Un hacker se présentant sous le nom Lagui a publié une base de données attribuée à Actradis, plateforme française utilisée pour la gestion et la diffusion de documents administratifs d’entreprises.
La publication évoque un export récent, présenté comme récupéré quelques jours avant sa mise en ligne. À ce stade, aucune confirmation officielle n’a été publiée concernant l’authenticité complète des données ni l’origine exacte de la fuite.
Deux fichiers distincts revendiqués
Le lot serait composé de deux fichiers principaux :
- clients_all.jsonl : 82 611 entrées clients
- suivi_all.jsonl : 222 473 entrées de suivi
Les données visibles semblent provenir d’interfaces internes liées au backoffice de la plateforme Actradis.
Des données entreprises très détaillées
Les extraits publiés semblent contenir des informations relatives à de nombreuses sociétés françaises, avec des données administratives, commerciales et contractuelles.
Les champs visibles incluraient notamment :
- Nom de l’entreprise
- Numéro SIREN
- Numéro de TVA intracommunautaire
- Adresse postale
- Code NAF et activité déclarée
- Statut du dossier client
- Informations d’abonnement
- Mandats de collecte et de diffusion
Factures, fournisseurs et donneurs d’ordre visibles
La base revendiquée ne se limiterait pas à une simple liste d’entreprises. Les extraits font apparaître des informations de facturation, des relations fournisseurs et des donneurs d’ordre associés.
On y trouverait notamment :
- Références de factures
- Montants facturés
- Dates d’émission et de règlement
- Modes de paiement
- Listes de fournisseurs associés
- Relations avec des donneurs d’ordre
Des entreprises connues apparaissent dans les extraits, comme Rexel France, Computacenter France, Bricoman, Claranet, Edenred, Carglass, Siemens, Würth France, Hilti France, Manutan, Ricoh France, Vinci Energies ou encore Engie. Leur présence dans les échantillons ne signifie pas nécessairement qu’elles sont clientes directes ou victimes d’une compromission, mais qu’elles figureraient dans les données revendiquées.
Des documents administratifs sensibles référencés
Les données publiées mentionneraient de nombreux documents liés à la conformité des entreprises :
- Justificatifs d’immatriculation / Kbis
- Attestations sociales de vigilance
- Attestations fiscales
- Attestations d’assurance
- Attestations décennales
- Listes de salariés étrangers
- Documents de prévoyance ou retraite
- Conditions générales de services
Il n’est pas possible d’affirmer, à partir des seuls éléments fournis, que les documents eux-mêmes sont inclus dans l’archive. Les extraits montrent en revanche des références, statuts et périodes de validité associés à ces pièces.
Des historiques commerciaux et notes internes
Le fichier de suivi revendiqué contiendrait également des historiques d’échanges, relances, appels, emails entrants, notes commerciales et commentaires internes.
Ces informations sont particulièrement sensibles pour les entreprises, car elles peuvent révéler des relations commerciales, des habitudes de paiement, des contacts internes, des désaccords, des relances ou des processus de validation.
Pourquoi cette fuite serait critique
Si elle se confirmait, cette fuite exposerait une cartographie très précise de relations B2B : clients, fournisseurs, donneurs d’ordre, factures, documents de conformité et historiques d’échanges.
Les risques potentiels incluraient :
- Phishing ciblé auprès d’entreprises clientes ou partenaires
- Fraude au virement ou à la facture
- Usurpation de relation commerciale
- Exploitation de documents de conformité
- Espionnage commercial ou concurrentiel
- Pression sur les sociétés figurant dans les suivis internes
Une fuite potentiellement stratégique pour le B2B français
Actradis intervient dans un domaine sensible : la centralisation de documents et d’informations de conformité entre entreprises. Une compromission de ce type pourrait donc dépasser la simple exposition de données administratives publiques.
En l’absence de confirmation officielle, la prudence reste nécessaire sur la portée réelle de cette revendication, le contenu exact des fichiers et l’impact pour les entreprises mentionnées.