TURBOSOFT
Le 13 juillet 2026, le groupe de rançongiciel SpaceBears revendique sur son site de fuite une attaque contre Turbosoft (turbosoft.cm), éditeur camerounais de logiciels de gestion d'entreprise couvrant la paie, la comptabilité, les ressources humaines, la finance et la santé. Le groupe menace de divulguer des données sensibles — informations personnelles d'employés et de clients, documents financiers — en l'absence de paiement de la rançon. L'ampleur exacte du volume compromis et l'impact opérationnel ne sont pas établis à ce jour, et l'entité n'a pas communiqué.
Analyse OBS-CC. Trois éléments distinguent cet incident.
Premièrement, il s'agit d'un risque de chaîne d'approvisionnement, catégorie encore peu représentée dans la base. La cible n'est pas l'utilisateur final mais un fournisseur de logiciels de gestion : la compromission d'un éditeur expose mécaniquement les données confiées par l'ensemble de ses clients. Ce schéma prolonge le constat du §4.3 du rapport annuel sur les attaques visant les infrastructures plutôt que les utilisateurs finaux, en le déplaçant vers la couche applicative.
Deuxièmement, SpaceBears est un acteur récurrent du paysage camerounais : le même groupe est à l'origine de la compromission de la CNPS en septembre 2024 (~1,5 million de bénéficiaires exposés). Sa réapparition sur une cible camerounaise vingt-deux mois plus tard suggère une familiarité durable avec le tissu économique national, et non un ciblage opportuniste isolé.
Troisièmement, l'incident est le premier cas documenté par l'OBS-CC survenant après l'échéance de conformité du 23 juin 2026 fixée par la loi n° 2024/017 sur la protection des données personnelles. Les données menacées relèvent explicitement du périmètre de ce texte (données de paie, RH, santé). L'APDP n'étant pas encore opérationnelle, aucune autorité n'est en mesure de recevoir une notification de violation ni d'exercer un contrôle : l'incident illustre concrètement l'écart entre l'existence d'une loi et sa mise en œuvre effective, et constitue un cas d'école pour la ligne éditoriale de l'Observatoire.
Revendication publiée sur le site de fuite du groupe SpaceBears, relayée par plusieurs plateformes spécialisées de suivi des rançongiciels. Aucune confirmation de Turbosoft, de l'ANTIC ni du CIRT à ce jour.
DeXpose — « SpaceBears Strikes Turbosoft in Cameroon Ransomware Attack », 13/07/2026, https://www.dexpose.io/spacebears-strikes-turbosoft-in-cameroon-ransomware-attack/ (source primaire — revendication)
Malware News — reprise de l'analyse, https://malware.news/t/spacebears-strikes-turbosoft-in-cameroon-ransomware-attack/123859 (confirmation secondaire)
Hendry Adrian — « Ransom! Turbosoft (JUL-2026) », https://www.hendryadrian.com/ransom-turbosoft-jul-2026/ (horodatage revendication)
Ransomware.live — victimes revendiquées au Cameroun, https://www.ransomware.live/map/CM (suivi site de fuite)
Turbosoft — site officiel, https://turbosoft.cm/en/home/ (contexte activité / périmètre logiciel)
- Saisine ANTIC / CIRT — priorité immédiate. Turbosoft devrait notifier l'ANTIC et le CIRT Cameroun et solliciter l'activation du pouvoir de réquisition judiciaire (l'ANTIC traitait environ 200 réquisitions par jour en 2025, la capacité opérationnelle existe). Une saisine rapide conditionne la préservation des preuves et l'éventuelle négociation de retrait des données.
- Notification aval des entreprises clientes — enjeu de chaîne d'approvisionnement. L'éditeur devrait informer sans délai ses clients du périmètre potentiellement exposé (paie, RH, comptabilité, santé), afin que chacun puisse évaluer sa propre exposition. En l'absence d'APDP opérationnelle, cette notification relève de la responsabilité contractuelle et réputationnelle plutôt que d'une obligation exécutoire — ce que la loi n° 2024/017 était censée corriger depuis le 23 juin 2026.
- Vérification et surveillance du site de fuite. Surveiller la page SpaceBears pour caractériser le volume réel, la nature des fichiers et l'échéance de publication. Requalifier la fiche en « Vérifié / Confirmé » dès publication effective des données ou réaction officielle de l'entité.
- Durcissement des accès distants. Les groupes Akira / SpaceBears exploitent habituellement les VPN non corrigés et les comptes sans authentification multifacteur. Audit des services exposés, application des correctifs, rotation complète des identifiants et activation du MFA sur tous les accès administrateurs et distants.
- Pour les entreprises clientes de Turbosoft. Considérer les identifiants et données transitant par les solutions Turbosoft comme potentiellement compromis jusqu'à démenti : rotation des mots de passe, surveillance des tentatives de phishing et de fraude au virement s'appuyant sur les documents financiers dérobés, vigilance renforcée sur les circuits de paie.
- Signalement OBS-CC. Les entreprises clientes constatant un impact peuvent contribuer via le formulaire de signalement sécurisé (anonymat possible) — cet incident est un cas d'usage type pour la convention « Confidentiel — Secteur X / Source interne vérifiée ».

