs Apple sur plateformes Intel Whitley et Eagle Stream. À l'intérieur, deux processeurs Intel Ice Lake 32 cœurs à 2,2 GHz, 24 barrettes de 128 Go de RAM DDR4 et des GPU Nvidia T4. Kelly Smith, responsable du développement mécanique des infrastructures de centres de données chez Apple, a rédigé trois de ces documents.
On y trouve surtout des dimensions de châssis, des couleurs de rack approuvées et quelques consignes de ventilation. Sans serveur Apple sous la main, le butin ne sert pas à grand-chose. Manquent à l'appel les puces Apple Silicon et le moindre document sur l'usage réel des machines. Aucune trace non plus des usines de Guanlan et Zhengzhou, où sont assemblés les iPhone. En ce qui concerne Google, en revanche, au moins une partie des données correspond aux revendications et porte bien sur des composants fabriqués pour le moteur de recherche. Pour Apple, Dell et Nvidia, un premier examen ne confirme pas l'ampleur annoncée.
Payer ne garantirait même pas de récupérer ses fichiers
Nitrogen, qui n'a rien à voir avec l'IA de NVIDIA qui farme à votre place, fonctionne par double extorsion. Le groupe chiffre les fichiers de sa victime puis menace de publier les données volées en cas de non-paiement d'une rançon. En février dernier, des chercheurs de la société Coveware ont découvert que les développeurs de Nitrogen avaient laissé une erreur de programmation dans le chiffreur dédié aux serveurs VMware ESXi, au point d'empêcher leur propre déchiffreur de restaurer les fichiers. Autrement dit, une entreprise piégée qui paierait ne récupérerait pas forcément ses données.
Nitrogen n'a pas le poids des plus gros acteurs, mais sa liste de victimes s'allonge depuis 2024. Le groupe réutilise du code issu de la fuite du constructeur Conti 2 et entretient des liens présumés avec l'écosystème ALPHV/BlackCat. Foxconn est hélas, familière des intrusions. En décembre 2020, DoppelPaymer s'en était déjà pris au site de Ciudad Juárez, au Mexique. Les pirates avaient chiffré jusqu'à 1 400 serveurs, détruit 20 à 30 To de sauvegardes et exigé 34 millions de dollars en bitcoins, soit près de 30 millions d'euros. LockBit avait ensuite visé la filiale Foxsemicon en 2022 puis en 2024. Trois grosses attaques en cinq ans, sans compter celle de mai 2026, c'est une cadence plutôt de croisière.
D'où vient cette régularité ? Chez un sous-traitant comme Foxconn, les documents sensibles de dizaines de clients majeurs dorment sur les mêmes serveurs. Ses opérations s'étalent sur 240 sites dans 24 pays, soit donc autant de portes d'entrée potentielles. Et dès que la production s'arrête, les marques en aval attendent leurs commandes. En frappant le fournisseur plutôt qu'Apple directement les attaquants rentabilisent davantage sans effort.
Pour l'heure, Foxconn n'a toujours pas confirmé la disparition effective de données clients de ses serveurs et se refuse à tout commentaire. Nitrogen affirme par ailleurs avoir pillé le site de Houston, dont le périmètre exact n'a jamais été détaillé publiquement.
Source : Apple Insider
