Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

OpenDNS coupé en Belgique : une bataille entre justice, streaming et liberté numérique

Depuis le 11 avril 2025, OpenDNS n’est plus accessible aux internautes belges, conséquence d’une décision judiciaire liée à la lutte contre le piratage. En toile de fond : DAZN, le streaming sportif et la neutralité technologique.

Le bras de fer entre les ayants droit du sport et les services de contournement numérique franchit une nouvelle étape en Belgique. OpenDNS, service alternatif de résolution DNS appartenant à Cisco, a suspendu ses activités dans le pays suite à une décision du tribunal de commerce francophone de Bruxelles. En cause : une plainte déposée par la plateforme DAZN contre des centaines de sites de streaming illégaux, accusés de diffuser sans autorisation des contenus sportifs. Cette décision judiciaire impose désormais à des services technologiques comme OpenDNS d’empêcher l’accès à ces plateformes illicites. Face à cette injonction, Cisco a choisi de retirer complètement son service DNS du territoire belge, soulignant un débat crucial sur la neutralité du Net.

DNS : la boussole d’Internet que l’on oublie trop souvent

Pour comprendre l’affaire, il faut d’abord saisir ce qu’est un DNS. Le Domain Name System (DNS) est un système fondamental d’Internet créé par David Ulevitch il y a bientôt 20 ans : il convertit les noms de domaine que nous tapons — comme datasecuritybreach.fr ou netflix.com — en adresses IP, compréhensibles par les machines. En d’autres termes, il s’agit d’un annuaire géant qui permet à nos navigateurs de retrouver les sites web. Sans DNS, il faudrait mémoriser les séries de chiffres correspondant à chaque site, une tâche irréalisable pour la plupart des internautes.

Traditionnellement, les fournisseurs d’accès à Internet (FAI) proposent leurs propres serveurs DNS. Mais de nombreux utilisateurs, pour des raisons de performance, de sécurité ou de confidentialité, préfèrent des services alternatifs comme OpenDNS, Cloudflare ou Google DNS. Ces services, souvent plus rapides, filtrent aussi les contenus malveillants, protègent contre les attaques et permettent de contourner certaines restrictions géographiques.

OpenDNS, racheté par Cisco en 2015 pour 635 millions de dollars (environ 595 millions d’euros), offrait une alternative rapide et sécurisée aux serveurs DNS traditionnels.

OpenDNS, justement, se distingue depuis sa création en 2006 par sa capacité à sécuriser les connexions et à accélérer la navigation. Depuis son acquisition par Cisco, géant américain des infrastructures réseau, le service est resté gratuit pour les particuliers. Mais c’est cette même accessibilité qui le rend aujourd’hui problématique dans le contexte juridique belge.

La plainte de DAZN : une lutte contre le piratage massif

DAZN, plateforme spécialisée dans la diffusion de compétitions sportives, a porté plainte devant la justice belge contre plusieurs centaines de sites diffusant illégalement ses contenus. Pour les ayants droit, ces plateformes représentent une perte de revenus colossale et menacent le modèle économique des retransmissions sportives, où les droits audiovisuels se chiffrent en milliards. Dazn a déjà agi, avec plus ou moins de réussites, en France, en Espagne, Etc.

C’est dans ce cadre que le tribunal a rendu une ordonnance obligeant les fournisseurs d’accès, mais aussi certains services de résolution DNS, à bloquer l’accès à une longue liste de sites jugés illégaux. Concrètement, cela signifie que des entreprises comme Cisco doivent manipuler leur infrastructure DNS pour empêcher les utilisateurs belges de se connecter à ces sites.

Or, pour Cisco, cette demande va à l’encontre de la neutralité technologique. Dans un communiqué, l’entreprise a exprimé son désaccord avec cette approche. Elle estime que la responsabilité d’un tel blocage devrait incomber aux hébergeurs ou aux plateformes de contenu, pas aux intermédiaires techniques comme les services DNS.

Plutôt que de modifier ses services pour répondre à cette obligation spécifique à la Belgique, Cisco a fait le choix radical de suspendre complètement l’accès à OpenDNS dans le pays. Une décision inédite, qui suscite de nombreuses réactions, tant sur le plan juridique que technologique.

Pour les défenseurs des libertés numériques, cette affaire illustre les dérives potentielles d’une régulation trop intrusive. Le fait qu’un service mondial soit contraint de modifier son fonctionnement à l’échelle d’un pays, voire de cesser ses activités, pose la question de la souveraineté numérique mais aussi de l’universalité d’Internet. À l’inverse, les ayants droit et les acteurs de l’audiovisuel saluent une décision qui donne enfin des moyens concrets pour lutter contre le piratage.

Dans les faits, cette suspension d’OpenDNS crée une zone grise pour les internautes belges. Beaucoup se tournent désormais vers d’autres services DNS ou utilisent des VPN pour contourner cette nouvelle restriction. Une ironie, puisque la mesure censée freiner l’accès au contenu illégal pourrait, à terme, encourager encore davantage les pratiques de contournement.

Un précédent inquiétant pour les technologies neutres ?

Le cas belge pourrait-il devenir un cas d’école ? C’est l’une des préoccupations majeures des acteurs du numérique. Si chaque pays peut exiger d’un prestataire DNS ou d’un autre service technique d’intervenir dans le filtrage du web, cela ouvre la porte à une fragmentation d’Internet. Un Internet à plusieurs vitesses, où l’accès aux services dépendrait de critères géopolitiques ou juridiques.

La neutralité du Net, un principe fondateur d’Internet, en sort fragilisée. Ce principe veut que tous les flux de données soient traités de manière égale, sans discrimination ni interférence. En demandant à un service neutre comme OpenDNS d’exclure certains sites, la justice belge brouille cette ligne de séparation entre contenu et infrastructure.

Mais les défenseurs du droit d’auteur rappellent que l’impunité ne peut plus durer. Le streaming illégal prive les créateurs de revenus légitimes, et les plateformes comme DAZN ont besoin de recours concrets pour protéger leurs investissements.

Données et intelligence artificielle : un duo sous haute surveillance

La dernière étude de Cisco révèle une confiance accrue dans la protection des données, mais pointe les tensions croissantes entre souveraineté numérique, innovation et gouvernance de l’IA.

Alors que l’intelligence artificielle transforme en profondeur les pratiques numériques, la protection des données personnelles se positionne plus que jamais comme un enjeu stratégique. Dans son “Data Privacy Benchmark 2025”, Cisco explore un équilibre fragile : celui entre la promesse d’une IA performante et les exigences d’une confidentialité renforcée. Réalisée auprès de 2 600 professionnels dans 12 pays, l’étude confirme un paysage en pleine mutation, tiraillé entre prudence réglementaire, volonté de souveraineté et dépendance à l’expertise technologique mondiale. Si la confiance envers les fournisseurs de solutions globales semble s’intensifier, les craintes entourant les dérives potentielles de l’IA, notamment générative, rappellent la nécessité impérieuse d’une gouvernance responsable.

La souveraineté numérique à l’épreuve de la mondialisation

Les résultats du rapport 2025 de Cisco témoignent d’un paradoxe bien réel : les entreprises plébiscitent la localisation des données pour des raisons de sécurité, tout en continuant de faire confiance à des acteurs mondiaux pour leur traitement. En effet, 91 % des organisations interrogées estiment que stocker les données localement renforce leur sécurité, malgré les coûts supplémentaires que cela implique. Dans le même temps, 90 % reconnaissent la fiabilité des fournisseurs globaux pour garantir la confidentialité de leurs données. Ce double constat illustre la complexité du contexte actuel, dans lequel la souveraineté numérique cohabite difficilement avec la logique d’un cloud globalisé.

La dynamique va plus loin qu’un simple enjeu de contrôle. Elle reflète aussi une stratégie de reconquête de la confiance des clients. Comme le souligne Harvey Jang, Directeur de la confidentialité chez Cisco, « l’engouement pour la localisation traduit une volonté affirmée de reprendre le contrôle. Mais une économie numérique performante repose aussi sur des échanges fluides et sécurisés à l’échelle mondiale ». Des initiatives comme le Global Cross-Border Privacy Rules Forum apparaissent alors comme des mécanismes essentiels pour concilier interopérabilité, respect des lois nationales et compétitivité internationale.

La réglementation comme levier d’innovation

Contrairement aux idées reçues, la réglementation sur la confidentialité ne freine pas l’innovation : elle l’encadre. Et pour beaucoup d’entreprises, elle s’impose même comme un facteur de performance. Le benchmark 2025 souligne ainsi que 85 % des répondants considèrent que les lois sur la protection des données ont un impact positif sur leur activité. Mieux encore, 95 % affirment que les investissements en matière de confidentialité se révèlent rentables, tant sur le plan de la sécurité que de la fidélisation client.

En France, cette tendance s’ancre dans une réalité culturelle et politique plus large. D’après l’édition 2024 de l’enquête Cisco sur la vie privée des consommateurs, 73 % des Français déclarent connaître les lois en matière de confidentialité — un taux largement supérieur à la moyenne mondiale. Plus révélateur encore, 92 % estiment que ces lois sont efficaces pour protéger leurs données personnelles. Ces chiffres témoignent d’un environnement où la conscience citoyenne et la régulation vont de pair, imposant aux entreprises une rigueur accrue… mais aussi une opportunité de renforcer leur capital confiance.

95 % des entreprises interrogées considèrent que leurs investissements en protection des données sont rentables, bien au-delà des exigences de conformité.

L’IA générative, une avancée technologique sous surveillance

Avec la montée en puissance de l’IA générative, un nouveau front s’ouvre pour les responsables de la sécurité des données. Si cette technologie est perçue comme un levier d’accélération, elle suscite également des inquiétudes croissantes : fuites de données, mésusages, intrusions involontaires… Le rapport de Cisco montre que seules 48 % des entreprises françaises se déclarent très familières avec l’IA générative, un chiffre qui traduit à la fois la jeunesse de cette technologie et la prudence avec laquelle elle est accueillie.

Les inquiétudes ne sont pas infondées : 70 % des professionnels interrogés redoutent des fuites accidentelles de données sensibles via des outils d’IA. Un tiers d’entre eux reconnaissent même avoir déjà saisi des informations confidentielles dans ces interfaces.

Gouverner l’intelligence artificielle par la donnée

Le virage vers l’intelligence artificielle n’est plus une hypothèse, mais une certitude. Cisco prévoit un quasi-doublement des budgets informatiques consacrés à l’IA dans les mois à venir. Ce redéploiement s’accompagne d’un transfert stratégique : 97 % des répondants envisagent de réaffecter une partie de leur budget dédié à la confidentialité vers des initiatives IA. Ce mouvement n’est pas un désengagement, mais une évolution : gouverner l’IA, c’est désormais garantir la confidentialité par la conception.

Cette perspective est portée par une vision de long terme, dans laquelle les outils d’IA ne peuvent se déployer qu’à la condition d’être régulés et maîtrisés. L’intelligence artificielle ne remplace pas la gouvernance, elle la complexifie. Les entreprises doivent ainsi bâtir des structures hybrides, capables d’intégrer à la fois les impératifs réglementaires, les exigences technologiques et les attentes sociétales. Cette transversalité redéfinit le rôle des équipes sécurité et juridique, qui deviennent des acteurs clés de l’innovation responsable.

Une équation à plusieurs inconnues

À l’échelle internationale, l’étude de Cisco offre un instantané précieux d’un écosystème en pleine transformation. Les lignes bougent, les certitudes vacillent. Alors que les données deviennent le carburant de l’économie numérique, leur protection ne relève plus uniquement de la conformité légale, mais d’un véritable projet d’entreprise. Dans cette équation, chaque acteur — décideur, technicien, juriste, utilisateur — détient une partie de la solution.

Le défi des prochaines années sera donc de conjuguer plusieurs impératifs : localiser sans isoler, innover sans exposer, automatiser sans déresponsabiliser. Car la confidentialité des données, loin d’être un frein, peut devenir un accélérateur de transformation — à condition de la penser comme une démarche globale, éthique et transparente.

Dans un monde de plus en plus piloté par des algorithmes, la confiance reste le meilleur des algorithmes.

Réseaux sociaux : quand l’exposition numérique devient un risque réel

Les réseaux sociaux façonnent notre quotidien, mais leur usage insouciant peut avoir des conséquences inattendues. Une bonne hygiène numérique devient indispensable pour se protéger des dangers invisibles mais bien réels de l’exposition en ligne.

Aujourd’hui, il est difficile d’imaginer la vie sans réseaux sociaux. Facebook, Instagram, TikTok, X (ex-Twitter), et consorts font partie intégrante de notre routine. Ils nous relient à nos proches, nous informent, nous instruisent, et nous permettent même de révéler nos passions ou de développer une activité professionnelle. Mais cette vitrine numérique, aussi attrayante soit-elle, est à double tranchant. En partageant notre vie en ligne, souvent de manière inconsciente, nous exposons aussi une partie de notre intimité à des inconnus. Ces données, anodines en apparence, peuvent devenir de véritables outils pour des personnes mal intentionnées. Alors, comment profiter des réseaux sociaux tout en protégeant sa vie privée ? Le défi est plus actuel que jamais.

Les réseaux sociaux ont redéfini la manière dont nous interagissons avec le monde. Ils offrent une multitude de fonctionnalités, allant du simple partage de photos jusqu’à la monétisation de contenus artistiques ou pédagogiques. À mesure que les plateformes se perfectionnent, elles deviennent de plus en plus intuitives et incitent l’utilisateur à publier toujours plus de contenus. Mais cette facilité d’expression masque un danger grandissant : celui de livrer, sans le savoir, des informations sensibles à des inconnus, voire à des cybercriminels.

L’insouciance avec laquelle certaines personnes publient des détails sur leur vie privée alimente un vivier d’informations pour ceux qui cherchent à en tirer profit. Une adresse, un lieu de vacances, une date d’anniversaire ou encore le nom d’un animal de compagnie : autant de données qui peuvent servir à usurper une identité ou à forcer un mot de passe. Car il faut bien le comprendre : tout ce qui est publié sur Internet peut, tôt ou tard, tomber entre de mauvaises mains.

« Les cybercriminels privilégient les cibles faciles : une bonne sécurité de base suffit souvent à les décourager. »

C’est pourquoi il est crucial d’instaurer des règles de base en matière de sécurité numérique. La première étape, souvent négligée, est celle de la confidentialité. Les paramètres de confidentialité permettent de contrôler qui peut voir quoi. Or, bon nombre d’utilisateurs laissent leur profil en accès libre, pensant à tort qu’ils n’ont rien à cacher. Pourtant, cette ouverture facilite le travail des programmes automatisés utilisés par les pirates informatiques, capables de scanner des centaines de profils en quelques secondes à la recherche de failles ou d’informations exploitables.

Limiter l’accès à son profil, c’est déjà réduire les risques de manière significative. Les plateformes comme Facebook, Instagram ou TikTok offrent des options assez poussées pour définir précisément les personnes autorisées à voir les publications. Il est donc recommandé de configurer son compte de façon à ce que seules les personnes de confiance aient accès aux contenus personnels. Cela permet également d’éviter que des inconnus utilisent vos photos ou vos publications pour créer de faux profils ou alimenter des arnaques. Mais soyons honnêtes ! Les dérives du « follows » ; des « J’aime » ; du fantasme de devenir un/une « influenceur/influenceuse » font que la sécurité n’est pas la priorité des utilisateurs.

Vient ensuite la question du contenu publié. Il ne s’agit pas de censurer sa présence en ligne, mais plutôt d’adopter une approche réfléchie. Avant de poster, il est bon de se demander à qui s’adresse le message et quelles informations il contient réellement. Publier une photo de son nouveau logement peut sembler anodin, mais elle peut dévoiler des éléments d’ameublement, un code postal ou même un plan du quartier. De même, annoncer un départ en vacances à l’avance peut signaler une absence prolongée et donc un domicile vide.

La prudence est également de mise lorsqu’on parle d’autres personnes. Une simple publication évoquant un collègue, un enfant ou un ami peut, dans certains cas, engager la responsabilité de l’auteur. En France comme ailleurs, le droit à l’image et le respect de la vie privée sont protégés par la loi. Il est donc nécessaire d’obtenir l’accord explicite des personnes concernées avant toute publication les impliquant.

Mais la prudence ne s’arrête pas aux publications visibles. L’un des aspects les plus critiques de la sécurité numérique repose sur la gestion des mots de passe. Trop souvent, les utilisateurs choisissent des mots de passe évidents, comme une date de naissance, un prénom ou une combinaison simple. Ces informations sont souvent disponibles publiquement ou peuvent être devinées à partir des contenus partagés. Pour minimiser les risques, il est essentiel d’adopter des mots de passe complexes, uniques pour chaque plateforme, et de les changer régulièrement, idéalement tous les deux à trois mois.

« Un mot de passe trop simple, même s’il semble pratique, peut transformer un compte sécurisé en une porte grande ouverte. »

Data Security Breach rappelle qu’à cela s’ajoute un outil de plus en plus indispensable : la double authentification. Présente sur la plupart des grandes plateformes, cette fonctionnalité ajoute une couche de sécurité en exigeant une confirmation supplémentaire, généralement via un SMS ou une application d’authentification. C’est une barrière simple mais redoutablement efficace contre les tentatives d’intrusion.

Les cybercriminels, pour leur part, ne perdent pas leur temps avec les comptes bien protégés. Lorsqu’un pirate ne parvient pas à pénétrer un profil après plusieurs tentatives, il passe souvent à une autre cible. En ce sens, adopter de bonnes pratiques de cybersécurité agit comme un filtre : vous devenez une cible moins attrayante, et donc moins vulnérable.

Il ne faut pas non plus oublier que l’ingénierie sociale reste une méthode très répandue. Cela consiste à manipuler psychologiquement une personne pour obtenir des informations confidentielles. Et dans ce domaine, les réseaux sociaux sont une mine d’or. Un pirate peut par exemple se faire passer pour un ami, un collègue ou un membre de la famille afin d’obtenir des données sensibles ou de vous amener à cliquer sur un lien malveillant. Un VPN permettra de protéger votre géolocalisation. La vigilance reste donc de mise, même dans les interactions les plus banales.

Enfin, la question de l’éducation numérique prend toute son importance. Les jeunes générations, nées avec un smartphone dans les mains, sont souvent plus à l’aise avec les outils numériques mais pas forcément mieux informées sur les dangers qu’ils comportent. Il est essentiel de sensibiliser dès le plus jeune âge à la notion de vie privée en ligne, et d’instaurer une culture du doute et de la vérification. Votre serviteur propose des ateliers et rendez-vous dans les écoles sur ce sujet.

La confiance numérique ne se décrète pas : elle se construit au fil du temps, par des choix réfléchis et une gestion rigoureuse de son image en ligne. Dans un monde où les données personnelles valent de l’or, chaque utilisateur a la responsabilité de préserver sa propre sécurité, mais aussi celle de son entourage.

Votre smartphone, cible numéro un : comment le transformer en forteresse numérique

La banalisation des smartphones les a rendus indispensables, mais aussi terriblement vulnérables. En 2025, ils concentrent nos vies numériques… et attirent les cybercriminels.

Avec l’arrivée des assistants basés sur l’intelligence artificielle, la gestion financière, les communications, l’identification biométrique, la double authentification, les pièces d’identité numérisée et l’accès aux services critiques passent désormais par nos smartphones. Véritables clones numériques, ces objets du quotidien sont devenus les points d’entrée favoris des pirates informatiques. La menace ne se limite plus à quelques codes malveillants : aujourd’hui, les attaques s’appuient sur des deepfakes réalistes, des intelligences artificielles offensives et des logiciels espions indétectables. Pourtant, il suffit de quelques gestes simples mais efficaces pour transformer votre appareil en véritable citadelle. Data Security Breach vous propose un tour d’horizon des pratiques essentielles à adopter — que vous soyez utilisateur lambda ou professionnel aguerri.

Le mot de passe, première ligne de défense

Vous utilisez encore un code PIN à quatre chiffres ou un schéma de verrouillage rudimentaire ? Vous ouvrez une brèche béante dans vos défenses. En 2025, les experts en cybersécurité recommandent des mots de passe longs, complexes, composés de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Un mot de passe de huit caractères constitue le minimum vital. En complément, les technologies biométriques telles que l’empreinte digitale ou la reconnaissance faciale ajoutent une couche de sécurité précieuse, difficilement contournable.

Mais le mot de passe seul ne suffit plus. La double authentification (2FA) est devenue incontournable. En cas de fuite de votre mot de passe, un code supplémentaire généré par une application dédiée (comme Google Authenticator) ou une clé physique de type Fido empêchera l’accès non autorisé à vos comptes. Cette mesure est aujourd’hui déployée par tous les grands acteurs du numérique, de Google à Apple.

80 % des piratages sont dus à des systèmes ou applications non mis à jour

Autre point crucial : la gestion des notifications. Beaucoup d’utilisateurs laissent apparaître sur leur écran verrouillé des messages contenant des codes de validation ou des alertes bancaires. Ce détail en apparence anodin peut offrir sur un plateau des informations sensibles à un observateur malveillant. Un paramétrage minutieux des notifications est donc essentiel pour ne rien laisser filtrer. Cela évitera l’utilisation de techniques de Social Engineering pour mettre la main sur ces informations sensibles.

Applications intrusives et permissions excessives

Chaque application que vous installez peut être une porte d’entrée pour des cyberattaques. Trop souvent, des applications anodines — un simple réveil ou une lampe torche — réclament des accès injustifiés à vos contacts, votre géolocalisation ou votre micro. La vigilance doit être permanente. Vérifiez régulièrement les autorisations accordées à vos applications, en particulier l’accès à la caméra, au micro et à la localisation. Sur Android, cela se fait via le menu « Paramètres → Applications → Autorisations » ; sur iOS, par « Réglages → Confidentialité ».

La prudence s’impose également lors des téléchargements. Privilégiez les stores officiels (Google Play et App Store), qui procèdent à des contrôles réguliers pour écarter les applications malveillantes. Les fichiers APK provenant de sources inconnues sont, quant à eux, des nids à logiciels espions. Même si le risque zéro n’existera jamais, ces boutiques sont plus sécurisées que des boutiques « externes« .

Le « jailbreaking« , retirer la sécurité imposée par les opérateurs ou les marques est fortement déconseillé. Retirer les couches de sécurité ouvrent des portes malveillantes insoupçonnées.

Le chiffrement, bouclier invisible

L’un des atouts majeurs contre le vol de données est le chiffrement intégral de l’appareil. Sur iOS, ce chiffrement est activé par défaut dès que vous définissez un mot de passe. Sur Android, il doit être activé manuellement dans les paramètres de sécurité. Il empêche toute extraction lisible des données, même si l’appareil est physiquement compromis. Un élèment qui a d’ailleurs remué de nombreux pays dont certains députés souhaitaient « affaiblir » les chiffrements. Le Royaume-Uni, par exemple, a affaibli iCloud à la demande d’une loi votée concernant la sécurité intérieure.

Autre bouclier numérique : le VPN. En vous connectant à un réseau Wi-Fi public, vous exposez votre trafic à des interceptions. Les cybercriminels rôdent dans les aéroports, les cafés et les hôtels, à l’affût d’un appareil vulnérable. L’utilisation d’un VPN fiable permet de chiffrer vos échanges et de préserver la confidentialité de vos activités en ligne. Prudence aux VPN qui font BEAUCOUP de publicités dans les médias et sur Youtube. Enfin, pensez à désactiver la connexion automatique aux réseaux Wi-Fi. Un smartphone qui se connecte sans votre accord à une borne inconnue peut être dirigé vers un faux hotspot conçu pour intercepter vos données. Bref, le VPN est INDISPENSABLE.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Mettez vos mots de passe à l’abri

Naviguer sur le web avec des mots de passe enregistrés dans le navigateur revient à stocker ses clés sous le paillasson. Pour éviter cela, optez pour un gestionnaire de mots de passe. Ces outils chiffrent vos identifiants, génèrent des mots de passe complexes et vous permettent de les retrouver facilement en toute sécurité. Les mises à jour sont également une étape souvent négligée. Pourtant, 80 % des cyberattaques exploitent des failles déjà corrigées par les éditeurs. Si vous n’avez pas mis à jour votre système ou vos applications depuis plusieurs mois, vous devenez une cible facile. Activez les mises à jour automatiques pour vous assurer de bénéficier des derniers correctifs de sécurité.

En 2025, le smartphone est la porte d’entrée de votre identité numérique

Les entreprises, souvent premières visées par les cyberattaques, doivent aller plus loin. Les solutions MDM (Mobile Device Management) permettent un contrôle centralisé des appareils professionnels : effacement à distance des données, restriction des applications installées, renforcement des politiques de mots de passe… Autant de leviers pour renforcer la sécurité des flottes mobiles. Certaines de ces options sont présentes dans les appareils pour le grand public.

Quand l’attaque a déjà eu lieu

Malgré toutes les précautions, aucune protection n’est infaillible. Si vous suspectez un piratage, agissez immédiatement. Retirez la carte SIM. Coupez l’accès à internet en activant le mode avion. Modifiez en priorité les mots de passe de vos comptes critiques, notamment la messagerie et les services bancaires. Une modification a effectuer sur un ordinateur sécurisé. Procédez ensuite à une réinitialisation complète du smartphone afin de supprimer les éventuelles menaces. Enfin, restaurez avec précaution. L’ennemi se cache peut-être dans la sauvegarde.

Et pour éviter de nouvelles attaques, remettez à plat vos habitudes. Faites régulièrement une auto-évaluation : utilisez-vous le même mot de passe pour plusieurs comptes ? Vos mises à jour sont-elles à jour ? Vos mots de passe sont-ils stockés dans votre navigateur ? Avez-vous téléchargé un VPN gratuit ? Quatre réponses positives sont déjà le signe d’un risque accru.

Bref, la sécurité mobile ne s’improvise pas, elle se construit jour après jour. Il ne suffit pas d’adopter une fois quelques bonnes pratiques : elles doivent devenir des réflexes. Vérifiez régulièrement les autorisations de vos applications, ne négligez jamais une mise à jour, utilisez des outils de chiffrement et de connexion sécurisée, et surtout, restez informé. Et vous, à l’heure où nos téléphones deviennent le cœur de nos vies numériques, êtes-vous prêt à en faire une forteresse imprenable ?

L’Australie frappe fort contre les escroqueries financières en ligne

L’Australie a révoqué les licences de 95 entreprises soupçonnées d’être impliquées dans des escroqueries financières, marquant un tournant décisif dans la lutte contre les fraudes aux investissements.

Alors que les arnaques aux investissements prolifèrent sur internet, les autorités australiennes passent à l’offensive. Le régulateur financier national, l’Australian Securities and Investments Commission (ASIC), a obtenu en mars dernier l’approbation d’un juge fédéral pour radier 93 sociétés soupçonnées d’activités frauduleuses et prévoit de liquider deux autres entreprises disposant encore d’actifs. Ces entités sont accusées d’avoir trompé des consommateurs en leur faisant miroiter des gains dans des domaines spéculatifs comme le marché des changes, les cryptomonnaies ou les matières premières. Une opération d’envergure qui s’inscrit dans un contexte où les cyberescroqueries gagnent en sophistication et en audace. Cette décision illustre la volonté des autorités de restaurer la confiance des épargnants et de freiner l’hémorragie financière causée par ces manœuvres frauduleuses.

La décision de l’ASIC d’éradiquer ces sociétés s’appuie sur une vaste enquête révélant que la majorité d’entre elles utilisaient de faux directeurs — souvent inscrits à leur insu — et des adresses fictives. Dans certains cas, les entreprises affichaient une façade officielle en utilisant des logos et des bureaux de représentation, mais ceux-ci se révélaient déserts ou inexistants. Cette stratégie vise à duper les investisseurs en leur donnant l’illusion de traiter avec des institutions légitimes et solides.

Parmi les entreprises visées, Titan Capital Markets fait figure de cas emblématique. Connue pour avoir sponsorisé le club de football anglais Fulham, la société semblait jouir d’une certaine notoriété. Mais derrière cette vitrine, les apparences étaient trompeuses. Une enquête sur place menée à Canberra, supposée abriter les bureaux de Titan, a révélé un local vide, avec du courrier systématiquement retourné. Des investisseurs, principalement originaires d’Inde, ont adressé pas moins de 80 courriels aux liquidateurs, exprimant leur inquiétude et soulignant les sommes importantes qu’ils avaient engagées. Titan Capital Markets, malgré les sollicitations, est restée silencieuse.

Êtes-vous dans les petits papiers des pirates ?

« Ces escroqueries sont comme des hydres : on en coupe une, deux autres surgissent », a déclaré Sarah Court, vice-présidente de l’ASIC. Une image forte, qui résume bien le défi auquel fait face le régulateur australien. Chaque semaine, ce dernier fait fermer environ 130 sites frauduleux, mais les plateformes illicites renaissent presque aussitôt ailleurs, souvent sous une nouvelle identité ou via des entités de couverture.

Selon l’ASIC, le mécanisme est désormais bien rodé : les fraudeurs créent des entreprises enregistrées légalement, mais qui n’ont aucune activité réelle. Elles servent uniquement à donner une crédibilité artificielle à des plateformes de trading fictives ou à des offres d’investissement fallacieuses. En plus de flouer des particuliers, ces structures compliquent le travail des enquêteurs en créant un labyrinthe juridique et administratif difficile à démêler.

L’intervention de la justice fédérale est donc une réponse musclée, mais nécessaire. En ordonnant la radiation immédiate de 93 entreprises et la liquidation surveillée de deux autres, la cour entérine la volonté de l’État australien de reprendre la main sur un secteur miné par les abus. Et l’enquête est loin d’être terminée : selon les documents judiciaires, l’ASIC continue de creuser les ramifications financières et légales de ces sociétés, dans le but de démanteler entièrement le réseau de fraude.

Cette baisse, bien que significative, ne saurait masquer l’ampleur du phénomène. L’Australie fait face à une vague mondiale de cybercriminalité financière, où les escrocs exploitent les nouvelles technologies, les lacunes réglementaires et parfois même la naïveté des investisseurs pour amasser des fortunes. La promesse de rendements élevés dans un contexte d’incertitude économique agit comme un aimant, notamment dans des pays où les systèmes de régulation sont moins robustes et où les victimes se comptent par milliers.

C’est dans ce climat tendu que s’inscrit la stratégie de l’ASIC. Plutôt que de poursuivre chaque site individuellement, l’organisme cible désormais les structures légales qui permettent à ces arnaques de prospérer. En coupant l’accès à l’enregistrement officiel d’entreprises frauduleuses, le régulateur cherche à tarir la source même de leur légitimité apparente.

Les répercussions de cette opération pourraient se faire sentir bien au-delà des frontières australiennes. Nombre des victimes identifiées dans le cas de Titan Capital Markets ne résident pas en Australie. Cela démontre que les escroqueries opérées depuis un pays peuvent avoir des conséquences mondiales, touchant des particuliers à des milliers de kilomètres. L’Inde, en particulier, semble avoir été une cible privilégiée pour certaines de ces entreprises frauduleuses, qui promettaient des retours sur investissement rapides dans des secteurs à la mode comme le trading de devises ou les actifs numériques.

La dimension internationale de ces fraudes pose également un défi en matière de coopération judiciaire et de traçabilité financière. Les fonds investis par les victimes sont souvent rapidement transférés vers des comptes offshore ou blanchis à travers un réseau complexe de sociétés-écrans. Cela rend leur récupération extrêmement difficile, voire impossible, pour la majorité des investisseurs floués.

Mais la lutte contre ces arnaques ne peut pas reposer uniquement sur l’action des autorités. Elle exige aussi une sensibilisation accrue du public. Trop souvent, les victimes sont attirées par des offres trop belles pour être vraies, sans prendre le temps de vérifier les antécédents des sociétés ou les garanties proposées. Une éducation financière de base, couplée à une vigilance constante, constitue une première ligne de défense essentielle contre ces pratiques malveillantes.

Si les mesures prises par l’ASIC sont saluées par les défenseurs des consommateurs, elles n’en soulèvent pas moins une question cruciale : cette stratégie d’élimination des sociétés frauduleuses peut-elle réellement freiner une industrie souterraine en constante mutation, qui semble toujours avoir un temps d’avance ? Dans un monde où les escrocs deviennent de plus en plus technophiles et agiles, la régulation peut-elle suivre le rythme sans se contenter de colmater les brèches ?

Voici la liste complète des entreprises dont la liquidation ou la radiation a été ordonnée dans le cadre de l’affaire ASIC v 24-U Pty Ltd [2025] FCA 321. [Compilation datasecuritybreach.fr)

24-U Pty Ltd
Rootie Tech Solutions Pty Ltd
Aleos Capital Markets Pty Ltd
Aleos Capital Pty Ltd
Cloud Bridge Capital Pty Ltd
Como Trade Pty Ltd
Discovery Capital Group Pty Ltd
Enclave Prime Pty Ltd
Extreme Global Pty Ltd
Extrend Cap International Pty Ltd
Gaoman Capital Group Trading Pty Ltd
Gold Rush Global Group Pty Ltd
Gold Rush Group Pty Ltd
Goldwell Global Pty Ltd
GTS Energy Markets Group Pty Ltd
Invdom Pty Ltd
Khama Capita Pty Ltd
QRS Global Pty Ltd
Rayz Liquidity Pty Ltd
Topmax Global Pty Ltd
Tradewill Global Pty Ltd
Tshan Markets Pty Ltd
Upone Global Financial Services Pty Ltd
19 Securities Pty Ltd
Ausfit Mart Pty Ltd
Aximtrade Pty Ltd
Caitu International Securities Pty Ltd
Genesis Capital Resources Pty Ltd
Gongde International Pty Ltd
Great Plan Service Pty Ltd
Great Virtue Pty Ltd
Guang Quan International Pty Ltd
Guofa International Pty Ltd
Guotai International Pty Ltd
Jinhou International Pty Ltd
Jinte Net Blockchain Pty Ltd
Juncheng Trade Pty Ltd
Nasd Trading Group Pty Ltd
Oceanus Wealth Securities Pty Ltd
Rac Markets Pty Ltd
Rich Gold Group Pty Ltd
Ridder Trader Pty Ltd
Rising Sun Capital Pty Ltd
RN Prime Pty Ltd
Ruifu International Pty Ltd
Ruisen Securities Pty Ltd
Shan Yu International Pty Ltd
Tradehall Pty Ltd
Trillion Global Capital Pty Ltd
Tuotenda Capital Group Pty Ltd
Yinrui International Pty Ltd
Zhongke Global Pty Ltd
Zhongying Global Pty Ltd
Audrn Financial Group Pty Ltd
Aus Financial Australia Pty Ltd
Compilation zataz.com
BHP Markets Pty Ltd
CLSA Capital Group Inv Pty Ltd
Katy Capital Pty Ltd
Rena Markets Pty Ltd
Sophie Capital Financial Trading Pty Ltd
Aleos Capital Pty Ltd
Aximtrade Pty Ltd
Caitu International Securities Pty Ltd
CLSA Capital Group Inv Pty Ltd
Cloud Bridge Capital Pty Ltd
Discovery Capital Group Pty Ltd
Enclave Prime Pty Ltd
Extrend Cap International Pty Ltd
Gaoman Capital Group Trading Pty Ltd
Genesis Capital Resources Pty Ltd
Gongde International Pty Ltd
Great Plan Service Pty Ltd
Great Virtue Pty Ltd
Guang Quan International Pty Ltd
Guofa International Pty Ltd
Guotai International Pty Ltd
Invdom Pty Ltd
Jinhou International Pty Ltd
Jinte Net Blockchain Pty Ltd
Juncheng Trade Pty Ltd
Khama Capita Pty Ltd
Mercury Securities Group Pty Ltd
Nasd Trading Group Pty Ltd
Oceanus Wealth Securities Pty Ltd
Compilation zataz.com
Rac Markets Pty Ltd
Rayz Liquidity Pty Ltd
Ridder Trader Pty Ltd
Rising Sun Capital Pty Ltd
RN Prime Pty Ltd
Rootie Tech Solutions Pty Ltd
Ruifu International Pty Ltd
Ruisen Securities Pty Ltd
Seventy Investech Pty Ltd
Shan Yu International Pty Ltd
Tradehall Pty Ltd

La Russie légalise la saisie de cryptomonnaies

Le gouvernement russe a approuvé une réforme des codes pénal et de procédure pénale, reconnaissant les cryptomonnaies comme des biens saisissables, une étape dans la lutte contre la criminalité numérique.

Longtemps entourée d’un flou juridique, la question du statut des cryptomonnaies dans le droit pénal russe vient de connaître un tournant décisif. Le 14 avril 2025, la commission gouvernementale a validé des amendements permettant de reconnaître officiellement les actifs numériques, y compris les cryptomonnaies, comme des biens. Cette reconnaissance ouvre la voie à leur saisie, leur confiscation et leur traitement comme preuves matérielles dans les enquêtes criminelles. Annoncé dès mars par le ministère de la Justice, ce projet entend combler les lacunes qui compliquaient jusqu’alors les procédures judiciaires. Mais si cette avancée clarifie certains points, elle soulève aussi de nouvelles interrogations sur l’efficacité du mécanisme d’application dans un univers décentralisé et transfrontalier.

Le flou juridique autour des cryptomonnaies n’est plus. Avec les nouvelles modifications adoptées, les actifs numériques accèdent au statut de « bien » dans le droit pénal russe, au même titre que les comptes bancaires, les voitures ou les biens immobiliers. Le texte, dont l’approbation officielle a été confirmée le 14 avril par une commission gouvernementale, met fin à des années d’incertitude pour les autorités chargées des enquêtes criminelles. Jusque-là, les enquêteurs pouvaient se heurter à un véritable casse-tête lorsqu’il s’agissait d’intervenir sur des flux financiers illicites transitant par la blockchain.

Le président du conseil de l’Association des juristes de Russie, Vladimir Grouzdev, a salué une initiative « nécessaire et attendue« , rappelant que la cryptomonnaie était déjà considérée comme un bien dans les lois relatives à la lutte contre le blanchiment d’argent et la corruption. Mais cette reconnaissance n’avait pas encore pénétré l’ensemble du corpus pénal. Ce vide juridique, source de multiples contradictions, freinait considérablement le travail des forces de l’ordre, notamment dans les affaires de cybercriminalité.

« La reconnaissance des cryptomonnaies comme bien permettra leur saisie et leur confiscation dans les procédures pénales, ce qui jusqu’ici relevait d’une zone grise du droit« , explique Alexandre Redkine, avocat. Il précise que, dans la pratique, des tentatives de saisie existaient déjà, mais sans base légale claire. Le nouveau cadre légal permettra d’unifier les pratiques, d’officialiser les protocoles d’arrestation des fonds et de combler un vide qui profitait largement aux criminels.

Dans le détail, les amendements apportés au Code de procédure pénale définissent les procédures spécifiques que doivent suivre les autorités pour opérer des saisies d’actifs numériques. Comme a pu le lire DataSecurityBreach.fr, tout dépendra du type de portefeuille utilisé. Si le suspect détient un « wallet » dit froid, c’est-à-dire hors ligne, ce sont les supports matériels eux-mêmes (clés USB, disques durs) qui seront confisqués. En revanche, pour les portefeuilles « chauds », connectés à Internet, les fonds devront être transférés vers un compte sécurisé contrôlé par l’État.

Mais là encore, les limites du système apparaissent rapidement. Les mécanismes de compensation des victimes – en cas de confiscation de cryptomonnaies – ne sont pas encore pleinement définis. Surtout quand ces victimes sont basées dans des pays pas vraiment dans les petits papiers du Kremlin. Et c’est sans parler de la difficulté majeure que constitue l’identification des détenteurs de ces actifs, souvent anonymes ou dissimulés derrière de multiples intermédiaires.

Cette problématique est d’autant plus complexe que l’univers des cryptomonnaies fonctionne selon des logiques radicalement différentes des circuits bancaires classiques. Leur caractère transfrontalier, l’absence d’intermédiaires centralisés et l’existence de réseaux comme le dark web rendent les enquêtes particulièrement ardues. Le suivi des transactions cachées représente aujourd’hui l’un des plus grands défis de la justice numérique, et quelque soit le pays. Ces opérations, souvent fractionnées et masquées, rendent difficile la traçabilité de l’origine des fonds.

Quid des huissiers ! Les huissiers de justice ne disposent pas d’outils efficaces pour confisquer directement la cryptomonnaie. Bien souvent, ils sont contraints de convertir les cryptoactifs en monnaie fiduciaire, avec tous les risques que cela comporte, notamment la perte de valeur ou les fluctuations soudaines du marché. Le risque d’erreurs ou de manipulations est d’autant plus élevé que les compétences techniques nécessaires pour ce type d’opérations restent rares au sein des services publics.

La sécurité des applications ne se limite pas à leur code

Les applications d’entreprise sont devenues des cibles privilégiées des pirates informatiques. Pourtant, sécuriser leur code ne suffit plus : l’humain et les usages non contrôlés, notamment liés à l’IA, représentent des menaces tout aussi critiques.

À l’heure où l’intelligence artificielle générative s’immisce dans les processus métiers, les entreprises doivent repenser leur approche de la cybersécurité. Si l’audit de code reste un pilier technique essentiel, il ne peut à lui seul garantir la sécurité des applications. La sensibilisation des collaborateurs et la gestion du Shadow IT, amplifié par l’usage non encadré de l’IA, sont devenues des enjeux majeurs pour prévenir les risques cyber.

Le Shadow IT et l’IA générative : une combinaison à haut risque

Le Shadow IT, ou informatique fantôme, désigne l’utilisation par les employés de logiciels ou services non approuvés par la direction des systèmes d’information. Avec l’essor de l’IA générative, ce phénomène prend une nouvelle dimension. Selon une étude récente, 68 % des employés utilisent des outils comme ChatGPT sans en informer leur DSI, exposant ainsi l’entreprise à des risques accrus de fuite de données et de non-conformité réglementaire.

L’utilisation non encadrée de ces outils peut entraîner la divulgation involontaire d’informations sensibles, la violation de normes telles que le RGPD, et la fragmentation du système d’information. Les entreprises doivent donc mettre en place des politiques claires et des outils de surveillance pour détecter et gérer ces usages non autorisés.

Face à ces menaces, l’audit de code source s’impose comme une démarche essentielle pour identifier et corriger les vulnérabilités des applications. En analysant le code, les entreprises peuvent détecter des failles de sécurité, améliorer la maintenabilité et s’assurer de la conformité aux bonnes pratiques de développement.

Des exemples de démarches d’audit de code source montrent que cette pratique permet non seulement de renforcer la sécurité, mais aussi d’optimiser les performances et la scalabilité des applications. En intégrant l’audit de code dès les premières phases de développement, les entreprises adoptent une approche proactive de la cybersécurité.

La sensibilisation des collaborateurs : un bouclier du quotidien

Cependant, la sécurité ne repose pas uniquement sur des mesures techniques. Les collaborateurs jouent un rôle crucial dans la protection des systèmes d’information. Une erreur humaine, comme l’ouverture d’un e-mail de phishing ou l’utilisation d’un mot de passe faible, peut compromettre l’ensemble du réseau.

Pour renforcer la vigilance des employés, des formations proposées par le groupe Inside permettent de sensibiliser aux bonnes pratiques en matière de cybersécurité. Ces programmes abordent des thématiques telles que la gestion des mots de passe, la reconnaissance des tentatives de phishing, et les comportements à adopter en cas de suspicion d’incident.

La combinaison d’audits de code réguliers et de formations continues des collaborateurs constitue une stratégie efficace pour renforcer la sécurité des applications. En intégrant ces deux dimensions, les entreprises peuvent anticiper les menaces, réagir rapidement en cas d’incident, et instaurer une culture de la cybersécurité à tous les niveaux.

Cette approche intégrée nécessite une collaboration étroite entre les équipes techniques et les départements métiers. En favorisant la communication et en mettant en place des processus clairs, les entreprises peuvent réduire les risques liés au Shadow IT et à l’utilisation non encadrée de l’IA.

La sécurité des applications ne peut plus se limiter à une simple analyse du code. Dans un environnement numérique en constante évolution, les entreprises doivent adopter une approche globale, combinant mesures techniques et sensibilisation des collaborateurs. En intégrant ces deux dimensions, elles pourront mieux anticiper les menaces et protéger efficacement leurs actifs numériques.

Partouche en croisade contre les jeux illégaux en ligne

Le Groupe Partouche tire la sonnette d’alarme face à la recrudescence des fraudes en ligne exploitant son image. Une lutte d’envergure s’engage contre les jeux illégaux, en collaboration avec les géants du web.

Depuis plusieurs mois, un phénomène inquiétant prend de l’ampleur sur les réseaux sociaux : des escrocs exploitent sans scrupule l’image du Groupe Partouche pour rediriger les internautes vers des plateformes de jeux en ligne illégales. Ces contenus frauduleux, le blog ZATAZ, référence des actualités Cyber Sécurité s’en était fait l’écho en mars 2025, souvent habilement conçus, abusent de la notoriété du groupe pour piéger des joueurs en quête de gains rapides. Face à cette vague de détournements d’image et à l’essor des offres illicites, Partouche réagit avec fermeté. L’entreprise entame une collaboration inédite avec META afin de mieux identifier et supprimer ces contenus nocifs. Un pas déterminant dans la lutte contre une menace numérique qui fragilise la sécurité des joueurs et mine la légitimité des opérateurs légaux.

Dans l’univers en constante mutation des jeux d’argent, une nouvelle bataille s’est engagée, et elle ne se joue pas dans les casinos, mais dans l’arène numérique. Depuis plusieurs mois, le Groupe Partouche – acteur historique du secteur du divertissement en France – est la cible d’une campagne massive d’usurpation de son identité sur les réseaux sociaux. Des escrocs se font passer pour l’entreprise, ses dirigeants, ou ses salariés, dans le but de rediriger les internautes vers des plateformes de jeux illégaux opérant en toute clandestinité. Ce phénomène, aussi inquiétant que sophistiqué, prend une ampleur inédite et menace à la fois les consommateurs et l’équilibre du marché des jeux en ligne.

À travers des publications sponsorisées, des comptes usurpateurs ou des vidéos truquées, les fraudeurs exploitent l’image de Partouche pour instaurer une illusion de confiance. Le blog ZATAZ avait d’ailleurs lancé plusieurs alertes auprès des « influenceurs » et autres bloggeurs sur des approches « d’agence de communication » venue proposer, contre de l’argent, des articles. [Lire ICI et LA]. Ces articles cachés des liens vers des casinos illicites, voir clairement malveillants.

Derrière cette façade mensongère, ce sont des sites hébergés à l’étranger, échappant à toute régulation française, qui proposent des jeux d’argent sans contrôle, sans encadrement, et sans aucune garantie de sécurité. L’objectif est clair : piéger les internautes avec des promesses de gains rapides et les faire entrer dans un cercle vicieux d’addiction, sans que ceux-ci n’aient les moyens de s’en protéger.

« L’usurpation d’identité en ligne n’est pas seulement une fraude, c’est une attaque contre la confiance du public », déclare un représentant du groupe.

L’Autorité Nationale des Jeux (ANJ), qui supervise le secteur en France, a elle-même tiré la sonnette d’alarme. Dans ses derniers rapports, elle met en garde contre une croissance inquiétante des offres illégales accessibles aux joueurs français, notamment via les réseaux sociaux et certaines plateformes vidéo. Ces offres se développent dans l’ombre du cadre légal, profitant du flou juridique et de la difficulté à contrôler le flux d’informations sur Internet. Le danger est double : non seulement les joueurs ne bénéficient d’aucune protection, mais ils deviennent également vulnérables à d’autres dérives, telles que les arnaques bancaires ou l’exploitation de leurs données personnelles.

Conscient de ces enjeux, le Groupe Partouche a décidé de passer à l’action. Une collaboration stratégique vient d’être lancée avec META, maison mère de Facebook et Instagram. Ce partenariat vise à faciliter le signalement et la suppression rapide des contenus frauduleux. En s’associant directement avec l’une des plus grandes entreprises technologiques du monde, Partouche espère obtenir des résultats concrets et freiner la prolifération de ces arnaques numériques.

Cette alliance s’inscrit dans une démarche plus large : celle d’un engagement en faveur d’un jeu responsable et sécurisé. Car contrairement à ces plateformes pirates, les établissements de jeux autorisés en France sont soumis à des obligations strictes. Ils doivent garantir l’équité des jeux, encadrer la publicité, protéger les joueurs vulnérables et prévenir le jeu excessif. C’est précisément cette rigueur que contournent les opérateurs illégaux, mettant en péril des années de régulation patiemment construites.

Les plateformes illégales de jeux en ligne échappent à toute régulation, exposant les joueurs à des risques accrus de fraude, d’addiction et de perte de données personnelles.

Mais au-delà des conséquences pour les joueurs, cette guerre numérique soulève une autre question : celle de la souveraineté réglementaire face à des acteurs opérant hors des frontières. La France, comme d’autres pays européens, se heurte à la difficulté de faire appliquer son droit sur Internet, espace sans frontières par excellence. Même avec le soutien de grandes entreprises comme META, les mesures de blocage ou de suppression restent souvent lentes et partielles. Il faut alors repenser les outils de régulation à l’échelle européenne, voire internationale.

Dans ce contexte, le rôle des acteurs comme Partouche devient central. Non seulement ils participent à alerter les autorités, mais ils prennent aussi une part active dans la lutte contre la désinformation, les faux profils, et la promotion de contenus illégaux. L’engagement du groupe est clair : défendre les valeurs d’un divertissement encadré, où chaque joueur peut s’amuser en toute confiance. Et cela passe aussi par une vigilance accrue sur la réputation numérique des marques.

La démarche de Partouche s’inscrit également dans une volonté pédagogique. Le groupe rappelle régulièrement aux internautes qu’aucune offre de jeux d’argent en ligne ne peut être proposée légalement en France sans l’agrément de l’ANJ. Il invite les joueurs à vérifier systématiquement la légalité des plateformes qu’ils utilisent, à se méfier des offres trop alléchantes, et à ne jamais communiquer leurs données bancaires ou personnelles à des sites douteux.

Partouche s’allie à META pour identifier et faire supprimer plus rapidement les contenus frauduleux sur Facebook et Instagram.

Le combat est donc aussi culturel. Il s’agit de sensibiliser le public aux dangers réels des jeux illégaux, bien souvent minimisés par la légèreté des mises en scène en ligne. En jouant sur l’image de marques reconnues, les escrocs cherchent à désarmer la méfiance des internautes, surtout les plus jeunes ou les moins informés. Or, les conséquences peuvent être dramatiques : pertes financières, endettement, isolement, ou encore exposition à des réseaux criminels.

À l’heure où la digitalisation transforme en profondeur tous les secteurs économiques, le monde du jeu n’échappe pas à la règle. Il est donc plus que jamais nécessaire d’instaurer un dialogue constant entre les opérateurs, les régulateurs, et les plateformes technologiques. L’exemple de Partouche montre qu’une action coordonnée est possible. Mais elle doit s’accompagner d’un renforcement des moyens de contrôle, d’un partage plus efficace des données entre institutions, et d’une volonté politique affirmée de protéger le public.

Le Groupe Partouche, en lançant cette offensive contre les arnaques numériques, ne défend pas seulement son image. Il défend aussi un modèle de divertissement encadré, où le plaisir du jeu ne rime pas avec insécurité. Dans cette bataille de longue haleine, chaque acteur a un rôle à jouer. Reste à savoir si l’ensemble de l’écosystème numérique acceptera de faire front commun pour enrayer la vague des jeux illégaux en ligne.

Cybersécurité : la Russie lance un test grandeur nature pour protéger ses systèmes

Depuis 1er avril 2025, la Russie entame un vaste programme pour tester et renforcer la sécurité de ses systèmes d’information gouvernementaux.

Dans un contexte de tensions géopolitiques persistantes et d’accélération de la numérisation des services publics, la Russie inaugure un projet ambitieux : un test de grande ampleur destiné à évaluer et renforcer la sécurité de ses systèmes d’information étatiques. Ce programme, qui s’étendra jusqu’à la fin de l’année 2027, implique les principaux organes du pouvoir exécutif ainsi que leurs établissements subordonnés. L’objectif est clair : garantir l’inviolabilité des données publiques et affirmer la souveraineté numérique du pays face aux menaces cybernétiques croissantes.

Au cœur de cette initiative se trouve la volonté d’instaurer une évaluation indépendante et rigoureuse de la sécurité des systèmes informatiques gouvernementaux. Plus de quarante plateformes numériques seront passées au crible, en particulier celles qui manipulent des volumes importants de données personnelles, comme les services administratifs en ligne, les registres d’État ou encore les bases de données fiscales. Cette opération vise à détecter d’éventuelles failles, à évaluer la résilience des systèmes en cas d’attaque et à renforcer les protocoles de sécurité déjà en place. Il faut dire aussi que les données des Russes ont particulièrement soufferts ces derniers mois, attirant les pirates informatiques locaux et extérieurs, sans oublier les hacktivistes.

Les experts mobilisés auront pour mission de simuler différents scénarios d’attaque, afin d’identifier les vulnérabilités techniques et organisationnelles. L’objectif ne se limite pas à la prévention des cyberattaques : il s’agit aussi de limiter les risques de fuites d’informations, de garantir l’intégrité des données et de préserver la continuité des services en cas d’incident. Ce processus s’inscrit dans une démarche proactive, à l’heure où les cybermenaces se multiplient et gagnent en complexité.

« Ce test contribuera à poser les bases d’une nouvelle architecture de cybersécurité nationale », a déclaré un représentant du ministère du Développement numérique.

Mais ce n’est pas seulement une affaire de technique : à travers ce projet, les autorités russes entendent aussi réaffirmer leur stratégie en faveur du « souverainisme numérique ». Dans un monde où les grandes puissances se livrent une guerre technologique discrète mais intense, la Russie veut se doter de standards propres en matière de cybersécurité, moins dépendants des solutions occidentales, et adaptés à son propre écosystème numérique. Les différentes censures américaines obligent le pays à se tourner vers ses propres solutions.

Le programme prévoit ainsi la mise en place de nouveaux protocoles d’échange d’informations entre administrations, afin de renforcer l’interopérabilité tout en assurant la confidentialité des données. La création de ces circuits sécurisés vise non seulement à optimiser l’efficacité administrative, mais aussi à limiter les points de vulnérabilité, souvent situés aux interfaces des systèmes. La modernisation des infrastructures informatiques de l’État est aussi au cœur du projet, avec un accent particulier sur l’automatisation des contrôles de sécurité et la généralisation des technologies de chiffrement.

Un cap vers le souverainisme numérique ?

L’un des aspects les plus significatifs du programme est sa dimension géostratégique. En effet, l’enjeu de la cybersécurité dépasse désormais le cadre purement technique pour devenir un levier d’indépendance politique et économique. Dans ce contexte, le renforcement de la souveraineté numérique devient un objectif stratégique central pour la Russie. Cela passe par le développement de solutions locales, la réduction de la dépendance aux logiciels étrangers et la promotion de standards nationaux dans la gestion des systèmes d’information.

La volonté de bâtir une infrastructure numérique souveraine se traduit également par le soutien accru à l’écosystème technologique russe. Les entreprises nationales spécialisées dans la cybersécurité, le développement logiciel et les solutions d’intelligence artificielle sont largement mobilisées (et motivées à l’être) dans le cadre de ce test. Il s’agit non seulement de renforcer les compétences locales, mais aussi de stimuler l’innovation dans un secteur considéré comme critique pour l’avenir du pays.

Par ailleurs, le programme vise à renforcer la culture de la cybersécurité au sein même des institutions publiques. Les agents administratifs seront formés aux nouvelles procédures, aux réflexes de protection des données et à la gestion des incidents. Cette dimension pédagogique est jugée essentielle, car la sécurité d’un système ne repose pas uniquement sur ses outils techniques, mais aussi sur les comportements humains qui l’entourent.

La mise en œuvre du test devrait également s’accompagner d’un suivi transparent. Un rapport annuel présentera les avancées du programme, les vulnérabilités identifiées et les solutions mises en place. Ce suivi permettra d’impliquer l’ensemble des acteurs du numérique public dans une dynamique d’amélioration continue, fondée sur l’évaluation et l’adaptation permanente.

Dans ce cadre, la conversion des solutions technologiques en normes officielles est prévue à l’issue de l’expérimentation. Cela signifie que les méthodes ayant démontré leur efficacité pourront être généralisées à l’ensemble de l’appareil d’État.

Vers la fin des certificats SSL longue durée

À partir de 2029, les certificats SSL/TLS ne seront valides que pendant 47 jours. Une révolution discrète mais cruciale dans la sécurité du web vient d’être actée.

C’est un changement majeur dans l’infrastructure invisible du web. Le CA/Browser Forum, organe central réunissant les géants du numérique et les autorités de certification, a voté pour une réduction drastique de la durée de validité des certificats SSL/TLS. Actuellement fixée à 398 jours, cette durée sera ramenée à seulement 47 jours d’ici mars 2029. L’objectif affiché : améliorer la sécurité des connexions HTTPS en limitant la période pendant laquelle un certificat compromis pourrait être exploité. Si cette évolution bénéficie du soutien unanime des grands noms du secteur – Apple, Google, Microsoft et Mozilla en tête – elle suscite aussi l’inquiétude des administrateurs système. Car derrière cette décision technique se cache une transformation radicale de la gestion des certificats numériques, qui exigera des entreprises une adaptation rapide vers des systèmes d’automatisation plus robustes.

Le web est en mutation. Si l’internaute lambda ne remarque jamais les certificats SSL/TLS, ces petits fichiers sont pourtant les garants de la confidentialité et de la sécurité de ses échanges en ligne. En garantissant qu’un site est bien celui qu’il prétend être et en chiffrant les données échangées, ces certificats sont au cœur de l’architecture du HTTPS, le protocole sécurisé devenu standard sur internet.

15 mars 2026 : nouveaux certificats émis, y compris leur validation de contrôle de domaine (DCV), devront être renouvelés tous les 200 jours.
15 mars 2027 : Cette durée de validité sera réduite à 100 jours.
15 mars 2029 : nouveaux certificats SSL/TLS limités à 47 jours, et les DCV à seulement 10 jours.

Jusqu’ici, les certificats pouvaient être valides pendant plus d’un an. Mais dès le 15 mars 2026, cette durée tombera à 200 jours. Et trois ans plus tard, en 2029, la validité maximale sera divisée par plus de huit : un certificat SSL/TLS ne pourra être émis que pour 47 jours. La validation de contrôle de domaine (DCV), qui garantit que le demandeur du certificat contrôle bien le nom de domaine, tombera quant à elle à 10 jours.

« Le soutien unanime des grandes plateformes numériques montre à quel point la sécurité est devenue une priorité absolue. »

Cette décision n’est pas un coup de tête. En réalité, elle s’inscrit dans une tendance amorcée il y a plusieurs années. En 2020, Apple avait déjà pris l’initiative de refuser, via Safari, les certificats valables plus de 13 mois. Depuis, la firme de Cupertino n’a cessé de pousser pour une réduction encore plus sévère de cette durée, arguant que des certificats plus courts limitent les risques d’exploitation en cas de compromission.

Le raisonnement est simple : si un certificat est volé ou compromis, plus sa durée est courte, moins l’attaquant peut l’exploiter. Un certificat valable 398 jours donne aux cybercriminels plus d’un an de champ libre. Un certificat valable 47 jours, c’est autant de jours de moins pour commettre des attaques ou intercepter des données. De quoi limiter significativement les dégâts potentiels en cas de faille.

Mais ce changement a un coût. Pour les autorités de certification, c’est l’assurance d’un marché plus dynamique, avec des renouvellements plus fréquents. Cela pourrait sembler cynique, mais dans les faits, des acteurs comme Let’s Encrypt proposent déjà des certificats gratuits valables seulement 90 jours – et encouragent même l’automatisation complète de leur renouvellement. Leur modèle, basé sur des API et des scripts, montre que l’approche est viable, à condition d’avoir une infrastructure moderne.

C’est justement là que le bât blesse. Car toutes les entreprises ne sont pas prêtes. Dans les forums spécialisés comme Reddit, les réactions des administrateurs système oscillent entre résignation et colère. Beaucoup soulignent que dans un monde idéal, entièrement automatisé, ce changement ne poserait pas de problème. Mais dans la réalité quotidienne des infrastructures informatiques, souvent vieillissantes ou dépendantes de systèmes propriétaires rigides, la mise en place de processus de renouvellement automatique représente un défi de taille.

« La réduction à 47 jours est un pari sur l’avenir, mais elle oblige les entreprises à revoir en profondeur leurs pratiques de gestion des certificats. »

Certains équipements industriels, notamment dans les secteurs de l’énergie, de la santé ou des transports, reposent encore sur des systèmes où le renouvellement d’un certificat est une opération manuelle, parfois lourde, parfois risquée. La multiplication des certificats courts risque donc, à court terme, de générer un surcroît de travail et des coûts d’adaptation non négligeables.

Les cinq abstentions au sein du CA/Browser Forum – Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems et TWCA – reflètent cette tension entre idéal de sécurité maximale et réalité de terrain. Aucun acteur n’a voté contre, mais l’unanimité n’était pas totale. Cela montre que, malgré les avantages évidents sur le plan de la sécurité, tous ne sont pas convaincus de la faisabilité immédiate d’une telle transition.

Du côté des éditeurs de navigateurs, en revanche, le consensus est clair. Apple, Google, Microsoft et Mozilla ont tous approuvé la réduction drastique. Leur position est stratégique : en imposant ces règles via leurs navigateurs, ils forcent de facto tout l’écosystème à s’adapter. Les entreprises qui ne suivent pas verront leurs sites marqués comme non sécurisés, ce qui, à l’heure de la confiance numérique, est un désastre d’image.

Cette pression par le haut s’accompagne toutefois d’une certaine souplesse dans le calendrier. En introduisant une étape intermédiaire en 2026, le CA/Browser Forum espère laisser le temps aux entreprises de moderniser leurs outils. L’enjeu est aussi de préparer le web à des menaces futures, notamment celles que pourrait faire peser l’arrivée de l’informatique quantique sur les systèmes cryptographiques actuels. La flexibilité offerte par des certificats à courte durée permettra de réagir plus vite à de nouveaux risques.

Dans ce contexte, les entreprises doivent désormais considérer la gestion des certificats non plus comme une tâche ponctuelle, mais comme un processus intégré à part entière dans leur politique de cybersécurité. Les outils d’automatisation comme Certbot, déjà largement utilisés avec Let’s Encrypt, devraient devenir la norme. De nouveaux standards d’orchestration et d’intégration dans les pipelines DevOps sont également en cours d’élaboration pour accompagner cette transition.

Ce tournant technique, bien que discret, marque un changement de paradigme. La sécurité n’est plus une barrière à franchir une fois pour toutes, mais une boucle continue, un processus dynamique qui s’adapte en permanence. Et les certificats SSL/TLS, autrefois perçus comme de simples formalités, deviennent les marqueurs de cette nouvelle exigence.

La vraie question, désormais, est de savoir si l’ensemble des acteurs du web seront capables de suivre le rythme imposé par cette évolution. Car si les grandes plateformes disposent des moyens pour s’adapter rapidement, ce sont les petites structures, les administrations et les secteurs aux infrastructures figées qui risquent de se retrouver en difficulté.

La réduction à 47 jours des certificats SSL/TLS pourrait bien renforcer la sécurité du web, mais elle impose une refonte complète des pratiques de gestion des certificats. Dans un monde numérique en perpétuelle évolution, les entreprises sauront-elles faire preuve de l’agilité nécessaire pour relever ce défi ?

Sécurité en alerte : Microsoft corrige 126 failles, dont une déjà exploitée

Microsoft a publié une mise à jour de sécurité massive pour corriger 126 vulnérabilités, dont une, critique, est déjà activement exploitée par des groupes de hackers.

C’est un rituel désormais bien rôdé : chaque deuxième mardi du mois, Microsoft déploie son « Patch Tuesday », la grande mise à jour mensuelle de sécurité de ses produits. Mais celle d’avril 2025 a fait l’effet d’un coup de semonce dans le secteur. Avec pas moins de 126 failles comblées, dont 11 jugées critiques, 112 importantes et 2 de moindre gravité, le géant de Redmond montre l’ampleur des menaces qui pèsent aujourd’hui sur les utilisateurs de ses systèmes. Surtout, une vulnérabilité particulièrement dangereuse, identifiée sous le code CVE-2025-29824, attire toutes les attentions : déjà exploitée activement dans la nature, elle concerne un composant central de Windows et laisse des millions d’appareils à la merci de pirates.

La faille CVE-2025-29824 touche le pilote Windows CLFS (Common Log File System), un composant chargé de la gestion des journaux système. La nature de la brèche est connue : il s’agit d’une erreur de type use-after-free, un bug de gestion de mémoire bien documenté qui permet, dans certains cas, à un attaquant local de prendre le contrôle complet de la machine. Le plus inquiétant est que cette faille ne nécessite pas de droits administrateur pour être exploitée. Un simple accès local suffit pour élever ses privilèges au niveau système, ouvrant la voie à toutes les dérives, notamment l’installation de rançongiciels. Microsoft a confirmé que cette vulnérabilité était déjà utilisée dans des attaques réelles.

La faille critique CVE-2025-29824, activement exploitée, permet à un utilisateur local d’obtenir un contrôle total sur un système Windows sans droits d’administrateur.

Ce type d’attaque n’en est pas à son premier coup d’essai. Depuis 2022, c’est la sixième vulnérabilité du même genre exploitée dans CLFS, ce qui souligne une faiblesse structurelle dans le composant. En réaction à la menace, la CISA (Cybersecurity and Infrastructure Security Agency) américaine a ajouté cette faille à son catalogue des vulnérabilités activement exploitées. Elle impose aux agences fédérales de déployer le correctif avant le 29 avril 2025, une mesure exceptionnelle qui traduit l’urgence de la situation.

Mais tout le monde ne peut pas encore respirer. Le correctif de Microsoft n’est pas disponible pour certaines versions de Windows 10, en particulier les éditions 32 et 64 bits, toujours largement utilisées dans le monde professionnel comme chez les particuliers. Cela signifie que des millions d’appareils restent vulnérables à cette faille, sans solution immédiate. Pour ces utilisateurs, la seule défense reste la prudence et la limitation des accès physiques aux machines.

Outre CVE-2025-29824, la vague de correctifs d’avril couvre un large éventail de services et d’applications critiques. Des failles ont été corrigées dans des protocoles d’authentification comme Kerberos, dans le bureau à distance RDP, le service LDAP, la suite bureautique Microsoft Office (dont Excel), ainsi que dans la pile réseau TCP/IP de Windows et l’hyperviseur Hyper-V. Plusieurs de ces vulnérabilités permettaient l’exécution de code à distance, ce qui, dans les mains d’un pirate, peut se traduire par une prise de contrôle totale du système ciblé.

Certaines failles corrigées ce mois-ci permettaient l’exécution de code à distance, ouvrant la porte à des compromissions totales de système.

Ces failles, combinées à la montée en puissance des attaques par rançongiciel, posent de sérieuses questions sur la résilience des infrastructures informatiques. Aujourd’hui, les cyberattaques ne visent plus seulement les grandes entreprises ou les institutions : elles touchent aussi les PME, les collectivités, les hôpitaux et les particuliers. Chaque faille non corrigée devient une porte d’entrée potentielle pour des groupes cybercriminels de plus en plus organisés, souvent liés à des États.

La publication de cette mise à jour n’est pas un événement isolé. Avril 2025 a vu un véritable branle-bas de combat dans l’ensemble de l’industrie technologique. Outre Microsoft, des entreprises comme Adobe, Google, Apple, Cisco, HP, AMD, Mozilla, Fortinet, SAP, Zoom et les éditeurs de distributions Linux ont également publié des mises à jour de sécurité importantes. Cela montre à quel point les failles sont omniprésentes, souvent découvertes par des chercheurs en cybersécurité, mais aussi parfois après avoir été utilisées à mauvais escient.

Pour les professionnels de l’IT et les responsables de la sécurité, cette cascade de correctifs signifie des heures de travail supplémentaires pour tester, déployer et vérifier les mises à jour dans des environnements parfois complexes. Le moindre oubli, le moindre retard peut avoir des conséquences dramatiques. Dans ce contexte, les politiques de gestion des correctifs (patch management) deviennent une composante essentielle de la stratégie de cybersécurité d’une organisation.

Microsoft, de son côté, continue d’améliorer ses systèmes de détection et de réponse face aux menaces. L’entreprise s’appuie sur des données récoltées à travers son vaste écosystème pour repérer rapidement les nouvelles attaques. Mais face à l’ingéniosité des cybercriminels, la simple réactivité ne suffit plus. Il faut une approche proactive, avec des audits réguliers, une réduction de la surface d’attaque et une sensibilisation constante des utilisateurs aux bons comportements.

À moyen terme, la dépendance à des composants anciens et parfois mal sécurisés comme CLFS interroge sur la durabilité des architectures logicielles actuelles. Faut-il réécrire des pans entiers du code de Windows pour éviter les mêmes erreurs ? Est-il encore viable de maintenir autant de versions du système d’exploitation en parallèle ? Ces questions, stratégiques, dépassent le cadre technique et engagent l’ensemble de l’écosystème numérique.

Enfin, cette actualité rappelle une réalité trop souvent ignorée : la cybersécurité n’est plus un sujet réservé aux experts. C’est une préoccupation quotidienne, qui touche directement la vie des utilisateurs et la stabilité des entreprises. Face à des menaces de plus en plus sophistiquées, la seule stratégie gagnante reste la vigilance.

Faux convertisseur PDF : adieu vos cryptomonnaies !

Un paquet malveillant déguisé en convertisseur PDF a été utilisé pour pirater les portefeuilles de cryptomonnaies Atomic Wallet et Exodus, exposant des milliers d’utilisateurs à une fraude invisible.

 Un paquet open source diffusé via le gestionnaire npm, baptisé pdf-to-office, prétendait offrir une fonction anodine de conversion de fichiers PDF vers des formats Microsoft Office. En réalité, il s’agissait d’un cheval de Troie sophistiqué, conçu pour infiltrer deux des portefeuilles de cryptomonnaies les plus populaires — Atomic Wallet et Exodus — et rediriger subrepticement les transactions vers des adresses contrôlées par les cybercriminels. Cette attaque ciblée souligne à nouveau les failles béantes de la chaîne d’approvisionnement logicielle dans l’univers de la blockchain, où la confiance peut être compromise par une simple ligne de code.

Ce n’est pas la première fois que des paquets npm sont détournés à des fins malveillantes, mais l’attaque révélée se distingue par sa précision chirurgicale et son camouflage élaboré. Le paquet pdf-to-office ne suscitait a priori aucun soupçon : ses métadonnées semblaient légitimes, sa description technique cohérente, et il remplissait même partiellement sa promesse en convertissant certains fichiers PDF. Mais une fois installé sur la machine d’un développeur ou d’un utilisateur peu méfiant, le vrai travail du code malveillant commençait.

Dès l’exécution, le script inspectait le système local pour détecter la présence des portefeuilles Atomic Wallet ou Exodus. En fonction de la version installée, il allait modifier directement certains fichiers critiques au sein de leurs répertoires. Le plus inquiétant : les applications continuaient à fonctionner normalement, sans éveiller la moindre alerte de la part de l’utilisateur. L’interface restait identique, les soldes n’étaient pas altérés, les fonctions paraissaient intactes. Pourtant, à l’envoi de fonds, l’adresse du destinataire était discrètement remplacée par une adresse appartenant à l’attaquant.

« Même supprimé, le virus continue d’agir dans l’ombre : seul un reformatage complet des portefeuilles permet d’en venir à bout. »

Cette technique d’injection silencieuse est particulièrement dangereuse, car elle détourne des fonds en toute discrétion, souvent sans que les victimes ne s’en rendent compte avant que le mal ne soit fait. Ce type d’attaque est difficile à détecter à l’œil nu, car elle ne repose pas sur un simple keylogger ou une interception réseau, mais sur la modification interne des composants de logiciels de confiance.

Le script malveillant effectuait un archivage de fichiers provenant de la configuration d’AnyDesk, un logiciel populaire de prise de contrôle à distance. Ces archives étaient ensuite exfiltrées vers un serveur externe, ce qui pourrait indiquer soit une tentative de nettoyage de traces, soit la préparation d’une attaque plus vaste ciblant des environnements professionnels ou des infrastructures critiques. Ce volet secondaire de l’attaque suggère un niveau de sophistication élevé, digne de groupes de cybercriminalité organisés.

L’attaque met en lumière les faiblesses structurelles de l’écosystème npm, qui repose sur la confiance entre développeurs.

À l’heure actuelle, le paquet pdf-to-office a été retiré de la plateforme npm. Mais les conséquences persistent. Car même après la suppression du paquet et son désinstallation manuelle, les fichiers infectés dans les portefeuilles restent actifs. En d’autres termes, le logiciel reste compromis à moins d’être complètement réinstallé depuis des sources officielles. Cette persistance pose un défi majeur pour la remédiation : de nombreux utilisateurs n’imaginent pas qu’une simple dépendance de développement puisse infecter leur portefeuille crypto, et continuent à utiliser leur logiciel sans se douter du détournement.

Les versions officielles d’Atomic Wallet et Exodus, disponibles sur les sites des éditeurs, n’ont pas été affectées. Seules les installations locales ayant incorporé ce paquet via une chaîne de dépendances contaminée sont concernées. Cela n’empêche pas de tirer une sonnette d’alarme : une fois de plus, c’est l’intégrité de la chaîne d’approvisionnement logicielle qui est en jeu. Une menace devenue récurrente, après des scandales retentissants comme celui de SolarWinds ou de l’attaque contre 3CX.

Coupure brutale dans la cybersécurité : la base CVE s’éteint

Le gouvernement américain a mis fin au financement de la base de données CVE, pilier mondial de la cybersécurité, provoquant sa fermeture immédiate et laissant un vide critique dans la détection des vulnérabilités… pour faire marche arrière ensuite !

C’est un tournant inquiétant pour l’écosystème de la cybersécurité mondiale. Ce mercredi, la célèbre base de données CVE (Common Vulnerabilities and Exposures), référence universelle en matière d’identification des failles informatiques, s’éteint. En cause : la fin du contrat entre la MITRE Corporation, organisme à but non lucratif gestionnaire du projet, et la CISA, l’agence fédérale américaine chargée de la cybersécurité. Un non-renouvellement abrupt, inscrit dans une politique budgétaire restrictive menée par l’administration Trump, qui provoque l’interruption immédiate de cette infrastructure pourtant essentielle. Depuis 1999, le système CVE permettait une classification claire et standardisée des failles de sécurité. Sa disparition temporaire bouleverse le fonctionnement quotidien de milliers de professionnels à travers le monde.

Un tournant que Datasecuritybreach.fr avait mis en avant, en février et mars 2025. La Maison Blanche ayant mis une pression économique auprès de plusieurs structures dédiées à la cybersécurité, dont la CISA.

La scène se passe presque dans le silence. Pas de conférence de presse ni de communiqué tapageur. Pourtant, l’arrêt de la base de données CVE constitue l’un des événements les plus marquants de ces dernières années pour la cybersécurité internationale. Des millions de professionnels s’appuyaient sur cette base pour identifier, référencer et corriger les vulnérabilités affectant les logiciels, les systèmes d’exploitation ou les composants matériels. L’arrêt de sa mise à jour signifie que les vulnérabilités découvertes à partir d’aujourd’hui ne seront plus répertoriées de manière centralisée, unique et accessible à tous.

Depuis plus de deux décennies, le CVE a été l’épine dorsale de la coordination dans la réponse aux menaces. À l’origine, le projet avait été lancé pour mettre fin au chaos régnant dans les années 1990, où chaque entreprise utilisait ses propres référentiels, rendant les échanges sur les failles complexes et peu efficaces. Grâce au CVE, une faille se voyait attribuer un identifiant unique – une sorte de matricule – permettant à toutes les équipes de cybersécurité, quels que soient leurs outils ou leur pays, de parler le même langage.

« La fin du CVE n’est pas seulement symbolique, elle est structurelle : c’est la disparition d’un standard global sans équivalent immédiat. »

Mais le contrat entre la MITRE Corporation et le ministère de la Sécurité intérieure américain, via la CISA, prend fin ce mercredi, sans reconduction. Cette décision, confirmée par le gouvernement, s’inscrit dans une logique de réduction budgétaire engagée par l’exécutif, au détriment de certains outils considérés comme coûteux ou non prioritaires. Et c’est là que le bât blesse : le coût de fonctionnement du programme CVE, pourtant relativement modeste à l’échelle des budgets fédéraux, est jugé superflu dans le cadre de cette politique d’austérité numérique.

Ce choix soulève l’incompréhension chez de nombreux acteurs du secteur, tant publics que privés. Car si la base de données CVE était officiellement américaine, sa portée, elle, était universelle. Des centaines de chercheurs, de laboratoires, de grandes entreprises de cybersécurité, mais aussi d’organisations gouvernementales et non gouvernementales du monde entier y contribuaient. Le modèle collaboratif du CVE en faisait un bien commun numérique, sans équivalent dans sa structuration et sa portée.

La fermeture brutale du système a pris de court nombre de professionnels. Si les anciennes données restent disponibles via des archives sur GitHub, elles ne seront plus mises à jour tant qu’aucune solution alternative n’aura été trouvée. Et c’est bien là que se situe le danger : selon les chiffres récents, plus de 25 000 nouvelles vulnérabilités ont été enregistrées dans la base CVE rien qu’en 2023. Leur absence de référencement officiel risque d’entraver sérieusement les réponses coordonnées à venir.

L’impact pourrait être particulièrement sévère pour les petites et moyennes entreprises, ainsi que pour les institutions publiques ne disposant pas de moyens pour accéder à des services commerciaux de suivi de vulnérabilités. De nombreuses solutions logicielles de gestion des risques ou de patching automatisé s’appuient directement sur les identifiants CVE pour détecter et corriger les failles. Sans ces repères, les délais de réaction risquent de s’allonger, laissant la porte ouverte à des cyberattaques d’envergure.

« Sans CVE, chaque organisation devra réinventer sa propre méthode de suivi des failles, avec les risques d’erreurs et de lenteurs que cela implique. »

Dans l’urgence, plusieurs pistes sont envisagées pour pallier ce vide. Certains évoquent la création d’un consortium international qui prendrait en charge la continuité du projet, sur un modèle similaire à celui de l’ICANN pour la gouvernance des noms de domaine. D’autres misent sur une reprise du flambeau par des entreprises majeures du secteur, comme Google, Microsoft ou encore IBM, qui disposent des moyens techniques et humains pour maintenir une base à jour. Mais ces options posent aussi des questions éthiques et politiques. Une base gérée par une entreprise privée pourrait perdre sa neutralité, tandis qu’une gouvernance internationale impliquerait des négociations complexes, longues et souvent ralenties par des logiques géopolitiques divergentes.

Dans l’intervalle, certains acteurs, notamment européens, pourraient saisir l’opportunité pour développer une alternative ouverte et souveraine. La question d’une autonomie stratégique en cybersécurité est de plus en plus discutée sur le Vieux Continent, et la fin de la base CVE pourrait accélérer cette dynamique. Un projet européen, financé par des institutions comme l’ENISA ou la Commission européenne, aurait le mérite de réduire la dépendance aux infrastructures américaines et de redonner une impulsion aux politiques de cybersécurité européennes.

Mais rien de tout cela ne sera immédiat. La construction d’une base de données fiable, exhaustive et reconnue prend du temps. Il faudra recréer des réseaux de contributeurs, des protocoles d’évaluation et des processus d’attribution normalisés. En attendant, le secteur devra composer avec une zone grise, où l’identification et la diffusion des vulnérabilités se feront de manière fragmentée.

Certains experts alertent d’ailleurs sur le risque d’une recrudescence de failles non signalées ou mal documentées dans les semaines à venir. Dans ce contexte d’instabilité, les cybercriminels pourraient profiter de cette désorganisation pour exploiter des brèches non encore corrigées. Une situation que les gouvernements comme les entreprises redoutent particulièrement.

Alors que le numérique structure aujourd’hui tous les pans de notre société – santé, finance, énergie, transports – la cybersécurité n’a jamais été aussi stratégique. Or, l’arrêt d’un outil aussi fondamental que le CVE fragilise un édifice déjà sous pression constante. Cette décision marque aussi un signal politique inquiétant : la cybersécurité ne semble plus figurer parmi les priorités stratégiques immédiates des États-Unis, du moins dans sa dimension coopérative et ouverte.

Le CVE n’est pas qu’une base de données. Il est le socle invisible sur lequel repose la coordination mondiale en matière de sécurité informatique. Sa disparition, même temporaire, doit alerter sur la fragilité des infrastructures numériques essentielles lorsqu’elles dépendent d’un unique acteur public ou privé. C’est l’un des paradoxes de notre ère numérique : à l’heure où tout est interconnecté, les outils critiques reposent encore sur des fondations institutionnelles trop peu résilientes.

Alors que le monde cherche une solution de remplacement à la base CVE, une question persiste : la cybersécurité mondiale peut-elle continuer de reposer sur des initiatives isolées, ou est-il temps d’envisager une gouvernance réellement collective et pérenne de la sécurité numérique ?

Mise à jour : La CISA (Cybersecurity and Infrastructure Security Agency) a finalement prolongé mardi soir son contrat avec le programme CVE (Common Vulnerabilities and Exposures), géré par le MITRE.

Le programme CVE, utilisé depuis 25 ans pour identifier et cataloguer les failles de cybersécurité à l’échelle mondiale, risquait de perdre ses financements dès mercredi. Heureusement, un prolongement de 11 mois a été acté in extremis pour éviter une interruption des services critiques.

Cependant, des tensions apparaissent : une partie du conseil du programme CVE envisage de créer une nouvelle entité indépendante, la CVE Foundation, pour garantir la neutralité et la pérennité du programme, actuellement trop lié à un financement gouvernemental unique.

Ce rebondissement intervient alors que la CISA fait face à des réductions budgétaires, des résiliations de contrats et des critiques politiques, notamment sur son rôle durant les élections de 2020. La secrétaire à la Sécurité intérieure Kristi Noem souhaite une réduction de taille et de dépenses pour rendre l’agence « plus efficace et agile« .

Mise à jour : des rebondissements qui ont permis à l’Europe de sortir de la cave https://euvd.enisa.europa.eu/– au moment de cette mise à jour, le site attend de passer en … 2025 !

Root écope de 900 000 € d’amende pour avoir exposé les données de 45 000 clients

New York vit une série de piratages informatiques qui met à mal des millions d’habitants et étudiants de la Grosse Pomme. Nouveau cas aprés l’Université de New-York, une faille de sécurité dans le système de devis de Root. Une cyber attaque vieille de plusieurs mois qui a permis à des pirates d’accéder aux informations personnelles de 45 000 New-Yorkais. L’entreprise vient d’être condamnée à une forte amende.

L’entreprise d’assurance automobile Root, qui ne propose pas de services à New York, a néanmoins permis à des cybercriminels d’exploiter une faille dans son système de devis en ligne, entraînant la fuite de numéros de permis de conduire et d’autres informations sensibles. Cette attaque s’inscrit dans une série d’incidents similaires ayant ciblé le secteur de l’assurance, exposant des milliers de clients à des risques de vol d’identité.

Une faille de sécurité massive exploitée par des cybercriminels

Root permettait aux consommateurs d’obtenir une estimation de prix pour une assurance automobile via son site internet. Le système de devis utilisait une fonction de pré remplissage qui complétait automatiquement certains champs avec des informations sensibles, y compris les numéros de permis de conduire. Une fois le devis généré, le système créait un fichier PDF contenant les informations du client, y compris le numéro de permis de conduire en texte brut. Cette faille a permis à des cybercriminels d’automatiser le processus de collecte de données en utilisant des bots.

En janvier 2021, Root a découvert que des acteurs malveillants exploitaient cette vulnérabilité pour collecter massivement des informations personnelles. Les pirates ont utilisé ces données pour déposer des demandes frauduleuses de prestations de chômage pendant la pandémie de COVID-19. L’enquête du Bureau de la procureure générale (OAG) a révélé que Root n’avait pas mis en place de mesures de sécurité adéquates pour empêcher l’accès automatisé par des bots. L’entreprise n’a pas non plus identifié la vulnérabilité de son système de préremplissage ni sécurisé les fichiers PDF générés par le système.

La procureure générale Letitia James a déclaré que l’incapacité de Root à protéger ces informations sensibles représentait une violation grave des normes de sécurité des données. Elle a souligné que cette négligence avait directement exposé des milliers de New-Yorkais à des risques de vol d’identité. Selon l’enquête, Root n’avait pas effectué de contrôles de sécurité réguliers sur son système, ni mis en place de protocoles pour détecter et bloquer les attaques automatisées.

Une sanction financière et des mesures de sécurité renforcées

En plus de l’amende de 975 000 dollars, Root a accepté de mettre en place une série de mesures pour renforcer la sécurité de ses systèmes. L’entreprise devra mettre en place un programme de sécurité complet pour garantir la protection des informations sensibles de ses clients. Elle devra également surveiller en permanence les accès à ses systèmes et mettre en place un protocole d’alerte pour signaler toute activité suspecte. Root s’est engagée à renforcer ses procédures d’authentification et à effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.

Il aura fallu une condamnation pour que l’entreprise se penche sur la base de sa cybersécurité ? Les compagnies d’assurance collectent une quantité massive de données sensibles et doivent assumer la responsabilité de protéger ces informations contre les cybermenaces.

Une série de mesures contre le secteur de l’assurance

Cette amende s’inscrit dans une série d’actions menées par le bureau de la procureure générale contre le secteur de l’assurance. En novembre 2024, GEICO et Travelers avaient accepté de payer 5,1 millions de dollars après avoir été accusées d’avoir laissé des failles dans leurs systèmes de sécurité, facilitant le vol d’informations personnelles de milliers de New-Yorkais. En décembre 2024, Noblr a conclu un accord de 500 000 dollars avec le bureau de la procureure générale après avoir été accusée de pratiques de sécurité insuffisantes. En mars 2025, Letitia James a également engagé des poursuites contre Allstate Insurance, accusée d’avoir compromis les informations de plus de 165 000 clients à cause de failles de sécurité dans son système en ligne.

Letitia James s’est imposée comme une figure clé dans la protection de la vie privée des New-Yorkais face aux cybermenaces. Son bureau a également pris des mesures dans d’autres secteurs. En octobre 2024, un accord de 2,25 millions de dollars a été obtenu auprès d’un prestataire de soins de santé pour une fuite de données médicales. En août 2024, une coalition multirégionale dirigée par Letitia James a obtenu 4,5 millions de dollars d’une société de biotechnologie pour avoir échoué à protéger les données sensibles des patients. En juillet 2024, le bureau de la procureure générale a lancé deux guides sur la protection de la vie privée en ligne pour aider les entreprises et les consommateurs à mieux gérer la confidentialité de leurs données.

Violation massive de données à la Pennsylvania State Education Association : plus de 500 000 personnes affectées

La Pennsylvania State Education Association (PSEA) a été victime d’une violation de données qui a exposé les informations personnelles de plus de 500 000 personnes. Cette attaque, revendiquée par le groupe de rançongiciels Rhysida, soulève de graves préoccupations concernant la sécurité des données dans le secteur de l’éducation publique.

La PSEA, un syndicat influent représentant les enseignants, les professionnels du soutien à l’éducation et le personnel scolaire de Pennsylvanie, a confirmé qu’une attaque informatique avait compromis les données de 517 487 personnes. L’incident, survenu aux alentours du 6 juillet 2024, a été détecté après qu’un acteur malveillant a réussi à s’introduire dans le réseau informatique de l’association. Après plusieurs mois d’enquête, la PSEA a officiellement révélé la nature et l’étendue de la faille le 18 février 2025, confirmant que des informations sensibles avaient été compromises. Un mois plus tard, ils alertaient les personnes potentiellement impactées. Soit 8 mois aprés l’attaque !

Une attaque d’envergure visant des informations critiques

Le mode opératoire des cybercriminels suggère une attaque soigneusement préparée, ciblant des informations personnelles sensibles. Les données compromises incluent les noms complets des membres de la PSEA, associés à une ou plusieurs informations sensibles : numéro de sécurité sociale, date de naissance, numéro de permis de conduire, numéros de comptes bancaires, identifiants de connexion, informations de paiement (y compris le code PIN et la date d’expiration), numéros de passeport, informations d’assurance maladie et données médicales.

La sophistication de cette attaque repose sur la diversité des données compromises, donnant aux cybercriminels une marge d’exploitation importante. La capacité à combiner ces informations pourrait permettre la mise en place de fraudes bancaires, d’usurpations d’identité ou encore d’attaques ciblées contre les personnes concernées. La PSEA a rapidement pris des mesures pour sécuriser son réseau et renforcer ses protocoles de sécurité. Cependant, le caractère massif de la fuite souligne une vulnérabilité structurelle dans la protection des données au sein du secteur de l’éducation publique.

« PSEA a connu un incident de sécurité le 6 juillet 2024 ou aux alentours de cette date, qui a impacté notre environnement réseau. Après une enquête approfondie et un examen minutieux des données concernées, achevés le 18 février 2025, nous avons déterminé que les données acquises par l’acteur non autorisé contenaient des informations personnelles appartenant à des personnes dont les informations étaient contenues dans certains fichiers de notre réseau« , précise la notification officielle publiée par la PSEA. L’enquête, c’est surtout l’accès aux données diffusées par les pirates ?

Le communiqué ajoute que l’association a « pris les mesures nécessaires, au mieux de nos capacités et de nos connaissances, pour garantir la suppression des données volées par l’acteur non autorisé« . Cette formulation laisse entendre que la PSEA a pu négocier avec le groupe de rançongiciels Rhysida, une hypothèse renforcée par le retrait ultérieur de la PSEA du site de fuite du groupe criminel sur le dark web.

Rhysida : un groupe de rançongiciels redouté

Le groupe Rhysida est apparu sur la scène cybercriminelle en 2023 et s’est rapidement imposé comme l’un des collectifs de ransomware les plus actifs au monde. Rhysida cible principalement les institutions publiques, les établissements de santé, les services éducatifs et les infrastructures critiques. Le mode opératoire du groupe consiste à infiltrer les réseaux informatiques par des techniques d’ingénierie sociale, souvent via des attaques de type hameçonnage (phishing) ou par l’exploitation de vulnérabilités dans des logiciels non mis à jour.

Une fois le réseau compromis, Rhysida utilise un logiciel de cryptage pour bloquer l’accès aux fichiers sensibles. Les attaquants réclament alors une rançon, souvent en cryptomonnaie, en échange de la clé de déchiffrement. Si la victime refuse de payer ou tarde à répondre, le groupe menace de publier les données volées sur son site de fuite hébergé sur le dark web. Cette double menace — paralysie des systèmes et publication des données — place les victimes dans une situation délicate, poussant souvent les institutions à négocier discrètement avec les attaquants.

Dans le cas de la PSEA, Rhysida a revendiqué l’attaque le 9 septembre 2024, exigeant une rançon de 20 bitcoins (environ 720 000 euros au taux de change de septembre 2024). Peu après, le nom de la PSEA a disparu du site de fuite du groupe, laissant penser qu’un accord financier a été trouvé. Bien que la PSEA n’ait pas confirmé avoir payé la rançon, la suppression des données du site de Rhysida renforce cette hypothèse.

Chrome sous attaque : une faille critique exploitée dans une campagne de cyber espionnage

Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.

Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.

Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.

Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.

« Une sophistication rare, digne d’acteurs étatiques »

L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).

L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.

Un correctif publié, mais l’enquête se poursuit

L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.

Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.

L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.

Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.

Un jeu d’échecs numérique aux ramifications géopolitiques

Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.

Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.

Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?

Prison ferme requise contre une vendeuse de téléphones Encrochat

Le parquet néerlandais a requis une peine de quatre ans de prison à l’encontre d’une femme de 28 ans, originaire de Den Bosch, accusée d’avoir vendu des téléphones EncroChat destinés à des criminels. Ces appareils permettaient d’envoyer des messages cryptés et d’assurer une communication totalement anonyme, facilitant ainsi l’organisation d’activités illégales.

Entre avril 2019 et juin 2020, la suspecte aurait vendu ces téléphones sécurisés à une clientèle bien particulière : des trafiquants de drogue et des criminels organisés. Si la vente de téléphones chiffrés n’est pas illégale en soi, le parquet affirme que les appareils fournis par la suspecte étaient utilisés exclusivement à des fins criminelles.

« En vendant ces téléphones, la prévenue a contribué à rendre plus difficile la détection de crimes graves, comme le trafic de drogue à grande échelle. Son seul objectif était de faire de l’argent rapidement, » a déclaré le procureur dans un communiqué.

La femme est également accusée d’avoir effacé à distance les données des téléphones de ses clients lorsque ceux-ci étaient arrêtés, supprimant ainsi les messages échangés et entravant le travail des enquêteurs.

La suspecte a été arrêtée en septembre 2021 après avoir été identifiée comme revendeuse dans le cadre d’une autre enquête criminelle. Lors de son interrogatoire, elle a affirmé ne pas connaître ses clients. Une version que le parquet juge peu crédible, compte tenu des montants en espèces reçus et de la nature criminelle de sa clientèle.

Une activité très rentable

Selon les calculs du parquet, la vente de ces téléphones EncroChat aurait rapporté à la suspecte environ 630 840 € en un peu plus d’un an. Elle agissait en tant que sous-revendeuse, travaillant pour un autre suspect qui gérait un réseau d’environ 30 autres distributeurs de téléphones EncroChat.

Ce modèle de distribution a permis de créer un marché clandestin de téléphones cryptés spécifiquement conçu pour contourner les systèmes de surveillance et de détection des forces de l’ordre. Les criminels pouvaient ainsi organiser leurs activités en toute discrétion, échappant à la surveillance des autorités.

« La vente de ces téléphones cryptés a permis aux organisations criminelles de se structurer et de coordonner leurs opérations en toute impunité, » a souligné le parquet.

Le tournant décisif de juillet 2020

L’histoire d’EncroChat a connu un tournant majeur en juillet 2020, lorsque les autorités néerlandaises et françaises sont parvenues à percer le système de chiffrement. Pendant plusieurs mois, les forces de l’ordre ont pu intercepter et surveiller les échanges entre criminels. Plus de 20 millions de messages ont été récupérés, mettant en lumière un vaste réseau de trafic de drogue, de trafic d’armes et de blanchiment d’argent.

Dans les semaines suivant la découverte, la police néerlandaise a procédé à une série de coups de filet spectaculaires : 100 suspects arrêtés ; 19 laboratoires de drogue démantelés ; Des dizaines d’armes à feu saisies ; Près de 10 000 kg de drogues confisqués et un trésor de guerre d’environ 20 millions d’euros en liquide récupérés.

De nombreuses informations clés – noms, photos et messages – ont été extraites des téléphones EncroChat, permettant d’identifier et de poursuivre de nombreux criminels. Cette percée technologique a été qualifiée de « game-changer » par le directeur du service national d’enquête criminelle des Pays-Bas.

Une peine exemplaire pour marquer les esprits

Le parquet néerlandais considère que la prévenue n’était pas une simple revendeuse, mais une actrice clé dans la facilitation des activités criminelles. En effaçant les données des téléphones et en protégeant ses clients, elle aurait sciemment participé à la stratégie d’évasion des trafiquants.

« Ce type de complicité technologique constitue une menace directe pour la sécurité publique. La peine de prison requise doit servir d’exemple pour dissuader d’autres individus de participer à ce type d’activités, » a déclaré le procureur.

La chute d’EncroChat a eu des répercussions majeures sur le crime organisé en Europe. De nombreux réseaux de trafic de drogue et d’armes ont été perturbés, et la capacité des criminels à communiquer en toute sécurité a été fortement réduite. D’autres systèmes de communication cryptés, comme Sky ECC ou Anom, prendront la main… avant d’être démantelés.

Le jugement de la cour, prévu pour le 15 avril 2025, pourrait établir un précédent important dans la lutte contre les technologies facilitant le crime organisé. Si la peine de quatre ans est confirmée, elle pourrait envoyer un signal fort aux acteurs du marché des téléphones cryptés… ou pas !

La répression judiciaire suffira-t-elle à endiguer l’usage des technologies cryptées par le crime organisé, ou les criminels parviendront-ils à contourner une fois de plus les systèmes de surveillance ? Une des questions auxquelles les députés français ont tenté de répondre, il y a peu, avec la loi sur le narcotrafic.

La Chine dévoile un puissant coupe-câble sous-marin : un bouleversement potentiel de l’ordre mondial

Un nouvel appareil développé par des ingénieurs chinois, capable de sectionner les câbles de communication sous-marins les plus « fortifiés », vient d’être dévoilé par Pékin. Cette révélation pourrait redessiner les rapports de force maritimes mondiaux et fragiliser les réseaux de communication internationaux.

Le dispositif, conçu pour fonctionner à des profondeurs atteignant 4 000 mètres – soit le double de la portée opérationnelle maximale des infrastructures de communication sous-marines existantes – pourrait conférer à la Chine un levier stratégique majeur en cas de crise géopolitique.

Une technologie (et une annonce) avancée à portée stratégique

Développé par le Centre de recherche scientifique de la marine chinoise (CSSRC) et le laboratoire d’État clé des véhicules habités en eaux profondes, ce coupe-câble est intégré aux submersibles avancés de la Chine, tels que le Fendouzhe (ou Striver) et la série Haidou. Conçu pour couper des câbles blindés, protégés par des couches d’acier, de caoutchouc et de polymères, ce dispositif cible directement l’infrastructure qui soutient 95 % des communications mondiales.

En théorie, le coupe-câble a été développé pour des opérations de sauvetage en mer et des missions de récupération de ressources dans les grands fonds marins. Toutefois, son potentiel d’utilisation militaire est évident, soulevant des préoccupations majeures au sein de la communauté internationale. Alors que la Russie a été longtemps montré de la pince coupante, la capacité de la Chine à interrompre ou perturber les communications mondiales en cas de conflit stratégique pourrait transformer le paysage géopolitique mondial.

Un outil de défense ou une arme géopolitique ?

Les câbles sous-marins constituent le cœur invisible mais essentiel de l’économie mondiale. Ils acheminent quotidiennement des téraoctets de données, y compris des transactions financières, des communications diplomatiques et des opérations militaires. Si un État acquiert la capacité de sectionner ces câbles à grande profondeur, il pourrait non seulement paralyser l’économie numérique mondiale, mais aussi perturber gravement les opérations militaires et stratégiques de ses adversaires. Les derniers cas vécus en mer Baltique a remis cette potentialité au goût du jour (même si le risque n’a jamais disparu). Souvenez-vous, en 2014, des « requins » avaient coupé des câbles sous-marins !!

Le monde surveille depuis longtemps les capacités de la Chine dans le domaine de la guerre sous-marine. La divulgation publique de cet appareil confirme les soupçons de nombreux analystes : Pékin investit massivement dans des technologies capables de cibler les infrastructures critiques. Un câble sectionné dans l’Atlantique ou le Pacifique pourrait, en quelques minutes, interrompre des communications transcontinentales vitales et déclencher une réaction en chaîne économique et politique.

Le caractère « dual-use » (civil et militaire) du coupe-câble ne fait qu’amplifier les inquiétudes. Si la Chine affirme que le dispositif est destiné à des applications civiles, comme la récupération d’objets en haute mer ou la réparation de câbles endommagés, sa capacité à être utilisé comme arme de déstabilisation stratégique est indéniable. Cette ambivalence rend la situation particulièrement délicate sur le plan diplomatique.

Une capacité sans précédent dans les grands fonds

La profondeur opérationnelle du coupe-câble chinois dépasse largement celle des dispositifs existants. Les câbles de communication actuels sont généralement posés à des profondeurs allant jusqu’à 2 000 mètres. En atteignant 4 000 mètres, la Chine se dote d’une capacité inédite pour accéder et manipuler les infrastructures sous-marines les plus protégées.

Le submersible Fendouzhe, qui a déjà atteint une profondeur record de 10 909 mètres dans la fosse des Mariannes en 2020, constitue une plateforme idéale pour transporter et déployer ce type de technologie. Associé à des systèmes de navigation avancés et une précision robotique accrue, ce coupe-câble pourrait être utilisé avec une redoutable efficacité pour des opérations ciblées.

Le dispositif fonctionne grâce à un mécanisme de coupe renforcé, capable de traverser plusieurs couches de protection métallique et de matériaux composites. Il utilise des lames de carbure de tungstène, connues pour leur extrême résistance, et un système hydraulique à haute pression qui garantit une coupe nette même dans des conditions de pression extrême.

Une menace pour la sécurité mondiale ?

Les implications stratégiques sont considérables. Les câbles sous-marins transportent environ 10 000 milliards de dollars de transactions financières par jour. Une rupture coordonnée de ces câbles pourrait plonger les marchés financiers dans le chaos, interrompre les communications militaires sensibles et paralyser les réseaux internet régionaux.

Les câbles sous-marins, qui transportent 99 % du trafic Internet mondial, sont essentiels pour les communications quotidiennes, les transactions financières et la recherche scientifique. Environ 95 % des données utilisées par la population américaine et 75 % de celles utilisées en Chine transitent par ces infrastructures.

En 2022, le sabotage des gazoducs Nord Stream en mer Baltique avait déjà démontré la vulnérabilité des infrastructures sous-marines. La capacité de la Chine à répliquer ce type d’attaque sur les réseaux de communication pourrait constituer une arme de dissuasion redoutable, modifiant profondément les rapports de force entre grandes puissances.

Les experts en sécurité maritime redoutent que la Chine n’utilise ce coupe-câble pour exercer une pression stratégique sur Taïwan, le Japon ou les États-Unis en cas de tensions accrues en mer de Chine méridionale. En coupant sélectivement certains câbles, Pékin pourrait isoler des régions entières du réseau mondial et semer le chaos économique et militaire.

Les submersibles chinois, comme le Fendouzhe, sont capables de manœuvrer discrètement dans les grands fonds marins, échappant à la détection des radars et des systèmes de surveillance traditionnels.

Vers une nouvelle ère de la guerre sous-marine ?

La révélation de ce coupe-câble chinois marque une étape majeure dans la militarisation des grands fonds marins. Alors que la cybersécurité et la guerre de l’information dominent le paysage stratégique moderne, la capacité à contrôler et manipuler les infrastructures physiques du réseau mondial confère un avantage stratégique décisif.

La Chine vient d’ouvrir une nouvelle brèche dans la guerre sous-marine. Les puissances occidentales sauront-elles s’adapter à ce nouvel environnement stratégique, ou devront-elles accepter une vulnérabilité structurelle face à la montée en puissance technologique de Pékin ?

Une alerte renouvelée de l’administration de la défense US

Fin 2024, datasecuritybreach.fr vous avait relaté l’action de huit sénateurs américains. Ces politiques avaient demandé à Joe Biden de lancer une revue de sécurité sur les câbles sous-marins de communication, citant une menace de sabotage par la Russie et la Chine.

Cette demande reflètait les inquiétudes croissantes des États-Unis concernant l’espionnage potentiel de la Chine sur le trafic de données, une accusation que Pékin rejette fermement.

Pendant la Première Guerre mondiale, la Grande-Bretagne a coupé les câbles sous-marins allemands, et durant la Guerre froide, la marine américaine a intercepté les communications soviétiques par câbles sous-marins. Contrôler ces infrastructures permet d’influencer la circulation des données, ce qui en fait un enjeu stratégique majeur.

La Chine et les États-Unis rivalisent pour le contrôle de ces infrastructures. Historiquement dominée par des entreprises occidentales comme SubCom (États-Unis), NEC (Japon) et Alcatel (France), l’industrie des câbles sous-marins a vu l’entrée de Huawei Marine en 2008, une coentreprise entre Huawei (place sur la liste noire US depuis 2019) et Global Marine Systems. Huawei Marine est rapidement devenue un acteur majeur du secteur avant d’être vendue à Hengtong Group et rebaptisée HMN Tech. La Chine a intensifié ses investissements dans cette technologie dans le cadre de son objectif de devenir une puissance maritime.

La rivalité sino-américaine s’est intensifiée lorsque les États-Unis ont bloqué Huawei Marine bloquant son projet « Pacific Light Cable Network », un projet de câble sous-marin entre Los Angeles et Hong Kong. Le gouvernement américain a également lancé l’initiative Clean Network pour empêcher le raccordement direct entre les États-Unis et la Chine. En 2023, la part de marché de HMN Tech dans la pose de nouveaux câbles est tombée à 4 %, contre 10 % entre 2010 et 2023.

Le Trésor américain lève les sanctions contre Tornado Cash

Tornado Cash, une plateforme controversée de mixage de cryptomonnaies, a été retirée vendredi de la liste noire des sanctions américaines après une décision de justice favorable en novembre. Ce revirement met en lumière les tensions croissantes entre innovation technologique et sécurité nationale.

Depuis 2022, Tornado Cash figurait sur la liste des personnes nationales spécialement désignées (SDN) du département du Trésor américain. Accusée d’avoir facilité le blanchiment de centaines de millions de dollars volés par des hackers nord-coréens, la plateforme faisait l’objet de mesures strictes. La décision de la cour d’appel fédérale en novembre a toutefois bouleversé ce cadre juridique en invalidant les sanctions, estimant que le Trésor avait dépassé ses prérogatives légales.

Une victoire juridique décisive ?

La décision de la cour d’appel fédérale repose sur une interprétation clé de la loi de 1977 sur les pouvoirs économiques d’urgence internationaux (IEEPA). Le juge Don Willett de la 5e Cour d’appel des États-Unis a estimé que les contrats intelligents immuables de Tornado Cash ne peuvent pas être considérés comme des « biens » au sens de la loi. Cette distinction a été décisive dans l’annulation des sanctions. Les contrats intelligents sont des lignes de code autonomes sur la blockchain, conçues pour préserver l’anonymat des transactions. En d’autres termes, ces protocoles décentralisés échappent au contrôle direct de leurs créateurs et ne sont donc pas assimilables à des actifs traditionnels.

La plateforme de trading Coinbase, qui a soutenu financièrement la bataille juridique, a rapidement salué cette décision comme une « victoire historique pour la crypto« . Un responsable de Coinbase a déclaré que « personne ne veut que des criminels utilisent des protocoles cryptographiques, mais bloquer entièrement la technologie open source parce qu’une petite partie des utilisateurs sont de mauvais acteurs n’est pas ce que le Congrès a autorisé« . Cette déclaration illustre le débat persistant autour de la régulation des cryptomonnaies : faut-il sanctionner la technologie elle-même ou les acteurs qui en abusent ?

Une plateforme au cœur de scandales majeurs

Tornado Cash est une plateforme de mixage de cryptomonnaies lancée en 2019. Son fonctionnement repose sur un principe simple mais controversé : elle permet aux utilisateurs de combiner plusieurs transactions de cryptomonnaies afin d’en masquer l’origine. Ce processus complique considérablement la traçabilité des fonds, ce qui en fait un outil prisé des cybercriminels.

Le département du Trésor américain avait précédemment accusé Tornado Cash d’avoir blanchi plus de 7 milliards de dollars depuis sa création. Parmi les opérations de blanchiment les plus retentissantes figure le vol de plus de 600 millions de dollars du jeu Axie Infinity en mars 2022, attribué au groupe de hackers nord-coréen Lazarus. Tornado Cash aurait également été utilisé pour blanchir 275 millions de dollars dérobés sur la plateforme de trading KuCoin.

En août 2023, le cofondateur Roman Storm a été arrêté dans l’État de Washington pour blanchiment d’argent. Son associé Roman Semenov, de nationalité russe, est en fuite et reste sous le coup des sanctions américaines. Un autre développeur clé de Tornado Cash, Alexey Pertsev, a été condamné en mai 2023 à cinq ans et quatre mois de prison par un tribunal néerlandais pour blanchiment d’argent. La levée des sanctions contre Tornado Cash ne remet donc pas en cause la responsabilité pénale de ses dirigeants.

Un revirement stratégique du Trésor américain

Le département du Trésor a expliqué sa décision en évoquant un « examen des nouvelles questions juridiques et politiques soulevées par l’utilisation de sanctions financières contre l’activité financière et commerciale se produisant dans des environnements technologiques et juridiques en évolution ». Cette déclaration souligne la complexité croissante de la régulation des cryptomonnaies dans un contexte de développement technologique rapide.

Le secrétaire au Trésor, Scott Bessent, a toutefois insisté sur la nécessité de protéger le secteur des actifs numériques contre les abus. « Protéger le secteur des actifs numériques contre les abus de la Corée du Nord et d’autres acteurs illicites est essentiel pour établir le leadership des États-Unis et garantir que le peuple américain puisse bénéficier de l’innovation et de l’inclusion financières », a-t-il déclaré. Cette position reflète une volonté de concilier développement technologique et sécurité nationale, deux objectifs souvent perçus comme contradictoires.

Des tensions politiques et réglementaires persistantes

La levée des sanctions contre Tornado Cash s’inscrit dans un contexte politique plus large. L’administration Trump a adopté une posture plus favorable à l’égard des cryptomonnaies et des actifs numériques. Plusieurs défenseurs de la blockchain ont été nommés à des postes stratégiques, influençant la politique du gouvernement en matière de régulation financière.

Cependant, cette approche divise profondément le paysage politique américain. Si certains considèrent les cryptomonnaies comme une opportunité d’innovation et de croissance économique, d’autres y voient un risque majeur pour la sécurité nationale. Les cyberattaques nord-coréennes visant les plateformes de cryptomonnaie et le financement du programme nucléaire de Pyongyang exacerbent ces tensions.

Le Trésor a d’ailleurs précisé que la surveillance des transactions suspectes se poursuivra. « Le Trésor continuera de surveiller de près toute transaction susceptible de profiter à des cyber acteurs malveillants ou à la RPDC, et les citoyens américains doivent faire preuve de prudence avant de s’engager dans des transactions qui présentent de tels risques », a averti le département.

Une décision qui pourrait redéfinir la régulation des cryptomonnaies

La levée des sanctions contre Tornado Cash pourrait créer un précédent juridique majeur. La décision de la cour d’appel limite la capacité du gouvernement à imposer des sanctions sur des protocoles décentralisés et soulève la question de la responsabilité des développeurs de technologies open source. Cette situation pourrait encourager le développement de nouvelles plateformes de mixage et d’anonymisation, tout en compliquant la tâche des régulateurs.

Les partisans de la décentralisation y voient une avancée majeure pour la protection de la vie privée et la souveraineté numérique. Les autorités, en revanche, redoutent une augmentation des activités illicites, facilitée par l’opacité des transactions cryptographiques.

Le cas de Tornado Cash illustre ainsi le dilemme fondamental auquel sont confrontés les gouvernements face à la révolution des cryptomonnaies : comment protéger l’innovation sans ouvrir la porte à des dérives criminelles ? La réponse à cette question façonnera sans doute l’avenir de la régulation financière dans l’économie numérique globale.

DollyWay : la menace invisible qui frappe WordPress depuis 2016

Depuis 2016, une campagne de piratage sophistiquée baptisée DollyWay sévit dans l’univers de WordPress, ayant déjà compromis plus de 20 000 sites à travers le monde. Cette opération malveillante, qui a récemment atteint une phase critique avec la version DollyWay v3, repose sur une mécanique redoutable de redirections frauduleuses et de réinfections automatiques.

Depuis son apparition il y a près d’une décennie, DollyWay n’a cessé d’évoluer. Initialement détectée comme une simple campagne de redirections malveillantes, elle s’est transformée en un véritable écosystème criminel. Selon Denis Sinegubko, chercheur en sécurité chez GoDaddy, DollyWay a récemment franchi un nouveau cap avec le déploiement de sa version v3. Ce stade marque une sophistication accrue des méthodes utilisées par les pirates, qui s’appuient désormais sur une infrastructure centralisée et des modèles de code récurrents, signes caractéristiques d’une organisation criminelle structurée.

Le nom de la campagne provient d’une ligne de code spécifique détectée par les chercheurs :
define(‘DOLLY_WAY’, ‘World Domination’).

Cette signature, presque ironique, laisse entendre une intention claire de prise de contrôle à grande échelle. DollyWay ne se contente pas de détourner le trafic : elle s’infiltre profondément dans le code des sites WordPress en exploitant des failles dans les plugins et les thèmes. Cette stratégie permet aux attaquants de maintenir une présence persistante sur les sites compromis, rendant la suppression du malware particulièrement complexe.

Un mécanisme de redirection massif

La version DollyWay v3 s’appuie sur une technique de redirection particulièrement agressive. Une fois qu’un site WordPress est compromis, le trafic légitime est détourné vers des plateformes frauduleuses. Les visiteurs sont ainsi dirigés vers des sites de rencontres factices, des casinos en ligne ou des plateformes de cryptomonnaies douteuses. Ce trafic est ensuite monétisé grâce à des programmes d’affiliation hébergés par des réseaux partenaires comme VexTrio et LosPollos.

Le système de redirection repose sur une Traffic Distribution System (TDS), une plateforme sophistiquée qui filtre le trafic en fonction de plusieurs critères (localisation géographique, type d’appareil, comportement utilisateur). Cette technologie permet aux hackers d’optimiser leurs gains en envoyant les utilisateurs vers les sites partenaires les plus susceptibles de générer des revenus.

En février 2025, DollyWay v3 générait déjà près de 10 millions de redirections mensuelles. Ce volume impressionnant témoigne de la capacité des pirates à exploiter en continu les failles des sites WordPress et à s’adapter aux mesures de sécurité mises en place par les administrateurs.

« Notre recherche montre que ces attaques utilisent une infrastructure et des modèles de code communs, ce qui indique l’implication d’un groupe de hackers très organisé » — Rapport de GoDaddy

Une capacité de réinfection automatique

L’un des aspects les plus inquiétants de DollyWay réside dans sa capacité à se réinstaller automatiquement après avoir été supprimé. Les pirates ont développé une méthode d’infection qui leur permet de masquer le code malveillant au sein des fichiers WordPress critiques, rendant la détection extrêmement difficile.

DollyWay v3 exploite des failles zero-day dans les plugins et les thèmes WordPress populaires, introduisant du code malveillant dans le cœur du système. Même si un administrateur parvient à supprimer le malware, une nouvelle tentative d’infection est automatiquement déclenchée via une porte dérobée laissée dans le code. Cette capacité d’auto-régénération rend DollyWay exceptionnellement difficile à éradiquer.

Une monétisation structurée et lucrative

La finalité de DollyWay est avant tout économique. La campagne est directement liée à des programmes d’affiliation gérés par VexTrio et LosPollos, deux réseaux connus pour leur implication dans des activités à la limite de la légalité. Grâce à la TDS, les hackers peuvent diriger le trafic vers des offres spécifiques, maximisant ainsi le taux de conversion et donc les revenus.

Le processus est méticuleusement orchestré : Une redirection initiale oriente l’utilisateur vers un site de transition. La TDS analyse les caractéristiques du trafic (localisation, appareil, historique). L’utilisateur est ensuite redirigé vers une offre spécifique (site de rencontres, casino, investissement crypto). En cas de conversion (inscription, dépôt d’argent), les hackers perçoivent une commission via le réseau d’affiliation.

Ce modèle économique basé sur des commissions par performance garantit une rentabilité élevée, incitant ainsi les pirates à maintenir et à faire évoluer en permanence leur infrastructure.

Une réponse complexe des acteurs de la cybersécurité

Face à la montée en puissance de DollyWay, la communauté de la cybersécurité s’organise pour contrer cette menace. GoDaddy, l’un des principaux hébergeurs de sites WordPress, travaille activement à identifier les vulnérabilités exploitées par DollyWay v3 et à renforcer les mesures de sécurité.

Les recommandations de sécurité incluent : La mise à jour régulière des plugins et des thèmes. La suppression des plugins obsolètes ou non maintenus. L’installation de pare-feu dédiés aux applications web (WAF). L’activation de la double authentification pour l’accès à l’administration WordPress.

Toutefois, la nature adaptative de DollyWay complique la tâche. Les hackers ont montré une capacité impressionnante à contourner les nouvelles mesures de sécurité et à adapter leur code en temps réel.

Une menace persistante à l’horizon 2025

DollyWay incarne l’évolution des cyberattaques modernes : sophistiquée, automatisée et axée sur la rentabilité. La capacité de cette campagne à exploiter les failles des sites WordPress, à réinfecter automatiquement les systèmes et à générer des millions de redirections mensuelles témoigne de la maturité du groupe de hackers à l’origine de cette opération.

« DollyWay représente une menace persistante pour l’ensemble de l’écosystème WordPress. L’ampleur des attaques et la sophistication des méthodes utilisées montrent qu’il s’agit d’un acteur criminel organisé, capable d’évoluer rapidement pour contourner les mesures de sécurité. » — Denis Sinegubko, chercheur chez GoDaddy

Alors que la cybersécurité progresse et que les solutions de protection s’améliorent, une question demeure : jusqu’où DollyWay est-il prêt à aller pour maintenir sa domination dans le paysage du piratage en ligne ?

La justice annule la condamnation de Paige Thompson pour le piratage de Capital One

Une cour d’appel fédérale a annulé cette semaine la peine de cinq ans de probation infligée à Paige Thompson pour le piratage de Capital One. La cour a jugé cette peine « substantiellement déraisonnable » compte tenu des dommages causés.

Paige Thompson, ancienne ingénieure chez Amazon Web Services, avait exploité une faille dans le pare-feu du système de cloud computing de Capital One, accédant ainsi aux données sensibles de 106 millions de clients. Deux des trois juges de la cour d’appel du 9e circuit ont estimé que la sanction initiale était trop clémente par rapport à la gravité des faits.

Un piratage d’une ampleur exceptionnelle

Le piratage orchestré par Paige Thompson en 2019 est considéré comme la deuxième plus grande violation de données de l’histoire des États-Unis à l’époque. En exploitant une mauvaise configuration du pare-feu de Capital One, Thompson a volé des données bancaires, des numéros de sécurité sociale et des informations personnelles appartenant à 106 millions de clients.

L’enquête a révélé que Thompson ne s’était pas arrêtée à Capital One. Les autorités ont découvert plusieurs téraoctets de données supplémentaires volées à plus de 30 autres organisations. Les dommages financiers et réputationnels causés par cette fuite massive sont estimés à des dizaines de millions de dollars.

Le piratage a provoqué des préjudices financiers et émotionnels considérables pour les victimes.

Lors du procès initial en 2022, le juge de district Robert Lasnik avait néanmoins décidé de ne pas infliger une peine d’emprisonnement à Thompson. Il avait pris en compte son parcours personnel, soulignant qu’elle était transgenre, autiste et qu’elle avait été confrontée à des traumatismes importants dans son passé. Le juge Lasnik avait également considéré que le piratage n’avait pas été commis dans une intention malveillante, mais plutôt comme une forme de « tourmente personnelle ».

Cette interprétation a été remise en cause par la cour d’appel, qui a considéré que Thompson avait clairement agi avec préméditation. L’ancienne ingénieure avait en effet revendiqué ses actes sur des forums en ligne et encouragé d’autres hackers à en faire de même.

Une peine jugée trop clémente

Les procureurs fédéraux ont rapidement contesté la peine de probation décidée par le juge Lasnik. Nick Brown, le procureur américain de l’époque, avait déclaré que cette décision ne représentait pas une sanction appropriée face à la gravité des faits.

La juge Danielle Forrest, soutenue par le juge Johnnie Rawlinson, a estimé que le juge de district avait accordé une importance excessive aux circonstances personnelles de Thompson.

« Les parcours personnels doivent être pris en compte dans la détermination d’une peine, mais ils ne peuvent pas constituer l’unique base d’une condamnation aussi clémente dans un dossier de cette gravité », a écrit la juge Forrest dans la décision.

La cour a également contesté l’idée selon laquelle le piratage n’était pas malveillant. La décision précise que Thompson a montré peu de remords après son acte et a plutôt cherché à mettre en avant l’incompétence de Capital One. Elle aurait même encouragé d’autres hackers à exploiter des failles similaires.

Cependant, la juge Jennifer Sung, qui a exprimé une opinion dissidente, a estimé que la peine initiale n’était pas entachée d’une erreur de procédure. Selon elle, le juge Lasnik avait légitimement pris en compte la situation personnelle de Thompson et les potentielles difficultés qu’elle pourrait rencontrer en prison en tant que personne transgenre.

Une décision aux implications plus larges

L’affaire Thompson dépasse le cadre du simple jugement individuel. Le Centre pour la politique et le droit de la cybersécurité a déposé un mémoire en soutien à l’appel du gouvernement, soulignant les risques pour la recherche en cybersécurité.

Le Centre a insisté sur la nécessité de maintenir une distinction claire entre la recherche éthique en cybersécurité et les actes criminels comme ceux de Thompson. Il a averti que l’assimilation des deux pourrait fragiliser la confiance entre les chercheurs en sécurité, le secteur privé et les institutions gouvernementales. La cour d’appel n’a pas directement abordé cette question dans sa décision. Toutefois, la reconnaissance explicite par le tribunal que le comportement de Thompson ne relevait pas de la recherche en sécurité de bonne foi pourrait influencer les futures affaires de cybersécurité.

L’affaire est désormais renvoyée devant le tribunal de district pour une nouvelle détermination de la peine. La question centrale sera de savoir si la reconnaissance des circonstances personnelles de Thompson doit continuer à influencer la sentence ou si la gravité des actes justifie une peine plus lourde.

Immersive World : la création de malwares voleurs de mots de passe​ via l’IA

L’essor des acteurs de la menace sans connaissances préalables : la technique « Immersive World » facilite la création de malwares voleurs de mots de passe​.

Cato Networks a récemment publié son rapport 2025 Cato CTRL Threat Report, révélant une nouvelle technique de contournement des modèles de langage avancés, nommée « Immersive World ». Cette méthode permet à des individus sans expérience préalable en programmation de malwares d’exploiter des outils d’IA générative, tels que ChatGPT, Copilot et DeepSeek, pour développer des logiciels malveillants capables de dérober des identifiants de connexion depuis Google Chrome.

Cette découverte met en lumière une évolution inquiétante du paysage des cybermenaces, où la barrière à l’entrée pour la création de malwares est considérablement réduite grâce à l’utilisation détournée de l’intelligence artificielle.​

L’émergence des acteurs de la menace sans connaissances préalables

Traditionnellement, la création de logiciels malveillants nécessitait des compétences techniques approfondies en programmation et en cybersécurité. Cependant, avec l’avènement des modèles de langage avancés (LLM) tels que ChatGPT d’OpenAI, Copilot de Microsoft et DeepSeek, cette barrière s’estompe. La technique « Immersive World » exploitée par les chercheurs de Cato Networks démontre qu’il est possible de manipuler ces outils pour générer du code malveillant sans expertise préalable.​

La technique « Immersive World » en détail

La méthode « Immersive World » repose sur la création d’un univers fictif détaillé dans lequel les outils d’IA jouent des rôles spécifiques avec des tâches et des défis assignés. En utilisant cette ingénierie narrative, les chercheurs ont pu contourner les contrôles de sécurité intégrés des LLM et normaliser des opérations normalement restreintes. Par exemple, en assignant à l’IA le rôle d’un développeur dans un scénario fictif nécessitant la création d’un outil d’extraction de mots de passe pour Google Chrome, l’IA a généré le code correspondant, contournant ainsi ses propres restrictions de sécurité.​

Conséquences pour la cybersécurité

Cette technique abaisse significativement la barrière à l’entrée pour la création de malwares, permettant à des individus sans connaissances techniques approfondies de développer des logiciels malveillants sophistiqués. Cela pourrait entraîner une augmentation des attaques de type infostealer, où des identifiants de connexion sont volés pour accéder à des systèmes sensibles. Les entreprises doivent être conscientes de cette évolution et renforcer leurs stratégies de sécurité pour se protéger contre ces nouvelles menaces.​

« Immersive World » souligne la nécessité pour les organisations de revoir et d’adapter leurs stratégies de sécurité face à l’évolution rapide des menaces. L’utilisation détournée des outils d’IA générative pour la création de malwares par des acteurs sans connaissances préalables constitue une menace sérieuse.

Les progrès de l’intelligence artificielle (IA) ouvrent de nouvelles perspectives pour l’automatisation, mais également pour la cybercriminalité. Symantec a démontré que des agents IA modernes, comme Operator d’OpenAI, sont capables de mener des attaques complexes presque sans intervention humaine.

Un alerte lancée il y a plus d’un an !

Il y a un an, des experts mettaient déjà en garde contre l’utilisation de modèles de langage (LLM) par des cybercriminels pour rédiger des e-mails de phishing et du code malveillant. À l’époque, l’IA servait principalement d’outil d’assistance. Aujourd’hui, grâce à des agents avancés, la situation a changé. Ces outils peuvent non seulement générer du texte, mais aussi interagir avec des sites web, envoyer des e-mails et exécuter des scripts.

Symantec a testé la capacité d’un agent IA à mener une attaque avec un minimum de supervision humaine. L’agent devait identifier un employé, retrouver son adresse e-mail, rédiger un script PowerShell malveillant pour collecter des données système et l’envoyer via un e-mail crédible.

D’abord, Operator a refusé la tâche en invoquant des règles de sécurité. Cependant, une légère modification du contexte — affirmant que la cible avait autorisé l’envoi du mail — a suffi à contourner la restriction. L’agent a rapidement trouvé l’identité de la cible en analysant des sources ouvertes (site de l’entreprise, médias), puis a deviné l’adresse e-mail en s’appuyant sur des schémas de messagerie d’entreprise.

Après avoir consulté plusieurs ressources sur PowerShell, Operator a généré un script fonctionnel, capable de collecter des données et de les transmettre à l’attaquant. Enfin, l’agent a rédigé un e-mail convaincant signé par un faux employé, « Eric Hogan », et l’a envoyé sans déclencher d’alerte.

Symantec prévient que ces attaques automatisées pourraient bientôt devenir plus sophistiquées. Les criminels pourraient simplement commander une attaque à un agent IA, qui élaborerait une stratégie, produirait le code malveillant et s’infiltrerait dans le réseau cible. Cela abaisserait considérablement la barrière d’entrée pour les cybercriminels.

Microsoft coupe les ponts : Huawei bascule sur HarmonyOS et Linux

Fin mars 2025, un tournant majeur s’opère pour Huawei. La licence qui permettait au géant chinois d’équiper ses appareils du système d’exploitation Windows arrive à expiration.

Dès avril 2025, l’entreprise ne pourra plus commercialiser ses ordinateurs portables et autres terminaux avec l’OS de Microsoft. Ce bouleversement s’inscrit dans une stratégie plus large de Huawei, qui cherche à s’affranchir des technologies américaines en développant ses propres solutions logicielles et matérielles.

Cette transition, bien que soudaine, n’est pas une surprise. Dès septembre 2024, Huawei annonçait son intention de déployer HarmonyOS, son propre système d’exploitation, sur ses futures générations d’ordinateurs portables. Le PDG Yu Zhendong l’avait d’ailleurs confirmé : l’objectif est clair, éliminer totalement la dépendance aux composants et logiciels américains. Aujourd’hui, cette vision se concrétise avec l’arrivée de modèles fonctionnant sous des systèmes basés sur Linux.

L’expansion de HarmonyOS et des alternatives chinoises

Huawei n’a pas attendu la fin de sa licence avec Microsoft pour prendre les devants. Selon My Drivers, une publication technologique chinoise, la firme a déjà intégré des alternatives à Windows dans ses nouveaux ordinateurs portables de la série MateBook. Ces derniers, désormais équipés de systèmes Linux modifiés ou de HarmonyOS, seront commercialisés aussi bien en Chine qu’à l’international. La mise à jour des catalogues officiels de la marque reflète d’ailleurs cette transition.

L’entreprise ne se contente pas d’un simple remplacement de système d’exploitation. Elle adopte une approche plus globale en favorisant l’usage de composants entièrement conçus et fabriqués en Chine. Un modèle récemment dévoilé illustre cette tendance : équipé d’un OS issu de développeurs chinois et de composants nationaux, il incarne la volonté de Huawei de renforcer son indépendance technologique. Cette démarche est particulièrement marquée sur le marché intérieur, où les produits 100 % chinois se multiplient.

Un impact limité en Chine, des incertitudes à l’international

Si en Chine, l’abandon de Windows devrait avoir peu d’impact sur les ventes de Huawei, la situation pourrait être plus délicate à l’international. Les utilisateurs sont habitués aux solutions de Microsoft, et le passage à HarmonyOS ou Linux pourrait freiner l’adoption des nouveaux produits de la marque hors du territoire chinois. Cependant, Huawei mise sur l’attrait de son écosystème intégré et sur la compatibilité grandissante de ses logiciels avec les standards mondiaux pour convaincre.

Il reste un dernier frein, et pas des moindres ! Un produit 100% Chinois peut laisser craindre un espionnage 100% « made in China ». Les ordinateurs seront équipés du modèle IA DeepSeek. Il sera entièrement intégré et utilisant le processeur Kunpeng et le système PC Hongmeng comme puces et systèmes d’exploitation.

Créer un inventaire des actifs d’IA : une nécessité stratégique pour la sécurité et la conformité

L’inventaire des actifs d’IA est bien plus qu’une simple liste d’outils. Il s’agit d’une démarche stratégique pour assurer la sécurité des données, la conformité réglementaire et la maîtrise des risques liés à l’IA.

Face à la montée en puissance de l’intelligence artificielle (IA), les entreprises doivent non seulement s’adapter à un écosystème technologique en constante évolution, mais aussi répondre aux défis sécuritaires et réglementaires qu’impose cette nouvelle réalité. Les outils d’IA non autorisés, souvent intégrés discrètement dans les processus internes, posent une menace directe à la sécurité des données et à la conformité des entreprises. Pour éviter un dérapage incontrôlé, la première étape essentielle est la création d’un inventaire complet des actifs d’IA. Cette démarche permet non seulement d’identifier les risques, mais aussi d’anticiper les besoins en matière de gouvernance et de sécurité.

L’inventaire des actifs d’IA, socle de la gouvernance de la sécurité

La création d’un inventaire des actifs d’IA ne relève plus d’une démarche volontaire, mais s’impose comme une obligation réglementaire. L’UE a franchi un cap avec l’entrée en vigueur de la loi sur l’IA en août 2024, imposant aux entreprises une cartographie détaillée des outils d’IA utilisés et une évaluation des risques associés. La norme ISO 42001 fournit un cadre de gestion, mettant l’accent sur la transparence et la traçabilité. Aux États-Unis, le cadre AI Risk Management Framework (AI RMF) du NIST exige que les entreprises identifient les risques liés à l’utilisation de l’IA et mettent en place une gestion adaptée.

L’inventaire devient la clé de voûte de la gouvernance. Sans une visibilité claire sur les outils d’IA en activité, les entreprises naviguent à l’aveugle. La diversité des systèmes d’IA utilisés, des modèles de langage (LLM) aux outils de traitement d’images, complexifie la tâche. Les entreprises doivent donc prioriser leurs efforts, en se concentrant sur les systèmes à haut risque, comme l’IA générative et les solutions d’analyse prédictive. La transparence devient un enjeu stratégique : savoir où et comment les outils d’IA sont utilisés permet de mieux gérer les risques et de renforcer la sécurité globale des données.

Créer un inventaire des actifs d’IA est devenu une exigence réglementaire dans de nombreuses juridictions. L’EU AI Act, la norme ISO 42001 et le cadre AI Risk Management Framework (AI RMF) du National Institute of Standards and Technology (NIST) aux États-Unis imposent désormais une obligation explicite de cartographier les technologies d’IA utilisées et d’évaluer leurs risques.

La législation européenne sur l’IA (EU AI Act), entrée en vigueur en août 2024, impose aux entreprises une obligation de recensement complet des technologies d’IA utilisées, avec une évaluation des risques associée. Ce cadre couvre presque tous les systèmes d’IA, y compris les modèles génératifs, les outils d’automatisation et les systèmes décisionnels.

De son côté, la norme ISO 42001 fournit un cadre de gestion des systèmes d’IA, insistant sur la transparence, la responsabilité et la traçabilité. Le cadre du NIST, bien que volontaire, exige dans sa fonction « MAP » que les entreprises identifient les risques liés à l’utilisation de l’IA.

Ces nouvelles règles montrent que l’inventaire des actifs d’IA n’est plus une simple formalité — il est devenu le socle de la gouvernance de la sécurité de l’IA.

L’IA fantôme, menace silencieuse et incontrôlée

La prolifération de l’IA non autorisée au sein des entreprises constitue une menace directe pour la sécurité des données. Le phénomène du « Shadow AI » illustre cette dérive : de nombreux employés utilisent des outils d’IA gratuits ou accessibles via des comptes personnels, échappant ainsi à la surveillance du service informatique. Selon un rapport de ZScaler publié en 2024, plus de 60 % des employés admettent utiliser des outils d’IA non validés par leur entreprise. Cette utilisation clandestine expose les données sensibles à des tiers, créant des failles de sécurité difficilement contrôlables.

DeepSeek, dont la popularité a explosé début 2024, est devenu le symbole de ce risque. Son mode de fonctionnement, basé sur le stockage de données dans le cloud, a suscité une controverse majeure. Les employés, en utilisant cet outil sans autorisation, ont exposé des informations confidentielles à des systèmes externes. L’IA fantôme agit comme un cheval de Troie : elle introduit des vulnérabilités sans que l’entreprise n’en ait conscience, augmentant le risque de fuite de données ou d’attaques ciblées.

Les responsables de la sécurité doivent agir en amont. Il ne s’agit pas seulement de surveiller les outils utilisés, mais d’anticiper leur impact. Les outils d’IA générative évoluent rapidement : un modèle jugé sûr aujourd’hui peut devenir une menace dès lors qu’il adopte une nouvelle fonction ou un nouveau mode de traitement des données. La clé réside dans une surveillance active et une réactivité immédiate face aux nouvelles configurations des outils d’IA.

Le défi de la cartographie et du suivi des actifs d’IA

Cartographier les actifs d’IA reste un défi complexe. Les méthodes traditionnelles de suivi se révèlent insuffisantes face à la vitesse d’adoption de l’IA. Le suivi basé sur les achats permet de contrôler l’introduction de nouveaux outils, mais ne détecte pas les mises à jour ou les fonctionnalités cachées. L’analyse des journaux réseau offre une visibilité partielle, mais sa mise en œuvre est chronophage et peu adaptée à un environnement de travail hybride. Les solutions de gestion des identités, comme OAuth, permettent de suivre certaines applications, mais restent inefficaces face aux outils d’IA accessibles en dehors des plateformes contrôlées.

Les courtiers d’accès sécurisé au cloud (CASB) apportent une visibilité sur les outils cloud, mais peinent à s’adapter à la diversité des systèmes utilisés. La gestion de la posture de sécurité du cloud (CSPM) permet de surveiller l’usage de l’IA dans les environnements cloud publics comme AWS ou Google Cloud, mais ne couvre pas les environnements internes. Les listes de contrôle existantes, quant à elles, sont souvent obsolètes face à la rapidité d’évolution des technologies d’IA. La multiplicité des outils et la diversité des plateformes compliquent la mise en place d’un suivi cohérent.

L’essor des solutions automatisées

Face à ces limites, l’industrie se tourne vers des solutions automatisées de gestion des actifs d’IA. L’intelligence artificielle elle-même devient un levier pour surveiller les activités liées à l’IA. Darktrace AI Guardian, dont le lancement est prévu début 2025, promet une surveillance en temps réel du trafic réseau, une détection automatique des outils d’IA non autorisés et une mise à jour dynamique de l’inventaire. Microsoft a déjà intégré un tableau de bord de suivi de l’IA dans ses services cloud en 2024, permettant aux entreprises d’identifier rapidement les outils utilisés par leurs employés.

Ces solutions automatisées offrent un avantage clé : elles s’adaptent à la rapidité d’évolution de l’IA. Une mise à jour du modèle ou une modification dans les conditions d’utilisation est immédiatement signalée. Cette réactivité permet de renforcer la sécurité des systèmes tout en assurant une gestion proactive de la conformité. Les outils automatisés permettent également une meilleure formation des employés : en identifiant les outils validés et sécurisés, les entreprises favorisent une adoption contrôlée de l’IA, limitant ainsi le recours à des solutions non autorisées.

Transformer une obligation réglementaire en avantage stratégique

La gestion des actifs d’IA ne doit pas être perçue comme une contrainte administrative, mais comme une opportunité stratégique. Les entreprises qui maîtrisent leur écosystème d’IA sont mieux placées pour guider l’innovation tout en sécurisant leurs opérations. L’inventaire des actifs d’IA permet d’identifier les besoins réels des employés, d’anticiper les failles de sécurité et de proposer des solutions conformes adaptées à chaque cas d’usage.

Google a montré la voie en 2024. Après avoir détecté une forte demande d’outils génératifs parmi ses employés, l’entreprise a rapidement déployé des solutions internes sécurisées. Ce mouvement stratégique a non seulement renforcé la sécurité des données, mais aussi amélioré la productivité. L’adoption contrôlée d’outils d’IA permet de créer une culture d’innovation tout en réduisant les risques liés à la Shadow AI.

Les entreprises doivent agir rapidement. La mise en place d’un inventaire d’actifs d’IA est le premier pas vers une gouvernance renforcée. Les solutions automatisées, la surveillance en temps réel et la formation des employés constituent les piliers d’une stratégie de gestion des risques adaptée à l’ère de l’IA. Les acteurs qui s’adaptent dès maintenant prendront une longueur d’avance dans cette nouvelle révolution technologique.

Six façons d’utiliser l’IA pour le suivi des actifs

  1. Suivi basé sur les achats : Cette méthode est efficace pour surveiller l’achat de nouveaux outils d’IA, mais elle reste insuffisante pour détecter l’ajout de capacités d’IA aux outils existants ou l’utilisation d’outils BYOT (Bring Your Own Tool) par les employés.

  2. Collecte manuelle des journaux : L’analyse du trafic réseau et des journaux permet de repérer des activités liées à l’IA, mais cette méthode est chronophage et offre une couverture limitée.

  3. Identité et authentification OAuth : L’examen des journaux d’accès à partir de plateformes comme Okta ou Entra permet de suivre certaines applications d’IA, mais uniquement si elles sont intégrées à ces services.

  4. Courtier d’accès sécurisé au cloud (CASB) et prévention des pertes de données (DLP) : Des solutions comme ZScaler et Netskope offrent une visibilité sur les outils d’IA utilisés dans le cloud, mais elles ont une capacité limitée à classifier précisément ces outils.

  5. Gestion de la posture de sécurité du cloud (CSPM) : Des outils comme Wiz permettent de surveiller l’usage de l’IA dans AWS et Google Cloud, mais ils ne couvrent pas les environnements sur site ou non cloud.

  6. Élargir les listes de contrôle existantes : La catégorisation des outils d’IA en fonction des risques permet d’améliorer la gouvernance, mais cette méthode peine à suivre le rythme rapide de l’évolution de l’IA.

Un outil gratuit pour vaincre le ransomware Akira sur Linux

Un outil gratuit pour décrypter le ransomware Akira sur Linux grâce à la puissance des GPU.

Un chercheur en cybersécurité, Yohanes Nugroho, a développé un outil de décryptage gratuit permettant de vaincre le ransomware Akira sur Linux. Ce projet complexe a nécessité trois semaines de travail intensif, un investissement de 1 200 $ en ressources GPU, et une approche innovante basée sur la force brute pour récupérer les clés de chiffrement.

Une percée majeure dans la lutte contre Akira

Face à la menace persistante du ransomware Akira, une nouvelle avancée pourrait changer la donne. Yohanes Nugroho, expert en cybersécurité, a récemment publié un outil de décryptage gratuit capable de restaurer des fichiers chiffrés par ce malware ciblant les systèmes Linux. Le projet, initialement prévu pour durer une semaine, a finalement nécessité trois semaines de travail et 1 200 $ de ressources GPU en raison de la complexité inattendue du processus.

Akira est un ransomware redoutable, actif depuis la fin de 2023, qui chiffre les fichiers à l’aide de clés générées à partir de quatre horodatages précis à la nanoseconde. Grâce à une analyse approfondie des fichiers journaux et des métadonnées des fichiers, Nugroho a pu mettre au point une méthode permettant de contourner le chiffrement en exploitant cette faiblesse dans la génération des clés. Son outil repose sur la puissance des GPU pour effectuer une attaque par force brute, une méthode inhabituelle dans le domaine du décryptage.

« Akira génère des clés de chiffrement uniques pour chaque fichier en utilisant quatre moments précis à la nanoseconde. En utilisant une force brute GPU optimisée, nous avons pu retrouver ces clés et restaurer les fichiers sans payer de rançon. » – Yohanes Nugroho

La faille dans le chiffrement d’Akira

Le ransomware Akira utilise une méthode de chiffrement complexe basée sur la génération de clés uniques pour chaque fichier. Cette génération repose sur l’algorithme de hachage SHA-256, appliqué en 1 500 tours sur quatre horodatages distincts, mesurés à la nanoseconde près. Cette complexité rend le processus de déchiffrement extrêmement difficile, voire impossible avec des méthodes classiques.

Cependant, Nugroho a découvert une faille : l’utilisation de ces horodatages permet de recréer les clés de chiffrement par rétro-ingénierie. Les deux premiers et les deux derniers horodatages sont liés, ce qui a permis à Nugroho de restreindre le champ de recherche et d’augmenter la vitesse du processus de force brute.

Akira chiffre les fichiers en utilisant une combinaison de KCipher2 et Chacha8, des algorithmes de chiffrement réputés pour leur robustesse. Les clés sont ensuite chiffrées avec RSA-4096 et intégrées dans les fichiers. Cette double couche de sécurité rend normalement le décryptage très complexe. Cependant, en identifiant les plages de temps précises utilisées pour générer les clés, Nugroho a réussi à réduire considérablement la difficulté du processus.

« Le malware ne s’appuie pas sur un seul moment dans le temps, mais sur quatre moments distincts avec une précision à la nanoseconde. La corrélation entre ces moments permet de limiter le champ de recherche, rendant la force brute plus efficace. » – Yohanes Nugroho

La puissance des GPU au service de la cybersécurité

Face à la complexité du chiffrement, Nugroho a d’abord tenté d’utiliser des GPU locaux, mais la lenteur du processus l’a conduit à se tourner vers des solutions basées sur le cloud. Après avoir écarté Google Cloud en raison de son coût élevé, il a opté pour RunPod et Vast.ai, deux services offrant une puissance de calcul GPU à moindre coût.

Il a mobilisé 16 GPU RTX 4090, connus pour leur nombre élevé de cœurs CUDA, pour exécuter l’attaque par force brute. Ce choix stratégique a permis de ramener le temps de déchiffrement à 10 heures pour une plage de 4,5 millions de nanosecondes. Le coût de traitement pour cette plage s’élève à environ 261 $, ce qui, multiplié par le volume de fichiers à traiter, a porté le coût total du projet à 1 200 $.

L’utilisation de GPU haut de gamme a permis de traiter un volume de données important en un temps record. Ce succès démontre le potentiel des solutions de décryptage basées sur la force brute GPU dans la lutte contre les ransomwares modernes.

Le décryptage des fichiers chiffrés par Akira est désormais possible sans payer de rançon. Les entreprises et les utilisateurs touchés par ce ransomware peuvent utiliser l’outil de Nugroho pour restaurer leurs données en toute autonomie. Cette percée pourrait également servir de modèle pour lutter contre d’autres variantes de ransomware utilisant des techniques similaires.

Nugroho a précisé que le processus de déchiffrement pourrait encore être optimisé pour améliorer les performances. Actuellement, le temps de récupération dépend de la taille du volume de fichiers à traiter et de la précision des horodatages contenus dans les fichiers journaux.

Un avenir prometteur pour le décryptage des ransomwares ?

L’approche novatrice de Yohanes Nugroho ouvre la voie à de nouvelles stratégies de lutte contre les ransomwares. L’utilisation de la force brute par GPU, combinée à une analyse fine des mécanismes de génération des clés, pourrait inspirer d’autres chercheurs à développer des solutions similaires.

Akira reste une menace active, mais cette avancée donne un avantage considérable aux équipes de cybersécurité. Les ransomwares basés sur des mécanismes de chiffrement temporel pourraient désormais être contournés grâce à une combinaison de rétro-ingénierie et de puissance GPU.

En partageant gratuitement son outil, Nugroho offre une ressource précieuse à la communauté de la cybersécurité et aux victimes de ransomware. Cette initiative illustre l’importance de l’innovation et de la collaboration dans la lutte contre les cybermenaces modernes.

Mora_001 : un nouveau ransomware exploite des failles Fortinet

Une nouvelle opération de ransomware nommée Mora_001 exploite deux vulnérabilités critiques dans les pare-feux Fortinet. Cette menace, liée au groupe LockBit, met en danger des infrastructures sensibles malgré la publication de correctifs.

Depuis le début de l’année, une nouvelle campagne de ransomware appelée Mora_001 inquiète les experts en cybersécurité. Le groupe exploite deux vulnérabilités majeures dans les pare-feux Fortinet, identifiées sous CVE-2024-55591 et CVE-2025-24472. La Cybersecurity and Infrastructure Security Agency (CISA) a réagi rapidement en janvier, ordonnant aux agences fédérales de corriger la première faille dans un délai d’une semaine seulement — un des délais les plus courts jamais imposés. Malgré la publication des correctifs, les attaques se multiplient. Des chercheurs ont découvert que Mora_001 utilise un ransomware baptisé SuperBlack, une variante modifiée de LockBit 3.0. Ce groupe semble maîtriser les tactiques héritées de LockBit tout en adaptant ses méthodes pour contourner les dispositifs de sécurité.

Une exploitation des failles fortinet

En janvier, la CISA a ordonné une correction immédiate de la faille CVE-2024-55591 après avoir constaté son exploitation active dans des environnements critiques. Fortinet a rapidement confirmé la vulnérabilité, avant de mettre à jour son alerte en y ajoutant CVE-2025-24472.

Les intrusions ont commencé à la fin du mois de janvier, avec une intensification notable à partir du 2 février. Mora_001 cible principalement les interfaces de gestion des pare-feux Fortigate visibles depuis internet. Une fois le système compromis, le ransomware SuperBlack est rapidement déployé.

Le groupe a adopté une stratégie d’attaque en plusieurs étapes : infiltration par exploitation des failles, prise de contrôle des pare-feux, chiffrement des fichiers critiques et exfiltration des données. Les attaquants laissent ensuite une note de rançon, exigeant une somme importante pour restaurer l’accès aux systèmes. Le groupe exploite ces failles depuis fin janvier. Les attaques ciblent des organisations qui n’ont pas appliqué les mises à jour de sécurité ou qui présentent des configurations de pare-feu vulnérables.

« Mora_001 exploite une combinaison de méthodes opportunistes et de tactiques sophistiquées héritées de LockBit. »

SuperBlack : une variante de LockBit 3.0

Le ransomware SuperBlack déployé par Mora_001 est directement inspiré de LockBit 3.0 (aussi appelé LockBit Black). Des similitudes dans la structure du chiffrement, le processus d’exfiltration des données et le contenu de la note de rançon.

La principale différence réside dans la personnalisation du code. Mora_001 a retiré toutes les références à LockBit dans la note de rançon. Les attaquants utilisent également un exécutable d’exfiltration de données sur mesure, conçu pour automatiser le transfert d’informations vers des serveurs externes.

La fuite du builder LockBit 3.0 en 2022 a permis à plusieurs groupes cybercriminels de développer leurs propres variantes de ransomware. Mora_001 semble avoir intégré des éléments techniques issus de LockBit, tout en adoptant des pratiques utilisées par d’autres groupes comme BlackCat/ALPHV.

Les méthodes employées par Mora_001 montrent une capacité d’adaptation impressionnante. Les attaquants utilisent des techniques connues tout en introduisant de nouvelles méthodes d’infiltration. Cette flexibilité rend les détections traditionnelles plus difficiles.

« Le ransomware SuperBlack combine la puissance du chiffrement de LockBit avec une nouvelle approche d’exfiltration de données. »

Des liens avec LockBit

Mora_001 ne cache pas son héritage. Les experts ont identifié plusieurs indices techniques reliant le groupe à l’écosystème LockBit. Le code du ransomware, le modèle de chiffrement et la structure des notes de rançon rappellent fortement LockBit 3.0.

Les chercheurs de Forescout estiment que Mora_001 pourrait être une cellule indépendante affiliée à LockBit, ou un groupe utilisant simplement le code du builder LockBit 3.0. L’analyse des communications entre les attaquants montre également une proximité avec des canaux utilisés par LockBit.

L’adoption de tactiques utilisées par BlackCat/ALPHV renforce la thèse d’une coopération ou d’un échange de pratiques entre ces groupes. Cette convergence des méthodes complique la réponse des équipes de cybersécurité.

Mora_001 exploite d’abord une vulnérabilité dans le pare-feu Fortinet pour obtenir un accès initial. Une fois l’accès établi, le ransomware SuperBlack est déployé. Le chiffrement des fichiers est rapide, souvent terminé en quelques minutes. Les attaquants laissent une note de rançon personnalisée et lancent le processus d’exfiltration des données vers des serveurs externes.

L’exécutable utilisé pour l’exfiltration est difficile à détecter car il masque son activité en utilisant des processus légitimes du système. Les attaquants suppriment également les journaux de sécurité pour compliquer la traçabilité. Le groupe utilise des techniques d’accès similaires à celles de LockBit, mais avec une exécution plus rapide. L’infiltration initiale est souvent indétectable jusqu’au déclenchement du processus de chiffrement.

Une menace persistante

Malgré la publication des correctifs par Fortinet, les attaques se poursuivent. Certaines organisations n’ont pas encore appliqué les mises à jour ou présentent des failles de configuration dans leurs pare-feux. DataSecurityBreach.fr recommande une correction immédiate des vulnérabilités et un renforcement des configurations de sécurité. La surveillance des accès réseau et la limitation des connexions aux interfaces de gestion sont des mesures essentielles pour réduire le risque d’attaque.

Les experts s’attendent à ce que Mora_001 adapte encore son mode opératoire dans les mois à venir. Le succès initial de cette campagne pourrait encourager d’autres groupes à adopter des tactiques similaires. Dernier point, alors que plusieurs membres importants de LockBit, comme l’un des administrateurs extradé aux USA en mars 2025, l’ombre de LockBit continue de roder sous d’autres formes !

La cybercriminalité en France en 2024 : analyse des 348 000 infractions enregistrées

En 2024, la cybercriminalité en France a atteint un niveau alarmant avec 348 000 infractions enregistrées. Les atteintes aux biens, aux personnes et aux institutions progressent.

La cybercriminalité continue de croître en France. En 2024, les services de sécurité ont recensé 348 000 crimes et délits liés au numérique, confirmant une tendance préoccupante. Si les atteintes aux biens numériques restent majoritaires, les infractions visant les personnes, les institutions et les législations spécifiques au numérique enregistrent une forte hausse. Le profil des victimes révèle des disparités notables : les femmes sont plus souvent ciblées par des atteintes aux personnes, tandis que les hommes sont davantage concernés par les infractions liées aux biens. Le recours à la plateforme Thésée pour signaler les escroqueries numériques se développe, traduisant une prise de conscience croissante du phénomène. Cette analyse met en lumière la nécessité d’adapter les dispositifs de prévention et de répression face à une cybercriminalité qui se complexifie.

Les atteintes numériques aux biens : une baisse légère mais une menace persistante

En 2024, les atteintes numériques aux biens restent la catégorie d’infractions la plus fréquente, représentant 226 300 cas. Ce chiffre marque une légère baisse de 1 % par rapport à 2023, signalant une stabilisation relative après plusieurs années de hausse.

Parmi ces infractions :

  • 50 800 plaintes ont été déposées via la plateforme Thésée, dédiée aux escroqueries numériques.
  • Les atteintes aux biens numériques incluent le vol de données bancaires, la fraude en ligne, le piratage de comptes, ainsi que les arnaques à la fausse identité.

 « 50 800 escroqueries numériques signalées via Thésée en 2024, confirmant l’ampleur du phénomène. »

Bien que la tendance globale soit à la baisse, la menace reste préoccupante en raison de la sophistication croissante des techniques utilisées par les cybercriminels. L’augmentation des méthodes de phishing (hameçonnage) et des ransomwares (logiciels de rançon) illustre cette adaptation constante des fraudeurs.

Les atteintes numériques aux personnes : une hausse inquiétante

En 2024, les atteintes numériques aux personnes ont connu une augmentation marquée de 7 %, atteignant 103 300 infractions. Ce chiffre reflète la montée des cyberharcèlements, des usurpations d’identité et des atteintes à la vie privée.

Les victimes sont majoritairement des femmes :

  • 66 % des victimes majeures sont des femmes.
  • 70 % des victimes mineures sont également des filles.

Ce déséquilibre souligne la vulnérabilité accrue des femmes face à certaines formes de violence numérique, notamment le revenge porn (diffusion non consentie d’images intimes) et le cyberharcèlement sexuel.

« Deux tiers des victimes d’atteintes numériques aux personnes sont des femmes, révélant une vulnérabilité spécifique. »

La progression constante des cyberattaques ciblant les individus appelle une réponse renforcée, notamment à travers une sensibilisation accrue des jeunes publics et un accompagnement juridique adapté.

Service de Veille ZATAZ – 96% de satisfaction

Les atteintes numériques aux institutions et aux législations spécifiques : une croissance rapide

Atteintes numériques aux institutions

Les attaques visant les institutions (administrations, entreprises publiques, collectivités) ont également progressé de 7 % en 2024, avec 1 700 infractions recensées.

  • Les attaques par déni de service (DDoS) et les intrusions dans les réseaux informatiques sont les techniques les plus employées.
  • Les attaques ayant pour objectif de déstabiliser les services publics ou de voler des données sensibles sont en augmentation.

Atteintes aux législations spécifiques

Les infractions liées aux législations numériques (non-respect du RGPD, violation des droits d’auteur, contenus illicites) progressent plus rapidement, avec une hausse de 10 % en 2024 pour atteindre 1 500 infractions.

  • La forte augmentation du nombre de personnes mises en cause pour ce type d’infractions (+41 %) illustre la complexité croissante des litiges numériques.
  • Les sanctions liées aux infractions numériques sont également en augmentation, traduisant une volonté des autorités de renforcer la réponse judiciaire face à ces délits.

Le profil des auteurs : des tendances qui se confirment

Le nombre de personnes mises en cause pour des infractions numériques progresse également :

  • +3 % pour les atteintes numériques aux biens.
  • +6 % pour les atteintes numériques aux personnes.
  • +14 % pour les atteintes numériques aux institutions (contre +30 % sur la période 2016-2023).
  • +41 % pour les infractions aux législations numériques (contre +2 % sur la période 2016-2023).

Cette hausse rapide du nombre de mises en cause montre une professionnalisation des cybercriminels, souvent organisés en réseaux. Les atteintes directement dirigées contre les infrastructures numériques (piratage, virus, attaques DDoS) ont reculé de 4 % en 2024, avec 17 100 infractions recensées. Cette baisse pourrait s’expliquer par le renforcement des dispositifs de cybersécurité déployés par les institutions publiques et les grandes entreprises. Cependant, les cybercriminels adaptent constamment leurs méthodes, rendant cette baisse potentiellement temporaire.

Type d’atteinte Nombre d’infractions (2024) Évolution par rapport à 2023 Nombre de mises en cause (2024) Évolution des mises en cause
Atteintes aux biens 226 300 -1 % +3 % Stabilité
Atteintes aux personnes 103 300 +7 % +6 % Hausse constante
Atteintes aux institutions 1 700 +7 % +14 % Ralentissement
Atteintes aux législations spécifiques 1 500 +10 % +41 % Forte hausse
ASTAD 17 100 -4 % Non communiqué

Pour rester informé des dernières menaces numériques et des bonnes pratiques de sécurité, abonnez-vous à notre newsletter cyber et suivez-nous sur WhatsApp.

DeepSeek : 12 000 Clés API Exposées — L’IA, nouvelle faille de sécurité ?

Une récente analyse a révélé qu’environ 12 000 clés API, mots de passe et jetons d’authentification ont été accidentellement exposés lors de l’entraînement du modèle d’IA de DeepSeek sur des données accessibles en ligne. Cette fuite met en évidence les risques liés à l’utilisation de données publiques pour l’entraînement des modèles d’intelligence artificielle (IA).

Une fuite de grande ampleur

L’incident concerne un jeu de données issu de Common Crawl, une bibliothèque publique qui archive des copies de pages web du monde entier. En décembre 2024, une analyse de ce jeu de données, représentant 400 téraoctets et comprenant 47,5 millions de sites et 2,67 milliards de pages, a permis d’identifier une quantité alarmante d’informations sensibles.

Les chercheurs ont découvert près de 12 000 clés API et informations d’authentification valides. Ces clés donnaient accès à des services critiques comme Amazon Web Services (AWS), Slack et Mailchimp. Une partie des informations trouvées était directement intégrée dans le code source des pages HTML, exposée sans aucune protection.

Un cas frappant concerne une clé API de WalkScore, retrouvée 57 029 fois sur 1 871 sous-domaines différents. Cette diffusion massive d’une seule clé démontre le manque de contrôle dans la gestion des informations sensibles par certaines entreprises.

Une mauvaise gestion des clés API

L’analyse a montré que 63 % des clés d’accès étaient réutilisées dans plusieurs environnements, augmentant considérablement le risque d’attaques en cascade. Si une clé compromise est utilisée sur plusieurs services, un attaquant pourrait exploiter cette faille pour pénétrer plusieurs systèmes simultanément.

Le cas de Mailchimp est particulièrement préoccupant : plus de 1 500 clés API ont été retrouvées dans le jeu de données, directement accessibles dans le code côté client. Une clé Mailchimp exposée pourrait permettre à un pirate d’envoyer des emails de phishing depuis le compte légitime d’une entreprise, augmentant ainsi le taux de réussite des attaques.

Certaines pages web contenaient même des informations de connexion root (administrateur), offrant potentiellement à un attaquant un contrôle total sur le système cible. Une telle situation pourrait entraîner des conséquences dévastatrices, comme la perte de contrôle d’une infrastructure critique.

Le problème structurel de l’entraînement des modèles d’IA

Ce type de fuite met en lumière une faille structurelle dans le développement des modèles d’IA. Les modèles comme DeepSeek sont entraînés sur de vastes ensembles de données issues d’internet, incluant des bases de code, des forums de développeurs et des bases de données publiques. Ces ensembles de données contiennent souvent, par négligence, des informations sensibles comme des clés API ou des mots de passe.

Lorsque ces modèles sont entraînés sur des données contenant des failles de sécurité, ils peuvent reproduire ces vulnérabilités dans le code généré. Certains modèles de langage, comme GitHub Copilot, sont capables de suggérer des clés API ou des mots de passe dans le code généré, simplement parce qu’ils ont été entraînés sur des données comportant ce type d’information.

Cette capacité des modèles d’IA à « imiter » les failles de sécurité pose un défi majeur. Si un modèle reproduit ces vulnérabilités dans un code déployé en production, le risque de voir des attaques ciblées se multiplier devient réel.

Un risque de propagation des failles

L’absorption de données vulnérables par des modèles d’IA soulève le risque d’une propagation des failles à grande échelle. Si un modèle d’IA intègre des clés API ou des mots de passe dans le code qu’il génère, les conséquences pourraient être catastrophiques. Un attaquant pourrait alors exploiter ce code vulnérable pour infiltrer plusieurs systèmes, ouvrant la voie à des attaques en cascade.

Un modèle d’IA entraîné sur des données contenant des failles pourrait également influencer les développeurs à adopter des pratiques risquées, simplement en générant du code qui reproduit ces vulnérabilités.

Sécurité électorale : le rôle de la CISA fragilisé par le retrait du soutien fédéral

La CISA a terminé son examen interne sur la sécurité électorale, mais refuse de rendre ses conclusions publiques. Cette décision suscite des inquiétudes parmi les responsables locaux qui craignent une fragilisation des infrastructures électorales face aux cybermenaces.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment terminé un examen interne sur la sécurité électorale. Cependant, elle a décidé de ne pas publier les résultats, invoquant la nature confidentielle du document. Cette décision intervient dans un contexte de tension croissante, alors que le ministère de la Sécurité intérieure (DHS) a récemment mis fin au financement du Centre d’analyse et de partage d’informations sur l’infrastructure électorale (EI-ISAC), géré par le Center for Internet Security (CIS). Cette coupure budgétaire prive de nombreux États et collectivités locales de services essentiels en matière de cybersécurité, augmentant ainsi leur vulnérabilité face aux menaces potentielles. Les responsables électoraux locaux s’inquiètent du manque de soutien fédéral à l’approche des prochaines élections, ce qui pourrait compromettre la sécurité et l’intégrité du processus démocratique.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment terminé une évaluation interne sur la sécurité électorale, mais a choisi de ne pas en dévoiler les conclusions. Cette décision, confirmée cette semaine par un porte-parole de l’agence, soulève des inquiétudes profondes chez les responsables électoraux à travers le pays. Alors que le paysage électoral américain est marqué par une augmentation constante des menaces cybernétiques, la décision de la CISA de conserver cette évaluation comme un document confidentiel est perçue par beaucoup comme un manque de transparence qui pourrait affaiblir la capacité des juridictions locales à se défendre contre d’éventuelles attaques.

Un porte-parole de la CISA a déclaré que ce rapport est destiné à orienter les futures stratégies de l’agence en matière de protection des infrastructures critiques, mais qu’il ne sera pas rendu public. Cette déclaration a immédiatement suscité une réaction de la part des responsables électoraux et des experts en cybersécurité, qui estiment que le manque de transparence pourrait avoir des conséquences graves à l’approche des élections.

Tim Harper, analyste politique senior pour le Centre pour la démocratie et la technologie, a critiqué cette décision en affirmant que sans un accès clair aux résultats de cette évaluation, les responsables électoraux ne sauront pas quelles menaces spécifiques sont susceptibles de peser sur eux ni quelles stratégies de défense adopter. Selon lui, la CISA joue un rôle central dans la protection du processus démocratique, et le fait de priver les administrations locales d’informations cruciales pourrait nuire à la sécurité globale des élections.

La décision de la CISA de garder ces conclusions secrètes intervient dans un contexte particulièrement délicat. Les menaces contre les infrastructures électorales ont augmenté de manière significative au cours des quatre dernières années, avec une multiplication des cyberattaques, des campagnes de désinformation et des tentatives d’influence étrangère. Les juridictions locales, qui manquent souvent de ressources techniques et de personnel spécialisé, comptaient sur l’expertise et le soutien logistique de la CISA pour combler ces lacunes. Cette absence de transparence risque de creuser un fossé supplémentaire entre le gouvernement fédéral et les administrations locales, alors que la coopération entre ces deux niveaux est cruciale pour assurer la sécurité du processus électoral.

Le retrait du soutien fédéral au CIS met en péril la sécurité des élections

La fin de la coopération entre le ministère de la Sécurité intérieure (DHS) et le Center for Internet Security (CIS) a accentué la vulnérabilité des infrastructures électorales. Le CIS gérait jusqu’ici le Centre d’analyse et de partage d’informations sur l’infrastructure électorale (EI-ISAC), un programme essentiel de surveillance et de réponse aux cyberattaques. Depuis sa création en 2018, l’EI-ISAC fournissait un soutien technique de premier plan aux juridictions électorales locales, notamment grâce à la mise en place des capteurs Albert, des dispositifs capables de détecter les tentatives d’intrusion en temps réel.

La décision du DHS de mettre fin au financement du CIS a été officialisée dans une note interne datée du 14 février. Selon ce document, le département estimait que l’EI-ISAC ne correspondait plus aux objectifs stratégiques du DHS. Cette rupture de financement a eu un effet immédiat : la majorité des États sont désormais interdits, pour des raisons légales, de continuer à utiliser les services de l’EI-ISAC. Cette situation place les autorités locales dans une position délicate, les obligeant à chercher des solutions alternatives souvent plus coûteuses et moins fiables.

Scott McDonell, greffier du comté de Dane dans le Wisconsin, a exprimé sa frustration face à cette situation. Il a expliqué que son comté s’appuyait fortement sur le capteur Albert fourni par le CIS pour surveiller son réseau informatique en continu. Ce dispositif permettait de détecter immédiatement toute tentative d’intrusion et de lancer une réponse rapide pour limiter les dégâts. Désormais privé de ce soutien, McDonell envisage de faire appel à un fournisseur privé pour remplacer le capteur Albert, mais le coût de cette alternative représente un défi budgétaire majeur.

Le problème ne se limite pas à la cybersécurité. Le CIS fournissait également une assistance technique précieuse aux responsables électoraux, en organisant des sessions de formation et en partageant des renseignements actualisés sur les menaces en cours. Wesley Wilcox, superviseur des élections dans le comté de Marion en Floride, a rappelé que l’EI-ISAC jouait un rôle essentiel en créant une « salle de situation » qui permettait de coordonner la réponse des différentes juridictions en cas d’attaque à grande échelle. La fin de ce soutien stratégique laisse un vide difficile à combler, surtout à l’approche des élections.

Ce retrait du soutien fédéral risque également d’exacerber les inégalités entre les juridictions électorales. Les grandes villes et les États les mieux financés pourront sans doute trouver des solutions alternatives, mais les comtés ruraux et les petites municipalités, qui dépendent largement de l’aide fédérale, risquent de se retrouver sans défense face à une menace grandissante. Le modèle de sécurité électorale américain, basé sur une coopération entre le gouvernement fédéral et les administrations locales, est désormais remis en question.

Une situation critique à l’approche des élections ?

La perte de soutien fédéral survient à un moment particulièrement critique. Les menaces pesant sur les infrastructures électorales américaines sont en constante évolution. Les cyberattaques sont de plus en plus sophistiquées et ciblées. Les services de renseignement américains ont déjà signalé une augmentation des tentatives d’ingérence étrangère dans le processus électoral, et les attaques par rançongiciel contre les systèmes informatiques locaux sont devenues monnaie courante.

L’absence de soutien fédéral pourrait également nuire à la capacité des juridictions locales à répondre efficacement aux menaces physiques. La CISA avait joué un rôle clé ces dernières années en aidant les autorités locales à renforcer la sécurité physique des bureaux de vote et en formant le personnel électoral à gérer les situations de crise. En l’absence de ces ressources, les administrations locales risquent de se retrouver mal préparées face à une situation d’urgence.

Tim Harper a mis en garde contre le risque d’une réaction en chaîne : si une attaque venait à perturber le processus électoral dans une juridiction locale, le manque de soutien technique et logistique pourrait rapidement se transformer en une crise nationale. Selon lui, la transparence est la clé pour éviter ce scénario. Il exhorte la CISA à publier son évaluation interne et à rétablir un dialogue ouvert avec les responsables électoraux.

La pression monte également du côté des associations professionnelles. Le mois dernier, l’Association nationale des secrétaires d’État a adressé une lettre à la secrétaire du DHS, Kristi Noem, pour lui demander de rétablir le financement du CIS et de maintenir le soutien technique aux juridictions locales. Les responsables électoraux estiment que le gouvernement fédéral a une responsabilité directe dans la protection du processus démocratique, et que priver les juridictions locales de ce soutien revient à affaiblir la résilience du système électoral dans son ensemble.

La sécurité des élections américaines repose sur une coopération étroite entre le gouvernement fédéral, les États et les autorités locales. Le retrait du soutien fédéral et le manque de transparence de la CISA créent un climat d’incertitude qui pourrait avoir des répercussions profondes sur la confiance des électeurs. Si ces problèmes ne sont pas rapidement résolus, les prochaines élections pourraient se dérouler dans un contexte de vulnérabilité accrue, avec un risque réel d’ingérence et de perturbation du processus électoral.

Le retrait du soutien fédéral à la cybersécurité électorale laisse les juridictions locales vulnérables à des attaques sophistiquées et à une désinformation croissante.

La décision de la CISA de garder son rapport interne confidentiel prive les responsables électoraux de renseignements stratégiques essentiels pour assurer la sécurité des élections.

Arnaque au faux ransomware : des lettres physiques ciblent les cadres dirigeants​

Des escrocs envoient des lettres physiques à des cadres dirigeants, prétendant appartenir au groupe de ransomware BianLian, pour extorquer des rançons allant jusqu’à 500 000 dollars.​

Une nouvelle escroquerie cible les cadres dirigeants en leur envoyant des lettres physiques prétendant provenir du groupe de ransomware BianLian. Ces lettres affirment que des données sensibles ont été volées et menacent de les publier si une rançon, payable en Bitcoin, n’est pas versée dans les dix jours. Les montants exigés varient entre 250 000 et 500 000 dollars. Les autorités américaines, notamment le FBI et la Cybersecurity and Infrastructure Security Agency (CISA), alertent sur cette menace et recommandent aux entreprises de rester vigilantes face à cette tentative d’extorsion.​

Un mode opératoire inédit

Contrairement aux méthodes traditionnelles des cybercriminels qui privilégient les courriels ou les messages électroniques pour leurs tentatives d’extorsion, cette arnaque se distingue par l’utilisation de lettres physiques envoyées par la poste. Les enveloppes, marquées « Time Sensitive Read Immediately » (Lecture urgente), sont adressées directement aux cadres supérieurs, souvent à leurs domiciles personnels ou professionnels. Elles contiennent une lettre prétendant que le groupe « BianLian » a infiltré le réseau de l’organisation et a dérobé des milliers de fichiers sensibles. La menace est claire : si une rançon n’est pas payée en Bitcoin dans un délai de dix jours, les données seront publiées sur des sites de fuite associés à BianLian. ​

Des indices révélateurs d’une escroquerie

Plusieurs éléments laissent penser que ces lettres sont l’œuvre d’escrocs usurpant l’identité du véritable groupe BianLian. Tout d’abord, les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux. De plus, aucune preuve concrète de vol de données n’est fournie dans les lettres, et aucun moyen de contacter les auteurs pour négocier n’est mentionné, ce qui est contraire aux pratiques habituelles des groupes de ransomware. Les autorités n’ont pas identifié de lien entre les expéditeurs de ces lettres et le groupe BianLian connu. ​

Cibles privilégiées et montants exigés

Les lettres ont principalement été envoyées à des cadres du secteur de la santé aux États-Unis, avec des demandes de rançon variant entre 150 000 et 500 000 dollars. Dans certains cas, les lettres incluent un mot de passe compromis dans la section « How did this happen? » (Comment cela est-il arrivé ?), probablement pour ajouter de la crédibilité à leur revendication. Cependant, aucune activité indicative d’une intrusion par ransomware n’a été détectée dans les organisations ciblées, ce qui suggère que cette campagne vise à exploiter la peur pour inciter les organisations à payer une rançon pour une intrusion qui n’a jamais eu lieu. ​

Les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux.​

Recommandations des autorités

Il est recommandé aux entreprises de prendre les mesures suivantes pour se protéger contre cette escroquerie :​

Sensibilisation interne : Informer les cadres et les employés de l’existence de cette arnaque afin qu’ils soient vigilants s’ils reçoivent de telles lettres.​

Vérification des systèmes : S’assurer que les défenses du réseau sont à jour et qu’aucune activité malveillante n’est en cours.​

Signalement : En cas de réception d’une telle lettre, contacter immédiatement les autorités de votre pays (Police Nationale, Etc.).​

Les autorités insistent sur l’importance de ne pas céder à la panique et de ne pas effectuer de paiement sans avoir vérifié la véracité des allégations. Il est essentiel de suivre les protocoles de réponse aux incidents et de collaborer avec les forces de l’ordre pour gérer la situation de manière appropriée. ​

Le véritable groupe BianLian

Le groupe BianLian est un développeur de ransomware et un groupe cybercriminel spécialisé dans l’extorsion de données, probablement basé en Russie. Depuis juin 2022, le FBI a observé que le groupe BianLian a affecté des organisations dans plusieurs secteurs d’infrastructures critiques aux États-Unis.

En Australie, l’ACSC a observé que le groupe BianLian cible principalement des entreprises privées, y compris une organisation d’infrastructure critique. Le groupe BianLian employait initialement un modèle de double extorsion dans lequel ils exfiltraient des fichiers financiers, clients, commerciaux, techniques et personnels à des fins de levier et chiffraient les systèmes des victimes. En 2023, le FBI a observé que le groupe BianLian s’est principalement orienté vers l’extorsion basée sur l’exfiltration, laissant les systèmes des victimes intacts. ​

Cette nouvelle méthode d’escroquerie souligne l’ingéniosité des cybercriminels pour exploiter la peur et l’urgence chez leurs victimes. Le Social Engineering (Ingénierie sociale), une méthode qui est vieille comme le monde est plus efficace encore grâce au numérique. Il est crucial pour les organisations de rester informées des menaces émergentes et de renforcer les protocoles de sécurité. La vigilance, la sensibilisation et la collaboration avec les autorités sont essentielles pour contrer ces tentatives d’extorsion.