Archives de catégorie : backdoor

Des routeurs vulnérables ciblés par le renseignement russe

Une coalition internationale alerte sur les opérations du FSB russe, qui exploite des routeurs mal configurés afin d’atteindre des infrastructures critiques mondiales.

Les services de cybersécurité et de renseignement de seize pays, dont l’ANSSI,décrivent une campagne durable attribuée au Centre 16 du Service fédéral de sécurité russe. Les opérateurs recherchent des routeurs exposés, utilisent des configurations SNMP faibles, copient leurs paramètres internes et transfèrent ces données vers des serveurs contrôlés. Les communications, l’énergie, la défense, la finance, les administrations et la santé figurent parmi les secteurs les plus menacés. L’avis recommande de désactiver les protocoles anciens, de renforcer l’authentification, de filtrer les flux d’administration et de remplacer les équipements obsolètes. L’enjeu dépasse une simple faille technique : les routeurs compromis peuvent devenir des points d’observation, d’accès et de rebond.

Le FSB exploite les faiblesses ordinaires des réseaux

L’attaque commence sans outil spectaculaire. Les opérateurs associés au Centre 16 du FSB parcourent des plages d’adresses IP pour identifier des équipements accessibles depuis Internet. Leur priorité concerne les agents SNMP acceptant encore des chaînes de communauté courantes ou conservées par défaut.

SNMP permet d’administrer et de superviser des équipements réseau. Ses anciennes versions reposent toutefois sur des mécanismes d’authentification insuffisants. Lorsqu’un routeur autorise des droits d’écriture, un attaquant peut lui transmettre des instructions précises.

Selon l’avis conjoint, les acteurs envoient des requêtes SNMP depuis des infrastructures mandataires. L’adresse source peut être usurpée, ce qui complique l’analyse des journaux. Les commandes contiennent des identifiants d’objets, appelés OID, qui indiquent au routeur quelle opération exécuter.

L’équipement ciblé reçoit alors l’ordre de copier sa configuration dans un fichier. Celui-ci porte souvent un nom banal, comme « config.bkp » ou « output.txt ». Le routeur transfère ensuite cette archive vers un serveur privé virtuel loué par l’attaquant ou vers un serveur FTP déjà compromis.

Cette configuration peut révéler l’architecture du réseau, les interfaces actives, les règles de routage et certains identifiants. Les mots de passe Cisco enregistrés avec les types 0 ou 7 présentent un risque particulier. Le type 0 conserve les secrets en clair, tandis que le type 7 offre une protection faible.

Les auteurs signalent aussi l’exploitation occasionnelle de Cisco Smart Install, de portails d’administration et de vulnérabilités connues. Deux références apparaissent dans le document : CVE-2018-0171 et CVE-2008-4128. Cette dernière concerne uniquement des équipements Cisco arrivés en fin de vie.

Les techniques décrites recoupent celles observées chez d’autres groupes. L’industrie suit cette activité sous plusieurs appellations, notamment Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard et Static Tundra. Ces noms ne correspondent pas nécessairement à une attribution identique entre entreprises et services étatiques.

Le schéma présenté en page 3 résume cette chaîne opératoire. Il relie quatre étapes : reconnaissance, accès initial, extraction de la configuration et réception du fichier par l’attaquant. Cette progression transforme une erreur d’administration apparemment limitée en source de renseignement exploitable.

Les agences recommandent d’abord de désactiver Cisco Smart Install sur tous les équipements. Elles demandent également l’abandon de SNMPv1 et SNMPv2, considérés comme anciens. Lorsque leur maintien reste indispensable, les chaînes de communauté doivent être remplacées et limitées à la lecture.

SNMPv3 constitue l’option privilégiée. Sa configuration « authPriv » ajoute une authentification forte et chiffre les échanges. Le niveau de protection doit employer l’algorithme le plus récent accepté par l’équipement concerné.

Les comptes locaux exigent aussi une attention particulière. Chaque appareil doit utiliser des mots de passe robustes, uniques et stockés de façon sécurisée. Sur les équipements Cisco, l’avis recommande le hachage de type 8. Les types 0, 4 et 7 doivent être évités.

La surveillance doit détecter les identifiants inhabituels et les connexions effectuées avec des comptes locaux. Ces accès devraient rester réservés aux situations d’urgence. Une authentification centralisée, associée si possible à plusieurs facteurs, réduit le risque lié aux secrets isolés sur chaque routeur.

Le filtrage des OID représente une autre barrière. Une liste d’autorisation fondée sur la base MIB du constructeur peut limiter les commandes accessibles. Les systèmes de détection doivent également rechercher les requêtes SNMP visant les fonctions sensibles de copie de configuration.

Les protocoles d’administration ne devraient provenir que de postes dédiés, idéalement placés sur un réseau séparé. Des listes de contrôle d’accès peuvent imposer cette restriction. En périphérie, les agences préconisent de bloquer les ports associés à TFTP, Smart Install et SNMP, sauf nécessité opérationnelle strictement surveillée.

Les ports concernés comprennent UDP 69 pour TFTP, TCP 4786 pour Smart Install, UDP 161 et 162 pour SNMP, ainsi que TCP ou UDP 10161 et 10162 pour SNMPv3. Cette fermeture réduit les possibilités d’exfiltration et d’administration distante non autorisée.

Enfin, les logiciels et micrologiciels doivent rester à jour. Les équipements en fin de support doivent être remplacés. Une gestion continue de la surface d’attaque permet d’identifier les appareils exposés, les configurations faibles et les vulnérabilités connues.

Google cible NetNut, vaste botnet proxy

Le coup porté à NetNut montre comment des appareils domestiques banals peuvent devenir des relais invisibles pour cybercriminalité et opérations d’espionnage.

Google a annoncé, début juillet 2026, une action coordonnée contre NetNut, également suivi sous le nom Popa, l’un des plus grands réseaux malveillants de proxys résidentiels observés sur internet. Menée avec le FBI, Lumen et d’autres partenaires, l’opération vise une infrastructure ayant enrôlé discrètement des millions d’appareils domestiques. Ces équipements servaient ensuite de relais loués à des cybercriminels. Après la perturbation du réseau IPIDEA en janvier 2026, cette nouvelle action confirme une campagne suivie contre un écosystème devenu central pour masquer intrusions, attaques par mots de passe et activités de renseignement.

Un botnet caché dans les salons

Un proxy résidentiel n’est pas un serveur anonyme loué dans un centre de données. Il s’appuie sur une adresse IP attribuée à un véritable abonné internet, dans un logement réel. Pour les systèmes de sécurité, le trafic semble donc provenir d’un foyer ordinaire. Cette apparence rend la détection plus complexe que face à une infrastructure connue de serveurs professionnels. C’est aussi la raison de son attrait pour les attaquants : l’activité malveillante se dissimule derrière l’empreinte numérique d’un utilisateur innocent.

Selon le Threat Intelligence Group de Google, NetNut regrouperait au moins 2 millions d’appareils dans le monde. La taille exacte de tels réseaux reste difficile à établir, car leurs opérateurs les fragmentent, les revendent et les recomposent. Cette estimation suffit toutefois à placer NetNut parmi les réseaux de proxys résidentiels les plus vastes et les plus populaires.

L’enrôlement des appareils suit deux voies principales. Certains produits sont déjà infectés avant leur achat. D’autres rejoignent le réseau après l’installation, par leur propriétaire, d’une application intégrant un code proxy caché. Une fois compromis, l’équipement devient un « exit node », autrement dit un point de sortie pour le trafic d’un tiers. L’utilisateur, lui, ne voit souvent rien.

Les cibles privilégiées ne sont pas des ordinateurs classiques. Les opérateurs s’intéressent aux téléviseurs connectés, boîtiers de streaming, décodeurs et autres appareils de salon que beaucoup de foyers ne considèrent pas comme des machines sensibles. D’après KrebsOnSecurity, un constat confirmé par Google, NetNut distribuait des kits de développement logiciels, ou SDK, destinés à ces équipements. GTIG a aussi identifié des composants de plugins NetNut associés à des botnets de grande ampleur, dont Badbox 2.0.

Le modèle commercial renforce le danger. NetNut ne vendait pas seulement un accès direct à son propre réseau. Il proposait aussi un programme de revente permettant à d’autres sociétés de commercialiser cette capacité sous leur marque. Google dit avoir un haut niveau de confiance dans le fait que plusieurs services connus de « proxy résidentiel » s’appuient en réalité sur le botnet NetNut. Le réseau devient alors une infrastructure commune, masquée par plusieurs vitrines commerciales.

Pour un particulier, l’impact peut être concret. Une adresse IP domestique transformée en couverture peut servir à lancer des intrusions, des tentatives de piratage ou d’autres usages non autorisés. Le fournisseur d’accès risque ensuite d’associer l’activité suspecte au foyer concerné, avec des blocages, des alertes ou une réputation réseau dégradée. Plus inquiétant encore, le trafic non autorisé passant par un appareil compromis peut exposer d’autres équipements présents sur le même réseau local.

Une riposte coordonnée, pas une fin de partie

Les abus observés par Google ne relèvent pas de l’hypothèse. Pendant une seule semaine de juin 2026, GTIG a repéré 316 groupes de menaces distincts utilisant des nœuds de sortie soupçonnés d’appartenir à NetNut. Le mélange comprenait des acteurs cybercriminels et des groupes liés à l’espionnage. Ils utilisaient cette infrastructure pour masquer leur origine lors d’intrusions dans des environnements victimes, ainsi que pour mener des attaques par pulvérisation de mots de passe. Des chercheurs de Synthient, Spur et Nokia Deepfield ont aussi documenté l’usage de NetNut dans l’infection d’appareils par des variantes du botnet DDoS Mirai.

L’action de Google s’est organisée autour de trois leviers. Le premier a consisté à couper le commandement et contrôle, ou C2, en désactivant les comptes et services que NetNut utilisait en violation des conditions d’utilisation et des règles d’usage acceptable de Google. Le deuxième a reposé sur le partage de renseignement technique. GTIG a transmis des éléments sur les SDK de NetNut et son infrastructure backend à des plateformes, à des forces de l’ordre et à des sociétés de recherche. Le troisième volet concerne les utilisateurs Android : Google Play Protect avertit désormais les personnes exposées, désactive les applications connues pour embarquer les SDK NetNut et bloque les nouvelles installations identifiées.

Google estime que ces mesures ont fortement dégradé le réseau et son activité commerciale, en réduisant de plusieurs millions le nombre d’appareils disponibles. L’entreprise souligne toutefois un point essentiel : cet écosystème reste glissant. Après l’action contre IPIDEA, GTIG a observé que certains opérateurs compensaient l’affaiblissement de leur propre botnet en achetant de la capacité auprès de concurrents. Ils deviennent alors revendeurs à leur tour. Le secteur fonctionne par chevauchements, avec des botnets partagés, loués et revendus.

Cette structure limite l’effet d’une opération isolée, même importante. Pour obtenir un impact durable, Google estime nécessaire de maintenir une pression coordonnée sur plusieurs fournisseurs interconnectés, en particulier contre leurs infrastructures C2. L’entreprise appelle les plateformes mobiles, les fournisseurs d’accès internet et les acteurs technologiques à partager davantage de renseignement et à agir directement contre les relais malveillants.

La protection des particuliers repose d’abord sur la prudence. DataSecurityBreach.fr vous rappelle que les applications promettant de rémunérer le « partage de bande passante » ou l’« internet inutilisé » doivent être considérées avec méfiance. Ces offres peuvent ouvrir une brèche réelle dans un réseau domestique. Mieux vaut privilégier les boutiques officielles, examiner les autorisations demandées par les VPN ou proxys tiers.

Dans cette affaire, le renseignement cyber rappelle une évidence souvent négligée : l’appareil oublié près du téléviseur peut devenir une ressource louée par l’adversaire.

[Sources]

Accès firewall root à vendre !

Cinq accès root à des pare-feu Linux sont proposés par un pirate informatique, visant des secteurs sensibles.

Un courtier d’accès initial annonce cinq accès distincts à des organisations situées dans quatre pays. Chaque offre promet le même niveau de compromission : exécution de code à distance avec droits root et shell sur un pare-feu Linux. Les cibles ne sont décrites que par secteur et pays : énergie aux Émirats arabes unis, pharmacie de détail aux États-Unis, électronique en Corée du Sud, logistique en Arabie saoudite, centre d’appels aux États-Unis. Aucun accès n’est confirmé. Un signal faible malveillant qui doit faire tendre l’oreille.

Une série d’annonces au profil identique

Le signal tient d’abord à sa répétition. Cinq annonces, publiées le même jour et rattachées au même alias, décrivent une compromission supposée d’équipements de sécurité placés au bord des réseaux. L’acteur se présente comme un courtier d’accès initial, une catégorie d’intermédiaires qui revend des portes d’entrée plutôt que des données déjà exfiltrées.

Dans ce cas, le pirate informatique miyako affirme disposer d’un accès root, avec exécution de code à distance et shell, sur des appliances firewall fonctionnant sous Linux. Cette combinaison, si elle était réelle, donnerait à un acheteur un contrôle profond sur un point de passage stratégique. Un pare-feu n’est pas un simple serveur annexe : il observe, filtre et sépare les flux entre l’extérieur et les environnements internes. Le placer sous contrôle hostile reviendrait à transformer un rempart en tête de pont.

Le prix intrigue autant que la promesse technique. Chaque accès est affiché à 400 $ (368,6 euros), sans discussion possible. La conversion en euros repose sur le taux implicite fourni dans la consigne, soit 250 millions de dollars convertis en 230,4 millions d’euros, ce qui donne environ 0,9216 euro pour 1 dollar. Appliqué à 400 dollars, le montant atteint 368,64 euros, arrondi ici à 368,6 euros. Ce tarif uniforme, très bas au regard du niveau d’accès annoncé, ne suffit pas à évaluer la réalité opérationnelle des offres. Il peut signaler une tentative de vente rapide, une faible qualité des accès, une absence de validation ou une simple opération d’appât.

Les revenus des organisations visées sont tous indiqués comme inconnus. Aucun nom d’entreprise n’apparaît. Les captures mentionnées sont des aperçus expurgés, associés à cinq intitulés : prestataire de services pétroliers aux Émirats arabes unis, chaîne de pharmacies aux États-Unis, entreprise d’électronique en Corée du Sud, société saoudienne de logistique et de chaîne d’approvisionnement, opération américaine de centre d’appels. Le canal de contact Session est mentionné comme retenu et n’est pas reproduit.

Cette sobriété forcée limite l’analyse. Les annonces ne permettent pas d’identifier une victime, de vérifier un périmètre technique, ni de confirmer l’existence d’un accès actif. Elles documentent une revendication commerciale, pas une compromission démontrée.

Un risque élevé, malgré un statut non vérifié

Le niveau de gravité est évalué comme élevé, non parce que les accès sont prouvés, plutôt en raison de ce qu’ils prétendent offrir. Un accès root avec shell sur un pare-feu Linux donnerait potentiellement un contrôle administratif complet. Dans un scénario réaliste, un tel point d’entrée pourrait faciliter la reconnaissance interne, le rebond vers d’autres systèmes, la capture de flux, l’ouverture de tunnels clandestins ou la préparation d’une intrusion plus destructrice.

L’intérêt cyber et renseignement se situe dans la nature des secteurs évoqués. L’énergie, la santé de proximité, le commerce de détail pharmaceutique, la fabrication électronique, la logistique et les centres d’appels forment des environnements riches en données, en dépendances opérationnelles et en connexions avec des tiers. Même sans nommer les entreprises, la distribution géographique indique une sélection internationale : deux cibles aux États-Unis, une aux Émirats arabes unis, une en Corée du Sud et une en Arabie saoudite.

Le cas du prestataire pétrolier émirien renvoie à un secteur où l’accès réseau peut avoir une valeur stratégique. La pharmacie de détail américaine combine données personnelles, flux de paiement et continuité de service. L’électronique sud-coréenne suggère un intérêt possible pour la propriété intellectuelle ou les chaînes industrielles. La logistique saoudienne touche aux échanges physiques et aux dépendances de transport. Le centre d’appels américain peut exposer des données clients, des identifiants internes ou des accès applicatifs utilisés par les opérateurs.

Rien, toutefois, ne permet d’affirmer que ces organisations ont été compromises. Le statut reste explicitement non vérifié. Les annonces relèvent du marché de l’accès initial, non d’une fuite de données confirmée. Cette distinction est essentielle : l’acteur ne publie pas de base volée, ne cite pas de victime identifiable et ne fournit pas, dans les éléments disponibles, de preuve technique exploitable par un tiers indépendant.

Le caractère groupé des cinq publications mérite néanmoins attention. Le même profil d’accès, le même tarif, le même type d’équipement et le même contact suggèrent un lot unique attribué à un seul vendeur. Cela peut indiquer l’exploitation d’une même faiblesse sur plusieurs pare-feu, une collecte opportuniste d’accès disparates, ou une mise en scène commerciale recyclant un modèle d’annonce. Sans éléments supplémentaires, ces hypothèses restent ouvertes.

Pour les défenseurs, l’enseignement principal se trouve dans le périmètre : le pare-feu, souvent perçu comme un outil de protection, devient une cible de premier rang. La surveillance des comptes administratifs, des shells inhabituels, des modifications de règles, des connexions sortantes anormales et des accès distants non attendus demeure centrale. Un équipement exposé, lorsqu’il est compromis, peut masquer l’intrusion derrière l’apparence du trafic légitime.

Cette affaire illustre la logique froide du courtage d’accès : vendre une position au seuil du réseau, sans bruit public, avant qu’un autre acteur ne transforme cette ouverture en opération plus lourde.

Google renforce l’enquête anti-espionnage sur Android

Google déploie sur Android un journal d’intrusion pensé pour documenter les attaques, préserver les traces et aider les enquêtes cyber sur smartphones compromis.

Le nouveau dispositif de journalisation intégré à Android vise un enjeu longtemps critique : comprendre précisément comment un téléphone a été ciblé, compromis ou fouillé. Intégré au mode de protection avancée, il s’adresse d’abord aux profils exposés, notamment journalistes, militants, défenseurs des droits humains et autres utilisateurs à risque. Les journaux collectent des événements techniques pouvant signaler une intrusion, puis les protègent par chiffrement avant transfert vers le compte Google de l’utilisateur. L’objectif est clair : empêcher qu’un logiciel espion efface simplement les indices locaux et donner aux chercheurs une base exploitable pour reconstituer une attaque.

Android veut garder la mémoire des attaques

Sur un smartphone, l’attaque ne se résume pas toujours à un écran suspect ou à une application inconnue. Elle peut passer par une connexion distante, une extraction discrète, une manipulation de débogage ou l’ouverture d’un serveur malveillant. Jusqu’ici, sur Android, beaucoup de ces signaux disparaissaient vite. Les journaux système n’étaient pas pensés pour une investigation d’intrusion, ils étaient régulièrement écrasés, et ne conservaient pas toujours les éléments nécessaires à une analyse solide.

Google introduit donc une fonction dédiée à cette zone grise de l’enquête mobile. La journalisation des intrusions collecte un ensemble séparé d’événements capables d’indiquer une compromission, une tentative de piratage ou une opération de dissimulation. Elle est intégrée au mode de protection avancée, conçu pour les utilisateurs dont le métier, l’engagement ou l’exposition publique augmente le risque de surveillance ciblée.

Le mécanisme repose sur une logique simple : conserver des traces utiles avant qu’elles ne disparaissent. Une fois par jour, Android rassemble ces journaux, les chiffre, puis les envoie vers le compte Google associé au téléphone. Selon Google, l’entreprise ne peut pas lire leur contenu. Le déchiffrement reste entre les mains de l’utilisateur, qui peut ensuite choisir de les transmettre à des chercheurs chargés d’examiner une attaque possible.

Cette architecture répond à un problème central du renseignement numérique : lorsqu’un logiciel espion a déjà pris pied sur un appareil, les preuves locales deviennent fragiles. Un outil suffisamment avancé peut tenter d’effacer ses traces, de masquer ses communications ou de supprimer les éléments compromettants. En déplaçant régulièrement des journaux chiffrés hors du téléphone, Google cherche à réduire cette capacité d’effacement.

La fonction a été développée avec l’aide d’Amnesty International. L’organisation a souligné une difficulté récurrente dans les enquêtes sur Android : l’analyse d’un appareil était souvent plus complexe que celle d’un iPhone, précisément parce que les traces disponibles étaient moins adaptées aux investigations sur intrusion. Pour des chercheurs, cette différence peut déterminer la qualité d’un diagnostic. Sans chronologie fiable, il devient difficile d’identifier le vecteur d’attaque, la période de compromission et les actions réalisées sur le terminal.

Les nouveaux journaux enregistrent plusieurs catégories d’actions. Ils peuvent conserver les déverrouillages du téléphone, les installations et suppressions d’applications, les connexions à des sites web ou serveurs, l’usage d’Android Debug Bridge, ainsi que les tentatives de suppression des journaux eux-mêmes. Ce dernier point est particulièrement sensible : vouloir effacer ces données peut constituer un indice d’obstruction ou de camouflage après compromission.

Pour les enquêteurs, la valeur de ces informations tient à leur combinaison. Un événement isolé peut sembler banal. Une séquence, elle, peut raconter une attaque. Un déverrouillage inhabituel, suivi d’une connexion à un serveur suspect, d’une installation d’application et d’un accès via Android Debug Bridge, forme une piste beaucoup plus solide qu’un simple soupçon.

Un outil utile, mais encore encadré

Cette journalisation peut aussi aider à documenter des scénarios très concrets. Les données recueillies peuvent montrer si le smartphone a été relié à un outil d’extraction comme Cellebrite. Elles peuvent également révéler des tentatives de récupération de données, la présence d’un logiciel espion, l’installation d’un logiciel de harcèlement ou l’ouverture de domaines et serveurs utilisés dans une opération malveillante.

L’enjeu dépasse donc la réparation technique. Il touche à la preuve. Pour un journaliste, un défenseur des droits humains ou un militant, démontrer qu’un téléphone a été attaqué peut avoir des conséquences professionnelles, judiciaires et politiques. Dans ces dossiers, l’incertitude profite souvent à l’attaquant. Plus la chronologie est précise, plus l’analyse devient exploitable.

La fonctionnalité n’est toutefois pas automatique. L’utilisateur doit activer manuellement le mode de protection avancée, puis la journalisation des intrusions. Ce choix limite l’exposition involontaire, mais réduit aussi la couverture immédiate. Les personnes les plus ciblées devront connaître l’existence du dispositif, comprendre son intérêt et accepter de l’utiliser avant un incident.

Autre restriction importante : le déploiement concerne actuellement les appareils Pixel disposant de la mise à jour Android 16 de décembre ou ultérieure. Le téléphone doit aussi être associé à un compte Google. Dans l’état actuel, le dispositif ne couvre donc pas l’ensemble de l’écosystème Android, très fragmenté selon les fabricants, les modèles et les calendriers de mise à jour.

La question de la confidentialité demeure centrale. Ces journaux peuvent contenir l’historique de connexions et des éléments liés à l’activité de navigation. Même chiffrés, ils restent sensibles dès lors qu’un utilisateur envisage de les partager avec des chercheurs. Le choix final lui appartient : transmettre ces données peut aider à établir une attaque, mais cela implique aussi d’exposer une partie de son activité numérique à une analyse externe.

Google tente ici un équilibre délicat. Trop peu de traces, et l’enquête échoue. Trop de collecte, et l’outil devient lui-même une source d’inquiétude. Le chiffrement et le contrôle donné à l’utilisateur répondent à cette tension, sans l’effacer totalement. Dans les affaires d’espionnage mobile, la confiance ne repose pas seulement sur la technologie, mais aussi sur la clarté du consentement.

Pour Android, cette évolution marque un changement d’approche. La sécurité ne consiste plus seulement à bloquer l’attaque au moment où elle survient. Elle doit aussi permettre d’en comprendre les mécanismes après coup. Cette capacité d’analyse post-incident est essentielle face aux logiciels espions, aux outils forensiques intrusifs et aux opérations ciblées.

En matière de cyber-renseignement, la bataille se joue désormais autant dans la conservation des traces que dans la détection de l’attaque.

La FCC bloque les routeurs étrangers aux États-Unis

Washington durcit sa doctrine cyber en visant les routeurs fabriqués hors des États-Unis, jugés trop risqués pour les réseaux domestiques, les infrastructures critiques et la sécurité nationale.

La Federal Communications Commission, la FCC, interdit l’importation future de tous les routeurs grand public fabriqués en dehors des États-Unis, sauf exemption explicite accordée après examen sécuritaire. La mesure ne vise pas les appareils déjà installés chez les particuliers, mais elle pourrait bouleverser tout le marché américain, largement dépendant d’une production étrangère. L’agence invoque un « risque inacceptable » pour la sécurité nationale, la sûreté publique et la cybersécurité.

Une rupture réglementaire au nom de la sécurité nationale

La FCC franchit un seuil important dans sa politique de sécurité. L’agence interdit désormais l’importation de futurs routeurs grand public produits hors des États-Unis, à moins que leurs fabricants n’obtiennent une dérogation. Pour être exemptées, les entreprises devront décrocher une « détermination spécifique » du Department of Homeland Security ou du Department of War attestant que leurs produits ne présentent aucun danger sécuritaire.

Le signal envoyé est considérable. La plupart des routeurs utilisés par les consommateurs américains sont fabriqués à l’étranger. En visant l’origine industrielle des équipements, et non une seule marque ou une seule technologie, la FCC expose potentiellement l’ensemble du secteur à un choc réglementaire. Cette décision prolonge une logique déjà engagée en décembre, lorsque l’agence avait adopté une interdiction comparable concernant les drones produits hors des États-Unis.

L’interdiction reste toutefois circonscrite aux importations à venir. Les particuliers qui possèdent déjà chez eux des routeurs fabriqués à l’étranger peuvent continuer à les utiliser. Cette précision limite l’effet immédiat pour les consommateurs, mais elle ne réduit pas la portée stratégique de la mesure. Elle déplace l’effort sur le renouvellement du parc et sur l’accès au marché américain pour les nouveaux équipements.

La justification de la FCC repose sur un diagnostic de chaîne d’approvisionnement. Selon la décision de sécurité nationale, publiée le 20 mars 2026, la dépendance des ménages américains à l’égard de routeurs fabriqués à l’étranger introduit des vulnérabilités susceptibles de menacer l’économie, les infrastructures critiques et la posture de défense du pays. L’agence parle même d’un « grave risque de cybersécurité ». La formule n’est pas anodine. Elle inscrit les équipements domestiques dans le périmètre de la sécurité nationale, au même titre que des composants plus directement liés aux réseaux stratégiques.

Dans son texte, la FCC détaille les usages offensifs associés à des routeurs compromis. Ces appareils peuvent faciliter la surveillance du trafic, l’exfiltration de données, les attaques par botnet et l’accès non autorisé à des réseaux. L’agence ajoute que des routeurs non sécurisés, fabriqués hors des États-Unis, ont déjà servi dans plusieurs cyberattaques récentes comme points d’appui pour pénétrer d’autres systèmes et comme relais vers des infrastructures critiques. Dans cette lecture, le routeur domestique n’est plus un simple boîtier technique. Il devient un point d’entrée, un capteur, un pivot et parfois une plateforme d’espionnage.

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

 

Le routeur domestique, nouvel enjeu de la guerre des accès

La décision de la FCC met en lumière une réalité connue du monde cyber : l’attaque passe souvent par les marges. Un routeur compromis permet non seulement d’observer le trafic, mais aussi de se fondre dans le décor, de conserver un accès durable et d’utiliser un réseau déjà légitime comme tremplin. C’est précisément ce que l’agence associe ici à plusieurs campagnes attribuées à des acteurs étatiques ou à des groupes offensifs.

Selon la décision de sécurité nationale, les opérateurs parrainés par un État derrière les attaques Salt Typhoon ont utilisé des routeurs étrangers compromis pour s’intégrer à certains réseaux, y maintenir un accès dans la durée et pivoter vers d’autres cibles. Cette description est importante. Elle souligne que la menace ne tient pas uniquement au sabotage ou au vol immédiat de données. Elle tient aussi à la persistance, à la discrétion et à la capacité de mouvement latéral, trois dimensions essentielles dans les opérations de renseignement.

La CISA, l’Agence de cybersécurité et de sécurité des infrastructures, a elle aussi qualifié les routeurs de « vecteur d’attaque de choix », rappelle la FCC, en citant un avis de septembre 2025. L’agence fédérale s’appuie également sur une évaluation conjointe publiée en septembre 2024 par le FBI, la Cyber National Mission Force et la National Security Agency. Ce document indiquait que des pirates avaient exploité des routeurs de fabrication étrangère pour constituer des botnets employés dans des activités malveillantes, notamment des attaques par déni de service distribué. La FCC mentionne encore une annonce de Microsoft, datée d’octobre 2024, selon laquelle des routeurs compromis fabriqués à l’étranger avaient été utilisés pour mener des attaques par pulvérisation de mots de passe contre ses clients.

TP-Link illustre choqué !

La réaction de TP-Link illustre l’onde de choc provoquée par cette décision. Dans un communiqué, l’entreprise, fondée en Chine et désormais basée en Californie, affirme que presque tous les routeurs sont fabriqués hors des États-Unis, y compris ceux d’entreprises américaines, et précise produire au Vietnam. Selon son porte-parole, l’ensemble du marché des routeurs pourrait être affecté par l’annonce de la FCC concernant les nouveaux appareils qui n’avaient pas encore été autorisés. La société dit néanmoins avoir confiance dans la sécurité de sa chaîne d’approvisionnement et se déclare favorable à cette évaluation sectorielle.

Le climat politique s’est encore tendu en février, lorsque le Texas a attaqué TP-Link Systems en justice, l’accusant d’avoir facilité le piratage d’appareils de consommateurs par le Parti communiste chinois tout en affirmant offrir un haut niveau de sécurité et de protection de la vie privée. Cette procédure ajoute une dimension contentieuse à un débat déjà dominé par les questions d’influence, d’ingérence et de dépendance technologique.

Un point mérite toutefois d’être relevé : les routeurs fabriqués aux États-Unis ne sont pas présentés comme immunisés. Le département de la Justice a indiqué en janvier 2024 que les acteurs de Volt Typhoon avaient utilisé des routeurs Cisco et Netgear arrivés en fin de support, donc privés de correctifs et de mises à jour. Autrement dit, l’origine industrielle ne résout pas à elle seule la vulnérabilité. Elle s’ajoute à un autre problème majeur, celui du cycle de vie, de la maintenance logicielle et de l’abandon de produits encore déployés sur le terrain.

En visant les routeurs étrangers, la FCC traite l’équipement domestique comme une surface de renseignement, preuve que la bataille cyber se joue désormais jusque dans les boîtiers les plus ordinaires des foyers.

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

Telegram face à une faille critique encore opaque

Une vulnérabilité critique signalée sur Telegram alerte déjà le secteur cyber, sans preuve d’exploitation active à ce stade, mais avec un niveau de gravité suffisant pour inquiéter chercheurs et défenseurs.

Telegram est confronté à une nouvelle vulnérabilité critique référencée ZDI-CAN-30207, notée 9,8 sur 10 selon l’échelle CVSS. La faille a été inscrite dans la base de la Zero Day Initiative, avec un signalement à l’éditeur daté du 26 mars 2026 et une échéance de divulgation publique fixée au 24 juillet 2026. Aucun détail technique n’a encore été publié, ce qui interdit toute conclusion sérieuse sur un éventuel scénario de compromission à grande échelle. En revanche, les éléments déjà visibles, notamment le vecteur d’attaque annoncé, décrivent un risque potentiellement majeur pour la sécurité de la messagerie et pour la surface d’exposition de ses utilisateurs. Telegram refute le probléme.

Une alerte majeure, mais encore sans mode opératoire public

Les développeurs de Telegram ont désormais une pression claire : corriger rapidement une faille classée comme critique avant que la fenêtre de divulgation ne s’ouvre davantage. La vulnérabilité est identifiée sous la référence ZDI-CAN-30207 dans la liste de la Zero Day Initiative. Selon les informations rendues publiques, elle a été transmise à l’éditeur le 26 mars 2026. La date limite prévue pour une divulgation publique a été arrêtée au 24 juillet 2026.

À ce stade, le point le plus important tient précisément à ce qui manque. Aucun détail technique n’a encore été révélé. La Zero Day Initiative suit habituellement une logique de retenue sur ce type de dossier tant qu’un correctif n’a pas été publié par le fournisseur concerné. Cette pratique vise à éviter qu’une vulnérabilité grave ne soit transformée en guide d’exploitation avant que l’éditeur ait eu le temps de réagir. Dans le cas présent, cela signifie qu’il est impossible d’affirmer avec sérieux qu’un « piratage total » de Telegram serait déjà en cours, ou que des attaques massives exploiteraient la faille à grande échelle.

Cette prudence est essentielle. Dans l’écosystème cyber, les failles critiques attirent immédiatement les surinterprétations. Or, les seules données confirmées publiquement sont l’existence d’une vulnérabilité jugée critique, son inscription dans la base ZDI, l’identité du chercheur et le calendrier de divulgation. Tout le reste relève, pour l’instant, de l’hypothèse. D’un point de vue journalistique comme d’un point de vue renseignement, cette nuance compte. Une faille non documentée n’est pas une attaque constatée. Une note de gravité très élevée n’est pas, à elle seule, la preuve d’une compromission effective.

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

Cela ne réduit pourtant en rien le niveau d’alerte. Le score CVSS de 9,8 sur 10 place d’emblée cette découverte dans la catégorie des vulnérabilités les plus préoccupantes. Une telle note ne garantit pas, à elle seule, l’ampleur du risque réel, mais elle indique qu’au regard des critères standards d’évaluation, le potentiel d’exploitation est jugé extrêmement sérieux. Pour Telegram, l’enjeu est donc double : préserver sa crédibilité technique et éviter qu’un silence trop long ne laisse se développer des spéculations plus dommageables encore que la faille elle-même.

Telegram a une version différente des faits. Le service de presse de la messagerie a indiqué sur le réseau social X qu’une telle vulnérabilité n’existe tout simplement pas. Selon les représentants de Telegram, le chercheur a affirmé à tort qu’un « autocollant » contenant un code malveillant aurait pu être utilisé pour l’attaque.

Le score CVSS dessine un scénario de risque maximal

Le niveau d’inquiétude provient surtout du vecteur associé à la fiche : AV:N/AC:L/PR:N/UI:N. Traduit en langage opérationnel, cela décrit une attaque réalisable à distance, de faible complexité, ne nécessitant ni privilèges préalables, ni intervention de l’utilisateur. C’est ce point qui donne à l’alerte sa portée stratégique. Si cette évaluation est confirmée lors de la publication d’un rapport complet, la faille pourrait faire partie des scénarios les plus dangereux pour une plateforme de communication.

Une vulnérabilité exploitable par le réseau, sans action de la cible, modifie immédiatement la grille de lecture défensive. Elle évoque un modèle d’attaque dans lequel l’utilisateur ne clique sur rien, n’installe rien et n’accorde aucun droit particulier, mais peut néanmoins être exposé. Dans l’univers du renseignement numérique, ce type de caractéristique est observé avec la plus grande attention, car il réduit fortement les barrières opérationnelles pour un acteur malveillant. Cela intéresse autant la cybercriminalité que les opérations plus ciblées, dès lors qu’un outil de communication concentre des échanges sensibles, des métadonnées et des identifiants de relation.

Il faut toutefois rester rigoureux. Le vecteur seul ne raconte pas tout. Sans description technique, impossible de savoir si la faille touche le client, le serveur, une fonction précise, une bibliothèque, un mécanisme de traitement de contenu ou une architecture plus profonde. Impossible aussi de savoir quelles versions sont concernées, quelles conditions exactes sont requises, ou si des mécanismes de mitigation existent déjà de manière partielle. Le risque est donc potentiellement extrême, mais son périmètre concret reste encore inconnu.

Nouveau malware Android vole les codes SMS bancaires

Un nouveau cheval de Troie Android circule via messageries sous forme d’une fausse galerie photo. L’application malveillante intercepte les SMS, notamment les codes d’authentification bancaire, afin de faciliter des fraudes financières.

Un fichier APK récemment identifié par des spécialistes en cybersécurité révèle une nouvelle évolution de la famille de malwares Pulsar SMS Stealer. Diffusée sous le nom trompeur Photos_2920, cette application Android se présente comme une simple galerie d’images. En réalité, elle agit comme un outil d’espionnage capable d’intercepter les messages SMS de l’utilisateur. Les chercheurs indiquent qu’au 10 mars 2026, ce programme malveillant échappe encore aux détections antivirus connues. La diffusion repose sur l’ingénierie sociale via des messageries mobiles. L’objectif consiste à récupérer les codes OTP et 2FA utilisés pour sécuriser l’accès aux comptes bancaires et services en ligne.

Une galerie photo qui espionne les SMS

Les attaquants envoient directement le fichier APK aux victimes par messagerie. La méthode exploite un réflexe courant : ouvrir une image reçue d’un contact ou d’un interlocuteur inconnu. Une fois installé, le logiciel malveillant adopte l’apparence d’une galerie photo anodine.

En arrière-plan, l’application réclame une série d’autorisations sensibles. Ces droits lui permettent d’intercepter, lire, envoyer et supprimer des SMS. Le programme accède également à plusieurs identifiants de l’appareil, dont l’IMEI, le numéro de téléphone et les informations de l’opérateur mobile.

Les analyses montrent aussi que le malware récupère les numéros associés aux deux cartes SIM lorsque l’appareil en possède deux. Il peut démarrer automatiquement après redémarrage du téléphone et rester actif en continu. L’ensemble des messages SMS stockés sur l’appareil est ensuite transmis vers un serveur de commande et de contrôle, souvent abrégé C2.

Ce type d’attaque mobile inquiète les spécialistes depuis plusieurs années. Les codes à usage unique envoyés par SMS servent fréquemment à valider des opérations bancaires ou à confirmer une connexion. Lorsqu’un cybercriminel intercepte ces messages, il peut contourner une grande partie des protections de sécurité.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

Une architecture technique sophistiquée

Les chercheurs d’Advanced Monitoring ont examiné l’échantillon malveillant et identifié une architecture en plusieurs étapes. Le fichier classes.dex externe agit comme un chargeur fortement obfusqué. Son rôle consiste à extraire une charge utile DEX dissimulée dans le répertoire assets sous le nom NwyavbTt.csz.

Ce module est ensuite chargé dynamiquement grâce à une injection ClassLoader. Cette technique complique l’analyse par les outils de sécurité et retarde la détection automatique.

La seconde étape active la logique principale du malware. Elle gère la communication avec le serveur C2, l’interception des SMS et l’identification détaillée de l’appareil infecté. Des mécanismes de persistance assurent le maintien du logiciel sur le téléphone même après un redémarrage.

Les documents techniques publiés décrivent également un masquage important du trafic réseau. Les paquets de communication, appelés pulsations, transmettent régulièrement au serveur l’état complet de l’appareil compromis. Les informations incluent l’état de l’écran, le niveau de batterie, les autorisations SMS accordées et la configuration du mode Doze d’Android, qui limite l’activité en arrière-plan.

Une configuration initiale permet de récupérer des paramètres supplémentaires depuis un point de terminaison identifié sous la forme /m/{build_id}. Les données renvoyées adoptent une structure de type PEM et sont chiffrées avec l’algorithme AES-256-GCM.

Alexander Rudzik, spécialiste principal de la recherche sur les cybermenaces chez Perspektivny Monitoring, explique que dissimuler des malwares dans des applications liées aux médias devient une stratégie courante. Selon lui, une approche comparable existait déjà dans la famille Mamont. L’échantillon actuel présente toutefois des caractéristiques techniques inédites.

Les chercheurs signalent que l’obfuscation multi-étapes et le camouflage avancé du trafic rendent l’analyse particulièrement complexe. L’absence de ce fichier sur les plateformes publiques de partage de malwares suggère également que la campagne reste à un stade précoce. Les premiers indices indiquent un ciblage d’utilisateurs situés en Russie.

Pour les analystes du renseignement cyber, ce type d’attaque illustre une tendance durable : les opérations financières frauduleuses s’appuient désormais sur l’exploitation directe des mécanismes d’authentification mobile.

Chantage au faux VPN : comment l’iPhone se retrouve piégé

Une appli VPN gratuite, installée en quelques minutes, puis un message qui tombe comme une menace, payez ou votre iPhone sera bloqué. En coulisses, tout se joue ailleurs, sur l’identifiant Apple.

Une escroquerie prend appui sur des applications VPN gratuites téléchargées depuis l’App Store, avant de basculer en chantage. Les victimes reçoivent un message réclamant un transfert d’argent, souvent autour de 10 000 €, sous peine de rendre l’iPhone inutilable. Un VPN ne peut pourtant pas bloquer un iPhone à distance. Le mécanisme réel vise l’identifiant Apple, récupéré par pression, ou via la manipulation qui pousse l’utilisateur à se connecter à un autre compte. Parfois, l’attaque passe aussi par l’installation d’un profil de gestion d’appareil déguisé. Une fois l’accès obtenu, le mode Perdu est activé via Localiser et le verrouillage d’activation se déclenche.

Ce que le VPN ne peut pas faire, et ce que les escrocs exploitent

Tout commence comme une routine numérique. Une personne télécharge un VPN gratuit « pratique » depuis l’App Store, l’utilise tranquillement, puis reçoit un message qui change l’ambiance : transférez de l’argent ou l’iPhone sera bloqué. La somme exigée vise à couper le souffle, souvent autour de 10 000 €. Le scénario laisse croire à un pouvoir direct de l’application sur le téléphone.

Cette idée est trompeuse. Un VPN ne dispose pas d’un bouton secret capable de rendre un iPhone inutilisable à distance. Il ne peut pas, seul, déclencher un verrouillage système. La bascule se produit ailleurs : dans l’identité numérique attachée à l’appareil. Le point crucial est l’accès au compte Apple, obtenu par compromission ou par une manœuvre qui pousse la victime à se connecter à un autre identifiant dans les réglages.

Le VPN sert alors surtout de prétexte et de mise en scène. Il crédibilise un discours d’assistance improvisée, de « restriction » à lever, de configuration à finaliser. L’attaque ne repose pas sur une magie technique, mais sur une capture d’autorisations, par précipitation et par pression, jusqu’à faire entrer l’utilisateur dans un couloir où il donne lui-même la clé.

La mécanique du chantage : compte Apple, profils iOS, verrouillage

Le schéma le plus fréquent repose sur des messages qui promettent un contournement rapide, puis exigent le mot de passe de l’identifiant Apple au nom d’une « vérification », d’une « activation », d’une « synchronisation » ou d’une « configuration ». L’objectif est simple : prendre le contrôle du compte, pas du VPN. Parfois, les escrocs vont jusqu’à convaincre l’utilisateur de saisir l’identifiant Apple d’une autre personne dans les réglages de l’iPhone. Une fois ce pas franchi, l’appareil est lié à une identité qui n’est plus celle du propriétaire.

Dans d’autres histoires, une étape additionnelle aggrave le risque : l’installation d’un profil de gestion d’appareil. Ce type de profil modifie les règles de sécurité de l’iPhone et donne à l’administrateur le pouvoir d’imposer des politiques, y compris un blocage. Les escrocs le camouflent derrière des intitulés rassurants, « configuration réseau » ou « certificat de service ». Là encore, le ressort n’est pas un tour de passe-passe : c’est une autorisation accordée volontairement, souvent sous contrainte psychologique.

Une fois l’accès au compte Apple acquis, le verrou se referme. Les attaquants activent le mode Perdu via Localiser mon iPhone. Le verrouillage d’activation se déclenche alors : l’appareil exige des identifiants, mais ceux-ci restent entre les mains des escrocs. Côté victime, la sensation est celle d’un blocage soudain et inexplicable, alors que la cause est presque toujours la même : un identifiant Apple compromis, ou un appareil rattaché à un compte qui n’est plus maîtrisé.

La protection tient pourtant à quelques réflexes simples. Ne partagez jamais le mot de passe de votre identifiant Apple, y compris avec un « support » par chat ou un prétendu configurateur VPN. Saisissez votre identifiant Apple uniquement dans les réglages système, et uniquement le vôtre. Avant d’installer un profil iOS, il est conseillé de vérifier qui vous le demande et pour quel motif. En cas de doute, fermez la page et n’installez rien.

Si des escrocs ont déjà accédé à votre compte Apple, il faut agir vite. Changez le mot de passe de l’identifiant Apple, contrôlez la liste des appareils associés, activez l’authentification à deux facteurs et supprimez les appareils inconnus. Si l’iPhone est bloqué par le verrouillage d’activation, la voie de sortie consiste à rétablir l’accès au compte Apple ou à contacter l’assistance officielle en fournissant une preuve de propriété. Le transfert d’argent ne permet généralement pas de reprendre le contrôle et ouvre souvent la porte à de nouvelles demandes.

Dans cette affaire, le signal cyber à retenir est net : l’attaque vise d’abord l’identité et les permissions, puis transforme l’écosystème en levier d’extorsion.

L’UE durcit la 5G face aux fournisseurs à haut risque

Bruxelles remet la chaîne d’approvisionnement au centre du jeu. Une loi cybersécurité révisée vise les télécoms et 17 secteurs, avec la Chine en ligne de mire.

Depuis janvier 2026, la Commission européenne pousse un paquet cybersécurité pour muscler la résilience de l’UE face aux menaces cyber et hybrides. Le cœur du texte, une loi révisée sur la cybersécurité, étend la logique de la boîte à outils 5G à 18 secteurs critiques, dont les télécommunications. L’objectif est de réduire les dépendances jugées à haut risque dans les chaînes d’approvisionnement TIC, notamment vis-à-vis de fournisseurs de pays tiers. Le périmètre annoncé couvre les 27 États membres, l’EEE (Islande, Liechtenstein, Norvège) et la Suisse. Les opérateurs auraient moins de cinq ans, adoption comprise, pour remplacer des équipements sensibles, avec un coût estimé autour de 7 € par abonné mobile.

Une loi pensée pour la menace hybride

Le texte proposé s’inscrit dans une décennie de crispations, où la cybersécurité n’est plus traitée comme un sujet technique isolé. La Commission place désormais les attaques numériques, la coercition économique et la pression géopolitique dans un même tableau, avec des acteurs étatiques étrangers régulièrement cités, dont ceux associés à la Chine. En arrière-plan, la guerre d’agression de la Russie contre l’Ukraine, entrée dans sa quatrième année, a durci la lecture du risque, en particulier l’idée d’actions coordonnées ou convergentes entre Moscou et Pékin.

Le projet vise la chaîne d’approvisionnement des technologies de l’information et de la communication. Il cherche à empêcher des dépendances considérées comme dangereuses, en imposant une sélection plus stricte des technologies et des fournisseurs critiques. La proposition couvre 18 secteurs, calés sur NIS 2, répartis entre 11 domaines à haute criticité, énergie, transports, banque, infrastructures de marché financier, santé, eau potable, eaux usées, infrastructure numérique, administration publique, spatial et télécommunications, et 7 autres secteurs critiques, services postaux et messagerie, déchets, chimie, agroalimentaire, industrie manufacturière, fournisseurs de services numériques et recherche.

Strand Consult, très présent dans le débat depuis 2018, explique avoir vu venir l’extension du sujet au-delà de la 5G. Le cabinet rappelle l’effet d’entraînement de la boîte à outils 5G lancée en 2020, d’abord centrée sur les réseaux mobiles, puis appelée à toucher le fixe, le satellite, et, désormais, d’autres industries. La proposition, volumineuse, environ 270 pages, prévoit une procédure accélérée pour les réseaux mobiles, fixes et satellitaires, car les télécoms sont déjà encadrés par la 5G Toolbox. Les 17 autres secteurs entreraient, eux, dans un schéma d’évaluation comparable, incluant le risque supply chain et des applications sectorielles.

Le calendrier donne la mesure de la tension. L’adoption pourrait prendre un an à un an et demi. Ensuite, les opérateurs disposeraient de trois ans pour appliquer les règles sur les infrastructures critiques. Ceux qui utilisent encore des fournisseurs à haut risque auraient donc moins de cinq ans pour sortir des équipements concernés, souvent déjà en milieu ou fin de vie. C’est là que le cyber devient renseignement, une dépendance matérielle se transforme en variable stratégique.

Le vrai coût du remplacement et la carte des dépendances

L’argument le plus répété, ces dernières années, affirme que restreindre Huawei ou ZTE ralentit la 5G et renchérit le déploiement. Strand Consult conteste cette narration, en décrivant trois familles d’opérateurs : ceux qui ont basculé vers des fournisseurs chinois en migrerant de la 4G vers la 5G, ceux qui ont corrigé tôt leur trajectoire, ou opèrent dans des pays appliquant la 5G Toolbox, et ceux qui continuent à s’appuyer sur des fournisseurs chinois là où la boîte à outils est absente ou partielle. Le cabinet insiste sur un point, de nombreux opérateurs ont choisi des fournisseurs jugés fiables sans explosion des coûts, ni retard visible.

Le Danemark sert d’exemple narratif. Deux réseaux mobiles 4G sur trois y avaient été construits avec Huawei, mais la bascule vers la 5G s’est faite avec des fournisseurs reconnus. Le pays a lancé la 5G très tôt et affiche aujourd’hui, selon Strand Consult, la meilleure couverture 5G de l’UE. Copenhague applique une approche fondée sur le risque, via une loi imposant le retrait des équipements de fournisseurs à haut risque. En 2023, TDC a reçu l’ordre de remplacer son réseau WDM Huawei avant 2027, dans un cadre où l’évaluation est portée par l’Agence danoise de la résilience.

À l’échelle européenne, Strand Consult décrit une photographie contrastée. Sur environ cent réseaux mobiles dans l’UE, une soixantaine seraient déjà assurés comme « réseaux propres ». Sur les quarante restants, une dizaine auraient une exposition limitée, entre 10 et 30 %, et ne seraient pas forcément ciblés par l’analyse de connectivité des fournisseurs. Reste une trentaine d’opérateurs, avec un RAN composé à 35 % jusqu’à 100 % de composants issus de fournisseurs à haut risque, surtout dans des pays où la 5G Toolbox n’est pas pleinement appliquée. Au début de 2026, l’estimation avancée est claire, environ 30 % des équipements installés dans l’UE, l’EEE et la Suisse proviendraient de fournisseurs à haut risque.

La géographie du remplacement concentre le risque, et donc la bataille politique. L’Allemagne, l’Italie et l’Espagne compteraient, à elles trois, plus de 55 % des équipements à remplacer sur cinq ans. Vodafone et Deutsche Telekom apparaissent comme nœuds critiques. DT serait fournie par Huawei à 58 % en Allemagne, et à 100 % en Grèce, Autriche et République tchèque, avec des niveaux élevés en Croatie et Pologne, tandis que sa filiale T-Systems revend des solutions cloud conçues et opérées par Huawei. Vodafone, de son côté, dépendrait entièrement de Huawei en République tchèque, Grèce, Hongrie et Roumanie, avec 67 % en Espagne et 53 % en Allemagne. Le sujet bascule alors du régulateur vers la défense, les forces armées européennes utiliseront la 5G des opérateurs, et l’exposition à des équipements chinois devient un paramètre de résilience collective.

Reste la facture, nerf de la guerre et angle d’influence. Strand Consult rappelait qu’en 2020, avec 86 % de la population européenne abonnée au mobile, le remplacement des équipements évolutifs représentait 3,5 milliards d’euros, soit 7,40 € par abonné, en investissement unique. La Commission, sur la base de données de l’Observatoire 5G et d’une transition de trois ans, estime 3,4 à 4,3 milliards d’euros pour les équipements non évolutifs, et un maximum de 6,5 à 8,3 € par abonné si la charge est répercutée. La Commission affirme aussi que la simplification des obligations pourrait générer jusqu’à 15,3 milliards d’euros d’économies sur cinq ans, de quoi neutraliser une partie du choc initial.

Dans le récit de Strand Consult, les opérateurs les plus exposés pourraient tenter d’amplifier les coûts, comme au Royaume-Uni en 2019, mais les échanges investisseurs cités contredisent l’idée d’un blocage automatique. BT évoquait 100 millions de livres sterling par an pendant cinq ans, et Vodafone parlait d’environ 200 millions d’euros pour une trajectoire de retrait du cœur de réseau, en alertant surtout sur le risque d’accélérations irréalistes. Au final, la proposition européenne impose une question de renseignement économique autant que de cyber, qui paie, le contribuable ou l’actionnaire, quand une dépendance technique devient un risque stratégique.

La bataille se jouera sur un terrain discret, cartographie des dépendances, arbitrages d’investissement, et capacité des États à traduire le risque cyber en décisions industrielles.

Rançongiciel en Roumanie, 1 000 systèmes d’eau chiffrés

Une attaque par rançongiciel a paralysé environ 1 000 systèmes informatiques de l’autorité roumaine des eaux. Les barrages et l’exploitation hydraulique ont tenu, grâce à des procédures manuelles.

La Direction nationale roumaine pour la cybersécurité (DNSC) a annoncé qu’une attaque par rançongiciel, survenue en décembre 2025, a compromis près de 1 000 systèmes IT de l’Administrația Națională Apele Române, l’autorité nationale de l’eau. Dix des onze administrations régionales de bassins, dont Oradea, Cluj, Iași, Siret et Buzău, ont été touchées. Les assaillants ont détourné BitLocker, un mécanisme légitime de chiffrement Windows, pour verrouiller les fichiers et déposer une note exigeant un contact sous sept jours.

Un choc IT, une continuité opérationnelle sous contrainte

La scène se joue d’abord côté bureaux et serveurs. La DNSC indique qu’une attaque de type rançongiciel a frappé l’infrastructure informatique de l’Administrația Națională Apele Române, avec environ 1 000 systèmes compromis. L’impact territorial est massif : dix administrations régionales de bassins sur onze seraient concernées, avec des sites cités comme Oradea, Cluj, Iași, Siret et Buzău. La liste, à elle seule, raconte la difficulté logistique : quand l’IT tombe en panne à cette échelle, la gestion de crise devient une affaire de synchronisation et de priorités, pas seulement de remédiation technique.

Le périmètre atteint, détaillé par les autorités, couvre des briques critiques du quotidien numérique. Sont mentionnés des serveurs applicatifs SIG (GIS), des serveurs de bases de données, des postes Windows, des environnements Windows Server, mais aussi des serveurs de messagerie et web, ainsi que des serveurs DNS. Autrement dit, de quoi casser la cartographie opérationnelle, gêner la circulation d’information, perturber la résolution de noms et compliquer toute orchestration de reprise.

Pourtant, l’essentiel, au sens hydrotechnique, n’a pas cédé. L’autorité de l’eau affirme que les technologies opérationnelles (OT) n’ont pas été touchées. Elle précise que l’exploitation des ouvrages hydrotechniques repose sur des centres de dispatching et des communications vocales. Les constructions hydrotechniques resteraient « sécurisées », opérées localement par du personnel spécialisé, coordonné par ces centres. La conséquence immédiate est un basculement vers une conduite dégradée : moins de confort numérique, plus de procédures, de réflexes et de voix au téléphone.

Ce choix d’architecture de crise n’est pas anodin. L’organisation insiste sur la continuité de fonctions sensibles, contrôle de barrages, gestion des crues, distribution d’eau, assurée via supervision manuelle et protocoles vocaux conçus pour ce type de contingence. C’est la logique classique de résilience : si l’IT est frappée, l’OT doit tenir, et si l’OT dépend de l’IT, alors des modes alternatifs doivent déjà exister. Ici, la narration officielle vise à rassurer sur ce point précis : la disponibilité opérationnelle n’a pas été brisée.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

 
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

BitLocker détourné, et un angle mort de protection nationale

Le détail technique central tient en un mot connu des administrateurs Windows : BitLocker. Selon une première évaluation, les attaquants ont utilisé ce mécanisme légitime de chiffrement pour produire un blocage par chiffrement sur les systèmes touchés. Le signal est fort sur le plan du renseignement de menace : au lieu d’introduire un malware « exotique », l’adversaire exploite un outil natif, déjà présent et souvent autorisé. Cela complique l’attribution technique, brouille les détections basées sur la présence d’un binaire malveillant, et déplace la bataille vers les droits, la gouvernance et l’audit des usages.

Les assaillants ont aussi déposé une note de rançon exigeant une prise de contact sous sept jours. La DNSC réitère sa doctrine : ne pas contacter ni négocier avec les cybercriminels, pour éviter d’alimenter leur économie. Dans cette logique, la variable critique devient le temps. Sept jours, c’est une pression psychologique, mais c’est aussi une fenêtre de reprise, de reconstitution d’inventaires, d’assainissement et de restauration. Quand des serveurs DNS, mail et web sont cités, la tentation de « raccourcir » la crise est forte. La recommandation publique vise à cadrer cette tension.

Un autre élément, plus politique, ressort de l’enquête : l’infrastructure de l’autorité des eaux n’était pas protégée par le système national de protection des infrastructures IT d’importance critique pour la sécurité nationale. Ce point ouvre un débat de surface, mais surtout un chantier immédiat. Des procédures ont été lancées pour intégrer ce périmètre aux dispositifs développés par le Centre national de cyber-renseignement, au sein du service de renseignement roumain, afin d’assurer la protection d’infrastructures publiques, et privées jugées critiques, via des technologies de cyber-intelligence. Le vocabulaire est important : on passe d’une défense locale à une logique de protection mutualisée, pilotée, et nourrie par le renseignement.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.

S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres