En bref

  • Le ransomware Nitrogen revendique le vol de 8 To et 11 millions de fichiers chez Foxconn, géant taïwanais de l''électronique sous-traitant d''Apple, Nvidia, Intel, Dell et Google.
  • L''attaque a touché des usines de Mount Pleasant (Wisconsin) et Houston (Texas), confirmées par Foxconn le 12 mai 2026.
  • Le butin revendiqué inclut des plans techniques et de la documentation projet de clients tiers, ce qui élargit l''impact à toute la supply chain hardware.

Les faits

Le 11 mai 2026, le groupe ransomware Nitrogen publie sur son site de fuites une annonce revendiquant la compromission de Foxconn (Hon Hai Precision Industry). Le lendemain, 12 mai, Foxconn confirme officiellement à plusieurs médias, dont The Register et Cybersecurity Dive, qu''une cyberattaque a effectivement touché certaines de ses usines nord-américaines. Le spokesperson précise que l''équipe sécurité a activé les procédures de réponse et que la continuité de production est maintenue, sans confirmer ni infirmer le vol de données.

Nitrogen affirme avoir exfiltré environ 8 téraoctets, soit 11 millions de fichiers, depuis l''infrastructure Foxconn. Le groupe publie en échantillon des arborescences de répertoires et des captures d''écran de documents qui mentionnent des noms de projets internes Apple, Nvidia, Intel, Dell et Google. Selon Cybernews et MacRumors, qui ont eu accès à une partie des échantillons, le butin inclurait des plans techniques de cartes mères, des schémas de fabrication, des bordereaux de matériels (BoM) et des documents contractuels.

Apple, sollicité par AppleInsider, a indiqué que les fichiers identifiés ne contiennent pas d''informations sensibles pour ses produits actuels. Cette communication, prudente, n''écarte pas l''hypothèse de documents historiques ou liés à des prototypes anciens. Nvidia, Intel et Google n''ont pas commenté publiquement à ce jour.

Nitrogen est un groupe de double-extorsion actif depuis 2023, devenu réellement visible à partir de septembre 2024. Selon les analyses Sekoia et Recorded Future, le code du loader Nitrogen partage des similarités structurelles avec le builder Conti 2 dont le code source a fuité en 2022. Le groupe utilise typiquement un schéma à trois temps : compromission initiale par phishing ciblé ou exploitation de RDP, exfiltration massive avant chiffrement, puis publication progressive sur leur site .onion en cas de non-paiement.

L''ironie de cet incident, c''est qu''il intervient quelques mois après une précédente attaque revendiquée par LockBit contre Foxconn fin 2024. Le constructeur, qui produit autour de 40% de l''électronique grand public mondiale, avait alors investi dans le renforcement de son SOC interne. La compromission par Nitrogen montre que ces efforts n''ont pas suffi à couvrir l''ensemble du périmètre, notamment les sites industriels nord-américains plus récents (Mount Pleasant a été inauguré en 2020).

Au-delà de Foxconn, c''est toute la supply chain semiconducteurs et électronique grand public qui se trouve exposée. Les contrats de sous-traitance industrielle imposent souvent à des partenaires comme Foxconn de stocker des fichiers techniques sensibles de leurs donneurs d''ordre. Une compromission d''un tel maillon vaut donc, indirectement, compromission de tous ses clients en cascade. Source : The Register du 12 mai 2026, communiqué Foxconn, analyse Cybernews et TechCrunch.

Impact et exposition

L''exposition se joue à trois niveaux. Au niveau Foxconn : interruption partielle de production sur deux usines américaines, frais de remédiation, pression réglementaire des autorités taïwanaises (NCSA) et américaines (CISA, FBI). Au niveau des clients OEM : risque de fuite de plans industriels, de prix d''achat confidentiels et d''informations contractuelles. Au niveau du marché : potentiel arbitrage par des concurrents asiatiques en cas de publication des plans, et risque de contrefaçon facilitée.

Pour les RSSI français, l''enseignement est clair : la supply chain hardware est aussi sensible que la supply chain logicielle. Un audit fournisseur classique sur les normes ISO 27001 ou les questionnaires SIG ne suffit pas à dérisquer un partenaire industriel qui héberge vos plans techniques.

Recommandations

  • Cartographier les fichiers techniques sensibles confiés à des sous-traitants industriels : qui les détient, sous quelle forme, depuis quand, et avec quelles obligations de notification en cas d''incident.
  • Renforcer les clauses contractuelles de notification : exiger une remontée sous 24h en cas de suspicion de compromission, avec accès aux IOC et aux logs d''accès.
  • Pour les organisations utilisant des plateformes de Product Lifecycle Management (PLM) partagées, activer le chiffrement client-side et limiter la durée de rétention des documents projets clôturés.
  • Intégrer les groupes ransomware actifs comme Nitrogen, RansomHub, Akira et BlackBasta dans la threat intelligence partagée avec les équipes achats et juridiques.
  • Mener un exercice de crise multi-acteur incluant le scénario d''une fuite via fournisseur de rang 1 ou 2.

Une PME française peut-elle être touchée par ce type d''incident ?

Oui, et même fréquemment. De nombreuses PME industrielles et de bureaux d''études sous-traitent des prestations à des partenaires asiatiques (Foxconn, Quanta, Pegatron, Wistron). Si vous avez confié des plans CAO, des schémas électroniques ou de la documentation R&D à un partenaire de cette taille, vous devez exiger sa stratégie de cyberdéfense, ses derniers résultats d''audit et son plan de réponse à incident. Une clause de notification rapide doit figurer dans tout contrat industriel signé depuis 2024.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu''elles ne soient exploitées.

Demander un audit