Archives de catégorie : Securite informatique

Apple, Cybersécurité, Logiciels, Mise à jour, OS X, Patch, Securite informatique

Apple colmate 77 failles dans macOS et 27 dans iOS

Apple publie ses nouveaux systèmes iOS, iPadOS et macOS, corrigeant plus de cent vulnérabilités. Mais l’entreprise reste discrète sur leur gravité et sur tout signe d’exploitation active.

Apple vient de déployer iOS 26, iPadOS 26 et macOS 26, corrigeant 27 failles sur mobiles et 77 sur ordinateurs. Les correctifs couvrent aussi Safari, watchOS, visionOS et Xcode. Contrairement à son intervention d’août face à une attaque sophistiquée, Apple n’évoque cette fois aucun cas d’exploitation en cours. Des failles critiques, notamment dans PackageKit et StorageKit, pourraient pourtant permettre l’obtention de privilèges root sur macOS. L’entreprise reste fidèle à sa ligne de communication minimaliste, sans détail de sévérité. En parallèle, les appareils plus anciens restent bloqués sur iOS 18.7 ou macOS 15.7, recevant uniquement des correctifs de sécurité majeurs.

Nouveaux correctifs, anciennes inquiétudes

Apple a diffusé lundi ses nouveaux systèmes d’exploitation numérotés selon l’année de sortie, une nouveauté présentée comme une simplification. iOS 26 et iPadOS 26 corrigent 27 vulnérabilités, tandis que macOS 26 en traite 77. Certaines failles touchaient l’ensemble des plateformes, confirmant la proximité croissante entre les architectures mobiles et ordinateurs.

La nouvelle interface dite « liquid glass » attire l’attention côté design, mais l’enjeu principal demeure la cybersécurité. Les utilisateurs d’appareils lancés avant 2019, non compatibles avec ces versions, doivent se tourner vers iOS 18.7, iPadOS 18.7 ou macOS 15.7, mises à jour de maintenance centrées sur les vulnérabilités critiques.

Un contraste avec les correctifs d’urgence

Le mois dernier, Apple avait dû réagir en urgence face à une attaque qualifiée d’« extrêmement sophistiquée », exploitant la faille CVE-2025-43300 contre des cibles précises. Depuis janvier, cinq vulnérabilités zero-day activement exploitées ont été corrigées, preuve de l’intérêt constant des attaquants pour l’écosystème Apple. Sept de ces failles ont même été intégrées au catalogue des vulnérabilités exploitées tenu par la CISA, soulignant leur criticité pour les infrastructures sensibles.
Cette fois, aucun signe d’attaque en cours n’a été rapporté.

L’absence d’indicateur de sévérité dans les bulletins Apple est classique pour la Grosse Pomme. Contrairement à d’autres éditeurs, la firme se contente d’énumérer les failles, sans notation selon le CVSS, limitant la visibilité des responsables sécurité.

Failles critiques sur macOS

Deux vulnérabilités corrigées dans macOS attirent particulièrement l’attention des chercheurs : CVE-2025-43298 (PackageKit) et CVE-2025-43304 (StorageKit). Leur exploitation pourrait offrir à un attaquant un accès root, ouvrant la voie à une compromission totale du système.

Côté iOS, le volume de corrections reste notable, mais aucune faille n’inspire de crainte immédiate, selon Childs. Le contraste est frappant : si le risque d’exploitation n’est pas confirmé, la surface d’attaque reste considérable. En complément, Apple a publié sept correctifs pour Safari 26, 19 pour watchOS 26, 18 pour visionOS 26 et cinq pour Xcode 26, preuve de l’ampleur des vulnérabilités touchant tout l’écosystème.

Avec plus de cent vulnérabilités corrigées mais sans alerte d’exploitation active, Apple continue de pratiquer une communication minimaliste. La question reste entière : comment évaluer la criticité des failles Apple en l’absence de notation officielle ?

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.

Base de données, Cybersécurité, Entreprise, Securite informatique

Data Act : nouvelles règles européennes dès le 12 septembre 2025

À partir du 12 septembre 2025, le Data Act entre en application. Ce règlement européen bouleverse l’accès, le partage et la portabilité des données, avec des enjeux clés en cybersécurité.

Le Data Act, règlement européen adopté en 2023, deviendra pleinement applicable le 12 septembre 2025. Son objectif : redonner aux utilisateurs, particuliers comme professionnels, le contrôle des données générées par les objets connectés et services numériques. Le texte impose aux entreprises de garantir un accès simple, gratuit et lisible aux données, d’assurer la portabilité entre prestataires de cloud et de revoir leurs contrats selon des clauses équitables (FRAND). En cas d’urgence publique, les autorités pourront exiger certains accès, tandis que les demandes étrangères seront strictement encadrées. Les sanctions atteignent 20 M€ ou 4 % du chiffre d’affaires mondial. Les acteurs du numérique doivent adapter leurs systèmes, contrats et produits sans délai.

Accès et partage des données

Le principe fondateur du Data Act repose sur l’accès généralisé aux données issues des objets connectés. Les utilisateurs, qu’ils soient particuliers ou entreprises, pourront consulter et réutiliser les données qu’ils produisent. Les fabricants et fournisseurs de services associés auront l’obligation de les mettre à disposition gratuitement, dans des formats structurés et interopérables. L’utilisateur pourra également décider de partager ces informations avec un tiers de son choix, sans restriction contractuelle. Cette évolution vise à rééquilibrer les rapports de force dans l’économie des données, où les détenteurs d’infrastructures ont jusqu’ici concentré l’essentiel de la valeur et du contrôle. Pour la cybersécurité, la multiplication des flux de données soulève toutefois des défis : garantir un accès sécurisé, tracer les transmissions et prévenir les usages abusifs.

Les relations contractuelles entre entreprises devront s’aligner sur une grille équitable. Le règlement impose des conditions dites FRAND (Fair, Reasonable and Non-Discriminatory). Les clauses jugées abusives sont interdites, et une présomption de non-discrimination s’applique désormais. L’objectif est d’empêcher qu’un acteur dominant n’impose unilatéralement des conditions défavorables à ses partenaires. Cela concerne directement les licences de données, les CGV et les accords de prestation liés au cloud. La Commission prévoit de publier des modèles contractuels types pour guider les entreprises. Pour les directions juridiques, c’est un chantier majeur : sécuriser les engagements, anticiper les litiges, et intégrer dès aujourd’hui une logique de partage contrôlé. En arrière-plan, cette normalisation contractuelle vise aussi à limiter les risques d’exploitation économique des données sensibles.

Portabilité et changement de prestataire

Le Data Act introduit un droit effectif à la portabilité des données. Les utilisateurs pourront changer de fournisseur de cloud, SaaS ou IaaS sans supporter de coûts supplémentaires. La migration devra être techniquement possible en 30 jours maximum. À partir de janvier 2027, les frais liés à cette opération seront totalement interdits. Cette mesure ouvre le marché et renforce la concurrence entre prestataires, souvent critiqués pour leurs pratiques de verrouillage. Elle oblige les acteurs à développer des interfaces standardisées et documentées pour faciliter le transfert. Sur le plan cyber, la portabilité massive accroît l’exposition : plus de mouvements de données signifient plus de vecteurs potentiels pour les attaques. Les équipes techniques devront intégrer chiffrement, journalisation et protocoles robustes pour limiter les risques.

Le Data Act impose aux entreprises une refonte de leurs systèmes et contrats. Les obligations techniques, juridiques et organisationnelles exigent une adaptation rapide. La question centrale reste : les mécanismes de portabilité et de partage seront-ils compatibles avec un niveau élevé de cybersécurité ?

Le Data Act s’applique dès septembre 2025. Accès, portabilité et contrats : un tournant européen majeur aux forts enjeux cyber et économiques.

backdoor, Cyber-attaque, Cybersécurité, Securite informatique

Google sous pression après une menace du collectif Scattered LapSus Hunters

Un collectif cybercriminel exige le licenciement de deux experts sécurité de Google. Sans preuve d’intrusion, la menace illustre une nouvelle tactique d’intimidation contre les équipes de renseignement.

Le collectif Scattered LapSus Hunters, réunissant trois groupes de pirates connus, menace Google de divulguer des données internes si deux de ses experts en cybersécurité ne sont pas renvoyés. Cette demande inédite, relayée sur Telegram, cible directement les équipes de Threat Intelligence de l’entreprise. Aucune preuve d’intrusion n’a été présentée à ce jour, mais la menace intervient après une fuite récente liée à un prestataire Salesforce ayant touché des données de contacts professionnels. Google n’a pas confirmé de compromission ni réagi publiquement à cet ultimatum. L’affaire met en lumière les pressions croissantes exercées sur les géants technologiques et le rôle clé de leurs cellules de renseignement cyber.

Origines et méthodes du collectif

Les Scattered LapSus Hunters se présentent comme une alliance de trois acteurs notoires de la cybercriminalité : Scattered Spider, LapSus$ et ShinyHunters. Chacun s’est déjà illustré par des attaques marquantes contre de grandes entreprises technologiques. Scattered Spider est réputé pour ses campagnes de social engineering et ses opérations de rançongiciels. LapSus$ s’est fait connaître en piratant Microsoft, NVIDIA et d’autres géants du secteur. ShinyHunters, pour sa part, a bâti sa réputation en volant et en revendant des bases de données issues de plateformes comme Wattpad ou Tokopedia. Personne ne s’est encore imaginé « publiquement » qu’ilm s’agirait peut-être de la même personne, cachait depuis peu sous ces trois signatures.

Cette coalition revendique aujourd’hui une stratégie atypique : exiger non pas une rançon financière, mais le renvoi de deux employés de l’équipe de Threat Intelligence de Google. Une telle démarche suggère que ces analystes mènent activement des enquêtes susceptibles de nuire aux opérations des cybercriminels. Les noms n’ont pas été divulgués, mais le ciblage personnel constitue une escalade significative dans la confrontation entre acteurs malveillants et équipes de défense.

Alerte après une fuite via Salesforce

La menace survient quelques semaines après un incident impliquant l’écosystème de Google. En août, l’un des groupes liés au collectif a exploité une faille chez Salesforce, prestataire externe de Google, pour accéder à des données de contacts professionnels. Les systèmes centraux de l’entreprise n’ont pas été compromis, mais l’événement a permis aux attaquants de récupérer des informations exploitables pour des campagnes de phishing et de vishing à grande échelle.

Face à ce risque accru, Google a diffusé une recommandation mondiale de réinitialisation de mots de passe, visant ses 2,5 milliards d’utilisateurs Gmail. Ce geste illustre la sensibilité de la menace, même lorsque la compromission ne touche pas directement les infrastructures internes. Les cybercriminels misent sur ces brèches périphériques pour multiplier les angles d’attaque.

À ce stade, Google n’a publié aucun communiqué officiel en réponse à l’ultimatum des Scattered LapSus Hunters. L’entreprise semble attendre d’éventuelles preuves tangibles avant d’ajuster sa posture publique. Complyer à une exigence visant des employés serait inédit et risquerait de créer un précédent dangereux, incitant d’autres groupes à recourir à l’extorsion ciblée.

Cette situation constitue un test pour les grandes entreprises technologiques. Elles doivent arbitrer entre discrétion stratégique, communication transparente envers leurs utilisateurs et protection de leurs équipes de renseignement. Si les pirates publient un jour des preuves crédibles d’intrusion, Google sera contraint d’activer ses protocoles de divulgation et de confinement. En attendant, l’épisode illustre la montée en puissance des tactiques de pression psychologique sur les défenseurs, autant que sur les infrastructures techniques.

backdoor, Cybersécurité, Entreprise, Securite informatique

APT29 : la Russie piège le web avec des attaques « watering hole »

Une fausse page Cloudflare, un clic de routine, et l’espionnage commence. Les attaques de l’APT29 révèlent comment Moscou transforme les sites légitimes en armes numériques.

Le groupe APT29, lié au renseignement extérieur russe (SVR), a mis en place une nouvelle campagne d’attaques « watering hole » dévoilée par Amazon. En compromettant des sites populaires, ils ont piégé aléatoirement une partie des visiteurs avec de fausses pages de sécurité imitant Cloudflare. Derrière cette ruse, l’objectif n’était pas de voler des mots de passe mais d’exploiter l’authentification Microsoft pour obtenir un accès persistant aux comptes. L’opération illustre l’évolution constante des méthodes de l’APT29, déjà impliqué dans des campagnes contre universitaires, ONG et opposants russes. Elle met en évidence une stratégie de collecte de renseignement à grande échelle, jouant sur la confiance des internautes.

La patience des prédateurs

Le groupe APT29, aussi appelé Midnight Blizzard, n’agit pas comme un simple collectif cybercriminel. Ses opérations sont attribuées au Service de renseignement extérieur russe (SVR), héritier des réseaux d’espionnage de la guerre froide. Désormais, les agents ne déposent plus de messages secrets sous un banc public. Ils infiltrent des sites fréquentés chaque jour par des internautes ordinaires et attendent patiemment que leurs cibles idéales se présentent.

Amazon a révélé que cette opération récente reposait sur une stratégie de long terme. Plutôt que d’attaquer un seul organisme, les pirates ont compromis plusieurs sites de confiance, laissés en apparence intacts. Puis, ils ont installé un mécanisme sélectif : seuls 10 % des visiteurs étaient redirigés vers une fausse page Cloudflare, ce qui rendait la manœuvre difficile à détecter. Le reste du trafic continuait normalement, réduisant fortement les soupçons.

Ce choix tactique traduit la sophistication de l’APT29 : ils ne cherchent pas la masse mais la précision. L’approche aléatoire permet de collecter des profils variés, parmi lesquels certains deviennent de véritables cibles stratégiques.

L’art technique et psychologique

Le danger de l’APT29 ne réside pas uniquement dans ses liens présumés avec le SVR, mais dans sa maîtrise conjointe de la technique et de la psychologie des victimes. Le code malveillant, soigneusement analysé par Amazon, utilisait un encodage base64 pour échapper aux détections automatiques. Des cookies étaient placés pour éviter qu’un utilisateur redirigé une première fois le soit de nouveau, ce qui aurait éveillé les soupçons.

La copie des pages de vérification Cloudflare était parfaite : couleurs, logos, interface. Aux yeux d’un internaute pressé, tout semblait légitime. Mais le but n’était pas de capturer des identifiants saisis dans un formulaire. L’APT29 exploitait un mécanisme légal de Microsoft : le « device code authentication ». En incitant les victimes à autoriser un nouvel appareil, ils obtenaient un accès direct et durable aux comptes Microsoft des cibles, avec courriels, documents et données sensibles incluses.

Cette approche illustre une tendance croissante : détourner les fonctionnalités existantes plutôt que créer des malwares visibles. Le faux se mêle au vrai, et c’est l’utilisateur, confiant, qui ouvre lui-même la porte.

Un jeu du chat et de la souris permanent

Amazon a tenté de neutraliser l’opération en supprimant les domaines piégés. Mais l’APT29 a immédiatement rebondi, transférant ses infrastructures vers un autre fournisseur cloud et enregistrant de nouveaux noms de domaine, dont « cloudflare.redirectpartners.com ». Cette réactivité explique pourquoi ils figurent parmi les acteurs les plus persistants du cyberespionnage mondial.

Ce n’est pas une première. En octobre 2024, Amazon avait déjà interrompu une tentative d’usurpation de ses propres services par le groupe russe. En juin 2025, Google avait signalé des campagnes de phishing contre chercheurs et critiques du Kremlin. Chaque épisode montre une adaptation rapide, une volonté d’apprendre de ses échecs et une extension progressive du champ d’action.

L’APT29 ne vise pas une opération unique. Il perfectionne un modèle, teste ses armes numériques, observe les réactions adverses et prépare déjà la prochaine vague.

Le facteur humain au cœur de la manœuvre

Cette campagne ne se distingue pas par une complexité technique extrême. Elle se distingue par sa capacité à exploiter la confiance. Les sites étaient authentiques. Les pages de sécurité paraissaient ordinaires. Les demandes d’autorisation venaient de Microsoft.

Tout reposait sur un principe simple : inciter les gens à suivre ce qui semblait être la procédure normale. C’est pourquoi la formation en cybersécurité atteint vite ses limites. Expliquer qu’il faut « se méfier de tout » reste théorique. En pratique, un employé cherchant un document ou un particulier voulant lire ses courriels cliquera souvent sans réfléchir. C’est cette normalité apparente qui rend l’attaque redoutable.

Derrière, les conséquences dépassent la simple compromission d’un compte personnel. L’échantillon aléatoire de victimes peut contenir des fonctionnaires, des contractants de la défense, des journalistes ou des militants. Autant de profils qui intéressent directement Moscou dans une logique de renseignement.

Cette campagne montre que la guerre de l’information ne passe plus uniquement par les réseaux diplomatiques ou militaires. Elle s’insinue dans les gestes banals du numérique quotidien. La vraie question est donc la suivante : jusqu’où les acteurs étatiques comme l’APT29 peuvent-ils exploiter la routine des internautes avant que les systèmes de défense collectifs ne s’adaptent ?

Cybersécurité, Securite informatique

Un script d’email jetable détourne la validation en ligne

Un script Python circulant sur le web automatise la création d’adresses temporaires et la récupération de codes de validation. Un outil modifié pour fraude et usurpation d’identité numérique.

Un script Python accessible en ligne permet de générer automatiquement des adresses email jetables et d’intercepter les messages de confirmation envoyés par divers services. L’outil s’appuie sur une API distante pour fournir des domaines valides et surveille les boîtes créées jusqu’à l’arrivée d’un code de validation numérique. Si ce code est détecté, il est extrait et affiché. Un tel mécanisme, à première vue utile pour des tests techniques, ouvre en réalité la voie à des abus massifs : contournement de vérifications par mail, création automatisée de comptes frauduleux, propagation de spam et usurpation d’identité numérique. Une illustration concrète de la façon dont un simple script peut devenir une arme cybercriminelle.

Comment fonctionne le script

Le code en question interroge une API située sur un domaine que DataSecurityBreach.fr ne citera pas. Le site est basé au Vietnam. La première étape consiste à récupérer une liste de domaines encore valides et exploitables. L’outil sélectionne ensuite celui dont l’expiration est la plus éloignée, afin de garantir une adresse fonctionnelle. Une chaîne aléatoire de lettres et chiffres est générée pour constituer la partie locale de l’adresse. Résultat : une adresse jetable de type uXXXX@domaine.com, prête à être utilisée pour un enregistrement sur n’importe quel site.

La seconde phase est celle de la surveillance. Le script interroge périodiquement l’API afin de détecter l’arrivée d’un email adressé à cette boîte. Il analyse alors l’objet et le contenu du message, cherchant une suite de chiffres comprise entre 5 et 8 caractères. Dès que ce code apparaît, il est extrait et affiché. L’utilisateur dispose ainsi du code de validation envoyé par le service ciblé, sans jamais avoir eu besoin d’une adresse personnelle.

Les dérives possibles

Sur le plan technique, l’outil n’est qu’une automatisation d’adresses temporaires déjà présentes sur le marché des « temp-mails ». Mais sa capacité à générer, intercepter et extraire directement les codes de validation le rend particulièrement dangereux. Des acteurs malveillants peuvent l’exploiter pour ouvrir des comptes en masse sur des plateformes de streaming, de réseaux sociaux ou de messageries, contournant ainsi les mécanismes de contrôle.

Une telle automatisation favorise aussi les campagnes de spam. En multipliant les adresses éphémères, les cybercriminels peuvent envoyer des messages indésirables sans crainte de blocage. Enfin, l’usurpation d’identité numérique devient envisageable : si une plateforme se contente d’une validation par email temporaire, l’attaquant peut s’y inscrire en se faisant passer pour un utilisateur légitime. Le risque touche directement les services en ligne qui ne couplent pas leur authentification à des contrôles plus robustes.

Un problème récurrent de cybersécurité

L’usage massif d’emails temporaires ne date pas d’hier. Ils sont populaires pour éviter la publicité ou protéger la vie privée. Mais l’industrialisation par script change la donne. Là où un internaute lambda devait générer manuellement son adresse et surveiller la boîte, le script fait tout automatiquement : de la création à la récupération du code. Cette automatisation réduit les coûts, augmente la vitesse et accroît la capacité de nuisance.

Pour les services en ligne, la menace est double. D’un côté, ils voient leurs systèmes d’inscription saturés par des comptes fantômes. De l’autre, ils risquent de valider des transactions ou inscriptions frauduleuses en se basant sur un contrôle d’email insuffisant. Les conséquences vont de la fraude publicitaire à la compromission de programmes de fidélité, en passant par l’ouverture de portes aux campagnes de désinformation.

Ce script illustre la facilité avec laquelle une fonction banale, l’email jetable, peut se transformer en outil de fraude à grande échelle. La vigilance s’impose autant du côté des utilisateurs, qui doivent comprendre les dérives de tels services, que des plateformes, qui ne peuvent plus se contenter d’une simple vérification par email. La vraie question est claire : combien de temps les systèmes d’inscription basés uniquement sur une adresse électronique tiendront-ils face à l’automatisation des faux comptes ?

backdoor, Base de données, Cybersécurité, Entreprise, RGPD, Securite informatique

Breach Salesloft Drift : Cloudflare, Zscaler et Palo Alto touchés

Un piratage via l’intégration Salesloft Drift-Salesforce a compromis plusieurs géants de la cybersécurité. Des tokens OAuth volés ont ouvert l’accès à des données sensibles.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Un acteur malveillant a exploité une faille dans l’intégration Salesloft Drift-Salesforce pour siphonner des tokens OAuth et refresh. L’attaque, détectée en août 2025, a touché des entreprises majeures, dont Cloudflare, Zscaler et Palo Alto Networks. Les données volées incluent identités, contacts, contenus de support et même des identifiants de services critiques. L’incident interroge sur la sécurité des intégrations SaaS et l’exposition croissante des chaînes logicielles.

Un piratage sophistiqué ciblant les intégrations Salesforce

Entre le 8 et le 18 août 2025, un groupe baptisé UNC6395 a exploité l’intégration entre Salesloft Drift et Salesforce pour dérober massivement des tokens OAuth. Ces jetons permettaient d’accéder directement à des environnements Salesforce, ouvrant un accès sans authentification supplémentaire à de multiples données.

Les tokens, une fois volés, ont servi à exfiltrer des informations sensibles de plusieurs clients Salesforce. Parmi les organisations ciblées figurent des acteurs critiques du secteur cyber, dont Zscaler, Cloudflare et Palo Alto Networks. D’autres éditeurs comme Tanium et SpyCloud figurent aussi sur la liste des victimes confirmées.

Les attaquants ont ciblé les champs de support et les données clients stockées dans Salesforce. Selon les premières analyses, l’accès concernait à la fois des informations personnelles (noms, emails, numéros de téléphone) et des données techniques ou organisationnelles (clés AWS, tokens Snowflake, identifiants internes). Google Threat Intelligence Group (GTIG) attribue cette campagne à UNC6395, tout en soulignant l’absence de preuves solides reliant l’opération au collectif ShinyHunters, pourtant prompt à revendiquer la responsabilité.

 

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Des données sensibles exposées chez les leaders de la cybersécurité

Chez Cloudflare, les assaillants ont pu consulter des tickets de support, comprenant noms, coordonnées de clients et contenus des échanges. Certaines informations techniques soumises par des utilisateurs, comme des logins, ont également été exposées.

Zscaler a confirmé le vol de données relatives aux licences produits, aux postes occupés par ses clients et aux numéros de téléphone professionnels. Les échanges de support, parfois détaillés, faisaient partie du lot.

Chez Palo Alto Networks, les intrusions ont permis d’accéder aux données de comptes de vente internes, ainsi qu’à certains cas de support contenant des informations sensibles.

L’ampleur exacte du volume exfiltré n’a pas été chiffrée publiquement, mais plusieurs entreprises reconnaissent la possibilité que des credentials techniques aient été compromis. Salesforce a de son côté averti que les attaquants pouvaient avoir récupéré des clés AWS et des identifiants de services cloud critiques.

Si ces informations étaient exploitées pour une intrusion secondaire, les conséquences pourraient être majeures. La compromission d’intégrations SaaS utilisées par des milliers d’entreprises illustre la difficulté croissante à protéger les chaînes de confiance logicielles.

Réponses d’urgence et interrogations persistantes

Face à l’attaque, Salesforce et Salesloft ont immédiatement désactivé l’application Drift, révoqué les tokens associés et retiré Drift de l’AppExchange. Les entreprises touchées ont lancé des investigations internes, notifié leurs clients et enclenché des rotations massives de clés et tokens.

Cloudflare, Zscaler et Palo Alto Networks affirment que les systèmes centraux de leurs infrastructures n’ont pas été atteints. Les exfiltrations se limiteraient aux données Salesforce accessibles via Drift. Cependant, la confiance des clients reste mise à l’épreuve, d’autant que l’exploitation de tokens OAuth confère aux assaillants une persistance difficile à détecter.

Google GTIG rappelle que les campagnes d’UNC6395 se caractérisent par une exploitation rapide des intégrations SaaS et par un usage intensif de tokens volés. Leur mode opératoire témoigne d’une compréhension fine des environnements cloud modernes.

L’affaire soulève une question centrale : comment contrôler la prolifération d’applications tierces connectées aux environnements critiques, quand chacune d’elles peut devenir une porte d’entrée invisible ? Le piratage Salesloft Drift rappelle la fragilité des chaînes SaaS : une seule application compromise peut entraîner la fuite de données sensibles chez des acteurs mondiaux de la cybersécurité. L’enjeu stratégique devient clair : comment redéfinir la gestion des intégrations cloud pour éviter que le maillon faible ne compromette tout un écosystème ?

Selon 6Sens, environ 110 entreprises en France utilisent Salesloft (contre 390 au Royaume-Uni, 286 au Canada) .

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Mise à jour, Patch, Securite informatique, VPN

FreeVPN.One : un espion masqué sur Chrome pendant des mois

Sous couvert de protéger la vie privée, une extension Chrome vérifiée a mené une vaste opération d’espionnage silencieux. Plus de 100 000 victimes. Silence radio côté développeur.

L’extension FreeVPN.One, téléchargée plus de 100 000 fois sur Chrome, s’est révélée être un puissant outil de surveillance déguisé. Derrière son label « vérifié » par le Chrome Web Store, elle capturait en secret des captures d’écran des navigateurs, extrayait des données sensibles et les transmettait à des serveurs distants. L’attaque, perfectionnée au fil des versions, exploitait des autorisations critiques, changeait de nom et ajoutait du chiffrement sophistiqué pour brouiller les pistes. En prétendant analyser les menaces, elle siphonnait en réalité des informations personnelles et professionnelles. Cet incident soulève des questions profondes sur la fiabilité du modèle de validation de Google. Quand la sécurité devient façade, qui contrôle vraiment l’extension ?

Une extension banale, une menace invisible

Pendant des mois, FreeVPN.One a fait partie du paysage numérique de nombreux internautes. Téléchargée depuis le Chrome Web Store, affichant fièrement la mention « vérifiée », elle offrait un service de protection de la vie privée, un VPN gratuit et simple d’utilisation. Rien d’inhabituel à première vue. Pourtant, derrière cette façade rassurante se cachait une opération d’espionnage massive, organisée et habilement dissimulée. L’extension, installée sur plus de 100 000 navigateurs, agissait silencieusement à chaque navigation.

La mécanique était bien huilée : à chaque chargement de page, des scripts étaient injectés en arrière-plan. Une temporisation précise de 1,1 seconde permettait d’activer une API peu connue du grand public, chrome.captureVisibleTab(). Ce simple appel technique suffisait à figer l’instantané de la page visitée. De Google Docs à Gmail, en passant par les plateformes bancaires et les services photo, rien n’échappait à la surveillance.

Les images ainsi capturées étaient encodées en base64 et transférées discrètement vers un serveur distant, identifié comme appartenant au domaine aitd.one. La collecte ne se limitait pas aux captures : adresse IP, géolocalisation, caractéristiques techniques du terminal, tout était aspiré et archivé. L’utilisateur, de son côté, ne voyait rien. Pas de ralentissement, pas d’alerte, aucune anomalie visible.

Une évolution toxique et programmée

Le processus d’infiltration s’est affiné sur plusieurs mois. L’analyse des versions successives révèle une stratégie en trois temps. À partir de la version 3.0.3, publiée au printemps 2025, FreeVPN.One demande une autorisation critique : <all_urls>. Ce simple paramètre ouvre l’accès à l’ensemble des sites visités, sans distinction. À partir de là, tout devient possible.

Puis vient la mutation. Avec la version 3.1.1, l’extension change de nom et se rebaptise « AI Threat Detection ». Un repositionnement sémantique malin, qui laisse entendre qu’elle renforcerait la sécurité de l’utilisateur en détectant d’éventuelles menaces à l’aide de l’intelligence artificielle. Une couverture parfaite pour masquer des fonctions d’espionnage toujours plus sophistiquées.

Dans les versions suivantes (3.1.3 et 3.1.4), le basculement est complet. La collecte de données s’intensifie et un chiffrement AES‑256‑GCM est mis en place, couplé à un empaquetage des clés avec RSA. Ce double verrou rend l’analyse des flux sortants particulièrement complexe, même pour les experts. La structure à deux niveaux (scripts injectés, capture différée, envoi chiffré) fait penser à une opération pensée pour durer, mais surtout pour ne pas être découverte.

Le discours du développeur, lorsqu’il était encore joignable, évoquait un simple outil d’analyse destiné à identifier les « domaines suspects ». Mais cette défense s’écroule face aux preuves : des captures issues de services de confiance (Google Photos, Sheets, etc.) ont été retrouvées sur les serveurs, sans aucune justification légitime. La dissimulation prend alors une autre tournure.

Silence du développeur, échec de Google

Le responsable de l’extension, contacté par plusieurs chercheurs en cybersécurité, a brusquement cessé toute communication. Son site de référence, construit sur une base Wix générique, ne comporte aucun contenu concret, aucune mention légale, aucune identité vérifiable. L’opacité est totale.

Plus troublant encore : malgré les signaux d’alerte répétés, FreeVPN.One a conservé son statut « vérifié » pendant toute la durée de son activité malveillante. Ce label, censé rassurer l’utilisateur, a paradoxalement joué contre lui. Il a renforcé la confiance, facilité la diffusion et multiplié les installations. Un échec structurel du Chrome Web Store, déjà critiqué par le passé pour ses failles de contrôle.

Cette affaire illustre une réalité inquiétante : même les extensions officiellement validées par Google peuvent devenir des vecteurs de surveillance massive. Et dans un contexte de tensions géopolitiques croissantes, l’enjeu dépasse le simple cadre technique. Qui étaient les véritables bénéficiaires des données collectées ? Pour quelles finalités ces captures ont-elles été stockées, organisées, analysées ? Aucune réponse officielle, mais des indices qui pointent vers une exploitation à grande échelle, peut-être au service d’acteurs étatiques ou de groupes opérant en sous-traitance.

Ce que révèle FreeVPN.One dépasse le cas isolé d’une extension malveillante. Il s’agit d’un signal d’alarme. La confiance accordée aux labels de sécurité, les promesses de confidentialité, les discours de protection sont aujourd’hui trop facilement détournés. Derrière une interface propre et un slogan rassurant, se cache parfois une mécanique d’espionnage redoutablement efficace.

Et si cette affaire n’est qu’un exemple parmi d’autres, elle pose une question fondamentale : dans un écosystème où les extensions peuvent tout voir, tout lire, tout enregistrer, qui surveille vraiment les surveillants ?

Antivirus, backdoor, cryptage, Cybersécurité, ransomware, Securite informatique

Un EDR Killer partagé entre groupes de ransomware

Un outil furtif circule entre groupes de ransomware. Il désarme les antivirus, contourne les protections, s’améliore par usage. Sophos sonne l’alerte : la menace est désormais coopérative.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Depuis 2022, un programme malveillant conçu pour désactiver les protections informatiques – baptisé « EDR Killer » – est partagé, adapté et utilisé par plusieurs groupes de ransomware parmi les plus dangereux. Sophos, entreprise de cybersécurité, a récemment révélé l’ampleur de cette coopération souterraine entre acteurs malveillants. Ce « tueur d’antivirus », indétectable grâce au chiffrement HeartCrypt et signé avec des certificats numériques frauduleux, cible toutes les principales solutions de sécurité du marché. Il s’intègre en amont des attaques, neutralisant les défenses des victimes avant même que le ransomware n’agisse. Ce phénomène illustre un tournant stratégique dans la cybercriminalité : des ennemis qui partagent leurs outils comme s’ils constituaient un arsenal collectif contre les systèmes de défense.

Une bombe invisible glissée dans les chaînes d’attaque

Août 2025. Une équipe de réponse à incident s’interroge sur l’échec des systèmes de détection d’une entreprise britannique frappée par le ransomware Medusa. Tous les outils de sécurité avaient été désactivés sans alerte. Pas de signal, pas d’alarme, pas même une trace résiduelle dans les journaux système. Rien qu’un silence avant le chaos.

C’est dans cette zone d’ombre que s’est glissé le « EDR Killer », un outil autonome, insidieux, sophistiqué, capable de tuer silencieusement la majorité des solutions de cybersécurité utilisées par les entreprises : Microsoft Defender, Bitdefender, Sophos, McAfee, SentinelOne, Webroot, et bien d’autres.

Les équipes de Sophos, en enquêtant sur plusieurs attaques coordonnées depuis 2022, ont constaté un phénomène inquiétant : le même outil, utilisé par plusieurs groupes sans lien apparent. Medusa, Blacksuit, Qilin, DragonForce, INC. Des groupes parfois rivaux, souvent concurrents dans leurs méthodes, mais qui, ici, partageaient un même couteau numérique. Mieux encore, chacun d’eux utilisait une version adaptée du code. Preuve d’une circulation technique, non pas d’une simple copie.

Des mécanismes d’effacement et de camouflage maîtrisés

Le « EDR Killer » n’est pas une simple charge virale. Il est préparé comme une arme tactique. Il ne chiffre pas les données. Il ne vole rien. Il prépare le terrain.

En amont de l’attaque finale, il désactive les agents de surveillance, coupe les connexions aux services cloud de sécurité, et tue les processus critiques liés à la détection comportementale. Il le fait en mémoire, sans écrire de fichiers persistants, rendant son analyse post-mortem quasi impossible.

Pour échapper aux antivirus eux-mêmes, le binaire est obfusqué par HeartCrypt, un service commercial illégal fonctionnant selon le modèle « packer-as-a-service ». Il chiffre les exécutables, empêche la rétro‑ingénierie, et peut muter à chaque exécution, comme un virus biologique contournant les vaccins.

Mais le plus remarquable reste l’utilisation de certificats numériques volés ou expirés, qui permettent à l’outil d’installer des pilotes système avec les droits les plus élevés. Ainsi, les protections profondes du noyau Windows sont elles aussi désactivées, ouvrant la voie au déploiement du ransomware proprement dit.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Une convergence inquiétante entre acteurs criminels

L’enquête de Sophos ne s’est pas arrêtée à l’analyse technique. Très vite, un élément stratégique est apparu : les multiples versions de l’outil n’étaient pas identiques. Chaque groupe criminel semble avoir obtenu, modifié et adapté le code à ses propres chaînes d’attaque. Ce n’est pas un simple exécutable partagé, mais un projet logiciel, vivant, distribué.

Ce phénomène rappelle les logiques de coopération entre mafias numériques : partage de ressources, vente de services spécialisés, mutualisation de moyens. HeartCrypt, par exemple, est commercialisé sur les forums clandestins à des prix variant selon le niveau de personnalisation. Des criminels y vendent des solutions de chiffrement sur mesure, avec signature valide, support client, mises à jour hebdomadaires.

Ainsi, un opérateur ransomware peut commander un « EDR Killer » customisé, obfusqué, certifié, prêt à l’emploi. Il l’intègre ensuite dans sa chaîne d’exploitation. Cette industrialisation des moyens techniques marque une nouvelle étape dans l’économie souterraine du cybercrime, où l’optimisation opérationnelle prime sur l’exclusivité.

Une opération éclair : SimpleHelp comme point d’entrée

Un cas précis illustre la redoutable efficacité de ce schéma. En mai 2025, Medusa a exploité une vulnérabilité zero-day dans la plateforme de support à distance SimpleHelp. En quelques minutes, l’EDR Killer est injecté, les défenses abattues. Le ransomware prend alors le contrôle. Aucun antivirus ne s’est réveillé.

Le vecteur initial (SimpleHelp) était légitime. Le code était signé. Les protections désactivées proprement. Pour les victimes, la sidération a été totale. Pour les experts en sécurité, un rappel brutal : même les outils de gestion IT peuvent devenir des armes contre les réseaux qu’ils protègent.

L’incident révèle une évolution stratégique majeure dans l’univers du cybercrime. D’abord, on assiste à une désintermédiation des phases d’attaque : en désactivant les EDR au tout début de l’intrusion, les assaillants éliminent la première ligne de défense, celle qui agit en temps réel, réduisant à néant les capacités de réaction automatisée. La chaîne d’attaque devient silencieuse, plus rapide, plus létale.

Ensuite, cette affaire fournit la preuve concrète d’un partage d’outils entre groupes traditionnellement indépendants. Ce ne sont plus des tactiques uniques, mais des briques logicielles mutualisées, adaptées localement selon les cibles. Cette convergence suggère l’émergence d’un véritable marché noir modulaire où chaque groupe assemble son propre kit d’agression.

Par ailleurs, la dépendance croissante à des services criminels spécialisés, comme HeartCrypt, témoigne d’un écosystème structuré. Ces services d’obfuscation et de chiffrement opèrent selon des logiques commerciales classiques, avec catalogue, support, mises à jour. Cela rapproche de plus en plus les réseaux cybercriminels d’un modèle industriel, où la sophistication est achetée à la demande.

Enfin, cette dynamique pose un défi renouvelé au renseignement technique. Il ne suffit plus d’analyser des souches virales isolées : il faut désormais cartographier les flux technologiques, identifier les empreintes des fournisseurs, suivre les patterns d’obfuscation. La guerre n’est plus seulement contre un virus, mais contre une logique collaborative qui dépasse chaque attaque.

Que peut faire la défense face à cette menace mutante ?

Face à cette mutation du paysage numérique, la riposte ne peut être uniquement technique. D’abord, il est essentiel de renforcer la surveillance active des marchés clandestins, là où les outils comme HeartCrypt sont distribués, évalués, améliorés. L’enjeu est de comprendre les cycles de vie des outils, de détecter les variantes dès leur phase de test.

En parallèle, les acteurs de la cybersécurité doivent développer des mécanismes de détection comportementale capables d’identifier les symptômes d’un EDR Killer, même si celui-ci reste inconnu en signature. Cela suppose un changement de paradigme, passant de la reconnaissance de fichiers à l’analyse des effets systémiques.

Il devient également crucial de durcir la gestion des pilotes système. Trop souvent, des certificats numériques volés ou expirés sont encore tolérés par les systèmes d’exploitation. Réformer cette tolérance permettrait de réduire considérablement la surface d’attaque.

Enfin, la collaboration entre entreprises, y compris concurrentes, doit devenir une norme. Si un outil est partagé entre cybercriminels, il peut aussi être détecté collectivement. Les mécanismes de threat intelligence mutualisée, ouverts, intersectoriels, peuvent faire émerger une défense coordonnée à la hauteur d’une attaque elle-même collaborative.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Chiffrement, Cybersécurité, Entreprise, Fuite de données, Securite informatique

Cyberattaque chez FranceLink : le combat pour la reconstruction

En juillet 2025, FranceLink s’effondre sous une cyberattaque massive. Ce choc marque le début d’un combat acharné pour la survie d’une infrastructure cruciale.

À l’été 2025, FranceLink, prestataire IT français, subit une cyberattaque d’une violence inédite. Contraints de couper tous leurs services pour préserver l’intégrité de ce qui reste, les dirigeants révèlent que des données critiques ont été chiffrées par un groupe malveillant. Si certaines fonctions reviennent peu à peu (comme les emails Office365 ou les sites hébergés en externe), les serveurs internes restent hors d’accès. Face à la gravité de la situation, FranceLink engage des experts en récupération de données et reconstruit son infrastructure dans l’urgence, tout en alertant ses clients sur une faille zero-day liée aux équipements VPN SonicWall. Retour sur une crise cyber aux ramifications techniques et humaines profondes.

L’attaque de l’été : choc initial et premières réponses

Tout commence à la fin du mois de juillet 2025. FranceLink, prestataire de services numériques pour de nombreuses entreprises françaises, est brutalement frappée par une cyberattaque. Le choc est brutal : en quelques heures, l’équipe dirigeante prend une décision radicale mais nécessaire : couper tous les services afin d’éviter une propagation incontrôlée. À ce stade, aucune estimation sur la durée de l’interruption n’est possible. Le mot d’ordre est clair : préserver l’intégrité de ce qui peut encore l’être.

L’attaque s’avère particulièrement sophistiquée. Très vite, l’origine de l’agression est attribuée à un groupe nommé « Akira », dont la spécialité est le chiffrement de données critiques pour ensuite extorquer leurs victimes. Les serveurs de FranceLink sont totalement inaccessibles, et les informations qu’ils contiennent semblent irrémédiablement chiffrées.

La direction communique dès les premiers jours avec une transparence rare dans ce type de crise. Elle annonce avoir restauré une partie de l’infrastructure DNS, permettant ainsi la remise en service des emails (hébergés sur Office365 ou sur d’autres plateformes) ainsi que des sites web externalisés. Toutefois, tout ce qui dépend des serveurs internes reste inaccessible. Il est impossible, à cette étape, de savoir si les données pourront être récupérées.

C’est alors que commence une course contre la montre. FranceLink mobilise une première entreprise spécialisée en récupération de données. Pendant deux semaines, ses experts collaborent avec les équipes internes, jour et nuit, week-end compris. Le résultat, livré le 6 août, est amer : seules quelques données ont pu être restaurées, très insuffisantes pour répondre aux besoins des clients.

La situation est critique. Le 13 août, le standard téléphonique est suspendu pour concentrer toutes les ressources humaines sur la reconstruction. La communication se fait exclusivement via des mises à jour publiques. Une stratégie assumée, à la fois pour maintenir le lien avec les clients et éviter la désinformation.

Reconstruction technique et traque de la vulnérabilité

Dès le 6 août, une nouvelle entreprise est sollicitée pour tenter de récupérer davantage de données. Cette démarche implique des coûts importants (plusieurs dizaines de milliers d’euros), mais FranceLink ne recule devant aucun effort. L’objectif est double : récupérer ce qui peut l’être et, en parallèle, reconstruire rapidement une infrastructure viable.

Les équipes de l’entreprise identifient une possible piste technique sur l’origine de la faille : une vulnérabilité zero-day dans les équipements VPN SSL SonicWall, utilisée dans l’environnement réseau de FranceLink. Cette faille pourrait avoir été exploitée par les assaillants pour pénétrer le système. Bien que SonicWall indique encore être en phase d’investigation, le lien est suffisamment préoccupant pour que FranceLink alerte officiellement ses clients. Ceux-ci sont invités à consulter les alertes de sécurité et à appliquer immédiatement les mesures de protection recommandées.

En parallèle, le chantier de la reconstruction bat son plein. L’enjeu est énorme : rétablir les plateformes clients, mais surtout leur offrir un environnement sain, sécurisé et stable. FranceLink décide alors de créer de nouveaux espaces, entièrement refondus, même s’ils sont, dans un premier temps, dépourvus de données historiques.

Cette décision est stratégique. Elle permet aux clients de reprendre leurs activités, même partiellement, et de se projeter dans une reprise. En parallèle, un formulaire est mis en ligne pour que chaque client puisse indiquer les données les plus critiques à ses yeux. Cette démarche participative permet de prioriser les efforts de restauration, tout en impliquant les victimes dans la résolution.

Au fil des jours, les services reviennent. Les messageries Office365, les sites en développement ou encore les noms de domaine fonctionnent de nouveau. FranceLink documente chaque étape, publie un rapport d’incident détaillé, et tente de rassurer en maintenant une communication factuelle.

Date Événement
29/07/2025 Coupure totale des services de FranceLink suite à une cyberattaque. Standard téléphonique également suspendu.
31/07/2025 Première communication officielle sur la messagerie : deux solutions proposées pour restaurer les emails.
01/08/2025 FranceLink confirme avoir été visée par le groupe de ransomware Akira. Mise en ligne d’un formulaire pour prioriser la restauration.
04/08/2025 Premiers bilans techniques : difficultés majeures à récupérer les données chiffrées malgré le travail des experts.
06/08/2025 Fin de la mission du premier spécialiste de récupération. Quelques données récupérées, mais insuffisantes. Engagement d’un second expert.
Alerte sur une faille zero-day dans les équipements VPN SSL SonicWall, potentiellement à l’origine de l’intrusion.
11/08/2025 Publication d’un rapport d’incident détaillé. FranceLink invite ses clients à en prendre connaissance.
13/08/2025 Mise à jour : standard téléphonique toujours suspendu. FranceLink détaille ses priorités : reconstruction et récupération.
À ce jour Services DNS restaurés. Emails et sites web externalisés refonctionnent. Les serveurs internes restent inaccessibles.

Une crise révélatrice des fragilités systémiques

Au-delà des aspects techniques, cette cyberattaque met en lumière une réalité trop souvent ignorée : la dépendance des entreprises, même modestes, à des infrastructures numériques vulnérables. FranceLink, comme beaucoup d’acteurs du numérique, héberge non seulement des services mais aussi des identités numériques, des archives, des outils métiers critiques. Lorsqu’un acteur de cette chaîne tombe, c’est tout un écosystème qui vacille.

L’attaque d’Akira n’est pas un cas isolé. En 2025, les cyberattaques visant les prestataires IT se multiplient. Elles visent les maillons techniques de la chaîne de confiance, là où la sécurité est supposée être la plus solide, mais où les failles humaines, techniques ou organisationnelles peuvent provoquer des catastrophes systémiques. Le cas FranceLink en est une parfaite illustration. L’alerte autour des équipements SonicWall ajoute une couche d’inquiétude. Si la faille zero-day est confirmée, elle remettrait en question la sécurité de milliers d’infrastructures utilisant cette technologie à travers l’Europe. Dans ce contexte, la proactivité de FranceLink dans l’identification et la diffusion de l’alerte est saluée par une partie de la communauté cyber.

Mais au-delà des conséquences techniques, cette crise a aussi des implications humaines. Les équipes de FranceLink, en première ligne, ont dû affronter l’impossible : gérer la pression de centaines de clients inquiets, reconstruire en urgence, communiquer dans l’incertitude, tout en vivant le deuil numérique d’une infrastructure effondrée. Le silence du standard téléphonique, pendant plusieurs semaines, est un symbole de cette tension. La suite reste encore incertaine. Les tentatives de récupération se poursuivent. Le soutien des clients semble, en partie, tenir. Mais les dégâts sont là : pertes de données, arrêts d’activité, crédibilité ébranlée. Le Service Veille de ZATAZ confirme la menace d’Akira de diffuser d’ici peu 20 Go de données qui auraient été dérobées pendant la cyber attaque !