Depuis mars 2026, des sous-domaines liés à warnerbros.fr affichent des fichiers de revendication signés par plusieurs pirates repérés par ZATAZ, signe d’un possible défaut d’exposition web.Des fichiers .txt, des images accessibles publiquement ont été repérés par le Service de veille zataz, l’entreprise de veille et d’investigation mise en place par le créateur de ZATAZ, sur plusieurs sous-domaines associés à warnerbros.fr, dans une campagne de defacement observée depuis mars 2026. Certains messages affichent un soutien politique à la Palestine et à l’Iran. Les traces recensées montrent trois vagues, le 9 mars, le 24 mars et le 27 avril 2026, avec plusieurs pseudonymes revendicatifs.
Une campagne visible sur plusieurs sous-domaines
Comme vous pouvez le voir dans nos moteurs de recherche dédiés aux cyberattaques à l’encontre d’entreprises hexagonales, l’affaire commence par un signal discret, mais révélateur. Depuis mars 2026, plusieurs sous-domaines rattachés à warnerbros.fr apparaissent dans une opération de défiguration numérique. Le procédé, connu sous le nom de defacement, consiste ici à rendre publics des fichiers texte déposés sur des espaces web accessibles. Certains contiennent des messages politiques en faveur de la Palestine et de l’Iran. Le defacement, c’est le marquage territorial du web : un pirate remplace, modifie une page ou héberge un fichier (texte, image, code php) pour y laisser sa trace, comme un chien ou un ours numérique déposant son empreinte odorante 2.0 sur l’arbre virtuel qu’est le site web. L’attaquant ne cherche pas forcément à voler, il veut surtout montrer qu’il est passé par là. Mais attention : derrière une esthétique « hack » très années 90, le message peut aussi servir de vitrine commerciale. Une forme de marketing de la malveillance destinée à signaler aux autres pirates : « Nous vendons l’accès, qui en veut ? »
Des exemples observés par ZATAZWarner Bros., est un groupe se présentant comme un acteur mondial des médias et du divertissement, présent dans la télévision, le cinéma et le streaming. En France, warnerbros.fr est présenté comme la page officielle de Warner Bros. Discovery France, avec des contenus liés à Harry Potter, DC Comics, HBO, Max Originals ou Eurosport.
Les éléments repérés par le Service de veille de ZATAZ dessinent une séquence en plusieurs temps. La première vague recensée remonte au 9 mars 2026. Elle vise studiotour.warnerbros.fr et porte la signature d’un pirate du nom de BROKENPIPE. À ce stade, l’incident semble encore limité, mais il indique déjà qu’un sous-domaine exposé a pu servir de support à une revendication.
Une deuxième vague, plus large, apparaît le 24 mars 2026. Elle concerne des environnements préfixés par mcstaging, ce qui suggère des instances de test ou de préproduction. Les sous-domaines mentionnés sont wizardingworld, studiotour, store, seller, secure, player, horreur, dccomics, admin et account. Les signatures pirates relevées par ZATAZ sont Simsimi, Typical idiot security et L4663r666h05t.
La troisième vague identifiée date du 27 avril 2026. Elle touche une série plus étendue : wizardingworld, store, seller, secure, player, horreur, dccomics, admin et account, ainsi que leurs variantes mcprod. Le pseudonyme associé à cette salve est cette fois Vandathegod. Il s’agit peut-être du même pirate.
La présence de préfixes comme mcstaging et mcprod mérite attention. Elle laisse entrevoir des environnements applicatifs séparés, l’un consacré aux essais, l’autre à l’exploitation réelle. Ce constat ne démontre pas, à lui seul, une intrusion profonde dans le système d’information. Il montre en revanche que plusieurs surfaces web ont pu être exposées, utilisées ou indexées.
Les fichiers visibles repérés par ZATAZ ne sont donc qu’un indice. Ils signalent cependant une anomalie dans la chaîne de publication web. Pour une enquête cyber, la question centrale n’est pas seulement de savoir qui a signé le message, mais comment ce fichier a pu apparaître à cet endroit.
Un dépôt de fichier plus qu’une simple provocation ?Le chemin exploité par les pirates (que ZATAZ n’indiquera pas) constitue un élément technique important. Il correspond à un répertoire connu dans l’écosystème Magento/Adobe Commerce, souvent associé au stockage de fichiers liés à des fonctions client ou adresse. Des travaux de sécurité ont déjà décrit des abus de ce type de chemin dans des attaques contre Magento/Adobe Commerce, notamment autour de la vulnérabilité SessionReaper, le CERT France (ANSSI) avait lancé une alerte sur ce sujet en 2025 : CVE-2025-54236.
Adobe a publié le bulletin APSB25-88 pour Adobe Commerce et Magento Open Source. Selon l’éditeur, cette faille critique pouvait permettre un contournement de mécanisme de sécurité et avait été exploitée dans la nature. Dans le cas de Warner Bros France, les éléments disponibles ne suffisent pas à relier formellement l’incident à cette vulnérabilité précise. Ils permettent toutefois de formuler une hypothèse cohérente : un fichier aurait été déposé sans autorisation dans un dossier rendu public par le serveur web.
Autrement dit, les auteurs n’ont pas nécessairement remplacé une page d’accueil ni pris le contrôle éditorial du site. Ils ont pu placer un simple document texte dans une arborescence accessible depuis Internet. Une fois écrit à cet emplacement, le fichier devient consultable directement par HTTP, comme une image, un document statique ou une ressource média.
Le nom des fichiers repérés vont dans ce sens. Il s’agit de fichiers de revendication, non d’une page complète. Le double slash visible dans l’adresse ne modifie généralement pas le comportement d’un serveur web moderne, beaucoup d’environnements normalisant automatiquement ces chemins. L’URL peut donc continuer à pointer vers le même fichier dans l’arborescence publique.
Des spécialistes Magento ont décrit des scénarios où des attaquants exploitent des mécanismes d’upload ou des contrôles insuffisants pour écrire dans certains dossiers. SessionReaper peut, dans certaines conditions, donner un contrôle important sur une boutique Magento/Adobe Commerce.
Le risque ne s’arrête donc pas au message politique. Un dépôt sauvage de fichier peut révéler une faille d’upload, une mauvaise configuration, un composant Magento/Adobe Commerce vulnérable, un staging trop ouvert ou un accès applicatif compromis. Le vrai point de contrôle porte sur la capacité d’écriture des attaquants. Si un fichier texte a pu être placé, d’autres formats ont potentiellement pu l’être aussi, comme un,. Dans certains scénarios documentés, l’exploitation peut aller jusqu’au dépôt de webshells ou de fichiers de persistance côté serveur.
En cyber-renseignement, le texte affiché est la pancarte ; l’enjeu réel se trouve dans la serrure, les accès et les traces. À ce stade, le point rassurant est que les pirates ne revendiquent aucune exfiltration de données.
merci à ZATAZ
