Le 20 juin 2025, Disneyland Paris a été victime d’une cyberattaque d’envergure orchestrée par le groupe cybercriminel Anubis. Selon la plateforme spécialisée Ransomware.live, les hackers ont dérobé 64 Go de données confidentielles, soit environ 39 000 fichiers, comprenant des plans techniques, vidéos, photos, contrats et messages internes liés à la construction et à la rénovation du Resort de Marne-la-Vallée. Cette fuite, qualifiée par Anubis comme la plus importante de l’histoire de la destination, a été intégralement publiée sur le dark web à partir du 27 juin 2025, après l’échec apparent des négociations avec Disneyland Paris.
Une fuite de données massive revendiquée par Anubis
Le groupe Anubis, apparu fin 2024, s’est spécialisé dans les attaques par rançongiciel (ransomware) et opère selon un modèle de « Ransomware-as-a-Service » (RaaS). Ce système permet à des affiliés de louer leurs outils de chiffrement pour attaquer des cibles variées, notamment des parcs d’attractions, des banques et des établissements de santé, principalement aux États-Unis. Anubis se distingue par une approche agressive, combinant vol de données sensibles et extorsion, avec une communication publique provocatrice.
Les donnĂ©es divulguĂ©es incluent des documents d’ingĂ©nierie dĂ©taillĂ©s, des calculs mathĂ©matiques, des rapports gĂ©ologiques, des normes de sĂ©curitĂ©, ainsi que des extraits de projets Ă venir, comme le land World of Frozen prĂ©vu pour 2026. Parmi les attractions concernĂ©es figurent des fleurons tels que Big Thunder Mountain, Pirates of the Caribbean, Crush’s Coaster, Ratatouille : L’Aventure Totalement ToquĂ©e de RĂ©my, et Phantom Manor. Ces informations, bien que ne compromettant pas directement les donnĂ©es personnelles des clients ou des employĂ©s, reprĂ©sentent un trĂ©sor stratĂ©gique. Les plans et spĂ©cifications techniques pourraient ĂŞtre exploitĂ©s par des concurrents ou d’autres acteurs malveillants, menaçant la sĂ©curitĂ© des infrastructures du parc.
Clément Domingo, expert en cybersécurité connu sous le pseudonyme SaxX, a souligné l’analyse minutieuse effectuée par Anubis sur les données volées. Le groupe a publié des extraits vidéo et photo des plans sur la plateforme X, une démarche inhabituelle visant à maximiser l’impact de l’attaque. Cette stratégie suggère l’utilisation d’outils d’intelligence artificielle pour trier et exploiter les données, renforçant la pression sur Disneyland Paris.
Une communication agressive et un refus de négociation
Avant la diffusion massive des données, Anubis avait partagé un message énigmatique sur X une semaine plus tôt, accompagné d’échantillons de fichiers, laissant présager leurs intentions. Cette communication agressive, combinée à la publication intégrale des données sur le dark web, indique que Disneyland Paris a probablement refusé de payer la rançon demandée. Cette fermeté, bien que louable, expose le Resort à des risques accrus, les données étant désormais accessibles à d’autres cybercriminels.
Clément Domingo avertit que ces informations seront probablement « récupérées, traitées et remises en forme » par d’autres acteurs de la cybercriminalité dans les jours à venir. Elles pourraient être revendues ou publiées sur des plateformes du clear web, comme Telegram, où les cybercriminels partagent fréquemment des données volées. Telegram, souvent critiqué pour ses failles de sécurité et son utilisation par des groupes malveillants, représente une menace supplémentaire pour la propagation de ces informations sensibles.
Implications pour Disneyland Paris et ses partenaires
Cette cyberattaque soulève des questions critiques sur la sécurité des systèmes de Disneyland Paris et de ses partenaires. La fuite proviendrait d’une erreur commise par une entreprise tierce collaborant avec le complexe touristique, mettant en lumière la vulnérabilité des chaînes d’approvisionnement numériques. Les documents exposés pourraient compromettre non seulement les projets futurs du parc, mais également la sécurité physique des attractions, en révélant des détails sur leur conception et leur maintenance.
Disneyland Paris n’a pas encore officiellement confirmé l’attaque, mais l’absence de réponse publique laisse supposer une gestion de crise en cours. Les équipes internes et externes du parc entrent désormais dans une phase critique, devant évaluer l’ampleur des dégâts, renforcer les mesures de cybersécurité et anticiper les répercussions potentielles de la diffusion des données.
Anubis, bien que récent, s’est rapidement imposé comme une menace sérieuse dans le paysage cybercriminel. Suivi depuis février 2025 par la firme de cybersécurité KELA, le groupe propose des outils de chiffrement pour Windows, Linux, ESXi et NAS, avec une autopropagation sur les domaines ciblés. Leur modèle économique repose sur une répartition des gains, offrant 80 % des rançons à leurs affiliés et 60 % pour les données exclusives divulguées. Cette structure, combinée à leur capacité à analyser et exploiter les données volées, en fait un adversaire redoutable. Leur présence sur des forums cybercriminels et leur utilisation de plateformes comme X pour diffuser des extraits de leurs méfaits témoignent d’une stratégie visant à maximiser la visibilité et la pression sur leurs victimes. Cette approche inhabituelle marque une évolution dans les tactiques des groupes de ransomware.
Les risques futurs et les mesures Ă prendre
La publication des données sur le dark web, et potentiellement sur le clear web ou Telegram, expose Disneyland Paris à des menaces multiples. Les informations pourraient être utilisées pour des attaques de phishing ciblées, des tentatives d’extorsion supplémentaires ou même des actes malveillants visant les infrastructures physiques des parcs. Cette affaire rappelle l’importance d’une cybersécurité robuste et d’une vigilance constante face à l’évolution des menaces numériques.
Pour plus d’informations sur la protection des données et la cybersécurité, consultez des plateformes spécialisées comme Ransomware.live ou ZATAZ. Restez informés et protégez vos données !
