Archives de catégorie : Securite informatique

Cybersécurité, Justice, loi, Securite informatique

La stratégie cyber de Trump muscle l’offensive américaine

La Maison-Blanche présente une doctrine cyber offensive, articulée autour de six axes, pour durcir la réponse américaine face aux États hostiles, aux groupes criminels et aux opérations d’influence.

Publié en mars 2026, « President Trump’s Cyber Strategy for America » expose la vision de l’administration Trump pour le cyberespace américain. Le document lie sécurité numérique, puissance économique, compétitivité technologique et liberté d’expression. Il insiste sur une réponse plus directe face aux cyberattaques, aux réseaux criminels, aux opérations d’espionnage et aux technologies étrangères jugées intrusives. La stratégie s’appuie sur six piliers : modeler le comportement adverse, alléger la régulation, moderniser les réseaux fédéraux, protéger les infrastructures critiques, préserver l’avantage technologique américain et renforcer les compétences. L’ensemble dessine une doctrine de puissance qui associe cyberdéfense, capacités offensives, industrie, diplomatie et souveraineté technologique.

Une doctrine de confrontation assumée

Le document publié par la Maison-Blanche présente le cyberespace comme un champ décisif de la puissance américaine, au même titre que la finance, l’innovation, l’industrie ou l’outil militaire. Dès les premières pages (il n’y a que sept, dont deux images !), l’administration affirme que les États-Unis doivent y rester sans rival, en s’appuyant à la fois sur la supériorité technologique du pays, ses capacités gouvernementales et l’appui du secteur privé. La logique est claire : il ne s’agit pas seulement de protéger les réseaux, mais de garantir une position dominante, une doctrine cyber dans un environnement numérique perçu comme central pour la sécurité nationale et la prospérité.

Le texte insiste sur l’aggravation des menaces. Les adversaires étatiques, les cybercriminels et les dispositifs d’influence sont décrits comme des acteurs capables de perturber des services essentiels, de renchérir le coût des biens courants et de viser directement les ménages, les petites entreprises, les agriculteurs, les soignants ou encore les personnes âgées. La santé, la banque, l’approvisionnement alimentaire et le traitement de l’eau sont explicitement cités parmi les secteurs exposés. Dans cette lecture, la menace cyber ne relève plus d’un problème technique isolé : elle touche le fonctionnement quotidien du pays.

L’administration Trump se démarque aussi par le ton employé. Le document rejette les « mesures partielles » et les stratégies jugées ambiguës des administrations précédentes. Il promet des réponses rapides, délibérées et proactives, sans limitation au seul domaine numérique. Cette formule est importante : elle signifie que la réponse américaine à une menace cyber peut mobiliser l’ensemble des instruments de puissance, au-delà du seul cadre technique. La stratégie revendique en outre l’usage conjoint de capacités défensives et offensives, avec une volonté affichée d’éroder les moyens des adversaires avant même qu’ils ne compromettent les réseaux américains.

Le texte cite plusieurs actions comme illustration de cette posture, notamment la destruction de réseaux d’escroquerie en ligne, la saisie de $15 billion liés à des fonds volés, le soutien à une opération contre les infrastructures nucléaires iraniennes et l’aveuglement d’adversaires lors d’une opération militaire visant Nicolas Maduro. Au-delà de ces exemples, la stratégie veut surtout transmettre un signal : toute attaque contre les intérêts américains est présentée comme risquée pour ses auteurs. Espionnage en ligne, propagande destructive, opérations d’influence et « subversion culturelle » figurent parmi les cibles annoncées de cette politique de contre-attaque.

Six piliers pour l’État, l’industrie et les technologies critiques

La mise en œuvre repose sur six piliers. Le premier vise à « modeler le comportement adverse ». Il prévoit le recours à l’ensemble des moyens cyber de l’État fédéral, mais aussi des incitations destinées au secteur privé pour identifier et perturber les réseaux ennemis. La lutte contre la cybercriminalité, le vol de propriété intellectuelle, les infrastructures criminelles et les refuges financiers y occupe une place centrale. La stratégie place également la question idéologique au cœur du combat numérique, en promettant de contrer les technologies autoritaires de surveillance et de répression.

Le deuxième pilier porte sur la régulation. La Maison-Blanche défend une approche dite de « bon sens », conçue pour réduire les charges de conformité, clarifier la responsabilité et mieux aligner régulateurs et industriels. Dans le même mouvement, le texte affirme vouloir préserver le droit à la vie privée des Américains et de leurs données. Cette articulation entre dérégulation, agilité industrielle et protection des données constitue l’un des équilibres politiques revendiqués par le document.

Les troisième et quatrième piliers concernent le cœur régalien. Pour les réseaux fédéraux, l’administration veut accélérer la modernisation et la résilience via les meilleures pratiques de cybersécurité, le chiffrement post-quantique, l’architecture zero trust, la transition vers le cloud et l’usage de solutions cyber dopées à l’IA. Pour les infrastructures critiques, la priorité porte sur le durcissement des chaînes d’approvisionnement, la réduction de la dépendance envers des fournisseurs adverses et la capacité de rétablissement rapide après incident. L’énergie, la finance, les télécommunications, les centres de données, l’eau et les hôpitaux figurent parmi les secteurs explicitement visés.

Les deux derniers piliers prolongent cette logique par la technologie et les compétences. La stratégie entend protéger l’avantage intellectuel américain, soutenir la sécurité des cryptomonnaies et des technologies blockchain, promouvoir le post-quantique et le calcul quantique sécurisé, mais aussi défendre l’ensemble de la pile technologique de l’IA, y compris les centres de données, les modèles et les infrastructures. Le texte évoque aussi l’adoption rapide d’outils cyber fondés sur l’IA, y compris l’agentic AI, pour détecter, détourner et tromper les acteurs malveillants. Enfin, la Maison-Blanche présente la main-d’œuvre cyber comme un actif stratégique et veut fluidifier les passerelles entre universités, écoles techniques, entreprises, capital-risque, administration et armée afin de bâtir un vivier plus large et mieux aligné sur les besoins nationaux.

Cette stratégie place ainsi le cyber au croisement de la dissuasion, de l’influence, de la sécurité économique et de la gouvernance technologique, avec en toile de fond une compétition mondiale pour le contrôle des standards numériques.

Cybersécurité, Mise à jour, Patch, Securite informatique, Social engineering

Incident de sécurité chez Wikimedia via un ver JavaScript

Un code JavaScript auto-propagateur a perturbé plusieurs projets Wikimedia, en modifiant des scripts utilisateurs et en corrompant des pages Meta-Wiki, avant d’être neutralisé par les équipes techniques.

La Fondation Wikimedia a été confrontée à un incident de sécurité impliquant un ver JavaScript capable de se répliquer via les mécanismes de personnalisation de MediaWiki. Selon les éléments rendus publics, le code malveillant a touché des scripts utilisateurs, altéré des pages Meta-Wiki et conduit les ingénieurs à suspendre temporairement les modifications sur l’ensemble des projets par mesure de précaution. L’épisode, resté actif 23 minutes d’après la Fondation, n’aurait pas affecté Wikipédia elle-même ni provoqué de fuite de données. L’affaire met néanmoins en lumière un point sensible : l’exécution de code utilisateur dans l’environnement d’édition, au croisement de la sécurité applicative, des privilèges éditoriaux et de la gouvernance technique des plateformes collaboratives.

Un déclenchement via les scripts utilisateurs de MediaWiki

L’alerte est venue de contributeurs qui ont signalé sur Village Pump, l’espace d’assistance technique, des modifications automatisées massives. D’après leurs constats, des scripts cachés et du contenu indésirable avaient été ajoutés à des pages choisies de manière aléatoire. Face à cette activité anormale, la Fondation Wikimedia a restreint temporairement les modifications sur tous les projets, le temps de contenir l’incident.

Les premiers éléments techniques pointent vers un script malveillant hébergé sur Wikipédia en russe, à l’emplacement User:Ololoshka562/test.js. Le fichier, mis en ligne pour la première fois en mars 2024, avait déjà été lié à des outils employés lors d’autres attaques visant des projets Wikipédia. D’après les informations issues du suivi Phabricator, l’incident a commencé avec l’exécution de ce script. En examinant l’historique des modifications, les journalistes de Bleeping Computer ont ensuite relevé que ce code avait été lancé la semaine précédente par un employé de Wikimedia dans le cadre de tests portant sur les fonctionnalités liées aux scripts utilisateurs. À ce stade, il n’est pas établi si cette exécution relevait d’un geste intentionnel, d’une erreur de manipulation ou de l’usage d’un compte compromis.

Le fonctionnement du ver reposait sur une mécanique élémentaire, mais redoutablement efficace dans un environnement collaboratif. MediaWiki autorise en effet l’usage de fichiers JavaScript globaux et personnalisés, notamment MediaWiki:Common.js et User:<nom_utilisateur>/common.js. Ces scripts sont exécutés dans le navigateur des éditeurs afin d’adapter l’interface, d’automatiser certaines tâches ou d’ajouter des fonctions sur mesure. Une fois chargé dans le navigateur d’un utilisateur connecté, test.js tentait de modifier deux cibles en parallèle.

Au niveau du compte, il remplaçait common.js par un chargeur chargé d’appeler automatiquement test.js à chaque consultation du wiki. Autrement dit, l’infection persistait dès qu’un utilisateur touché revenait sur la plateforme. Au niveau du site, si la victime disposait de privilèges suffisants, le ver modifiait MediaWiki:Common.js, un fichier global exécuté pour tous les éditeurs concernés. Dans ce scénario, la propagation devenait immédiatement plus large, car le code malveillant s’insérait au cœur même de la couche de personnalisation commune.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Meta-Wiki touché, restauration engagée et audit renforcé

Le ver ne se contentait pas d’assurer sa diffusion. Il appelait aussi une page aléatoire via Special:Random, puis y injectait une image ainsi qu’un chargeur JavaScript invisible. Ce dernier récupérait un script externe depuis le domaine basemetrika[.]ru. Cette dimension externe accroît l’intérêt de l’incident pour les observateurs de la cybersécurité : au-delà d’une simple dégradation interne, le mécanisme ouvrait une chaîne d’exécution capable d’introduire un contenu distant dans des pages du wiki, avec un effet potentiel sur l’intégrité éditoriale et la confiance accordée à l’environnement.

Selon les estimations citées par les journalistes, environ 3 996 pages ont été modifiées, tandis que les fichiers common.js d’environ 85 utilisateurs ont été remplacés. Le volume exact des suppressions de pages n’est pas connu. La Fondation Wikimedia a depuis annulé les modifications apportées à plusieurs fichiers common.js d’utilisateurs. Les pages altérées ont été masquées et n’apparaissent plus dans l’historique des modifications. Après la suppression du code injecté, l’édition a pu reprendre.

La Fondation affirme que le code malveillant n’est resté actif que 23 minutes. Durant cette période, il aurait modifié et supprimé du contenu uniquement sur Meta-Wiki, avant restauration des données. L’organisation précise qu’aucun signe d’attaque visant Wikipédia elle-même n’a été observé et qu’aucune fuite de données n’a été détectée. Dans sa déclaration, elle explique que son personnel menait un audit de sécurité du code utilisateur sur Wikipédia, et que du code jusque-là inactif a été exécuté puis rapidement identifié comme malveillant. Par précaution, la modification sur Wikipédia et sur d’autres projets Wikimedia a été suspendue le temps d’éliminer ce code et de sécuriser l’environnement.

Cet épisode illustre une zone de risque connue des plateformes extensibles : les fonctions de personnalisation, utiles à l’exploitation quotidienne, peuvent aussi devenir des vecteurs de propagation lorsqu’un script hostile bénéficie d’une exécution légitime dans le navigateur d’un utilisateur connecté. Le fait qu’un simple chargement puisse conduire à la réécriture de scripts utilisateurs, puis éventuellement d’un fichier global, montre combien la frontière entre assistance à l’édition et surface d’attaque peut se réduire. Wikimedia indique désormais déployer des mesures de sécurité supplémentaires pour limiter le risque de récidive.

Au-delà du rétablissement du service, l’incident rappelle que la sécurité des plateformes collaboratives dépend aussi du contrôle du code client, des privilèges d’édition et de la capacité à détecter rapidement une propagation interne avant qu’elle ne devienne un problème de gouvernance numérique.

Chiffrement, Cybersécurité, santé, Securite informatique

TriZetto : 3,4 millions de patients touchés

Une faille chez TriZetto Provider Solutions, filiale de Cognizant, a exposé des données de santé sensibles de plus de 3,4 millions de patients via un portail web.

TriZetto Provider Solutions, filiale de Cognizant spécialisée dans les technologies de la santé, a subi une fuite de données ayant concerné plus de 3,4 millions de patients. L’incident touche un portail web utilisé par des professionnels de santé et remonte, selon l’enquête, à un accès non autorisé apparu dès novembre 2024. Les informations potentiellement compromises incluent des données d’identité, d’assurance et de santé. Aucune donnée financière n’aurait été affectée et aucun cas de fraude ou d’usurpation d’identité n’a été signalé à ce stade. L’entreprise dit avoir mobilisé des experts en cybersécurité, prévenu les autorités compétentes et renforcé ses mesures de protection après la découverte des faits.

Un portail au cœur d’un incident de longue durée

La faille révélée chez TriZetto Provider Solutions met en lumière la sensibilité extrême des infrastructures numériques qui irriguent l’administration du système de santé. L’entreprise développe et fournit des logiciels ainsi que des services destinés aux cabinets médicaux, aux hôpitaux et aux assureurs. Ses outils couvrent notamment la facturation, la gestion du cycle de revenus, le traitement des demandes de remboursement et différents flux de travail administratifs utilisés à grande échelle dans le secteur.

C’est dans ce contexte qu’une activité suspecte a été détectée le 2 octobre 2025 sur un portail web exploité pour les professionnels de santé. L’enquête engagée ensuite a établi qu’une personne non autorisée avait pu accéder, dès novembre 2024, à des dossiers liés à des transactions de vérification d’éligibilité à l’assurance. Le décalage entre le début présumé de l’intrusion et sa détection souligne la difficulté persistante à identifier rapidement des accès illicites dans des environnements fortement interconnectés, où transitent des données administratives et médicales à grande échelle.

TriZetto indique avoir alors missionné des experts en cybersécurité, alerté les autorités compétentes et entamé le processus d’information des professionnels de santé concernés à partir de décembre 2025. Aucun groupe de pirates informatiques n’a, à ce jour, revendiqué l’attaque. En l’état, les éléments communiqués ne permettent donc pas d’attribuer publiquement l’opération ni d’en préciser le mode opératoire au-delà de l’accès non autorisé constaté.

L’entreprise a ensuite précisé qu’aux alentours du 28 novembre 2025, elle avait établi que la faille pouvait avoir exposé des données personnelles et de santé. Le volume annoncé, supérieur à 3,4 millions de patients, confère à l’incident une portée significative dans un domaine où la donnée de santé, croisée avec des identifiants administratifs, présente une valeur particulière.

 

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Des données identifiantes et médicales exposées

Le contenu de la notification transmise au bureau du procureur général du Maine détaille la nature des informations susceptibles d’avoir été compromises. La lettre indique : « Aux alentours du 28 novembre 2025, TPS a constaté que les données compromises pouvaient inclure votre nom, votre adresse, votre date de naissance, votre numéro de sécurité sociale, votre numéro d’assurance maladie (qui, pour certaines personnes, peut correspondre à un identifiant de bénéficiaire de Medicare), le nom de votre professionnel de santé, le nom de votre assureur, les informations concernant votre assuré principal, ainsi que d’autres informations démographiques, de santé et d’assurance maladie. »

Cet inventaire montre que la fuite ne se limite pas à des données de contact. Elle concerne aussi des éléments à fort pouvoir d’identification, comme le numéro de sécurité sociale, ainsi que des informations directement liées à la prise en charge médicale et à la couverture d’assurance. Dans l’écosystème de la santé, ce type de combinaison peut exposer les personnes concernées à des risques durables, qu’il s’agisse d’atteintes à la vie privée, d’usages frauduleux ou de tentatives d’ingénierie sociale fondées sur des données crédibles.

TriZetto affirme en revanche qu’aucune carte de paiement, aucun compte bancaire et aucune autre information financière n’ont été touchés. La notification ajoute également : « Cet incident n’a affecté aucune carte de paiement, aucun compte bancaire ni aucune autre information financière. À ce jour, nous n’avons connaissance d’aucun cas d’usurpation d’identité ou de fraude lié à l’utilisation des informations des personnes concernées, y compris les vôtres. » À ce stade, l’entreprise dit donc n’avoir observé ni exploitation frauduleuse avérée ni signalement d’usurpation d’identité en lien avec cette compromission.

Après la découverte de l’incident, TriZetto indique avoir déployé des mesures de sécurité supplémentaires pour mieux protéger ses systèmes et ses services. L’entreprise propose aussi, pendant 12 mois et à titre gratuit, un dispositif de protection d’identité comprenant la surveillance du crédit, des rapports de crédit et des alertes de score de crédit, dans une fenêtre d’inscription limitée. Une assistance proactive en matière de fraude est également annoncée via Kroll, société spécialisée dans la protection d’identité et la résolution des problèmes liés à la fraude.

Même en l’absence de fraude constatée à ce jour, les personnes potentiellement touchées sont invitées à surveiller leurs relevés bancaires, à suivre leurs rapports de solvabilité et à signaler rapidement toute activité suspecte à leur banque ou à leur établissement financier. Une ligne d’assistance dédiée a par ailleurs été mise en place. Au-delà de la gestion immédiate des victimes, cet incident rappelle que les portails administratifs du secteur de la santé sont devenus des surfaces d’exposition critiques, à la croisée de la protection des données, de la cybersécurité et de la gouvernance des flux sensibles.

Cybersécurité, Justice, Securite informatique

Phobos : le développeur clé plaide coupable aux États-Unis

Un développeur russe lié au ransomware Phobos reconnaît sa responsabilité devant la justice américaine. L’affaire révèle l’organisation interne d’un réseau criminel actif depuis plusieurs années.

Un ressortissant russe de 43 ans a plaidé coupable aux États-Unis pour son rôle central dans le ransomware Phobos. Considéré comme l’un des principaux développeurs de cette plateforme criminelle, Evgenii Ptitsyn risque jusqu’à 20 ans de prison. Les enquêteurs estiment que Phobos et sa variante 8Base ont extorqué plus de 16 million $ (14,7 millions d’euros) depuis 2019 auprès d’organisations du monde entier. L’affaire met en lumière le modèle industriel du ransomware-as-a-service, dans lequel des développeurs fournissent l’outil à des affiliés chargés de mener les attaques contre des entreprises, des établissements de santé et des institutions publiques.

Un développeur clé du ransomware Phobos face à la justice

L’un des cerveaux techniques associés au ransomware Phobos a reconnu sa culpabilité devant la justice américaine. Evgenii Ptitsyn, citoyen russe âgé de 43 ans, a admis des faits de fraude électronique mercredi devant un tribunal fédéral. Les procureurs des États-Unis le présentent comme un acteur majeur de ce réseau de cyberextorsion.

Selon l’acte d’accusation, Ptitsyn a contribué au fonctionnement du ransomware à partir de novembre 2020. Le logiciel malveillant a ensuite été utilisé pour viser plus de 1 000 organisations à travers le monde. L’enquête judiciaire décrit un dispositif structuré, mêlant développement technique, diffusion sur des forums criminels et exploitation d’un site sur le darknet destiné à exposer ou vendre les données volées.

L’homme a été arrêté en Corée du Sud avant d’être remis aux autorités américaines en novembre 2024. Sa condamnation doit être prononcée le 15 juillet. La peine maximale encourue atteint 20 ans de prison.

Les procureurs affirment que Ptitsyn occupait une position centrale dans l’écosystème Phobos. Il développait et maintenait le ransomware, puis le distribuait à des affiliés du réseau. Ces partenaires menaient les intrusions informatiques, chiffraient les systèmes des victimes et exigeaient ensuite une rançon. Une commission revenait aux opérateurs techniques pour chaque paiement obtenu.

Les investigations ont également relié Ptitsyn à plusieurs attaques précises. Parmi elles figure une intrusion contre un système scolaire public en Californie. L’établissement a payé une rançon de 300 000 $ (276 500 euros) en 2023 pour récupérer l’accès à ses données. D’autres opérations ont visé des organisations du secteur médical ainsi que plusieurs entreprises.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Un réseau international démantelé progressivement

Les poursuites contre Ptitsyn s’inscrivent dans une série d’actions menées contre les groupes liés au ransomware Phobos et à sa variante 8Base. Les autorités américaines estiment que ces réseaux ont extorqué plus de 16 million $ (14,7 millions d’euros) depuis 2019.

Au cours des deux dernières années, plusieurs membres ou associés ont été arrêtés dans différentes juridictions. Un administrateur de Phobos a été interpellé en Corée du Sud en juin 2024 avant d’être extradé vers les États-Unis. En 2023, un autre acteur important a été arrêté en Italie sur la base d’un mandat d’arrêt français.

Plus récemment, une opération internationale coordonnée a visé le groupe 8Base, considéré comme un utilisateur majeur de l’infrastructure Phobos. Quatre individus soupçonnés de diriger cette organisation ont été arrêtés. Les enquêteurs les accusent d’avoir exploité une variante du ransomware pour extorquer des victimes en Europe et dans d’autres régions.

Cette opération a également conduit au démantèlement de 27 serveurs liés au réseau criminel. Les services de police ont pu prévenir plus de 400 entreprises d’attaques de ransomware en cours ou imminentes.

L’enquête a mobilisé les forces de l’ordre de 14 pays, avec le soutien d’Europol et d’Eurojust. Le Centre européen de lutte contre la cybercriminalité d’Europol a assuré un rôle de coordination entre les différentes investigations. Les analystes ont notamment partagé des renseignements, réalisé des analyses techniques et facilité les échanges entre les équipes nationales.

Près de 600 messages opérationnels ont été échangés via le réseau sécurisé SIENA, tandis que 37 réunions opérationnelles et sprints techniques ont été organisés pour faire progresser les investigations.

Repéré pour la première fois en décembre 2018, Phobos constitue l’un des ransomwares les plus persistants du paysage cybercriminel. Son succès repose sur un modèle de ransomware-as-a-service qui permet à de nombreux acteurs, même peu expérimentés, de lancer leurs propres campagnes d’extorsion.

Les services de renseignement spécialisés dans la cybersécurité considèrent aujourd’hui Phobos et 8Base parmi les groupes de ransomware les plus actifs en 2024.

L’affaire Ptitsyn illustre la stratégie des autorités consistant à cibler les développeurs et les infrastructures techniques afin d’affaiblir durablement les réseaux de cyberextorsion.

La traque judiciaire et technique des opérateurs de ransomware reste désormais un enjeu central pour le renseignement cyber international.

backdoor, Cybersécurité, Espionnage Spy, Securite informatique, Smartphone, Social engineering

Nouveau malware Android vole les codes SMS bancaires

Un nouveau cheval de Troie Android circule via messageries sous forme d’une fausse galerie photo. L’application malveillante intercepte les SMS, notamment les codes d’authentification bancaire, afin de faciliter des fraudes financières.

Un fichier APK récemment identifié par des spécialistes en cybersécurité révèle une nouvelle évolution de la famille de malwares Pulsar SMS Stealer. Diffusée sous le nom trompeur Photos_2920, cette application Android se présente comme une simple galerie d’images. En réalité, elle agit comme un outil d’espionnage capable d’intercepter les messages SMS de l’utilisateur. Les chercheurs indiquent qu’au 10 mars 2026, ce programme malveillant échappe encore aux détections antivirus connues. La diffusion repose sur l’ingénierie sociale via des messageries mobiles. L’objectif consiste à récupérer les codes OTP et 2FA utilisés pour sécuriser l’accès aux comptes bancaires et services en ligne.

Une galerie photo qui espionne les SMS

Les attaquants envoient directement le fichier APK aux victimes par messagerie. La méthode exploite un réflexe courant : ouvrir une image reçue d’un contact ou d’un interlocuteur inconnu. Une fois installé, le logiciel malveillant adopte l’apparence d’une galerie photo anodine.

En arrière-plan, l’application réclame une série d’autorisations sensibles. Ces droits lui permettent d’intercepter, lire, envoyer et supprimer des SMS. Le programme accède également à plusieurs identifiants de l’appareil, dont l’IMEI, le numéro de téléphone et les informations de l’opérateur mobile.

Les analyses montrent aussi que le malware récupère les numéros associés aux deux cartes SIM lorsque l’appareil en possède deux. Il peut démarrer automatiquement après redémarrage du téléphone et rester actif en continu. L’ensemble des messages SMS stockés sur l’appareil est ensuite transmis vers un serveur de commande et de contrôle, souvent abrégé C2.

Ce type d’attaque mobile inquiète les spécialistes depuis plusieurs années. Les codes à usage unique envoyés par SMS servent fréquemment à valider des opérations bancaires ou à confirmer une connexion. Lorsqu’un cybercriminel intercepte ces messages, il peut contourner une grande partie des protections de sécurité.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Une architecture technique sophistiquée

Les chercheurs d’Advanced Monitoring ont examiné l’échantillon malveillant et identifié une architecture en plusieurs étapes. Le fichier classes.dex externe agit comme un chargeur fortement obfusqué. Son rôle consiste à extraire une charge utile DEX dissimulée dans le répertoire assets sous le nom NwyavbTt.csz.

Ce module est ensuite chargé dynamiquement grâce à une injection ClassLoader. Cette technique complique l’analyse par les outils de sécurité et retarde la détection automatique.

La seconde étape active la logique principale du malware. Elle gère la communication avec le serveur C2, l’interception des SMS et l’identification détaillée de l’appareil infecté. Des mécanismes de persistance assurent le maintien du logiciel sur le téléphone même après un redémarrage.

Les documents techniques publiés décrivent également un masquage important du trafic réseau. Les paquets de communication, appelés pulsations, transmettent régulièrement au serveur l’état complet de l’appareil compromis. Les informations incluent l’état de l’écran, le niveau de batterie, les autorisations SMS accordées et la configuration du mode Doze d’Android, qui limite l’activité en arrière-plan.

Une configuration initiale permet de récupérer des paramètres supplémentaires depuis un point de terminaison identifié sous la forme /m/{build_id}. Les données renvoyées adoptent une structure de type PEM et sont chiffrées avec l’algorithme AES-256-GCM.

Alexander Rudzik, spécialiste principal de la recherche sur les cybermenaces chez Perspektivny Monitoring, explique que dissimuler des malwares dans des applications liées aux médias devient une stratégie courante. Selon lui, une approche comparable existait déjà dans la famille Mamont. L’échantillon actuel présente toutefois des caractéristiques techniques inédites.

Les chercheurs signalent que l’obfuscation multi-étapes et le camouflage avancé du trafic rendent l’analyse particulièrement complexe. L’absence de ce fichier sur les plateformes publiques de partage de malwares suggère également que la campagne reste à un stade précoce. Les premiers indices indiquent un ciblage d’utilisateurs situés en Russie.

Pour les analystes du renseignement cyber, ce type d’attaque illustre une tendance durable : les opérations financières frauduleuses s’appuient désormais sur l’exploitation directe des mécanismes d’authentification mobile.

Cybersécurité, Securite informatique

Nouvelle-Galles du Sud arme ses seniors contre les arnaques

En Nouvelle-Galles du Sud, l’État lance un accompagnement en présentiel pour aider les seniors à mieux se défendre contre les escroqueries.

Le gouvernement de Nouvelle-Galles du Sud a annoncé un nouveau programme pour sensibiliser les personnes âgées à la sécurité numérique et aux réflexes anti-arnaques. ID Support NSW déploiera un soutien en face à face. Mission, que les seniors soient « à l’aise » en ligne, de la reconnaissance des scams à la gestion des mots de passe. Les autorités relient cette initiative à la stratégie d’inclusion numérique. Les plus de 55 ans ont déclaré 53 million $ de pertes liées aux arnaques en 2025.

Un lancement calé sur le Seniors Festival, et sur l’urgence

Le calendrier n’a rien d’anodin. ID Support NSW a lancé son programme de soutien en face à face lors du NSW Seniors Festival Roadshow, le 2 mars 2026. Derrière cette date, l’État cherche à capter une audience déjà mobilisée par un événement grand public, puis à prolonger l’effet d’entraînement via des sessions en personne organisées ensuite dans l’ensemble de la Nouvelle-Galles du Sud. L’objectif affiché est simple : faire baisser l’exposition des seniors aux fraudes, en renforçant des gestes concrets, au plus près du terrain.

Le ministre des Services aux consommateurs et du Gouvernement numérique, Jihad Dib, pose le cadre politique et psychologique du dispositif. « Nous voulons que les personnes âgées de Nouvelle-Galles du Sud se sentent à l’aise pour naviguer dans le monde numérique », dit-il. La formule vise une réalité trés souvent affiché par DataSecuritybreach.fr : la fraude prospère moins sur l’ignorance que sur l’inconfort, la précipitation et l’isolement face à un écran. Dib détaille la promesse opérationnelle, « qu’il s’agisse de reconnaître une arnaque, de gérer ses mots de passe ou d’accéder à des services essentiels en ligne ».

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Le gouvernement espère un impact à l’échelle de tout l’État, avec un bénéfice double, réduire les pertes et restaurer la confiance. En filigrane, l’exécutif assume que l’accès aux services publics, et souvent aux services privés, devient progressivement conditionné à des usages numériques. Dans ce contexte, ne pas accompagner revient à déplacer la vulnérabilité, du guichet vers le smartphone, du papier vers le lien cliquable, et donc vers l’arnaque.

La dimension stratégique est explicitée par Dib, qui inscrit le programme dans une politique plus large : « L’amélioration des compétences numériques est un pilier fondamental de la stratégie d’inclusion numérique du gouvernement de Nouvelle-Galles du Sud, qui vise à réduire la fracture numérique et à renforcer la cybersécurité au sein de la communauté. » Le message est clair, l’inclusion numérique n’est plus seulement sociale, elle devient un enjeu de sécurité collective.

Des chiffres qui pèsent, une cible qui concentre les attaques

Le gouvernement appuie son initiative sur un constat statistique : les Australiens plus âgés affichent des niveaux de littératie numérique plus faibles. Les plus de 75 ans obtiendraient un score inférieur de 32% à la moyenne nationale. Cette donnée, citée pour matérialiser l’écart, éclaire pourquoi les seniors sont souvent ciblés par des mécanismes de manipulation, faux supports techniques, messages anxiogènes, promesses de remboursement, ou urgences fabriquées. Plus l’aisance numérique baisse, plus l’attaquant peut imposer son rythme et son scénario.

Le coût, lui, est donné sans détour. Les personnes de plus de 55 ans ont déclaré des pertes liées à des escroqueries de 53 million $ pour la seule année 2025 (48 760 000 €). Le montant, même présenté comme déclaratif, sert de point d’appui narratif au programme : il ne s’agit plus d’un risque abstrait, mais d’une hémorragie suffisamment visible pour justifier un dispositif dédié.

ZATAZ, qui organise des conférences et ateliers pour les aînés depuis des années insiste sur l’effet amplificateur. Selon lui, organiser ce genre de rendez-vous doit donner à davantage de seniors une chance « d’améliorer leurs connaissances en cybersécurité afin de prévenir d’éventuelles escroqueries ». Là encore, la logique est préventive, et s’appuie sur le présentiel, format souvent plus rassurant pour des publics peu enclins à suivre des modules en ligne.

Enfin, la responsable de la cybersécurité de Nouvelle-Galles du Sud, Marie Patane, ancre le propos dans une dynamique de société, une vie « de plus en plus numérique » où il ne faut « laisser personne de côté ».

Cybersécurité, Mise à jour, Patch, Securite informatique

La Chine bâtit ses bases de failles à l’ombre du CVE

Les secousses sur CVE et NVD poussent le secteur à chercher d’autres repères. Une analyse détaille comment Pékin structure ses propres catalogues, avec des zones grises sur les délais.

Deux bases gouvernementales chinoises de vulnérabilités, CNNVD et CNVD, sortent de l’ombre au moment où les infrastructures occidentales CVE et NVD subissent des perturbations et une incertitude de financement. CNNVD dépend d’un département du ministère chinois de la Sécurité d’État, CNVD est gérée par le CNCERT. Ces catalogues fonctionnent en parallèle, avec leurs identifiants et des alimentations distinctes. La plupart des fiches dupliquent des données CVE, mais sans synchronisation fiable, avec fautes de frappe et incohérences rendant l’appariement automatisé difficile. Environ 1 400 entrées auraient été publiées avant l’identification publique CVE, avec un écart moyen d’environ trois mois.

Deux catalogues, deux tutelles, une logique de souveraineté

Dans un marché habitué à s’orienter avec les repères CVE et NVD, la fragilité des infrastructures occidentales a créé un réflexe immédiat, chercher des sources alternatives, vérifier, recouper, anticiper. C’est dans ce contexte que l’analyse de Bitsight s’arrête sur deux bases chinoises qui reviennent régulièrement dans les conversations, CNNVD (China National Vulnerability Database of Information Security) et CNVD (China National Vulnerability Database). Les deux sont gouvernementales, mais elles ne racontent pas la même histoire institutionnelle.

CNNVD est supervisée par un département relevant du ministère chinois de la Sécurité d’État. CNVD, elle, est opérée par le CNCERT, l’équipe nationale chinoise de réponse aux urgences informatiques. Cette différence de tutelle n’est pas un détail administratif, elle éclaire une organisation en parallèle, deux canaux, deux rythmes, et des objectifs potentiellement distincts. Les deux catalogues utilisent leurs propres identifiants. Ils disposent aussi de champs pour référencer des identifiants CVE, ce qui, sur le papier, devrait faciliter la passerelle avec l’écosystème international. Sauf que, selon Bitsight, cette passerelle reste instable.

Le constat central est double. D’un côté, l’essentiel des entrées chinoises reprend des informations déjà présentes dans CVE. De l’autre, cette reprise ne s’accompagne pas d’une synchronisation robuste. Des fiches existent sans correspondance claire, d’autres affichent des références mais ne sont pas alignées, et la mise en cohérence n’a rien d’automatique. Pour les industriels, c’est un point crucial, car la plupart des outils commerciaux de gestion des vulnérabilités reposent encore sur l’agrégation CVE et NVD comme socle. Quand ce socle vacille, l’idée de basculer vers une alternative paraît séduisante, mais la réalité des données impose un retour à la prudence.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Qualité des données et délais, là où naît la tension

Bitsight décrit des ensembles de données marqués par des fautes de frappe et des incohérences de format. Ce type d’irrégularités est plus qu’un irritant technique, il complique la correspondance automatisée entre catalogues, fragilise les chaînes de traitement, et peut générer des angles morts dans les inventaires. L’indication la plus parlante est celle d’un traitement probablement manuel, ou à tout le moins d’une normalisation incomplète. Dans un environnement où la vitesse de corrélation compte autant que l’exactitude, chaque friction devient un risque opérationnel.

Mais la tension monte vraiment sur la question des délais de publication. Dans la grande majorité des cas observés, les informations apparaissent dans CNNVD et CNVD le même jour que dans CVE, ou plus tard. Cela, en soi, ne surprend pas, si ces bases dupliquent largement le catalogue international. Là où l’analyse inquiète, c’est sur un sous-ensemble d’environ 1 400 enregistrements publiés en Chine avant que les CVE correspondantes ne soient identifiées publiquement. L’écart moyen mentionné est d’environ trois mois. Autrement dit, des descriptions de failles auraient circulé dans ces catalogues avant leur visibilité ouverte au niveau international.

Bitsight relie ce signal aux préoccupations persistantes sur l’utilisation, par la Chine, d’informations de vulnérabilités obtenues via des partenaires étrangers. L’analyse cite des cas liés à Siemens, Kubernetes, SAP et des plugins WordPress, avec un élément troublant, les descriptions chinoises correspondraient « essentiellement » à celles qui n’apparaîtront que plus tard dans le catalogue international. Dans un univers où une vulnérabilité non encore publique peut valoir avantage, ce décalage de calendrier suffit à nourrir les soupçons, sans pour autant constituer, à lui seul, une preuve d’un mécanisme unique. Pour les équipes cyber, le message est surtout méthodologique, ne pas confondre abondance de données et fiabilité, et traiter chaque source comme un indicateur, pas comme une vérité.

Cybersécurité, Justice, loi, Securite informatique

Freedom.gov, le portail américain qui défie les lois européennes

À Washington, un projet discret monte en puissance : un portail en ligne destiné aux Européens pour accéder à des contenus interdits chez eux, avec en toile de fond censure, influence et cybersécurité.

Le département d’État américain prépare un site, hébergé sur freedom.gov, pour permettre à des résidents d’Europe et d’autres pays de consulter des contenus interdits par leurs gouvernements. D’après trois sources proches du dossier citées par Reuters, il s’agirait notamment de documents relevant du discours de haine et de la propagande terroriste. Les équipes auraient évoqué l’intégration d’un VPN afin de masquer l’origine du trafic en le faisant apparaître comme américain, sans journaliser l’activité. Le domaine a été enregistré le 12 janvier et affiche un message de mobilisation. L’initiative, supervisée par Sarah Rogers, inquiète déjà pour ses effets diplomatiques.

Un outil d’accès, et un signal de puissance

Le décor est presque vide, mais le message est clair. Sur freedom.gov, un site à peine en ligne n’affiche pour l’instant qu’une phrase de mise en scène : « L’information, c’est le pouvoir. Réaffirmez votre droit à la liberté d’expression. Soyez prêts. » L’absence de contenus visibles ne dit pas l’absence d’intention. Selon trois sources proches du dossier citées par Reuters, le département d’État américain développe un portail pensé pour des résidents d’Europe et d’autres pays, afin qu’ils consultent des contenus interdits par leurs autorités. Dans la liste évoquée, on trouve des documents classés comme discours de haine et propagande terroriste.

L’architecture technique envisagée révèle l’angle cyber. Des responsables auraient discuté de l’ajout d’un VPN intégré, conçu pour masquer l’origine du trafic des visiteurs. Concrètement, l’objectif serait de faire passer leur navigation pour une activité américaine. Autre point sensible : aucune activité ne serait enregistrée. Dans un contexte où les États et certaines plateformes multiplient la traçabilité, promettre l’absence de journaux est, en soi, une prise de position. Reuters note toutefois que la supériorité de cette solution par rapport aux outils classiques reste floue. Le texte ne tranche pas : s’agit-il d’un service réellement inédit, ou d’un habillage institutionnel d’une promesse déjà accessible par des moyens ordinaires ?

Le calendrier, lui, confirme qu’il ne s’agit pas d’une simple page de communication. D’après le registre fédéral get.gov, le domaine freedom.gov a été enregistré le 12 janvier. Le projet serait supervisé par la sous-secrétaire d’État à la diplomatie publique et aux affaires publiques, Sarah Rogers. Le portail devait initialement être présenté à la Conférence de Munich sur la sécurité, avant que la présentation ne soit reportée pour une raison inconnue. Ce report nourrit une tension narrative : le chantier avance, mais l’annonce publique se dérobe, comme si le sujet exigeait une préparation politique autant qu’un déploiement technique.

Dans l’ombre, un portail de ce type opère sur deux niveaux. Au premier, il promet un accès : contourner des interdictions nationales. Au second, il envoie un signal d’influence : un État revendique la capacité d’ouvrir, à distance, des espaces informationnels fermés par d’autres. La cybersécurité devient alors un langage diplomatique, où l’anonymat, le routage et l’absence de logs se transforment en arguments de politique étrangère.

Liberté d’expression, régulation et collision juridique

C’est ici que le projet change de nature. Reuters souligne que l’Europe et les États-Unis n’abordent pas la liberté d’expression avec les mêmes fondations. Côté américain, la Constitution protège presque tous les discours. Côté Union européenne, les restrictions sont plus nombreuses, et un corpus de règles existe depuis 2008 pour obliger les grandes plateformes, notamment Meta et X, à retirer rapidement des contenus illégaux. Dans ce récit, X est aussi mentionné comme « extrémiste » et interdit en Russie, signe que les étiquetages politiques varient selon les juridictions, et que l’espace numérique se fragmente.

Les sanctions financières servent d’outil de contrainte. Reuters cite un exemple : en décembre dernier, X a reçu une amende de 140 millions de dollars (montant en euros non calculable ici faute de taux de change fourni) pour non-respect de la réglementation. Dans un tel paysage, un portail américain visant des contenus illégaux en Europe risque d’être lu comme une provocation. Reuters avertit que l’initiative pourrait aggraver des relations déjà tendues entre Washington et l’Europe. Pire, elle placerait de facto les États-Unis dans la posture d’un État encourageant des citoyens étrangers à enfreindre les lois de leurs propres pays.

La dimension politique est explicitée par les éléments attribués à l’administration Trump. Des responsables qualifient la réglementation européenne de « censure d’extrême droite ». Depuis octobre dernier, Sarah Rogers se serait rendue dans plus de dix pays européens et aurait rencontré des représentants d’organisations d’extrême droite présentées comme « opprimées » par Washington. En parallèle, la Stratégie de sécurité nationale de décembre aurait mis en garde contre la « destruction » menaçant l’Europe à cause de sa politique migratoire, et annoncé l’intention de soutenir les opposants à cette politique au sein des pays européens. Dans ce cadre, freedom.gov ressemble moins à un simple portail qu’à un instrument de soutien, de récit et de pression.

Kenneth Propp, ancien fonctionnaire du département d’État spécialisé dans la réglementation numérique européenne, aujourd’hui au Centre européen de l’Atlantic Council, résume l’impact attendu : une « attaque directe » contre la régulation européenne. Selon lui, freedom.gov « sera perçu en Europe comme une tentative des États-Unis de saper le droit national ». En termes de cyber-renseignement, l’enjeu dépasse l’accès à des contenus : il touche à la capacité d’un État à façonner les normes, à contourner les cadres adverses, et à tester, grandeur nature, la résilience juridique et technique des démocraties.

Derrière la promesse de « liberté », freedom.gov pourrait surtout mesurer jusqu’où l’influence américaine peut s’exercer, en ligne, contre des règles européennes, sans déclencher de riposte immédiate.

Cybersécurité, Mise à jour, Patch, Securite informatique

Firefox 147.0.4 colmate une faille critique libvpx

Mozilla déclenche une mise à jour de sécurité hors cycle pour Firefox. En cause, une vulnérabilité critique dans le décodage vidéo, exploitable à distance via du contenu web piégé.

Mozilla a publié Firefox 147.0.4 pour corriger une vulnérabilité de dépassement de tampon dans le tas, CVE-2026-2447, qui touche la bibliothèque vidéo libvpx utilisée pour VP8 et VP9. La faille, signalée par le chercheur jayjayjazz, est classée « élevée » et a motivé un déploiement coordonné sur plusieurs branches, dont Firefox ESR 140.7.1 et Firefox ESR 115.32.1. Les versions antérieures à ces correctifs sont considérées vulnérables. Le scénario d’attaque décrit repose sur un média ou une page web conçus pour déclencher une corruption mémoire, avec un risque allant du crash à l’exécution de code. Aucun score CVSS n’était communiqué lors de la divulgation.

Une correction hors cycle qui trahit l’urgence

Le détail qui compte, pour les équipes cyber comme pour les utilisateurs, n’est pas seulement la présence d’une CVE. C’est le rythme. Mozilla a choisi une publication hors cycle, donc en dehors du calendrier habituel, pour livrer Firefox 147.0.4. Ce type de décision est rarement confortable, car il bouscule les procédures de validation, les fenêtres de maintenance et les cycles de déploiement en entreprise. S’il arrive, c’est qu’un risque immédiat est jugé crédible.

La confusion observée dans certaines discussions autour de « Firefox v147 » illustre un piège classique côté défense. Ce n’est pas « 147 » qui protège, c’est 147.0.4. La nuance paraît minime à l’écran, mais elle change tout dans un inventaire de parc, un outil de conformité ou une campagne de remédiation. Dans un environnement géré, une version majeure peut être autorisée tandis qu’un correctif mineur reste en attente, et c’est précisément dans cet interstice que se glissent les attaques opportunistes.

Mozilla n’a pas limité l’effort au canal grand public. En parallèle, l’éditeur a déployé des correctifs sur les branches ESR, Firefox ESR 140.7.1 et Firefox ESR 115.32.1. Cette synchronisation est un signal à destination des RSSI et des équipes SOC : l’exposition ne concerne pas un segment marginal, mais aussi les postes réputés « stabilisés », souvent présents dans les administrations et les entreprises. Or, l’ESR est fréquemment choisi pour réduire les changements fonctionnels, pas pour accepter un retard de correctifs sécurité. Quand une faille est classée « élevée » et patchée partout, la fenêtre de risque devient autant organisationnelle que technique.

CVE-2026-2447, quand la vidéo devient un vecteur d’attaque

La vulnérabilité CVE-2026-2447 est décrite comme un dépassement de tampon dans le tas, un heap overflow, au sein de libvpx, bibliothèque mobilisée par Firefox pour traiter VP8 et VP9. Ces formats étant largement utilisés sur le web, la surface d’attaque est mécaniquement large. Là où certains bogues exigent une action volontaire, un import de fichier ou une option activée, le décodage vidéo s’insère dans une navigation ordinaire, souvent automatique, parfois en arrière-plan.

Techniquement, un dépassement de tampon dans le tas survient lorsqu’un programme écrit au-delà de la mémoire qui lui a été allouée dynamiquement. Le résultat n’est pas seulement un plantage. En écrasant des zones adjacentes, l’erreur peut ouvrir la porte à une corruption mémoire contrôlée, et donc, dans les scénarios les plus graves, à l’exécution de code arbitraire. Dans le contexte d’un navigateur, cela signifie qu’un contenu vidéo spécialement conçu, ou un flux multimédia intégré à une page, peut devenir une charge utile. L’attaque n’a alors plus besoin d’un exécutable téléchargé : la page fait le travail.

Le texte de contexte le souligne, il suffirait à une victime de consulter un site compromis ou malveillant, ou d’ouvrir une vidéo truquée, pour déclencher la condition de dépassement. C’est le modèle typique du téléchargement furtif, où l’arme se confond avec la consommation normale du web. Et c’est aussi, du point de vue du renseignement sur la menace, le type de faille qui intéresse des acteurs patients : une primitive de corruption mémoire dans une chaîne multimédia est un point d’entrée discret, compatible avec des scénarios d’hameçonnage ciblé comme avec des campagnes plus larges.

À la divulgation, aucune exploitation à grande échelle n’était confirmée. Cette absence de signal ne doit toutefois pas être interprétée comme une absence de risque. Les failles de corruption mémoire sont régulièrement privilégiées parce qu’elles peuvent, une fois maîtrisées, fournir des résultats fiables. L’équation est connue des défenseurs : dès qu’un correctif est public, les acteurs malveillants peuvent comparer les changements et accélérer l’industrialisation de tentatives d’exploitation. L’enjeu, ici, est donc la vitesse de patch, et la qualité de l’inventaire.

Mozilla indique que les versions de Firefox antérieures à 147.0.4 sont vulnérables, que les ESR antérieures à 140.7.1 et 115.32.1 le sont aussi, et recommande une mise à jour immédiate. La voie la plus directe passe par le mécanisme interne, Aide puis À propos de Firefox, qui déclenche la recherche et l’installation. Pour les environnements ESR, la priorité est de réduire le délai entre disponibilité du correctif et déploiement effectif, car c’est dans ce délai que la menace a le plus de valeur opérationnelle.

Cybersécurité, IA, Mise à jour, Patch, Securite informatique

Claude Code Security, Anthropic veut industrialiser l’audit IA

Anthropic ajoute à Claude Code un scanner de vulnérabilités pensé pour les entreprises, avec une promesse simple, lire une base de code, détecter les failles, proposer des correctifs, puis laisser l’humain décider.

Anthropic annonce Claude Code Security, une fonctionnalité de sécurité intégrée à Claude Code capable d’analyser le code d’un utilisateur, de repérer des vulnérabilités et de suggérer des correctifs. Le déploiement démarre en accès limité pour des clients entreprises et des équipes pilotes. L’éditeur affirme s’appuyer sur plus d’un an de tests de résistance menés par ses spécialistes, incluant des exercices Capture the Flag et un travail avec le Pacific Northwest National Laboratory pour améliorer la précision. L’outil promet une vérification en plusieurs étapes afin de réduire les faux positifs, un classement par gravité et une approche orientée flux de données.

Une promesse d’analyse « comme un chercheur humain »

Anthropic avance un pari clair, l’IA va devenir un passage quasi obligé dans l’examen du code. Dans son discours, l’argument n’est pas seulement la vitesse, mais le changement d’échelle. L’entreprise estime qu’une fraction importante du code mondial pourrait être passée au crible par des modèles dans un futur proche, à mesure que ces systèmes gagnent en efficacité pour révéler des bugs et des faiblesses de sécurité restés invisibles. La tension, elle, est immédiate, ce qui accélère la protection accélère aussi l’attaque.

Claude Code Security est présenté comme un module qui « lit » une base de code et en reconstruit la logique, à la manière d’un analyste. L’outil ne se limiterait pas à pointer des motifs suspects, il chercherait à comprendre comment les composants interagissent, à suivre les chemins empruntés par les données, puis à isoler des défauts majeurs que des approches classiques d’analyse statique peuvent manquer. Dans ce scénario, la valeur n’est pas seulement la détection, mais la contextualisation, autrement dit relier une faiblesse à un flux, une entrée, une dépendance, un composant, et à un impact.

Pour réduire le bruit, Anthropic décrit un mécanisme de contrôle interne. Chaque détection passerait par une validation en plusieurs étapes avant d’être transmise à un analyste, puis le modèle « se relirait » lui-même, afin de confirmer ou d’infirmer ses propres conclusions et de limiter les faux positifs. Les résultats seraient ensuite hiérarchisés par gravité, pour guider les équipes vers ce qui doit être corrigé en premier. Le processus mis en avant reste, au bout de la chaîne, une boucle de décision humaine, l’utilisateur approuve les modifications avant tout déploiement.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Une mise en production prudente, et une règle clé sur les droits

Le lancement, lui, est encadré. Anthropic indique que Claude Code Security sera d’abord réservé à un groupe restreint de clients entreprises et d’équipes, dans une phase de test. L’annonce s’appuie sur un récit de robustesse construit sur la durée, plus d’un an de tests de résistance par une équipe interne d’experts cybersécurité, des participations à des compétitions de type Capture the Flag, et une collaboration avec le Pacific Northwest National Laboratory, présentée comme un levier pour améliorer la précision des analyses.

En filigrane, l’entreprise vise un basculement culturel, celui du « vibe coding », cette manière de produire plus vite en s’appuyant sur l’IA pour écrire et assembler des morceaux de logiciel. Anthropic soutient que, si cette pratique se diffuse, la demande d’analyses automatisées de vulnérabilités pourrait dépasser le besoin d’audits manuels. L’argument est pragmatique, si davantage de code est généré plus vite, alors davantage de code doit être audité plus vite, sinon la dette de sécurité enfle. Dans cette logique, un scanner directement intégré au flux de développement pourrait, potentiellement, réduire le nombre de failles, à condition que l’automatisation n’endorme pas la vigilance.

Mais la même capacité de lecture rapide et d’exploration systématique intéresse aussi l’adversaire. Le texte souligne que des cybercriminels peuvent, eux aussi, utiliser des modèles pour cartographier plus vite l’environnement d’une victime et y trouver des points d’entrée exploitables. C’est le dilemme classique du renseignement technique, un outil qui améliore la visibilité des défenseurs peut aussi accélérer la reconnaissance et la sélection de cibles côté attaquants. D’où l’enjeu, non seulement de détecter, mais de qualifier, prioriser et corriger sans délai.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

DÉCOUVRIR L’OUTIL CTI

Des chercheurs spécialisés dans les menaces nuancent l’enthousiasme. Oui, les capacités ont progressé, mais elles seraient souvent plus à l’aise sur des failles modestes, tandis que des opérateurs chevronnés restent indispensables, notamment pour piloter le dispositif et traiter les vulnérabilités et menaces de haut niveau. En parallèle, certains outils, comme Claude Opus et XBOW, ont déjà montré qu’ils pouvaient découvrir des centaines de vulnérabilités logicielles, rendant parfois la chasse et la correction nettement plus rapides qu’une équipe humaine seule.

Anthropic revendique aussi un saut de performance côté modèle, en affirmant que Claude Opus 4.6 est « nettement meilleur » pour repérer des vulnérabilités de haute gravité que les versions antérieures, avec, dans certains cas, des défauts qui seraient restés indétectés pendant des décennies. L’accès, enfin, s’accompagne d’une contrainte juridique et éthique explicite, les testeurs doivent s’engager à n’utiliser l’outil que sur du code appartenant à leur entreprise, et pour lequel ils disposent de tous les droits nécessaires à l’analyse, à l’exclusion du code de tiers, sous licence, ou de projets open source.

Au fond, Claude Code Security illustre une bascule de la cyber-intelligence, l’audit devient un flux continu, mais la bataille se joue toujours sur la qualité du tri, de la preuve, et de la décision.