Alerte attaque : datacarry cible Camomilla🇮🇹 - IT
Introduction
Le groupe ransomware datacarry a revendiqué une cyberattaque contre Camomilla🇮🇹, enseigne italienne de mode féminine fondée en 1999 et employant entre 100 et 250 personnes. Découverte le 6 décembre 2025, cette compromission touche un acteur du secteur Retail générant 25 millions d'euros de chiffre d'affaires annuel. L'incident, classé niveau SIGNAL selon la méthodologie XC-Classify, expose potentiellement des données clients, transactions e-commerce et informations personnelles sensibles. Cette attaque survient dans un contexte d'intensification des cybermenaces visant l'industrie de la mode et du commerce en ligne en Italie, où la protection des données personnelles constitue un enjeu réglementaire majeur au regard du RGPD.
L'acteur malveillant datacarry utilise un modèle opérationnel de double extorsion particulièrement redouté dans l'écosystème cybercriminel. Observé pour la première fois en mai 2025, ce collectif a rapidement étendu son rayon d'action à travers l'Europe et au-delà, avec des victimes recensées en Lettonie, Belgique, Türkiye, Afrique du Sud, Suisse, Danemark et Royaume-Uni. Nos analyses des données certifiées révèlent que le groupe exfiltre systématiquement les informations avant chiffrement, puis menace de publication via un portail hébergé sur le réseau Tor. Cette stratégie force les organisations compromises à négocier même si elles disposent de sauvegardes fonctionnelles, la fuite de données sensibles représentant souvent un risque réputationnel et légal supérieur à l'interruption opérationnelle.
Analyse détaillée
La diversité sectorielle des cibles de datacarry témoigne d'une approche opportuniste : assurance, santé, immobilier, commerce de détail et aérospatiale figurent parmi les industries affectées. Cette polyvalence suggère que l'acteur malveillant privilégie les vulnérabilités d'accès plutôt qu'une spécialisation sectorielle. L'examen des fichiers compromis montre que le groupe exploite probablement des vecteurs d'attaque initiaux classiques tels que le phishing ciblé, l'exploitation de vulnérabilités non corrigées dans les systèmes exposés ou la compromission de comptes à privilèges. La rapidité de son émergence et son déploiement multi-pays signalent une organisation structurée, potentiellement opérant selon un modèle Ransomware-as-a-Service (RaaS) avec des affiliés déployant la charge malveillante.
Camomilla🇮🇹 représente un acteur établi du commerce de détail de mode féminine en Italie depuis plus de 25 ans. Fondée en 1999, l'enseigne s'est développée jusqu'à employer entre 100 et 250 collaborateurs et générer un chiffre d'affaires annuel de 25 millions d'euros. Son activité combine distribution physique en boutiques et plateforme e-commerce, cette dernière constituant un vecteur de croissance stratégique mais également une surface d'attaque étendue. L'organisation collecte et traite quotidiennement des données clients incluant coordonnées personnelles, historiques d'achats, informations de paiement et préférences comportementales à des fins de personnalisation commerciale.
La compromission d'un retailer de cette envergure expose plusieurs catégories d'actifs numériques critiques. Les bases de données clients contiennent typiquement identités complètes, adresses de livraison, numéros de téléphone et adresses électroniques de dizaines de milliers de consommateurs italiens et européens. Les systèmes de gestion des transactions e-commerce, bien que soumis aux standards PCI-DSS pour les données bancaires, peuvent révéler des métadonnées d'achat exploitables pour des campagnes de phishing ciblé ou de fraude à l'identité. L'impact potentiel s'étend également aux données opérationnelles internes : relations fournisseurs, stratégies commerciales, informations RH des employés et propriété intellectuelle liée aux collections de mode.
L'exposition classée niveau SIGNAL selon la méthodologie XC-Classify indique une menace avérée nécessitant une vigilance accrue, bien que les données techniques détaillées sur le volume exact d'informations exfiltrées restent en cours d'analyse. Ce niveau de criticité reflète la nature sensible des informations personnelles traitées par un commerce de détail combiné à la présence confirmée sur le portail de fuite de datacarry. Les données suggèrent que l'intrusion a probablement ciblé les infrastructures IT hébergeant la plateforme e-commerce et les systèmes de gestion de la relation client (CRM), points névralgiques pour tout retailer omnicanal moderne.
La timeline précise de l'attaque demeure partiellement documentée, la découverte publique datant du 6 décembre 2025 via la revendication sur le site de fuite du groupe. Il est probable que la phase d'infiltration initiale ait précédé cette annonce de plusieurs semaines, période durant laquelle les attaquants ont établi leur persistance, effectué une reconnaissance latérale des systèmes et exfiltré les données ciblées. Cette temporalité classique dans les opérations de double extorsion laisse aux victimes un délai limité pour réagir avant publication effective des informations volées, généralement entre 7 et 14 jours selon les pratiques observées chez différents groupes ransomware.
Les entreprises du secteur Retail en Italie font face à un environnement réglementaire strict concernant la protection des données personnelles. Le RGPD impose des obligations de notification aux autorités de contrôle (Garante per la protezione dei dati personali en Italie) dans les 72 heures suivant la découverte d'une violation de données à caractère personnel. Pour Camomilla🇮🇹, cette compromission déclenche potentiellement des obligations de communication directe aux personnes affectées si le risque pour leurs droits et libertés est élevé, ce qui semble probable compte tenu de la nature des données traitées par un retailer mode.
Au-delà du cadre RGPD, la directive NIS2 transposée en droit italien renforce les exigences de cybersécurité pour les entités de taille moyenne opérant dans des secteurs considérés comme essentiels ou importants. Bien que le commerce de détail ne figure pas systématiquement parmi les secteurs hautement critiques, les retailers dépassant certains seuils de chiffre d'affaires ou employant des plateformes numériques d'envergure peuvent se voir soumis à des obligations de déclaration d'incidents et de mise en conformité technique. Les conséquences financières d'une telle compromission incluent amendes réglementaires potentielles pouvant atteindre 4% du chiffre d'affaires annuel mondial, coûts de remédiation technique, dépenses de notification et surveillance des personnes affectées, sans compter l'érosion de confiance client difficile à quantifier mais stratégiquement dévastatrice pour une marque de mode.
Le secteur Retail italien a connu plusieurs incidents similaires ces dernières années, créant un contexte de vigilance accrue. La compromission de Camomilla🇮🇹 pourrait déclencher une réaction en chaîne affectant partenaires logistiques, prestataires de paiement et fournisseurs technologiques partageant des interconnexions système avec l'enseigne. Les retailers concurrents doivent considérer cet incident comme un signal d'alerte : → les attaques visant le secteur Retail suivent souvent des vagues ciblant des profils organisationnels similaires, les cybercriminels réutilisant des vecteurs d'attaque ayant prouvé leur efficacité.
Grâce au protocole XC-Audit, cette attaque est certifiée sur la blockchain Polygon, garantissant une traçabilité immuable et vérifiable par tous, contrairement aux systèmes centralisés traditionnels opaques. Chaque élément de preuve collecté concernant la compromission de Camomilla🇮🇹 par datacarry est horodaté et enregistré via un hash cryptographique sur cette infrastructure décentralisée, permettant à toute partie prenante de vérifier l'authenticité et la chronologie des informations sans dépendre d'une autorité centrale unique.
Cette approche blockchain offre plusieurs garanties critiques dans le contexte de la Cyber Threat Intelligence. Premièrement, elle empêche toute modification rétroactive des données d'incident, préservant l'intégrité des preuves pour d'éventuelles procédures légales ou audits réglementaires. Deuxièmement, elle établit une datation certaine de la découverte et de la documentation de la menace, élément crucial pour démontrer la diligence raisonnable face aux autorités de protection des données. Enfin, la transparence inhérente à la blockchain Polygon permet aux chercheurs en sécurité, assureurs cyber et organismes de régulation de consulter indépendamment les métadonnées de l'incident, favorisant une réponse coordonnée et basée sur des faits vérifiables plutôt que sur des déclarations unilatérales.
Questions Fréquentes
Quand a eu lieu l'attaque de datacarry sur Camomilla🇮🇹 ?
L'attaque a eu lieu le 6 décembre 2025 et a été revendiquée par datacarry. L'incident peut être suivi directement sur la page dédiée à l'alerte sur Camomilla🇮🇹.
Qui est la victime de datacarry ?
La victime est Camomilla🇮🇹 et elle opère dans le secteur de retail. L'entreprise a été localisée en Italie. Consultez le site officiel de Camomilla🇮🇹. Pour en savoir plus sur l'acteur datacarry et ses autres attaques, consultez sa page dédiée.
Quel est le niveau protocole XC de l'attaque sur Camomilla🇮🇹 ?
Le niveau du protocole XC est actuellement au statut XC SIGNAL, c'est-à-dire que l'attaque sur Camomilla🇮🇹 a été revendiquée par datacarry mais n'a pas encore été confirmée par notre communauté. Suivez l'évolution de cette alerte.
Conclusion
Les consommateurs ayant effectué des achats chez Camomilla🇮🇹, particulièrement via la plateforme e-commerce, doivent adopter immédiatement une posture de vigilance renforcée. Surveillez vos relevés bancaires pour détecter toute transaction suspecte et activez les alertes de transaction si votre établissement financier le propose.