Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Root écope de 900 000 € d’amende pour avoir exposé les données de 45 000 clients

New York vit une série de piratages informatiques qui met à mal des millions d’habitants et étudiants de la Grosse Pomme. Nouveau cas aprés l’Université de New-York, une faille de sécurité dans le système de devis de Root. Une cyber attaque vieille de plusieurs mois qui a permis à des pirates d’accéder aux informations personnelles de 45 000 New-Yorkais. L’entreprise vient d’être condamnée à une forte amende.

L’entreprise d’assurance automobile Root, qui ne propose pas de services à New York, a néanmoins permis à des cybercriminels d’exploiter une faille dans son système de devis en ligne, entraînant la fuite de numéros de permis de conduire et d’autres informations sensibles. Cette attaque s’inscrit dans une série d’incidents similaires ayant ciblé le secteur de l’assurance, exposant des milliers de clients à des risques de vol d’identité.

Une faille de sécurité massive exploitée par des cybercriminels

Root permettait aux consommateurs d’obtenir une estimation de prix pour une assurance automobile via son site internet. Le système de devis utilisait une fonction de pré remplissage qui complétait automatiquement certains champs avec des informations sensibles, y compris les numéros de permis de conduire. Une fois le devis généré, le système créait un fichier PDF contenant les informations du client, y compris le numéro de permis de conduire en texte brut. Cette faille a permis à des cybercriminels d’automatiser le processus de collecte de données en utilisant des bots.

En janvier 2021, Root a découvert que des acteurs malveillants exploitaient cette vulnérabilité pour collecter massivement des informations personnelles. Les pirates ont utilisé ces données pour déposer des demandes frauduleuses de prestations de chômage pendant la pandémie de COVID-19. L’enquête du Bureau de la procureure générale (OAG) a révélé que Root n’avait pas mis en place de mesures de sécurité adéquates pour empêcher l’accès automatisé par des bots. L’entreprise n’a pas non plus identifié la vulnérabilité de son système de préremplissage ni sécurisé les fichiers PDF générés par le système.

La procureure générale Letitia James a déclaré que l’incapacité de Root à protéger ces informations sensibles représentait une violation grave des normes de sécurité des données. Elle a souligné que cette négligence avait directement exposé des milliers de New-Yorkais à des risques de vol d’identité. Selon l’enquête, Root n’avait pas effectué de contrôles de sécurité réguliers sur son système, ni mis en place de protocoles pour détecter et bloquer les attaques automatisées.

Une sanction financière et des mesures de sécurité renforcées

En plus de l’amende de 975 000 dollars, Root a accepté de mettre en place une série de mesures pour renforcer la sécurité de ses systèmes. L’entreprise devra mettre en place un programme de sécurité complet pour garantir la protection des informations sensibles de ses clients. Elle devra également surveiller en permanence les accès à ses systèmes et mettre en place un protocole d’alerte pour signaler toute activité suspecte. Root s’est engagée à renforcer ses procédures d’authentification et à effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.

Il aura fallu une condamnation pour que l’entreprise se penche sur la base de sa cybersécurité ? Les compagnies d’assurance collectent une quantité massive de données sensibles et doivent assumer la responsabilité de protéger ces informations contre les cybermenaces.

Une série de mesures contre le secteur de l’assurance

Cette amende s’inscrit dans une série d’actions menées par le bureau de la procureure générale contre le secteur de l’assurance. En novembre 2024, GEICO et Travelers avaient accepté de payer 5,1 millions de dollars après avoir été accusées d’avoir laissé des failles dans leurs systèmes de sécurité, facilitant le vol d’informations personnelles de milliers de New-Yorkais. En décembre 2024, Noblr a conclu un accord de 500 000 dollars avec le bureau de la procureure générale après avoir été accusée de pratiques de sécurité insuffisantes. En mars 2025, Letitia James a également engagé des poursuites contre Allstate Insurance, accusée d’avoir compromis les informations de plus de 165 000 clients à cause de failles de sécurité dans son système en ligne.

Letitia James s’est imposée comme une figure clé dans la protection de la vie privée des New-Yorkais face aux cybermenaces. Son bureau a également pris des mesures dans d’autres secteurs. En octobre 2024, un accord de 2,25 millions de dollars a été obtenu auprès d’un prestataire de soins de santé pour une fuite de données médicales. En août 2024, une coalition multirégionale dirigée par Letitia James a obtenu 4,5 millions de dollars d’une société de biotechnologie pour avoir échoué à protéger les données sensibles des patients. En juillet 2024, le bureau de la procureure générale a lancé deux guides sur la protection de la vie privée en ligne pour aider les entreprises et les consommateurs à mieux gérer la confidentialité de leurs données.

Violation massive de données à la Pennsylvania State Education Association : plus de 500 000 personnes affectées

La Pennsylvania State Education Association (PSEA) a été victime d’une violation de données qui a exposé les informations personnelles de plus de 500 000 personnes. Cette attaque, revendiquée par le groupe de rançongiciels Rhysida, soulève de graves préoccupations concernant la sécurité des données dans le secteur de l’éducation publique.

La PSEA, un syndicat influent représentant les enseignants, les professionnels du soutien à l’éducation et le personnel scolaire de Pennsylvanie, a confirmé qu’une attaque informatique avait compromis les données de 517 487 personnes. L’incident, survenu aux alentours du 6 juillet 2024, a été détecté après qu’un acteur malveillant a réussi à s’introduire dans le réseau informatique de l’association. Après plusieurs mois d’enquête, la PSEA a officiellement révélé la nature et l’étendue de la faille le 18 février 2025, confirmant que des informations sensibles avaient été compromises. Un mois plus tard, ils alertaient les personnes potentiellement impactées. Soit 8 mois aprés l’attaque !

Une attaque d’envergure visant des informations critiques

Le mode opératoire des cybercriminels suggère une attaque soigneusement préparée, ciblant des informations personnelles sensibles. Les données compromises incluent les noms complets des membres de la PSEA, associés à une ou plusieurs informations sensibles : numéro de sécurité sociale, date de naissance, numéro de permis de conduire, numéros de comptes bancaires, identifiants de connexion, informations de paiement (y compris le code PIN et la date d’expiration), numéros de passeport, informations d’assurance maladie et données médicales.

La sophistication de cette attaque repose sur la diversité des données compromises, donnant aux cybercriminels une marge d’exploitation importante. La capacité à combiner ces informations pourrait permettre la mise en place de fraudes bancaires, d’usurpations d’identité ou encore d’attaques ciblées contre les personnes concernées. La PSEA a rapidement pris des mesures pour sécuriser son réseau et renforcer ses protocoles de sécurité. Cependant, le caractère massif de la fuite souligne une vulnérabilité structurelle dans la protection des données au sein du secteur de l’éducation publique.

« PSEA a connu un incident de sécurité le 6 juillet 2024 ou aux alentours de cette date, qui a impacté notre environnement réseau. Après une enquête approfondie et un examen minutieux des données concernées, achevés le 18 février 2025, nous avons déterminé que les données acquises par l’acteur non autorisé contenaient des informations personnelles appartenant à des personnes dont les informations étaient contenues dans certains fichiers de notre réseau« , précise la notification officielle publiée par la PSEA. L’enquête, c’est surtout l’accès aux données diffusées par les pirates ?

Le communiqué ajoute que l’association a « pris les mesures nécessaires, au mieux de nos capacités et de nos connaissances, pour garantir la suppression des données volées par l’acteur non autorisé« . Cette formulation laisse entendre que la PSEA a pu négocier avec le groupe de rançongiciels Rhysida, une hypothèse renforcée par le retrait ultérieur de la PSEA du site de fuite du groupe criminel sur le dark web.

Rhysida : un groupe de rançongiciels redouté

Le groupe Rhysida est apparu sur la scène cybercriminelle en 2023 et s’est rapidement imposé comme l’un des collectifs de ransomware les plus actifs au monde. Rhysida cible principalement les institutions publiques, les établissements de santé, les services éducatifs et les infrastructures critiques. Le mode opératoire du groupe consiste à infiltrer les réseaux informatiques par des techniques d’ingénierie sociale, souvent via des attaques de type hameçonnage (phishing) ou par l’exploitation de vulnérabilités dans des logiciels non mis à jour.

Une fois le réseau compromis, Rhysida utilise un logiciel de cryptage pour bloquer l’accès aux fichiers sensibles. Les attaquants réclament alors une rançon, souvent en cryptomonnaie, en échange de la clé de déchiffrement. Si la victime refuse de payer ou tarde à répondre, le groupe menace de publier les données volées sur son site de fuite hébergé sur le dark web. Cette double menace — paralysie des systèmes et publication des données — place les victimes dans une situation délicate, poussant souvent les institutions à négocier discrètement avec les attaquants.

Dans le cas de la PSEA, Rhysida a revendiqué l’attaque le 9 septembre 2024, exigeant une rançon de 20 bitcoins (environ 720 000 euros au taux de change de septembre 2024). Peu après, le nom de la PSEA a disparu du site de fuite du groupe, laissant penser qu’un accord financier a été trouvé. Bien que la PSEA n’ait pas confirmé avoir payé la rançon, la suppression des données du site de Rhysida renforce cette hypothèse.

Chrome sous attaque : une faille critique exploitée dans une campagne de cyber espionnage

Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.

Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.

Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.

Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.

« Une sophistication rare, digne d’acteurs étatiques »

L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).

L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.

Un correctif publié, mais l’enquête se poursuit

L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.

Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.

L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.

Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.

Un jeu d’échecs numérique aux ramifications géopolitiques

Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.

Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.

Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?

Prison ferme requise contre une vendeuse de téléphones Encrochat

Le parquet néerlandais a requis une peine de quatre ans de prison à l’encontre d’une femme de 28 ans, originaire de Den Bosch, accusée d’avoir vendu des téléphones EncroChat destinés à des criminels. Ces appareils permettaient d’envoyer des messages cryptés et d’assurer une communication totalement anonyme, facilitant ainsi l’organisation d’activités illégales.

Entre avril 2019 et juin 2020, la suspecte aurait vendu ces téléphones sécurisés à une clientèle bien particulière : des trafiquants de drogue et des criminels organisés. Si la vente de téléphones chiffrés n’est pas illégale en soi, le parquet affirme que les appareils fournis par la suspecte étaient utilisés exclusivement à des fins criminelles.

« En vendant ces téléphones, la prévenue a contribué à rendre plus difficile la détection de crimes graves, comme le trafic de drogue à grande échelle. Son seul objectif était de faire de l’argent rapidement, » a déclaré le procureur dans un communiqué.

La femme est également accusée d’avoir effacé à distance les données des téléphones de ses clients lorsque ceux-ci étaient arrêtés, supprimant ainsi les messages échangés et entravant le travail des enquêteurs.

La suspecte a été arrêtée en septembre 2021 après avoir été identifiée comme revendeuse dans le cadre d’une autre enquête criminelle. Lors de son interrogatoire, elle a affirmé ne pas connaître ses clients. Une version que le parquet juge peu crédible, compte tenu des montants en espèces reçus et de la nature criminelle de sa clientèle.

Une activité très rentable

Selon les calculs du parquet, la vente de ces téléphones EncroChat aurait rapporté à la suspecte environ 630 840 € en un peu plus d’un an. Elle agissait en tant que sous-revendeuse, travaillant pour un autre suspect qui gérait un réseau d’environ 30 autres distributeurs de téléphones EncroChat.

Ce modèle de distribution a permis de créer un marché clandestin de téléphones cryptés spécifiquement conçu pour contourner les systèmes de surveillance et de détection des forces de l’ordre. Les criminels pouvaient ainsi organiser leurs activités en toute discrétion, échappant à la surveillance des autorités.

« La vente de ces téléphones cryptés a permis aux organisations criminelles de se structurer et de coordonner leurs opérations en toute impunité, » a souligné le parquet.

Le tournant décisif de juillet 2020

L’histoire d’EncroChat a connu un tournant majeur en juillet 2020, lorsque les autorités néerlandaises et françaises sont parvenues à percer le système de chiffrement. Pendant plusieurs mois, les forces de l’ordre ont pu intercepter et surveiller les échanges entre criminels. Plus de 20 millions de messages ont été récupérés, mettant en lumière un vaste réseau de trafic de drogue, de trafic d’armes et de blanchiment d’argent.

Dans les semaines suivant la découverte, la police néerlandaise a procédé à une série de coups de filet spectaculaires : 100 suspects arrêtés ; 19 laboratoires de drogue démantelés ; Des dizaines d’armes à feu saisies ; Près de 10 000 kg de drogues confisqués et un trésor de guerre d’environ 20 millions d’euros en liquide récupérés.

De nombreuses informations clés – noms, photos et messages – ont été extraites des téléphones EncroChat, permettant d’identifier et de poursuivre de nombreux criminels. Cette percée technologique a été qualifiée de « game-changer » par le directeur du service national d’enquête criminelle des Pays-Bas.

Une peine exemplaire pour marquer les esprits

Le parquet néerlandais considère que la prévenue n’était pas une simple revendeuse, mais une actrice clé dans la facilitation des activités criminelles. En effaçant les données des téléphones et en protégeant ses clients, elle aurait sciemment participé à la stratégie d’évasion des trafiquants.

« Ce type de complicité technologique constitue une menace directe pour la sécurité publique. La peine de prison requise doit servir d’exemple pour dissuader d’autres individus de participer à ce type d’activités, » a déclaré le procureur.

La chute d’EncroChat a eu des répercussions majeures sur le crime organisé en Europe. De nombreux réseaux de trafic de drogue et d’armes ont été perturbés, et la capacité des criminels à communiquer en toute sécurité a été fortement réduite. D’autres systèmes de communication cryptés, comme Sky ECC ou Anom, prendront la main… avant d’être démantelés.

Le jugement de la cour, prévu pour le 15 avril 2025, pourrait établir un précédent important dans la lutte contre les technologies facilitant le crime organisé. Si la peine de quatre ans est confirmée, elle pourrait envoyer un signal fort aux acteurs du marché des téléphones cryptés… ou pas !

La répression judiciaire suffira-t-elle à endiguer l’usage des technologies cryptées par le crime organisé, ou les criminels parviendront-ils à contourner une fois de plus les systèmes de surveillance ? Une des questions auxquelles les députés français ont tenté de répondre, il y a peu, avec la loi sur le narcotrafic.

La Chine dévoile un puissant coupe-câble sous-marin : un bouleversement potentiel de l’ordre mondial

Un nouvel appareil développé par des ingénieurs chinois, capable de sectionner les câbles de communication sous-marins les plus « fortifiés », vient d’être dévoilé par Pékin. Cette révélation pourrait redessiner les rapports de force maritimes mondiaux et fragiliser les réseaux de communication internationaux.

Le dispositif, conçu pour fonctionner à des profondeurs atteignant 4 000 mètres – soit le double de la portée opérationnelle maximale des infrastructures de communication sous-marines existantes – pourrait conférer à la Chine un levier stratégique majeur en cas de crise géopolitique.

Une technologie (et une annonce) avancée à portée stratégique

Développé par le Centre de recherche scientifique de la marine chinoise (CSSRC) et le laboratoire d’État clé des véhicules habités en eaux profondes, ce coupe-câble est intégré aux submersibles avancés de la Chine, tels que le Fendouzhe (ou Striver) et la série Haidou. Conçu pour couper des câbles blindés, protégés par des couches d’acier, de caoutchouc et de polymères, ce dispositif cible directement l’infrastructure qui soutient 95 % des communications mondiales.

En théorie, le coupe-câble a été développé pour des opérations de sauvetage en mer et des missions de récupération de ressources dans les grands fonds marins. Toutefois, son potentiel d’utilisation militaire est évident, soulevant des préoccupations majeures au sein de la communauté internationale. Alors que la Russie a été longtemps montré de la pince coupante, la capacité de la Chine à interrompre ou perturber les communications mondiales en cas de conflit stratégique pourrait transformer le paysage géopolitique mondial.

Un outil de défense ou une arme géopolitique ?

Les câbles sous-marins constituent le cœur invisible mais essentiel de l’économie mondiale. Ils acheminent quotidiennement des téraoctets de données, y compris des transactions financières, des communications diplomatiques et des opérations militaires. Si un État acquiert la capacité de sectionner ces câbles à grande profondeur, il pourrait non seulement paralyser l’économie numérique mondiale, mais aussi perturber gravement les opérations militaires et stratégiques de ses adversaires. Les derniers cas vécus en mer Baltique a remis cette potentialité au goût du jour (même si le risque n’a jamais disparu). Souvenez-vous, en 2014, des « requins » avaient coupé des câbles sous-marins !!

Le monde surveille depuis longtemps les capacités de la Chine dans le domaine de la guerre sous-marine. La divulgation publique de cet appareil confirme les soupçons de nombreux analystes : Pékin investit massivement dans des technologies capables de cibler les infrastructures critiques. Un câble sectionné dans l’Atlantique ou le Pacifique pourrait, en quelques minutes, interrompre des communications transcontinentales vitales et déclencher une réaction en chaîne économique et politique.

Le caractère « dual-use » (civil et militaire) du coupe-câble ne fait qu’amplifier les inquiétudes. Si la Chine affirme que le dispositif est destiné à des applications civiles, comme la récupération d’objets en haute mer ou la réparation de câbles endommagés, sa capacité à être utilisé comme arme de déstabilisation stratégique est indéniable. Cette ambivalence rend la situation particulièrement délicate sur le plan diplomatique.

Une capacité sans précédent dans les grands fonds

La profondeur opérationnelle du coupe-câble chinois dépasse largement celle des dispositifs existants. Les câbles de communication actuels sont généralement posés à des profondeurs allant jusqu’à 2 000 mètres. En atteignant 4 000 mètres, la Chine se dote d’une capacité inédite pour accéder et manipuler les infrastructures sous-marines les plus protégées.

Le submersible Fendouzhe, qui a déjà atteint une profondeur record de 10 909 mètres dans la fosse des Mariannes en 2020, constitue une plateforme idéale pour transporter et déployer ce type de technologie. Associé à des systèmes de navigation avancés et une précision robotique accrue, ce coupe-câble pourrait être utilisé avec une redoutable efficacité pour des opérations ciblées.

Le dispositif fonctionne grâce à un mécanisme de coupe renforcé, capable de traverser plusieurs couches de protection métallique et de matériaux composites. Il utilise des lames de carbure de tungstène, connues pour leur extrême résistance, et un système hydraulique à haute pression qui garantit une coupe nette même dans des conditions de pression extrême.

Une menace pour la sécurité mondiale ?

Les implications stratégiques sont considérables. Les câbles sous-marins transportent environ 10 000 milliards de dollars de transactions financières par jour. Une rupture coordonnée de ces câbles pourrait plonger les marchés financiers dans le chaos, interrompre les communications militaires sensibles et paralyser les réseaux internet régionaux.

Les câbles sous-marins, qui transportent 99 % du trafic Internet mondial, sont essentiels pour les communications quotidiennes, les transactions financières et la recherche scientifique. Environ 95 % des données utilisées par la population américaine et 75 % de celles utilisées en Chine transitent par ces infrastructures.

En 2022, le sabotage des gazoducs Nord Stream en mer Baltique avait déjà démontré la vulnérabilité des infrastructures sous-marines. La capacité de la Chine à répliquer ce type d’attaque sur les réseaux de communication pourrait constituer une arme de dissuasion redoutable, modifiant profondément les rapports de force entre grandes puissances.

Les experts en sécurité maritime redoutent que la Chine n’utilise ce coupe-câble pour exercer une pression stratégique sur Taïwan, le Japon ou les États-Unis en cas de tensions accrues en mer de Chine méridionale. En coupant sélectivement certains câbles, Pékin pourrait isoler des régions entières du réseau mondial et semer le chaos économique et militaire.

Les submersibles chinois, comme le Fendouzhe, sont capables de manœuvrer discrètement dans les grands fonds marins, échappant à la détection des radars et des systèmes de surveillance traditionnels.

Vers une nouvelle ère de la guerre sous-marine ?

La révélation de ce coupe-câble chinois marque une étape majeure dans la militarisation des grands fonds marins. Alors que la cybersécurité et la guerre de l’information dominent le paysage stratégique moderne, la capacité à contrôler et manipuler les infrastructures physiques du réseau mondial confère un avantage stratégique décisif.

La Chine vient d’ouvrir une nouvelle brèche dans la guerre sous-marine. Les puissances occidentales sauront-elles s’adapter à ce nouvel environnement stratégique, ou devront-elles accepter une vulnérabilité structurelle face à la montée en puissance technologique de Pékin ?

Une alerte renouvelée de l’administration de la défense US

Fin 2024, datasecuritybreach.fr vous avait relaté l’action de huit sénateurs américains. Ces politiques avaient demandé à Joe Biden de lancer une revue de sécurité sur les câbles sous-marins de communication, citant une menace de sabotage par la Russie et la Chine.

Cette demande reflètait les inquiétudes croissantes des États-Unis concernant l’espionnage potentiel de la Chine sur le trafic de données, une accusation que Pékin rejette fermement.

Pendant la Première Guerre mondiale, la Grande-Bretagne a coupé les câbles sous-marins allemands, et durant la Guerre froide, la marine américaine a intercepté les communications soviétiques par câbles sous-marins. Contrôler ces infrastructures permet d’influencer la circulation des données, ce qui en fait un enjeu stratégique majeur.

La Chine et les États-Unis rivalisent pour le contrôle de ces infrastructures. Historiquement dominée par des entreprises occidentales comme SubCom (États-Unis), NEC (Japon) et Alcatel (France), l’industrie des câbles sous-marins a vu l’entrée de Huawei Marine en 2008, une coentreprise entre Huawei (place sur la liste noire US depuis 2019) et Global Marine Systems. Huawei Marine est rapidement devenue un acteur majeur du secteur avant d’être vendue à Hengtong Group et rebaptisée HMN Tech. La Chine a intensifié ses investissements dans cette technologie dans le cadre de son objectif de devenir une puissance maritime.

La rivalité sino-américaine s’est intensifiée lorsque les États-Unis ont bloqué Huawei Marine bloquant son projet « Pacific Light Cable Network », un projet de câble sous-marin entre Los Angeles et Hong Kong. Le gouvernement américain a également lancé l’initiative Clean Network pour empêcher le raccordement direct entre les États-Unis et la Chine. En 2023, la part de marché de HMN Tech dans la pose de nouveaux câbles est tombée à 4 %, contre 10 % entre 2010 et 2023.

Le Trésor américain lève les sanctions contre Tornado Cash

Tornado Cash, une plateforme controversée de mixage de cryptomonnaies, a été retirée vendredi de la liste noire des sanctions américaines après une décision de justice favorable en novembre. Ce revirement met en lumière les tensions croissantes entre innovation technologique et sécurité nationale.

Depuis 2022, Tornado Cash figurait sur la liste des personnes nationales spécialement désignées (SDN) du département du Trésor américain. Accusée d’avoir facilité le blanchiment de centaines de millions de dollars volés par des hackers nord-coréens, la plateforme faisait l’objet de mesures strictes. La décision de la cour d’appel fédérale en novembre a toutefois bouleversé ce cadre juridique en invalidant les sanctions, estimant que le Trésor avait dépassé ses prérogatives légales.

Une victoire juridique décisive ?

La décision de la cour d’appel fédérale repose sur une interprétation clé de la loi de 1977 sur les pouvoirs économiques d’urgence internationaux (IEEPA). Le juge Don Willett de la 5e Cour d’appel des États-Unis a estimé que les contrats intelligents immuables de Tornado Cash ne peuvent pas être considérés comme des « biens » au sens de la loi. Cette distinction a été décisive dans l’annulation des sanctions. Les contrats intelligents sont des lignes de code autonomes sur la blockchain, conçues pour préserver l’anonymat des transactions. En d’autres termes, ces protocoles décentralisés échappent au contrôle direct de leurs créateurs et ne sont donc pas assimilables à des actifs traditionnels.

La plateforme de trading Coinbase, qui a soutenu financièrement la bataille juridique, a rapidement salué cette décision comme une « victoire historique pour la crypto« . Un responsable de Coinbase a déclaré que « personne ne veut que des criminels utilisent des protocoles cryptographiques, mais bloquer entièrement la technologie open source parce qu’une petite partie des utilisateurs sont de mauvais acteurs n’est pas ce que le Congrès a autorisé« . Cette déclaration illustre le débat persistant autour de la régulation des cryptomonnaies : faut-il sanctionner la technologie elle-même ou les acteurs qui en abusent ?

Une plateforme au cœur de scandales majeurs

Tornado Cash est une plateforme de mixage de cryptomonnaies lancée en 2019. Son fonctionnement repose sur un principe simple mais controversé : elle permet aux utilisateurs de combiner plusieurs transactions de cryptomonnaies afin d’en masquer l’origine. Ce processus complique considérablement la traçabilité des fonds, ce qui en fait un outil prisé des cybercriminels.

Le département du Trésor américain avait précédemment accusé Tornado Cash d’avoir blanchi plus de 7 milliards de dollars depuis sa création. Parmi les opérations de blanchiment les plus retentissantes figure le vol de plus de 600 millions de dollars du jeu Axie Infinity en mars 2022, attribué au groupe de hackers nord-coréen Lazarus. Tornado Cash aurait également été utilisé pour blanchir 275 millions de dollars dérobés sur la plateforme de trading KuCoin.

En août 2023, le cofondateur Roman Storm a été arrêté dans l’État de Washington pour blanchiment d’argent. Son associé Roman Semenov, de nationalité russe, est en fuite et reste sous le coup des sanctions américaines. Un autre développeur clé de Tornado Cash, Alexey Pertsev, a été condamné en mai 2023 à cinq ans et quatre mois de prison par un tribunal néerlandais pour blanchiment d’argent. La levée des sanctions contre Tornado Cash ne remet donc pas en cause la responsabilité pénale de ses dirigeants.

Un revirement stratégique du Trésor américain

Le département du Trésor a expliqué sa décision en évoquant un « examen des nouvelles questions juridiques et politiques soulevées par l’utilisation de sanctions financières contre l’activité financière et commerciale se produisant dans des environnements technologiques et juridiques en évolution ». Cette déclaration souligne la complexité croissante de la régulation des cryptomonnaies dans un contexte de développement technologique rapide.

Le secrétaire au Trésor, Scott Bessent, a toutefois insisté sur la nécessité de protéger le secteur des actifs numériques contre les abus. « Protéger le secteur des actifs numériques contre les abus de la Corée du Nord et d’autres acteurs illicites est essentiel pour établir le leadership des États-Unis et garantir que le peuple américain puisse bénéficier de l’innovation et de l’inclusion financières », a-t-il déclaré. Cette position reflète une volonté de concilier développement technologique et sécurité nationale, deux objectifs souvent perçus comme contradictoires.

Des tensions politiques et réglementaires persistantes

La levée des sanctions contre Tornado Cash s’inscrit dans un contexte politique plus large. L’administration Trump a adopté une posture plus favorable à l’égard des cryptomonnaies et des actifs numériques. Plusieurs défenseurs de la blockchain ont été nommés à des postes stratégiques, influençant la politique du gouvernement en matière de régulation financière.

Cependant, cette approche divise profondément le paysage politique américain. Si certains considèrent les cryptomonnaies comme une opportunité d’innovation et de croissance économique, d’autres y voient un risque majeur pour la sécurité nationale. Les cyberattaques nord-coréennes visant les plateformes de cryptomonnaie et le financement du programme nucléaire de Pyongyang exacerbent ces tensions.

Le Trésor a d’ailleurs précisé que la surveillance des transactions suspectes se poursuivra. « Le Trésor continuera de surveiller de près toute transaction susceptible de profiter à des cyber acteurs malveillants ou à la RPDC, et les citoyens américains doivent faire preuve de prudence avant de s’engager dans des transactions qui présentent de tels risques », a averti le département.

Une décision qui pourrait redéfinir la régulation des cryptomonnaies

La levée des sanctions contre Tornado Cash pourrait créer un précédent juridique majeur. La décision de la cour d’appel limite la capacité du gouvernement à imposer des sanctions sur des protocoles décentralisés et soulève la question de la responsabilité des développeurs de technologies open source. Cette situation pourrait encourager le développement de nouvelles plateformes de mixage et d’anonymisation, tout en compliquant la tâche des régulateurs.

Les partisans de la décentralisation y voient une avancée majeure pour la protection de la vie privée et la souveraineté numérique. Les autorités, en revanche, redoutent une augmentation des activités illicites, facilitée par l’opacité des transactions cryptographiques.

Le cas de Tornado Cash illustre ainsi le dilemme fondamental auquel sont confrontés les gouvernements face à la révolution des cryptomonnaies : comment protéger l’innovation sans ouvrir la porte à des dérives criminelles ? La réponse à cette question façonnera sans doute l’avenir de la régulation financière dans l’économie numérique globale.

DollyWay : la menace invisible qui frappe WordPress depuis 2016

Depuis 2016, une campagne de piratage sophistiquée baptisée DollyWay sévit dans l’univers de WordPress, ayant déjà compromis plus de 20 000 sites à travers le monde. Cette opération malveillante, qui a récemment atteint une phase critique avec la version DollyWay v3, repose sur une mécanique redoutable de redirections frauduleuses et de réinfections automatiques.

Depuis son apparition il y a près d’une décennie, DollyWay n’a cessé d’évoluer. Initialement détectée comme une simple campagne de redirections malveillantes, elle s’est transformée en un véritable écosystème criminel. Selon Denis Sinegubko, chercheur en sécurité chez GoDaddy, DollyWay a récemment franchi un nouveau cap avec le déploiement de sa version v3. Ce stade marque une sophistication accrue des méthodes utilisées par les pirates, qui s’appuient désormais sur une infrastructure centralisée et des modèles de code récurrents, signes caractéristiques d’une organisation criminelle structurée.

Le nom de la campagne provient d’une ligne de code spécifique détectée par les chercheurs :
define(‘DOLLY_WAY’, ‘World Domination’).

Cette signature, presque ironique, laisse entendre une intention claire de prise de contrôle à grande échelle. DollyWay ne se contente pas de détourner le trafic : elle s’infiltre profondément dans le code des sites WordPress en exploitant des failles dans les plugins et les thèmes. Cette stratégie permet aux attaquants de maintenir une présence persistante sur les sites compromis, rendant la suppression du malware particulièrement complexe.

Un mécanisme de redirection massif

La version DollyWay v3 s’appuie sur une technique de redirection particulièrement agressive. Une fois qu’un site WordPress est compromis, le trafic légitime est détourné vers des plateformes frauduleuses. Les visiteurs sont ainsi dirigés vers des sites de rencontres factices, des casinos en ligne ou des plateformes de cryptomonnaies douteuses. Ce trafic est ensuite monétisé grâce à des programmes d’affiliation hébergés par des réseaux partenaires comme VexTrio et LosPollos.

Le système de redirection repose sur une Traffic Distribution System (TDS), une plateforme sophistiquée qui filtre le trafic en fonction de plusieurs critères (localisation géographique, type d’appareil, comportement utilisateur). Cette technologie permet aux hackers d’optimiser leurs gains en envoyant les utilisateurs vers les sites partenaires les plus susceptibles de générer des revenus.

En février 2025, DollyWay v3 générait déjà près de 10 millions de redirections mensuelles. Ce volume impressionnant témoigne de la capacité des pirates à exploiter en continu les failles des sites WordPress et à s’adapter aux mesures de sécurité mises en place par les administrateurs.

« Notre recherche montre que ces attaques utilisent une infrastructure et des modèles de code communs, ce qui indique l’implication d’un groupe de hackers très organisé » — Rapport de GoDaddy

Une capacité de réinfection automatique

L’un des aspects les plus inquiétants de DollyWay réside dans sa capacité à se réinstaller automatiquement après avoir été supprimé. Les pirates ont développé une méthode d’infection qui leur permet de masquer le code malveillant au sein des fichiers WordPress critiques, rendant la détection extrêmement difficile.

DollyWay v3 exploite des failles zero-day dans les plugins et les thèmes WordPress populaires, introduisant du code malveillant dans le cœur du système. Même si un administrateur parvient à supprimer le malware, une nouvelle tentative d’infection est automatiquement déclenchée via une porte dérobée laissée dans le code. Cette capacité d’auto-régénération rend DollyWay exceptionnellement difficile à éradiquer.

Une monétisation structurée et lucrative

La finalité de DollyWay est avant tout économique. La campagne est directement liée à des programmes d’affiliation gérés par VexTrio et LosPollos, deux réseaux connus pour leur implication dans des activités à la limite de la légalité. Grâce à la TDS, les hackers peuvent diriger le trafic vers des offres spécifiques, maximisant ainsi le taux de conversion et donc les revenus.

Le processus est méticuleusement orchestré : Une redirection initiale oriente l’utilisateur vers un site de transition. La TDS analyse les caractéristiques du trafic (localisation, appareil, historique). L’utilisateur est ensuite redirigé vers une offre spécifique (site de rencontres, casino, investissement crypto). En cas de conversion (inscription, dépôt d’argent), les hackers perçoivent une commission via le réseau d’affiliation.

Ce modèle économique basé sur des commissions par performance garantit une rentabilité élevée, incitant ainsi les pirates à maintenir et à faire évoluer en permanence leur infrastructure.

Une réponse complexe des acteurs de la cybersécurité

Face à la montée en puissance de DollyWay, la communauté de la cybersécurité s’organise pour contrer cette menace. GoDaddy, l’un des principaux hébergeurs de sites WordPress, travaille activement à identifier les vulnérabilités exploitées par DollyWay v3 et à renforcer les mesures de sécurité.

Les recommandations de sécurité incluent : La mise à jour régulière des plugins et des thèmes. La suppression des plugins obsolètes ou non maintenus. L’installation de pare-feu dédiés aux applications web (WAF). L’activation de la double authentification pour l’accès à l’administration WordPress.

Toutefois, la nature adaptative de DollyWay complique la tâche. Les hackers ont montré une capacité impressionnante à contourner les nouvelles mesures de sécurité et à adapter leur code en temps réel.

Une menace persistante à l’horizon 2025

DollyWay incarne l’évolution des cyberattaques modernes : sophistiquée, automatisée et axée sur la rentabilité. La capacité de cette campagne à exploiter les failles des sites WordPress, à réinfecter automatiquement les systèmes et à générer des millions de redirections mensuelles témoigne de la maturité du groupe de hackers à l’origine de cette opération.

« DollyWay représente une menace persistante pour l’ensemble de l’écosystème WordPress. L’ampleur des attaques et la sophistication des méthodes utilisées montrent qu’il s’agit d’un acteur criminel organisé, capable d’évoluer rapidement pour contourner les mesures de sécurité. » — Denis Sinegubko, chercheur chez GoDaddy

Alors que la cybersécurité progresse et que les solutions de protection s’améliorent, une question demeure : jusqu’où DollyWay est-il prêt à aller pour maintenir sa domination dans le paysage du piratage en ligne ?

La justice annule la condamnation de Paige Thompson pour le piratage de Capital One

Une cour d’appel fédérale a annulé cette semaine la peine de cinq ans de probation infligée à Paige Thompson pour le piratage de Capital One. La cour a jugé cette peine « substantiellement déraisonnable » compte tenu des dommages causés.

Paige Thompson, ancienne ingénieure chez Amazon Web Services, avait exploité une faille dans le pare-feu du système de cloud computing de Capital One, accédant ainsi aux données sensibles de 106 millions de clients. Deux des trois juges de la cour d’appel du 9e circuit ont estimé que la sanction initiale était trop clémente par rapport à la gravité des faits.

Un piratage d’une ampleur exceptionnelle

Le piratage orchestré par Paige Thompson en 2019 est considéré comme la deuxième plus grande violation de données de l’histoire des États-Unis à l’époque. En exploitant une mauvaise configuration du pare-feu de Capital One, Thompson a volé des données bancaires, des numéros de sécurité sociale et des informations personnelles appartenant à 106 millions de clients.

L’enquête a révélé que Thompson ne s’était pas arrêtée à Capital One. Les autorités ont découvert plusieurs téraoctets de données supplémentaires volées à plus de 30 autres organisations. Les dommages financiers et réputationnels causés par cette fuite massive sont estimés à des dizaines de millions de dollars.

Le piratage a provoqué des préjudices financiers et émotionnels considérables pour les victimes.

Lors du procès initial en 2022, le juge de district Robert Lasnik avait néanmoins décidé de ne pas infliger une peine d’emprisonnement à Thompson. Il avait pris en compte son parcours personnel, soulignant qu’elle était transgenre, autiste et qu’elle avait été confrontée à des traumatismes importants dans son passé. Le juge Lasnik avait également considéré que le piratage n’avait pas été commis dans une intention malveillante, mais plutôt comme une forme de « tourmente personnelle ».

Cette interprétation a été remise en cause par la cour d’appel, qui a considéré que Thompson avait clairement agi avec préméditation. L’ancienne ingénieure avait en effet revendiqué ses actes sur des forums en ligne et encouragé d’autres hackers à en faire de même.

Une peine jugée trop clémente

Les procureurs fédéraux ont rapidement contesté la peine de probation décidée par le juge Lasnik. Nick Brown, le procureur américain de l’époque, avait déclaré que cette décision ne représentait pas une sanction appropriée face à la gravité des faits.

La juge Danielle Forrest, soutenue par le juge Johnnie Rawlinson, a estimé que le juge de district avait accordé une importance excessive aux circonstances personnelles de Thompson.

« Les parcours personnels doivent être pris en compte dans la détermination d’une peine, mais ils ne peuvent pas constituer l’unique base d’une condamnation aussi clémente dans un dossier de cette gravité », a écrit la juge Forrest dans la décision.

La cour a également contesté l’idée selon laquelle le piratage n’était pas malveillant. La décision précise que Thompson a montré peu de remords après son acte et a plutôt cherché à mettre en avant l’incompétence de Capital One. Elle aurait même encouragé d’autres hackers à exploiter des failles similaires.

Cependant, la juge Jennifer Sung, qui a exprimé une opinion dissidente, a estimé que la peine initiale n’était pas entachée d’une erreur de procédure. Selon elle, le juge Lasnik avait légitimement pris en compte la situation personnelle de Thompson et les potentielles difficultés qu’elle pourrait rencontrer en prison en tant que personne transgenre.

Une décision aux implications plus larges

L’affaire Thompson dépasse le cadre du simple jugement individuel. Le Centre pour la politique et le droit de la cybersécurité a déposé un mémoire en soutien à l’appel du gouvernement, soulignant les risques pour la recherche en cybersécurité.

Le Centre a insisté sur la nécessité de maintenir une distinction claire entre la recherche éthique en cybersécurité et les actes criminels comme ceux de Thompson. Il a averti que l’assimilation des deux pourrait fragiliser la confiance entre les chercheurs en sécurité, le secteur privé et les institutions gouvernementales. La cour d’appel n’a pas directement abordé cette question dans sa décision. Toutefois, la reconnaissance explicite par le tribunal que le comportement de Thompson ne relevait pas de la recherche en sécurité de bonne foi pourrait influencer les futures affaires de cybersécurité.

L’affaire est désormais renvoyée devant le tribunal de district pour une nouvelle détermination de la peine. La question centrale sera de savoir si la reconnaissance des circonstances personnelles de Thompson doit continuer à influencer la sentence ou si la gravité des actes justifie une peine plus lourde.

Immersive World : la création de malwares voleurs de mots de passe​ via l’IA

L’essor des acteurs de la menace sans connaissances préalables : la technique « Immersive World » facilite la création de malwares voleurs de mots de passe​.

Cato Networks a récemment publié son rapport 2025 Cato CTRL Threat Report, révélant une nouvelle technique de contournement des modèles de langage avancés, nommée « Immersive World ». Cette méthode permet à des individus sans expérience préalable en programmation de malwares d’exploiter des outils d’IA générative, tels que ChatGPT, Copilot et DeepSeek, pour développer des logiciels malveillants capables de dérober des identifiants de connexion depuis Google Chrome.

Cette découverte met en lumière une évolution inquiétante du paysage des cybermenaces, où la barrière à l’entrée pour la création de malwares est considérablement réduite grâce à l’utilisation détournée de l’intelligence artificielle.​

L’émergence des acteurs de la menace sans connaissances préalables

Traditionnellement, la création de logiciels malveillants nécessitait des compétences techniques approfondies en programmation et en cybersécurité. Cependant, avec l’avènement des modèles de langage avancés (LLM) tels que ChatGPT d’OpenAI, Copilot de Microsoft et DeepSeek, cette barrière s’estompe. La technique « Immersive World » exploitée par les chercheurs de Cato Networks démontre qu’il est possible de manipuler ces outils pour générer du code malveillant sans expertise préalable.​

La technique « Immersive World » en détail

La méthode « Immersive World » repose sur la création d’un univers fictif détaillé dans lequel les outils d’IA jouent des rôles spécifiques avec des tâches et des défis assignés. En utilisant cette ingénierie narrative, les chercheurs ont pu contourner les contrôles de sécurité intégrés des LLM et normaliser des opérations normalement restreintes. Par exemple, en assignant à l’IA le rôle d’un développeur dans un scénario fictif nécessitant la création d’un outil d’extraction de mots de passe pour Google Chrome, l’IA a généré le code correspondant, contournant ainsi ses propres restrictions de sécurité.​

Conséquences pour la cybersécurité

Cette technique abaisse significativement la barrière à l’entrée pour la création de malwares, permettant à des individus sans connaissances techniques approfondies de développer des logiciels malveillants sophistiqués. Cela pourrait entraîner une augmentation des attaques de type infostealer, où des identifiants de connexion sont volés pour accéder à des systèmes sensibles. Les entreprises doivent être conscientes de cette évolution et renforcer leurs stratégies de sécurité pour se protéger contre ces nouvelles menaces.​

« Immersive World » souligne la nécessité pour les organisations de revoir et d’adapter leurs stratégies de sécurité face à l’évolution rapide des menaces. L’utilisation détournée des outils d’IA générative pour la création de malwares par des acteurs sans connaissances préalables constitue une menace sérieuse.

Les progrès de l’intelligence artificielle (IA) ouvrent de nouvelles perspectives pour l’automatisation, mais également pour la cybercriminalité. Symantec a démontré que des agents IA modernes, comme Operator d’OpenAI, sont capables de mener des attaques complexes presque sans intervention humaine.

Un alerte lancée il y a plus d’un an !

Il y a un an, des experts mettaient déjà en garde contre l’utilisation de modèles de langage (LLM) par des cybercriminels pour rédiger des e-mails de phishing et du code malveillant. À l’époque, l’IA servait principalement d’outil d’assistance. Aujourd’hui, grâce à des agents avancés, la situation a changé. Ces outils peuvent non seulement générer du texte, mais aussi interagir avec des sites web, envoyer des e-mails et exécuter des scripts.

Symantec a testé la capacité d’un agent IA à mener une attaque avec un minimum de supervision humaine. L’agent devait identifier un employé, retrouver son adresse e-mail, rédiger un script PowerShell malveillant pour collecter des données système et l’envoyer via un e-mail crédible.

D’abord, Operator a refusé la tâche en invoquant des règles de sécurité. Cependant, une légère modification du contexte — affirmant que la cible avait autorisé l’envoi du mail — a suffi à contourner la restriction. L’agent a rapidement trouvé l’identité de la cible en analysant des sources ouvertes (site de l’entreprise, médias), puis a deviné l’adresse e-mail en s’appuyant sur des schémas de messagerie d’entreprise.

Après avoir consulté plusieurs ressources sur PowerShell, Operator a généré un script fonctionnel, capable de collecter des données et de les transmettre à l’attaquant. Enfin, l’agent a rédigé un e-mail convaincant signé par un faux employé, « Eric Hogan », et l’a envoyé sans déclencher d’alerte.

Symantec prévient que ces attaques automatisées pourraient bientôt devenir plus sophistiquées. Les criminels pourraient simplement commander une attaque à un agent IA, qui élaborerait une stratégie, produirait le code malveillant et s’infiltrerait dans le réseau cible. Cela abaisserait considérablement la barrière d’entrée pour les cybercriminels.

Microsoft coupe les ponts : Huawei bascule sur HarmonyOS et Linux

Fin mars 2025, un tournant majeur s’opère pour Huawei. La licence qui permettait au géant chinois d’équiper ses appareils du système d’exploitation Windows arrive à expiration.

Dès avril 2025, l’entreprise ne pourra plus commercialiser ses ordinateurs portables et autres terminaux avec l’OS de Microsoft. Ce bouleversement s’inscrit dans une stratégie plus large de Huawei, qui cherche à s’affranchir des technologies américaines en développant ses propres solutions logicielles et matérielles.

Cette transition, bien que soudaine, n’est pas une surprise. Dès septembre 2024, Huawei annonçait son intention de déployer HarmonyOS, son propre système d’exploitation, sur ses futures générations d’ordinateurs portables. Le PDG Yu Zhendong l’avait d’ailleurs confirmé : l’objectif est clair, éliminer totalement la dépendance aux composants et logiciels américains. Aujourd’hui, cette vision se concrétise avec l’arrivée de modèles fonctionnant sous des systèmes basés sur Linux.

L’expansion de HarmonyOS et des alternatives chinoises

Huawei n’a pas attendu la fin de sa licence avec Microsoft pour prendre les devants. Selon My Drivers, une publication technologique chinoise, la firme a déjà intégré des alternatives à Windows dans ses nouveaux ordinateurs portables de la série MateBook. Ces derniers, désormais équipés de systèmes Linux modifiés ou de HarmonyOS, seront commercialisés aussi bien en Chine qu’à l’international. La mise à jour des catalogues officiels de la marque reflète d’ailleurs cette transition.

L’entreprise ne se contente pas d’un simple remplacement de système d’exploitation. Elle adopte une approche plus globale en favorisant l’usage de composants entièrement conçus et fabriqués en Chine. Un modèle récemment dévoilé illustre cette tendance : équipé d’un OS issu de développeurs chinois et de composants nationaux, il incarne la volonté de Huawei de renforcer son indépendance technologique. Cette démarche est particulièrement marquée sur le marché intérieur, où les produits 100 % chinois se multiplient.

Un impact limité en Chine, des incertitudes à l’international

Si en Chine, l’abandon de Windows devrait avoir peu d’impact sur les ventes de Huawei, la situation pourrait être plus délicate à l’international. Les utilisateurs sont habitués aux solutions de Microsoft, et le passage à HarmonyOS ou Linux pourrait freiner l’adoption des nouveaux produits de la marque hors du territoire chinois. Cependant, Huawei mise sur l’attrait de son écosystème intégré et sur la compatibilité grandissante de ses logiciels avec les standards mondiaux pour convaincre.

Il reste un dernier frein, et pas des moindres ! Un produit 100% Chinois peut laisser craindre un espionnage 100% « made in China ». Les ordinateurs seront équipés du modèle IA DeepSeek. Il sera entièrement intégré et utilisant le processeur Kunpeng et le système PC Hongmeng comme puces et systèmes d’exploitation.

Créer un inventaire des actifs d’IA : une nécessité stratégique pour la sécurité et la conformité

L’inventaire des actifs d’IA est bien plus qu’une simple liste d’outils. Il s’agit d’une démarche stratégique pour assurer la sécurité des données, la conformité réglementaire et la maîtrise des risques liés à l’IA.

Face à la montée en puissance de l’intelligence artificielle (IA), les entreprises doivent non seulement s’adapter à un écosystème technologique en constante évolution, mais aussi répondre aux défis sécuritaires et réglementaires qu’impose cette nouvelle réalité. Les outils d’IA non autorisés, souvent intégrés discrètement dans les processus internes, posent une menace directe à la sécurité des données et à la conformité des entreprises. Pour éviter un dérapage incontrôlé, la première étape essentielle est la création d’un inventaire complet des actifs d’IA. Cette démarche permet non seulement d’identifier les risques, mais aussi d’anticiper les besoins en matière de gouvernance et de sécurité.

L’inventaire des actifs d’IA, socle de la gouvernance de la sécurité

La création d’un inventaire des actifs d’IA ne relève plus d’une démarche volontaire, mais s’impose comme une obligation réglementaire. L’UE a franchi un cap avec l’entrée en vigueur de la loi sur l’IA en août 2024, imposant aux entreprises une cartographie détaillée des outils d’IA utilisés et une évaluation des risques associés. La norme ISO 42001 fournit un cadre de gestion, mettant l’accent sur la transparence et la traçabilité. Aux États-Unis, le cadre AI Risk Management Framework (AI RMF) du NIST exige que les entreprises identifient les risques liés à l’utilisation de l’IA et mettent en place une gestion adaptée.

L’inventaire devient la clé de voûte de la gouvernance. Sans une visibilité claire sur les outils d’IA en activité, les entreprises naviguent à l’aveugle. La diversité des systèmes d’IA utilisés, des modèles de langage (LLM) aux outils de traitement d’images, complexifie la tâche. Les entreprises doivent donc prioriser leurs efforts, en se concentrant sur les systèmes à haut risque, comme l’IA générative et les solutions d’analyse prédictive. La transparence devient un enjeu stratégique : savoir où et comment les outils d’IA sont utilisés permet de mieux gérer les risques et de renforcer la sécurité globale des données.

Créer un inventaire des actifs d’IA est devenu une exigence réglementaire dans de nombreuses juridictions. L’EU AI Act, la norme ISO 42001 et le cadre AI Risk Management Framework (AI RMF) du National Institute of Standards and Technology (NIST) aux États-Unis imposent désormais une obligation explicite de cartographier les technologies d’IA utilisées et d’évaluer leurs risques.

La législation européenne sur l’IA (EU AI Act), entrée en vigueur en août 2024, impose aux entreprises une obligation de recensement complet des technologies d’IA utilisées, avec une évaluation des risques associée. Ce cadre couvre presque tous les systèmes d’IA, y compris les modèles génératifs, les outils d’automatisation et les systèmes décisionnels.

De son côté, la norme ISO 42001 fournit un cadre de gestion des systèmes d’IA, insistant sur la transparence, la responsabilité et la traçabilité. Le cadre du NIST, bien que volontaire, exige dans sa fonction « MAP » que les entreprises identifient les risques liés à l’utilisation de l’IA.

Ces nouvelles règles montrent que l’inventaire des actifs d’IA n’est plus une simple formalité — il est devenu le socle de la gouvernance de la sécurité de l’IA.

L’IA fantôme, menace silencieuse et incontrôlée

La prolifération de l’IA non autorisée au sein des entreprises constitue une menace directe pour la sécurité des données. Le phénomène du « Shadow AI » illustre cette dérive : de nombreux employés utilisent des outils d’IA gratuits ou accessibles via des comptes personnels, échappant ainsi à la surveillance du service informatique. Selon un rapport de ZScaler publié en 2024, plus de 60 % des employés admettent utiliser des outils d’IA non validés par leur entreprise. Cette utilisation clandestine expose les données sensibles à des tiers, créant des failles de sécurité difficilement contrôlables.

DeepSeek, dont la popularité a explosé début 2024, est devenu le symbole de ce risque. Son mode de fonctionnement, basé sur le stockage de données dans le cloud, a suscité une controverse majeure. Les employés, en utilisant cet outil sans autorisation, ont exposé des informations confidentielles à des systèmes externes. L’IA fantôme agit comme un cheval de Troie : elle introduit des vulnérabilités sans que l’entreprise n’en ait conscience, augmentant le risque de fuite de données ou d’attaques ciblées.

Les responsables de la sécurité doivent agir en amont. Il ne s’agit pas seulement de surveiller les outils utilisés, mais d’anticiper leur impact. Les outils d’IA générative évoluent rapidement : un modèle jugé sûr aujourd’hui peut devenir une menace dès lors qu’il adopte une nouvelle fonction ou un nouveau mode de traitement des données. La clé réside dans une surveillance active et une réactivité immédiate face aux nouvelles configurations des outils d’IA.

Le défi de la cartographie et du suivi des actifs d’IA

Cartographier les actifs d’IA reste un défi complexe. Les méthodes traditionnelles de suivi se révèlent insuffisantes face à la vitesse d’adoption de l’IA. Le suivi basé sur les achats permet de contrôler l’introduction de nouveaux outils, mais ne détecte pas les mises à jour ou les fonctionnalités cachées. L’analyse des journaux réseau offre une visibilité partielle, mais sa mise en œuvre est chronophage et peu adaptée à un environnement de travail hybride. Les solutions de gestion des identités, comme OAuth, permettent de suivre certaines applications, mais restent inefficaces face aux outils d’IA accessibles en dehors des plateformes contrôlées.

Les courtiers d’accès sécurisé au cloud (CASB) apportent une visibilité sur les outils cloud, mais peinent à s’adapter à la diversité des systèmes utilisés. La gestion de la posture de sécurité du cloud (CSPM) permet de surveiller l’usage de l’IA dans les environnements cloud publics comme AWS ou Google Cloud, mais ne couvre pas les environnements internes. Les listes de contrôle existantes, quant à elles, sont souvent obsolètes face à la rapidité d’évolution des technologies d’IA. La multiplicité des outils et la diversité des plateformes compliquent la mise en place d’un suivi cohérent.

L’essor des solutions automatisées

Face à ces limites, l’industrie se tourne vers des solutions automatisées de gestion des actifs d’IA. L’intelligence artificielle elle-même devient un levier pour surveiller les activités liées à l’IA. Darktrace AI Guardian, dont le lancement est prévu début 2025, promet une surveillance en temps réel du trafic réseau, une détection automatique des outils d’IA non autorisés et une mise à jour dynamique de l’inventaire. Microsoft a déjà intégré un tableau de bord de suivi de l’IA dans ses services cloud en 2024, permettant aux entreprises d’identifier rapidement les outils utilisés par leurs employés.

Ces solutions automatisées offrent un avantage clé : elles s’adaptent à la rapidité d’évolution de l’IA. Une mise à jour du modèle ou une modification dans les conditions d’utilisation est immédiatement signalée. Cette réactivité permet de renforcer la sécurité des systèmes tout en assurant une gestion proactive de la conformité. Les outils automatisés permettent également une meilleure formation des employés : en identifiant les outils validés et sécurisés, les entreprises favorisent une adoption contrôlée de l’IA, limitant ainsi le recours à des solutions non autorisées.

Transformer une obligation réglementaire en avantage stratégique

La gestion des actifs d’IA ne doit pas être perçue comme une contrainte administrative, mais comme une opportunité stratégique. Les entreprises qui maîtrisent leur écosystème d’IA sont mieux placées pour guider l’innovation tout en sécurisant leurs opérations. L’inventaire des actifs d’IA permet d’identifier les besoins réels des employés, d’anticiper les failles de sécurité et de proposer des solutions conformes adaptées à chaque cas d’usage.

Google a montré la voie en 2024. Après avoir détecté une forte demande d’outils génératifs parmi ses employés, l’entreprise a rapidement déployé des solutions internes sécurisées. Ce mouvement stratégique a non seulement renforcé la sécurité des données, mais aussi amélioré la productivité. L’adoption contrôlée d’outils d’IA permet de créer une culture d’innovation tout en réduisant les risques liés à la Shadow AI.

Les entreprises doivent agir rapidement. La mise en place d’un inventaire d’actifs d’IA est le premier pas vers une gouvernance renforcée. Les solutions automatisées, la surveillance en temps réel et la formation des employés constituent les piliers d’une stratégie de gestion des risques adaptée à l’ère de l’IA. Les acteurs qui s’adaptent dès maintenant prendront une longueur d’avance dans cette nouvelle révolution technologique.

Six façons d’utiliser l’IA pour le suivi des actifs

  1. Suivi basé sur les achats : Cette méthode est efficace pour surveiller l’achat de nouveaux outils d’IA, mais elle reste insuffisante pour détecter l’ajout de capacités d’IA aux outils existants ou l’utilisation d’outils BYOT (Bring Your Own Tool) par les employés.

  2. Collecte manuelle des journaux : L’analyse du trafic réseau et des journaux permet de repérer des activités liées à l’IA, mais cette méthode est chronophage et offre une couverture limitée.

  3. Identité et authentification OAuth : L’examen des journaux d’accès à partir de plateformes comme Okta ou Entra permet de suivre certaines applications d’IA, mais uniquement si elles sont intégrées à ces services.

  4. Courtier d’accès sécurisé au cloud (CASB) et prévention des pertes de données (DLP) : Des solutions comme ZScaler et Netskope offrent une visibilité sur les outils d’IA utilisés dans le cloud, mais elles ont une capacité limitée à classifier précisément ces outils.

  5. Gestion de la posture de sécurité du cloud (CSPM) : Des outils comme Wiz permettent de surveiller l’usage de l’IA dans AWS et Google Cloud, mais ils ne couvrent pas les environnements sur site ou non cloud.

  6. Élargir les listes de contrôle existantes : La catégorisation des outils d’IA en fonction des risques permet d’améliorer la gouvernance, mais cette méthode peine à suivre le rythme rapide de l’évolution de l’IA.

Un outil gratuit pour vaincre le ransomware Akira sur Linux

Un outil gratuit pour décrypter le ransomware Akira sur Linux grâce à la puissance des GPU.

Un chercheur en cybersécurité, Yohanes Nugroho, a développé un outil de décryptage gratuit permettant de vaincre le ransomware Akira sur Linux. Ce projet complexe a nécessité trois semaines de travail intensif, un investissement de 1 200 $ en ressources GPU, et une approche innovante basée sur la force brute pour récupérer les clés de chiffrement.

Une percée majeure dans la lutte contre Akira

Face à la menace persistante du ransomware Akira, une nouvelle avancée pourrait changer la donne. Yohanes Nugroho, expert en cybersécurité, a récemment publié un outil de décryptage gratuit capable de restaurer des fichiers chiffrés par ce malware ciblant les systèmes Linux. Le projet, initialement prévu pour durer une semaine, a finalement nécessité trois semaines de travail et 1 200 $ de ressources GPU en raison de la complexité inattendue du processus.

Akira est un ransomware redoutable, actif depuis la fin de 2023, qui chiffre les fichiers à l’aide de clés générées à partir de quatre horodatages précis à la nanoseconde. Grâce à une analyse approfondie des fichiers journaux et des métadonnées des fichiers, Nugroho a pu mettre au point une méthode permettant de contourner le chiffrement en exploitant cette faiblesse dans la génération des clés. Son outil repose sur la puissance des GPU pour effectuer une attaque par force brute, une méthode inhabituelle dans le domaine du décryptage.

« Akira génère des clés de chiffrement uniques pour chaque fichier en utilisant quatre moments précis à la nanoseconde. En utilisant une force brute GPU optimisée, nous avons pu retrouver ces clés et restaurer les fichiers sans payer de rançon. » – Yohanes Nugroho

La faille dans le chiffrement d’Akira

Le ransomware Akira utilise une méthode de chiffrement complexe basée sur la génération de clés uniques pour chaque fichier. Cette génération repose sur l’algorithme de hachage SHA-256, appliqué en 1 500 tours sur quatre horodatages distincts, mesurés à la nanoseconde près. Cette complexité rend le processus de déchiffrement extrêmement difficile, voire impossible avec des méthodes classiques.

Cependant, Nugroho a découvert une faille : l’utilisation de ces horodatages permet de recréer les clés de chiffrement par rétro-ingénierie. Les deux premiers et les deux derniers horodatages sont liés, ce qui a permis à Nugroho de restreindre le champ de recherche et d’augmenter la vitesse du processus de force brute.

Akira chiffre les fichiers en utilisant une combinaison de KCipher2 et Chacha8, des algorithmes de chiffrement réputés pour leur robustesse. Les clés sont ensuite chiffrées avec RSA-4096 et intégrées dans les fichiers. Cette double couche de sécurité rend normalement le décryptage très complexe. Cependant, en identifiant les plages de temps précises utilisées pour générer les clés, Nugroho a réussi à réduire considérablement la difficulté du processus.

« Le malware ne s’appuie pas sur un seul moment dans le temps, mais sur quatre moments distincts avec une précision à la nanoseconde. La corrélation entre ces moments permet de limiter le champ de recherche, rendant la force brute plus efficace. » – Yohanes Nugroho

La puissance des GPU au service de la cybersécurité

Face à la complexité du chiffrement, Nugroho a d’abord tenté d’utiliser des GPU locaux, mais la lenteur du processus l’a conduit à se tourner vers des solutions basées sur le cloud. Après avoir écarté Google Cloud en raison de son coût élevé, il a opté pour RunPod et Vast.ai, deux services offrant une puissance de calcul GPU à moindre coût.

Il a mobilisé 16 GPU RTX 4090, connus pour leur nombre élevé de cœurs CUDA, pour exécuter l’attaque par force brute. Ce choix stratégique a permis de ramener le temps de déchiffrement à 10 heures pour une plage de 4,5 millions de nanosecondes. Le coût de traitement pour cette plage s’élève à environ 261 $, ce qui, multiplié par le volume de fichiers à traiter, a porté le coût total du projet à 1 200 $.

L’utilisation de GPU haut de gamme a permis de traiter un volume de données important en un temps record. Ce succès démontre le potentiel des solutions de décryptage basées sur la force brute GPU dans la lutte contre les ransomwares modernes.

Le décryptage des fichiers chiffrés par Akira est désormais possible sans payer de rançon. Les entreprises et les utilisateurs touchés par ce ransomware peuvent utiliser l’outil de Nugroho pour restaurer leurs données en toute autonomie. Cette percée pourrait également servir de modèle pour lutter contre d’autres variantes de ransomware utilisant des techniques similaires.

Nugroho a précisé que le processus de déchiffrement pourrait encore être optimisé pour améliorer les performances. Actuellement, le temps de récupération dépend de la taille du volume de fichiers à traiter et de la précision des horodatages contenus dans les fichiers journaux.

Un avenir prometteur pour le décryptage des ransomwares ?

L’approche novatrice de Yohanes Nugroho ouvre la voie à de nouvelles stratégies de lutte contre les ransomwares. L’utilisation de la force brute par GPU, combinée à une analyse fine des mécanismes de génération des clés, pourrait inspirer d’autres chercheurs à développer des solutions similaires.

Akira reste une menace active, mais cette avancée donne un avantage considérable aux équipes de cybersécurité. Les ransomwares basés sur des mécanismes de chiffrement temporel pourraient désormais être contournés grâce à une combinaison de rétro-ingénierie et de puissance GPU.

En partageant gratuitement son outil, Nugroho offre une ressource précieuse à la communauté de la cybersécurité et aux victimes de ransomware. Cette initiative illustre l’importance de l’innovation et de la collaboration dans la lutte contre les cybermenaces modernes.

Mora_001 : un nouveau ransomware exploite des failles Fortinet

Une nouvelle opération de ransomware nommée Mora_001 exploite deux vulnérabilités critiques dans les pare-feux Fortinet. Cette menace, liée au groupe LockBit, met en danger des infrastructures sensibles malgré la publication de correctifs.

Depuis le début de l’année, une nouvelle campagne de ransomware appelée Mora_001 inquiète les experts en cybersécurité. Le groupe exploite deux vulnérabilités majeures dans les pare-feux Fortinet, identifiées sous CVE-2024-55591 et CVE-2025-24472. La Cybersecurity and Infrastructure Security Agency (CISA) a réagi rapidement en janvier, ordonnant aux agences fédérales de corriger la première faille dans un délai d’une semaine seulement — un des délais les plus courts jamais imposés. Malgré la publication des correctifs, les attaques se multiplient. Des chercheurs ont découvert que Mora_001 utilise un ransomware baptisé SuperBlack, une variante modifiée de LockBit 3.0. Ce groupe semble maîtriser les tactiques héritées de LockBit tout en adaptant ses méthodes pour contourner les dispositifs de sécurité.

Une exploitation des failles fortinet

En janvier, la CISA a ordonné une correction immédiate de la faille CVE-2024-55591 après avoir constaté son exploitation active dans des environnements critiques. Fortinet a rapidement confirmé la vulnérabilité, avant de mettre à jour son alerte en y ajoutant CVE-2025-24472.

Les intrusions ont commencé à la fin du mois de janvier, avec une intensification notable à partir du 2 février. Mora_001 cible principalement les interfaces de gestion des pare-feux Fortigate visibles depuis internet. Une fois le système compromis, le ransomware SuperBlack est rapidement déployé.

Le groupe a adopté une stratégie d’attaque en plusieurs étapes : infiltration par exploitation des failles, prise de contrôle des pare-feux, chiffrement des fichiers critiques et exfiltration des données. Les attaquants laissent ensuite une note de rançon, exigeant une somme importante pour restaurer l’accès aux systèmes. Le groupe exploite ces failles depuis fin janvier. Les attaques ciblent des organisations qui n’ont pas appliqué les mises à jour de sécurité ou qui présentent des configurations de pare-feu vulnérables.

« Mora_001 exploite une combinaison de méthodes opportunistes et de tactiques sophistiquées héritées de LockBit. »

SuperBlack : une variante de LockBit 3.0

Le ransomware SuperBlack déployé par Mora_001 est directement inspiré de LockBit 3.0 (aussi appelé LockBit Black). Des similitudes dans la structure du chiffrement, le processus d’exfiltration des données et le contenu de la note de rançon.

La principale différence réside dans la personnalisation du code. Mora_001 a retiré toutes les références à LockBit dans la note de rançon. Les attaquants utilisent également un exécutable d’exfiltration de données sur mesure, conçu pour automatiser le transfert d’informations vers des serveurs externes.

La fuite du builder LockBit 3.0 en 2022 a permis à plusieurs groupes cybercriminels de développer leurs propres variantes de ransomware. Mora_001 semble avoir intégré des éléments techniques issus de LockBit, tout en adoptant des pratiques utilisées par d’autres groupes comme BlackCat/ALPHV.

Les méthodes employées par Mora_001 montrent une capacité d’adaptation impressionnante. Les attaquants utilisent des techniques connues tout en introduisant de nouvelles méthodes d’infiltration. Cette flexibilité rend les détections traditionnelles plus difficiles.

« Le ransomware SuperBlack combine la puissance du chiffrement de LockBit avec une nouvelle approche d’exfiltration de données. »

Des liens avec LockBit

Mora_001 ne cache pas son héritage. Les experts ont identifié plusieurs indices techniques reliant le groupe à l’écosystème LockBit. Le code du ransomware, le modèle de chiffrement et la structure des notes de rançon rappellent fortement LockBit 3.0.

Les chercheurs de Forescout estiment que Mora_001 pourrait être une cellule indépendante affiliée à LockBit, ou un groupe utilisant simplement le code du builder LockBit 3.0. L’analyse des communications entre les attaquants montre également une proximité avec des canaux utilisés par LockBit.

L’adoption de tactiques utilisées par BlackCat/ALPHV renforce la thèse d’une coopération ou d’un échange de pratiques entre ces groupes. Cette convergence des méthodes complique la réponse des équipes de cybersécurité.

Mora_001 exploite d’abord une vulnérabilité dans le pare-feu Fortinet pour obtenir un accès initial. Une fois l’accès établi, le ransomware SuperBlack est déployé. Le chiffrement des fichiers est rapide, souvent terminé en quelques minutes. Les attaquants laissent une note de rançon personnalisée et lancent le processus d’exfiltration des données vers des serveurs externes.

L’exécutable utilisé pour l’exfiltration est difficile à détecter car il masque son activité en utilisant des processus légitimes du système. Les attaquants suppriment également les journaux de sécurité pour compliquer la traçabilité. Le groupe utilise des techniques d’accès similaires à celles de LockBit, mais avec une exécution plus rapide. L’infiltration initiale est souvent indétectable jusqu’au déclenchement du processus de chiffrement.

Une menace persistante

Malgré la publication des correctifs par Fortinet, les attaques se poursuivent. Certaines organisations n’ont pas encore appliqué les mises à jour ou présentent des failles de configuration dans leurs pare-feux. DataSecurityBreach.fr recommande une correction immédiate des vulnérabilités et un renforcement des configurations de sécurité. La surveillance des accès réseau et la limitation des connexions aux interfaces de gestion sont des mesures essentielles pour réduire le risque d’attaque.

Les experts s’attendent à ce que Mora_001 adapte encore son mode opératoire dans les mois à venir. Le succès initial de cette campagne pourrait encourager d’autres groupes à adopter des tactiques similaires. Dernier point, alors que plusieurs membres importants de LockBit, comme l’un des administrateurs extradé aux USA en mars 2025, l’ombre de LockBit continue de roder sous d’autres formes !

La cybercriminalité en France en 2024 : analyse des 348 000 infractions enregistrées

En 2024, la cybercriminalité en France a atteint un niveau alarmant avec 348 000 infractions enregistrées. Les atteintes aux biens, aux personnes et aux institutions progressent.

La cybercriminalité continue de croître en France. En 2024, les services de sécurité ont recensé 348 000 crimes et délits liés au numérique, confirmant une tendance préoccupante. Si les atteintes aux biens numériques restent majoritaires, les infractions visant les personnes, les institutions et les législations spécifiques au numérique enregistrent une forte hausse. Le profil des victimes révèle des disparités notables : les femmes sont plus souvent ciblées par des atteintes aux personnes, tandis que les hommes sont davantage concernés par les infractions liées aux biens. Le recours à la plateforme Thésée pour signaler les escroqueries numériques se développe, traduisant une prise de conscience croissante du phénomène. Cette analyse met en lumière la nécessité d’adapter les dispositifs de prévention et de répression face à une cybercriminalité qui se complexifie.

Les atteintes numériques aux biens : une baisse légère mais une menace persistante

En 2024, les atteintes numériques aux biens restent la catégorie d’infractions la plus fréquente, représentant 226 300 cas. Ce chiffre marque une légère baisse de 1 % par rapport à 2023, signalant une stabilisation relative après plusieurs années de hausse.

Parmi ces infractions :

  • 50 800 plaintes ont été déposées via la plateforme Thésée, dédiée aux escroqueries numériques.
  • Les atteintes aux biens numériques incluent le vol de données bancaires, la fraude en ligne, le piratage de comptes, ainsi que les arnaques à la fausse identité.

 « 50 800 escroqueries numériques signalées via Thésée en 2024, confirmant l’ampleur du phénomène. »

Bien que la tendance globale soit à la baisse, la menace reste préoccupante en raison de la sophistication croissante des techniques utilisées par les cybercriminels. L’augmentation des méthodes de phishing (hameçonnage) et des ransomwares (logiciels de rançon) illustre cette adaptation constante des fraudeurs.

Les atteintes numériques aux personnes : une hausse inquiétante

En 2024, les atteintes numériques aux personnes ont connu une augmentation marquée de 7 %, atteignant 103 300 infractions. Ce chiffre reflète la montée des cyberharcèlements, des usurpations d’identité et des atteintes à la vie privée.

Les victimes sont majoritairement des femmes :

  • 66 % des victimes majeures sont des femmes.
  • 70 % des victimes mineures sont également des filles.

Ce déséquilibre souligne la vulnérabilité accrue des femmes face à certaines formes de violence numérique, notamment le revenge porn (diffusion non consentie d’images intimes) et le cyberharcèlement sexuel.

« Deux tiers des victimes d’atteintes numériques aux personnes sont des femmes, révélant une vulnérabilité spécifique. »

La progression constante des cyberattaques ciblant les individus appelle une réponse renforcée, notamment à travers une sensibilisation accrue des jeunes publics et un accompagnement juridique adapté.

Service de Veille ZATAZ – 96% de satisfaction

Les atteintes numériques aux institutions et aux législations spécifiques : une croissance rapide

Atteintes numériques aux institutions

Les attaques visant les institutions (administrations, entreprises publiques, collectivités) ont également progressé de 7 % en 2024, avec 1 700 infractions recensées.

  • Les attaques par déni de service (DDoS) et les intrusions dans les réseaux informatiques sont les techniques les plus employées.
  • Les attaques ayant pour objectif de déstabiliser les services publics ou de voler des données sensibles sont en augmentation.

Atteintes aux législations spécifiques

Les infractions liées aux législations numériques (non-respect du RGPD, violation des droits d’auteur, contenus illicites) progressent plus rapidement, avec une hausse de 10 % en 2024 pour atteindre 1 500 infractions.

  • La forte augmentation du nombre de personnes mises en cause pour ce type d’infractions (+41 %) illustre la complexité croissante des litiges numériques.
  • Les sanctions liées aux infractions numériques sont également en augmentation, traduisant une volonté des autorités de renforcer la réponse judiciaire face à ces délits.

Le profil des auteurs : des tendances qui se confirment

Le nombre de personnes mises en cause pour des infractions numériques progresse également :

  • +3 % pour les atteintes numériques aux biens.
  • +6 % pour les atteintes numériques aux personnes.
  • +14 % pour les atteintes numériques aux institutions (contre +30 % sur la période 2016-2023).
  • +41 % pour les infractions aux législations numériques (contre +2 % sur la période 2016-2023).

Cette hausse rapide du nombre de mises en cause montre une professionnalisation des cybercriminels, souvent organisés en réseaux. Les atteintes directement dirigées contre les infrastructures numériques (piratage, virus, attaques DDoS) ont reculé de 4 % en 2024, avec 17 100 infractions recensées. Cette baisse pourrait s’expliquer par le renforcement des dispositifs de cybersécurité déployés par les institutions publiques et les grandes entreprises. Cependant, les cybercriminels adaptent constamment leurs méthodes, rendant cette baisse potentiellement temporaire.

Type d’atteinte Nombre d’infractions (2024) Évolution par rapport à 2023 Nombre de mises en cause (2024) Évolution des mises en cause
Atteintes aux biens 226 300 -1 % +3 % Stabilité
Atteintes aux personnes 103 300 +7 % +6 % Hausse constante
Atteintes aux institutions 1 700 +7 % +14 % Ralentissement
Atteintes aux législations spécifiques 1 500 +10 % +41 % Forte hausse
ASTAD 17 100 -4 % Non communiqué

Pour rester informé des dernières menaces numériques et des bonnes pratiques de sécurité, abonnez-vous à notre newsletter cyber et suivez-nous sur WhatsApp.

DeepSeek : 12 000 Clés API Exposées — L’IA, nouvelle faille de sécurité ?

Une récente analyse a révélé qu’environ 12 000 clés API, mots de passe et jetons d’authentification ont été accidentellement exposés lors de l’entraînement du modèle d’IA de DeepSeek sur des données accessibles en ligne. Cette fuite met en évidence les risques liés à l’utilisation de données publiques pour l’entraînement des modèles d’intelligence artificielle (IA).

Une fuite de grande ampleur

L’incident concerne un jeu de données issu de Common Crawl, une bibliothèque publique qui archive des copies de pages web du monde entier. En décembre 2024, une analyse de ce jeu de données, représentant 400 téraoctets et comprenant 47,5 millions de sites et 2,67 milliards de pages, a permis d’identifier une quantité alarmante d’informations sensibles.

Les chercheurs ont découvert près de 12 000 clés API et informations d’authentification valides. Ces clés donnaient accès à des services critiques comme Amazon Web Services (AWS), Slack et Mailchimp. Une partie des informations trouvées était directement intégrée dans le code source des pages HTML, exposée sans aucune protection.

Un cas frappant concerne une clé API de WalkScore, retrouvée 57 029 fois sur 1 871 sous-domaines différents. Cette diffusion massive d’une seule clé démontre le manque de contrôle dans la gestion des informations sensibles par certaines entreprises.

Une mauvaise gestion des clés API

L’analyse a montré que 63 % des clés d’accès étaient réutilisées dans plusieurs environnements, augmentant considérablement le risque d’attaques en cascade. Si une clé compromise est utilisée sur plusieurs services, un attaquant pourrait exploiter cette faille pour pénétrer plusieurs systèmes simultanément.

Le cas de Mailchimp est particulièrement préoccupant : plus de 1 500 clés API ont été retrouvées dans le jeu de données, directement accessibles dans le code côté client. Une clé Mailchimp exposée pourrait permettre à un pirate d’envoyer des emails de phishing depuis le compte légitime d’une entreprise, augmentant ainsi le taux de réussite des attaques.

Certaines pages web contenaient même des informations de connexion root (administrateur), offrant potentiellement à un attaquant un contrôle total sur le système cible. Une telle situation pourrait entraîner des conséquences dévastatrices, comme la perte de contrôle d’une infrastructure critique.

Le problème structurel de l’entraînement des modèles d’IA

Ce type de fuite met en lumière une faille structurelle dans le développement des modèles d’IA. Les modèles comme DeepSeek sont entraînés sur de vastes ensembles de données issues d’internet, incluant des bases de code, des forums de développeurs et des bases de données publiques. Ces ensembles de données contiennent souvent, par négligence, des informations sensibles comme des clés API ou des mots de passe.

Lorsque ces modèles sont entraînés sur des données contenant des failles de sécurité, ils peuvent reproduire ces vulnérabilités dans le code généré. Certains modèles de langage, comme GitHub Copilot, sont capables de suggérer des clés API ou des mots de passe dans le code généré, simplement parce qu’ils ont été entraînés sur des données comportant ce type d’information.

Cette capacité des modèles d’IA à « imiter » les failles de sécurité pose un défi majeur. Si un modèle reproduit ces vulnérabilités dans un code déployé en production, le risque de voir des attaques ciblées se multiplier devient réel.

Un risque de propagation des failles

L’absorption de données vulnérables par des modèles d’IA soulève le risque d’une propagation des failles à grande échelle. Si un modèle d’IA intègre des clés API ou des mots de passe dans le code qu’il génère, les conséquences pourraient être catastrophiques. Un attaquant pourrait alors exploiter ce code vulnérable pour infiltrer plusieurs systèmes, ouvrant la voie à des attaques en cascade.

Un modèle d’IA entraîné sur des données contenant des failles pourrait également influencer les développeurs à adopter des pratiques risquées, simplement en générant du code qui reproduit ces vulnérabilités.

Sécurité électorale : le rôle de la CISA fragilisé par le retrait du soutien fédéral

La CISA a terminé son examen interne sur la sécurité électorale, mais refuse de rendre ses conclusions publiques. Cette décision suscite des inquiétudes parmi les responsables locaux qui craignent une fragilisation des infrastructures électorales face aux cybermenaces.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment terminé un examen interne sur la sécurité électorale. Cependant, elle a décidé de ne pas publier les résultats, invoquant la nature confidentielle du document. Cette décision intervient dans un contexte de tension croissante, alors que le ministère de la Sécurité intérieure (DHS) a récemment mis fin au financement du Centre d’analyse et de partage d’informations sur l’infrastructure électorale (EI-ISAC), géré par le Center for Internet Security (CIS). Cette coupure budgétaire prive de nombreux États et collectivités locales de services essentiels en matière de cybersécurité, augmentant ainsi leur vulnérabilité face aux menaces potentielles. Les responsables électoraux locaux s’inquiètent du manque de soutien fédéral à l’approche des prochaines élections, ce qui pourrait compromettre la sécurité et l’intégrité du processus démocratique.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment terminé une évaluation interne sur la sécurité électorale, mais a choisi de ne pas en dévoiler les conclusions. Cette décision, confirmée cette semaine par un porte-parole de l’agence, soulève des inquiétudes profondes chez les responsables électoraux à travers le pays. Alors que le paysage électoral américain est marqué par une augmentation constante des menaces cybernétiques, la décision de la CISA de conserver cette évaluation comme un document confidentiel est perçue par beaucoup comme un manque de transparence qui pourrait affaiblir la capacité des juridictions locales à se défendre contre d’éventuelles attaques.

Un porte-parole de la CISA a déclaré que ce rapport est destiné à orienter les futures stratégies de l’agence en matière de protection des infrastructures critiques, mais qu’il ne sera pas rendu public. Cette déclaration a immédiatement suscité une réaction de la part des responsables électoraux et des experts en cybersécurité, qui estiment que le manque de transparence pourrait avoir des conséquences graves à l’approche des élections.

Tim Harper, analyste politique senior pour le Centre pour la démocratie et la technologie, a critiqué cette décision en affirmant que sans un accès clair aux résultats de cette évaluation, les responsables électoraux ne sauront pas quelles menaces spécifiques sont susceptibles de peser sur eux ni quelles stratégies de défense adopter. Selon lui, la CISA joue un rôle central dans la protection du processus démocratique, et le fait de priver les administrations locales d’informations cruciales pourrait nuire à la sécurité globale des élections.

La décision de la CISA de garder ces conclusions secrètes intervient dans un contexte particulièrement délicat. Les menaces contre les infrastructures électorales ont augmenté de manière significative au cours des quatre dernières années, avec une multiplication des cyberattaques, des campagnes de désinformation et des tentatives d’influence étrangère. Les juridictions locales, qui manquent souvent de ressources techniques et de personnel spécialisé, comptaient sur l’expertise et le soutien logistique de la CISA pour combler ces lacunes. Cette absence de transparence risque de creuser un fossé supplémentaire entre le gouvernement fédéral et les administrations locales, alors que la coopération entre ces deux niveaux est cruciale pour assurer la sécurité du processus électoral.

Le retrait du soutien fédéral au CIS met en péril la sécurité des élections

La fin de la coopération entre le ministère de la Sécurité intérieure (DHS) et le Center for Internet Security (CIS) a accentué la vulnérabilité des infrastructures électorales. Le CIS gérait jusqu’ici le Centre d’analyse et de partage d’informations sur l’infrastructure électorale (EI-ISAC), un programme essentiel de surveillance et de réponse aux cyberattaques. Depuis sa création en 2018, l’EI-ISAC fournissait un soutien technique de premier plan aux juridictions électorales locales, notamment grâce à la mise en place des capteurs Albert, des dispositifs capables de détecter les tentatives d’intrusion en temps réel.

La décision du DHS de mettre fin au financement du CIS a été officialisée dans une note interne datée du 14 février. Selon ce document, le département estimait que l’EI-ISAC ne correspondait plus aux objectifs stratégiques du DHS. Cette rupture de financement a eu un effet immédiat : la majorité des États sont désormais interdits, pour des raisons légales, de continuer à utiliser les services de l’EI-ISAC. Cette situation place les autorités locales dans une position délicate, les obligeant à chercher des solutions alternatives souvent plus coûteuses et moins fiables.

Scott McDonell, greffier du comté de Dane dans le Wisconsin, a exprimé sa frustration face à cette situation. Il a expliqué que son comté s’appuyait fortement sur le capteur Albert fourni par le CIS pour surveiller son réseau informatique en continu. Ce dispositif permettait de détecter immédiatement toute tentative d’intrusion et de lancer une réponse rapide pour limiter les dégâts. Désormais privé de ce soutien, McDonell envisage de faire appel à un fournisseur privé pour remplacer le capteur Albert, mais le coût de cette alternative représente un défi budgétaire majeur.

Le problème ne se limite pas à la cybersécurité. Le CIS fournissait également une assistance technique précieuse aux responsables électoraux, en organisant des sessions de formation et en partageant des renseignements actualisés sur les menaces en cours. Wesley Wilcox, superviseur des élections dans le comté de Marion en Floride, a rappelé que l’EI-ISAC jouait un rôle essentiel en créant une « salle de situation » qui permettait de coordonner la réponse des différentes juridictions en cas d’attaque à grande échelle. La fin de ce soutien stratégique laisse un vide difficile à combler, surtout à l’approche des élections.

Ce retrait du soutien fédéral risque également d’exacerber les inégalités entre les juridictions électorales. Les grandes villes et les États les mieux financés pourront sans doute trouver des solutions alternatives, mais les comtés ruraux et les petites municipalités, qui dépendent largement de l’aide fédérale, risquent de se retrouver sans défense face à une menace grandissante. Le modèle de sécurité électorale américain, basé sur une coopération entre le gouvernement fédéral et les administrations locales, est désormais remis en question.

Une situation critique à l’approche des élections ?

La perte de soutien fédéral survient à un moment particulièrement critique. Les menaces pesant sur les infrastructures électorales américaines sont en constante évolution. Les cyberattaques sont de plus en plus sophistiquées et ciblées. Les services de renseignement américains ont déjà signalé une augmentation des tentatives d’ingérence étrangère dans le processus électoral, et les attaques par rançongiciel contre les systèmes informatiques locaux sont devenues monnaie courante.

L’absence de soutien fédéral pourrait également nuire à la capacité des juridictions locales à répondre efficacement aux menaces physiques. La CISA avait joué un rôle clé ces dernières années en aidant les autorités locales à renforcer la sécurité physique des bureaux de vote et en formant le personnel électoral à gérer les situations de crise. En l’absence de ces ressources, les administrations locales risquent de se retrouver mal préparées face à une situation d’urgence.

Tim Harper a mis en garde contre le risque d’une réaction en chaîne : si une attaque venait à perturber le processus électoral dans une juridiction locale, le manque de soutien technique et logistique pourrait rapidement se transformer en une crise nationale. Selon lui, la transparence est la clé pour éviter ce scénario. Il exhorte la CISA à publier son évaluation interne et à rétablir un dialogue ouvert avec les responsables électoraux.

La pression monte également du côté des associations professionnelles. Le mois dernier, l’Association nationale des secrétaires d’État a adressé une lettre à la secrétaire du DHS, Kristi Noem, pour lui demander de rétablir le financement du CIS et de maintenir le soutien technique aux juridictions locales. Les responsables électoraux estiment que le gouvernement fédéral a une responsabilité directe dans la protection du processus démocratique, et que priver les juridictions locales de ce soutien revient à affaiblir la résilience du système électoral dans son ensemble.

La sécurité des élections américaines repose sur une coopération étroite entre le gouvernement fédéral, les États et les autorités locales. Le retrait du soutien fédéral et le manque de transparence de la CISA créent un climat d’incertitude qui pourrait avoir des répercussions profondes sur la confiance des électeurs. Si ces problèmes ne sont pas rapidement résolus, les prochaines élections pourraient se dérouler dans un contexte de vulnérabilité accrue, avec un risque réel d’ingérence et de perturbation du processus électoral.

Le retrait du soutien fédéral à la cybersécurité électorale laisse les juridictions locales vulnérables à des attaques sophistiquées et à une désinformation croissante.

La décision de la CISA de garder son rapport interne confidentiel prive les responsables électoraux de renseignements stratégiques essentiels pour assurer la sécurité des élections.

Arnaque au faux ransomware : des lettres physiques ciblent les cadres dirigeants​

Des escrocs envoient des lettres physiques à des cadres dirigeants, prétendant appartenir au groupe de ransomware BianLian, pour extorquer des rançons allant jusqu’à 500 000 dollars.​

Une nouvelle escroquerie cible les cadres dirigeants en leur envoyant des lettres physiques prétendant provenir du groupe de ransomware BianLian. Ces lettres affirment que des données sensibles ont été volées et menacent de les publier si une rançon, payable en Bitcoin, n’est pas versée dans les dix jours. Les montants exigés varient entre 250 000 et 500 000 dollars. Les autorités américaines, notamment le FBI et la Cybersecurity and Infrastructure Security Agency (CISA), alertent sur cette menace et recommandent aux entreprises de rester vigilantes face à cette tentative d’extorsion.​

Un mode opératoire inédit

Contrairement aux méthodes traditionnelles des cybercriminels qui privilégient les courriels ou les messages électroniques pour leurs tentatives d’extorsion, cette arnaque se distingue par l’utilisation de lettres physiques envoyées par la poste. Les enveloppes, marquées « Time Sensitive Read Immediately » (Lecture urgente), sont adressées directement aux cadres supérieurs, souvent à leurs domiciles personnels ou professionnels. Elles contiennent une lettre prétendant que le groupe « BianLian » a infiltré le réseau de l’organisation et a dérobé des milliers de fichiers sensibles. La menace est claire : si une rançon n’est pas payée en Bitcoin dans un délai de dix jours, les données seront publiées sur des sites de fuite associés à BianLian. ​

Des indices révélateurs d’une escroquerie

Plusieurs éléments laissent penser que ces lettres sont l’œuvre d’escrocs usurpant l’identité du véritable groupe BianLian. Tout d’abord, les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux. De plus, aucune preuve concrète de vol de données n’est fournie dans les lettres, et aucun moyen de contacter les auteurs pour négocier n’est mentionné, ce qui est contraire aux pratiques habituelles des groupes de ransomware. Les autorités n’ont pas identifié de lien entre les expéditeurs de ces lettres et le groupe BianLian connu. ​

Cibles privilégiées et montants exigés

Les lettres ont principalement été envoyées à des cadres du secteur de la santé aux États-Unis, avec des demandes de rançon variant entre 150 000 et 500 000 dollars. Dans certains cas, les lettres incluent un mot de passe compromis dans la section « How did this happen? » (Comment cela est-il arrivé ?), probablement pour ajouter de la crédibilité à leur revendication. Cependant, aucune activité indicative d’une intrusion par ransomware n’a été détectée dans les organisations ciblées, ce qui suggère que cette campagne vise à exploiter la peur pour inciter les organisations à payer une rançon pour une intrusion qui n’a jamais eu lieu. ​

Les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux.​

Recommandations des autorités

Il est recommandé aux entreprises de prendre les mesures suivantes pour se protéger contre cette escroquerie :​

Sensibilisation interne : Informer les cadres et les employés de l’existence de cette arnaque afin qu’ils soient vigilants s’ils reçoivent de telles lettres.​

Vérification des systèmes : S’assurer que les défenses du réseau sont à jour et qu’aucune activité malveillante n’est en cours.​

Signalement : En cas de réception d’une telle lettre, contacter immédiatement les autorités de votre pays (Police Nationale, Etc.).​

Les autorités insistent sur l’importance de ne pas céder à la panique et de ne pas effectuer de paiement sans avoir vérifié la véracité des allégations. Il est essentiel de suivre les protocoles de réponse aux incidents et de collaborer avec les forces de l’ordre pour gérer la situation de manière appropriée. ​

Le véritable groupe BianLian

Le groupe BianLian est un développeur de ransomware et un groupe cybercriminel spécialisé dans l’extorsion de données, probablement basé en Russie. Depuis juin 2022, le FBI a observé que le groupe BianLian a affecté des organisations dans plusieurs secteurs d’infrastructures critiques aux États-Unis.

En Australie, l’ACSC a observé que le groupe BianLian cible principalement des entreprises privées, y compris une organisation d’infrastructure critique. Le groupe BianLian employait initialement un modèle de double extorsion dans lequel ils exfiltraient des fichiers financiers, clients, commerciaux, techniques et personnels à des fins de levier et chiffraient les systèmes des victimes. En 2023, le FBI a observé que le groupe BianLian s’est principalement orienté vers l’extorsion basée sur l’exfiltration, laissant les systèmes des victimes intacts. ​

Cette nouvelle méthode d’escroquerie souligne l’ingéniosité des cybercriminels pour exploiter la peur et l’urgence chez leurs victimes. Le Social Engineering (Ingénierie sociale), une méthode qui est vieille comme le monde est plus efficace encore grâce au numérique. Il est crucial pour les organisations de rester informées des menaces émergentes et de renforcer les protocoles de sécurité. La vigilance, la sensibilisation et la collaboration avec les autorités sont essentielles pour contrer ces tentatives d’extorsion.

vulnérabilité initialement localisée, désormais mondiale !

Une vulnérabilité critique affectant les scripts PHP, connue sous le nom de CVE-2024-4577, est devenue une menace à l’échelle mondiale, obligeant les défenseurs de la cybersécurité à agir rapidement. Découverte initialement dans le cadre d’attaques ciblant des organisations japonaises, cette faille est désormais exploitée dans plusieurs régions du monde, ont averti les experts en cybersécurité de GreyNoise et Cisco Talos.

Une vulnérabilité initialement localisée, désormais mondiale

La faille CVE-2024-4577 affecte une configuration spécifique appelée PHP-CGI, utilisée pour exécuter des scripts PHP sur des serveurs Web. Détectée pour la première fois au Japon en janvier 2025, elle a été rapidement exploitée par des attaquants cherchant à voler des identifiants d’accès et à établir une présence persistante dans les systèmes compromis.

Dans un rapport publié jeudi, l’équipe de Cisco Talos a révélé que les attaques initiales visaient principalement des organisations japonaises. L’objectif apparent des attaquants était non seulement de voler des identifiants d’accès, mais aussi de s’implanter durablement dans les systèmes ciblés, ouvrant la voie à de futures intrusions et compromissions.

Cependant, ce qui semblait être une campagne de piratage localisée s’est rapidement transformé en une menace mondiale. Vendredi, GreyNoise, une société spécialisée dans le renseignement sur les menaces, a publié un rapport alarmant indiquant que l’exploitation de cette faille s’est étendue à d’autres régions du globe. Des tentatives d’attaques ont été détectées aux États-Unis, à Singapour, au Japon et dans plusieurs autres pays tout au long du mois de janvier 2025.

Un correctif disponible, mais une menace persistante

Le correctif pour cette vulnérabilité a été publié à l’été 2024, mais de nombreuses entreprises n’ont pas encore mis à jour leurs systèmes, laissant un large éventail de cibles potentielles à la merci des attaquants.

La faille CVE-2024-4577 permet une exécution de code à distance (RCE), ce qui signifie que les pirates peuvent prendre le contrôle d’un serveur vulnérable, exécuter des commandes arbitraires et, potentiellement, compromettre l’ensemble du réseau.

GreyNoise a identifié 79 méthodes connues pour exploiter cette faille, soulignant la complexité et la diversité des vecteurs d’attaque. Les chercheurs ont également détecté une augmentation des tentatives d’attaques utilisant cette faille dans le cadre de campagnes coordonnées.

« L’ampleur de l’exploitation de CVE-2024-4577 dépasse de loin nos prévisions initiales », a déclaré un chercheur de GreyNoise. « Les attaquants utilisent des outils sophistiqués, y compris des cadres d’attaque avancés et des serveurs de commande et de contrôle (C2), ce qui laisse penser qu’il s’agit d’une campagne bien organisée. »

Une menace bien plus complexe qu’un simple vol d’identifiants

Selon Cisco Talos, l’attaquant à l’origine des premières attaques au Japon utilisait un serveur de commande et de contrôle (C2) pour déployer une suite complète d’outils malveillants. Cette approche suggère que les motivations vont au-delà du simple vol d’identifiants.

Le serveur C2 permet de contrôler à distance les systèmes compromis, d’exécuter des commandes, d’installer des malwares et de lancer de nouvelles attaques. Les chercheurs craignent que cette faille ne soit utilisée pour installer des backdoors (portes dérobées) et déployer des logiciels espions sur des cibles stratégiques, comme des infrastructures critiques ou des institutions financières.

« Cela ne ressemble pas à une simple campagne d’espionnage économique », a ajouté un chercheur de Cisco Talos. « L’ampleur des outils utilisés et la persistance démontrée par les attaquants laissent penser à une opération à caractère géopolitique. »

Une attaque documentée depuis plusieurs mois

La vulnérabilité CVE-2024-4577 avait déjà été signalée en août 2024 par des chercheurs de Symantec, après avoir été exploitée contre une université de Taiwan. Peu de temps après la publication du correctif, les attaquants avaient testé la faille contre plusieurs cibles en Asie, avant d’étendre leurs opérations à une échelle mondiale.

GreyNoise a également constaté une augmentation notable du trafic lié à cette faille à partir de la fin décembre 2024, avec des pics d’activité importants début janvier 2025. Cette chronologie suggère que les attaquants ont pu peaufiner leurs outils et leurs méthodes avant de lancer une campagne d’envergure mondiale.

L’appel à une action immédiate

Face à cette menace croissante, GreyNoise et Cisco Talos appellent les entreprises et les administrateurs système à une mise à jour immédiate de leurs serveurs PHP.

« Les organisations qui utilisent PHP-CGI doivent immédiatement vérifier leur configuration et installer les derniers correctifs de sécurité », a déclaré GreyNoise dans son rapport. « Le temps presse : chaque heure qui passe sans correction augmente le risque d’une compromission. »

Les chercheurs recommandent également une surveillance renforcée du trafic réseau pour détecter les comportements suspects associés à l’exploitation de CVE-2024-4577. La mise en place de pare-feu et de systèmes de détection d’intrusion (IDS) pourrait également permettre de contenir la menace.

Cisco Talos a également suggéré que les entreprises désactivent la configuration PHP-CGI si elle n’est pas strictement nécessaire, une mesure qui pourrait réduire considérablement la surface d’attaque.

Une faille symptomatique de la fragilité du web

Ce nouvel incident met une fois de plus en lumière la fragilité des infrastructures web face à des menaces sophistiquées. Le langage PHP, créé il y a près de trois décennies, est l’un des piliers du développement web, mais il est aussi une cible privilégiée en raison de son adoption massive et de la complexité de sa gestion.

Pour les experts, cette vulnérabilité souligne le besoin urgent de renforcer les pratiques de sécurité autour des technologies web historiques. Si la faille CVE-2024-4577 est corrigée rapidement, la menace pourrait être contenue. Dans le cas contraire, elle pourrait devenir le point de départ d’une vague d’attaques sans précédent.

Face à une exploitation déjà mondiale, une action rapide s’impose. Les défenseurs de la cybersécurité sont désormais engagés dans une véritable course contre la montre pour éviter que cette vulnérabilité ne soit utilisée dans des attaques de grande ampleur.

Une nouvelle menace sur Android : le virus EvilLoader cible les comptes Telegram

EvilLoader menace les utilisateurs d’Android en ciblant leurs comptes Telegram. Ce logiciel malveillant, déguisé en fichier vidéo, permet aux pirates de prendre le contrôle des appareils infectés et de voler des données confidentielles.

Les utilisateurs d’Android font face à une nouvelle menace sérieuse avec l’apparition du virus EvilLoader. Ce logiciel malveillant utilise une méthode d’infection sournoise en se faisant passer pour une mise à jour légitime de Telegram ou un lecteur multimédia. Lorsqu’un utilisateur tente d’ouvrir un fichier vidéo piégé, une erreur s’affiche, suggérant d’installer une mise à jour. Si l’utilisateur accepte, le virus s’installe discrètement sur l’appareil, donnant ainsi aux pirates un accès total aux données personnelles et aux messages Telegram. Ce type d’attaque s’appuie sur la confiance des utilisateurs envers des plateformes sécurisées comme Telegram, rendant la menace encore plus dangereuse. EvilLoader met en lumière une stratégie d’attaque psychologique qui n’est pas nouvelle, mais un Social Engineering efficace, exploitant la curiosité et le sentiment d’urgence des victimes.

Un virus sournois qui cible les utilisateurs de Telegram

Le virus EvilLoader fonctionne selon un schéma d’attaque bien rodé [Voir vidéo]. Les pirates diffusent des fichiers vidéo corrompus en utilisant des canaux Telegram ou en se faisant passer pour des contacts de confiance. L’utilisateur reçoit un fichier vidéo accompagné d’un message engageant, l’incitant à ouvrir le fichier. Dès qu’il tente de le lancer, une erreur s’affiche, expliquant que le fichier ne peut pas être lu sans une mise à jour de Telegram ou sans l’installation d’un lecteur multimédia. Ce message est conçu pour paraître crédible et pousse l’utilisateur à agir rapidement, créant un sentiment d’urgence qui réduit la méfiance.

Si l’utilisateur télécharge la mise à jour suggérée, EvilLoader s’installe automatiquement sur l’appareil. Le virus prend alors le contrôle du compte Telegram de la victime, récupérant les identifiants de connexion, accédant aux messages privés et interceptant les informations échangées. Pire encore, les pirates peuvent utiliser le compte compromis pour envoyer de nouveaux fichiers malveillants aux contacts de la victime, amplifiant ainsi la portée de l’attaque. Cette capacité à se propager rapidement fait d’EvilLoader une menace particulièrement inquiétante.

Les faux bots Telegram sont souvent utilisés comme point d’entrée pour cette attaque. Les pirates créent de faux comptes se faisant passer pour des services de type « Free Telegram Premium« , promettant des fonctionnalités avancées ou des bonus gratuits. Une fois que l’utilisateur tombe dans le piège et installe le fichier malveillant, le virus s’infiltre dans le système, prenant le contrôle non seulement de Telegram mais aussi d’autres données sensibles stockées sur l’appareil.

Une attaque psychologique basée sur la manipulation

EvilLoader ne repose pas uniquement sur une faille technique, mais également sur une stratégie psychologique redoutable. Les cybercriminels exploitent plusieurs mécanismes mentaux pour pousser la victime à agir sans réfléchir. La première tactique repose sur l’appât de la nouveauté. En promettant des fonctionnalités premium ou des bonus gratuits, les pirates éveillent la curiosité de l’utilisateur, le poussant à ouvrir le fichier corrompu.

Ensuite, le message d’erreur affiché après l’ouverture du fichier joue sur le sentiment d’urgence. L’utilisateur, confronté à une panne apparente, est encouragé à réagir rapidement en installant une mise à jour. Cette pression temporelle empêche souvent une réflexion rationnelle et pousse la victime à suivre aveuglément les instructions affichées.

Enfin, la dernière clé de cette manipulation est la confiance dans Telegram. La plateforme étant reconnue pour son haut niveau de sécurité et son système de chiffrement, les utilisateurs ont tendance à accorder leur confiance à tout ce qui semble provenir de Telegram. Les pirates jouent sur cette confiance pour contourner les défenses naturelles des utilisateurs et faciliter l’installation du virus.

Comment les utilisateurs peuvent-ils se protéger ?

Pour éviter une infection par EvilLoader, il est essentiel d’adopter une approche proactive en matière de cybersécurité. Tout d’abord, il est crucial de ne jamais télécharger d’application ou de mise à jour en dehors des sources officielles. Telegram, comme toutes les grandes plateformes, propose ses mises à jour exclusivement via le Google Play Store. Installer une application depuis un fichier APK externe représente un risque majeur.

Ensuite, il est important de se méfier des fichiers reçus de contacts inconnus. Si un fichier vidéo est accompagné d’un message insistant pour une mise à jour ou une installation, il est préférable de le supprimer immédiatement. Vérifier le type de fichier peut également permettre de détecter une tentative d’infection : un fichier portant une extension inhabituelle (.exe ou .apk) envoyé via Telegram est presque toujours suspect.

L’installation d’un logiciel antivirus est également recommandée. Une solution de sécurité efficace permet de détecter les logiciels malveillants avant qu’ils ne s’installent et de bloquer les processus suspects en arrière-plan. Une analyse régulière du téléphone peut aider à repérer les fichiers ou applications malveillantes déjà installés.

Enfin, il est essentiel d’activer l’authentification à deux facteurs (2FA) sur Telegram. Cette mesure de sécurité ajoute une couche supplémentaire de protection, rendant le vol de compte beaucoup plus difficile, même si le mot de passe a été compromis. La vérification régulière de la liste des sessions actives dans les paramètres de sécurité de Telegram permet également de détecter rapidement une connexion suspecte.

Que faire en cas de compromission ?

Si votre compte Telegram a été compromis par EvilLoader, il est important d’agir rapidement pour limiter les dégâts. La première étape consiste à changer immédiatement le mot de passe de Telegram depuis un autre appareil non infecté. Cela permet de révoquer la session active du pirate.

Ensuite, il faut vérifier la liste des sessions actives dans les paramètres de sécurité de Telegram. Si des connexions suspectes apparaissent depuis des appareils ou des localisations inhabituelles, il est essentiel de les fermer immédiatement.

Il est également recommandé de supprimer le fichier malveillant téléchargé, ainsi que toutes les applications suspectes récemment installées. Une analyse complète de l’appareil à l’aide d’un logiciel antivirus est indispensable pour s’assurer qu’aucun autre fichier corrompu ne reste actif dans le système.

QSDC : Une avancée majeure dans la communication quantique ?

La communication quantique aurait franchit un nouveau cap et s’impose comme une technologie clé pour l’avenir de la cybersécurité. Des chercheurs chinois auraient réussi à transmettre des données sur 104,8 km via une fibre optique, avec une vitesse stable de 2,38 Kbps (soit environ 2 380 bits par seconde, ce qui correspond à l’envoi d’un message texte d’environ 300 à 400 caractères, soit une cinquantaine de mots, chaque seconde). Cette prouesse technologique ouvre de nouvelles perspectives en matière de transmission sécurisée des informations.

Un bond technologique sans précédent ?

Des scientifiques de l’Université Tsinghua, en collaboration avec des experts de l’Académie des sciences de l’information quantique de Pékin et de l’Université de technologie de Chine du Nord, auraient accompli une percée significative dans le domaine de la communication quantique. Cette avancée s’inscrit dans un contexte de recherche intensive sur les technologies quantiques, où chaque progrès permet de repousser les limites de la transmission sécurisée des données.

En combinant des techniques innovantes avec des matériaux plus performants, les chercheurs ont pu surmonter certaines des principales contraintes, telles que la fragilité des états quantiques, les pertes de signal sur de longues distances et l’instabilité des qubits, qui entravaient jusqu’ici l’adoption à grande échelle de cette technologie. qui entravaient jusqu’ici l’adoption à grande échelle de cette technologie.

Grâce à leur nouveau protocole de communication directe quantique (QSDC), ils ont non seulement battu le record de distance pour la transmission sécurisée de données, mais ils ont également multiplié la vitesse de transmission par 4 760 par rapport à leurs travaux précédents.

Jusqu’à présent, les avancées en communication quantique étaient freinées par des limitations techniques, notamment en termes de vitesse et de stabilité. En 2021, la même équipe avait réussi à transmettre des données sur 100 km, mais à un débit extrêmement bas de 0,5 bits par seconde.

Une technologie sécurisée et efficace

Le protocole QSDC repose sur l’utilisation d’états quantiques uniques pour transmettre des informations, rendant ces dernières totalement immunisées contre toute tentative d’interception non autorisée. Contrairement aux méthodes de cryptographie traditionnelles qui nécessitent des clés de chiffrement, la communication quantique détecte immédiatement toute tentative d’espionnage, empêchant ainsi toute fuite de données.

L’un des progrès majeurs de cette nouvelle avancée est l’adoption d’une méthode de transmission unidirectionnelle. Ce procédé permet de réduire considérablement la perte d’états quantiques, garantissant ainsi une meilleure stabilité de la transmission. En parallèle, le système de codage des données a été optimisé pour minimiser l’impact du bruit, un facteur clé dans l’amélioration de la fiabilité de la communication.

« Cette avancée représente une révolution dans la protection des données, en garantissant une sécurité sans précédent aux transmissions numériques. »

Vers une adoption à grande échelle

La mise en application de cette technologie s’annonce prometteuse dans des secteurs nécessitant une protection renforcée des données. Les institutions financières, les agences gouvernementales ainsi que les systèmes d’infrastructures critiques sont les premiers candidats à bénéficier de cette avancée. Avec une transmission inviolable et fiable sur de longues distances, la communication quantique pourrait bien redéfinir les normes de sécurité numérique dans les prochaines décennies.

Le développement de réseaux de communication quantiques sécurisés s’inscrit dans une dynamique plus large d’avancées en informatique quantique. D’autres progrès notables incluent l’augmentation des capacités des processeurs quantiques, avec des entreprises comme IBM et Google développant des qubits plus stables et exploitables à grande échelle.

Le qubits, un terme étrange pour exprimer les bits quantiques, des unités fondamentales de l’information en informatique quantique, capables d’exister dans plusieurs états simultanément grâce au principe de superposition. Pour tenter de simplifier, DataSecurityBreach.fr y voir comme une pièce de monnaie qui tourne en l’air : tant qu’elle n’est pas retombée, on ne sait pas si c’est pile ou face. En informatique classique, un bit est soit un 0 soit un 1. Mais un qubit peut être les deux en même temps, ce qui lui permet de faire plusieurs calculs en parallèle et d’être bien plus puissant pour certaines tâches.

IBM a dévoilé son processeur quantique Condor à 1 121 qubits, actuellement le plus grand processeur quantique en termes de nombre de qubits, destiné à des applications de recherche avancées et à l’exploration de la tolérance aux erreurs quantiques, tandis que Google a démontré la suprématie quantique avec son processeur Sycamore, un dispositif à 53 qubits, qui a réalisé en 200 secondes un calcul qu’un superordinateur mettrait 10 000 ans à accomplir.

Google travaille également sur le processeur Bristlecone à 72 qubits, soit l’équivalent d’un immense orchestre où chaque musicien joue une note en même temps, mais avec la capacité unique d’être dans plusieurs tonalités simultanément. Il est conçu pour améliorer la correction d’erreurs quantiques et renforcer la stabilité des calculs, capable d’effectuer en 200 secondes un calcul qu’un superordinateur classique mettrait 10 000 ans à résoudre.

De plus, l’informatique quantique ouvre de nouvelles perspectives en intelligence artificielle, permettant de traiter des ensembles de données complexes avec une rapidité inégalée. Par exemple, les algorithmes quantiques pourraient révolutionner l’optimisation des réseaux de neurones, rendant l’entraînement des modèles IA des milliers de fois plus rapide. De plus, dans la découverte de nouveaux médicaments, la simulation quantique pourrait analyser instantanément des milliards de combinaisons moléculaires, accélérant ainsi le développement de traitements médicaux. Enfin, en finance, l’IA quantique pourrait améliorer la détection des fraudes en analysant d’énormes quantités de transactions en un temps record.

En cybersécurité, l’IA quantique pourrait améliorer la détection des cyberattaques en analysant en temps réel des anomalies dans le trafic réseau, rendant les menaces détectables bien plus tôt. De plus, les algorithmes de chiffrement post-quantique, combinant IA et informatique quantique, visent à créer des protocoles de sécurité résistants aux attaques des futurs ordinateurs quantiques capables de casser les méthodes de chiffrement classiques.

Toutefois, malgré ces avancées, des défis subsistent. Les systèmes quantiques sont sensibles aux perturbations extérieures, rendant leur mise en œuvre encore complexe. De plus, leur coût élevé constitue un frein à leur adoption massive. Néanmoins, les recherches actuelles visent à surmonter ces limitations pour rendre ces technologies plus accessibles et fiables à long terme. à grande échelle devient désormais une perspective réaliste. À mesure que la technologie évolue, son intégration dans les infrastructures existantes pourrait révolutionner le paysage numérique mondial.

« Une transmission 4 760 fois plus rapide qu’en 2022 ouvre la voie à des applications concrètes de la communication quantique. »

La course au quantique : Chine vs. États-Unis

Derrière ces avancées technologiques se cache une compétition féroce entre les grandes puissances mondiales. La Chine et les États-Unis se livrent une véritable course à la suprématie quantique, chacune investissant massivement dans la recherche et le développement de ces technologies révolutionnaires. Pékin avec des projets comme le satellite quantique Micius, premier satellite dédié à la communication quantique lancé en 2016, permettant des transmissions sécurisées entre la Chine et l’Autriche via l’intrication quantique et des infrastructures de communication ultra-sécurisées, comme le réseau quantique reliant Pékin à Shanghai, qui assure des communications protégées contre toute interception. De leur côté, les États-Unis, soutenus par des géants comme IBM et Google, travaillent sur des ordinateurs quantiques de plus en plus puissants et des réseaux sécurisés.

Cette rivalité technologique dépasse le cadre scientifique : elle revêt également des enjeux géopolitiques et économiques majeurs. La nation qui maîtrisera en premier la communication quantique à grande échelle pourrait redéfinir les normes de cybersécurité, de défense et de gestion des données sensibles dans le monde entier.

L’ère de la communication ultra-sécurisée est-elle sur le point de voir le jour ? Quels seront les prochains défis à surmonter avant une adoption généralisée de cette technologie ? Quels seront les prochains défis à surmonter avant une adoption généralisée de cette technologie ?

Le piège des fausses invitations à des réunions en ligne

Les cyberattaques ne cessent d’évoluer, exploitant des failles humaines et techniques pour infiltrer les systèmes d’information. Une nouvelle campagne de phishing, orchestrée par le groupe de hackers Storm-2372, illustre cette menace grandissante en ciblant les utilisateurs de services de messagerie comme Microsoft Teams, WhatsApp et Signal.

Depuis six mois, un stratagème sophistiqué permet à ces cybercriminels d’accéder à des ressources sensibles sans passer par l’authentification multi facteur. En envoyant de fausses invitations à des réunions en ligne, ils exploitent un mécanisme d’authentification par code d’appareil pour détourner l’accès aux fichiers, communications et mails des victimes. Cette campagne cible des gouvernements et des secteurs clés comme la défense, la santé et les télécommunications, mettant en évidence la nécessité d’un renforcement des politiques de cybersécurité.

Une méthode redoutable basée sur l’authentification par code d’appareil

Contrairement aux attaques classiques de phishing qui redirigent les utilisateurs vers des pages web frauduleuses, cette nouvelle méthode repose sur l’exploitation des processus d’authentification de plateformes légitimes. Lorsqu’un utilisateur clique sur une invitation piégée, il est dirigé vers l’interface d’authentification de son application de messagerie habituelle. On lui demande alors de renseigner un code d’appareil, une procédure qui semble anodine. Cependant, ce code active une application malveillante qui accorde un accès total aux hackers.

Ce stratagème est particulièrement pernicieux car il contourne la vigilance habituelle des utilisateurs. Il ne nécessite même pas la saisie d’un mot de passe, ce qui réduit la suspicion et accélère la compromission des comptes. Une fois l’accès obtenu, les bad hackers peuvent exploiter les ressources du compte cible de manière prolongée, même si l’utilisateur modifie son mot de passe par la suite.

Une menace mondiale pour les secteurs stratégiques

Les gouvernements et les entreprises des secteurs critiques sont en première ligne de cette vague de cyberattaques. La défense, la santé et les télécommunications constituent des cibles stratégiques en raison des données hautement sensibles qu’elles gèrent.

Les conséquences d’une intrusion peuvent être dévastatrices : espionnage industriel, perturbation des infrastructures critiques ou encore vol massif d’informations confidentielles. Cette campagne rappelle l’importance d’une politique de cybersécurité robuste et adaptée aux nouvelles techniques d’attaque.

Selon Fabien Lavabre, Directeur de la sécurité chez Tixeo, la prévention et la réaction rapide sont essentielles pour limiter l’impact de ces attaques. Il recommande plusieurs mesures clés pour renforcer la sécurité des organisations face à ces stratagèmes de phishing sophistiqués :

  • Former les utilisateurs aux nouvelles formes de phishing afin d’augmenter leur vigilance.
  • Restreindre les autorisations d’accès aux applications tierces pour limiter les risques de compromission.
  • Renforcer les contrôles d’accès et la détection des connexions suspectes afin d’intervenir rapidement en cas d’intrusion.
  • Mettre en place un processus clair pour réagir efficacement en cas de compromission d’un compte.
  • Auditer régulièrement les applications autorisées et supprimer celles qui ne sont plus utiles.

Ces recommandations visent à minimiser les risques et à garantir une meilleure résilience face aux cybermenaces qui évoluent constamment.

Storm-2372, kesako

Storm-2372 est un groupe de hackers malveillant que Microsoft pense être aligné sur les intérêts et les méthodes de la Russie. Depuis août 2024, ce groupe mène des campagnes de phishing sophistiquées ciblant divers secteurs, notamment les gouvernements, les ONG, les services informatiques, la défense, les télécommunications, la santé, l’enseignement supérieur et l’énergie, à travers l’Europe, l’Amérique du Nord, l’Afrique et le Moyen-Orient.

La technique principale utilisée par Storm-2372 est le « phishing par code d’appareil« . Cette méthode exploite le flux d’authentification par code d’appareil pour capturer les jetons d’authentification des utilisateurs, leur permettant ainsi d’accéder aux comptes ciblés et aux données associées sans nécessiter de mot de passe.

Les attaquants peuvent maintenir un accès persistant tant que ces jetons restent valides.

Les campagnes de Storm-2372 impliquent souvent l’envoi d’invitations à des réunions en ligne via des services de messagerie tels que WhatsApp, Signal et Microsoft Teams. Les victimes sont incitées à entrer un code d’appareil sur une page de connexion légitime, ce qui permet aux attaquants de capturer les jetons d’accès et de compromettre les comptes.

Pour se protéger contre de telles attaques, il est recommandé de bloquer l’utilisation du flux de code d’appareil lorsque cela est possible, de restreindre son utilisation aux appareils et réseaux de confiance via des politiques d’accès conditionnel, d’éduquer les utilisateurs sur les techniques de phishing, de mettre en œuvre une authentification multifactorielle (MFA) et d’utiliser des méthodes d’authentification résistantes au phishing.

Un avenir toujours plus complexe pour la cybersécurité ?

Alors que les cyberattaques deviennent de plus en plus sophistiquées, les organisations doivent sans cesse adapter leurs stratégies de protection. Cette campagne de phishing souligne à quel point les hackers sont capables d’exploiter les mécanismes légitimes d’authentification pour contourner les dispositifs de sécurité traditionnels. Comment les entreprises et les gouvernements pourront-ils anticiper ces menaces et s’adapter à un paysage numérique toujours plus hostile ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Le cyber espionnage chinois bondit de 150 %

Un rapport met en évidence une augmentation spectaculaire des cyberattaques, notamment une hausse de 150 % des activités cyber chinoises et une explosion des manipulations assistées par l’intelligence artificielle. Le paysage de la cybersécurité se complexifie dangereusement.

La menace cybernétique mondiale ne cesse de croître, portée par des acteurs étatiques et cybercriminels de plus en plus sophistiqués. Le Global Threat Report 2025 de CrowdStrike dévoile des chiffres inquiétants : une augmentation de 442 % des attaques de vishing, une montée en flèche des cyberattaques chinoises et des intrusions sans malware qui défient les solutions de sécurité traditionnelles. Face à ces nouvelles menaces, les entreprises et les gouvernements doivent revoir leurs stratégies et adopter une approche plus proactive pour anticiper les cyberattaques de demain.

L’espionnage cyber chinois atteint des sommets

Les attaques cyber chinoises ont connu une augmentation de 150 %, avec une explosion de 300 % pour les secteurs critiques comme la finance, l’industrie et les médias. En 2024, sept nouveaux groupes de pirates chinois ont été identifiés, illustrant une montée en puissance agressive des opérations d’espionnage commanditées par Pékin. Ces attaques visent avant tout l’acquisition de données sensibles et l’infiltration de réseaux stratégiques.

Cette recrudescence s’inscrit dans une tendance globale où les États-nations exploitent des cyber opérations pour asseoir leur influence géopolitique. Ces actions sont souvent menées sous le couvert de sociétés écran ou via des groupes affiliés, compliquant leur détection et leur attribution. L’espionnage économique et industriel reste une priorité pour ces cyber opérateurs qui ciblent en priorité les innovations technologiques et les secrets commerciaux.

En 2024, sept nouveaux groupes d’attaquants liés à la Chine, contribuant à une hausse de 150 % des cyberattaques d’espionnage.

L’intelligence artificielle au service des cybercriminels

L’ingénierie sociale assistée par l’IA est désormais une arme incontournable pour les cybercriminels. Le rapport met en lumière une augmentation de 442 % des attaques de vishing, où des voix synthétiques convaincantes sont utilisées pour tromper les victimes et dérober des informations sensibles. Des groupes tels que CURLY SPIDER, CHATTY SPIDER et PLUMP SPIDER ont perfectionné ces techniques pour contourner les systèmes de détection et infiltrer des réseaux sécurisés.

L’Iran, de son côté, a exploité l’IA pour identifier des vulnérabilités et développer des exploits ciblant les infrastructures critiques. Cette utilisation offensive de l’intelligence artificielle permet aux attaquants de déployer des campagnes de piratage plus efficaces et difficiles à repérer. Par ailleurs, l’essor des intrusions sans malware complique la tâche des équipes de cybersécurité : désormais, 79 % des attaques initiales ne reposent plus sur des logiciels malveillants mais sur l’exploitation d’identifiants volés.

Exergue : Le vishing a explosé de 442 % en 2024, porté par l’ingénierie sociale assistée par l’intelligence artificielle.

Une cybersécurité sous pression

Les entreprises et institutions doivent faire face à une réduction drastique des délais d’intrusion. En 2024, le temps moyen pour compromettre un système est passé à 48 minutes, avec un record de 51 secondes. Cette rapidité rend la détection et la réponse d’autant plus complexes, nécessitant une approche unifiée et en temps réel.

Les attaques internes sont également en hausse, notamment sous l’impulsion du groupe FAMOUS CHOLLIMA, lié à la Corée du Nord. En 2024, ce groupe a été impliqué dans 304 incidents de cybersécurité, dont 40 % provenaient de cybercriminels infiltrés sous de fausses identités pour accéder aux systèmes. Par ailleurs, les intrusions dans le cloud ont augmenté de 26 % en un an, les cybercriminels exploitant des comptes légitimes pour masquer leur présence et éviter la détection.

Les tentatives de fraude par « deepfakes » : +2137% en 3 ans

Les tentatives de fraude utilisant des deepfakes ont explosé de 2137 % en trois ans, selon une étude. Cette évolution inquiète le secteur financier, contraint de renforcer ses mesures de cybersécurité pour contrer ces usurpations d’identité sophistiquées.

Les deepfakes, ces faux contenus générés par intelligence artificielle, ne sont plus seulement une curiosité technologique. Leur utilisation à des fins frauduleuses explose, particulièrement dans le secteur financier, où les tentatives de fraude par usurpation d’identité ont bondi de 2137 % depuis trois ans. L’étude de Signicat révèle une augmentation alarmante des attaques visant à prendre le contrôle des comptes bancaires ou à manipuler les procédures d’authentification. Pourtant, seulement 22 % des institutions financières se sont équipées d’outils de détection basés sur l’IA. Face à cette menace grandissante, les entreprises doivent repenser leurs stratégies et adopter des solutions multicouches alliant biométrie, intelligence artificielle et surveillance continue pour sécuriser leurs clients et leurs opérations.

La montée en puissance des deepfakes dans la fraude financière

Les deepfakes, ces falsifications numériques ultraréalistes générées par intelligence artificielle, ont bouleversé le paysage de la fraude financière. Autrefois peu répandus, ils sont aujourd’hui l’un des types d’usurpation d’identité les plus courants. Selon l’étude, 42,5 % des tentatives de fraude détectées dans le secteur financier reposent sur l’IA. En trois ans, les deepfakes sont passés de l’ombre à la lumière, devenant une arme redoutable pour les cybercriminels. L’un des cas les plus retentissants (et publics) : cette visioconférence où seule la comptable était humaine.

Cette technologie est exploitée principalement à travers deux types d’attaques. Les attaques par présentation consistent à manipuler les systèmes de reconnaissance en utilisant des vidéos en temps réel ou des images truquées. Elles sont souvent utilisées pour tromper les processus d’authentification faciale. L’un des cas les plus connu, avec masque en silicone et visioconférence trouble, l’affaire de l’ex Ministre de la Défense Le Drian.

Les attaques par injection, plus sophistiquées, visent à insérer directement des deepfakes dans des systèmes bancaires via des logiciels malveillants, contournant ainsi les vérifications biométriques et les processus KYC (Know Your Customer).

L’évolution rapide de ces techniques met en difficulté les systèmes traditionnels de détection des fraudes, qui peinent à différencier un deepfake d’une véritable interaction humaine.

Des institutions financières en retard face à la menace

Malgré la montée en flèche des fraudes basées sur l’IA, une grande majorité des institutions financières ne disposent toujours pas d’outils de prévention adaptés. L’étude de Signicat révèle qu’à peine 22 % des entreprises du secteur financier ont intégré des solutions de détection basées sur l’intelligence artificielle. Ce retard expose les banques, fintechs et entreprises de paiement à des risques accrus, alors même que les cybercriminels perfectionnent leurs méthodes.

Le Chief Product & Marketing Officer de Signicat, Pinar Alpay, met en garde : « Il y a trois ans, les attaques par deepfake ne représentaient que 0,1 % des tentatives de fraude détectées. Aujourd’hui, elles représentent 6,5 %, soit 1 cas sur 15. Les fraudeurs exploitent des techniques que les systèmes classiques ne peuvent plus identifier. […] En combinant intelligence artificielle, biométrie et authentification renforcée, les entreprises peuvent mieux protéger leurs clients et leurs opérations« , souligne-t-elle.

L’enjeu dépasse la simple mise à jour des technologies. Il s’agit également d’éduquer les employés et les clients pour qu’ils puissent identifier les signaux d’alerte d’une fraude par deepfake et éviter d’être piégés par ces usurpations d’identité avancées.

Vers une protection multicouche face aux deepfakes

Face à cette explosion des fraudes par deepfake, une seule solution s’impose : adopter une protection multicouche. L’étude insiste sur la nécessité d’une approche combinée, intégrant plusieurs niveaux de défense pour anticiper et bloquer ces attaques sophistiquées.

DataSecuritybreach.fr recommande une approche en quatre étapes :

  1. Une évaluation précoce des risques : identifier rapidement les comportements suspects grâce à l’intelligence artificielle.
  2. Une authentification renforcée : utiliser la biométrie faciale et des méthodes de vérification d’identité avancées.
  3. Une surveillance continue : mettre en place un contrôle en temps réel pour détecter toute tentative de fraude en cours.
  4. La formation et la veille : former ses équipes et mettre en place une veille des fuites de données impactant l’entreprise, les salariés, Etc. peuvent permettre la prise de conscience active face à du Social Engineering via deepfake.

L’adoption de ces nouvelles pratiques devient urgente. Sans une réaction rapide, les entreprises risquent de devenir les victimes privilégiées d’une cybercriminalité dopée à l’IA.

L’essor des deepfakes dans la fraude financière démontre une chose : les cybercriminels ont toujours un temps d’avance sur les systèmes de protection traditionnels. Face à une augmentation vertigineuse des tentatives d’usurpation d’identité, les entreprises doivent accélérer l’intégration de solutions de cybersécurité avancées. Mais seront-elles capables d’adapter leurs systèmes assez vite pour contenir cette menace ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Cybermenaces 2025 : l’évolution inquiétante des attaques

L’année 2025 s’annoncerait comme un tournant décisif dans le monde de la cybersécurité. Un rapport met en évidence une escalade alarmante des cyberattaques. Cinq tendances majeures se dégagent : des extorsions plus agressives, une vulnérabilité accrue des chaînes d’approvisionnement et du cloud, une accélération des attaques, l’essor des menaces internes, et l’utilisation croissante de l’IA par les cybercriminels.

Derrière ces évolutions se cachent des groupes de cybercriminels toujours plus sophistiqués et des États-nations exploitant la technologie à des fins stratégiques. Le rapport, basé sur l’analyse de plus de 500 cyberattaques majeures en 2024, révèle une dynamique où la rapidité et la sophistication des attaques dépassent souvent la capacité de réponse des entreprises.

L’extorsion prend une nouvelle dimension : du rançongiciel à la destruction opérationnelle

Les cyberattaques par ransomware continuent d’évoluer. Les groupes criminels ne se contentent plus de chiffrer les fichiers et d’exiger une rançon. Aujourd’hui, la destruction intentionnelle des systèmes devient un levier de pression supplémentaire pour forcer les entreprises à payer. Le rapport décrit trois phases d’évolution des attaques par extorsion :

Phase 1 : le chiffrement des fichiers – Une méthode classique où les pirates bloquent l’accès aux données et réclament une rançon.
Phase 2 : l’exfiltration des données – Les hackers menacent de publier des informations sensibles en plus de bloquer l’accès.
Phase 3 : la perturbation massive des opérations – Au-delà de l’attaque numérique, les pirates suppriment des données, sabotent des infrastructures et harcèlent employés et clients.

86 % des attaques recensées en 2024 ont entraîné des interruptions opérationnelles majeures. Les rançons demandées ont augmenté de 80 %, atteignant une médiane de 1,25 million de dollars.

Chaînes d’approvisionnement et cloud : des failles de plus en plus exploitées

Le rapport de Palo Alto et de son équipe Unit42 révèle une explosion des attaques ciblant les chaînes d’approvisionnement logicielles et les environnements cloud. En 2024, 29 % des incidents concernaient des ressources cloud, et 21 % des cas ont vu des pirates perturber directement ces infrastructures.

Les cybercriminels exploitent des vulnérabilités dans les identités et accès (IAM), profitant d’erreurs de configuration et d’identifiants exposés. Dans un cas étudié par Unit 42, des attaquants ont scanné 230 millions de cibles uniques pour trouver des données sensibles mal protégées.

L’exploitation de failles dans les VPN et les applications SaaS est aussi en hausse. Des groupes comme Bling Libra et Muddled Libra s’infiltrent dans des systèmes cloud en abusant de politiques d’accès trop permissives et d’erreurs humaines, ce qui leur permet d’exfiltrer et de détruire des volumes massifs de données.

Les cyberattaques accélèrent : des heures, voire des minutes, pour réagir

L’un des constats les plus alarmants du rapport est l’accélération sans précédent des cyberattaques. Grâce à l’automatisation, aux kits de hacking prêts à l’emploi et à l’IA, les pirates peuvent compromettre un système et exfiltrer des données en moins d’une heure.

Les chiffres clés

25 % des attaques exfiltrent des données en moins de 5 heures (contre 15 heures en 2021).
19 % des attaques exfiltrent des données en moins d’une heure.
Temps médian pour l’exfiltration : 2 jours – une course contre la montre pour les défenseurs.
Un cas marquant du rapport concerne le groupe RansomHub, qui a infiltré un réseau municipal et exfiltré 500 Go de données en seulement sept heures, après avoir contourné une connexion VPN sans authentification multi-facteurs.

La montée en puissance des menaces internes : le rôle croissant des États-nations

L’année 2024 a vu une explosion des menaces internes orchestrées par des États-nations, notamment la Corée du Nord. Le nombre d’attaques de ce type a triplé, ciblant des secteurs variés comme la finance, les médias, la logistique et même des entreprises technologiques.

Le rapport détaille la tactique du groupe Wagemole, qui infiltre des entreprises via de faux employés en postes techniques sensibles. Ces agents : Exfiltrent des données sensibles. Introduisent des outils de surveillance clandestins. Altèrent du code source pour insérer des portes dérobées dans des logiciels critiques. L’utilisation de dispositifs KVM-over-IP permet également aux attaquants de prendre le contrôle de machines distantes sans être détectés par les outils de cybersécurité traditionnels.

L’IA : nouvelle arme des cybercriminels

Si l’intelligence artificielle est un atout pour les défenseurs, elle devient aussi une arme redoutable pour les attaquants. L’IA générative permet de créer des campagnes de phishing hyper réalistes ; De générer des malwares polymorphes, difficiles à détecter ; De simuler des voix et des visages pour tromper les entreprises et exécuter des attaques d’ingénierie sociale. Un test mené par Unit 42 a montré qu’un cybercriminel utilisant l’IA pouvait accélérer une attaque de 100 fois, réduisant le temps d’exfiltration de 2 jours à seulement 25 minutes.

La menace quantique sur la cryptographie et la réponse de Google Cloud

L’avancée continue de l’informatique quantique expérimentale soulève des inquiétudes quant à la sécurité des systèmes de cryptographie à clé publique les plus utilisés dans le monde. Une fois suffisamment développés, ces ordinateurs quantiques pourraient briser ces algorithmes, menaçant la confidentialité des données et l’intégrité des transactions numériques.

Depuis août 2024, les nouvelles normes de cryptographie post-quantique (PQC) du National Institute of Standards and Technology (NIST) permettent aux entreprises technologiques d’amorcer leur transition vers des solutions plus sûres. Google Cloud vient d’annoncer la prévisualisation de signatures numériques quantiquement sûres (FIPS 204/FIPS 205) dans son service Google Cloud Key Management Service (Cloud KMS) pour les clés logicielles. Cette annonce marque une étape importante dans la stratégie post-quantique de Google, qui inclut également ses modules de sécurité matérielle (Cloud HSM) et l’ensemble de son infrastructure de chiffrement.

Une stratégie post-quantique déployée sur plusieurs fronts

Dès 2016, l’entreprise a commencé à tester la PQC dans Chrome, puis en 2022, elle a commencé à l’utiliser pour protéger ses communications internes. Depuis, elle a mis en place plusieurs mesures pour renforcer ses protections, notamment dans ses serveurs de centres de données et dans les connexions entre Chrome Desktop et ses services comme Gmail et Cloud Console.

Désormais, Google Cloud KMS s’oriente vers une sécurisation totale contre les menaces quantiques. Cela inclut le support des algorithmes PQC standardisés par le NIST (FIPS 203, FIPS 204, FIPS 205 et futurs standards) en logiciel et en matériel. Cette approche vise à permettre aux clients de Google Cloud d’importer et d’échanger des clés de manière sécurisée, d’exécuter des opérations de chiffrement et de déchiffrement et de générer des signatures numériques résistantes aux futures attaques quantiques.

Une transition vers une infrastructure cryptographique transparente

Dans le but de garantir une transparence totale et une auditabilité de son code, Google mettra à disposition les implémentations logicielles de ces standards pour Cloud KMS en open source. Elles seront intégrées aux bibliothèques cryptographiques ouvertes BoringCrypto et Tink, développées par Google. Cette initiative vise à permettre aux entreprises et aux experts en sécurité d’analyser ces algorithmes et de les intégrer à leurs propres solutions de sécurité.

De plus, Google collabore activement avec les fournisseurs de modules de sécurité matérielle (HSM) et les partenaires de Google Cloud External Key Manager (EKM) afin d’assurer une migration réussie vers une cryptographie post-quantique pour tous les clients de Google Cloud.

Lancement des signatures numériques quantiquement sûres dans Cloud KMS

Une avancée majeure de cette stratégie est l’introduction des signatures numériques quantiquement sûres dans Cloud KMS. Cette nouvelle fonctionnalité permet aux clients d’utiliser l’API Cloud KMS pour signer numériquement des données et vérifier les signatures à l’aide d’algorithmes PQC standardisés par le NIST. Cette évolution est essentielle pour aider les entreprises à tester et intégrer ces nouvelles méthodes dans leurs flux de travail avant leur adoption élargie.

Les nouvelles signatures numériques de Cloud KMS offrent deux algorithmes PQC récents : ML-DSA-65 (basé sur les réseaux euclidiens, spécifié dans FIPS 204) et SLH-DSA-SHA2-128S (une signature basée sur le hachage sans état, définie dans FIPS 205). Ces signatures sont conçues pour résister aux attaques des futurs adversaires disposant d’ordinateurs quantiques capables de casser les systèmes cryptographiques classiques.

Google remplace l’authentification par SMS par un code QR plus sécurisé

Aprés le quantique, les mots de passe et la double authentification. Google prévoit de modifier son système d’authentification en deux étapes (2FA) en abandonnant l’envoi de codes par SMS au profit d’un code QR. Cette nouvelle mesure vise à renforcer la sécurité des comptes et à limiter les risques liés à l’interception des SMS.

Le système actuel repose sur l’envoi d’un code à six chiffres par SMS pour vérifier l’identité de l’utilisateur. Cependant, Google estime que ce procédé présente des failles, notamment la possibilité d’interception des SMS par des cybercriminels. Ces derniers peuvent utiliser diverses techniques comme l’attaque par SIM swapping ou le phishing pour obtenir ces codes et compromettre les comptes des utilisateurs.

Bien que la vérification en deux étapes par SMS reste préférable à une absence totale de protection, elle demeure vulnérable à des attaques sophistiquées. Google cherche donc à améliorer la protection des comptes en adoptant une méthode plus robuste.

Le code QR, une alternative plus fiable ?

L’alternative envisagée par Google repose sur l’utilisation d’un code QR. Concrètement, lorsqu’un utilisateur tente de se connecter à son compte Google sur un nouvel appareil, il devra scanner un code QR avec son smartphone. Cette approche, similaire à celle utilisée par l’application Itsme, offre plusieurs avantages : Contrairement aux SMS, les codes QR ne transitent pas par un réseau mobile potentiellement vulnérable.  Un simple scan permet une authentification rapide sans nécessité de mémoriser ou de saisir un code. L’authentification par QR nécessite un accès physique à l’appareil de l’utilisateur, ce qui complique grandement les tentatives d’usurpation.

Google et la lutte contre les faux comptes

Outre l’amélioration de la sécurité individuelle, Google espère aussi limiter la création massive de faux comptes Gmail utilisés pour envoyer du spam ou mener des campagnes de phishing. Actuellement, les criminels peuvent générer des milliers de comptes en automatisant la réception et l’insertion de codes SMS. L’utilisation d’un code QR pour valider un compte complique ces pratiques et renforce la fiabilité des comptes créés.

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Trump dynamite la protection des données : vers un open bar numérique ?

La récente décision de l’administration Trump de démanteler le Privacy and Civil Liberties Oversight Board (PCLOB) marque un tournant critique dans les relations transatlantiques en matière de protection des données.

Depuis des années, l’Europe tente de résister aux assauts américains sur la protection des données. Mais si vous pensiez que la bataille était déjà un champ de ruines, Trump vient d’arriver avec un bulldozer. Le président républicain supprime les dernières barrières juridiques qui protégeaient les citoyens étrangers contre la collecte et l’exploitation massive de leurs informations personnelles par les entreprises américaines.

Une privacité numérique déjà en miettes

Le Cloud Act et le Patriot Act avaient déjà sérieusement entaillé la vie privée numérique. Le Privacy Shield, censé encadrer le transfert des données entre l’Europe et les États-Unis, a été invalidé deux fois (2015 et 2020) par la Cour de justice de l’UE pour non-respect du RGPD et des droits fondamentaux. Aujourd’hui, les entreprises européennes qui utilisent AWS, Microsoft ou Google verront leurs données encore plus exposées.

L’IA américaine et la surveillance globale

Les données collectées alimenteront directement les modèles d’intelligence artificielle made in U.S.A. Grok 3, le dernier-né d’Elon Musk, s’entraîne déjà sur tous les échanges de X (ex-Twitter) et sur les informations exfiltrées par ses DOGE kids. Si demain, plus aucune restriction ne protège les données étrangères, ce sont des milliards d’informations personnelles qui nourriront ces modèles et renforceront les capacités de surveillance de l’État américain.

Les implications sont immenses. Non seulement les entreprises privées américaines, mais également le gouvernement des États-Unis, auront accès à une quantité illimitée de données européennes. Une surveillance renforcée s’installe, avec un contrôle accru sur les flux d’informations, les transactions commerciales et même les interactions sociales.

Le Royaume-Uni : un précédent inquiétant

Apple a annoncé ne plus pouvoir proposer de chiffrage avancé sur son cloud au Royaume-Uni, une décision qui, selon la presse américaine, ferait suite à une demande des autorités britanniques d’accéder aux données de ses utilisateurs. L’entreprise californienne affirme qu’elle n’a jamais mis en place de « porte dérobée » ou de « clé principale », mais le gouvernement britannique aurait demandé un accès aux données stockées sur le cloud, au nom de la sécurité nationale.

Cette affaire illustre comment les gouvernements exercent une pression croissante sur les entreprises technologiques pour accéder aux informations privées des citoyens. Les utilisateurs britanniques d’Apple qui n’avaient pas activé la fonction « protection avancée des données » (ADP) ne pourront plus le faire. Ceux qui l’ont déjà activée devront la désactiver sous peine de voir leurs services réduits.

Conséquences directes : Une réduction drastique des protections pour les données personnelles. Une augmentation du risque de surveillance gouvernementale. Une remise en cause du chiffrement des sauvegardes iCloud, des photos, notes et mémos vocaux.

L’Europe doit-elle enfin se défendre ?

L’UE et la Suisse sont-elles prêtes à faire face ? Voient-elles seulement le vent tourner ? Quand nos échanges, nos décisions, nos savoirs deviennent une matière première pour d’autres, ce n’est plus seulement une fuite, c’est une perte de souveraineté.

L’Union européenne, face à l’invalidation du Privacy Shield, peine à trouver une solution. Le RGPD, bien que strict, se heurte aux réalités technologiques et à la puissance des géants américains du numérique. Le risque est immense : une dépendance totale au cloud américain, et donc une vulnérabilité accrue face à la collecte massive des données européennes.

Faut-il enterrer définitivement l’idée d’un Privacy Shield 3 ou est-ce le moment de sortir du piège d’un cloud américain en mode open bar ?

Ce qui se joue ici n’est pas qu’une question de vie privée, mais bien de survie numérique. L’Europe doit-elle se résoudre à devenir une colonie digitale des États-Unis, ou peut-elle encore défendre sa souveraineté ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Cyberattaques en 2025 : une menace grandissante et des attaques toujours plus rapides

La cybersécurité fait face à une évolution sans précédent des menaces. Selon le rapport 2025 de l’Unit 42 de Palo Alto Networks, les cyberattaques sont plus rapides, sophistiquées et impactantes que jamais.

En 2025, les entreprises du monde entier doivent redoubler de vigilance face à des cybermenaces en constante mutation. Le rapport annuel sur la réponse aux incidents de l’Unit 42 révèle une évolution marquante des tactiques employées par les cybercriminels. Avec plus de 500 cyberattaques majeures analysées dans 38 pays, ce document met en lumière une tendance croissante aux perturbations intentionnelles des opérations plutôt qu’au simple vol de données. Plus alarmant encore, les attaquants se montrent toujours plus rapides, réussissant à exfiltrer des données en quelques minutes seulement. Alors que les entreprises renforcent leurs dispositifs de sécurité, les cybercriminels perfectionnent leurs stratégies. Comment répondre à ces nouvelles menaces et quelles mesures adopter pour limiter les risques ?

Une évolution vers la perturbation intentionnelle

L’Unit 42 met en évidence une transformation majeure des objectifs des cyberattaques. Alors que le vol de données était historiquement l’une des principales motivations des attaquants, 86 % des incidents en 2024 ont engendré des interruptions d’activité ou des atteintes à la réputation des entreprises concernées. Cette tendance traduit un changement de paradigme : désormais, la perturbation est une arme d’extorsion à part entière.

Les cybercriminels déploient des attaques sophistiquées visant à paralyser les activités d’une organisation en provoquant des pannes systémiques. Ces interruptions coûtent cher, tant sur le plan financier que sur celui de la confiance des clients et partenaires. Une attaque bien orchestrée peut engendrer des pertes de plusieurs millions d’euros et nuire durablement à l’image d’une entreprise. Cette stratégie de sabotage illustre une mutation profonde des motivations des cyberattaquants, qui exploitent les faiblesses des infrastructures informatiques modernes pour maximiser leur impact.

La vitesse d’exfiltration des données s’accélère

Le rapport 2025 de l’Unit 42 souligne une accélération frappante des cyberattaques. Dans 25 % des incidents analysés, les attaquants ont exfiltré des données en moins de cinq heures, une vitesse trois fois plus rapide qu’en 2021. Plus alarmant encore, dans 20 % des cas, l’exfiltration a eu lieu en moins d’une heure.

Cette rapidité est favorisée par plusieurs facteurs. Tout d’abord, l’automatisation des attaques permet aux cybercriminels d’utiliser des outils d’intelligence artificielle et des algorithmes avancés pour voler des données à une vitesse inégalée. Ensuite, l’exploitation des failles systémiques est devenue une stratégie récurrente, les vulnérabilités des systèmes cloud et des chaînes d’approvisionnement offrant des points d’entrée privilégiés pour une infiltration rapide. De plus, les attaquants ont affiné leur connaissance des systèmes informatiques ciblés, leur permettant de cartographier précisément les infrastructures avant de lancer leurs offensives, optimisant ainsi l’efficacité de leurs actions malveillantes. Le Social Engineering a gagné du terrain comme le stipule le rapport.

Des techniques d’attaque toujours plus sophistiquées

L’Unit 42 observe une diversification et une sophistication croissante des cyberattaques. Parmi les principales évolutions relevées :

Les cybercriminels déplacent désormais leurs exfiltrations de données vers le cloud. Dans 45 % des cas analysés, les informations volées sont stockées dans des infrastructures cloud, compliquant leur détection et leur récupération par les entreprises victimes. Par ailleurs, les navigateurs web représentent une surface d’attaque de plus en plus exploitée. En effet, 44 % des incidents impliquent des activités malveillantes utilisant les navigateurs des employés, souvent via des campagnes de phishing réalisées avec des techniques avancées. De plus, les attaques multi-vectorielles deviennent la norme, 70 % des cyberattaques exploitant simultanément plusieurs failles dans le but de contourner les défenses des entreprises.

Comment répondre à ces menaces croissantes ?

Face à cette escalade des menaces, l’Unit 42 préconise plusieurs mesures pour renforcer la cybersécurité des organisations :

Les entreprises doivent adopter le modèle Zero Trust, qui consiste à limiter la confiance implicite et à vérifier systématiquement les accès et identités des utilisateurs. Il est aussi essentiel de renforcer la sécurité des environnements cloud en surveillant et corrigeant rapidement les mauvaises configurations ainsi que les vulnérabilités identifiées. En parallèle, l’amélioration de la visibilité et de la réponse aux incidents passe par une centralisation et une analyse en temps réel des journaux d’activités afin d’identifier et de neutraliser les menaces plus rapidement. Enfin, l’automatisation de la détection et de la réponse aux incidents grâce à l’intelligence artificielle s’avère indispensable pour lutter efficacement contre ces nouvelles formes de cyberattaques.

Vers un futur où la cyberrésilience est essentielle

L’année 2025 marque une nouvelle ère pour la cybersécurité, où la rapidité et la complexité des cyberattaques obligent les organisations à repenser leurs stratégies de défense. Si les entreprises s’adaptent en améliorant leur capacité de détection et de réponse, les attaquants trouvent toujours de nouvelles failles à exploiter.

La question reste ouverte : les entreprises seront-elles capables de maintenir une longueur d’avance sur des cybercriminels de plus en plus sophistiqués ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Un Centre de Cybersécurité de Pointe Inauguré à Redu/Transinne

Le pôle spatial et cyber Galaxia de Redu/Transinne en province de Luxembourg accueille désormais un centre de cybersécurité de pointe, intégrant un laboratoire de cryptographie quantique et un cyber range avec simulateur de crise.

Mis en place en collaboration avec la firme belge Nexova, spécialisée en solutions d’ingénierie et de cybersécurité, le cyber range est une plateforme offrant aux organisations des scénarios d’attaque et de défense réalistes. Cet outil permet au personnel de vivre des expériences pratiques en cas d’attaque simulée, notamment dans le cadre de la directive NIS2. De plus, il offre la possibilité de tester et de déployer de nouvelles défenses sans impacter l’architecture réelle des systèmes.

Le cyber range est une plateforme d’émulation qui aide à comprendre le comportement des systèmes de défense internes, à anticiper les problèmes, à tester les correctifs et mises à jour, ainsi qu’à proposer des exercices et formations pratiques. Selon Axel Legay, expert en IA et cybersécurité chez Nexova, « 80% à 90% des cyberattaques sont d’origine humaine ou liées à des perturbations dans l’environnement humain ».

Pour répondre à ces défis, Nexova a développé l’outil CITEF, capable de créer une émulation réaliste des environnements IT et OT d’une organisation. Cet outil intègre des environnements de formation et de test, et génère des scénarios d’entraînement personnalisés basés sur l’intelligence artificielle.

Un Laboratoire de cryptographie quantique innovant

En partenariat avec Thales, le site de Redu/Transinne a également inauguré un laboratoire dédié à la cryptographie quantique. Gilles Brassard, cryptographe canadien et co-inventeur du premier protocole de cryptographie quantique BB84 en 1984, souligne que « l’arrivée de l’ordinateur quantique permettra de déjouer n’importe quelle sécurité puisque toutes les communications transmises et cryptées pourront être décryptées ».

Ce laboratoire offre un espace aux chercheurs, ingénieurs et experts pour développer des solutions innovantes visant à sécuriser les communications numériques en exploitant les principes de la physique quantique. L’objectif est de construire le réseau d’information du futur et de garantir une sécurisation complète des communications. Starion Group, spécialisée en ingénierie spatiale, a déjà manifesté son intérêt pour participer à ce projet, notamment pour étudier la sécurisation des données satellitaires et développer un bouclier quantique protégeant les systèmes d’échange de données.

Un Écosystème propice au développement

Ce projet, fruit d’un investissement de 10 millions d’euros dans le cadre du Plan de Relance de la Wallonie, bénéficie de la proximité du Centre européen de sécurité et d’éducation spatiale (ESEC). Ce centre se positionne comme une référence en matière de cybersécurité. L’Agence spatiale européenne (ESA) joue un rôle de catalyseur, avec pour objectif que ce centre de référence soit piloté par l’industrie.

La mise en place de ce centre de cybersécurité à Redu/Transinne représente une avancée majeure pour la région wallonne. Il offre aux entreprises et organismes publics les outils nécessaires pour renforcer leur résilience face aux cybermenaces croissantes. En combinant expertise locale et partenariats stratégiques, ce centre aspire à devenir un pilier essentiel de la cybersécurité en Europe.

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Le Forum économique mondial de Davos marqué par une hausse des attaques DDoS

Le Forum économique mondial de Davos 2024 a été marqué par une hausse significative des attaques DDoS. Il a été observé plus de 1 400 attaques ciblant les infrastructures suisses, doublant ainsi le volume enregistré en décembre.

Chaque année, le Forum économique mondial (WEF) de Davos attire des chefs d’État, des dirigeants d’entreprise et des figures influentes du monde entier. Cet événement, où se discutent les grandes orientations économiques et géopolitiques, est aussi une cible privilégiée des cyberattaques. Entre le 20 et le 24 janvier 2024, une activité DDoS inhabituelle a été détectée par l’équipe ASERT de NETSCOUT. Plus de 1 400 attaques ont été recensées, visant principalement les infrastructures télécoms et cloud suisses. Ces attaques ont culminé à 426 Gbps, mettant en évidence l’implication possible de groupes hacktivistes comme NoName057(16), connu pour ses campagnes de cyber-perturbation. Cet article décrypte cette vague d’attaques, ses méthodes et ses cibles, tout en soulignant les enjeux de cybersécurité lors d’événements d’envergure mondiale.

Le 21 janvier, NoName s’attaque à l’Italie, l’Ukraine, la Suisse ! – Capture Datasecuritybreach.fr

L’augmentation des attaques DDoS : Une menace persistante

Durant les cinq jours du Forum, ASERT a observé une activité DDoS environ deux fois plus importante qu’en décembre. Cette augmentation a été particulièrement marquée aux moments clés de l’événement, notamment lors des interventions de figures politiques de premier plan.

« Les attaques DDoS lors d’événements internationaux ne sont pas un hasard. Elles cherchent à perturber les communications et à envoyer un message politique ou idéologique. »

Le 19 janvier, la veille de l’ouverture du Forum, une attaque de 426 Gbps a ciblé un grand fournisseur suisse. Son objectif probable ? Tester l’efficacité des méthodes employées avant d’intensifier les actions les jours suivants.

Chiffres clés DDoS

Le nombre total d’attaques DDoS a augmenté de 20 % par rapport à 2023. L’Ukraine arrive en tête des pays les plus touchés, avec 2 052 attaques signalées, principalement organisées par des groupes pro-russes comme NoName057(16). DataSecurityBreach.fr a pu constater que les plateformes de commerce en ligne et sites web d’organisations (9 %), secteur financier (8,9 %), ainsi que d’autres industries, notamment le transport (7 %), les médias et Internet (7 %), et la fabrication (6,9 %). NoName057(16) s’est imposé comme l’acteur de menace principal dans les secteurs les plus touchés.

Au cours de l’année écoulée, NoName057(16) a connu une transformation majeure, formant plus d’une douzaine d’alliances stratégiques avec divers groupes hacktivistes pro-russes et pro-palestiniens. Ce passage de l’isolement à la collaboration a renforcé ses capacités opérationnelles et élargi son influence. Sans surprise, NoName057(16) a de nouveau dominé le domaine, surpassant largement les autres groupes en tant qu’attaquant le plus agressif. Depuis janvier 2023, le groupe a revendiqué 8 150 cyberattaques.

Chronologie des attaques DDoS observées

19 janvier : Une répétition avant l’événement

Avant même le début officiel du WEF, ASERT a détecté une attaque de 426 Gbps visant un fournisseur de services suisses. Elle s’est appuyée sur le DNS Reflection Amplification, une technique courante pour saturer une bande passante et tester la robustesse des infrastructures.

20 janvier : Des anomalies dès l’ouverture

À 15h20 UTC, alors que les premières sessions commençaient, une attaque atteignant 24 Gbps a été enregistrée. Contrairement à la veille, plusieurs vecteurs d’amplification ont été utilisés, rendant l’attaque plus difficile à contrer.

21 janvier : L’intensification des assauts

Cette journée a marqué un tournant, avec un volume croissant d’attaques précédant une allocution politique majeure. Les cybercriminels ont modifié leur approche, optant pour des attaques TCP ciblées et des inondations DNS sur UDP/53 et TCP/53.

22 janvier : Des attaques plus furtives

Bien que la bande passante utilisée ait été moindre, la sophistication des attaques a augmenté. Les méthodes TCP RST/SYN flood et TCP SYN/ACK amplification ont généré un flot de petits paquets difficilement filtrables.

23-24 janvier : Une fin sous tension

Si le 23 janvier fut relativement calme, le dernier jour du Forum a vu une résurgence des attaques DDoS, prolongeant leur effet plusieurs heures après la fin des discussions.

Qui sont les responsables ? Focus sur NoName057(16)

Les attaques observées portent la signature de groupes hacktivistes, notamment NoName057(16), affilié aux intérêts russes. Le blog ZATAZ avait été le premier a parlé de ces pirates devenus aujourd’hui des adeptes du DDoS. Ce collectif est connu pour ses attaques contre des entités politiques et économiques occidentales via leur projet DDoSia. Le groupe privilégie généralement les attaques HTTP flooding pour submerger les sites web, mais cette fois-ci, il a opté pour des méthodes TCP-based, corroborant les observations d’ASERT.

L’analyse des attaques DDoS montre qu’elles ont principalement visé les infrastructures critiques. Le secteur des télécommunications a absorbé près de la moitié des attaques, ce qui souligne l’importance de renforcer les défenses de ces infrastructures, particulièrement lors d’événements internationaux.

Les motivations derrière ces attaques sont multiples : démonstration de force, revendication politique, voire simple opportunisme. ZATAZ expliquait d’ailleurs que certains participants aux opérations de Noname057(16) profitaient des DDoS pour louer leur propre solution de cyberattaque ! Toutefois, une leçon essentielle se dégage : les événements internationaux nécessitent des stratégies de cybersécurité renforcées.

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Patch Tuesday de février 2025 : Les mises à jour critiques à ne pas manquer

Microsoft et Adobe renforcent la sécurité avec des correctifs majeurs en février 2025 dont plusieurs zero day.

Le Patch Tuesday de février 2025 apporte des mises à jour importantes pour Microsoft et Adobe, avec un total de 56 CVE corrigées pour Microsoft et 45 pour Adobe. Parmi elles, plusieurs vulnérabilités critiques et des Zero Day exploitées activement. Windows reste la priorité absolue ce mois-ci.

Ce mois-ci, Microsoft ralentit son rythme après la grosse mise à jour de janvier, mais continue de résoudre des vulnérabilités majeures, y compris deux Zero Day et une révision critique de Secure Boot. Adobe, quant à lui, cible principalement Adobe Commerce, corrigeant 30 CVE sur les 45 publiées. La mise à jour de Google Chrome est attendue sous peu, ce qui renforcera la sécurité des navigateurs basés sur Chromium, dont Microsoft Edge.

Vulnérabilités Microsoft exploitées

CVE-2025-21418 – Élévation de privilèges via AFD Windows

Microsoft corrige une vulnérabilité critique dans le pilote de fonction auxiliaire (AFD) Windows pour WinSock. Cette faille, exploitée activement, permet d’obtenir des privilèges SYSTEM, ce qui en fait une priorité pour toutes les versions de Windows, de Windows 10 à Server 2025. Son score CVSS est de 7,8.

CVE-2025-21391 – Élévation de privilèges via stockage Windows

Cette vulnérabilité concerne le stockage Windows et affecte également toutes les versions de Windows 10 à Server 2025. Son exploitation permet de gagner des privilèges élevés, ce qui justifie son traitement prioritaire. Score CVSS : 7,1.

CVE-2023-24932 – Secure Boot : une mise à jour essentielle

Une révision du correctif Secure Boot a été publiée, élargissant la couverture à Windows 11 24H2 et Server 2025. Cette faille, exploitée et publiquement divulguée, nécessite une mise à jour immédiate pour garantir une protection optimale.

Vulnérabilités Microsoft divulguées publiquement

CVE-2025-21377 – Usurpation d’identité via hachage NTLM

Cette faille de type Spoofing permet l’exposition de hachages NTLM, affectant toutes les versions de Windows. Bien que classée « Important » avec un score CVSS de 6,5, elle est publiquement divulguée, augmentant le risque d’exploitation.

CVE-2025-21194 – Contournement des fonctions de sécurité sur Microsoft Surface

Cette faille affecte les systèmes Surface et leur kit de développement. Bien que sa maturité d’exploitation ne soit pas encore prouvée, elle reste une menace potentielle à surveiller. Score CVSS : 7,1.

Vulnérabilités tierces : focus sur Adobe et Google Chrome

Adobe publie des mises à jour pour plusieurs de ses produits phares, dont InDesign, Commerce, Substance 3D, InCopy et Illustrator. La mise à jour d’Adobe Commerce, classée Priorité 1, corrige 30 des 45 CVE, ce qui la rend critique pour les entreprises utilisant cette plateforme.

Google Chrome publiera sa mise à jour de sécurité d’ici peu, impactant aussi Microsoft Edge et d’autres navigateurs basés sur Chromium. Étant donné la fréquence hebdomadaire des correctifs Chrome depuis août 2023, il est vivement conseillé de mettre à jour ses navigateurs chaque semaine.

Priorités de mise à jour pour février

  1. Microsoft Windows : Priorité absolue avec 3 CVE exploitées activement, 2 vulnérabilités publiquement divulguées et plusieurs correctifs critiques.
  2. Adobe Commerce : 30 CVE corrigées, une mise à jour classée Priorité 1.
  3. Navigateurs web : Les mises à jour hebdomadaires de Chrome, Edge et Firefox sont essentielles pour réduire le risque d’exploitation.