Marquis : ransomware via SonicWall, 672 000 victimes et 74 ban...

Marquis Financial Group, un prestataire de services numériques basé au Texas qui dessert plus de 700 institutions financières américaines, vient de notifier 672 075 personnes que leurs données ont été volées lors d'une attaque ransomware survenue le 14 août 2025. L'attaque a directement perturbé les opérations de 74 banques, coopératives de crédit et prêteurs immobiliers à travers les États-Unis.

Le vecteur d'intrusion initial est un pare-feu SonicWall compromis. En septembre 2025, SonicWall avait publié un avis de sécurité informant ses clients d'une brèche affectant son service MySonicWall Cloud Backup. Environ 5 % des clients utilisant ce service étaient concernés. La compromission permettait aux attaquants d'extraire des identifiants d'accès et des tokens d'authentification depuis le service cloud, rendant l'accès aux pare-feu des clients, selon les mots de SonicWall, « significativement plus facile ».

Concrètement, les attaquants ont exploité les credentials récupérés via la brèche SonicWall pour s'authentifier sur le pare-feu de Marquis, puis ont pivoté vers le réseau interne. Une fois à l'intérieur, ils ont procédé à une exfiltration massive avant de déployer le ransomware.

Les données volées couvrent un spectre large : noms complets, dates de naissance, adresses postales, numéros de téléphone, numéros de Sécurité Sociale (SSN), numéros d'identification fiscale (TIN), ainsi que des informations de comptes financiers — sans les codes d'accès ou de sécurité, précise Marquis dans ses notifications. L'absence de codes d'accès limite le risque de fraude bancaire directe, mais le volume de données personnelles exfiltrées ouvre la porte à de l'usurpation d'identité à grande échelle.

Un élément rend cette affaire particulièrement notable : l'enquête menée par Mandiant sur la brèche SonicWall en septembre a révélé des indices attribuant l'attaque initiale à un groupe de hackers sponsorisé par un État. Bien que le nom du groupe n'ait pas été publiquement confirmé, cette attribution étatique change la nature de l'incident. On ne parle plus d'un gang ransomware opportuniste, mais d'une chaîne d'attaque supply chain initiée au niveau étatique, dont le ransomware contre Marquis serait un dommage collatéral — ou un objectif secondaire.

La chronologie de l'incident révèle aussi des délais préoccupants. L'attaque date d'août 2025. SonicWall a communiqué sur sa propre brèche en septembre. Marquis a déposé ses premières notifications de violation de données en décembre. Et les lettres aux 672 075 victimes n'ont été envoyées qu'en mars 2026 — soit sept mois après l'intrusion. Ce décalage soulève des questions sur les obligations de notification et la rapidité de réponse dans le secteur fintech.

Marquis a engagé des poursuites judiciaires contre SonicWall en février 2026, invoquant une négligence grave et des déclarations trompeuses sur la sécurité du service de sauvegarde cloud. L'entreprise fait par ailleurs face à 36 recours collectifs déposés par des victimes de la fuite.

Du point de vue de la sécurité opérationnelle, cette affaire illustre parfaitement le risque supply chain dans le secteur financier. Marquis insiste sur le fait que les systèmes de ses clients bancaires n'ont pas été directement compromis — seuls ses propres systèmes l'ont été. Mais quand un prestataire centralise les données de 700+ institutions et traite du marketing digital, de l'analytique, de la conformité et du CRM, la surface d'attaque agrégée est considérable.

Pour les professionnels de la sécurité, plusieurs enseignements se dégagent. D'abord, les équipements réseau (pare-feu, VPN) restent un vecteur d'entrée privilégié — les vulnérabilités SonicWall font régulièrement l'objet d'exploits actifs. Ensuite, les services de sauvegarde cloud associés aux appliances physiques créent un point de compromission souvent négligé dans les audits. Enfin, la rotation des credentials après un avis de sécurité d'un fournisseur devrait être immédiate et systématique, pas optionnelle.

Le procès Marquis contre SonicWall pourrait créer un précédent juridique important sur la responsabilité des fournisseurs d'équipements réseau en cas de compromission de leurs services cloud adjacents.