Début janvier 2026, Endesa a confirmé un accès non autorisé à des données clients affectant des millions de personnes. Si la communication officielle s'est concentrée sur la gestion de l'incident et l'information des clients, l'analyse des activités clandestines permet d'éclairer plus précisément la mécanique de l'attaque et les vulnérabilités structurelles mises en évidence.
L'équipe Threat Intelligence d'Outpost24 a mené une enquête approfondie fondée sur l'observation de forums clandestins, l'analyse de listings de bases de données divulguées et les déclarations de l'attaquant présumé.
Les conclusions suggèrent fortement une compromission d'identifiants légitimes ayant permis une exfiltration massive de données depuis un environnement CRM backend, très probablement via des accès Salesforce disposant de privilèges élevés, plutôt qu'un schéma classique de ransomware.
Cette analyse met en lumière un angle encore sous-estimé des cyberattaques actuelles : l'exploitation de comptes légitimes et d'API sur des plateformes tierces critiques, capables de générer des violations de données majeures sans provoquer d'interruption opérationnelle ni de chiffrement visible.
À la suite de la récente cyberattaque visant Endesa, l'un des principaux fournisseurs d'électricité et de gaz en Espagne, l'équipe Threat Intelligence d'Outpost24 a mené une analyse approfondie fondée sur des sources publiques. Cette enquête s'appuie sur l'observation d'activités sur des forums clandestins, l'analyse de listings de bases de données divulguées et les déclarations attribuées à l'auteur présumé de l'attaque. Elle vise à comprendre le mode d'accès initial le plus probable, l'origine des données compromises et les implications plus larges liées à l'exploitation d'identifiants légitimes et d'accès privilégiés.
Ce que nous savons de la fuite de données chez Endesa
Début janvier 2026, un acteur malveillant a commencé à proposer à la vente une base de données prétendument issue d'Endesa sur des forums clandestins spécialisés dans le commerce de bases de données. Utilisant les pseudonymes « glock » et « spain », le vendeur affirmait que les données concernaient plus de 20 millions de personnes et incluaient des informations personnelles et financières.
Le 11 janvier 2026, Endesa a confirmé avoir détecté un accès non autorisé et illégitime à certaines données personnelles de clients liées à leurs contrats d'énergie. L'entreprise a précisé que les mots de passe n'avaient pas été compromis et qu'aucune utilisation frauduleuse des données exposées n'avait été constatée au moment de la communication. Endesa a toutefois invité les clients concernés à rester vigilants face à d'éventuelles campagnes de phishing ou de spam.
Selon Endesa, les données concernées incluent des informations d'identification de base, des coordonnées, des numéros d'identité nationale, des informations contractuelles ainsi que des données de paiement, notamment des IBAN. Aucun incident opérationnel ni perturbation des systèmes n'a été signalé au-delà de l'extraction non autorisée des données. Les personnes concernées, y compris les clients du distributeur de gaz Energía XXI, ont été informées. À la date de cette analyse, aucun acteur n'a été officiellement attribué à l'attaque.
Comment la compromission a probablement eu lieu
L'analyse d'Outpost24 indique que le scénario le plus probable repose sur une compromission d'identifiants légitimes. Les déclarations attribuées à l'attaquant, telles que « I also do cracking as a service » ou encore « Don't blame me for my work ; blame your employees for not doing theirs », suggèrent fortement un accès initial obtenu via des identifiants compromis. Ce type d'accès permet généralement une circulation latérale au sein des systèmes internes avec peu de résistance et offre la possibilité d'accéder directement à des données sensibles ou privilégiées.
Aucun élément ne laisse penser à un déploiement de ransomware, à un chiffrement des données ou à une tentative de sabotage opérationnel. Malgré des tentatives de pression publique et des références implicites à des négociations, tous les indicateurs montrent une attaque exclusivement orientée vers l'exfiltration de données.
L'analyse des fichiers référencés dans les publications de l'attaquant suggère que les données ont très probablement été extraites d'un environnement CRM Salesforce. La présence d'objets de type Change Event, de tables issues de Data Lake et de jeux de données enrichis indique un niveau d'accès bien supérieur à celui d'un usage CRM standard. Cela correspond davantage à des comptes employés ou à des comptes de service disposant de privilèges élevés via des API, des intégrations ou des fonctions analytiques.
Comportement et profil de l'attaquant
L'activité observée sur les forums clandestins suggère qu'il s'agit d'un individu isolé, hispanophone, plutôt que d'un groupe cybercriminel structuré. L'empreinte numérique de l'attaquant est limitée à quelques plateformes à faible barrière d'entrée, principalement orientées vers la vente de bases de données. Aucun élément ne permet d'identifier une opération de long terme, un modèle d'affiliation ou une campagne coordonnée. L'attaque semble opportuniste, ciblant Endesa de manière ponctuelle, avec un niveau de sophistication inférieur à celui des groupes de ransomware ou d'extorsion de données bien établis.
Après les premières annonces de mise en vente, l'attaquant a intensifié sa communication en proférant des menaces publiques lorsque Endesa n'a pas engagé de contact. Ces messages évoquaient la publication de données supplémentaires et visaient à accroître la pression médiatique après la reconnaissance officielle de la fuite par l'entreprise. Le calendrier et le ton de ces publications indiquent davantage une tentative de renforcer l'intérêt des acheteurs potentiels qu'une véritable stratégie d'extorsion organisée.
La crédibilité de l'attaquant apparaît limitée. Aucun prix fixe n'a été communiqué et les acheteurs potentiels étaient invités à prendre contact directement. Alors que les premiers messages promettaient une vente exclusive, des publications ultérieures proposaient des jeux de données complets ou partiels. Malgré des annonces répétées, aucune vente vérifiable n'a été observée. À la mi-janvier 2026, la base de données était toujours proposée, ce qui suggère un échec des tentatives de monétisation, probablement en raison de prix élevés et d'un manque de confiance des acheteurs.
L'activité de l'attaquant a été repérée sur DarkForums, BreachForums et Telegram, avec un engagement très limité sur l'ensemble de ces plateformes. Bien qu'un identifiant Session ait été communiqué, les analystes d'Outpost24 n'ont pas pu le relier à d'autres activités publiques connues.
Analyse des données divulguées
La structure, la nomenclature et les volumes des fichiers évoqués correspondent étroitement aux types de données mentionnés par Endesa dans ses communications aux clients. Les noms de fichiers et les objets référencés sont cohérents avec les modèles de données Salesforce, incluant des objets CRM standards, des champs personnalisés et des fichiers liés à la capture de changements, généralement accessibles uniquement via des API privilégiées ou des intégrations backend.
La présence de couches de type Data Cloud ou data lake, combinée à des fichiers atteignant plusieurs centaines de gigaoctets, indique des extractions complètes de tables réalisées via des API bulk, des pipelines ETL ou des environnements analytiques, plutôt que des exports manuels via une interface utilisateur. L'existence de jeux de données enrichis et retraités suggère également l'utilisation d'un environnement intermédiaire d'analyse ou de traitement. L'ensemble de ces éléments renforce l'hypothèse d'une extraction issue d'un backend CRM accessible grâce à des identifiants compromis disposant de privilèges élevés.
Recommandations d'Outpost24
L'incident Endesa met en lumière l'importance cruciale d'une détection précoce de l'exposition des identifiants. Les organisations doivent prioriser une surveillance continue des fuites ou abus d'identifiants, qu'il s'agisse de comptes utilisateurs ou de comptes de service, notamment ceux liés à des plateformes tierces comme les CRM, de plus en plus impliquées dans des compromissions à fort impact.
Cette surveillance doit être étroitement intégrée aux processus de gestion des identités et des accès, en particulier pour les comptes disposant de privilèges élevés via des API, des intégrations ou des fonctions analytiques. Combinée à la détection de comportements anormaux, tels que des connexions inhabituelles, des volumes excessifs d'accès aux données ou des usages atypiques des API, cette approche permet de réduire significativement le temps de présence des attaquants et de limiter l'ampleur des exfiltrations.
La solution Digital Risk Protection d'Outpost24 offre une surveillance continue des identifiants compromis, des activités sur le dark web et des données exposées, permettant aux équipes de sécurité d'identifier rapidement les risques émergents et d'agir avant que les accès ne soient exploités. Outpost24 met également à disposition un outil gratuit de vérification d'identifiants, permettant aux entreprises de savoir si leur domaine email est apparu dans des bases de données compromises ou sur des places de marché clandestines. Alimenté par l'intelligence de la plateforme CompassDRP, cet outil fournit des alertes exploitables directement par email.
—
