Jaguar Land Rover : la cyberattaque la plus coûteuse du Royaume-Uni regarde vers Moscou

Pendant dix mois, on a cru à une affaire d'adolescents. Un collectif anglophone et informel, qui se faisait appeler 'Scattered Lapsus$ Hunters', s'était vanté en septembre, sur Telegram, d'avoir mis à l'arrêt le premier constructeur automobile britannique. La revendication collait à une figure connue : celle de jeunes maîtres-chanteurs en quête de notoriété. Cette semaine, les enquêteurs ont avancé une hypothèse plus sombre. Ceux qui ont gelé Jaguar Land Rover n'étaient peut-être pas des amateurs de sensations fortes, mais des opérateurs agissant avec une main russe.

Ce déplacement du soupçon, rapporté par le New York Times et nourri d'enquêtes britanniques antérieures, ne vaut pas accusation formelle. Aucun ministre n'a désigné de coupable. Mais il change la nature de ce qui était déjà la cyberattaque la plus dévastatrice de l'histoire économique du pays : non plus un cambriolage numérique, mais peut-être un acte de sabotage visant toute une industrie nationale.

Cinq semaines de silence

L'intrusion a commencé le 31 août 2025. En un jour, Jaguar Land Rover a débranché ses propres systèmes informatiques pour contenir l'attaque, avec une conséquence immédiate et bien physique : les chaînes se sont tues. Les grandes usines britanniques de Solihull, Halewood et Wolverhampton se sont éteintes, comme des sites répartis sur trois continents ; quelque 34 000 salariés ont été renvoyés chez eux. La production n'a vraiment repris qu'au début d'octobre, après près de cinq semaines d'arrêt.

L'addition fut hors norme. Le Cyber Monitoring Centre, organisme britannique qui classe les incidents systémiques, l'a rangé en catégorie 3 et a évalué le préjudice pour l'économie à 1,9 milliard de livres — environ 2,5 milliards de dollars —, plus de 5 000 organisations ayant été touchées. Le constructeur, à lui seul, perdait quelque 50 millions de livres par semaine et a passé une charge de 196 millions sur le trimestre. En novembre, la Banque d'Angleterre a cité l'attaque parmi les causes d'une croissance atone : rare cas où un piratage isolé se lit dans la comptabilité nationale.

Ce qui n'était qu'un « siège numérique », a mis en garde le député travailliste Liam Byrne au plus fort de la crise, menaçait de voir les sous-traitants licenciés « par milliers » faute d'intervention.

On en a frôlé l'issue. Avec un réseau de quelque 104 000 salariés de la sous-traitance suspendus à un donneur d'ordres qui n'achetait plus, l'État a garanti un prêt pouvant atteindre 1,5 milliard de livres pour irriguer la trésorerie des fournisseurs. Ce que l'on sauvait n'était pas la marque, mais le tissu qui la porte : ces ateliers d'usinage et ces équipementiers pour lesquels un JLR à l'arrêt signifiait, tout simplement, plus aucune commande.

La revendication et le doute

Le nom 'Scattered Lapsus$ Hunters' en dit déjà long. Il soude trois des marques les plus redoutées de la cybercriminalité de la décennie : Scattered Spider, mis en cause dans une série d'attaques contre des enseignes britanniques ; Lapsus$, qui a humilié Nvidia et Microsoft ; et ShinyHunters, voleur de données en série. Plusieurs membres présumés de cette mouvance, dont des adolescents, ont été interpellés au Royaume-Uni pour des attaques antérieures contre des distributeurs comme Marks & Spencer.

Les analystes en criminalistique ont pourtant appelé à la prudence dès le départ : une fanfaronnade sur Telegram n'est pas une preuve, et l'attribution demeurait incertaine. L'enquête est conduite par le National Cyber Security Centre, rattaché aux services de renseignement du GCHQ, avec l'appui de la National Crime Agency.

Pourquoi la piste mène vers l'est

Deux éléments ont troublé les enquêteurs. D'abord une ampleur et une sophistication sans rapport avec un coup de main rapide. Ensuite, ce qui n'a pas eu lieu : aucune demande de rançon sérieuse ne semble être apparue. Des criminels rançonnent ; ils n'immobilisent pas par jeu une industrie de 1,9 milliard de livres. L'absence de butin, conjuguée au dommage stratégique infligé à la production britannique, éloignait l'hypothèse de l'argent pour rapprocher celle d'un État. La Russie est devenue une piste active.

• Début de l'attaque : 31 août 2025 ; reprise en octobre.
• Perte modélisée pour l'économie britannique : 1,9 milliard de livres (environ 2,5 milliards de dollars).
• Plus de 5 000 organisations touchées dans la chaîne d'approvisionnement.
• Garantie publique de prêt jusqu'à 1,5 milliard de livres pour protéger les fournisseurs.

Une inquiétude européenne

Jaguar Land Rover est britannique par l'écusson et indien par le capital — sa maison mère est Tata Motors —, mais ses ondes de choc sont continentales. Sa chaîne d'approvisionnement traverse l'Europe, et une frappe réussie contre un fleuron industriel correspond précisément au scénario qui hante les stratèges européens : non pas un missile, mais une intrusion qui arrête des usines, renvoie des ouvriers et entame une économie nationale sans qu'un coup de feu soit tiré. Si la thèse russe se confirme, l'affaire JLR deviendra une référence dans le débat européen sur la défense de l'industrie face aux attaques hybrides — et un rappel que la surface la plus vulnérable d'une économie moderne est celle que nul ne voit.