Fin mars 2026, un acteur de la menace opérant sous le pseudonyme "The_Auditors" a prétendu avoir pénétré dans BlackLine Systems, un fournisseur américain de logiciels d'automatisation financière et de comptabilité. L'attaquant affirme avoir exfiltré environ 354 Go de documents financiers et opérationnels sensibles, soit un total de plus de 1,5 million d'enregistrements appartenant non seulement à BlackLine, mais aussi à ses entreprises clientes. À l'heure où nous écrivons ces lignes, BlackLine n'a pas confirmé publiquement l'existence d'une brèche, et les allégations ne sont pas vérifiées. Toutefois, de nombreuses sociétés de renseignement en matière de cybersécurité ont estimé que les allégations étaient crédibles sur la base de plusieurs indicateurs.

Étant donné le rôle de BlackLine en tant que plateforme centrale d'opérations financières pour les organisations multinationales, l'incident présente un risque important pour les tiers, en particulier en ce qui concerne la fraude, la compromission des courriels d'entreprise (BEC) et l'exposition à la réglementation.

Aperçu de l'incident

• Date de la révélation : 31 mars 2026 (publication sur le dark web)
• Acteur de la menace : "The_Auditors" (Les Auditeurs)
• Volume de données présumé : ~354,4 Go
• Enregistrements présumés : ~1,53 million de documents
• Type de données : Documents de comptabilité fournisseurs/recevables, factures, licences, certificats et métadonnées financières traités pour le compte des clients de BlackLine.
• Méthode de distribution : Mise en vente sur un forum de cybercriminalité, avec des indications de tentatives d'extorsion avant la mise en vente publique.
  

Poste actuel de BlackLine

Au 28 avril 2026 :

• Aucune notification officielle de violation n'a été émise via Trust.BlackLine.com.
• BlackLine signale une disponibilité normale de la plateforme et aucun incident de sécurité actif n'a été divulgué.
• Un remplacement de certificat classé comme "maintenance critique" a eu lieu au début du mois d'avril 2026 ; bien qu'il n'ait pas été confirmé qu'il s'agissait d'une violation, le moment choisi a attiré l'attention des analystes de renseignements sur les menaces.

Observations des services de renseignement sur les menaces :

Notre équipe interne de renseignement sur les menaces a examiné et confirmé les preuves d'une publication sur le darkweb, y compris les demandes de négociation liées à l'ensemble de données. La surveillance en cours en avril indique une activité continue correspondant à une tentative de revente et de monétisation secondaire des données prétendument liées à l'incident. Du point de vue du risque, cela indique une exposition élevée à la fraude en aval malgré l'absence de confirmation du fournisseur, avec des signes qu'un ensemble de données plus large référencé dans ces réclamations reste activement commercialisé.

Actions recommandées aux clients de BlackLine

Il est conseillé aux organisations utilisant BlackLine de prendre immédiatement les mesures de précaution suivantes :

• Traiter BlackLine comme unfournisseurpotentiel affecté par une brèchejusqu'à ce qu'il y ait un démenti concluant.
• Alerter les équipes financières et administratives du risque élevé de fraude sur les factures et de demandes de modification de paiement.
• Mettre en place une vérification secondaire pour tout :
  • Modification des coordonnées bancaires
  • les demandes de paiement urgentes
  • Demandes faisant référence à des documents BlackLine ou à des activités de soutien

Examiner l'historique desdocumentstraités par BlackLinepour vérifier l'exposition aux données sensibles (coordonnées bancaires, signatures, numéros d'identification fiscale).

Surveillez les fuites de données faisant référence à votre organisation sur les flux de surveillance du dark web.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien prenez contact avec nouspour savoir comment vous pouvez protéger votre organisation.