Archives de catégorie : Securite informatique

Cybersécurité, Entreprise, Securite informatique

La sécurité documentaire au cœur de la transformation numérique

Laisser un commentaire

La numérisation des processus ne suffit plus : la sécurité devient la condition de survie des organisations face aux risques de fuite et de falsification de données.

La gestion électronique des documents (GED) est désormais un pilier de la transformation numérique. En centralisant, indexant et sécurisant les fichiers sensibles, elle réduit les risques d’erreur humaine et renforce la conformité réglementaire. Mais cette modernisation crée aussi de nouvelles vulnérabilités comme vous l’explique trés souvent Data Security Breach. Cyberattaques, hameçonnage ciblé, détournement d’accès : les menaces évoluent aussi vite que les technologies. Les entreprises doivent donc combiner solutions de GED performantes et stratégie de cybersécurité rigoureuse. Toshiba Tec propose une approche intégrée alliant numérisation, sécurité et respect du RGPD pour garantir l’intégrité des données.

Dématérialisation et cybersécurité, un duo indissociable

La dématérialisation accélère les flux d’information mais multiplie aussi les points d’entrée potentiels pour les cybercriminels. Chaque document numérique, chaque plateforme collaborative, devient une cible. En France, selon l’ANSSI, 44 % des incidents signalés en 2024 concernaient des compromissions d’accès aux données internes. Dans ce contexte, la gestion électronique des documents ne se limite plus à l’archivage. Elle s’impose comme un dispositif stratégique pour assurer la traçabilité, la confidentialité et la disponibilité des informations.

Une GED bien configurée offre une visibilité complète sur le cycle de vie documentaire : création, modification, partage, destruction. Chaque action est enregistrée, chaque utilisateur authentifié. C’est cette granularité du contrôle qui permet de limiter les risques de fuite.

Le renseignement économique face aux menaces internes

Les fuites d’informations sensibles proviennent souvent de l’intérieur. Un employé ou un prestataire négligeant, un poste de travail compromis : autant de vecteurs d’exfiltration de données. Dans le secteur industriel ou public, ces incidents relèvent parfois du renseignement économique.

Les systèmes de GED modernes intègrent désormais des outils d’analyse comportementale. Grâce à l’intelligence artificielle, ils détectent les anomalies d’usage : téléchargement massif, accès inhabituel à un répertoire, modification suspecte de métadonnées. Ces alertes précoces permettent d’intervenir avant la compromission complète du réseau documentaire.

L’intégration de la sécurité à la source, chiffrement, contrôle d’accès, journalisation, renforce la résilience organisationnelle. Toshiba Tec a fait de cette approche une priorité, en développant des solutions capables de sécuriser les échanges documentaires tout en respectant les exigences réglementaires du RGPD.

Vers une gouvernance documentaire souveraine

L’avenir de la dématérialisation passe par une souveraineté numérique accrue. Héberger et traiter les documents dans des infrastructures conformes aux standards européens devient un enjeu stratégique. Les plateformes de GED certifiées, hébergées en France ou dans l’Union européenne, garantissent une meilleure maîtrise des données sensibles.

Les acteurs publics et les entreprises privées convergent vers cette exigence : contrôle total des flux, audit complet et interopérabilité entre services. Le défi n’est plus technique mais organisationnel : créer une culture documentaire où la sécurité est une responsabilité partagée.

Toshiba Tec, à travers son expertise en solutions documentaires et en technologies d’impression sécurisées, accompagne cette transition vers une gouvernance numérique intégrée, alliant performance, conformité et souveraineté.

– Sources
ANSSI, Panorama de la cybermenace 2024 : https://www.ssi.gouv.fr/publication/panorama-de-la-cybermenace-2024/
CNIL, Sécuriser les données et les documents, 2024 : https://www.cnil.fr/fr/securiser-les-donnees

Cybersécurité, Securite informatique

Les prestations informatiques B2B, moteur stratégique de la compétitivité numérique

Laisser un commentaire

Face à la complexité croissante des systèmes d’information, les entreprises B2B externalisent de plus en plus leurs besoins technologiques à des prestataires spécialisés pour gagner en agilité et en sécurité.

Les prestations informatiques B2B regroupent l’ensemble des services destinés à accompagner les entreprises dans la gestion, la transformation et la sécurisation de leurs systèmes numériques. De la conception d’applications métier à la cybersécurité, ces prestations répondent à des enjeux de performance et de résilience. Dans un contexte d’évolution rapide des technologies, Data Security Breach le voit, les sociétés recherchent aujourd’hui des partenaires capables de conjuguer expertise technique, accompagnement stratégique et innovation durable. Collaborer avec un prestataire ESN, par exemple, d’allier proximité géographique pour les entreprises et compétences pointues dans le développement web et mobile. L’objectif : renforcer l’efficacité opérationnelle et la sécurité des infrastructures.

L’externalisation comme levier d’agilité et de sécurité

Externaliser ses fonctions informatiques à un prestataire B2B permet de concentrer les ressources internes sur le cœur de métier tout en bénéficiant d’une expertise technique constamment mise à jour.

L’infogérance, par exemple, offre un suivi continu de l’infrastructure et une réactivité face aux incidents. Un prestataire ESN à Nantes peut accompagner les entreprises locales et nationales dans le déploiement de solutions web et mobiles sécurisées sur toute la côte Ouest hexagonale. Cette proximité géographique favorise la collaboration et le pilotage agile des projets.

Dans un environnement soumis à des menaces numériques en constante évolution, disposer d’un partenaire capable de garantir la sécurité des données devient un avantage concurrentiel majeur. Les prestataires B2B intègrent désormais la cybersécurité à chaque étape du développement : audit, chiffrement, tests de pénétration et conformité au RGPD. La sécurité n’est plus une option, elle structure désormais la conception même des architectures numériques.

Des services informatiques au service de la transformation numérique

La transformation numérique ne se limite plus à la simple dématérialisation des processus. Elle implique une refonte complète de la manière dont les entreprises collectent, traitent et exploitent leurs données.

Les prestations informatiques B2B couvrent aujourd’hui un champ vaste : développement applicatif, intégration de logiciels de gestion, maintenance de serveurs, infogérance, cybersécurité, espace nuagique (cloud) ou encore l’intelligence artificielle. Selon une étude de Syntec Numérique (2024), le secteur des services informatiques représente plus de 65 milliards d’euros en France, porté par la demande croissante des PME et des ETI.

Les prestataires technologiques deviennent alors de véritables partenaires d’innovation. Leur rôle dépasse la simple exécution technique : ils contribuent directement à la stratégie de croissance de leurs clients.

L’importance d’une approche stratégique et durable

Les prestations informatiques ne se résument plus à une série de projets ponctuels. Elles s’inscrivent dans une logique de partenariat durable. Les entreprises recherchent des acteurs capables de comprendre leurs enjeux métiers, d’anticiper les évolutions technologiques et de proposer des solutions adaptées à long terme.

L’émergence du cloud souverain, la montée de l’IA générative et les exigences réglementaires européennes (comme NIS2) redéfinissent les priorités. Les prestataires doivent concilier performance, conformité et sobriété numérique. À ce titre, des acteurs comme A5sys se distinguent par leur approche éthique et collaborative, plaçant l’humain et la valeur ajoutée au centre de la technologie.

Pour approfondir la dimension cybersécurité de ces services, un article connexe disponible sur ZATAZ analyse les menaces émergentes visant les infrastructures B2B et les solutions de protection à adopter.

Syntec Numérique, Baromètre des services IT en France, 2024 : https://syntec-numerique.fr/publications/barometre-services-it-2024
ANSSI, Guide de la cybersécurité des entreprises, 2024 : https://www.ssi.gouv.fr/entreprise/bonnes-pratiques-cybersecurite/
ZATAZ, Cybersécurité et services informatiques B2B, 2024 : https://www.zataz.com

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Microsoft corrige 63 failles, dont une exploitée activement

Le Patch Tuesday de novembre a comblé 63 vulnérabilités, dont une faille zéro-day déjà exploitée. Quatre d’entre elles sont jugées critiques.

Microsoft a publié ses correctifs mensuels de sécurité, colmatant 63 vulnérabilités réparties entre élévation de privilèges, exécution de code à distance, divulgation d’informations et déni de service. Parmi elles, une faille de type zero-day dans le noyau Windows, identifiée sous le numéro CVE-2025-62215, est activement exploitée. Elle découle d’une condition de course permettant à un attaquant d’obtenir les privilèges SYSTEM et donc le contrôle complet d’un poste. Découverte par les équipes MSTIC et MSRC, cette brèche représente le risque le plus critique du mois.

Quatre vulnérabilités sont classées « critiques » : deux autorisent l’exécution de code à distance (dans Microsoft Office et Visual Studio), une entraîne une élévation de privilèges (DirectX Graphics Kernel), et une dernière cause une fuite d’informations (Nuance PowerScribe 360). Les autres sont qualifiées d’« importantes ». Microsoft souligne que les correctifs appliqués à Edge et à Mariner ne figurent pas dans ce bilan, ce qui explique d’éventuelles différences de chiffres par rapport aux rapports cumulés de novembre.

Répartition par type :
29 élévations de privilèges ; 2 contournements de mécanismes de sécurité ; 16 exécutions de code à distance ; 11 divulgations d’informations ; 3 dénis de service ; 2 attaques par usurpation (spoofing).

En parallèle, l’entreprise a lancé le premier Extended Security Update (ESU) pour Windows 10. Les utilisateurs encore sous cette version sont invités à migrer vers Windows 11 ou à souscrire au programme ESU afin de continuer à recevoir les correctifs. Un correctif d’urgence a également été diffusé pour résoudre un bug affectant l’enregistrement au programme ESU.

Ce Patch Tuesday illustre la persistance des attaques ciblant les composants centraux du système, notamment les services de gestion des privilèges et les modules graphiques. La faille CVE-2025-62215, exploitée avant publication, démontre une fois de plus l’importance des mises à jour rapides dans la défense en profondeur des environnements Windows.

Microsoft n’a pas divulgué les vecteurs d’attaque exacts, mais la nature du bogue (condition de course dans le noyau) laisse penser à une exploitation locale après compromission initiale. Pour les administrateurs, la priorité consiste à appliquer sans délai le lot de correctifs, en particulier sur les postes sensibles et les serveurs exposés.

L’ensemble des correctifs peut être consulté via le Microsoft Security Update Guide.

Ce Patch Tuesday rappelle que, même avec un cycle mensuel régulier, les menaces évoluent plus vite que les correctifs. La faille zero-day CVE-2025-62215 relance la question : combien de vulnérabilités du noyau Windows restent encore inconnues ?

Sources

Android, backdoor, Banque, Cybersécurité, Securite informatique, Smartphone

Les applications Android exploitent le NFC pour voler des données bancaires

Des centaines d’applications malveillantes utilisent la technologie NFC et l’émulation de carte hôte pour intercepter des paiements et dérober des identifiants financiers sur Android.

Les experts de Zimperium Labs alertent sur une hausse massive de la fraude par relais NFC depuis avril 2024. Plus de 760 applications Android exploitent la communication en champ proche (NFC) et l’émulation de carte hôte (HCE) pour intercepter des données EMV, usurper des institutions financières et relayer des transactions bancaires frauduleuses. Ces campagnes illustrent la sophistication croissante des attaques contre les paiements sans contact.

NE MANQUEZ PAS NOTRE NEWS LETTER (CHAQUE SAMEDI). INSCRIPTION

Des campagnes coordonnées de vol de données

Les chercheurs ont observé que ces applications ciblent des banques, services de paiement et portails gouvernementaux dans le monde entier, avec un accent particulier sur les institutions russes, européennes (PKO, ČSOB, NBS), brésiliennes et sur Google Pay. Elles se font passer pour des applications officielles, incitant les victimes à les définir comme gestionnaires de paiement NFC par défaut. Une fois installées, elles interceptent les échanges APDU entre le terminal et l’appareil, exfiltrant les données EMV, les numéros de carte et les dates d’expiration vers des chaînes Telegram contrôlées par les opérateurs.

Certaines variantes fonctionnent comme des couples d’outils : un « scanner/piéger » chargé d’intercepter les transactions et un collecteur autonome pour exfiltrer les informations. Ces applications communiquent avec un serveur de commande et de contrôle (C2) capable d’enregistrer les appareils, relayer les requêtes de terminal, vérifier l’état du bot, envoyer des mises à jour ou des alertes Telegram, et exécuter des transactions à distance. L’automatisation et la modularité rendent la détection complexe.

Une infrastructure mondiale de commande et de contrôle

Zimperium a identifié plus de 70 serveurs C2 et plusieurs dizaines de bots Telegram actifs dans cette campagne. Ces infrastructures pilotent à distance les applications infectées, enregistrant en continu les appareils compromis et adaptant les commandes selon la réponse du terminal. Les opérateurs peuvent ainsi simuler des paiements sans contact réels, sans nécessiter l’intervention directe de l’utilisateur.

Les échanges APDU, cœur du protocole de communication entre carte et lecteur, sont intégralement interceptés, analysés puis répliqués. Les fraudeurs peuvent rejouer des transactions à partir des données volées, utilisant les identifiants des appareils pour personnaliser les sessions et contourner les vérifications comportementales des banques.

Cette architecture distribuée repose sur des serveurs hébergés dans plusieurs juridictions, compliquant le démantèlement. Les flux de commandes dynamiques et l’enregistrement continu des terminaux rendent l’analyse forensique difficile et retardent les réponses de sécurité.

Une menace liée à l’essor du sans contact

Le rapport de Zimperium souligne que la croissance des paiements NFC a ouvert de nouvelles opportunités aux cybercriminels. « Avec la croissance rapide des transactions sans contact, la technologie NFC est devenue une cible de plus en plus prisée », indiquent les chercheurs. Android autorise les applications à gérer les paiements NFC via l’émulation de carte hôte, fonction que les pirates détournent pour capturer les données avant qu’elles ne soient chiffrées ou transmises au processeur de paiement.

L’exploitation de ces autorisations légitimes rend les attaques particulièrement efficaces. En usurpant l’identité d’applications de confiance et en exploitant des interfaces natives, les malwares évitent les alertes de sécurité traditionnelles. Les auteurs diffusent leurs applications via des magasins non officiels ou des liens directs dans des messages Telegram et des forums de piratage.

Les chercheurs estiment que ces attaques reposent sur une combinaison d’ingénierie sociale et d’abus de fonctions système. Elles ciblent principalement les utilisateurs de terminaux Android ne disposant pas de correctifs récents ou utilisant des versions fragmentées du système d’exploitation.

VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR

Une réponse encore limitée

Zimperium recommande aux institutions financières et aux utilisateurs de considérer comme à haut risque toute application demandant l’autorisation de paiement NFC sans justification claire. Les experts préconisent également une surveillance renforcée des flux APDU et des connexions sortantes vers Telegram et d’autres messageries chiffrées.

L’écosystème Android reste vulnérable à ce type d’abus structurel, car la gestion des autorisations NFC repose sur la confiance de l’utilisateur final. Tant que les systèmes de vérification d’identité des applications ne seront pas centralisés, les campagnes de fraude par relais devraient continuer à croître.

Cette multiplication d’applications malveillantes utilisant le NFC et le HCE illustre un basculement des menaces : les cybercriminels délaissent le phishing traditionnel pour des attaques logicielles sophistiquées ciblant l’infrastructure même des paiements mobiles.

L’exploitation frauduleuse du NFC par des centaines d’applications Android démontre la vulnérabilité des paiements mobiles face à la manipulation logicielle. La question centrale reste ouverte : les éditeurs et autorités financières parviendront-ils à sécuriser le protocole NFC avant qu’il ne devienne le principal vecteur de vol de données bancaires ?

Cybersécurité, Justice, loi, Securite informatique

Les rançons échouent : 41 % des paiements de ransomware inutiles

Payer ne suffit plus : selon Hiscox, 41 % des entreprises victimes de ransomware restent paralysées malgré le versement d’une rançon et la réception d’une clé de déchiffrement.

Le rapport « Cyber Readiness Report 2025 » de l’assureur Hiscox révèle une réalité préoccupante : payer une rançon ne garantit pas la récupération des données. Sur 5 750 organisations interrogées dans sept pays, 27 % ont subi une attaque par ransomware, et 41 % des payeurs n’ont pas pu restaurer leurs systèmes malgré une clé reçue. Pire, 31 % des victimes ayant payé ont subi une nouvelle extorsion et 27 % d’entre elles ont été attaquées à nouveau. Les objets connectés (IoT) sont identifiés comme premier vecteur d’intrusion. En dépit de ce constat, 83 % des entreprises déclarent une meilleure cyber-résilience sur l’année écoulée.

Rançons inefficaces et attaques répétées

Le rapport montre que céder aux exigences des cybercriminels ne garantit pas le retour à la normale. Parmi les entreprises touchées, 60 % disent avoir récupéré une partie ou la totalité de leurs données, mais 41 % ont dû reconstruire leurs systèmes. Hiscox observe également une aggravation du phénomène : près d’un tiers des victimes ayant payé ont subi une nouvelle demande d’argent, souvent par les mêmes acteurs, et plus d’un quart ont connu une autre attaque dans les mois suivants. Le rapport conclut que « le paiement d’une rançon ne résout pas toujours le problème », rappelant la fragilité des stratégies de négociation directe avec les groupes de ransomware.

IoT, chaîne d’approvisionnement et cloud en première ligne

Les vulnérabilités des objets connectés constituent le principal point d’entrée des cyberattaques (33 %), devant celles liées à la chaîne d’approvisionnement (28 %) et aux serveurs hébergés dans le cloud (27 %). Les outils d’intelligence artificielle, utilisés sans protection suffisante, deviennent également un vecteur d’attaque initial pour 15 % des entreprises. Cette cartographie des risques confirme que l’interconnexion des systèmes multiplie les surfaces d’exposition. Les cybercriminels exploitent les failles de configuration ou de mise à jour pour obtenir un premier accès, avant de déployer des charges malveillantes chiffrant les données critiques.

Multiplication des incidents selon la taille de l’entreprise

Parmi les 5 750 organisations interrogées, 59 % ont subi au moins une cyberattaque au cours des douze derniers mois. Les grandes entreprises et celles générant plus d’un million de dollars (921 000 euros) de chiffre d’affaires sont les plus ciblées, avec une moyenne de six attaques par an, contre quatre pour les plus petites structures. Les sociétés de 50 à 249 employés enregistrent en moyenne sept incidents, contre cinq pour les structures comptant de 11 à 49 salariés. Le secteur non lucratif reste le plus exposé, avec huit attaques en moyenne par organisation, tandis que les entreprises des secteurs chimique, immobilier et médiatique signalent trois incidents par an.

Vers plus de transparence dans les paiements

Le rapport cite la nouvelle loi australienne imposant la divulgation des montants versés aux cybercriminels. Cette obligation recueille un soutien majoritaire : 71 % des répondants y sont favorables. Toutefois, 53 % estiment que les entreprises privées devraient pouvoir conserver la confidentialité de ces paiements. Ce débat illustre la tension entre transparence publique et gestion de crise opérationnelle. En dépit de la recrudescence des attaques, 83 % des organisations déclarent avoir renforcé leur posture de cybersécurité, notamment via la formation du personnel, la segmentation des réseaux et la mise en place de sauvegardes hors ligne.

Cybersécurité, Espionnage Spy, IA, IOT, Securite informatique

L’Inde accélère sa stratégie cyber autour du CERT-In

Porté par le CERT-In, le secteur indien de la cybersécurité devient un pilier économique majeur, combinant innovation, coopération internationale et défense numérique proactive.

L’Inde affirme sa position mondiale en cybersécurité grâce au CERT-In, l’agence nationale de réponse aux incidents informatiques. Selon son directeur, le Dr Sanjay Bahl, l’écosystème indien pèse désormais 20 milliards de dollars (18,5 milliards d’euros), soutenu par 400 start-ups et 650 000 professionnels. Face à la hausse des ransomwares et des menaces alimentées par l’intelligence artificielle, l’agence mise sur l’automatisation, la formation et la coopération internationale. Le ministère de l’Électronique et des Technologies de l’information (MeitY) voit dans cette approche une clé pour bâtir une Inde numérique sûre et résiliente.

NE MANQUEZ PAS NOTRE NEWS LETTER (CHAQUE SAMEDI). INSCRIPTION

Start-ups et compétences : le moteur de la croissance

L’écosystème cyber indien s’impose comme un acteur mondial, stimulé par un réseau dense de jeunes entreprises. Plus de 400 start-ups développent aujourd’hui des solutions d’analyse forensique, de détection des menaces et de surveillance assistée par IA. Leur croissance reflète l’essor d’un marché estimé à 20 milliards de dollars (18,5 milliards d’euros).

Près de 650 000 professionnels travaillent dans la sécurité numérique, couvrant des domaines allant de l’audit à la réponse aux incidents. Selon le Dr Bahl, cette main-d’œuvre qualifiée contribue à la résilience nationale face aux cyberattaques. L’Inde, longtemps concentrée sur l’externalisation informatique, se repositionne désormais comme un fournisseur de technologies de défense numérique à haute valeur ajoutée.

Ce développement repose sur la convergence entre innovation locale et expertise publique. Les start-ups bénéficient d’un environnement réglementaire favorable et de partenariats stratégiques avec les ministères techniques. Cette synergie accélère la modernisation des infrastructures critiques et renforce la sécurité des réseaux publics et privés.

Le CERT-In, pivot de la cyberdéfense nationale

Créé sous l’autorité du ministère de l’Électronique et des Technologies de l’information, le CERT-In joue un rôle central dans la détection et la gestion des incidents. Il coordonne les réponses entre secteurs publics et privés, évalue les vulnérabilités et assure la diffusion rapide d’alertes. Le Dr Bahl décrit l’intelligence artificielle comme une « arme à double tranchant », capable d’améliorer la défense tout en offrant de nouveaux outils aux cybercriminels. Pour contrer cet effet miroir, le CERT-In intègre des algorithmes d’apprentissage automatique dans ses systèmes de surveillance afin de détecter les anomalies et d’automatiser les contre-mesures.

En 2024, l’agence a recensé 147 attaques par ransomware. Nombre d’entre elles ont été contenues grâce à la coordination et au partage d’informations en temps réel. Le CERT-In organise également des exercices de simulation de crise et soutient les enquêtes forensiques menées par les forces de l’ordre.

Cette stratégie s’appuie sur un modèle de résilience active : anticipation, réponse rapide et apprentissage post-incident. Elle positionne le CERT-In comme un point de convergence entre cybersécurité opérationnelle et diplomatie technologique.

Un modèle collaboratif au service de la résilience nationale

L’approche du CERT-In illustre une politique cyber fondée sur la coopération. Le modèle réunit agences publiques, entreprises privées, universités et partenaires étrangers. Ce maillage institutionnel, piloté par le MeitY, renforce la souveraineté numérique indienne tout en facilitant les échanges d’expertise avec les pays alliés.

La cybersécurité n’est plus perçue comme un simple enjeu technique mais comme une composante essentielle de la politique de sécurité nationale. La sensibilisation des utilisateurs, la formation des ingénieurs et l’innovation locale sont intégrées dans la stratégie globale de développement.

VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR

Toutefois, les menaces évoluent plus vite que les défenses. Les attaquants exploitent l’IA, les deepfakes et les outils automatisés pour cibler entreprises et administrations. Le CERT-In constate une augmentation des identifiants falsifiés et des campagnes d’hameçonnage sophistiquées. Le Dr Bahl insiste sur le facteur humain : la technologie seule ne suffit pas. Les capacités humaines, la veille et la coopération internationale restent indispensables pour maintenir la résilience du pays. Le MeitY continue de miser sur la régulation agile et la montée en compétence pour contrer des adversaires toujours plus inventifs.

L’Inde consolide son statut d’acteur majeur de la cybersécurité mondiale, alliant puissance technologique et coordination stratégique. Reste à savoir si cette dynamique permettra au pays d’anticiper les menaces émergentes dans un cyberespace de plus en plus instable.

Cybersécurité, Microsoft, Mise à jour, Securite informatique

Edge muscle sa défense contre les arnaques scareware

Microsoft déploie un nouveau détecteur dans Edge capable d’identifier et bloquer les sites frauduleux en temps réel, renforçant la protection offerte par Defender SmartScreen.

Le navigateur Edge intègre désormais un modèle d’apprentissage automatique local capable de reconnaître instantanément les pages de type scareware. Ces attaques visent à effrayer les internautes par de faux messages d’alerte, les incitant à contacter un prétendu support technique. Grâce à ce système, Edge alerte SmartScreen avant même qu’un site malveillant soit répertorié dans la base de données, réduisant considérablement le délai de réaction face aux escroqueries en ligne.

Un apprentissage automatique au cœur du filtrage

Jusqu’ici, SmartScreen bloquait les pages signalées uniquement après leur ajout à une liste noire centralisée. Le nouveau bloqueur de scareware intégré à Edge modifie cette logique. Le modèle local analyse le comportement et les éléments visuels d’un site pour en déduire son niveau de dangerosité. Aucune donnée personnelle ni capture d’écran n’est transmise. Seules les informations techniques nécessaires à l’évaluation sont partagées avec Microsoft.

En cas de détection, Edge interrompt le mode plein écran, coupe les sons intempestifs et affiche un avertissement accompagné d’une miniature du site. L’utilisateur peut alors fermer la page ou poursuivre à ses risques. Ce processus vise à neutraliser les effets psychologiques de panique souvent exploités dans ce type de fraude.

Ne manquez pas nos dernières actualités sur Google Actualités. Ajoutez-nous comme source préférée sur Google. Suivez-nous

La fonctionnalité, intégrée à Edge version 142, est pour l’instant désactivée par défaut. Microsoft prévoit de l’activer automatiquement pour tous les utilisateurs bénéficiant déjà de SmartScreen dans les semaines à venir. Les internautes peuvent aussi signaler manuellement des sites suspects afin d’améliorer la base de détection.

Selon Rob Franco, responsable de la sécurité pour l’équipe Edge, cette technologie a déjà démontré son efficacité : « Lorsque Scareware Blocker a détecté pour la première fois une arnaque utilisant de faux messages de la “police”, SmartScreen et Google Safe Browsing n’étaient pas encore parvenus à la bloquer. Ce nouveau détecteur permet aux utilisateurs d’être avertis immédiatement, avant que la campagne frauduleuse n’ait la possibilité de se propager. »

Vers un renforcement global de la lutte anti-fraude ?

Avec cette approche locale et réactive, Microsoft renforce la dimension comportementale de la défense contre les arnaques en ligne. L’entreprise cherche à limiter la dépendance aux listes centralisées, souvent mises à jour avec retard. L’intégration de l’intelligence artificielle au niveau du navigateur permet d’identifier des signaux faibles comme l’usage de pop-ups, la redirection forcée ou les messages alarmistes.

Cette évolution reflète une tendance plus large : la protection proactive en périphérie, au plus près de l’utilisateur. Dans un écosystème où les attaques se multiplient et se renouvellent sans cesse, la capacité à détecter une tentative de fraude avant sa diffusion massive devient un enjeu stratégique pour les éditeurs de navigateurs.

La combinaison entre modèle local et SmartScreen en nuage pourrait marquer une nouvelle étape dans la détection des arnaques d’ingénierie sociale. La question reste de savoir si cette stratégie hybride pourra s’étendre à d’autres vecteurs d’attaque, comme les extensions malveillantes ou les campagnes publicitaires injectées.

Boostez votre cybersécurité avec notre service de veille ZATAZ.
Alertes, surveillance et infos exclusives pour anticiper les menaces. Découvrir le service

Sources

backdoor, Cybersécurité, Entreprise, Espionnage Spy, Securite informatique

Alerte maximale : CISA redoute une exploitation massive du code source volé de F5

Une cyberattaque d’ampleur contre F5 a conduit l’agence américaine CISA à ordonner en urgence la mise à jour de tous les systèmes fédéraux vulnérables.

L’agence de cybersécurité américaine (CISA) alerte sur une menace majeure visant les réseaux fédéraux après le vol du code source et de failles non divulguées de F5 par un acteur étatique. Le gouvernement a publié une directive d’urgence obligeant toutes les agences civiles à mettre à jour leurs produits F5 d’ici le 22 octobre, afin de prévenir tout risque de compromission systémique.

Un vol stratégique du cœur technologique de F5

Le 9 août, F5 a découvert une intrusion prolongée et discrète dans ses environnements de développement, selon un rapport déposé à la SEC. L’entreprise, épaulée par CrowdStrike, Mandiant et les autorités fédérales, a confirmé que l’assaillant avait accédé au code source de sa suite BIG-IP — technologie clé utilisée pour le routage, la sécurité applicative et la gestion des accès dans les infrastructures critiques. Des informations sur des vulnérabilités encore non corrigées ont également été exfiltrées.
CISA estime que cet accès offre à l’attaquant un avantage technique majeur, lui permettant d’analyser en profondeur le code, d’identifier de nouvelles failles et de créer des exploits ciblés. L’agence craint que ces outils ne servent à s’infiltrer dans les réseaux fédéraux, voler des données sensibles et maintenir un accès persistant.

Une directive d’urgence face à un risque systémique

L’ordre fédéral impose la mise à jour immédiate de tous les équipements et logiciels F5 — physiques ou virtuels — avant le 22 octobre, et un rapport d’audit complet avant le 29. Les produits concernés incluent BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et les clients APM.

Nick Andersen, directeur exécutif adjoint de la cybersécurité à CISA, a précisé qu’aucune compromission confirmée n’a été détectée dans les agences fédérales à ce jour, mais que des milliers d’appareils F5 sont déployés sur les réseaux gouvernementaux. L’agence prévoit des réunions d’information avec les entités locales, étatiques et privées.
Madhu Gottumukkala, directeur par intérim de CISA, a averti que la simplicité d’exploitation des failles volées « impose une action immédiate et décisive ». L’agence recommande également au secteur privé d’appliquer sans délai les correctifs, évoquant un risque de compromission « catastrophique » pour les systèmes critiques.

Une brèche surveillée, mais un adversaire inconnu

F5 affirme avoir évincé les intrus, réinitialisé ses identifiants et renforcé la supervision de ses environnements. Aucun signe de modification du code source ni de la chaîne d’approvisionnement logicielle n’a été observé, selon les validations indépendantes de NCC Group et IOActive.

L’entreprise indique ne pas connaître l’identité de l’acteur étatique responsable, mais plusieurs experts pointent des précédents impliquant des groupes affiliés à la Chine. En 2023, Mandiant avait déjà révélé que des sous-traitants du ministère chinois de la Sécurité d’État exploitaient une faille critique (CVE-2023-46747) affectant BIG-IP.

F5 a également confirmé que certains fichiers volés contenaient des informations techniques relatives à un faible pourcentage de clients. L’entreprise s’engage à notifier directement les clients concernés et à offrir à tous ses utilisateurs un abonnement gratuit au logiciel de détection Falcon EDR de CrowdStrike.

Cette attaque contre F5 illustre la vulnérabilité croissante des chaînes logicielles stratégiques. Si le vol de code source devient un levier d’espionnage à long terme, quelles contre-mesures structurelles peuvent encore garantir l’intégrité des systèmes fédéraux et industriels ?

Sources

Cybersécurité, Entreprise, Espionnage Spy, Fuite de données, Propriété Industrielle, Securite informatique

F5 victime d’une compromission attribuée à un acteur étatique

Un acteur lié à un État a infiltré durablement le réseau de F5 et dérobé le code source ainsi que des données de vulnérabilités de BIG-IP, exposant des risques majeurs pour la chaîne d’approvisionnement numérique mondiale.

F5, éditeur américain de solutions réseau BIG-IP, a révélé une compromission prolongée par un acteur gouvernemental sophistiqué. L’attaquant aurait accédé aux serveurs internes responsables de la création et de la distribution des mises à jour logicielles, exfiltrant du code source et des informations sur des failles non publiées. Cette intrusion, détectée le 9 août, fait peser un risque critique de compromission de la chaîne d’approvisionnement pour des milliers d’entreprises et d’agences publiques qui utilisent BIG-IP. F5 a publié 44 correctifs et fait appel à IOActive, NCC Group, Mandiant et CrowdStrike pour enquêter. Les autorités américaines et britanniques ont depuis appelé à l’application urgente des mises à jour.

Comment l’intrusion s’est déroulée

F5, basée à Seattle, a confirmé qu’un groupe agissant pour le compte d’un gouvernement non nommé avait maintenu un accès persistant à son réseau interne pendant une période prolongée. L’intrusion, découverte le 9 août puis révélée publiquement, a montré que les assaillants avaient atteint le segment critique chargé de compiler et distribuer les mises à jour de BIG-IP.

Ce périmètre de build et de diffusion représente le pivot logique d’une attaque sur la chaîne d’approvisionnement : il signe, emballe et pousse le code vers des dizaines de milliers d’appareils déployés. Les serveurs concernés, situés à la périphérie des réseaux clients, gèrent l’équilibrage de charge et assurent le rôle de pare-feu applicatif, en inspectant et chiffrant le trafic.

F5 précise que des fragments du code source de BIG-IP ont été exfiltrés. Parallèlement, les assaillants ont dérobé des informations sur des vulnérabilités découvertes par F5 mais non encore corrigées ni rendues publiques, ainsi que certains paramètres de configuration client. Ce trio d’éléments — code source, failles non divulguées et configurations — réduit considérablement le temps et les ressources nécessaires pour concevoir des attaques ciblées et échapper à la détection.

L’entreprise souligne que la compromission concernait spécifiquement l’infrastructure liée à la distribution logicielle. Si l’enquête n’a pas montré de modification du code déployé ni d’altération du processus de signature, la fuite de ce matériel sensible constitue une escalade notable du risque de compromission en cascade. En d’autres termes, un acteur doté du code et des vulnérabilités internes pourrait théoriquement produire des mises à jour falsifiées ou des attaques exploitant directement les points faibles des clients.

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Portée et impact technique

Les équipements BIG-IP sont présents dans 48 des 50 plus grandes entreprises mondiales. Ces appliances, situées à l’entrée du réseau, inspectent tout le trafic entrant et sortant, gèrent le chiffrement TLS et appliquent les politiques d’accès. Dans de nombreux cas, elles détiennent aussi des identifiants administratifs privilégiés et des configurations adaptées à l’architecture interne des organisations.

La fuite de ces paramètres offre à un attaquant une cartographie détaillée de cibles potentielles. Elle révèle les chemins techniques menant aux systèmes les plus sensibles situés derrière le pare-feu applicatif.

À la suite de l’incident, F5 a publié 44 correctifs. Selon l’entreprise, ces vulnérabilités étaient accessibles à l’assaillant depuis au moins août, date de détection de l’intrusion. Aucune preuve n’indique que ces failles aient été exploitées avant leur correction.

Pour confirmer cette évaluation, F5 a mandaté plusieurs sociétés spécialisées : IOActive et NCC Group ont audité les composants accessibles depuis l’extérieur et n’ont trouvé aucune faille critique non corrigée ; Mandiant et CrowdStrike ont mené des analyses forensiques internes et conclu qu’aucune donnée financière ou client n’avait été volée.

Cependant, le maintien d’un accès furtif sur une longue période, dans une infrastructure connectée à la quasi-totalité des grands réseaux mondiaux, laisse ouverte la possibilité d’opérations ultérieures ciblées. D’un point de vue technique, la possession du code source et de données de vulnérabilités accélère la production d’exploits : les flux de contrôle, la logique de validation et la gestion cryptographique deviennent visibles pour l’attaquant.

L’association avec des configurations réelles d’entreprises réduit encore l’incertitude opérationnelle. Ensemble, ces éléments offrent à un acteur étatique les moyens de conduire une attaque de chaîne logistique à large échelle, potentiellement contre des infrastructures publiques critiques. L’enjeu dépasse F5 : les équipements BIG-IP se trouvent au cœur des architectures réseau de la majorité des grandes organisations américaines et britanniques, avec des implications directes pour la sécurité nationale et économique.

Réponses, atténuation et risques persistants

F5 affirme avoir immédiatement pris des mesures correctives. L’entreprise a diffusé des mises à jour couvrant l’ensemble des failles découvertes et a collaboré avec les autorités compétentes. Les investigations externes n’ont révélé ni altération du processus de build, ni signe d’exploitation active du matériel volé.

Malgré cela, les centres nationaux de cybersécurité américains (CISA) et britanniques (NCSC) ont diffusé des alertes officielles. Ils demandent à toutes les administrations et entreprises d’inventorier leurs équipements BIG-IP et d’appliquer sans délai les mises à jour de sécurité. Les recommandations s’étendent au secteur privé, notamment dans les télécoms, la finance et les infrastructures critiques.

Ces consignes reposent sur un principe de précaution : un adversaire disposant des vulnérabilités et des configurations peut préparer des attaques ciblées à long terme. Le déploiement de correctifs réduit le risque immédiat, mais ne garantit pas l’absence de mécanismes d’accès persistants.

F5 reconnaît les limites d’une détection a posteriori. Dans des environnements complexes, il est difficile de prouver qu’aucune modification invisible ne subsiste. Cette incertitude pèse désormais sur les clients : ils doivent considérer la compromission comme un risque systémique et renforcer leur surveillance.

Les administrateurs sont invités à recenser les appliances BIG-IP installées, vérifier leurs versions logicielles et examiner les journaux d’accès pour détecter toute activité anormale. Un suivi spécifique du trafic sortant depuis ces dispositifs peut permettre d’identifier d’éventuelles communications non autorisées.

D’un point de vue renseignement, cette opération illustre la stratégie des acteurs étatiques : pénétrer la chaîne d’approvisionnement pour obtenir un effet démultiplié. En compromettant un fournisseur central, ils acquièrent un levier stratégique sur l’ensemble de ses clients. Même sans exploitation avérée, la simple possession du code et des vulnérabilités internes permet une planification offensive à grande échelle.

Les implications dépassent la sphère technique. Elles soulèvent des questions de souveraineté numérique et de dépendance vis-à-vis d’équipements étrangers au cœur des infrastructures critiques. Les autorités devront examiner comment renforcer la résilience des chaînes logicielles et instaurer des audits continus de sécurité au niveau des fournisseurs.

L’incident documenté par F5 illustre un scénario typique d’attaque de la chaîne d’approvisionnement : un accès persistant au cœur du processus de développement permet de dérober du code et des informations exploitables contre des milliers de réseaux.

Malgré l’absence d’exploitation confirmée, le risque demeure tangible : les matériaux volés peuvent faciliter des intrusions différées, difficilement détectables. La réaction de F5, entre communication rapide et audits indépendants, ne supprime pas la nécessité d’une vigilance accrue de la part des clients et des États.

Pour les opérateurs, la priorité reste claire : localiser les dispositifs BIG-IP, appliquer les correctifs et renforcer la surveillance en périphérie de réseau. Pour les équipes de renseignement et de réponse à incident, cette affaire rappelle qu’une compromission de fournisseur peut devenir une arme stratégique.

Comment les organisations concernées pourront-elles prouver l’absence de compromission secondaire chez leurs partenaires, maintenant que le code source et les données de configuration ont été exposés ?

Rejoignez nous sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée
backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Vulnérabilités 7-Zip : sortie du répertoire et exécution à distance

Deux failles critiques de 7-Zip permettent l’évasion du répertoire de travail via des symlinks dans des ZIP malveillants. Mettez à jour ou désactivez l’extraction automatique.

Deux vulnérabilités désignées CVE-2025-11001 et CVE-2025-11002, cotées 7,0 CVSS, exposent 7-Zip à des attaques par archives ZIP contenant des liens symboliques malformés. En ouvrant l’archive, la victime risque la corruption ou la substitution de fichiers système, y compris la substitution de DLL utilisées par des services privilégiés, autorisant potentiellement l’exécution de code à distance. Les correctifs sont inclus dans la build 25.00. Les utilisateurs doivent installer la mise à jour immédiatement ou au minimum interdire l’extraction automatique d’archives. Des vulnérabilités moins graves, publiées l’été précédent, permettaient des DoS via écriture hors bornes et déréférencement null.

Manipulation de symlinks et dépassement du répertoire

Les deux vulnérabilités exploitent la même mécanique : une gestion incorrecte des liens symboliques intégrés dans des archives ZIP. 7-Zip, lors de l’extraction, peut suivre ou recréer des symlinks sans vérifier qu’ils restent confinés au répertoire de travail. Un ZIP conçu pour pointer en dehors de l’arborescence cible permet d’écrire ou de remplacer des fichiers situés arbitrairement sur le système. Dans ce scénario l’attaque n’exige pas d’élévation préalable ; elle réclame uniquement que la victime ouvre l’archive dans l’outil vulnérable. Le risque opérationnel est double : disparition ou altération de fichiers applicatifs et substitution de DLL chargées par des services disposant de privilèges supérieurs. La combinaison du vecteur d’infection trivial — double-clic ou extraction automatique — et de l’impact potentiel sur des composants privilégiés transforme une vulnérabilité de chemin en vecteur d’escalade et d’exécution à distance.

Portée technique et conséquences pratiques

Techniquement, ces failles permettent l’écriture arbitraire de fichiers en dehors du dossier prévu par l’utilisateur. Concrètement, un ZIP malveillant peut contenir des entrées dont le nom est un symlink ciblant des chemins sensibles du système. Lors de l’extraction, 7-Zip reconstitue le lien ou suit la cible sans vérification stricte, puis écrit les données de l’archive sur la cible. Résultat possible : remplacement d’un exécutable, altération d’un binaire ou substitution d’une DLL. Si la DLL remplacée est ensuite chargée par un service s’exécutant avec des droits élevés, l’attaquant obtient une exécution de code en contexte privilégié. L’attaque repose sur l’appâtage de l’utilisateur, mais pas sur une technique sophistiquée côté serveur. Elle est donc aisée à déployer à grande échelle par phishing, pièces jointes ou contenus téléchargés.

Correctifs et mesures immédiates recommandées

Les correctifs sont inclus dans la build 25.00 de 7-Zip. L’éditeur a modifié le comportement d’extraction pour valider les symlinks et empêcher l’évasion du répertoire de destination. Les administrateurs doivent déployer cette build sur tous les postes et serveurs où 7-Zip est présent. En attendant la mise à jour, il est impératif d’interdire l’extraction automatique d’archives par tout mécanisme intégré au poste de travail ou au client de messagerie. Les équipes doivent également sensibiliser les utilisateurs aux risques des archives reçues par courriel et privilégier l’analyse en bac à sable des fichiers ZIP suspects. Dans les environnements sensibles, limitez les permissions d’écriture sur les chemins critiques et surveillez les modifications de DLL via intégrité fichier (HIPS, solutions EDR).

L’été précédent, deux autres problèmes ont été révélés pour 7-Zip : une écriture hors bornes et un déréférencement de pointeur nul. Ces derniers permettaient d’induire des états de déni de service (DoS) mais étaient classés comme moins critiques car ils n’autorisaient pas directement l’exécution arbitraire de code. Les nouvelles failles CVE-2025-11001 et CVE-2025-11002, malgré une note CVSS égale à 7,0, présentent un profil d’exploitation plus dangereux en raison de la possibilité de corruption ou substitution de DLL. La différenciation entre crashs non persistants et corruption délibérée d’artefacts système explique l’écart d’impact opérationnel.

 

Rejoignez nous sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaque exploit typique et vecteurs de diffusion

Un exploit plausible commence par une archive ZIP contenant des fichiers dont certains sont des symlinks calculés pour pointer vers des emplacements système. L’archive est livrée à la cible via phishing, téléchargement piégé ou pièce jointe. Si la victime double-clic sur l’archive ou si un processus d’extraction automatique la décompresse, 7-Zip traite la structure et réalise l’écriture vers la cible. L’attaquant peut alors remplacer une DLL utilisée par un service démarré, provoquer un chargement ultérieur de la DLL malveillante et obtenir un exécutable furtif sous les droits du service. Ce scénario est particulièrement critique sur des serveurs exposés, sur des postes administrateurs ou sur des machines où des services système chargent dynamiquement des bibliothèques depuis des chemins modifiables.

Détecter une exploitation requiert de surveiller les modifications de fichiers système habituellement immuables, les créations ou modifications de DLL dans des répertoires système et les écritures inhabituelles initiées par processus utilisateur non privilégiés. Les solutions EDR doivent alerter sur les opérations d’écriture vers les répertoires Windows\System32, Program Files ou tout autre emplacement abritant des composants partagés. L’analyse des journaux d’antivirus et l’examen des actions d’extraction réalisées par 7-Zip peuvent révéler des tentatives d’exploitation. Enfin, la corrélation entre réception d’un ZIP externe et modifications de fichiers sensibles constitue un indicateur fort d’exploitation.

Bonnes pratiques post-correction

Outre l’installation immédiate de la build 25.00, standardisez la gestion des archives dans l’entreprise. Centralisez l’extraction via des bastions ou des environnements isolés. Restreignez les droits d’écriture sur les répertoires où des DLL sont chargées automatiquement. Activez la validation d’intégrité pour les DLL critiques et déployez des règles d’application des DLL signées. Mettez en place un flux de gestion des pièces jointes qui isole et analyse automatiquement les ZIP avant mise à disposition des utilisateurs. Enfin, documentez toute remise en état après incident, car une DLL compromise peut cacher une présence malveillante persistante.