RansomHouse revendique le piratage de Trellix le 7 mai 2026 et exposerait des accès VMware, Rubrik et Dell EMC internes, bien au-delà du simple dépôt de code source reconnu par l'éditeur.
En bref
- RansomHouse a revendiqué le 7 mai 2026 le piratage de Trellix, datant du 17 avril.
- Au-delà du code source, les attaquants exposent des accès supposés à VMware, Rubrik et Dell EMC internes.
- Trellix maintient qu'aucun produit livré n'est compromis, mais la confiance des clients EDR vacille.
Ce qui s'est passé
Trellix, l'un des plus gros éditeurs de protection endpoint au monde (issu de la fusion McAfee Enterprise / FireEye), traverse une crise de confiance majeure. Le 7 mai 2026, le groupe d'extorsion RansomHouse a inscrit la société sur son blog de fuites et revendiqué un accès initial remontant au 17 avril 2026, soit près de trois semaines avant la divulgation publique faite par l'éditeur début mai. La société avait reconnu, dans une note signée par sa direction sécurité, qu'un référentiel de code source avait été consulté sans autorisation, sans en préciser le volume ni l'ancienneté des dépôts touchés.
RansomHouse, lui, parle d'une compromission bien plus large. Les captures publiées sur son leak site et analysées par les chercheurs de Cybernews montrent des dashboards internes, des arborescences de répertoires, des credentials de service et surtout des références à des consoles d'administration VMware vSphere, des appliances de sauvegarde Rubrik et des baies Dell EMC associées au backbone de Trellix. Si ces accès sont authentiques, le périmètre dépasse largement le simple vol de code : il s'agirait d'un compromis de l'infrastructure de production interne, pas uniquement d'un dépôt git isolé.
Trellix, sollicité par plusieurs médias, maintient sa ligne : « Sur la base de notre enquête à ce jour, nous n'avons trouvé aucune preuve que notre processus de livraison ou de distribution de code source soit affecté, ni que notre code source ait été exploité. » L'éditeur indique avoir mandaté des experts forensiques externes et notifié les autorités, sans confirmer ni infirmer l'accès aux systèmes VMware ou Rubrik que revendique le groupe. Selon SecurityWeek, RansomHouse exigerait une rançon dont le montant n'a pas filtré, et menacerait de publier l'intégralité du dump si Trellix ne paie pas avant la fin du mois.
La chronologie reconstituée par les chercheurs est instructive. Le 17 avril, RansomHouse aurait obtenu un premier point d'entrée — probablement via un compte de développeur compromis ou une clé d'API exposée, selon les hypothèses qui circulent dans la communauté. Pendant trois semaines, les attaquants auraient progressé latéralement, identifiant les systèmes critiques avant de demander une rançon. Le 2 mai, Trellix publie une première communication très laconique évoquant un « incident » sur un dépôt de code. Le 7 mai, RansomHouse rend l'affaire publique, vraisemblablement parce que la négociation a échoué.
Le profil de la victime rend l'incident particulièrement gênant. Trellix compte parmi les rares fournisseurs EDR/XDR utilisés par des agences gouvernementales américaines, des opérateurs d'importance vitale en Europe, et des grands comptes du CAC 40. Si le groupe a réellement extrait du code source de produits comme Trellix EDR ou Helix, des acteurs malveillants pourraient y chercher des contournements de détection, des bugs latents ou des secrets cryptographiques codés en dur, et ainsi affaiblir la posture de défense des clients qui dépendent de ces outils.
Plusieurs RSSI français interrogés par la presse spécialisée évoquent en off une vigilance accrue : retrait temporaire de certaines fonctions automatisées de Trellix Helix, audit des règles de détection personnalisées, et accélération de programmes de double-fournisseur EDR. Une partie du marché regarde aussi les concurrents directs (CrowdStrike, SentinelOne, Microsoft Defender) avec un œil intéressé, alors même que Trellix s'est repositionné depuis 2024 sur le segment XDR avec une stratégie commerciale agressive en Europe.
Sur le plan technique, aucune CVE n'a pour l'instant été émise et aucun indicateur de compromission (IoC) ne circule. Les équipes SOC qui utilisent les produits Trellix n'ont donc pas de signature à déployer ; la recommandation immédiate de la communauté défensive consiste à renforcer la surveillance des flux sortants des appliances Trellix vers Internet et à passer en revue les comptes de service privilégiés associés à la plateforme. Trellix promet un rapport plus détaillé d'ici quelques jours, sans calendrier ferme.
Côté RansomHouse, le groupe gagne en visibilité. Apparu fin 2022, il s'est d'abord présenté comme un simple courtier de données volées avant de basculer vers un modèle d'extorsion pure (sans chiffrement), désormais doublé d'affiliés capables d'opérer en autonomie. La compromission d'un acteur de la sécurité, après celles de plusieurs hôpitaux et industriels en 2025, marque clairement une montée en gamme.
Pourquoi c'est important
Un éditeur de sécurité piraté n'est pas une nouveauté absolue : la communauté se souvient encore du compromis SolarWinds en 2020, de l'affaire Kaseya en 2021, ou plus récemment de l'incident CrowdStrike de juillet 2024 (qui n'était pas une compromission mais une panne globale liée à une mise à jour). Le point commun : la confiance dans les outils défensifs eux-mêmes est devenue un vecteur de risque systémique. Quand l'attaquant accède au code source ou à l'infrastructure de l'éditeur, il connaît potentiellement les failles que ce dernier n'a pas publiées, et peut anticiper les détections.
Pour les entreprises clientes, le dilemme est concret. Désinstaller Trellix immédiatement n'est ni réaliste ni nécessairement utile (rien n'indique de backdoor ou de canal C2 dans les produits livrés), mais ignorer l'alerte serait imprudent. La bonne réponse passe par un renforcement temporaire des contrôles compensatoires : segmentation réseau autour des consoles Trellix, audit des règles d'exception EDR, vérification des connexions sortantes, et accélération des plans de continuité prévoyant un changement éventuel de fournisseur EDR à 12 ou 18 mois.
Sur le terrain réglementaire, l'incident tombe à un moment sensible. NIS2 impose désormais aux opérateurs essentiels et importants une obligation de notification d'incidents impactant la chaîne d'approvisionnement IT en moins de 24 heures pour la pré-alerte, 72 heures pour la notification complète. Une entreprise française cliente de Trellix dont le SOC dépend d'Helix pourrait être tenue de notifier l'ANSSI si elle estime que l'incident affecte sa capacité de détection. Le débat juridique est ouvert : un compromis du fournisseur, sans preuve d'impact direct, déclenche-t-il l'obligation ? Plusieurs cabinets conseillent à leurs clients de notifier en mode pré-alerte par précaution.
Plus largement, l'affaire relance le débat sur la concentration du marché de la sécurité. Trois ou quatre éditeurs EDR/XDR concentrent l'essentiel du marché européen. Un compromis profond chez l'un d'entre eux peut affaiblir simultanément des milliers d'organisations. Les architectures « zero trust » et les approches de défense en profondeur ne sont pas un luxe philosophique : elles deviennent une exigence de résilience opérationnelle, d'autant plus que les groupes d'extorsion ciblent désormais explicitement les fournisseurs de sécurité, dont la pression médiatique et financière est démultipliée.
Ce qu'il faut retenir
- RansomHouse revendique un accès depuis le 17 avril, allant possiblement bien au-delà du dépôt de code source reconnu par Trellix.
- Les clients EDR/XDR doivent renforcer immédiatement la surveillance autour des consoles Trellix et auditer leurs règles d'exception.
- L'incident peut déclencher une obligation de notification NIS2 pour les entités essentielles et importantes : à arbitrer avec le DPO et le RSSI.
Faut-il désinstaller Trellix EDR en urgence ?
Non, rien n'indique aujourd'hui de compromission des produits livrés ou de backdoor. La priorité est de renforcer les contrôles compensatoires (segmentation, audit des règles, surveillance des flux sortants) et de préparer un plan de bascule à moyen terme si l'enquête révèle des éléments plus graves.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
PCPJack : le ver cloud qui dégage ses rivaux et pille les credentials
PCPJack, ver cloud documenté début mai 2026 par SentinelLabs, exploite cinq CVE Docker, Kubernetes, Redis et MongoDB, élimine ses rivaux TeamPCP et exfiltre les credentials via Telegram.
iOS 27 : Apple ouvre Apple Intelligence à Claude et Gemini
Apple prépare le système Extensions pour iOS 27 qui ouvrira Apple Intelligence à Claude et Gemini. Fin de l'exclusivité OpenAI, annonce officielle attendue à la WWDC du 8 juin 2026.
Copy Fail CVE-2026-31431 : élévation root Linux exploitée en clair
CVE-2026-31431, baptisée Copy Fail, permet une élévation de privilèges locale sur Linux. Toutes les distributions majeures sont touchées et l'exploitation est confirmée par Microsoft.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire