Nitrogen ransomware vole 8 To chez Foxconn, Apple visé

Un géant de la sous-traitance électronique frappé en plein cœur

Dans les premiers jours de mai 2026, Foxconn Industrial Internet — filiale américaine de Hon Hai Precision Industry, le plus grand sous-traitant électronique mondial et assembleur principal des iPhone d'Apple — a été victime d'une cyberattaque de grande ampleur. Le groupe Nitrogen ransomware a revendiqué l'incident le 12 mai 2026 en publiant des données sur son site de fuite hébergé sur le dark web, affirmant avoir exfiltré approximativement 8 téraoctets de données représentant plus de 11 millions de fichiers. Foxconn a rapidement confirmé l'attaque ce même jour, reconnaissant des perturbations dans ses installations nord-américaines, sans pour autant fournir d'éléments précis sur l'étendue des dommages ni sur l'existence d'une demande de rançon.

Deux sites de production ont été directement touchés : l'usine de Mount Pleasant, dans l'État du Wisconsin, et l'installation industrielle de Houston, au Texas. Selon plusieurs sources concordantes dont TechCrunch et 9to5Mac, les employés de ces deux sites ont reçu l'instruction d'éteindre leurs ordinateurs et de recourir à des workflows papier pour maintenir la continuité minimale des opérations. Cette procédure d'urgence, classique dans les réponses à incident impliquant des ransomwares à propagation rapide, indique que les équipes de sécurité ont détecté une contamination active et décidé d'isoler les systèmes informatiques avant qu'elle ne s'étende aux environnements opérationnels. Les conséquences sur la production effective restent difficiles à évaluer de l'extérieur.

La nature des données volées confère à cet incident une dimension particulièrement sensible. Parmi les 8 To exfiltrés, les chercheurs en sécurité et le site AppleInsider — qui a pu vérifier des échantillons — ont confirmé le 20 mai 2026 la présence de documents liés au projet confidentiel "Matterhorn" d'Apple, détaillant la configuration de serveurs propriétaires utilisant les plateformes Intel Whitley et Eagle Stream. Ces machines embarqueraient deux processeurs Intel Ice Lake Xeon Scalable de 3e génération à 32 cœurs fonctionnant à 2,2 GHz, vingt-quatre barrettes de 128 Go de DDR4, des GPU Nvidia T4 et plusieurs disques NVMe de 8 To chacun. Des schémas de cartes mères, des plans d'architecture réseau et des fiches techniques accompagnent ces informations de conception.

Au-delà des données Apple, Nitrogen revendique la possession de documents confidentiels relatifs aux projets de nombreux autres grands comptes : AMD, Broadcom, Google, Intel, Hewlett-Packard, Micron, Nvidia, Samsung et Seagate sont tous cités dans les échantillons publiés. Ces fichiers couvrent des layouts de circuits intégrés, de la documentation réseau, des fiches de capteurs de température et des documents financiers liés aux opérations de Foxconn à Houston. L'ensemble semble se concentrer sur des projets de serveurs et d'infrastructure de datacenters, ce qui suggère que les équipes d'ingénierie dédiées aux clients hyperscalers de Foxconn étaient particulièrement exposées dans les systèmes compromis.

Foxconn a maintenu une communication extrêmement minimaliste tout au long de la crise. Dans son communiqué du 12 mai, le groupe a reconnu "une cyberattaque affectant certaines de ses installations nord-américaines" et indiqué que son équipe de cybersécurité avait "répondu rapidement", sans préciser la nature des systèmes atteints ni confirmer le chiffrement effectif de données. Apple, de son côté, a indiqué que ses propres systèmes de production — notamment les usines d'assemblage des iPhone en Chine et en Inde — ne semblaient pas directement impliqués, les installations nord-américaines touchées étant dédiées à des activités d'ingénierie et de R&D plutôt qu'à la fabrication grand public.

Le groupe Nitrogen est actif depuis 2023 et fait partie des nombreux héritiers du code source du builder Conti 2, dont la fuite en 2022 a alimenté une véritable industrie de clones ransomware. Spécialisé dans le secteur manufacturier selon l'analyse de la firme de sécurité Halcyon, Nitrogen s'est engagé dans une vague d'attaques ciblant les usines et sous-traitants industriels, dont la maturité en cybersécurité est souvent inférieure à celle des éditeurs logiciels ou des établissements financiers. Cette spécialisation sectorielle reflète une logique criminelle précise : les arrêts de production ont un coût horaire considérable, ce qui exerce une pression maximale sur les victimes pour négocier et payer rapidement.

Un élément technique découvert par les chercheurs de la société Coveware rend la situation encore plus préoccupante : le décrypteur fourni par Nitrogen contient une erreur de programmation critique qui empêche la récupération des fichiers chiffrés. Concrètement, même si une entreprise victime choisissait de payer la rançon — souvent plusieurs millions de dollars dans des cas de cette ampleur —, elle ne serait pas en mesure de restaurer ses données via l'outil fourni par les attaquants. Cette défaillance technique, probablement héritée du code Conti d'origine, invalide totalement toute stratégie de paiement et renforce l'impératif absolu de disposer de sauvegardes régulièrement testées et déconnectées du réseau principal (air-gap).

À la date du 22 mai 2026, l'enquête forensique reste en cours. Aucune information n'a filtré sur d'éventuelles négociations avec Nitrogen ni sur un éventuel paiement de rançon. La question de la frontière entre les systèmes IT compromis et les réseaux OT (Operational Technology) pilotant les équipements industriels demeure ouverte : si des automates ou des systèmes SCADA avaient été touchés, l'impact économique serait considérablement plus lourd. Des cabinets spécialisés en réponse à incident pour environnements industriels seraient engagés pour conduire les investigations, selon The Register.

Quand la chaîne d'approvisionnement devient le maillon faible de la cybersécurité

L'attaque contre Foxconn illustre avec clarté l'une des tendances les plus documentées du paysage cyber 2026 : les groupes de ransomware ne ciblent plus seulement les grandes entreprises directement, mais leurs sous-traitants critiques, souvent moins protégés et pourtant détenteurs d'actifs d'une valeur extraordinaire. Foxconn est précisément ce type de cible "pivot" : un assembleur massif disposant d'un accès privilégié aux schémas, spécifications et calendriers de production de ses clients — Apple, Nvidia, Intel, Google — tout en consacrant proportionnellement moins de ressources à la cybersécurité. Une grande marque tech peut investir des centaines de millions de dollars en sécurité et voir néanmoins ses secrets industriels exposés via un maillon de sa chaîne d'approvisionnement de rang 2.

Cette réalité interroge directement les responsables de la sécurité (RSSI) sur leur capacité à évaluer et à imposer des exigences de cybersécurité à leurs fournisseurs. Les programmes de gestion du risque tiers (TPRM — Third-Party Risk Management) existent, mais ils peinent à couvrir les fournisseurs de rang 2 et 3, qui ont pourtant accès aux mêmes données sensibles que les fournisseurs directs. La directive NIS2, en vigueur dans les États membres européens depuis fin 2024, impose désormais aux entités essentielles et importantes de gérer la sécurité de toute leur chaîne d'approvisionnement, sous peine d'amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel. L'incident Foxconn illustre exactement le risque que ce cadre réglementaire cherche à adresser.

Le secteur manufacturier traverse une période de vulnérabilité accrue, documentée par le rapport DBIR 2026 de Verizon. La convergence des environnements IT et OT dans les usines connectées — pilier de l'industrie 4.0 — crée de nouvelles surfaces d'attaque. Des automates, des bras robotiques et des systèmes SCADA sont désormais reliés à des réseaux IP accessibles depuis des postes de travail bureautiques. Nitrogen et ses homologues ont compris que la menace d'interrompre une chaîne de production vaut bien plus, en termes de levier de négociation, que le simple vol de données. Cette dynamique explique la surreprésentation du secteur manufacturier dans les statistiques ransomware.

Enfin, la défaillance technique du décrypteur de Nitrogen pose une question stratégique croissante : peut-on encore envisager le paiement comme stratégie de dernier recours face aux ransomwares ? Les autorités françaises (ANSSI, CERT-FR) comme américaines (CISA, FBI) recommandent systématiquement de ne pas payer, position que cet incident conforte. Seule une stratégie de résilience basée sur des sauvegardes air-gap testées régulièrement, une segmentation réseau stricte entre IT et OT, et des plans de reprise d'activité (PRA/PCA) éprouvés permet de traverser ce type de crise sans subir de rançon.

Ce qu'il faut retenir

• Nitrogen ransomware a exfiltré 8 To de données chez Foxconn dont des schémas du projet serveur "Matterhorn" d'Apple, confirmés le 20 mai 2026 par AppleInsider.
• Le décrypteur fourni par Nitrogen est bogué : payer la rançon ne garantit pas la récupération des fichiers chiffrés.
• Les sous-traitants industriels sont les maillons faibles de la chaîne d'approvisionnement tech : la gestion du risque tiers (TPRM) et la conformité NIS2 doivent devenir des priorités stratégiques.