Archives de catégorie : Securite informatique

backdoor, Cybersécurité, Entreprise, Espionnage Spy, Securite informatique

Alerte maximale : CISA redoute une exploitation massive du code source volé de F5

Une cyberattaque d’ampleur contre F5 a conduit l’agence américaine CISA à ordonner en urgence la mise à jour de tous les systèmes fédéraux vulnérables.

L’agence de cybersécurité américaine (CISA) alerte sur une menace majeure visant les réseaux fédéraux après le vol du code source et de failles non divulguées de F5 par un acteur étatique. Le gouvernement a publié une directive d’urgence obligeant toutes les agences civiles à mettre à jour leurs produits F5 d’ici le 22 octobre, afin de prévenir tout risque de compromission systémique.

Un vol stratégique du cœur technologique de F5

Le 9 août, F5 a découvert une intrusion prolongée et discrète dans ses environnements de développement, selon un rapport déposé à la SEC. L’entreprise, épaulée par CrowdStrike, Mandiant et les autorités fédérales, a confirmé que l’assaillant avait accédé au code source de sa suite BIG-IP — technologie clé utilisée pour le routage, la sécurité applicative et la gestion des accès dans les infrastructures critiques. Des informations sur des vulnérabilités encore non corrigées ont également été exfiltrées.
CISA estime que cet accès offre à l’attaquant un avantage technique majeur, lui permettant d’analyser en profondeur le code, d’identifier de nouvelles failles et de créer des exploits ciblés. L’agence craint que ces outils ne servent à s’infiltrer dans les réseaux fédéraux, voler des données sensibles et maintenir un accès persistant.

Une directive d’urgence face à un risque systémique

L’ordre fédéral impose la mise à jour immédiate de tous les équipements et logiciels F5 — physiques ou virtuels — avant le 22 octobre, et un rapport d’audit complet avant le 29. Les produits concernés incluent BIG-IP, F5OS, BIG-IP Next for Kubernetes, BIG-IQ et les clients APM.

Nick Andersen, directeur exécutif adjoint de la cybersécurité à CISA, a précisé qu’aucune compromission confirmée n’a été détectée dans les agences fédérales à ce jour, mais que des milliers d’appareils F5 sont déployés sur les réseaux gouvernementaux. L’agence prévoit des réunions d’information avec les entités locales, étatiques et privées.
Madhu Gottumukkala, directeur par intérim de CISA, a averti que la simplicité d’exploitation des failles volées « impose une action immédiate et décisive ». L’agence recommande également au secteur privé d’appliquer sans délai les correctifs, évoquant un risque de compromission « catastrophique » pour les systèmes critiques.

Une brèche surveillée, mais un adversaire inconnu

F5 affirme avoir évincé les intrus, réinitialisé ses identifiants et renforcé la supervision de ses environnements. Aucun signe de modification du code source ni de la chaîne d’approvisionnement logicielle n’a été observé, selon les validations indépendantes de NCC Group et IOActive.

L’entreprise indique ne pas connaître l’identité de l’acteur étatique responsable, mais plusieurs experts pointent des précédents impliquant des groupes affiliés à la Chine. En 2023, Mandiant avait déjà révélé que des sous-traitants du ministère chinois de la Sécurité d’État exploitaient une faille critique (CVE-2023-46747) affectant BIG-IP.

F5 a également confirmé que certains fichiers volés contenaient des informations techniques relatives à un faible pourcentage de clients. L’entreprise s’engage à notifier directement les clients concernés et à offrir à tous ses utilisateurs un abonnement gratuit au logiciel de détection Falcon EDR de CrowdStrike.

Cette attaque contre F5 illustre la vulnérabilité croissante des chaînes logicielles stratégiques. Si le vol de code source devient un levier d’espionnage à long terme, quelles contre-mesures structurelles peuvent encore garantir l’intégrité des systèmes fédéraux et industriels ?

Sources

Cybersécurité, Entreprise, Espionnage Spy, Fuite de données, Propriété Industrielle, Securite informatique

F5 victime d’une compromission attribuée à un acteur étatique

Un acteur lié à un État a infiltré durablement le réseau de F5 et dérobé le code source ainsi que des données de vulnérabilités de BIG-IP, exposant des risques majeurs pour la chaîne d’approvisionnement numérique mondiale.

F5, éditeur américain de solutions réseau BIG-IP, a révélé une compromission prolongée par un acteur gouvernemental sophistiqué. L’attaquant aurait accédé aux serveurs internes responsables de la création et de la distribution des mises à jour logicielles, exfiltrant du code source et des informations sur des failles non publiées. Cette intrusion, détectée le 9 août, fait peser un risque critique de compromission de la chaîne d’approvisionnement pour des milliers d’entreprises et d’agences publiques qui utilisent BIG-IP. F5 a publié 44 correctifs et fait appel à IOActive, NCC Group, Mandiant et CrowdStrike pour enquêter. Les autorités américaines et britanniques ont depuis appelé à l’application urgente des mises à jour.

Comment l’intrusion s’est déroulée

F5, basée à Seattle, a confirmé qu’un groupe agissant pour le compte d’un gouvernement non nommé avait maintenu un accès persistant à son réseau interne pendant une période prolongée. L’intrusion, découverte le 9 août puis révélée publiquement, a montré que les assaillants avaient atteint le segment critique chargé de compiler et distribuer les mises à jour de BIG-IP.

Ce périmètre de build et de diffusion représente le pivot logique d’une attaque sur la chaîne d’approvisionnement : il signe, emballe et pousse le code vers des dizaines de milliers d’appareils déployés. Les serveurs concernés, situés à la périphérie des réseaux clients, gèrent l’équilibrage de charge et assurent le rôle de pare-feu applicatif, en inspectant et chiffrant le trafic.

F5 précise que des fragments du code source de BIG-IP ont été exfiltrés. Parallèlement, les assaillants ont dérobé des informations sur des vulnérabilités découvertes par F5 mais non encore corrigées ni rendues publiques, ainsi que certains paramètres de configuration client. Ce trio d’éléments — code source, failles non divulguées et configurations — réduit considérablement le temps et les ressources nécessaires pour concevoir des attaques ciblées et échapper à la détection.

L’entreprise souligne que la compromission concernait spécifiquement l’infrastructure liée à la distribution logicielle. Si l’enquête n’a pas montré de modification du code déployé ni d’altération du processus de signature, la fuite de ce matériel sensible constitue une escalade notable du risque de compromission en cascade. En d’autres termes, un acteur doté du code et des vulnérabilités internes pourrait théoriquement produire des mises à jour falsifiées ou des attaques exploitant directement les points faibles des clients.

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Portée et impact technique

Les équipements BIG-IP sont présents dans 48 des 50 plus grandes entreprises mondiales. Ces appliances, situées à l’entrée du réseau, inspectent tout le trafic entrant et sortant, gèrent le chiffrement TLS et appliquent les politiques d’accès. Dans de nombreux cas, elles détiennent aussi des identifiants administratifs privilégiés et des configurations adaptées à l’architecture interne des organisations.

La fuite de ces paramètres offre à un attaquant une cartographie détaillée de cibles potentielles. Elle révèle les chemins techniques menant aux systèmes les plus sensibles situés derrière le pare-feu applicatif.

À la suite de l’incident, F5 a publié 44 correctifs. Selon l’entreprise, ces vulnérabilités étaient accessibles à l’assaillant depuis au moins août, date de détection de l’intrusion. Aucune preuve n’indique que ces failles aient été exploitées avant leur correction.

Pour confirmer cette évaluation, F5 a mandaté plusieurs sociétés spécialisées : IOActive et NCC Group ont audité les composants accessibles depuis l’extérieur et n’ont trouvé aucune faille critique non corrigée ; Mandiant et CrowdStrike ont mené des analyses forensiques internes et conclu qu’aucune donnée financière ou client n’avait été volée.

Cependant, le maintien d’un accès furtif sur une longue période, dans une infrastructure connectée à la quasi-totalité des grands réseaux mondiaux, laisse ouverte la possibilité d’opérations ultérieures ciblées. D’un point de vue technique, la possession du code source et de données de vulnérabilités accélère la production d’exploits : les flux de contrôle, la logique de validation et la gestion cryptographique deviennent visibles pour l’attaquant.

L’association avec des configurations réelles d’entreprises réduit encore l’incertitude opérationnelle. Ensemble, ces éléments offrent à un acteur étatique les moyens de conduire une attaque de chaîne logistique à large échelle, potentiellement contre des infrastructures publiques critiques. L’enjeu dépasse F5 : les équipements BIG-IP se trouvent au cœur des architectures réseau de la majorité des grandes organisations américaines et britanniques, avec des implications directes pour la sécurité nationale et économique.

Réponses, atténuation et risques persistants

F5 affirme avoir immédiatement pris des mesures correctives. L’entreprise a diffusé des mises à jour couvrant l’ensemble des failles découvertes et a collaboré avec les autorités compétentes. Les investigations externes n’ont révélé ni altération du processus de build, ni signe d’exploitation active du matériel volé.

Malgré cela, les centres nationaux de cybersécurité américains (CISA) et britanniques (NCSC) ont diffusé des alertes officielles. Ils demandent à toutes les administrations et entreprises d’inventorier leurs équipements BIG-IP et d’appliquer sans délai les mises à jour de sécurité. Les recommandations s’étendent au secteur privé, notamment dans les télécoms, la finance et les infrastructures critiques.

Ces consignes reposent sur un principe de précaution : un adversaire disposant des vulnérabilités et des configurations peut préparer des attaques ciblées à long terme. Le déploiement de correctifs réduit le risque immédiat, mais ne garantit pas l’absence de mécanismes d’accès persistants.

F5 reconnaît les limites d’une détection a posteriori. Dans des environnements complexes, il est difficile de prouver qu’aucune modification invisible ne subsiste. Cette incertitude pèse désormais sur les clients : ils doivent considérer la compromission comme un risque systémique et renforcer leur surveillance.

Les administrateurs sont invités à recenser les appliances BIG-IP installées, vérifier leurs versions logicielles et examiner les journaux d’accès pour détecter toute activité anormale. Un suivi spécifique du trafic sortant depuis ces dispositifs peut permettre d’identifier d’éventuelles communications non autorisées.

D’un point de vue renseignement, cette opération illustre la stratégie des acteurs étatiques : pénétrer la chaîne d’approvisionnement pour obtenir un effet démultiplié. En compromettant un fournisseur central, ils acquièrent un levier stratégique sur l’ensemble de ses clients. Même sans exploitation avérée, la simple possession du code et des vulnérabilités internes permet une planification offensive à grande échelle.

Les implications dépassent la sphère technique. Elles soulèvent des questions de souveraineté numérique et de dépendance vis-à-vis d’équipements étrangers au cœur des infrastructures critiques. Les autorités devront examiner comment renforcer la résilience des chaînes logicielles et instaurer des audits continus de sécurité au niveau des fournisseurs.

L’incident documenté par F5 illustre un scénario typique d’attaque de la chaîne d’approvisionnement : un accès persistant au cœur du processus de développement permet de dérober du code et des informations exploitables contre des milliers de réseaux.

Malgré l’absence d’exploitation confirmée, le risque demeure tangible : les matériaux volés peuvent faciliter des intrusions différées, difficilement détectables. La réaction de F5, entre communication rapide et audits indépendants, ne supprime pas la nécessité d’une vigilance accrue de la part des clients et des États.

Pour les opérateurs, la priorité reste claire : localiser les dispositifs BIG-IP, appliquer les correctifs et renforcer la surveillance en périphérie de réseau. Pour les équipes de renseignement et de réponse à incident, cette affaire rappelle qu’une compromission de fournisseur peut devenir une arme stratégique.

Comment les organisations concernées pourront-elles prouver l’absence de compromission secondaire chez leurs partenaires, maintenant que le code source et les données de configuration ont été exposés ?

Rejoignez nous sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée
backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Vulnérabilités 7-Zip : sortie du répertoire et exécution à distance

Deux failles critiques de 7-Zip permettent l’évasion du répertoire de travail via des symlinks dans des ZIP malveillants. Mettez à jour ou désactivez l’extraction automatique.

Deux vulnérabilités désignées CVE-2025-11001 et CVE-2025-11002, cotées 7,0 CVSS, exposent 7-Zip à des attaques par archives ZIP contenant des liens symboliques malformés. En ouvrant l’archive, la victime risque la corruption ou la substitution de fichiers système, y compris la substitution de DLL utilisées par des services privilégiés, autorisant potentiellement l’exécution de code à distance. Les correctifs sont inclus dans la build 25.00. Les utilisateurs doivent installer la mise à jour immédiatement ou au minimum interdire l’extraction automatique d’archives. Des vulnérabilités moins graves, publiées l’été précédent, permettaient des DoS via écriture hors bornes et déréférencement null.

Manipulation de symlinks et dépassement du répertoire

Les deux vulnérabilités exploitent la même mécanique : une gestion incorrecte des liens symboliques intégrés dans des archives ZIP. 7-Zip, lors de l’extraction, peut suivre ou recréer des symlinks sans vérifier qu’ils restent confinés au répertoire de travail. Un ZIP conçu pour pointer en dehors de l’arborescence cible permet d’écrire ou de remplacer des fichiers situés arbitrairement sur le système. Dans ce scénario l’attaque n’exige pas d’élévation préalable ; elle réclame uniquement que la victime ouvre l’archive dans l’outil vulnérable. Le risque opérationnel est double : disparition ou altération de fichiers applicatifs et substitution de DLL chargées par des services disposant de privilèges supérieurs. La combinaison du vecteur d’infection trivial — double-clic ou extraction automatique — et de l’impact potentiel sur des composants privilégiés transforme une vulnérabilité de chemin en vecteur d’escalade et d’exécution à distance.

Portée technique et conséquences pratiques

Techniquement, ces failles permettent l’écriture arbitraire de fichiers en dehors du dossier prévu par l’utilisateur. Concrètement, un ZIP malveillant peut contenir des entrées dont le nom est un symlink ciblant des chemins sensibles du système. Lors de l’extraction, 7-Zip reconstitue le lien ou suit la cible sans vérification stricte, puis écrit les données de l’archive sur la cible. Résultat possible : remplacement d’un exécutable, altération d’un binaire ou substitution d’une DLL. Si la DLL remplacée est ensuite chargée par un service s’exécutant avec des droits élevés, l’attaquant obtient une exécution de code en contexte privilégié. L’attaque repose sur l’appâtage de l’utilisateur, mais pas sur une technique sophistiquée côté serveur. Elle est donc aisée à déployer à grande échelle par phishing, pièces jointes ou contenus téléchargés.

Correctifs et mesures immédiates recommandées

Les correctifs sont inclus dans la build 25.00 de 7-Zip. L’éditeur a modifié le comportement d’extraction pour valider les symlinks et empêcher l’évasion du répertoire de destination. Les administrateurs doivent déployer cette build sur tous les postes et serveurs où 7-Zip est présent. En attendant la mise à jour, il est impératif d’interdire l’extraction automatique d’archives par tout mécanisme intégré au poste de travail ou au client de messagerie. Les équipes doivent également sensibiliser les utilisateurs aux risques des archives reçues par courriel et privilégier l’analyse en bac à sable des fichiers ZIP suspects. Dans les environnements sensibles, limitez les permissions d’écriture sur les chemins critiques et surveillez les modifications de DLL via intégrité fichier (HIPS, solutions EDR).

L’été précédent, deux autres problèmes ont été révélés pour 7-Zip : une écriture hors bornes et un déréférencement de pointeur nul. Ces derniers permettaient d’induire des états de déni de service (DoS) mais étaient classés comme moins critiques car ils n’autorisaient pas directement l’exécution arbitraire de code. Les nouvelles failles CVE-2025-11001 et CVE-2025-11002, malgré une note CVSS égale à 7,0, présentent un profil d’exploitation plus dangereux en raison de la possibilité de corruption ou substitution de DLL. La différenciation entre crashs non persistants et corruption délibérée d’artefacts système explique l’écart d’impact opérationnel.

 

Rejoignez nous sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaque exploit typique et vecteurs de diffusion

Un exploit plausible commence par une archive ZIP contenant des fichiers dont certains sont des symlinks calculés pour pointer vers des emplacements système. L’archive est livrée à la cible via phishing, téléchargement piégé ou pièce jointe. Si la victime double-clic sur l’archive ou si un processus d’extraction automatique la décompresse, 7-Zip traite la structure et réalise l’écriture vers la cible. L’attaquant peut alors remplacer une DLL utilisée par un service démarré, provoquer un chargement ultérieur de la DLL malveillante et obtenir un exécutable furtif sous les droits du service. Ce scénario est particulièrement critique sur des serveurs exposés, sur des postes administrateurs ou sur des machines où des services système chargent dynamiquement des bibliothèques depuis des chemins modifiables.

Détecter une exploitation requiert de surveiller les modifications de fichiers système habituellement immuables, les créations ou modifications de DLL dans des répertoires système et les écritures inhabituelles initiées par processus utilisateur non privilégiés. Les solutions EDR doivent alerter sur les opérations d’écriture vers les répertoires Windows\System32, Program Files ou tout autre emplacement abritant des composants partagés. L’analyse des journaux d’antivirus et l’examen des actions d’extraction réalisées par 7-Zip peuvent révéler des tentatives d’exploitation. Enfin, la corrélation entre réception d’un ZIP externe et modifications de fichiers sensibles constitue un indicateur fort d’exploitation.

Bonnes pratiques post-correction

Outre l’installation immédiate de la build 25.00, standardisez la gestion des archives dans l’entreprise. Centralisez l’extraction via des bastions ou des environnements isolés. Restreignez les droits d’écriture sur les répertoires où des DLL sont chargées automatiquement. Activez la validation d’intégrité pour les DLL critiques et déployez des règles d’application des DLL signées. Mettez en place un flux de gestion des pièces jointes qui isole et analyse automatiquement les ZIP avant mise à disposition des utilisateurs. Enfin, documentez toute remise en état après incident, car une DLL compromise peut cacher une présence malveillante persistante.

backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Piratage, Securite informatique

Fuites massives via Salesforce : l’effet domino des applis tierces

Une série d’attaques de phishing exploitant l’intégration entre Salesforce et l’appli Drift expose de grandes entreprises mondiales à des fuites massives de données clients et à des poursuites judiciaires.

Ces derniers mois, Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont signalé des violations de données liées à l’usage d’une application tierce connectée à Salesforce. Le gang ShinyHunters est accusé d’avoir détourné des jetons OAuth de la plateforme Drift Salesloft pour siphonner des informations sensibles de bases CRM. Noms, emails et numéros de téléphone ont circulé, exposant clients et employés à un risque élevé de phishing. Plusieurs victimes poursuivent Salesforce en Californie, estimant que l’éditeur n’a pas garanti une protection suffisante. Cette affaire illustre les failles critiques de la cybersécurité dans la chaîne d’approvisionnement logicielle.

Une faille exploitée dans l’écosystème Salesforce

Au printemps, une vague d’attaques a visé l’intégration entre Salesforce, leader mondial du CRM, et Drift Salesloft, une plateforme d’automatisation marketing. Ce connecteur permet aux entreprises de synchroniser conversations clients et données commerciales. Les cybercriminels du groupe ShinyHunters ont exploité les jetons OAuth de Drift, normalement destinés à authentifier des applications, pour interroger les bases Salesforce de leurs cibles. Ils ont ainsi accédé à des objets tels que Cases, Accounts, Users et Opportunities. Ces requêtes leur ont permis de récupérer des informations identifiantes comme adresses mail, numéros de téléphone et identifiants internes.

Selon Google Threat Intelligence Group (GTIG), il ne s’agissait pas d’une faille structurelle de Salesforce mais bien d’un abus des droits accordés par l’appli tierce. Une fois alerté, Salesforce a retiré Drift de son AppExchange et conseillé de désactiver l’intégration. L’entreprise insiste sur le fait que ses clients non-utilisateurs de Drift ne sont pas concernés.

Des multinationales contraintes de notifier des fuites

La liste des victimes reflète l’ampleur du problème. Constructeur automobile, compagnies aériennes, assureurs, groupes de luxe et distributeurs de mode ont été touchés. Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont confirmé des incidents. Tous ont dû notifier des clients exposés à la perte de données. Le Service Veille de ZATAZ a d’ailleurs remarqué que le compte Telegram de ceux qui s’annonçaient comme les auteurs de ces infiltrations a été fermé. L’espace affiche un message laconique « fermé pour non respect des règles« .  La justice est-elle passée par là ?

Les informations volées n’ont pas l’ampleur de numéros de cartes bancaires ou de mots de passe, mais elles suffisent à alimenter des campagnes de phishing ciblé. Les cybercriminels peuvent désormais usurper des identités, exploiter des mails professionnels crédibles ou orchestrer des fraudes au président. Cette réutilisation des données accentue le risque de compromission secondaire, souvent plus destructeur que la fuite initiale.

Le gang ShinyHunters, actif depuis plusieurs années, a revendiqué de nombreuses campagnes similaires. Entre mai et août, il aurait lancé des centaines d’attaques contre des organisations connectées à Salesforce par Drift, industrialisant l’usage frauduleux de jetons OAuth.

Procès en Californie et question de responsabilité

Au-delà du volet technique, le scandale devient juridique. Une quinzaine de plaintes ont été déposées en Californie contre Salesforce. Plusieurs cherchent à obtenir le statut de recours collectif. Les plaignants accusent l’éditeur de n’avoir pas pris les mesures suffisantes pour sécuriser l’accès aux données, malgré sa position dominante sur le marché du CRM.

Salesforce réfute ces accusations et insiste sur l’absence de vulnérabilité directe dans sa plateforme. L’entreprise renvoie la responsabilité vers la connexion tierce. Les victimes rétorquent que l’éditeur aurait dû mieux contrôler les applications autorisées sur son marketplace et sécuriser les processus d’intégration.

Cette affaire illustre la zone grise de la cybersécurité en chaîne d’approvisionnement. Lorsqu’un maillon externe est compromis, la responsabilité du fournisseur principal reste floue. Or, pour des entreprises dont la valeur repose sur la confiance client, l’impact réputationnel est immédiat.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google muscle Drive avec une IA anti-ransomware

Google ajoute une nouvelle barrière dans Drive : une IA dédiée à stopper le ransomware avant la restauration. Objectif : limiter les dégâts une fois l’antivirus contourné.

Google lance une nouvelle protection dans Drive pour Windows et macOS, destinée à bloquer les attaques de ransomware avant qu’elles ne paralysent tout un réseau. Contrairement aux solutions classiques centrées sur le malware, l’outil repose sur une IA entraînée à détecter les comportements suspects, comme le chiffrement massif de fichiers. Dès alerte, la synchronisation cloud s’interrompt et les données passent en quarantaine. Présentée comme une « nouvelle couche » par Luke Camery, responsable produit chez Google Workspace, la solution complète antivirus et restauration, sans les remplacer. Disponible en bêta ouverte, elle sera intégrée sans surcoût dans la majorité des abonnements Workspace.

Une nouvelle couche face aux rançongiciels

Les ransomwares ont démontré les limites des protections classiques. Les antivirus stoppent une partie des menaces, mais les attaquants réussissent régulièrement à franchir cette barrière. Les solutions de restauration existent, mais elles restent coûteuses et lourdes pour les équipes IT. C’est dans cet interstice que Google place sa nouvelle défense.

« Nous ne remettons pas en cause l’efficacité des acteurs traditionnels, mais force est de constater que l’approche actuelle ne suffit pas », résume Luke Camery. Selon lui, l’erreur du statu quo consiste à ne pas intégrer de détection comportementale en amont de la restauration. L’outil Drive se veut donc une couche distincte, un filet de sécurité supplémentaire, destiné à stopper une attaque en cours avant que le chiffrement ne devienne irréversible.

Le principe est simple : supposer que l’antivirus a échoué, puis intervenir. Google compare cela à une maison protégée par des serrures et des assurances, mais dépourvue d’alarme. Avec ce dispositif, l’alarme se déclenche dès qu’un intrus tente de verrouiller toutes les portes.

Une IA entraînée sur des millions d’exemples

Le cœur de la solution est un modèle d’intelligence artificielle personnalisé. Entraîné sur des millions de cas de ransomware, il ne cherche pas à identifier un code malveillant précis mais à reconnaître des schémas de comportement. L’exemple type : un processus qui tente de chiffrer brutalement de nombreux fichiers.

Dès qu’un tel comportement est repéré, Drive suspend immédiatement la synchronisation avec le cloud. Les fichiers potentiellement compromis sont alors isolés, placés dans une forme de quarantaine. L’objectif est d’empêcher la propagation et de préserver des copies saines.

Cette logique de surveillance permanente et réactive place la solution au-dessus d’un antivirus classique et en dessous d’un outil de restauration. Elle se veut complémentaire : non pas un remplacement, mais une barrière intermédiaire.

En cas d’attaque détectée, l’utilisateur reçoit une alerte sur son poste ainsi qu’un e-mail détaillant les étapes à suivre. Un assistant permet ensuite de restaurer facilement une version non contaminée des fichiers. La démonstration fournie par Google montre un processus aussi simple que de récupérer un document effacé dans la corbeille Windows, sans recours à des outils externes ni réinstallation complexe.

Côté administrateurs, les informations remontent dans la console Admin. Ils disposent d’un journal d’audit et peuvent ajuster la configuration. La fonctionnalité sera activée par défaut, mais les responsables IT gardent la possibilité de désactiver la détection ou la restauration si nécessaire.

L’outil est dès aujourd’hui accessible en bêta ouverte. Il sera intégré sans frais supplémentaires dans la plupart des abonnements Google Workspace commerciaux. Google espère ainsi réduire l’impact des ransomwares qui, malgré les efforts combinés des solutions antivirus et des services de sauvegarde, continuent de frapper organisations publiques et privées.

Cybersécurité, Entreprise, Securite informatique

Cyberattaque contre Co-op : un manque à gagner de 200 millions d’euros !

Une attaque informatique au printemps a privé Co-op de 274 millions € de revenus, perturbé ses approvisionnements et exposé les données personnelles de 6,5 millions de membres.

Le distributeur britannique Co-op a révélé que la cyberattaque d’avril lui a coûté 206 M£ (274 M€) de revenus, touchant principalement son activité alimentaire. L’incident a entraîné des rayons vides, des systèmes mis hors ligne et la compromission des données de ses 6,5 millions de membres. Selon l’entreprise, les pertes directes de profit se chiffrent à 80 M£ (107 M€). L’enquête a conduit à l’arrestation de quatre personnes, dont un mineur, soupçonnés d’être liés au groupe criminel Scattered Spider. Co-op affirme avoir évité le verrouillage complet de ses systèmes grâce à une déconnexion préventive de ses réseaux, mais reste marqué par un affaiblissement de sa compétitivité face à ses rivaux.

Un réseau fragilisé par l’attaque

L’attaque a été détectée en avril. Pour limiter sa propagation, Co-op a choisi de couper volontairement ses systèmes centraux, ce qui a réduit immédiatement la disponibilité des produits en magasin. Les semaines suivantes, les clients ont constaté des rayons vides et des promotions suspendues. Le rapport semestriel précise que l’activité alimentaire a été la plus affectée. La direction a reconnu que la concurrence a profité de la situation pour capter une partie de la clientèle. Malgré la poursuite des ventes, la rentabilité a plongé, avec un manque à gagner de 80 millions de £ (107 millions €) rien que sur le premier semestre.

 

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Un mode opératoire attribué à Scattered Spider

Les enquêteurs soupçonnent que les attaques visant Co-op, M&S et Harrods soient reliées au groupe Scattered Spider, une constellation de jeunes pirates actifs dans l’intrusion de réseaux d’entreprises. Quatre suspects ont été arrêtés en juillet, dont un adolescent. Cette proximité entre acteurs très jeunes et attaques de grande ampleur illustre la difficulté à anticiper l’origine des menaces. Le mode opératoire évoqué s’inscrit dans la tendance des assaillants à viser simultanément plusieurs cibles commerciales, exploitant les dépendances technologiques de la distribution moderne.

Des données massivement compromises

Bien que Co-op ait évité un verrouillage complet par rançongiciel, la fuite de données a touché l’ensemble de ses 6,5 millions de membres. Les informations personnelles compromises alimentent désormais la crainte d’un usage ultérieur par des groupes criminels pour de l’usurpation d’identité ou du chantage. La direction a insisté sur le fait que les équipes ont travaillé sans relâche pour restaurer les opérations et protéger les infrastructures. Mais la perte de confiance reste un enjeu majeur. Dans un secteur où la fidélisation repose sur la sécurité perçue des systèmes de paiement et des données clients, l’atteinte est autant réputationnelle que financière.

L’affaire Co-op souligne la vulnérabilité des chaînes de distribution aux attaques coordonnées et la porosité croissante entre cybercriminalité juvénile et opérations structurées. La question demeure : jusqu’où les enseignes britanniques sont-elles capables d’anticiper de telles menaces et de protéger durablement leurs données sensibles ?

 

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Entreprise, Securite informatique

YesWeHack rejoint les autorités CVE

YesWeHack devient autorité de numérotation CVE. L’entreprise française de Bug Bounty et de gestion des vulnérabilités obtient le statut CNA et peut désormais attribuer des identifiants CVE et publier les enregistrements associés.

YesWeHack, plateforme mondiale de Bug Bounty et de gestion des vulnérabilités, annonce son autorisation officielle par le programme CVE en tant qu’autorité de numérotation CVE (CNA). Cette nomination fait de YesWeHack la huitième organisation française à accéder à ce rôle. Elle confirme la place croissante de la France dans la gouvernance technique de la cybersécurité. En qualité de CNA, YesWeHack peut dorénavant assigner des identifiants CVE aux failles découvertes et publier les informations correspondantes dans les enregistrements CVE.

Cap sur la nomenclature des vulnérabilités

L’information est factuelle, l’enjeu est structurant. YesWeHack, plateforme fondée par des hackers éthiques en 2015, annonce à Paris, le 23 septembre 2025, son accréditation comme autorité de numérotation CVE. Devenir CNA, c’est obtenir le droit, et la responsabilité, d’assigner des identifiants CVE aux vulnérabilités identifiées dans le cadre de ses activités et de publier les enregistrements correspondant à ces failles. Cette avancée place YesWeHack à un point de jonction où la découverte, la normalisation et la diffusion se rejoignent.

Au cœur du dispositif, le programme CVE fédère la communauté autour d’un identifiant unique, le Common Vulnerabilities and Exposures. Cet identifiant est devenu la clé de voûte d’un écosystème où chercheurs, éditeurs, intégrateurs et équipes de sécurité doivent parler le même langage. La normalisation aide à corréler des indices dispersés dans les systèmes internes, à distinguer les doublons et à activer les bons leviers de correction.

YesWeHack revendique une approche complète de la gestion des vulnérabilités. Sa plateforme rassemble Bug Bounty, politique de divulgation (VDP), gestion des rapports de test d’intrusion, cartographie d’exposition (ASM) et formation au hacking éthique avec le Dojo. Cette offre, articulée autour d’API, vise la rapidité et la traçabilité, de la découverte à la remédiation. L’entreprise insiste sur des garanties de sécurité et de conformité, de la certification ISO aux choix d’hébergement privé en Europe, conforme au RGPD.

L’obtention du statut CNA ajoute une brique d’infrastructure. Elle rapproche la nomenclature CVE de la source primaire d’information : la découverte sur le terrain, souvent issue d’un programme de Bug Bounty. En intégrant l’attribution CVE au cœur du flux opérationnel, YesWeHack promet de limiter les frictions et de raccourcir les délais. Le message est expressément formulé par Guillaume Vassault-Houlière, CEO et co-fondateur : l’entreprise se dit « honorée » et met en avant des « processus éprouvés » pour sécuriser l’écosystème numérique. L’objectif affiché est d’accélérer coordination, remédiation et attribution.

Le registre CVE n’est pas un décor. Il est un outil de renseignement technique. En proposant une référence unique et mondiale, il permet aux équipes de sécurité d’aligner priorisation et communication. Pour les RSSI, un numéro CVE fait gagner du temps : il canalise la recherche d’indicateurs, déclenche les scénarios de patch management et encadre l’information à destination des métiers.

Une gouvernance au service de la remédiation

Le rôle de CNA n’est pas une simple délégation. C’est un cadre. Être autorité de numérotation suppose la capacité à vérifier la matérialité d’une vulnérabilité, à éviter les chevauchements, à produire un enregistrement clair et exploitable. Dans la pratique, cela signifie des processus rigoureux, une relation suivie avec les chercheurs, et une articulation fluide avec les éditeurs concernés. YesWeHack met en avant sa légitimité sur ce terrain : l’entreprise opère des programmes publics et privés qui exposent la plateforme à une diversité de cibles, de contextes et de modèles de divulgation.

La proximité avec les chercheurs éthiques constitue un avantage opérationnel. Sur un programme de Bug Bounty, la chaîne de valeur est courte : découverte, reproduction, qualification et correction se succèdent rapidement. L’attribution d’un CVE dans cette continuité augmente la clarté du signal. Elle évite des retards qui, ailleurs, peuvent transformer une découverte en incident mal géré. L’accès direct à la numérotation soutient aussi la transparence : il devient plus simple de publier un enregistrement utile, avec un niveau de détail proportionné et des informations synchronisées avec les échéances de correction.

La France consolidée dans la cartographie CVE est une donnée de souveraineté appliquée. Huit organisations y détiennent désormais une autorité de numérotation.

Le registre CVE, conçu pour être public et exploitable, se trouve au carrefour de la technique et du renseignement. Chaque enregistrement associe une description normalisée, des références, et nourrit des outils d’analyse. Dans les équipes de réponse à incident, il sert de pivot entre intelligence technique, détection et remédiation. Inscrire le geste de découverte dans ce cadre, au plus près du terrain, est stratégique : l’information circule vite, mieux, et avec moins d’ambiguïtés.

Le renseignement technique comme fil conducteur

Le CVE est une pièce de renseignement. Il ne suffit pas à lui seul, mais il organise la lecture des autres. Un numéro CVE permet d’agréger des indicateurs, de retrouver des signatures, de corréler des observations, puis de trier l’urgent du secondaire. Les SOC s’en servent pour structurer des alertes, les équipes de patch management pour planifier des déploiements, les auditeurs pour vérifier la complétude d’un cycle de correction.

La plateforme positionne le Bug Bounty comme un capteur de réalités. Les programmes publics, comme ceux conduits pour sa propre plateforme, tracent une ligne de conduite : exposer, tester, corriger. L’intégration CNA ajoute un point d’impact supplémentaire. Le chercheur soumis à un programme peut voir sa découverte entrer rapidement dans le référentiel mondial, sans détour inutile. Les organisations concernées disposent d’un identifiant commun pour orchestrer les étapes suivantes. Dans les cas sensibles, la disponibilité d’un enregistrement clair canalise la communication et réduit le risque de malentendus.

YesWeHack insiste sur la collaboration avec les institutions. Le rôle d’une CNA suppose des échanges réguliers avec le programme CVE et les autres parties prenantes. La standardisation ne vaut que si elle est partagée. La plateforme se présente comme un relais prudent et efficace, apte à traiter des signalements variés, à en vérifier la substance, et à publier des enregistrements exploitables, ni lacunaires ni bavards.

L’enjeu dépasse la seule technique. La capacité d’un écosystème à produire, à jour, des références publiques de vulnérabilités, exprime un niveau de maturité. La cohérence entre hébergement européen, conformité RGPD et certifications renforce cette lecture. La chaîne, de la découverte à la publication, se construit sur des garanties vérifiables.

Cybersécurité, Espionnage Spy, loi, Securite informatique

Sénateurs réclament un briefing sur la sécurité électorale avant les scrutins majeurs

Deux sénateurs redoutent que Tulsi Gabbard ait ralenti la transmission d’alertes sur les opérations d’influence étrangères visant le scrutin américain.

Les démocrates Mark Warner et Alex Padilla pressent la directrice du renseignement national d’expliquer ses choix. Ils craignent que le renseignement électoral soit restreint au moment où des acteurs étrangers affinent leurs campagnes de manipulation grâce à l’intelligence artificielle.

Un courrier d’alerte au renseignement

Les deux élus ont écrit à Gabbard pour obtenir, avant le 10 octobre, une réunion avec les sénateurs. Ils exigent une évaluation des mesures prévues pour protéger les élections locales de novembre et les législatives de l’an prochain. Leur lettre critique également les propos de la responsable sur la sécurité des machines à voter, jugés « infondés et nuisibles ». Des audits indépendants ont montré que les accusations de vulnérabilités sont surtout alimentées par des narratifs forgés par des puissances adverses.

L’administration actuelle cherche à relativiser les conclusions sur l’ingérence russe en 2016. Pourtant, un rapport bipartisan du Sénat avait confirmé que Vladimir Poutine voulait favoriser Donald Trump. Parallèlement, plusieurs structures fédérales de suivi des opérations d’influence ont été démantelées, au motif qu’elles censuraient des contenus en coopération avec les plateformes. La CISA, qui avait certifié la sécurité du scrutin de 2020, a vu ses responsables limogés. Selon Warner et Padilla, ces décisions créent un climat de peur au sein des agents.

Une menace technologique en constante évolution

Les services de renseignement disposent d’outils secrets pour suivre les campagnes de manipulation en ligne. Sous Joe Biden, ils ont régulièrement diffusé des analyses sur les opérations russes, chinoises et autres. Ces campagnes sont désormais dopées par l’IA. Des chercheurs américains ont documenté l’usage, par Pékin, d’entreprises spécialisées comme GoLaxy. Cette société a constitué des dossiers sur 117 parlementaires américains et plus de 2 000 personnalités politiques et intellectuelles.

L’IA renforce l’opacité et la crédibilité des campagnes d’influence étrangères. La question reste entière : les agences américaines ont-elles encore la liberté d’alerter le Congrès sans frein politique ? (NextGov)

Adobe, Cybersécurité, Mise à jour, Patch, Securite informatique

Faille critique SessionReaper : Adobe Commerce sous haute menace

Adobe alerte sur la faille SessionReaper (CVE-2025-54236) qui menace Adobe Commerce et Magento. Exploitable via l’API REST, elle expose directement les comptes clients à une prise de contrôle.

Aprés Apple et Microsoft, Adobe a publié un avis de sécurité concernant CVE-2025-54236, surnommée SessionReaper. La vulnérabilité, notée 9,1/10 au CVSS, touche Adobe Commerce, Magento Open Source et Adobe Commerce B2B. Exploitable via l’API REST, elle permet à un attaquant de s’emparer de comptes clients. Aucun cas d’exploitation n’a été détecté pour l’instant, mais l’éditeur insiste sur l’urgence d’appliquer le correctif VULN-32437-2-4-X. Les environnements cloud bénéficient de règles WAF temporaires, mais seul le patch garantit une protection durable. Découverte par le chercheur blaklis, la faille illustre la fragilité des plateformes e-commerce face aux attaques ciblant directement les données utilisateurs et leurs parcours transactionnels.

SessionReaper, une faille critique révélée

SessionReaper, identifiée sous CVE-2025-54236, résulte d’une validation insuffisante des entrées dans l’API REST d’Adobe Commerce. Selon Adobe, un acteur malveillant pourrait détourner cette faiblesse pour prendre la main sur des comptes clients. L’éditeur a publié son avertissement sous la référence APSB25-88 et attribue à la faille une sévérité de 9,1 sur 10 dans l’échelle CVSS.

Le risque principal réside dans la compromission directe des données clients, un scénario particulièrement dangereux pour des plateformes marchandes. La faille affecte les versions 2.4.9-alpha2 et antérieures d’Adobe Commerce et de Magento Open Source, ainsi que la branche 1.5.3-alpha2 et antérieures d’Adobe Commerce B2B. Le module Custom Attributes Serializable, utilisé entre les versions 0.1.0 et 0.4.0, est également concerné.

Pour Adobe, il s’agit d’une vulnérabilité critique, non exploitée pour l’heure, mais dont le potentiel destructeur impose une réaction rapide des administrateurs. L’entreprise prévient que son assistance sera limitée en cas de retard dans l’application des correctifs.

Le correctif et ses conditions de déploiement

Le correctif officiel est publié sous l’identifiant VULN-32437-2-4-X. Il doit être appliqué sans délai sur toutes les instances vulnérables. Les utilisateurs du module Custom Attributes Serializable doivent quant à eux migrer vers la version 0.4.0 ou supérieure, via la commande Composer appropriée.

Adobe propose un outil de vérification, le Quality Patches Tool, qui permet de confirmer l’application effective du patch. La commande de contrôle fournit un statut « Applied » une fois le correctif installé, apportant aux administrateurs la certitude de disposer d’une protection active.

Pour les clients hébergés dans l’environnement Commerce Cloud, Adobe a mis en place des règles de Web Application Firewall destinées à bloquer les tentatives d’exploitation connues. Ces mesures sont toutefois qualifiées de temporaires et ne dispensent pas du déploiement du correctif officiel. Les clients de services managés sont invités à contacter leur Customer Success Engineer afin d’obtenir un accompagnement spécifique.

Un signal fort pour l’écosystème e-commerce

La faille a été signalée par le chercheur indépendant blaklis, qui a révélé à Adobe le fonctionnement de SessionReaper. L’éditeur souligne qu’aucun cas d’exploitation active n’est documenté. Cependant, le scénario théorique reste préoccupant : un assaillant qui obtiendrait le contrôle de comptes clients pourrait accéder à des informations sensibles, détourner des transactions ou lancer des fraudes massives.

Ce type de vulnérabilité démontre la valeur stratégique des données clients pour les cyberattaquants. Les plateformes de commerce électronique constituent des cibles privilégiées en raison des volumes financiers et des informations personnelles qu’elles centralisent.

L’urgence de la mise à jour découle autant du niveau de criticité technique que de l’attrait économique de telles données sur le marché noir. La diffusion rapide du correctif vise à réduire la fenêtre de tir potentielle avant que des groupes malveillants ne développent un code d’exploitation opérationnel.

Cybersécurité, Entreprise, loi, Securite informatique

Chine : signalement en urgence des cyberattaque

La Chine impose dès novembre 2025 un délai d’une heure pour déclarer les incidents de cybersécurité graves, renforçant ainsi son contrôle sur les réseaux et infrastructures critiques.

Pékin introduit une réglementation stricte obligeant les opérateurs à signaler sous une heure tout incident « particulièrement grave » de cybersécurité. L’Administration chinoise du cyberespace (CAC) supervise cette mesure, qui reflète une intensification de la surveillance étatique après plusieurs affaires sensibles, dont une sanction contre Dior à Shanghai pour transfert illégal de données. Le dispositif, applicable dès le 1er novembre 2025, définit des seuils précis pour classer la gravité des attaques ou pannes et prévoit des sanctions financières lourdes en cas de manquement.

Signalement accéléré des cyberincidents

Les nouvelles règles imposent un signalement d’urgence en cas d’attaque majeure. Les opérateurs de réseau doivent informer les autorités en une heure. Celles-ci transmettent ensuite l’alerte à l’Administration nationale du cyberespace et au Conseil d’État dans un délai de trente minutes. Les incidents sont classés en quatre niveaux, « particulièrement grave » étant le plus critique. Cette catégorie inclut des cyberattaques ou pannes affectant les portails gouvernementaux, les infrastructures vitales ou les sites d’information nationaux pendant plus de 24 heures, ou encore une panne de six heures touchant l’ensemble d’une infrastructure.

La réglementation couvre aussi les atteintes à grande échelle aux services publics, de transport ou de santé. Sont concernés les cas où plus de 50 % d’une province ou plus de 10 millions de citoyens voient leur quotidien perturbé. Les violations massives de données entrent également dans ce champ, dès lors qu’elles affectent plus de 100 millions de personnes ou causent un préjudice financier supérieur à 100 millions de yuans (13 millions d’euros).

Critères renforcés pour les attaques

Les cyberattaques massives affichant du contenu interdit sur un site gouvernemental ou un portail d’information majeur constituent une menace prioritaire si elles persistent plus de six heures ou atteignent une audience d’un million de vues. Elles sont aussi considérées critiques si le contenu est partagé plus de 100 000 fois sur les réseaux sociaux.

Le niveau « grave » concerne les attaques perturbant les sites d’administrations locales ou provinciales plus de six heures, ou les infrastructures essentielles pendant plus de trois heures. Des fuites de données touchant plus de 10 millions de personnes, ou un million dans une grande ville, relèvent aussi de cette catégorie.

Chaque opérateur doit remettre sous 30 jours un rapport détaillé décrivant causes, réponses et enseignements après un incident. Cette exigence prolonge la loi chinoise sur la cybersécurité de 2017 et les textes complémentaires de 2016 et 2021 sur la protection des infrastructures critiques.

Vers des sanctions plus lourdes

En parallèle, le Comité permanent de l’Assemblée populaire nationale étudie un durcissement des sanctions. Les opérateurs d’infrastructures critiques négligents pourraient être sanctionnés de 500 000 à 10 millions de yuans (66 000 à 1,32 millions €). Les responsables directs encourraient jusqu’à 1 million de yuans (132 000 €).

Les opérateurs de réseau qui omettent d’empêcher la diffusion de contenus interdits s’exposeraient à des amendes de 50 000 à 500 000 yuans (≈ 6 600 à 66 000 €). Ce projet de loi traduit une volonté de responsabiliser les acteurs du numérique tout en consolidant le contrôle centralisé de la cybersécurité.

La Chine fait de la rapidité de réaction un enjeu national de cybersécurité. Reste à savoir si cette obligation de signalement instantané renforce réellement la résilience technique, ou surtout le contrôle étatique sur les flux numériques.