Attaque

Tech In Order : fuite de 1 400 comptes B2B, mots de passe hachés et accès administrateurs

Une fuite de données attribuée à Tech In Order a été revendiquée le 13 juillet 2026. Le dépôt annoncé contiendrait près de 1 400 comptes professionnels issus du portail mcs.tech-in-order.com, ainsi que plusieurs centaines de mégaoctets de données liées à une plateforme de gestion de commandes B2B.

Les fichiers exposeraient des identités, des coordonnées professionnelles, des fiches clients, des historiques de commandes et des informations d’authentification. Des comptes disposant de rôles administrateur et super-administrateur apparaissent dans l’échantillon publié.

À ce stade, il s’agit d’une revendication non confirmée officiellement. Ni Tech In Order ni les marques utilisant la plateforme n’ont communiqué publiquement sur l’incident.

Tech in order cyberattaque

Une plateforme de commandes utilisée par des professionnels de la mode

Tech In Order édite des outils logiciels destinés à la gestion d’activités commerciales. Le portail concerné semble notamment être utilisé pour les commandes professionnelles de marques comme MCS, anciennement Marlboro Classics, et Territoire d’Homme.

La base revendiquée ne semble donc pas correspondre à un fichier de consommateurs grand public, mais principalement à des comptes de boutiques, revendeurs, commerciaux et partenaires professionnels.

Entre 1 200 et 1 400 comptes selon les analyses

La publication initiale annonce 1 376 utilisateurs. Mais les analyses du fichier indiquent 1 371 comptes professionnels.

Le dépôt représenterait environ 330 à 345 Mo. Certaines données semblent avoir été mises à jour jusqu’au début du mois d’avril 2026.

Des comptes administrateurs dans l’échantillon

L’extrait publié contient des comptes associés à plusieurs niveaux de droits, dont des rôles présentés comme :

  • super-administrateur ;
  • administrateur ;
  • administrateur des ventes ;
  • vendeur.

La présence de ces rôles ne permet pas de déterminer si les comptes sont encore actifs ni si leurs accès ont été utilisés. Elle révèle toutefois une partie de l’organisation des permissions au sein de la plateforme.

Quelles données seraient exposées ?

Les informations revendiquées comprendraient notamment :

  • nom et prénom ;
  • civilité ;
  • adresse email ;
  • numéro de téléphone ;
  • adresse postale ;
  • ville, code postal et pays ;
  • nom de la société ou de la boutique ;
  • identifiant de connexion ;
  • identifiant interne ;
  • adresse IP ;
  • rôle et niveau d’autorisation ;
  • statut du compte ;
  • dates de création et de dernière activité ;
  • fiche client ;
  • historique de commandes et de transactions ;
  • montants associés aux opérations ;
  • contenu de certains messages ;
  • mots de passe sous forme hachée.

Aucune donnée bancaire complète n’a été identifiée dans les informations disponibles.

Les mots de passe ne sont pas exposés en clair

Les mots de passe visibles dans l’échantillon semblent être protégés par un hachage de type bcrypt. Ils ne sont donc pas directement lisibles.

Cette protection réduit le risque, mais ne le supprime pas totalement. Un mot de passe faible peut parfois être retrouvé par des attaques automatisées, en particulier lorsque le même secret est réutilisé sur plusieurs services.

Les comptes concernés devraient donc faire l’objet d’une réinitialisation des mots de passe et d’une invalidation des sessions actives, notamment pour les profils disposant de droits administratifs.

Des jetons techniques également présents

La structure de la table publiée contient plusieurs chaînes pouvant correspondre à des jetons de validation, de réinitialisation ou de gestion de session.

Leur usage exact n’est pas documenté. Si certains de ces jetons étaient encore valides au moment de l’extraction, ils pourraient potentiellement faciliter un accès non autorisé ou le détournement d’un processus de récupération de compte.

Les commandes et relations commerciales potentiellement exposées

Le dépôt ne se limiterait pas aux comptes utilisateurs. Il comprendrait également des données liées aux clients professionnels, aux commandes, aux transactions et aux échanges réalisés depuis la plateforme.

Ces informations peuvent révéler les relations entre des marques et leurs revendeurs, les habitudes de commande, les montants d’achat ou l’activité commerciale de certaines boutiques.

Des risques de fraude ciblée contre les boutiques

La combinaison entre l’identité d’un interlocuteur, son entreprise, son rôle et son historique commercial peut être utilisée pour construire des attaques très crédibles.

Les scénarios possibles incluent :

  • fausse demande de paiement ;
  • fausse facture ;
  • faux changement de coordonnées bancaires ;
  • fausse confirmation de commande ;
  • faux problème de livraison ;
  • fausse demande de connexion au portail ;
  • usurpation d’un commercial ou d’une marque ;
  • tentative de récupération d’identifiants professionnels.

Une fuite potentiellement critique pour les comptes privilégiés

Les profils administrateurs représentent le principal point de vigilance. Si les mots de passe associés étaient retrouvés ou réutilisés sur d’autres services, ils pourraient faciliter une prise de contrôle de comptes disposant de droits élevés.

Les adresses IP, dates de connexion et informations sur les rôles peuvent également aider un attaquant à mieux comprendre l’organisation technique et les habitudes d’utilisation de la plateforme.

Une revendication encore non confirmée

L’origine exacte de la fuite n’est pas précisée. Aucun élément public ne permet de déterminer s’il s’agit d’une compromission du serveur, d’une sauvegarde exposée, d’un accès administrateur détourné ou d’une autre vulnérabilité.

Le volume exact varie également selon les sources. Si l’authenticité du dépôt est confirmée, l’incident concernerait toutefois une base récente contenant des comptes professionnels, des données commerciales et plusieurs profils disposant de droits administratifs.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires