Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Assurance cyber sécurité, Cybersécurité, Entreprise, Justice

Root écope de 900 000 € d’amende pour avoir exposé les données de 45 000 clients

New York vit une série de piratages informatiques qui met à mal des millions d’habitants et étudiants de la Grosse Pomme. Nouveau cas aprés l’Université de New-York, une faille de sécurité dans le système de devis de Root. Une cyber attaque vieille de plusieurs mois qui a permis à des pirates d’accéder aux informations personnelles de 45 000 New-Yorkais. L’entreprise vient d’être condamnée à une forte amende.

L’entreprise d’assurance automobile Root, qui ne propose pas de services à New York, a néanmoins permis à des cybercriminels d’exploiter une faille dans son système de devis en ligne, entraînant la fuite de numéros de permis de conduire et d’autres informations sensibles. Cette attaque s’inscrit dans une série d’incidents similaires ayant ciblé le secteur de l’assurance, exposant des milliers de clients à des risques de vol d’identité.

Une faille de sécurité massive exploitée par des cybercriminels

Root permettait aux consommateurs d’obtenir une estimation de prix pour une assurance automobile via son site internet. Le système de devis utilisait une fonction de pré remplissage qui complétait automatiquement certains champs avec des informations sensibles, y compris les numéros de permis de conduire. Une fois le devis généré, le système créait un fichier PDF contenant les informations du client, y compris le numéro de permis de conduire en texte brut. Cette faille a permis à des cybercriminels d’automatiser le processus de collecte de données en utilisant des bots.

En janvier 2021, Root a découvert que des acteurs malveillants exploitaient cette vulnérabilité pour collecter massivement des informations personnelles. Les pirates ont utilisé ces données pour déposer des demandes frauduleuses de prestations de chômage pendant la pandémie de COVID-19. L’enquête du Bureau de la procureure générale (OAG) a révélé que Root n’avait pas mis en place de mesures de sécurité adéquates pour empêcher l’accès automatisé par des bots. L’entreprise n’a pas non plus identifié la vulnérabilité de son système de préremplissage ni sécurisé les fichiers PDF générés par le système.

La procureure générale Letitia James a déclaré que l’incapacité de Root à protéger ces informations sensibles représentait une violation grave des normes de sécurité des données. Elle a souligné que cette négligence avait directement exposé des milliers de New-Yorkais à des risques de vol d’identité. Selon l’enquête, Root n’avait pas effectué de contrôles de sécurité réguliers sur son système, ni mis en place de protocoles pour détecter et bloquer les attaques automatisées.

Une sanction financière et des mesures de sécurité renforcées

En plus de l’amende de 975 000 dollars, Root a accepté de mettre en place une série de mesures pour renforcer la sécurité de ses systèmes. L’entreprise devra mettre en place un programme de sécurité complet pour garantir la protection des informations sensibles de ses clients. Elle devra également surveiller en permanence les accès à ses systèmes et mettre en place un protocole d’alerte pour signaler toute activité suspecte. Root s’est engagée à renforcer ses procédures d’authentification et à effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.

Il aura fallu une condamnation pour que l’entreprise se penche sur la base de sa cybersécurité ? Les compagnies d’assurance collectent une quantité massive de données sensibles et doivent assumer la responsabilité de protéger ces informations contre les cybermenaces.

Une série de mesures contre le secteur de l’assurance

Cette amende s’inscrit dans une série d’actions menées par le bureau de la procureure générale contre le secteur de l’assurance. En novembre 2024, GEICO et Travelers avaient accepté de payer 5,1 millions de dollars après avoir été accusées d’avoir laissé des failles dans leurs systèmes de sécurité, facilitant le vol d’informations personnelles de milliers de New-Yorkais. En décembre 2024, Noblr a conclu un accord de 500 000 dollars avec le bureau de la procureure générale après avoir été accusée de pratiques de sécurité insuffisantes. En mars 2025, Letitia James a également engagé des poursuites contre Allstate Insurance, accusée d’avoir compromis les informations de plus de 165 000 clients à cause de failles de sécurité dans son système en ligne.

Letitia James s’est imposée comme une figure clé dans la protection de la vie privée des New-Yorkais face aux cybermenaces. Son bureau a également pris des mesures dans d’autres secteurs. En octobre 2024, un accord de 2,25 millions de dollars a été obtenu auprès d’un prestataire de soins de santé pour une fuite de données médicales. En août 2024, une coalition multirégionale dirigée par Letitia James a obtenu 4,5 millions de dollars d’une société de biotechnologie pour avoir échoué à protéger les données sensibles des patients. En juillet 2024, le bureau de la procureure générale a lancé deux guides sur la protection de la vie privée en ligne pour aider les entreprises et les consommateurs à mieux gérer la confidentialité de leurs données.

Chiffrement, Cybersécurité, Entreprise

Violation massive de données à la Pennsylvania State Education Association : plus de 500 000 personnes affectées

La Pennsylvania State Education Association (PSEA) a été victime d’une violation de données qui a exposé les informations personnelles de plus de 500 000 personnes. Cette attaque, revendiquée par le groupe de rançongiciels Rhysida, soulève de graves préoccupations concernant la sécurité des données dans le secteur de l’éducation publique.

La PSEA, un syndicat influent représentant les enseignants, les professionnels du soutien à l’éducation et le personnel scolaire de Pennsylvanie, a confirmé qu’une attaque informatique avait compromis les données de 517 487 personnes. L’incident, survenu aux alentours du 6 juillet 2024, a été détecté après qu’un acteur malveillant a réussi à s’introduire dans le réseau informatique de l’association. Après plusieurs mois d’enquête, la PSEA a officiellement révélé la nature et l’étendue de la faille le 18 février 2025, confirmant que des informations sensibles avaient été compromises. Un mois plus tard, ils alertaient les personnes potentiellement impactées. Soit 8 mois aprés l’attaque !

Une attaque d’envergure visant des informations critiques

Le mode opératoire des cybercriminels suggère une attaque soigneusement préparée, ciblant des informations personnelles sensibles. Les données compromises incluent les noms complets des membres de la PSEA, associés à une ou plusieurs informations sensibles : numéro de sécurité sociale, date de naissance, numéro de permis de conduire, numéros de comptes bancaires, identifiants de connexion, informations de paiement (y compris le code PIN et la date d’expiration), numéros de passeport, informations d’assurance maladie et données médicales.

La sophistication de cette attaque repose sur la diversité des données compromises, donnant aux cybercriminels une marge d’exploitation importante. La capacité à combiner ces informations pourrait permettre la mise en place de fraudes bancaires, d’usurpations d’identité ou encore d’attaques ciblées contre les personnes concernées. La PSEA a rapidement pris des mesures pour sécuriser son réseau et renforcer ses protocoles de sécurité. Cependant, le caractère massif de la fuite souligne une vulnérabilité structurelle dans la protection des données au sein du secteur de l’éducation publique.

« PSEA a connu un incident de sécurité le 6 juillet 2024 ou aux alentours de cette date, qui a impacté notre environnement réseau. Après une enquête approfondie et un examen minutieux des données concernées, achevés le 18 février 2025, nous avons déterminé que les données acquises par l’acteur non autorisé contenaient des informations personnelles appartenant à des personnes dont les informations étaient contenues dans certains fichiers de notre réseau« , précise la notification officielle publiée par la PSEA. L’enquête, c’est surtout l’accès aux données diffusées par les pirates ?

Le communiqué ajoute que l’association a « pris les mesures nécessaires, au mieux de nos capacités et de nos connaissances, pour garantir la suppression des données volées par l’acteur non autorisé« . Cette formulation laisse entendre que la PSEA a pu négocier avec le groupe de rançongiciels Rhysida, une hypothèse renforcée par le retrait ultérieur de la PSEA du site de fuite du groupe criminel sur le dark web.

Rhysida : un groupe de rançongiciels redouté

Le groupe Rhysida est apparu sur la scène cybercriminelle en 2023 et s’est rapidement imposé comme l’un des collectifs de ransomware les plus actifs au monde. Rhysida cible principalement les institutions publiques, les établissements de santé, les services éducatifs et les infrastructures critiques. Le mode opératoire du groupe consiste à infiltrer les réseaux informatiques par des techniques d’ingénierie sociale, souvent via des attaques de type hameçonnage (phishing) ou par l’exploitation de vulnérabilités dans des logiciels non mis à jour.

Une fois le réseau compromis, Rhysida utilise un logiciel de cryptage pour bloquer l’accès aux fichiers sensibles. Les attaquants réclament alors une rançon, souvent en cryptomonnaie, en échange de la clé de déchiffrement. Si la victime refuse de payer ou tarde à répondre, le groupe menace de publier les données volées sur son site de fuite hébergé sur le dark web. Cette double menace — paralysie des systèmes et publication des données — place les victimes dans une situation délicate, poussant souvent les institutions à négocier discrètement avec les attaquants.

Dans le cas de la PSEA, Rhysida a revendiqué l’attaque le 9 septembre 2024, exigeant une rançon de 20 bitcoins (environ 720 000 euros au taux de change de septembre 2024). Peu après, le nom de la PSEA a disparu du site de fuite du groupe, laissant penser qu’un accord financier a été trouvé. Bien que la PSEA n’ait pas confirmé avoir payé la rançon, la suppression des données du site de Rhysida renforce cette hypothèse.

cyberattaque, Entreprise

Cyberattaque sur le bureau du procureur général de Virginie : le groupe Cloak revendique la responsabilité

Le groupe de ransomware Cloak a revendiqué la responsabilité de la cyberattaque qui a frappé le bureau du procureur général de Virginie en février dernier. L’attaque a forcé les autorités à désactiver les systèmes informatiques, perturbant le fonctionnement de l’institution et exposant potentiellement des données sensibles.

En février 2025, une cyberattaque sophistiquée a été détectée au sein du bureau du procureur général de Virginie, provoquant l’arrêt immédiat des systèmes informatiques internes, y compris les services de messagerie et de VPN. Face à l’ampleur de la faille, les responsables ont dû revenir temporairement à des procédures manuelles, utilisant des documents papier pour assurer la continuité du service. Steven Popps, procureur général adjoint en chef, a décrit l’attaque comme « particulièrement complexe », soulignant le niveau de sophistication des techniques employées par les assaillants. L’incident a été immédiatement signalé au FBI, à la police d’État de Virginie et à l’Agence des technologies de l’information de Virginie (VITA), qui ont ouvert une enquête pour évaluer l’ampleur des dégâts et identifier la source de l’attaque.

Le bureau du procureur général de Virginie est resté très discret sur la nature exacte de la brèche, refusant de divulguer des détails précis sur les systèmes compromis ou les types de données potentiellement volées. Cependant, le 20 mars 2025, le groupe Cloak a ajouté le bureau du procureur général de Virginie à la liste de ses victimes sur son site de fuite hébergé sur le dark web. Le groupe a déclaré que le délai de négociation avec les autorités avait expiré et a affirmé avoir volé 134 Go de données sensibles lors de l’attaque.

Des captures d’écran de certains fichiers volés avaient été publiées comme preuve initiale du piratage. Désormais, l’ensemble des 134 Go de données est accessible en téléchargement sur la plateforme de fuite du groupe. La divulgation de ces fichiers fait craindre une potentielle exposition de documents juridiques sensibles, de communications internes, et d’informations confidentielles concernant des enquêtes en cours. Cette fuite massive pourrait avoir des conséquences majeures sur le fonctionnement du bureau du procureur général, tout en compromettant la sécurité des affaires traitées par l’institution.

Cloak : un groupe de ransomware organisé et expérimenté

Le groupe Cloak est actif depuis au moins 2023. Selon un rapport de la société de cybersécurité Halcyon, le groupe aurait déjà ciblé plus d’une centaine d’organisations, principalement en Europe et en Asie. L’Allemagne figure parmi les cibles privilégiées du groupe, mais les attaques se sont également étendues à d’autres pays, touchant divers secteurs économiques, notamment la santé, l’immobilier, la construction, l’informatique, l’agroalimentaire et la production industrielle. Cette diversification des cibles témoigne de la capacité d’adaptation du groupe et de la sophistication de ses méthodes d’attaque.

Le mode opératoire de Cloak repose en grande partie sur l’acquisition d’accès réseau par l’intermédiaire de courtiers d’accès initiaux (Initial Access Brokers, IAB) ou par des techniques d’ingénierie sociale. Les méthodes employées incluent le hameçonnage (phishing), les publicités malveillantes (malvertising), les kits d’exploitation de vulnérabilités et les téléchargements furtifs (drive-by downloads) déguisés en mises à jour légitimes de logiciels, comme les installateurs de Microsoft Windows. Cette capacité à manipuler le comportement des utilisateurs par des techniques psychologiques et technologiques rend les attaques particulièrement difficiles à détecter avant qu’elles ne soient en cours d’exécution.

Cloak utilise une variante du ransomware ARCrypter, dérivée du code source du ransomware Babuk, qui avait fuité en 2021. Une fois le réseau infiltré, le ransomware chiffre les fichiers sensibles, rendant leur accès impossible sans une clé de déchiffrement. Les attaquants exigent ensuite une rançon, souvent en cryptomonnaie, en échange de cette clé. Si la victime refuse de payer ou tarde à réagir, Cloak menace de divulguer publiquement les données volées sur le dark web, comme ce fut le cas dans l’attaque contre le bureau du procureur général de Virginie.

Une attaque qui soulève des questions sur la sécurité des institutions publiques

L’attaque contre le bureau du procureur général de Virginie met en lumière la vulnérabilité des infrastructures informatiques des institutions publiques face à des menaces cyber de plus en plus agressives. Les institutions gouvernementales, souvent dotées de systèmes informatiques vieillissants et de protocoles de sécurité obsolètes, sans parler de la mise à la porte de milliers de fonctionnaires aux USA par l’administration TRUMP, constituent des cibles privilégiées pour les groupes de ransomware. La capacité des attaquants à paralyser les opérations critiques du bureau du procureur général démontre le niveau de préparation et de sophistication de Cloak.

Les conséquences potentielles de cette attaque sont multiples. Outre la compromission des dossiers juridiques en cours, le vol de données pourrait entraîner une manipulation de certaines affaires sensibles. Les communications internes du bureau, y compris les stratégies de défense et les éléments à charge dans des procédures judiciaires, pourraient également être utilisées comme levier par des acteurs malveillants.

Steven Popps, procureur général adjoint, a déclaré que le bureau s’efforce de restaurer ses systèmes et de renforcer ses mesures de sécurité. Les autorités de Virginie collaborent étroitement avec le FBI et la police d’État pour identifier les auteurs de l’attaque et évaluer l’ampleur des dommages causés. Cependant, dans la mesure où Cloak opère depuis des juridictions étrangères, les possibilités d’arrestation ou de sanction directe restent limitées.

Bitcoin, cryptomonnaie

Le Trésor américain lève les sanctions contre Tornado Cash

Tornado Cash, une plateforme controversée de mixage de cryptomonnaies, a été retirée vendredi de la liste noire des sanctions américaines après une décision de justice favorable en novembre. Ce revirement met en lumière les tensions croissantes entre innovation technologique et sécurité nationale.

Depuis 2022, Tornado Cash figurait sur la liste des personnes nationales spécialement désignées (SDN) du département du Trésor américain. Accusée d’avoir facilité le blanchiment de centaines de millions de dollars volés par des hackers nord-coréens, la plateforme faisait l’objet de mesures strictes. La décision de la cour d’appel fédérale en novembre a toutefois bouleversé ce cadre juridique en invalidant les sanctions, estimant que le Trésor avait dépassé ses prérogatives légales.

Une victoire juridique décisive ?

La décision de la cour d’appel fédérale repose sur une interprétation clé de la loi de 1977 sur les pouvoirs économiques d’urgence internationaux (IEEPA). Le juge Don Willett de la 5e Cour d’appel des États-Unis a estimé que les contrats intelligents immuables de Tornado Cash ne peuvent pas être considérés comme des « biens » au sens de la loi. Cette distinction a été décisive dans l’annulation des sanctions. Les contrats intelligents sont des lignes de code autonomes sur la blockchain, conçues pour préserver l’anonymat des transactions. En d’autres termes, ces protocoles décentralisés échappent au contrôle direct de leurs créateurs et ne sont donc pas assimilables à des actifs traditionnels.

La plateforme de trading Coinbase, qui a soutenu financièrement la bataille juridique, a rapidement salué cette décision comme une « victoire historique pour la crypto« . Un responsable de Coinbase a déclaré que « personne ne veut que des criminels utilisent des protocoles cryptographiques, mais bloquer entièrement la technologie open source parce qu’une petite partie des utilisateurs sont de mauvais acteurs n’est pas ce que le Congrès a autorisé« . Cette déclaration illustre le débat persistant autour de la régulation des cryptomonnaies : faut-il sanctionner la technologie elle-même ou les acteurs qui en abusent ?

Une plateforme au cœur de scandales majeurs

Tornado Cash est une plateforme de mixage de cryptomonnaies lancée en 2019. Son fonctionnement repose sur un principe simple mais controversé : elle permet aux utilisateurs de combiner plusieurs transactions de cryptomonnaies afin d’en masquer l’origine. Ce processus complique considérablement la traçabilité des fonds, ce qui en fait un outil prisé des cybercriminels.

Le département du Trésor américain avait précédemment accusé Tornado Cash d’avoir blanchi plus de 7 milliards de dollars depuis sa création. Parmi les opérations de blanchiment les plus retentissantes figure le vol de plus de 600 millions de dollars du jeu Axie Infinity en mars 2022, attribué au groupe de hackers nord-coréen Lazarus. Tornado Cash aurait également été utilisé pour blanchir 275 millions de dollars dérobés sur la plateforme de trading KuCoin.

En août 2023, le cofondateur Roman Storm a été arrêté dans l’État de Washington pour blanchiment d’argent. Son associé Roman Semenov, de nationalité russe, est en fuite et reste sous le coup des sanctions américaines. Un autre développeur clé de Tornado Cash, Alexey Pertsev, a été condamné en mai 2023 à cinq ans et quatre mois de prison par un tribunal néerlandais pour blanchiment d’argent. La levée des sanctions contre Tornado Cash ne remet donc pas en cause la responsabilité pénale de ses dirigeants.

Un revirement stratégique du Trésor américain

Le département du Trésor a expliqué sa décision en évoquant un « examen des nouvelles questions juridiques et politiques soulevées par l’utilisation de sanctions financières contre l’activité financière et commerciale se produisant dans des environnements technologiques et juridiques en évolution ». Cette déclaration souligne la complexité croissante de la régulation des cryptomonnaies dans un contexte de développement technologique rapide.

Le secrétaire au Trésor, Scott Bessent, a toutefois insisté sur la nécessité de protéger le secteur des actifs numériques contre les abus. « Protéger le secteur des actifs numériques contre les abus de la Corée du Nord et d’autres acteurs illicites est essentiel pour établir le leadership des États-Unis et garantir que le peuple américain puisse bénéficier de l’innovation et de l’inclusion financières », a-t-il déclaré. Cette position reflète une volonté de concilier développement technologique et sécurité nationale, deux objectifs souvent perçus comme contradictoires.

Des tensions politiques et réglementaires persistantes

La levée des sanctions contre Tornado Cash s’inscrit dans un contexte politique plus large. L’administration Trump a adopté une posture plus favorable à l’égard des cryptomonnaies et des actifs numériques. Plusieurs défenseurs de la blockchain ont été nommés à des postes stratégiques, influençant la politique du gouvernement en matière de régulation financière.

Cependant, cette approche divise profondément le paysage politique américain. Si certains considèrent les cryptomonnaies comme une opportunité d’innovation et de croissance économique, d’autres y voient un risque majeur pour la sécurité nationale. Les cyberattaques nord-coréennes visant les plateformes de cryptomonnaie et le financement du programme nucléaire de Pyongyang exacerbent ces tensions.

Le Trésor a d’ailleurs précisé que la surveillance des transactions suspectes se poursuivra. « Le Trésor continuera de surveiller de près toute transaction susceptible de profiter à des cyber acteurs malveillants ou à la RPDC, et les citoyens américains doivent faire preuve de prudence avant de s’engager dans des transactions qui présentent de tels risques », a averti le département.

Une décision qui pourrait redéfinir la régulation des cryptomonnaies

La levée des sanctions contre Tornado Cash pourrait créer un précédent juridique majeur. La décision de la cour d’appel limite la capacité du gouvernement à imposer des sanctions sur des protocoles décentralisés et soulève la question de la responsabilité des développeurs de technologies open source. Cette situation pourrait encourager le développement de nouvelles plateformes de mixage et d’anonymisation, tout en compliquant la tâche des régulateurs.

Les partisans de la décentralisation y voient une avancée majeure pour la protection de la vie privée et la souveraineté numérique. Les autorités, en revanche, redoutent une augmentation des activités illicites, facilitée par l’opacité des transactions cryptographiques.

Le cas de Tornado Cash illustre ainsi le dilemme fondamental auquel sont confrontés les gouvernements face à la révolution des cryptomonnaies : comment protéger l’innovation sans ouvrir la porte à des dérives criminelles ? La réponse à cette question façonnera sans doute l’avenir de la régulation financière dans l’économie numérique globale.

Entreprise, Linux

Microsoft coupe les ponts : Huawei bascule sur HarmonyOS et Linux

Fin mars 2025, un tournant majeur s’opère pour Huawei. La licence qui permettait au géant chinois d’équiper ses appareils du système d’exploitation Windows arrive à expiration.

Dès avril 2025, l’entreprise ne pourra plus commercialiser ses ordinateurs portables et autres terminaux avec l’OS de Microsoft. Ce bouleversement s’inscrit dans une stratégie plus large de Huawei, qui cherche à s’affranchir des technologies américaines en développant ses propres solutions logicielles et matérielles.

Cette transition, bien que soudaine, n’est pas une surprise. Dès septembre 2024, Huawei annonçait son intention de déployer HarmonyOS, son propre système d’exploitation, sur ses futures générations d’ordinateurs portables. Le PDG Yu Zhendong l’avait d’ailleurs confirmé : l’objectif est clair, éliminer totalement la dépendance aux composants et logiciels américains. Aujourd’hui, cette vision se concrétise avec l’arrivée de modèles fonctionnant sous des systèmes basés sur Linux.

L’expansion de HarmonyOS et des alternatives chinoises

Huawei n’a pas attendu la fin de sa licence avec Microsoft pour prendre les devants. Selon My Drivers, une publication technologique chinoise, la firme a déjà intégré des alternatives à Windows dans ses nouveaux ordinateurs portables de la série MateBook. Ces derniers, désormais équipés de systèmes Linux modifiés ou de HarmonyOS, seront commercialisés aussi bien en Chine qu’à l’international. La mise à jour des catalogues officiels de la marque reflète d’ailleurs cette transition.

L’entreprise ne se contente pas d’un simple remplacement de système d’exploitation. Elle adopte une approche plus globale en favorisant l’usage de composants entièrement conçus et fabriqués en Chine. Un modèle récemment dévoilé illustre cette tendance : équipé d’un OS issu de développeurs chinois et de composants nationaux, il incarne la volonté de Huawei de renforcer son indépendance technologique. Cette démarche est particulièrement marquée sur le marché intérieur, où les produits 100 % chinois se multiplient.

Un impact limité en Chine, des incertitudes à l’international

Si en Chine, l’abandon de Windows devrait avoir peu d’impact sur les ventes de Huawei, la situation pourrait être plus délicate à l’international. Les utilisateurs sont habitués aux solutions de Microsoft, et le passage à HarmonyOS ou Linux pourrait freiner l’adoption des nouveaux produits de la marque hors du territoire chinois. Cependant, Huawei mise sur l’attrait de son écosystème intégré et sur la compatibilité grandissante de ses logiciels avec les standards mondiaux pour convaincre.

Il reste un dernier frein, et pas des moindres ! Un produit 100% Chinois peut laisser craindre un espionnage 100% « made in China ». Les ordinateurs seront équipés du modèle IA DeepSeek. Il sera entièrement intégré et utilisant le processeur Kunpeng et le système PC Hongmeng comme puces et systèmes d’exploitation.

Cybersécurité, Entreprise

Arnaque au faux ransomware : des lettres physiques ciblent les cadres dirigeants​

Des escrocs envoient des lettres physiques à des cadres dirigeants, prétendant appartenir au groupe de ransomware BianLian, pour extorquer des rançons allant jusqu’à 500 000 dollars.​

Une nouvelle escroquerie cible les cadres dirigeants en leur envoyant des lettres physiques prétendant provenir du groupe de ransomware BianLian. Ces lettres affirment que des données sensibles ont été volées et menacent de les publier si une rançon, payable en Bitcoin, n’est pas versée dans les dix jours. Les montants exigés varient entre 250 000 et 500 000 dollars. Les autorités américaines, notamment le FBI et la Cybersecurity and Infrastructure Security Agency (CISA), alertent sur cette menace et recommandent aux entreprises de rester vigilantes face à cette tentative d’extorsion.​

Un mode opératoire inédit

Contrairement aux méthodes traditionnelles des cybercriminels qui privilégient les courriels ou les messages électroniques pour leurs tentatives d’extorsion, cette arnaque se distingue par l’utilisation de lettres physiques envoyées par la poste. Les enveloppes, marquées « Time Sensitive Read Immediately » (Lecture urgente), sont adressées directement aux cadres supérieurs, souvent à leurs domiciles personnels ou professionnels. Elles contiennent une lettre prétendant que le groupe « BianLian » a infiltré le réseau de l’organisation et a dérobé des milliers de fichiers sensibles. La menace est claire : si une rançon n’est pas payée en Bitcoin dans un délai de dix jours, les données seront publiées sur des sites de fuite associés à BianLian. ​

Des indices révélateurs d’une escroquerie

Plusieurs éléments laissent penser que ces lettres sont l’œuvre d’escrocs usurpant l’identité du véritable groupe BianLian. Tout d’abord, les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux. De plus, aucune preuve concrète de vol de données n’est fournie dans les lettres, et aucun moyen de contacter les auteurs pour négocier n’est mentionné, ce qui est contraire aux pratiques habituelles des groupes de ransomware. Les autorités n’ont pas identifié de lien entre les expéditeurs de ces lettres et le groupe BianLian connu. ​

Cibles privilégiées et montants exigés

Les lettres ont principalement été envoyées à des cadres du secteur de la santé aux États-Unis, avec des demandes de rançon variant entre 150 000 et 500 000 dollars. Dans certains cas, les lettres incluent un mot de passe compromis dans la section « How did this happen? » (Comment cela est-il arrivé ?), probablement pour ajouter de la crédibilité à leur revendication. Cependant, aucune activité indicative d’une intrusion par ransomware n’a été détectée dans les organisations ciblées, ce qui suggère que cette campagne vise à exploiter la peur pour inciter les organisations à payer une rançon pour une intrusion qui n’a jamais eu lieu. ​

Les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux.​

Recommandations des autorités

Il est recommandé aux entreprises de prendre les mesures suivantes pour se protéger contre cette escroquerie :​

Sensibilisation interne : Informer les cadres et les employés de l’existence de cette arnaque afin qu’ils soient vigilants s’ils reçoivent de telles lettres.​

Vérification des systèmes : S’assurer que les défenses du réseau sont à jour et qu’aucune activité malveillante n’est en cours.​

Signalement : En cas de réception d’une telle lettre, contacter immédiatement les autorités de votre pays (Police Nationale, Etc.).​

Les autorités insistent sur l’importance de ne pas céder à la panique et de ne pas effectuer de paiement sans avoir vérifié la véracité des allégations. Il est essentiel de suivre les protocoles de réponse aux incidents et de collaborer avec les forces de l’ordre pour gérer la situation de manière appropriée. ​

Le véritable groupe BianLian

Le groupe BianLian est un développeur de ransomware et un groupe cybercriminel spécialisé dans l’extorsion de données, probablement basé en Russie. Depuis juin 2022, le FBI a observé que le groupe BianLian a affecté des organisations dans plusieurs secteurs d’infrastructures critiques aux États-Unis.

En Australie, l’ACSC a observé que le groupe BianLian cible principalement des entreprises privées, y compris une organisation d’infrastructure critique. Le groupe BianLian employait initialement un modèle de double extorsion dans lequel ils exfiltraient des fichiers financiers, clients, commerciaux, techniques et personnels à des fins de levier et chiffraient les systèmes des victimes. En 2023, le FBI a observé que le groupe BianLian s’est principalement orienté vers l’extorsion basée sur l’exfiltration, laissant les systèmes des victimes intacts. ​

Cette nouvelle méthode d’escroquerie souligne l’ingéniosité des cybercriminels pour exploiter la peur et l’urgence chez leurs victimes. Le Social Engineering (Ingénierie sociale), une méthode qui est vieille comme le monde est plus efficace encore grâce au numérique. Il est crucial pour les organisations de rester informées des menaces émergentes et de renforcer les protocoles de sécurité. La vigilance, la sensibilisation et la collaboration avec les autorités sont essentielles pour contrer ces tentatives d’extorsion.

Cybersécurité, Entreprise

Le piège des fausses invitations à des réunions en ligne

Les cyberattaques ne cessent d’évoluer, exploitant des failles humaines et techniques pour infiltrer les systèmes d’information. Une nouvelle campagne de phishing, orchestrée par le groupe de hackers Storm-2372, illustre cette menace grandissante en ciblant les utilisateurs de services de messagerie comme Microsoft Teams, WhatsApp et Signal.

Depuis six mois, un stratagème sophistiqué permet à ces cybercriminels d’accéder à des ressources sensibles sans passer par l’authentification multi facteur. En envoyant de fausses invitations à des réunions en ligne, ils exploitent un mécanisme d’authentification par code d’appareil pour détourner l’accès aux fichiers, communications et mails des victimes. Cette campagne cible des gouvernements et des secteurs clés comme la défense, la santé et les télécommunications, mettant en évidence la nécessité d’un renforcement des politiques de cybersécurité.

Une méthode redoutable basée sur l’authentification par code d’appareil

Contrairement aux attaques classiques de phishing qui redirigent les utilisateurs vers des pages web frauduleuses, cette nouvelle méthode repose sur l’exploitation des processus d’authentification de plateformes légitimes. Lorsqu’un utilisateur clique sur une invitation piégée, il est dirigé vers l’interface d’authentification de son application de messagerie habituelle. On lui demande alors de renseigner un code d’appareil, une procédure qui semble anodine. Cependant, ce code active une application malveillante qui accorde un accès total aux hackers.

Ce stratagème est particulièrement pernicieux car il contourne la vigilance habituelle des utilisateurs. Il ne nécessite même pas la saisie d’un mot de passe, ce qui réduit la suspicion et accélère la compromission des comptes. Une fois l’accès obtenu, les bad hackers peuvent exploiter les ressources du compte cible de manière prolongée, même si l’utilisateur modifie son mot de passe par la suite.

Une menace mondiale pour les secteurs stratégiques

Les gouvernements et les entreprises des secteurs critiques sont en première ligne de cette vague de cyberattaques. La défense, la santé et les télécommunications constituent des cibles stratégiques en raison des données hautement sensibles qu’elles gèrent.

Les conséquences d’une intrusion peuvent être dévastatrices : espionnage industriel, perturbation des infrastructures critiques ou encore vol massif d’informations confidentielles. Cette campagne rappelle l’importance d’une politique de cybersécurité robuste et adaptée aux nouvelles techniques d’attaque.

Selon Fabien Lavabre, Directeur de la sécurité chez Tixeo, la prévention et la réaction rapide sont essentielles pour limiter l’impact de ces attaques. Il recommande plusieurs mesures clés pour renforcer la sécurité des organisations face à ces stratagèmes de phishing sophistiqués :

  • Former les utilisateurs aux nouvelles formes de phishing afin d’augmenter leur vigilance.
  • Restreindre les autorisations d’accès aux applications tierces pour limiter les risques de compromission.
  • Renforcer les contrôles d’accès et la détection des connexions suspectes afin d’intervenir rapidement en cas d’intrusion.
  • Mettre en place un processus clair pour réagir efficacement en cas de compromission d’un compte.
  • Auditer régulièrement les applications autorisées et supprimer celles qui ne sont plus utiles.

Ces recommandations visent à minimiser les risques et à garantir une meilleure résilience face aux cybermenaces qui évoluent constamment.

Storm-2372, kesako

Storm-2372 est un groupe de hackers malveillant que Microsoft pense être aligné sur les intérêts et les méthodes de la Russie. Depuis août 2024, ce groupe mène des campagnes de phishing sophistiquées ciblant divers secteurs, notamment les gouvernements, les ONG, les services informatiques, la défense, les télécommunications, la santé, l’enseignement supérieur et l’énergie, à travers l’Europe, l’Amérique du Nord, l’Afrique et le Moyen-Orient.

La technique principale utilisée par Storm-2372 est le « phishing par code d’appareil« . Cette méthode exploite le flux d’authentification par code d’appareil pour capturer les jetons d’authentification des utilisateurs, leur permettant ainsi d’accéder aux comptes ciblés et aux données associées sans nécessiter de mot de passe.

Les attaquants peuvent maintenir un accès persistant tant que ces jetons restent valides.

Les campagnes de Storm-2372 impliquent souvent l’envoi d’invitations à des réunions en ligne via des services de messagerie tels que WhatsApp, Signal et Microsoft Teams. Les victimes sont incitées à entrer un code d’appareil sur une page de connexion légitime, ce qui permet aux attaquants de capturer les jetons d’accès et de compromettre les comptes.

Pour se protéger contre de telles attaques, il est recommandé de bloquer l’utilisation du flux de code d’appareil lorsque cela est possible, de restreindre son utilisation aux appareils et réseaux de confiance via des politiques d’accès conditionnel, d’éduquer les utilisateurs sur les techniques de phishing, de mettre en œuvre une authentification multifactorielle (MFA) et d’utiliser des méthodes d’authentification résistantes au phishing.

Un avenir toujours plus complexe pour la cybersécurité ?

Alors que les cyberattaques deviennent de plus en plus sophistiquées, les organisations doivent sans cesse adapter leurs stratégies de protection. Cette campagne de phishing souligne à quel point les hackers sont capables d’exploiter les mécanismes légitimes d’authentification pour contourner les dispositifs de sécurité traditionnels. Comment les entreprises et les gouvernements pourront-ils anticiper ces menaces et s’adapter à un paysage numérique toujours plus hostile ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Cybersécurité, Entreprise, Social engineering

Cybermenaces 2025 : l’évolution inquiétante des attaques

L’année 2025 s’annoncerait comme un tournant décisif dans le monde de la cybersécurité. Un rapport met en évidence une escalade alarmante des cyberattaques. Cinq tendances majeures se dégagent : des extorsions plus agressives, une vulnérabilité accrue des chaînes d’approvisionnement et du cloud, une accélération des attaques, l’essor des menaces internes, et l’utilisation croissante de l’IA par les cybercriminels.

Derrière ces évolutions se cachent des groupes de cybercriminels toujours plus sophistiqués et des États-nations exploitant la technologie à des fins stratégiques. Le rapport, basé sur l’analyse de plus de 500 cyberattaques majeures en 2024, révèle une dynamique où la rapidité et la sophistication des attaques dépassent souvent la capacité de réponse des entreprises.

L’extorsion prend une nouvelle dimension : du rançongiciel à la destruction opérationnelle

Les cyberattaques par ransomware continuent d’évoluer. Les groupes criminels ne se contentent plus de chiffrer les fichiers et d’exiger une rançon. Aujourd’hui, la destruction intentionnelle des systèmes devient un levier de pression supplémentaire pour forcer les entreprises à payer. Le rapport décrit trois phases d’évolution des attaques par extorsion :

Phase 1 : le chiffrement des fichiers – Une méthode classique où les pirates bloquent l’accès aux données et réclament une rançon.
Phase 2 : l’exfiltration des données – Les hackers menacent de publier des informations sensibles en plus de bloquer l’accès.
Phase 3 : la perturbation massive des opérations – Au-delà de l’attaque numérique, les pirates suppriment des données, sabotent des infrastructures et harcèlent employés et clients.

86 % des attaques recensées en 2024 ont entraîné des interruptions opérationnelles majeures. Les rançons demandées ont augmenté de 80 %, atteignant une médiane de 1,25 million de dollars.

Chaînes d’approvisionnement et cloud : des failles de plus en plus exploitées

Le rapport de Palo Alto et de son équipe Unit42 révèle une explosion des attaques ciblant les chaînes d’approvisionnement logicielles et les environnements cloud. En 2024, 29 % des incidents concernaient des ressources cloud, et 21 % des cas ont vu des pirates perturber directement ces infrastructures.

Les cybercriminels exploitent des vulnérabilités dans les identités et accès (IAM), profitant d’erreurs de configuration et d’identifiants exposés. Dans un cas étudié par Unit 42, des attaquants ont scanné 230 millions de cibles uniques pour trouver des données sensibles mal protégées.

L’exploitation de failles dans les VPN et les applications SaaS est aussi en hausse. Des groupes comme Bling Libra et Muddled Libra s’infiltrent dans des systèmes cloud en abusant de politiques d’accès trop permissives et d’erreurs humaines, ce qui leur permet d’exfiltrer et de détruire des volumes massifs de données.

Les cyberattaques accélèrent : des heures, voire des minutes, pour réagir

L’un des constats les plus alarmants du rapport est l’accélération sans précédent des cyberattaques. Grâce à l’automatisation, aux kits de hacking prêts à l’emploi et à l’IA, les pirates peuvent compromettre un système et exfiltrer des données en moins d’une heure.

Les chiffres clés

25 % des attaques exfiltrent des données en moins de 5 heures (contre 15 heures en 2021).
19 % des attaques exfiltrent des données en moins d’une heure.
Temps médian pour l’exfiltration : 2 jours – une course contre la montre pour les défenseurs.
Un cas marquant du rapport concerne le groupe RansomHub, qui a infiltré un réseau municipal et exfiltré 500 Go de données en seulement sept heures, après avoir contourné une connexion VPN sans authentification multi-facteurs.

La montée en puissance des menaces internes : le rôle croissant des États-nations

L’année 2024 a vu une explosion des menaces internes orchestrées par des États-nations, notamment la Corée du Nord. Le nombre d’attaques de ce type a triplé, ciblant des secteurs variés comme la finance, les médias, la logistique et même des entreprises technologiques.

Le rapport détaille la tactique du groupe Wagemole, qui infiltre des entreprises via de faux employés en postes techniques sensibles. Ces agents : Exfiltrent des données sensibles. Introduisent des outils de surveillance clandestins. Altèrent du code source pour insérer des portes dérobées dans des logiciels critiques. L’utilisation de dispositifs KVM-over-IP permet également aux attaquants de prendre le contrôle de machines distantes sans être détectés par les outils de cybersécurité traditionnels.

L’IA : nouvelle arme des cybercriminels

Si l’intelligence artificielle est un atout pour les défenseurs, elle devient aussi une arme redoutable pour les attaquants. L’IA générative permet de créer des campagnes de phishing hyper réalistes ; De générer des malwares polymorphes, difficiles à détecter ; De simuler des voix et des visages pour tromper les entreprises et exécuter des attaques d’ingénierie sociale. Un test mené par Unit 42 a montré qu’un cybercriminel utilisant l’IA pouvait accélérer une attaque de 100 fois, réduisant le temps d’exfiltration de 2 jours à seulement 25 minutes.

Cybersécurité, Entreprise, Social engineering

Cyberattaques en 2025 : une menace grandissante et des attaques toujours plus rapides

La cybersécurité fait face à une évolution sans précédent des menaces. Selon le rapport 2025 de l’Unit 42 de Palo Alto Networks, les cyberattaques sont plus rapides, sophistiquées et impactantes que jamais.

En 2025, les entreprises du monde entier doivent redoubler de vigilance face à des cybermenaces en constante mutation. Le rapport annuel sur la réponse aux incidents de l’Unit 42 révèle une évolution marquante des tactiques employées par les cybercriminels. Avec plus de 500 cyberattaques majeures analysées dans 38 pays, ce document met en lumière une tendance croissante aux perturbations intentionnelles des opérations plutôt qu’au simple vol de données. Plus alarmant encore, les attaquants se montrent toujours plus rapides, réussissant à exfiltrer des données en quelques minutes seulement. Alors que les entreprises renforcent leurs dispositifs de sécurité, les cybercriminels perfectionnent leurs stratégies. Comment répondre à ces nouvelles menaces et quelles mesures adopter pour limiter les risques ?

Une évolution vers la perturbation intentionnelle

L’Unit 42 met en évidence une transformation majeure des objectifs des cyberattaques. Alors que le vol de données était historiquement l’une des principales motivations des attaquants, 86 % des incidents en 2024 ont engendré des interruptions d’activité ou des atteintes à la réputation des entreprises concernées. Cette tendance traduit un changement de paradigme : désormais, la perturbation est une arme d’extorsion à part entière.

Les cybercriminels déploient des attaques sophistiquées visant à paralyser les activités d’une organisation en provoquant des pannes systémiques. Ces interruptions coûtent cher, tant sur le plan financier que sur celui de la confiance des clients et partenaires. Une attaque bien orchestrée peut engendrer des pertes de plusieurs millions d’euros et nuire durablement à l’image d’une entreprise. Cette stratégie de sabotage illustre une mutation profonde des motivations des cyberattaquants, qui exploitent les faiblesses des infrastructures informatiques modernes pour maximiser leur impact.

La vitesse d’exfiltration des données s’accélère

Le rapport 2025 de l’Unit 42 souligne une accélération frappante des cyberattaques. Dans 25 % des incidents analysés, les attaquants ont exfiltré des données en moins de cinq heures, une vitesse trois fois plus rapide qu’en 2021. Plus alarmant encore, dans 20 % des cas, l’exfiltration a eu lieu en moins d’une heure.

Cette rapidité est favorisée par plusieurs facteurs. Tout d’abord, l’automatisation des attaques permet aux cybercriminels d’utiliser des outils d’intelligence artificielle et des algorithmes avancés pour voler des données à une vitesse inégalée. Ensuite, l’exploitation des failles systémiques est devenue une stratégie récurrente, les vulnérabilités des systèmes cloud et des chaînes d’approvisionnement offrant des points d’entrée privilégiés pour une infiltration rapide. De plus, les attaquants ont affiné leur connaissance des systèmes informatiques ciblés, leur permettant de cartographier précisément les infrastructures avant de lancer leurs offensives, optimisant ainsi l’efficacité de leurs actions malveillantes. Le Social Engineering a gagné du terrain comme le stipule le rapport.

Des techniques d’attaque toujours plus sophistiquées

L’Unit 42 observe une diversification et une sophistication croissante des cyberattaques. Parmi les principales évolutions relevées :

Les cybercriminels déplacent désormais leurs exfiltrations de données vers le cloud. Dans 45 % des cas analysés, les informations volées sont stockées dans des infrastructures cloud, compliquant leur détection et leur récupération par les entreprises victimes. Par ailleurs, les navigateurs web représentent une surface d’attaque de plus en plus exploitée. En effet, 44 % des incidents impliquent des activités malveillantes utilisant les navigateurs des employés, souvent via des campagnes de phishing réalisées avec des techniques avancées. De plus, les attaques multi-vectorielles deviennent la norme, 70 % des cyberattaques exploitant simultanément plusieurs failles dans le but de contourner les défenses des entreprises.

Comment répondre à ces menaces croissantes ?

Face à cette escalade des menaces, l’Unit 42 préconise plusieurs mesures pour renforcer la cybersécurité des organisations :

Les entreprises doivent adopter le modèle Zero Trust, qui consiste à limiter la confiance implicite et à vérifier systématiquement les accès et identités des utilisateurs. Il est aussi essentiel de renforcer la sécurité des environnements cloud en surveillant et corrigeant rapidement les mauvaises configurations ainsi que les vulnérabilités identifiées. En parallèle, l’amélioration de la visibilité et de la réponse aux incidents passe par une centralisation et une analyse en temps réel des journaux d’activités afin d’identifier et de neutraliser les menaces plus rapidement. Enfin, l’automatisation de la détection et de la réponse aux incidents grâce à l’intelligence artificielle s’avère indispensable pour lutter efficacement contre ces nouvelles formes de cyberattaques.

Vers un futur où la cyberrésilience est essentielle

L’année 2025 marque une nouvelle ère pour la cybersécurité, où la rapidité et la complexité des cyberattaques obligent les organisations à repenser leurs stratégies de défense. Si les entreprises s’adaptent en améliorant leur capacité de détection et de réponse, les attaquants trouvent toujours de nouvelles failles à exploiter.

La question reste ouverte : les entreprises seront-elles capables de maintenir une longueur d’avance sur des cybercriminels de plus en plus sophistiqués ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Cybersécurité, Entreprise

Un Centre de Cybersécurité de Pointe Inauguré à Redu/Transinne

Le pôle spatial et cyber Galaxia de Redu/Transinne en province de Luxembourg accueille désormais un centre de cybersécurité de pointe, intégrant un laboratoire de cryptographie quantique et un cyber range avec simulateur de crise.

Mis en place en collaboration avec la firme belge Nexova, spécialisée en solutions d’ingénierie et de cybersécurité, le cyber range est une plateforme offrant aux organisations des scénarios d’attaque et de défense réalistes. Cet outil permet au personnel de vivre des expériences pratiques en cas d’attaque simulée, notamment dans le cadre de la directive NIS2. De plus, il offre la possibilité de tester et de déployer de nouvelles défenses sans impacter l’architecture réelle des systèmes.

Le cyber range est une plateforme d’émulation qui aide à comprendre le comportement des systèmes de défense internes, à anticiper les problèmes, à tester les correctifs et mises à jour, ainsi qu’à proposer des exercices et formations pratiques. Selon Axel Legay, expert en IA et cybersécurité chez Nexova, « 80% à 90% des cyberattaques sont d’origine humaine ou liées à des perturbations dans l’environnement humain ».

Pour répondre à ces défis, Nexova a développé l’outil CITEF, capable de créer une émulation réaliste des environnements IT et OT d’une organisation. Cet outil intègre des environnements de formation et de test, et génère des scénarios d’entraînement personnalisés basés sur l’intelligence artificielle.

Un Laboratoire de cryptographie quantique innovant

En partenariat avec Thales, le site de Redu/Transinne a également inauguré un laboratoire dédié à la cryptographie quantique. Gilles Brassard, cryptographe canadien et co-inventeur du premier protocole de cryptographie quantique BB84 en 1984, souligne que « l’arrivée de l’ordinateur quantique permettra de déjouer n’importe quelle sécurité puisque toutes les communications transmises et cryptées pourront être décryptées ».

Ce laboratoire offre un espace aux chercheurs, ingénieurs et experts pour développer des solutions innovantes visant à sécuriser les communications numériques en exploitant les principes de la physique quantique. L’objectif est de construire le réseau d’information du futur et de garantir une sécurisation complète des communications. Starion Group, spécialisée en ingénierie spatiale, a déjà manifesté son intérêt pour participer à ce projet, notamment pour étudier la sécurisation des données satellitaires et développer un bouclier quantique protégeant les systèmes d’échange de données.

Un Écosystème propice au développement

Ce projet, fruit d’un investissement de 10 millions d’euros dans le cadre du Plan de Relance de la Wallonie, bénéficie de la proximité du Centre européen de sécurité et d’éducation spatiale (ESEC). Ce centre se positionne comme une référence en matière de cybersécurité. L’Agence spatiale européenne (ESA) joue un rôle de catalyseur, avec pour objectif que ce centre de référence soit piloté par l’industrie.

La mise en place de ce centre de cybersécurité à Redu/Transinne représente une avancée majeure pour la région wallonne. Il offre aux entreprises et organismes publics les outils nécessaires pour renforcer leur résilience face aux cybermenaces croissantes. En combinant expertise locale et partenariats stratégiques, ce centre aspire à devenir un pilier essentiel de la cybersécurité en Europe.

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

article partenaire

Pourquoi réaliser un audit de sécurité informatique ?

À l’ère du numérique, assurer la sécurité informatique est un impératif stratégique pour toutes les entreprises. Chaque jour, de nouvelles menaces, telles que les cyberattaques, les pertes de données ou les défaillances techniques, apparaissent. Dans ce contexte, il est crucial d’évaluer précisément vos dispositifs de protection. C’est là qu’intervient l’audit de sécurité. Mais pourquoi est-il si important de l’effectuer régulièrement ? Voici cinq raisons clés de l’adopter dès maintenant.

Évaluer la sécurité informatique de votre SI

L’audit de sécurité informatique est un processus d’examen complet et structuré des solutions de sécurité mises en œuvre au sein de votre système d’information. Il permet d’identifier les failles et les vulnérabilités potentielles, qu’elles soient d’ordre matériel, logiciel ou organisationnel. Les auditeurs vont analyser en détail l’architecture de votre infrastructure, la configuration de vos équipements et applications, ainsi que les procédures de gestion et de contrôle. Grâce à ce diagnostic exhaustif, ils pourront vous fournir un rapport détaillé, accompagné de recommandations concrètes pour renforcer la sécurité globale de votre SI et le protéger efficacement contre les cybermenaces. Pour ce faire, vous pouvez découvrir le service axido. Ces derniers proposent des solutions adaptées pour renforcer la sécurité de votre système d’information.

Identifier les risques internes et externes de votre structure informatique

L’audit de vos équipements informatiques prend en compte bien plus que les vulnérabilités techniques. Il vise également à identifier les menaces, qu’elles soient d’origine interne (erreurs humaines, accès non autorisés, etc.) ou externe (cyberattaques, intrusions, etc.). Les auditeurs vont cartographier l’ensemble des risques pesant sur votre système d’information et les hiérarchiser en fonction de leur criticité. Cela vous permettra de prioriser les actions à mettre en place et de concentrer vos efforts sur les domaines les plus vulnérables. L’objectif est de pouvoir anticiper et de vous prémunir contre tous les types d’incidents susceptibles de compromettre la sécurité de vos données et de vos opérations.

Sécuriser vos données informatiques

La protection des données sensibles est un enjeu majeur pour toute entreprise. L’audit de sécurité informatique va examiner en détail les mesures de sauvegarde, de chiffrement et de contrôle d’accès mises en place pour assurer la confidentialité, l’intégrité et la disponibilité de vos informations critiques. Les experts vérifieront notamment la robustesse de vos processus anti-violation, la pertinence de vos paramètres de sécurité et l’efficacité de vos mises à jour. Leurs recommandations vous permettront de combler les lacunes identifiées et de renforcer la sécurité globale de votre système d’information, garantissant ainsi la pérennité de vos données.

Mettre à jour les politiques et les normes de sécurité

L’audit de sécurité informatique ne se limite pas à analyser l’état actuel de votre système d’information ; il aide également à mettre à jour et à renforcer vos politiques et normes de sécurité. En s’appuyant sur les audits précédents, les experts vont examiner dans le détail l’application effective des mesures de protection au sein de votre entreprise. Cela leur permettra d’identifier les éventuels écarts et de proposer des améliorations pour atteindre un niveau de sécurité optimal, en adéquation avec vos enjeux métier et les exigences réglementaires en vigueur. Ainsi, votre organisation sera mieux armée pour faire face aux évolutions constantes des menaces.

DDoS, Entreprise

Perturbations internet mondiales au quatrième trimestre 2024

L’instabilité de la connectivité mondiale a été marquée par de multiples incidents au quatrième trimestre 2024. Entre catastrophes naturelles, pannes de courant, coupures de câbles et décisions gouvernementales, l’internet a connu plusieurs interruptions majeures impactant de nombreux pays.

Cloudflare, acteur majeur de l’infrastructure internet, analyse en continu les perturbations affectant le réseau mondial. Au cours du dernier trimestre 2024, diverses interruptions ont eu lieu pour des raisons variées : pannes de courant prolongées, ouragans, séismes, conflits militaires ou encore maintenances techniques imprévues. Certains gouvernements ont également imposé des restrictions temporaires sur internet, provoquant des coupures ciblées. Cet article revient en détail sur ces incidents, leurs causes et leurs conséquences sur la connectivité des utilisateurs à travers le monde.

Une vision globale des coupures internet

Cloudflare, acteur majeur de l’infrastructure internet, surveille en permanence le réseau mondial et enregistre les anomalies qui perturbent la connectivité. Au quatrième trimestre 2024, nous avons relevé diverses coupures causées par des ruptures de câbles, des catastrophes naturelles, des coupures de courant, des interventions gouvernementales et des événements militaires. Ces incidents ont touché plusieurs pays, notamment en Afrique (Rwanda, Niger, Kenya), en Amérique (USA, Cuba), en Europe et en Asie.

Ruptures de câbles : Rwanda et Niger impactés

Le 1er octobre, une double rupture de fibre en Tanzanie et en Ouganda a provoqué une coupure quasi totale de l’internet au Rwanda. L’opérateur MTN Rwanda a signalé une interruption du trafic entre 13 h 15 et 13 h 30 heure locale, avec un retour progressif à la normale en fin de journée. Cette panne a mis en évidence le manque de redondance dans les infrastructures de télécommunications rwandaises.

Le 30 novembre, Airtel Niger a informé ses abonnés d’une interruption massive due à des coupures simultanées de fibre optique aux sorties de Niamey. L’internet a été indisponible sur tout le territoire de 17 h 30 le 29 novembre à 19 h 45 le 30 novembre. L’absence d’une connexion de secours a ralenti le processus de rétablissement du service.

Exergue : Les ruptures de câbles en Afrique illustrent la vulnérabilité des infrastructures télécoms face aux pannes simultanées.

Coupures de courant : Cuba, Guadeloupe et Kenya touchés

Le 18 octobre, une panne de la centrale Antonio Guiteras a plongé Cuba dans le noir, entraînant une chute du trafic internet de plus de 50 %. L’électricité n’a été rétablie qu’après trois jours et demi. De nouvelles pannes ont frappé l’île les 6 novembre et 4 décembre, perturbant à nouveau l’internet national. Le 25 octobre, une grève a conduit à l’arrêt d’urgence de la centrale électrique, laissant l’île sans courant. Cette situation a provoqué une chute du trafic internet de 70 %. Le rétablissement a été progressif, prenant plus de temps que prévu. Le 18 décembre, une panne de courant généralisée a affecté la majorité du pays, sauf les régions nord et ouest. Cette interruption a causé une chute de 70 % du trafic internet, avant un rétablissement complet dans la matinée.

Catastrophes naturelles : des réseaux dévastés

L’ouragan Milton, de catégorie 3, a touché la Floride le 9 octobre. Entre inondations et coupures d’électricité, le trafic internet a chuté de 40 % dans l’État, avec un retour progressif au cours des jours suivants.
Le 14 décembre, le cyclone Chido a gravement endommagé l’infrastructure de Mayotte, réduisant le trafic internet à presque zéro. Plusieurs semaines ont été nécessaires pour un retour partiel à la normale.
Un séisme de magnitude 7,3 a frappé le Vanuatu le 17 décembre, provoquant une chute de 90 % du trafic internet. Un incendie à la station d’accueil du câble sous-marin a retardé la restauration du service, qui n’a été pleinement opérationnel qu’après dix jours.

Coupures d’origine gouvernementale

Le 25 octobre, une coupure internet a été observée lors des manifestations contre la réélection du parti au pouvoir. Vodacom, Movitel et Telecomunicações de Mozambique ont tous connu des interruptions. Le ministre des Transports et des Communications a justifié ces mesures comme un moyen d’éviter des violences.

Actions militaires : Ukraine et Syrie

Le 9 novembre, une perturbation internet a suivi une frappe aérienne israélienne, entraînant une chute de 80 % du trafic pendant quatre heures. Les frappes russes du 17 et du 28 novembre sur les infrastructures électriques ont provoqué des pannes de courant, réduisant la connectivité de 65 % dans plusieurs régions. Le rétablissement a pris plusieurs jours.

Maintenances et incidents techniques

Le 3 décembre, une maintenance annoncée a entraîné une coupure totale du réseau Suisse Salt Mobile pendant trois heures.
Le 10 décembre, un incident technique combiné avec une maintenance planifiée a causé une panne totale de l’internet pendant près de trois heures va impacter Tusass A/S au Groenland.

Perturbations inexpliquées : Verizon aux États-Unis

Le 12 novembre, les clients Verizon Fios ont subi une panne majeure affectant plusieurs États américains. Malgré une résolution rapide en six heures, l’opérateur n’a pas précisé les causes exactes de cette interruption.

Le 20 décembre, une panne internet majeure a été signalée en Russie, touchant plusieurs régions du pays. Les rapports indiquent que cette interruption était due à une combinaison de pannes d’infrastructure et de mesures de censure gouvernementale accrues. Moscou et Saint-Pétersbourg ont été particulièrement affectés, avec des baisses de trafic significatives observées pendant plusieurs heures. Les autorités russes n’ont pas fourni d’explications officielles sur la cause exacte de la panne, bien que des spéculations évoquent des ajustements de contrôle du réseau ou une cyberattaque.

Le 15 novembre, plusieurs grandes villes françaises ont connu une panne internet affectant les principaux fournisseurs d’accès. Des problèmes de connectivité ont été signalés à Paris, Lyon et Marseille, en raison d’une panne de fibre optique majeure. L’incident a duré plusieurs heures avant d’être résolu en fin de journée.

Le 5 décembre, l’opérateur Telekom Deutschland a signalé une panne affectant des millions d’abonnés à travers le pays. Cette interruption était due à une mise à jour logicielle défectueuse ayant provoqué un dysfonctionnement des routeurs. Les services ont été progressivement rétablis dans les 24 heures suivantes.

Le 10 octobre, une coupure massive d’internet a touché plusieurs régions de l’Inde, notamment New Delhi et Mumbai. Cette panne a été attribuée à des travaux de maintenance imprévus sur les infrastructures de fibre optique. Certains services en ligne sont restés indisponibles pendant plus de 12 heures.

Le 8 novembre, une tempête violente a frappé São Paulo et Rio de Janeiro, causant d’importantes coupures d’électricité et affectant la connectivité internet. Des milliers d’abonnés ont été privés de service pendant près de 48 heures avant un retour progressif à la normale.

Bref, l’année 2024 a encore une fois démontré la fragilité de l’internet mondial face aux pannes d’infrastructure, aux catastrophes naturelles et aux décisions politiques. La résilience des réseaux reste un enjeu clé pour les gouvernements et les opérateurs télécoms. (Avec Cloudflare)

Pour en savoir plus sur les perturbations internet évoquées dans cet article, consultez les sources suivantes :
Cloudflare Radar : https://radar.cloudflare.com/
Downdetector : https://downdetector.com/
France : https://www.lemonde.fr & https://www.zataz.com
Allemagne : https://www.spiegel.de/
Inde : https://www.thehindu.com/
Brésil : https://www1.folha.uol.com.br/

cyberattaque, Entreprise

Chronopost victime d’une cyberattaque : 210 000 clients compromis ?

Le 28 janvier 2025, Chronopost découvre une cyberattaque compromettant les données personnelles de 210 000 clients, exposant noms, adresses et signatures.

Le 28 janvier 2025, Chronopost, leader français de la livraison express, a été la cible d’une cyberattaque majeure. Cette intrusion aurait conduit à la fuite des données personnelles de 210 000 clients, incluant noms et adresses. Etonnamment, j’ai lu dans certains médias que le pirate avait eu accès aux signatures. Détail que le pirate n’a pas exprimé. Il a cependant indiqué dans sa petite annonce « Cette base de données contient des informations sur plus de 7,3 millions d’utilisateurs, comprenant à la fois des clients particuliers et des entreprises. » Les conséquences potentielles pour les clients sont préoccupantes et faciles à définir, notamment en matière de sécurité et de confidentialité. Le pirate, fan de Thorfinn de la saga manga Vinland ou encore de Jing (Arcane), connu sous le pseudonyme de akldvg/arkeliaad, n’est pas à son coup d’essai dans le vol de bases de données.

Le 29 janvier 2025, Chronopost détecte une intrusion dans son système informatique. Une détection assez facile. Il faut dire aussi que le pirate a diffusé une petite annonce vue par des centaines de personnes sur le forum Breached. Ce bad hacker indique avoir exfiltré les informations la veille, le 28 janvier.

Le cybercriminel aurait réussi à accéder aux données personnelles. Chronopost parle de 210 000 clients. Le pirate affiche, lui, l’exfiltration de 7 millions. Les informations compromises comprennent les noms, prénoms, adresses postales, numéros de téléphone et, dans certains cas, les signatures apposées lors des livraisons [ce que le pirate n’indiquait pas dans sa petite annonce].

Chronopost a rapidement informé les clients concernés et a renforcé la sécurité de ses systèmes pour prévenir de futures attaques. Chronopost a acheté la base de données au pirate ? Non, évidement ! L’échantillon diffusé par le pirate a permis à la société de retrouver la porte d’entrée et les données collectées par le malveillant.

Conséquences pour les clients

La fuite de ces données sensibles expose les clients à plusieurs risques. Elles peuvent être utilisées pour créer de faux documents ou accéder à des services en se faisant passer pour les victimes. Des messages frauduleux ciblés sont possible (Les phishing Chronopost sont déjà trés nombreux, NDR). Chronopost a annoncé travailler avec les autorités pour identifier les auteurs de l’attaque et sécuriser ses systèmes.

Cybersécurité, Entreprise

Patch Tuesday de février 2025 : Les mises à jour critiques à ne pas manquer

Microsoft et Adobe renforcent la sécurité avec des correctifs majeurs en février 2025 dont plusieurs zero day.

Le Patch Tuesday de février 2025 apporte des mises à jour importantes pour Microsoft et Adobe, avec un total de 56 CVE corrigées pour Microsoft et 45 pour Adobe. Parmi elles, plusieurs vulnérabilités critiques et des Zero Day exploitées activement. Windows reste la priorité absolue ce mois-ci.

Ce mois-ci, Microsoft ralentit son rythme après la grosse mise à jour de janvier, mais continue de résoudre des vulnérabilités majeures, y compris deux Zero Day et une révision critique de Secure Boot. Adobe, quant à lui, cible principalement Adobe Commerce, corrigeant 30 CVE sur les 45 publiées. La mise à jour de Google Chrome est attendue sous peu, ce qui renforcera la sécurité des navigateurs basés sur Chromium, dont Microsoft Edge.

Vulnérabilités Microsoft exploitées

CVE-2025-21418 – Élévation de privilèges via AFD Windows

Microsoft corrige une vulnérabilité critique dans le pilote de fonction auxiliaire (AFD) Windows pour WinSock. Cette faille, exploitée activement, permet d’obtenir des privilèges SYSTEM, ce qui en fait une priorité pour toutes les versions de Windows, de Windows 10 à Server 2025. Son score CVSS est de 7,8.

CVE-2025-21391 – Élévation de privilèges via stockage Windows

Cette vulnérabilité concerne le stockage Windows et affecte également toutes les versions de Windows 10 à Server 2025. Son exploitation permet de gagner des privilèges élevés, ce qui justifie son traitement prioritaire. Score CVSS : 7,1.

CVE-2023-24932 – Secure Boot : une mise à jour essentielle

Une révision du correctif Secure Boot a été publiée, élargissant la couverture à Windows 11 24H2 et Server 2025. Cette faille, exploitée et publiquement divulguée, nécessite une mise à jour immédiate pour garantir une protection optimale.

Vulnérabilités Microsoft divulguées publiquement

CVE-2025-21377 – Usurpation d’identité via hachage NTLM

Cette faille de type Spoofing permet l’exposition de hachages NTLM, affectant toutes les versions de Windows. Bien que classée « Important » avec un score CVSS de 6,5, elle est publiquement divulguée, augmentant le risque d’exploitation.

CVE-2025-21194 – Contournement des fonctions de sécurité sur Microsoft Surface

Cette faille affecte les systèmes Surface et leur kit de développement. Bien que sa maturité d’exploitation ne soit pas encore prouvée, elle reste une menace potentielle à surveiller. Score CVSS : 7,1.

Vulnérabilités tierces : focus sur Adobe et Google Chrome

Adobe publie des mises à jour pour plusieurs de ses produits phares, dont InDesign, Commerce, Substance 3D, InCopy et Illustrator. La mise à jour d’Adobe Commerce, classée Priorité 1, corrige 30 des 45 CVE, ce qui la rend critique pour les entreprises utilisant cette plateforme.

Google Chrome publiera sa mise à jour de sécurité d’ici peu, impactant aussi Microsoft Edge et d’autres navigateurs basés sur Chromium. Étant donné la fréquence hebdomadaire des correctifs Chrome depuis août 2023, il est vivement conseillé de mettre à jour ses navigateurs chaque semaine.

Priorités de mise à jour pour février

  1. Microsoft Windows : Priorité absolue avec 3 CVE exploitées activement, 2 vulnérabilités publiquement divulguées et plusieurs correctifs critiques.
  2. Adobe Commerce : 30 CVE corrigées, une mise à jour classée Priorité 1.
  3. Navigateurs web : Les mises à jour hebdomadaires de Chrome, Edge et Firefox sont essentielles pour réduire le risque d’exploitation.
backdoor, Cybersécurité, Entreprise

PDF malveillants pour voler des identifiants sur les appareils mobiles

Une campagne de mishing sophistiquée se faisant passer pour l’USPS utilise des PDF malveillants pour voler des identifiants sur les appareils mobiles.

Zimperium, spécialiste de la sécurité mobile, a découvert une campagne de mishing ciblant exclusivement les appareils mobiles. Les cybercriminels se font passer pour le service postal américain (USPS) et utilisent des fichiers PDF malveillants pour dérober des informations sensibles. Cette attaque, qui exploite la confiance des utilisateurs envers les communications officielles et le format PDF, démontre une sophistication croissante des techniques de hameçonnage mobile. Elle souligne l’importance de mesures de sécurité proactives pour protéger les données des utilisateurs.

Une campagne de mishing sophistiquée ciblant les appareils mobiles

Zimperium, spécialiste de la sécurité mobile, a récemment identifié une campagne de mishing (hameçonnage sur mobile) usurpant l’identité du service postal américain (USPS). Cette attaque vise exclusivement les appareils mobiles en diffusant des fichiers PDF malveillants conçus pour voler des identifiants et compromettre des données sensibles. Les cybercriminels exploitent la confiance que les utilisateurs accordent aux communications d’apparence officielle et au format PDF pour les tromper. Sur les appareils mobiles, où la visibilité du contenu des fichiers est souvent limitée avant ouverture, les risques de violation de données et de vol d’identifiants augmentent considérablement.

Méthodes d’obscurcissement innovantes et portée mondiale de l’attaque

L’équipe de recherche zLabs de Zimperium a révélé que cette campagne utilise une méthode d’obscurcissement sans précédent pour diffuser des fichiers PDF malveillants. Plus de 20 fichiers PDF malveillants et 630 pages de phishing ont été identifiés, ciblant des organisations dans plus de 50 pays. Les cybercriminels intègrent des éléments malveillants dans les PDF et utilisent des tactiques d’ingénierie sociale pour tromper les destinataires. Ces techniques d’évasion innovantes masquent les liens malveillants, échappant ainsi aux solutions traditionnelles de sécurité des endpoints.

Conseils pour se protéger contre le mishing et les PDF malveillants

Pour se protéger contre ce type de tentatives d’hameçonnage par SMS et PDF, il est conseillé de d’examiner l’identité de l’expéditeur. Pour cela, vérifiez le numéro de téléphone ou l’adresse électronique de l’expéditeur. Les messages officiels de l’USPS proviendront d’une source vérifiée.

Naviguez directement vers le site officiel de l’USPS ou utilisez leur application mobile au lieu de cliquer sur des liens intégrés.

Sur un ordinateur de bureau ou via une application fiable, examinez les propriétés du document à la recherche d’informations inhabituelles ou incohérentes.

Utilisez des solutions de sécurité mobile avancées pour détecter et bloquer les tentatives d’hameçonnage.

En adoptant ces mesures, les utilisateurs peuvent réduire significativement les risques associés aux attaques de mishing et protéger leurs informations sensibles.

Cette campagne de mishing souligne la sophistication croissante des cyberattaques ciblant les appareils mobiles. Il est essentiel pour les utilisateurs de rester vigilants et d’adopter des mesures de sécurité proactives pour protéger leurs données personnelles. Pour rester informé des dernières menaces et obtenir des conseils de sécurité, inscrivez-vous à la newsletter de Zataz et suivez-nous sur WhatsApp et nos réseaux sociaux.

Cybersécurité, Entreprise

Les pays leaders en cybersécurité : décryptage des stratégies mondiales

Avec des cyberattaques en hausse constante, certains pays se démarquent par leur leadership en matière de cybersécurité, montrant ainsi la voie pour contrer cette menace mondiale.

Les violations de sécurité prolifèrent à un rythme alarmant, menaçant des organisations partout dans le monde. Dans ce contexte, les nations se mobilisent pour renforcer leurs défenses et établir leur position en tant que leaders en cybersécurité. Mais qu’est-ce qui distingue les pays les plus performants ? Leur réactivité, leurs capacités organisationnelles et leurs cadres juridiques jouent un rôle crucial. Selon l’indice mondial de cybersécurité (GCI) de l’Union internationale des télécommunications (UIT), les initiatives nationales varient grandement. Cet article dévoile les 8 pays les plus dynamiques en cybersécurité à l’approche de 2025, chacun proposant des solutions innovantes pour relever ces défis complexes.

Leadership européen : la Finlande en première ligne

L’Europe domine la scène mondiale de la cybersécurité avec 20 pays classés comme modèles par l’UIT. Parmi eux, la Finlande se distingue grâce à une stratégie de sécurité nationale ambitieuse. Cette stratégie, qui s’étend sur une décennie, illustre une compréhension approfondie des menaces cyberélectroniques actuelles.

Les pays nordiques, dont la Finlande, excellent dans les efforts conjoints. Leur coopération régionale et internationale, combinée à des programmes éducatifs avancés, renforce leurs défenses. En Finlande, des initiatives clés, comme la formation des professionnels du secteur, visent à préparer la main-d’œuvre aux menaces futures.

Malgré ces atouts, la Finlande n’est pas à l’abri. Des cyberattaques provenant de groupes comme APT31 ou des ransomwares ciblant la Banque de Finlande ont mis en lumière des vulnérabilités. L’adhésion à l’OTAN en 2023 a également intensifié les tensions, notamment avec des cyberattaques russes. Pourtant, la Finlande s’engage à être un modèle à suivre dans la gestion de ces menaces croissantes. Avec une feuille de route ambitieuse et des stratégies bien définies, la Finlande aspire à être une référence mondiale en cybersécurité d’ici 2030. Son approche proactive et inclusive inspire d’autres nations à adopter des stratégies similaires.

Des infrastructures robustes : le Royaume-Uni et les États-Unis

Malgré le Brexit, le Royaume-Uni a su maintenir des normes européennes de cybersécurité. Le National Cyber Security Centre (NCSC) y joue un rôle central. En 2024, après une attaque majeure contre le NHS London, le pays a intensifié ses efforts pour prévenir de telles crises. Le projet de loi sur la cybersécurité et la résilience, présenté en 2024, vise à renforcer les contrôles, les rapports d’incident et les réponses rapides. Ce texte met l’accent sur la protection des infrastructures critiques, réduisant ainsi les risques pour les services essentiels.

Les États-Unis, cible privilégiée des cybercriminels, développent une approche collaborative unique. Des agences comme la CISA et la NSA partagent des données sur les cyberattaques, permettant ainsi aux organisations de mieux se préparer. Les faiblesses subsistent cependant. Le pays manque d’une loi nationale sur la protection des données, contrairement à d’autres nations. De plus, la coordination entre le secteur public et privé est souvent défaillante, exposant des entreprises à des attaques de grande ampleur. Les programmes de formation et les campagnes de sensibilisation lancées par la CISA illustrent une volonté d’éduquer la population sur les cyberrisques. En complétant ces efforts par une législation harmonisée, les États-Unis pourraient devenir un modèle mondial… mais le nouveau Président des Etats-Unis d’Amérique a déjà balayer plusieurs décrets de l’ancienne administration, dont celui de la sécurité dans l’environnement de l’IA.

Une vision étendue : Asie-Pacifique, Moyen-Orient et Afrique

Singapour, avec son score élevé au GCI, s’impose grâce à des initiatives telles qu’un plan directeur pour les technologies opérationnelles et des formations ciblées. Ces mesures montrent une compréhension approfondie des menaces cyberélectroniques. La Corée du Sud, confrontée à des millions de cyberattaques quotidiennes, mise sur une stratégie préventive ambitieuse. Le Plan national de cybersécurité 2024 vise à protéger les infrastructures critiques et à contrer la désinformation, élément clé dans les conflits modernes.

L’Arabie Saoudite se distingue par sa stratégie nationale de cybersécurité et sa loi sur la protection des données. Ce leadership audacieux inspire les pays voisins. Les Émirats Arabes Unis, quant à eux, adoptent une approche innovante avec leur stratégie de cybersécurité de Dubaï. Des projets comme le chiffrement quantique pour la transmission des données positionnent le pays comme un pionnier technologique.

Seul pays africain avec un score parfait au GCI, Maurice prouve que la taille n’est pas un obstacle. Ses stratégies incluent le partage de renseignements sur les menaces et des réseaux d’équipements leurres (« honeypots »), des initiatives à émuler par d’autres nations.

A noter un grand absent aux yeux de DataSecuritybreach.fr, l’Inde. Le continent est pourtant un énorme fournisseur de codes, d’informaticiens et de solutions informatiques dans le monde.

Tendances anticipées

Bien que l’édition 2024 ne soit pas encore formellement publiée, plusieurs tendances ont été repérées par Data Security Breach. Elles sont déjà soulignées ou attendues dans les travaux préparatoires et les rapports intérimaires de l’UIT. D’abord, l’émergence de l’intelligence artificielle dans la cybersécurité et la cybercriminalité (détection automatisée des menaces, attaques plus sophistiquées). Puis le rôle des technologies émergentes : Blockchain, IoT (Internet des objets), 5G, quantique, etc., qui élargissent la surface d’attaque et appellent de nouvelles stratégies de protection. Ensuite, dimension humaine et éducation. La cybersécurité n’est pas qu’une question technique : l’UIT met de plus en plus l’accent sur la formation, la sensibilisation et la disponibilité de professionnels compétents. Enfin, une meilleure intégration de la résilience avec l’adoption de cadres nationaux résilients face aux cybercatastrophes (menaces à grande échelle, ransomwares, disruptions d’infrastructures critiques) et une collaboration renforcée avec des initiatives multipartites s’intensifient (partenariats public-privé, alliances régionales, etc.) pour contrer des menaces transnationales.

Les leaders mondiaux en cybersécurité partagent des caractéristiques communes : stratégies ambitieuses, agences centrales puissantes et engagement dans l’éducation. Alors que les menaces évoluent, ces pays montrent qu’il est possible de s’adapter et d’innover. L’indice mondial de cybersécurité (GCI) est une référence fiable qui mesure l’engagement des pays en matière de cybersécurité à l’échelle mondiale, afin de sensibiliser à l’importance et aux différentes dimensions de la question. La cybersécurité ayant un vaste champ d’application, couvrant de nombreux secteurs et industries, le niveau de développement ou d’engagement de chaque pays est évalué selon cinq piliers – Mesures juridiques, Mesures techniques, Mesures organisationnelles, Développement des capacités et Coopération – puis agrégé dans un score global.

Les cinq piliers d’évaluation

Mesures légales

Lois et réglementations spécifiques à la cybersécurité et la cybercriminalité.
Mise à jour des cadres législatifs pour tenir compte des nouvelles menaces et technologies.

Mesures techniques

Politiques de normalisation, utilisation de standards internationaux.
Infrastructure technique (centres de réponse aux incidents, technologies de chiffrement, etc.).

Mesures organisationnelles

Stratégies nationales de cybersécurité (planification, gouvernance).
Coordination entre agences gouvernementales et privées.

Renforcement des capacités (capacity building)

Programmes de formation, initiatives de sensibilisation, recherche et développement.
Partenariats académiques, certifications et laboratoires spécialisés.

Coopération

Collaboration internationale et régionale.
Échanges d’information, accords bilatéraux ou multilatéraux en matière de cyberdéfense.

Ce 5ème rapport, le premier date de 2014, est le fruit d’un examen de plus de 30 000 URL, de plus de 1 000 fichiers PDF et d’une multitude de courriers électroniques échangés entre l’UIT et les 190 États membres. En cartographiant les efforts actuels déployés par les pays dans les domaines juridique, technique, organisationnel, de développement des capacités et de coopération, cette édition du GCI vise à garantir une plus grande cohérence et une plus grande précision.

Cybersécurité, Entreprise

LinkedIn : le visage caché des cybermenaces

LinkedIn, plateforme incontournable pour les professionnels, devient un terrain fertile pour les cyberattaques. Les faux recruteurs exploitent la confiance pour piéger les chercheurs d’emploi.

LinkedIn, avec ses millions d’utilisateurs actifs, est l’un des outils préférés des professionnels pour développer leur réseau et découvrir des opportunités. Mais cette plateforme, conçue pour favoriser les connexions authentiques, est devenue une cible de choix pour les cybercriminels. Parmi eux, des groupes organisés comme Lazarus infiltrent LinkedIn à travers de faux profils de recruteurs, attirant des victimes grâce à des offres d’emploi alléchantes. Ces opérations malveillantes, souvent complexes, ciblent particulièrement les secteurs de la finance et des cryptomonnaies. Leurs objectifs vont bien au-delà des simples escroqueries individuelles : il s’agit d’attaques à grande échelle visant à compromettre des entreprises entières. Dans cet article, nous analyserons les méthodes de ces cybercriminels, leurs impacts sur les chercheurs d’emploi et les mesures à adopter pour se protéger. Rester informé et vigilant est essentiel dans un monde numérique en constante évolution.

La montée des faux profils : une menace invisible mais bien réelle

LinkedIn, plateforme reconnue pour son professionnalisme, est confrontée à une menace croissante : la prolifération de faux profils. Ces comptes, souvent très bien conçus, visent à tromper les utilisateurs en leur proposant des opportunités professionnelles fictives. Mais derrière ces profils se cache un objectif bien plus sinistre : l’infiltration et le vol de données sensibles.

Prenons l’exemple de John Carlo Galvez, un faux recruteur identifié récemment. Son profil semble parfait : une photo professionnelle, des relations dans des entreprises prestigieuses et des publications engageantes. Pourtant, ce visage amical masque les intentions d’un groupe de cybercriminels. Ces faux profils, comme ceux de Margaret Blackmore et Sally Redaza, ne sont pas des cas isolés.

Des pirates entrainés et secondés par l’IA

Ces attaques sont souvent orchestrées par des groupes comme Lazarus, tristement célèbre pour ses cyberattaques sophistiquées. Ce groupe nord-coréen utilise LinkedIn comme point d’entrée pour cibler les secteurs de la finance et des cryptomonnaies. En utilisant des entreprises renommées telles que Binance ou Ripple comme appâts, ils créent un environnement crédible pour leurs victimes. Une fois qu’une personne morde à l’hameçon, les conséquences peuvent être désastreuses.

Les cybercriminels ne laissent rien au hasard. Chaque détail, de la photo de profil au contenu des messages, est conçu pour maximiser la crédibilité. Ces profils peuvent même interagir avec d’autres utilisateurs pour renforcer leur légitimité. Une fois la confiance établie, la victime est dirigée vers des liens ou des fichiers malveillants, ouvrant ainsi la porte à une infiltration profonde de son système.

70 % des cyberattaques réussies commencent par un simple clic sur un lien apparemment inoffensif.

Un défi pour LinkedIn

Malgré ses efforts pour lutter contre les faux comptes, LinkedIn est confronté à une tâche titanesque. La plateforme, avec ses millions d’utilisateurs dans le monde, doit jongler entre encourager les interactions et protéger ses membres contre les abus. Signalements, vérifications automatiques et suppression de comptes suspects font partie des mesures mises en place, mais elles ne suffisent pas à éradiquer totalement la menace.

Les conséquences des attaques orchestrées via LinkedIn vont bien au-delà des simples pertes financières. Elles affectent non seulement les individus, mais aussi les entreprises et l’économie en général.

Pour les chercheurs d’emploi, les escroqueries sur LinkedIn représentent un véritable choc émotionnel. Imaginez placer vos espoirs dans une opportunité d’emploi prometteuse, pour découvrir ensuite que vous avez été dupé. Une victime témoigne : « J’étais excité à l’idée de travailler pour une grande entreprise. Mais en cliquant sur le lien envoyé par le recruteur, tout a changé. Mon ordinateur a été compromis, et j’ai perdu l’accès à mes comptes professionnels. « 

Cette expérience peut conduire à une perte de confiance envers les plateformes numériques et même à un isolement professionnel.

Des entreprises en danger

Ces attaques ne visent pas uniquement les individus. Une fois qu’un appareil est infecté, les cybercriminels peuvent accéder aux réseaux internes de l’entreprise. Les données sensibles, y compris les informations financières et stratégiques, deviennent des cibles potentielles. Les entreprises des secteurs de la finance et des cryptomonnaies sont particulièrement vulnérables, car elles manipulent des actifs à haut risque.

Les cyberattaques ont des répercussions économiques importantes. Selon une étude récente, le coût moyen d’une violation de données pour une entreprise dépasse 4 millions de dollars. Ces pertes incluent non seulement la récupération technique, mais aussi les dommages à la réputation et la perte de confiance des clients.

Une entreprise met en moyenne 280 jours pour identifier et contenir une violation de données.

Un effet domino

Les conséquences d’une seule attaque peuvent se propager rapidement. Par exemple, si un employé clique sur un lien malveillant, cela peut compromettre les systèmes de l’ensemble de l’entreprise. Les données volées peuvent ensuite être revendues sur le dark web ou utilisées pour d’autres attaques, créant ainsi un effet domino dévastateur.

Les attaques via LinkedIn montrent à quel point les cybercriminels s’adaptent rapidement. Alors que les entreprises renforcent leurs défenses techniques, les hackers ciblent désormais les faiblesses humaines. La sensibilisation et l’éducation restent donc des armes essentielles pour limiter ces risques.

Comment se protéger face à ces menaces croissantes

Bien que les risques soient réels, il est possible de se protéger assez facilement de ce genre de contact, au risque avouons le, de laisser de côté des comptes qui paraissaient louches au premier contact comme je vous le montre dans mes captures écrans. En adoptant des comportements numériques responsables et en restant vigilant vous ne devriez pas être inquiété !

Analyser les profils suspects

Avant d’interagir avec un recruteur sur LinkedIn, prenez le temps d’examiner son profil. Recherchez des incohérences dans son parcours professionnel, ses publications ou ses connexions. Si le profil semble trop parfait ou manque de détails, il pourrait s’agir d’une fraude.

Vérifier les offres d’emploi

Si une offre d’emploi semble trop belle pour être vraie, elle l’est probablement. Contactez directement l’entreprise pour vérifier la légitimité de l’offre. Utilisez les sites officiels ou les numéros de téléphone disponibles sur les pages officielles pour valider les informations.

Éviter les liens non vérifiés

Les cybercriminels utilisent souvent des liens pour diffuser des logiciels malveillants. Avant de cliquer, passez la souris sur le lien pour afficher l’URL complète. Si l’adresse semble suspecte, évitez-la. Dans le doute, accédez directement au site de l’entreprise via votre navigateur.

Renforcer la sécurité de vos comptes

Activez l’authentification à deux facteurs pour vos comptes LinkedIn et de messagerie. Cette couche de sécurité supplémentaire rend plus difficile pour les hackers de compromettre vos comptes, même s’ils obtiennent vos identifiants.

Se former aux bonnes pratiques

La sensibilisation reste la clé pour prévenir les cyberattaques. Participez à des formations en cybersécurité et restez informé des dernières menaces. LinkedIn propose régulièrement des webinaires et des articles sur le sujet.

Contribuer à la lutte collective

Signalez les profils suspects ou les messages frauduleux à LinkedIn. Ces signalements aident la plateforme à identifier et supprimer les comptes malveillants, contribuant ainsi à protéger l’ensemble de la communauté.

Cybersécurité, Entreprise, Justice

GoDaddy épinglé par la FTC : Un avertissement pour le secteur de l’hébergement Web

La FTC US exige des réformes drastiques de GoDaddy suite à plusieurs failles de cybersécurité majeures. Cette décision souligne l’importance croissante de la sécurité des données dans un monde numérique en constante évolution.

La Federal Trade Commission (FTC) des États-Unis a frappé un grand coup en pointant du doigt les manquements de GoDaddy, un acteur majeur de l’hébergement Web, en matière de cybersécurité. L’agence accuse l’entreprise d’avoir échoué à mettre en œuvre des mesures de sécurité conformes aux normes du secteur, entraînant des violations critiques entre 2019 et 2022. Des millions de petites entreprises qui dépendent de GoDaddy pour sécuriser leurs sites Web ont été exposées à des attaques, redirigeant parfois les utilisateurs vers des sites malveillants et compromettant leurs données personnelles. Cette décision marque un tournant pour les entreprises technologiques, en rappelant que les défaillances en matière de cybersécurité ne resteront pas impunies. Retour sur une affaire qui résonne dans tout le secteur numérique.

Des lacunes de cybersécurité au cœur du problème

Entre 2019 et 2022, GoDaddy a été confronté à des failles de sécurité répétées, mettant en lumière des lacunes significatives dans sa gestion des cybermenaces. Ces incidents ont permis à des pirates informatiques d’accéder aux données sensibles des clients et de détourner des visiteurs vers des sites malveillants. Selon la FTC, l’entreprise n’a pas respecté des pratiques de base comme la mise à jour régulière des logiciels ou l’isolation des plateformes d’hébergement partagé, pourtant indispensables pour garantir la sécurité des données.

Une analyse approfondie de ces incidents révèle que GoDaddy a également manqué à son devoir de transparence envers ses clients. L’entreprise aurait exagéré ses efforts pour sécuriser ses services, affirmant se conformer aux cadres internationaux en matière de protection des données. Ces affirmations trompeuses ont aggravé les préjudices subis par les consommateurs, déjà victimes de violations.

Ces manquements soulignent un défi global pour l’industrie de l’hébergement Web, où les exigences en matière de sécurité deviennent de plus en plus complexes. La FTC a comparé cette situation à celle de Marriott, une autre entreprise sommée de réformer ses pratiques après plusieurs violations de données. Dans un secteur où la confiance est essentielle, l’affaire GoDaddy envoie un message fort : négliger la cybersécurité peut avoir des conséquences graves, non seulement pour les entreprises, mais aussi pour leurs millions de clients.

Les mesures imposées par la FTC

Pour corriger ces lacunes, la FTC a imposé à GoDaddy un ensemble de réformes strictes. Parmi les exigences clés figurent la création d’un programme de sécurité de l’information complet, l’évaluation externe régulière de ce programme, et l’interdiction pour GoDaddy de publier des déclarations trompeuses concernant ses pratiques de sécurité.

Un programme de sécurité renforcé. GoDaddy devra désormais mettre en place des mécanismes avancés pour analyser et répondre aux menaces. Cela inclut la gestion proactive des mises à jour logicielles et la surveillance continue des incidents de cybersécurité. Ce programme devra être conforme aux normes internationales et être audité tous les deux ans par un tiers indépendant.

Transparence accrue. La FTC insiste également sur une communication honnête envers les clients. Toute exagération sur les capacités de sécurité sera désormais considérée comme une infraction. Cette transparence est cruciale pour rétablir la confiance, essentielle pour les petites entreprises qui dépendent de ces services.

Cette décision fait écho à une tendance plus large où les régulateurs demandent aux entreprises de technologie de respecter des normes plus élevées. Alors que le nombre d’incidents de cybersécurité continue de croître, les entreprises comme GoDaddy sont de plus en plus tenues responsables de leurs défaillances. Cette affaire pourrait bien servir de modèle pour d’autres actions similaires dans le futur.

Un signal d’alarme pour l’industrie

L’affaire GoDaddy met en lumière un problème systémique dans le secteur de l’hébergement Web : une sous-estimation des cybermenaces. Alors que des millions de petites entreprises et particuliers confient leurs données à des fournisseurs comme GoDaddy, ces derniers doivent impérativement investir dans des infrastructures de sécurité robustes.

La pression des régulateurs. En imposant des mesures strictes, la FTC envoie un message clair : aucune négligence ne sera tolérée. Pour les entreprises d’hébergement Web, cela signifie un changement de paradigme. Désormais, la cybersécurité ne peut plus être reléguée au second plan ; elle doit devenir une priorité stratégique.

L’importance de l’éducation des consommateurs. Les utilisateurs doivent également être conscients des risques associés à la sécurité en ligne et demander des garanties solides à leurs fournisseurs. Des outils comme l’authentification à deux facteurs ou la sauvegarde régulière des données peuvent faire une différence significative.

Enfin, cette affaire souligne l’importance de partenariats solides entre régulateurs et entreprises pour renforcer l’écosystème numérique. Alors que les cyberattaques deviennent de plus en plus sophistiquées, seule une approche collective permettra de relever ce défi.

La décision de la FTC contre GoDaddy marque un tournant dans la régulation des pratiques de cybersécurité. Les entreprises technologiques doivent désormais adopter des normes élevées pour protéger les données de leurs clients. Pour les professionnels et les particuliers, c’est un rappel que la sécurité en ligne n’est pas optionnelle.

Cybersécurité, Entreprise

Bilan de la 10ᵉ édition du baromètre du CESIN

Le 10ᵉ baromètre du CESIN révèle une décennie d’évolutions en cybersécurité, illustrant les défis des entreprises françaises face à des menaces sophistiquées, et soulignant leur résilience grâce à des stratégies défensives robustes.

Depuis dix ans, le baromètre annuel du CESIN, réalisé en collaboration avec OpinionWay, fournit un éclairage précieux sur l’état de la cybersécurité en France. À travers une enquête exclusive auprès de 401 Directeurs Cybersécurité et Responsables Sécurité des Systèmes d’Information (RSSI), ce rapport explore les tendances, défis, et innovations qui façonnent la protection numérique des entreprises. Cette 10ᵉ édition, publiée en janvier 2025, met en lumière un panorama complexe où la menace reste omniprésente mais où les organisations gagnent en maturité face aux cyberattaques. Le phishing, les attaques volumétriques, et l’émergence des deepfakes traduisent l’évolution rapide des menaces. En parallèle, les entreprises investissent dans des solutions innovantes comme le Zero Trust et l’IA, tout en intégrant la cybersécurité dans des initiatives de RSE. Ce baromètre souligne l’importance d’une vigilance constante et d’une approche collaborative pour renforcer les défenses dans un environnement numérique en mutation rapide.

ZATAZ, la référence web dédiée à la cybersécurité, revient sur le dernier rapport du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN). Ce dernier a publié son 10ᵉ baromètre annuel en collaboration avec OpinionWay. Ce rapport, basé sur une enquête auprès de 401 RSSI (Responsable des Services de Sécurité Informatique) et Directeurs Cybersécurité, offre un panorama des évolutions majeures en cybersécurité dans les entreprises françaises.

Une stabilité des attaques, mais des impacts croissants

En 2024, 47% des entreprises interrogées ont déclaré avoir subi une cyberattaque significative, un chiffre stable par rapport à 2023. Le phishing reste le principal vecteur d’attaque (60%), suivi des failles exploitées (47%) et des attaques par déni de service (41%). Cependant, l’impact des attaques s’intensifie, avec une augmentation notable du vol de données (+11 points à 42%) et des perturbations opérationnelles affectant 65% des entreprises.

L’apparition des deepfakes dans le paysage des cybermenaces (9%) marque une nouvelle tendance préoccupante. Ces manipulations réalistes de voix ou d’images facilitent des attaques d’ingénierie sociale. En revanche, les attaques par ransomware diminuent (-9 points), reflétant l’efficacité croissante des outils de défense.

Adoption de technologies avancées et stratégies de défense

Les entreprises adoptent massivement des outils comme l’EDR (95% d’efficacité perçue) et l’authentification multi-facteurs (MFA). Les concepts émergents, tels que le Zero Trust (+7 points) et les VOC (+9 points), progressent également. L’adoption d’outils comme l’EASM et le CAASM améliore la visibilité sur les assets numériques, réduisant les angles morts dans les environnements cloud.

Malgré une amélioration de la maturité, seules 62% des entreprises victimes d’attaques portent plainte, soulignant un potentiel à mieux collaborer avec les autorités pour lutter contre la cybercriminalité.

Défis émergents : IA, gouvernance et RSE

L’intelligence artificielle connaît une adoption croissante, passant de 46% à 69% d’intégration dans les processus d’entreprise. Pourtant, seules 35% des organisations l’utilisent pour renforcer leur cybersécurité. La réglementation, avec des cadres comme NIS2 et DORA, impacte désormais 79% des entreprises.

Les initiatives de responsabilité sociétale des entreprises (RSE) se lient de plus en plus à la cybersécurité. Environ 77% des RSSI favorisent une culture de sécurité et de conformité, affirmant le rôle stratégique et sociétal de la cybersécurité dans les organisations modernes.

En somme, ce baromètre illustre une décennie de progrès, mais souligne la nécessité de continuer à renforcer la résilience et la collaboration pour contrer des menaces toujours plus sophistiquées.

Entreprise, IA, Justice

LinkedIn accusée de partager des données privées : une controverse autour de la confidentialité et de l’IA

LinkedIn, réseau professionnel de Microsoft, est accusé aux États-Unis d’avoir partagé des données privées d’abonnés Premium pour former des modèles d’intelligence artificielle, déclenchant une controverse sur la confidentialité des utilisateurs.

LinkedIn, plateforme professionnelle appartenant à Microsoft, est sous le feu des projecteurs après des accusations graves concernant la confidentialité des données de ses utilisateurs Premium. Ces derniers affirment que leurs messages privés auraient été partagés à des tiers, sans leur consentement explicite, pour entraîner des modèles d’intelligence artificielle (IA). Cette affaire, désormais portée devant le tribunal fédéral de San Jose en Californie, soulève de nombreuses questions sur l’éthique des pratiques de la plateforme. En août, LinkedIn aurait introduit discrètement un paramètre de confidentialité permettant de désactiver ce partage, suivi d’une mise à jour controversée de sa politique en septembre. Les plaignants réclament des réparations financières significatives, dénonçant une violation de la vie privée et un manquement aux promesses contractuelles. Cet épisode soulève des inquiétudes croissantes quant à l’impact de l’IA sur la protection des données personnelles.

Une mise en accusation fondée sur la violation de la vie privée

La plainte déposée contre LinkedIn repose sur une accusation précise : la plateforme aurait utilisé les données personnelles de ses abonnés Premium pour alimenter des modèles d’intelligence artificielle sans leur consentement éclairé. Les messages privés, souvent considérés comme inviolables par les utilisateurs, auraient été analysés et traités dans ce but. Cette situation est perçue comme une rupture de confiance entre les abonnés et LinkedIn, une entreprise qui s’est pourtant engagée publiquement à protéger la confidentialité de ses utilisateurs.

L’un des aspects les plus troublants de cette affaire réside dans l’introduction d’un paramètre de confidentialité en août dernier. Ce paramètre permettait aux abonnés de désactiver le partage de leurs données personnelles, mais il aurait été mis en place discrètement, sans notification explicite aux utilisateurs. En septembre, une mise à jour de la politique de confidentialité aurait confirmé que ces données pouvaient être utilisées à des fins d’apprentissage automatique. Cette opacité dans la communication a renforcé la colère des utilisateurs concernés.

Un autre élément central de cette affaire est l’accusation selon laquelle LinkedIn était « pleinement consciente » des violations de la vie privée qu’elle aurait commises. Cette affirmation découle des preuves apportées dans la plainte, notamment les modifications successives des paramètres de confidentialité et de la politique d’utilisation des données. Cela soulève une question cruciale : jusqu’où une plateforme professionnelle peut-elle aller dans l’exploitation des données personnelles sans franchir les limites éthiques et légales ?

Les enjeux juridiques et financiers pour LinkedIn

Sur le plan juridique, l’affaire a été portée devant le tribunal fédéral de San Jose, en Californie. La plainte exige des dommages-intérêts pour rupture de contrat et non-respect des lois californiennes sur la confidentialité des données. Une des demandes les plus marquantes concerne une compensation de 1 000 dollars par utilisateur pour violation d’une loi fédérale. Si cette indemnisation était accordée, elle pourrait représenter des millions de dollars pour LinkedIn, étant donné l’ampleur de sa base d’abonnés Premium.

Ce procès met également en lumière la manière dont les plateformes numériques interprètent les législations existantes en matière de protection des données. La Californie, avec son « California Consumer Privacy Act » (CCPA), impose des normes élevées en matière de confidentialité. Cependant, les plaignants affirment que LinkedIn n’a pas respecté ces obligations, en particulier concernant le consentement explicite et l’information des utilisateurs.

Pour LinkedIn, cette affaire pourrait avoir des conséquences importantes, non seulement en termes financiers, mais aussi sur sa réputation. La plateforme, qui revendique être un lieu sûr pour les professionnels, risque de perdre la confiance de ses utilisateurs si les accusations sont avérées. Cette perte de confiance pourrait entraîner une baisse des abonnements Premium, une source de revenus clé pour LinkedIn.

Par ailleurs, cette affaire soulève une question plus large : celle de l’utilisation des données personnelles dans le développement des technologies d’intelligence artificielle. À une époque où l’IA est de plus en plus intégrée dans les outils professionnels et personnels, les utilisateurs sont en droit de s’interroger sur la transparence des pratiques des entreprises technologiques. Microsoft, maison-mère de LinkedIn, pourrait également être impactée par cette controverse, notamment en raison de son rôle dans l’intégration de l’IA dans ses outils phares, tels que Word et Excel.

Confidentialité, IA et avenir des plateformes numériques

Cette affaire LinkedIn met en lumière un problème fondamental : l’équilibre délicat entre innovation technologique et protection des droits des utilisateurs. L’intégration de l’intelligence artificielle dans les plateformes numériques offre des opportunités inédites, mais elle pose également des défis éthiques majeurs. Les utilisateurs souhaitent profiter des avantages de l’IA sans compromettre leur vie privée.

Pour les abonnés Premium de LinkedIn, la possibilité que leurs messages privés aient été utilisés pour entraîner des modèles d’IA représente une atteinte grave à leur confiance. Ce cas met également en évidence la nécessité pour les plateformes de mettre en place des politiques claires et transparentes concernant l’utilisation des données. Les utilisateurs doivent être informés de manière proactive et avoir un contrôle total sur leurs informations personnelles.

Cette affaire pourrait également avoir un impact au-delà de LinkedIn. Les régulateurs et législateurs, déjà préoccupés par la protection des données dans un monde de plus en plus connecté, pourraient utiliser ce cas comme un exemple pour renforcer les lois existantes. À l’échelle mondiale, des initiatives telles que le Règlement général sur la protection des données (RGPD) en Europe ont déjà montré l’importance de cadres juridiques solides pour protéger les consommateurs.

Enfin, cette controverse souligne une réalité préoccupante : l’IA, bien qu’elle soit un outil puissant, dépend largement des données qu’elle consomme. Les entreprises technologiques doivent trouver des moyens d’entraîner leurs modèles sans porter atteinte à la vie privée des utilisateurs. Cela pourrait passer par des solutions telles que la fédération des données ou l’anonymisation, mais ces technologies nécessitent des investissements significatifs et un engagement ferme envers des pratiques éthiques.

Bitcoin, Cybersécurité, Entreprise

Enlèvement et libération du cofondateur de Ledger

David Balland, cofondateur de l’entreprise de cryptomonnaies Ledger, a été enlevé le 21 janvier à son domicile dans le Cher. Une mobilisation massive des forces de l’ordre a permis de libérer l’entrepreneur et sa compagne rapidement. Quinze jours plus tôt, son associé expliquait sur Youtube comment il se protégeait !

Le mardi 21 janvier, au petit matin, des individus armés ont fait irruption au domicile de David Balland et de sa compagne, à Vierzon. Les victimes ont été séparées et emmenées dans des lieux différents. Une rançon en cryptomonnaies a été réclamée à un autre cofondateur de Ledger, ce qui a alerté les autorités.

Une intervention rapide et efficace

Le mercredi 22 janvier, grâce à une première interpellation et aux enquêtes menées par les gendarmes, le lieu de séquestration de David Balland a été identifié à Châteauroux. Une opération du GIGN a permis de libérer l’entrepreneur sans effusion de sang. Cependant, celui-ci présentait des blessures graves à la main, nécessitant une hospitalisation immédiate.

La libération de la compagne

Dans la nuit suivante, les enquêteurs ont localisé la compagne de David Balland, ligotée dans un véhicule à Étampes, dans l’Essonne. Libérée sans blessure physique, elle a été prise en charge pour un suivi psychologique.

Un réseau criminel rapidement identifié

Des interpellations en série

Dix individus, âgés de 20 à 40 ans, ont été interpellés. Parmi eux, neuf hommes et une femme, pour la plupart connus des services de police. Les enquêtes ont révélé une organisation criminelle structurée, qui avait planifié chaque étape de l’enlèvement. Les ravisseurs avaient choisi d’utiliser les cryptomonnaies pour tenter de dissimuler les traces de la rançon. « La gendarmerie nationale a été saisie dans son ensemble, de la section de recherches de Bourges à l’Unité nationale Cyber. Son travail a permis la libération de David Balland le 22 janvier, celui-ci ayant été pris en charge par les secours et devant faire l’objet de soins. » comme le stipule le communiqué de presse du Parquet de Paris JUNALCO.

La traçabilité des cryptomonnaies

Grâce à la technologie blockchain, une partie des fonds réclamés a été localisée, gelée, puis saisie. Cet épisode met en avant à la fois les avantages et les limites des cryptomonnaies dans de telles situations. « les malfaiteurs ont […] réclamé le paiement d’une importante rançon en cryptomonnaie.« 

Une enquête toujours en cours

Une information judiciaire a été ouverte pour enlèvement et séquestration en bande organisée avec actes de torture et extorsion sous menace d’armes. L’enquête, supervisée par la Juridiction nationale de lutte contre la criminalité organisée (Junalco), se poursuit pour démanteler entièrement ce réseau. Les personnes arrêtées, s’ils sont reconnus coupables encourent « la réclusion criminelle a perpétuité.« 

Le rôle prévisible des cryptomonnaies

Une cible de choix pour les criminels

L’utilisation des cryptomonnaies dans cette affaire illustre une nouvelle tendance dans les activités criminelles. Ledger, entreprise spécialisée dans la sécurité des actifs numériques, gère des millions d’euros en cryptomonnaies, ce qui en fait une cible de choix.

Un avertissement qui prend tout son sens

En janvier, Eric Larchevêque, cofondateur de Ledger, avait publié une vidéo sur les précautions à prendre pour protéger l’entreprise et ses collaborateurs. Ironiquement, quelques semaines plus tard, David Balland a été kidnappé, confirmant que ces risques sont réels et imminents.

Cette affaire met en lumière l’importance des mesures de protection dans un secteur où les cyberattaques et les risques physiques sont en augmentation, sans parler de ce que vous montrez ou racontez sur Internet. « La vigilance de la presse est à saluer dans cette affaire, nombreux media ayant été attentifs à ne pas divulguer trop tôt d’informations risquant de mettre en danger la vie humaine.« 

Cybersécurité, Entreprise

Les montres connectées trahissent les sous-marins nucléaires français

Une simple application de fitness révèle des informations sensibles sur l’une des bases militaires les plus protégées de France.

L’île Longue, base stratégique de la dissuasion nucléaire française, fait face à une faille inattendue : les montres connectées. L’application de fitness Strava, utilisée par des marins, a permis de révéler des détails sur les patrouilles de sous-marins nucléaires, remettant en cause les mesures de sécurité.

La base de l’île Longue : un site ultrasensible mis en péril par la technologie grand public

Située dans la rade de Brest, l’île Longue est le cœur du dispositif de dissuasion nucléaire français. Depuis 1972, les sous-marins nucléaires lanceurs d’engins (SNLE) y stationnent avant de partir pour des missions en mer. Chacun de ces navires est capable de transporter jusqu’à 16 missiles nucléaires, incarnant une stratégie de dissuasion qui place la France parmi les grandes puissances nucléaires mondiales.

L’accès à cette base militaire est strictement contrôlé. Plus de 2 000 employés y travaillent, soumis à une identification obligatoire et à des mesures de sécurité strictes. Les appareils électroniques, notamment les smartphones, y sont interdits pour limiter les risques d’espionnage. Pourtant, malgré ces précautions, les montres connectées ont permis une fuite d’informations préoccupante.

L’application Strava, plébiscitée par des millions de sportifs dans le monde, enregistre et partage automatiquement les parcours réalisés par ses utilisateurs. Sur l’île Longue, plusieurs marins utilisaient ces montres pour suivre leurs performances sportives. Ces données, lorsqu’elles étaient partagées publiquement, ont offert des indices sur l’activité des sous-marins.

Un exemple frappant est celui de « Paul », un pseudonyme utilisé pour protéger l’identité d’un marin. En 2023, il a partagé 16 sessions de course à pied réalisées sur la base, près des docks des sous-marins. Son absence d’activité pendant deux mois, suivie d’un retour soudain, correspondait à une période de patrouille d’un sous-marin. Ces informations, croisées avec les activités d’autres marins, ont permis à des observateurs de reconstituer des mouvements sensibles.

Une problématique récurrente pour les forces armées

L’incident de l’île Longue n’est pas un cas isolé. Les applications de fitness, populaires parmi les militaires, ont déjà suscité des controverses similaires. En 2018, une carte thermique publiée par Strava a révélé les trajets de soldats américains autour de bases secrètes en Afghanistan et en Syrie.

Dans une autre affaire, en Russie, Stanislav Rjitski, capitaine de sous-marin, a été localisé puis assassiné à Krasnodar. Ses déplacements avaient été repérés via ses publications Strava, rendant possible une attaque ciblée.

Ces exemples montrent à quel point les technologies grand public peuvent devenir des outils involontaires de renseignement pour des acteurs malveillants. Le problème ne réside pas uniquement dans les applications elles-mêmes, mais aussi dans l’usage imprudent qu’en font les utilisateurs.

Sur l’île Longue, l’enquête a révélé qu’environ 450 utilisateurs de Strava ont été actifs sur la base au cours des 10 dernières années. Les données partagées, bien qu’anodines au premier abord, ont fourni des informations cruciales pour quiconque souhaite analyser les mouvements des sous-marins ou les habitudes des marins.

Les mesures envisagées face aux failles constatées

Bien que la marine française n’ait pas officiellement communiqué sur des actions spécifiques concernant l’utilisation des montres connectées, des incidents similaires survenus dans d’autres armées ont généralement conduit à des révisions des politiques de sécurité. La possibilité d’interdire l’utilisation des appareils connectés ou de restreindre davantage les paramètres de confidentialité est régulièrement évoquée dans des contextes similaires.

Le rapport initial, publié par Le Monde et relayé par le Daily Mail, indique que ces incidents résultent davantage d’une imprudence individuelle que d’une faille technologique pure. Ce manque de vigilance soulève des questions sur la sensibilisation des marins à ces risques numériques. Et ce n’est pas la première fois !

D’autres cas « d’espionnage »

La carte de chaleur de Strava révélant des bases militaires

En novembre 2017, Strava a publié une « Global Heatmap » qui visualisait deux années de données d’activités de ses utilisateurs. En janvier 2018, il a été découvert que cette carte mettait en évidence des bases militaires secrètes, y compris des bases américaines en Syrie et des bases avancées en Afghanistan. Ces informations ont suscité des préoccupations concernant la confidentialité et la sécurité des données des utilisateurs.

Identification de soldats israéliens via Strava (2024)

En novembre 2024, une enquête menée par des journalistes du journal Le Monde a révélé qu’un individu avait pu extraire méthodiquement les profils de milliers de soldats israéliens à partir de l’application Strava. En simulant de fausses activités sur des bases militaires et des sites sensibles, cette personne a réussi à identifier les militaires actifs dans ces lieux, retraçant ainsi leurs déplacements grâce aux données géolocalisées de Strava. Cette faille de sécurité a conduit le ministère de la Défense israélien à ouvrir une enquête.

Exposition des mouvements de dirigeants mondiaux

En octobre 2024, une enquête du journal Le Monde a révélé que l’application Strava avait involontairement exposé les mouvements de personnalités de haut niveau, notamment le président américain Joe Biden, l’ancienne première dame Melania Trump, et d’autres dirigeants mondiaux. Des agents de sécurité utilisant l’application ont partagé leurs itinéraires d’entraînement, permettant ainsi de déduire les emplacements et les déplacements des personnalités protégées. Le Secret Service américain a déclaré qu’aucune mesure de protection n’avait été compromise, tout en révisant ses politiques internes.

Cybersécurité, Entreprise

Une fuite de données chez Loading hébergement.

Une fuite de données a exposé les informations de 220 000 utilisateurs en Espagne, compromettant des données personnelles et des détails de projets clients hébergés par l’entreprise Loading.

Le 14 janvier 2025, une importante fuite de données a été découverte par le Service veille ZATAZ, impliquant Loading, un fournisseur de services d’hébergement basé en Espagne. Cette base de données comprend les informations personnelles et professionnelles de 220 000 utilisateurs, réparties sur 356 435 lignes. Le fichier constitué par le pirate contient des détails critiques comme les adresses électroniques, les numéros de téléphone, les commentaires clients et des informations relatives aux projets. Ce nouvel incident met une fois de plus en lumière les défis posés par la sécurité des données dans le domaine de l’hébergement web. Explorons les détails et les implications de cette fuite.

Une fuite ciblant les utilisateurs et projets clients

La base de données compromise contient des informations très spécifiques, offrant une vue d’ensemble des projets et des utilisateurs concernés. Voici une décomposition des données exposées :

Données personnelles :

Nom complet : Identité des utilisateurs.
Adresse e-mail : Points d’entrée majeurs pour des attaques de phishing.
Numéro de téléphone : Utilisable pour des arnaques téléphoniques ou des campagnes malveillantes.

Détails des projets :

Type de projet : Catégorisation des projets hébergés (e-commerce, éducatif, etc.).
Nombre de pages web : Données exploitables pour évaluer la taille et la portée des projets.
Détails marketing : Informations liées aux campagnes publicitaires META et SEM (ex. : mots-clés, types de dispositifs utilisés).

Données techniques et géographiques :

Adresses IP et URLs spécifiques : Permettent d’identifier l’origine des utilisateurs et les pages consultées.
Géolocalisation : Informations sur les villes, codes postaux et pays d’origine des utilisateurs.
Traçabilité des interactions : Horaires de contact, outils CRM utilisés, et plateformes marketing associées.

Le prix de cette base, mise en vente pour seulement 500 $, rend ces données accessibles à des acteurs malveillants prêts à exploiter des informations précieuses pour du phishing ou d’autres cyberattaques.

Qui est Loading et quel est son rôle dans le marché espagnol ?

Loading est une entreprise espagnole bien établie dans le domaine de l’hébergement web. Créée pour répondre aux besoins des entreprises et des particuliers en matière de gestion de sites internet, Loading propose des solutions variées, notamment dans l’hébergement mutualisé ; Serveurs dédiés et VPS ainsi que les solutions cloud.

Cybersécurité, Entreprise, IA

Phishing, applications cloud et IA générative : l’urgence d’une cybersécurité de nouvelle génération

En 2024, les clics sur des liens de phishing ont triplé, alors que l’usage des outils d’IA générative en entreprise s’intensifiait.

L’année 2024 a vu l’explosion des menaces cyber, notamment le phishing et les mauvaises pratiques liées aux applications cloud personnelles et à l’IA générative. Plusieurs rapports (Netskope, Microsoft, ZATAZ) révèlent que les clics sur des liens de phishing ont triplé, illustrant la sophistication croissante de ces attaques. En parallèle, l’adoption massive d’outils d’IA générative comme ChatGPT a accru les risques de fuites de données sensibles. Ces évolutions mettent en lumière l’urgence d’une approche nouvelle en matière de cybersécurité, mêlant outils de pointe, sensibilisation renforcée et stratégies proactives pour protéger les entreprises et leurs données. Des questions qui seront posées, à Paris, en Janvier, lors d’un rendez-vous politique autour de l’IA. (Elon Musk sera présent selon les infos de DataSecurityBreach.fr)

Phishing : une menace toujours plus sophistiquée

En 2024, les cybercriminels ont redoublé d’efforts pour perfectionner leurs attaques, entraînant une hausse de 190 % des incidents liés au phishing.

Des attaques toujours plus ciblées

Les campagnes de phishing modernes exploitent des outils sophistiqués, souvent alimentés par l’IA générative, pour créer des messages hyper-personnalisés. Les attaques se sont particulièrement concentrées sur les identifiants Microsoft, avec 42 % des attaques visant cette cible. L’utilisation d’applications cloud populaires comme Google Drive ou Microsoft OneDrive pour héberger des contenus malveillants a multiplié les points d’entrée pour les hackers.

Des techniques renforcées par l’IA

L’IA générative permet de produire des emails frauduleux d’une qualité impressionnante, rendant la détection humaine difficile. Les entreprises doivent donc s’équiper d’outils capables d’analyser les comportements pour repérer des anomalies et bloquer les tentatives de phishing en temps réel.

Prévention et formation : un duo indispensable

La sensibilisation des employés reste essentielle, mais elle doit être accompagnée de solutions technologiques robustes. Les simulations régulières de phishing et l’analyse comportementale des clics suspects sont des mesures indispensables.

L’utilisation croissante d’applications cloud personnelles par les employés, en particulier dans les environnements de travail hybrides, représente un défi majeur. En 2024, près de 88 % des organisations ont rapporté des incidents liés à des outils non autorisés.

Les applications cloud personnelles sont fréquemment utilisées pour stocker ou partager des données sensibles, ce qui expose les entreprises à des risques importants. Les données réglementées, telles que les informations financières et médicales, constituent 60 % des violations signalées, suivies par la propriété intellectuelle et les codes source.

Dans de nombreux cas, les violations sont dues à un manque de sensibilisation. Par exemple, les employés utilisent des outils gratuits, souvent peu sécurisés, pour partager des fichiers professionnels, ignorant les conséquences potentielles.

Les solutions possibles

Pour contrer ces pratiques, les entreprises doivent :

Mettre en place des politiques restrictives interdisant l’usage d’applications non approuvées.
Utiliser des outils de Cloud Access Security Broker (CASB) pour surveiller et bloquer les transferts non autorisés.
Renforcer la formation en expliquant les risques juridiques et financiers des mauvaises pratiques.
Exergue : « Les applications cloud personnelles sont un angle mort de la cybersécurité. »

La mise en place de systèmes de surveillance en temps réel et de contrôles d’accès est essentielle pour limiter les risques liés à ces usages. De plus, les entreprises doivent privilégier des solutions qui permettent une traçabilité des données et une intervention rapide en cas d’incident.

IA générative : moteur d’innovation et de risques

Les outils d’IA générative, tels que ChatGPT, sont devenus des acteurs incontournables dans le paysage professionnel. Leur adoption rapide, bien que bénéfique, présente des risques non négligeables.

L’essor des outils d’IA générative

En 2024, 94 % des entreprises utilisent des applications d’IA générative, avec une moyenne de 9,6 outils par organisation. Ces applications facilitent des tâches variées, de la rédaction de rapports au brainstorming créatif. Toutefois, leur utilisation sans contrôle strict expose les organisations à des menaces inédites.

Les risques majeurs

Les cybercriminels exploitent ces technologies pour concevoir des attaques de phishing sur mesure. Par ailleurs, les employés peuvent, par inadvertance, introduire des informations confidentielles dans ces outils, qui ne garantissent pas toujours la confidentialité des données.

Des réponses technologiques et humaines

Pour limiter ces risques, 45 % des entreprises ont déployé des solutions de prévention des pertes de données (DLP). Ces outils surveillent en permanence les interactions entre les employés et les plateformes d’IA générative. En parallèle, les organisations investissent dans des programmes de coaching en temps réel, qui alertent les utilisateurs lorsqu’ils effectuent des actions à risque.

L’avenir passe également par l’élaboration de politiques claires et par l’intégration de mesures de contrôle automatisées. Ces initiatives permettront de concilier innovation et sécurité, tout en réduisant les vulnérabilités.

Bref, face à des menaces cyber de plus en plus sophistiquées, les entreprises doivent adopter une approche proactive. DataSecuritybreach.fr rappel que cela doit inclure : L’intégration d’outils de détection avancée ; La formation continue des employés. L’élaboration de politiques claires pour l’usage des applications cloud et de l’IA.

Cybersécurité, Entreprise

Digital Operational Resilience Act : Hola, soy Dora

Le règlement DORA vise à renforcer la résilience numérique des institutions financières européennes face aux cybermenaces croissantes. Ce cadre impose des règles strictes pour une cybersécurité robuste et harmonisée.

Entrant en vigueur le 17 janvier 2025, le règlement sur la résilience opérationnelle numérique (DORA) représente une évolution majeure dans la protection des infrastructures financières en Europe. Conçu pour répondre à la montée des cyberattaques et des dysfonctionnements numériques, il impose des exigences claires aux institutions financières ainsi qu’à leurs prestataires de services numériques. DORA s’adresse aux banques, compagnies d’assurance, entreprises d’investissement, FinTechs et gestionnaires d’actifs opérant au sein de l’Union européenne ou avec des clients dans cette région.

Le cadre, comme l’explique le Livre Blanc de Barracuda, comprend des directives sur la gestion des risques, le test de résilience, la surveillance des fournisseurs tiers, et le partage d’informations. À travers ces mesures, DORA favorise une meilleure coordination entre les acteurs, réduisant ainsi l’impact des incidents numériques. Cet article explore en détail les objectifs, les implications et les actions nécessaires pour se conformer à ce règlement.

Les objectifs et principes fondamentaux du règlement DORA

Le Digital Operational Resilience Act (DORA) repose sur un objectif principal : renforcer la résilience opérationnelle numérique des institutions financières pour protéger l’ensemble du système économique et sociétal. Il reconnaît que la dépendance croissante aux technologies numériques expose le secteur financier à des risques accrus, nécessitant une réglementation harmonisée au sein de l’Union européenne.

Objectifs clés :

Renforcer la cybersécurité des institutions financières : Chaque entité doit disposer de systèmes robustes pour prévenir, détecter, et répondre efficacement aux incidents.
Harmoniser les pratiques au sein de l’UE : Les règles uniformes facilitent la coopération et la transparence entre les États membres.
Protéger les consommateurs et les investisseurs : En réduisant les risques de perturbations et de violations de données, DORA améliore la confiance dans le secteur financier.

Cinq axes stratégiques :

Gestion des risques informatiques : Cela inclut l’identification des vulnérabilités, l’évaluation des impacts potentiels et la mise en œuvre de mesures préventives.
Tests de résilience : Les tests réguliers, tels que les simulations d’attaques, garantissent que les systèmes sont prêts à gérer des situations critiques.
Notification d’incidents : Toute perturbation majeure doit être signalée rapidement pour limiter les conséquences.
Surveillance des tiers : Les fournisseurs critiques doivent respecter les mêmes normes de sécurité.
Partage d’informations : Une coopération accrue permet de renforcer la sécurité collective.

DORA s’applique non seulement aux entreprises européennes, mais également aux entités non européennes opérant avec des clients dans l’UE. Par exemple, une entreprise technologique américaine fournissant des services cloud à une banque européenne devra également respecter ces normes. En reconnaissant que la sécurité numérique est une responsabilité partagée, DORA favorise une approche collaborative pour faire face aux cybermenaces.

Implications pour les entreprises et obligations spécifiques

Une large portée pour une réglementation exhaustive DORA cible une variété d’acteurs : banques, assurances, FinTechs, plateformes de trading, mais aussi les fournisseurs tiers de services technologiques critiques tels que les sociétés cloud. L’objectif est de réduire les vulnérabilités dans l’ensemble de la chaîne de valeur financière.

Principales obligations :

Documentation et gouvernance : Les entreprises doivent fournir des preuves tangibles de leur conformité, incluant des audits réguliers et des rapports détaillés.
Contrats renforcés avec les fournisseurs tiers : Chaque contrat doit inclure des clauses précisant les niveaux de service et les mesures de sécurité.
Formation des équipes : Le personnel doit être formé pour répondre rapidement et efficacement aux incidents.
Sanctions en cas de non-conformité Les régulateurs européens auront le pouvoir d’imposer des sanctions sévères, notamment des amendes substantielles ou des interdictions temporaires d’opérer sur le marché. Par exemple, une banque ne respectant pas les normes pourrait être tenue responsable d’une cyberattaque affectant des millions de clients.

Un cadre mondial Bien que DORA soit une initiative européenne, elle a des répercussions mondiales. De nombreuses entreprises non européennes choisissent de s’aligner sur ce règlement pour garantir leur accès au marché européen et pour bénéficier des meilleures pratiques en matière de cybersécurité.

Focus sur la chaîne d’approvisionnement Les attaques contre les tiers représentent une menace majeure. En réponse, DORA exige une surveillance accrue des fournisseurs, y compris des évaluations continues de leur sécurité et de leur conformité.

Étapes pour se conformer au règlement et exemples de meilleures pratiques

1. Identifier les entités concernées La première étape consiste à déterminer si votre entreprise est directement ou indirectement concernée par DORA. Les entreprises opérant avec des clients ou partenaires européens doivent se préparer dès maintenant.

2. Réaliser une analyse des lacunes Une évaluation complète des systèmes actuels de cybersécurité permet d’identifier les domaines nécessitant des améliorations. Cela inclut la documentation, les protocoles d’urgence et la collaboration avec les tiers.

3. Mettre en œuvre des outils technologiques avancés L’intelligence artificielle (IA) et l’apprentissage automatique jouent un rôle clé dans la détection proactive des menaces. Des solutions comme XDR (Extended Detection and Response) offrent une visibilité complète sur les infrastructures numériques.

4. Renforcer la collaboration avec les fournisseurs tiers Chaque contrat doit inclure des obligations claires sur la sécurité, conformément à l’article 30 de DORA. Par exemple, une société cloud européenne a récemment mis en place un programme de sécurité commun avec ses principaux clients, réduisant ainsi de 50 % les incidents liés à des tiers.

5. Former et tester régulièrement Les simulations d’incidents permettent de préparer les équipes et d’identifier les faiblesses. Une FinTech allemande a réalisé des tests trimestriels, réduisant ainsi le temps moyen de réponse aux incidents de 40 %.

Exemples de réussite confiée par Barracuda : une grande banque française a adopté un système de surveillance en temps réel, réduisant les intrusions détectées par des tiers de 30 % en un an. Un fournisseur de paiement numérique a mis en place un plan de continuité opérationnelle, garantissant un fonctionnement ininterrompu malgré une attaque majeure.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Apple, Entreprise, Justice

Apple accusée de surveillance intrusive

Un employé d’Apple accuse l’entreprise de surveiller la vie privée de ses salariés via iCloud et des dispositifs intrusifs, soulevant un débat sur les droits numériques.

Apple fait face à des accusations graves de la part de l’un de ses employés, Amar Bhakta, responsable de la publicité numérique depuis 2020. Ce dernier a déposé une plainte devant un tribunal californien le 1er décembre, affirmant que l’entreprise impose des pratiques de surveillance intrusive qui interfèrent avec la vie privée des employés. Selon la plainte, Apple exige que les employés relient leurs comptes iCloud personnels aux systèmes d’entreprise, ce qui permettrait à l’entreprise d’accéder à leurs e-mails, photos, vidéos et même données de localisation, y compris en dehors des heures de travail.

Le procès met également en lumière des restrictions sur la liberté d’expression des employés, des dispositifs de surveillance dans les bureaux à domicile, et des violations présumées des droits du travail californien. Apple a nié catégoriquement ces accusations, mais cette affaire relance le débat sur la vie privée des salariés dans un monde professionnel de plus en plus numérisé et connecté.

La plainte déposée par Amar Bhakta accuse Apple de pratiques de surveillance numérique invasive via sa politique de conduite commerciale (BCP). Cette politique stipule que l’entreprise peut accéder et archiver toutes les données liées aux appareils et comptes des employés, y compris leurs comptes personnels iCloud. Selon Bhakta, cette mesure donne à Apple un accès potentiel à des informations privées telles que les photos, vidéos, e-mails, et données de localisation de ses salariés, même en dehors des heures de travail.

L’affaire va plus loin, alléguant qu’Apple impose également des restrictions aux employés dans leurs communications personnelles et professionnelles. Bhakta affirme qu’il lui a été interdit de discuter de son travail sur des podcasts, et qu’Apple a exigé qu’il supprime certaines informations professionnelles de son profil LinkedIn. De plus, il dénonce l’installation de dispositifs de surveillance dans les bureaux à domicile des employés, une pratique qui enfreindrait le droit californien du travail.

Si les accusations s’avèrent fondées, cette affaire pourrait entraîner des sanctions substantielles contre Apple en vertu du California Private Attorney General Act. Apple, de son côté, nie fermement ces allégations. Un porte-parole a déclaré que l’entreprise assure une formation annuelle à ses employés sur leurs droits, notamment sur la discussion des salaires, des horaires et des conditions de travail.

Pourtant, cette plainte met en lumière une problématique plus large : celle de la surveillance numérique sur le lieu de travail moderne. Une enquête récente révèle qu’un employé sur cinq est surveillé via des outils numériques, comme des trackers d’activité ou le Wi-Fi. Cependant, aucune preuve n’indique que ces pratiques améliorent réellement la productivité, ce qui soulève des questions sur leur nécessité.

Cette affaire n’est pas un incident isolé pour Apple. L’entreprise a déjà été poursuivie par le National Labor Relations Board (NLRB) des États-Unis pour avoir imposé à ses employés des accords de confidentialité, de non-divulgation et de non-concurrence contenant des clauses jugées illégales. Ces pratiques auraient enfreint les droits fédéraux des travailleurs à s’organiser et à défendre collectivement leurs conditions de travail.

Le débat sur la frontière entre vie personnelle et vie professionnelle prend une nouvelle dimension dans un monde de plus en plus connecté. Alors que des entreprises comme Apple investissent dans des outils numériques pour accroître leur efficacité, elles risquent de brouiller les limites de la vie privée, au détriment des droits individuels de leurs employés.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Entreprise, Justice, loi

La Russie renforce les restrictions sur les hébergeurs étrangers

Roskomnadzor a restreint l’accès à de nombreux hébergeurs étrangers pour non-conformité à la législation russe. AWS et GoDaddy viennent de rejoindre la liste des interdits.

Roskomnadzor (RKN), l’autorité de régulation des communications en Russie, continue de durcir ses mesures contre les hébergeurs étrangers qui ne respectent pas les exigences de la loi dite « d’atterrissage » (loi fédérale n° 236-FZ). Après avoir limité l’accès à huit fournisseurs en mars et avril 2024, le régulateur vient de bloquer Amazon Web Services (AWS) et GoDaddy, laissant seulement Hetzner Online GmbH et FastComet hors de ces restrictions.

La loi impose aux entreprises étrangères fournissant des services en Russie d’ouvrir des bureaux locaux, de créer un compte officiel sur le site de Roskomnadzor et de fournir un formulaire de contact pour les citoyens et organisations russes. Les fournisseurs qui ne respectent pas ces obligations sont non seulement bloqués, mais leurs sites peuvent être marqués comme non conformes dans les résultats des moteurs de recherche russes, compliquant davantage leur visibilité et leur accessibilité.

Depuis le printemps 2024, Roskomnadzor a progressivement restreint l’accès aux services de huit hébergeurs étrangers, invoquant leur non-respect des dispositions prévues par la loi fédérale n° 236-FZ. Ces restrictions ont concerné des sociétés majeures, parmi lesquelles :

Kamatera Inc. (25 mars 2024)
HostGator.com LLC (29 mars 2024)
DigitalOcean LLC (10 avril 2024)
DreamHost LLC (3 avril 2024)

Conformément à la loi, ces entreprises auraient dû créer un compte personnel sur le site de Roskomnadzor. Publier un formulaire de commentaires pour les citoyens et organisations russes. Ouvrir un bureau local pour gérer leurs opérations en Russie. Les Américains et l’Europe imposent aussi ce type de contrôle.

Malgré plusieurs avertissements, les fournisseurs n’ont pas respecté les exigences de Roskomnadzor. Le ministére a d’abord utilisé des outils de sensibilisation publique, tels que des avertissements dans les résultats de recherche sur Yandex pour signaler les violations. Lorsque cela n’a pas suffi, le régulateur a imposé des restrictions totales d’accès aux ressources concernées.

Les récentes décisions de Roskomnadzor marquent une escalade dans les tensions entre le régulateur russe et les hébergeurs étrangers. En mai 2024, les sites de deux autres fournisseurs notables, Amazon Web Services (AWS) et GoDaddy, ont été bloqués pour des raisons similaires. AWS et GoDaddy avaient pourtant évité les premières vagues de restrictions, mais leur incapacité à se conformer aux obligations légales a conduit à leur inclusion dans la liste noire. Il faut dire aussi qu’avoir un bureau en Russie n’est plus possible pour Amazon Web Services ou GoDaddy.

Avec ces nouveaux ajouts, seules Hetzner Online GmbH et FastComet restent autorisées parmi les fournisseurs initialement listés par Roskomnadzor. Cependant, leur situation pourrait également changer si elles ne respectent pas rapidement les règles en vigueur. Les moteurs de recherche russes, tels que Yandex, continuent de signaler les entreprises non conformes, rendant difficile leur utilisation pour les citoyens russes.

Ces mesures s’inscrivent dans un cadre plus large visant à limiter la dépendance de la Russie aux infrastructures étrangères et à garantir que les données des utilisateurs russes soient protégées selon les normes locales. Roskomnadzor a également souligné que les hébergeurs étrangers ne pouvaient pas garantir la sécurité des données, évoquant des risques d’accès non autorisé et d’utilisation des serveurs pour diffuser des contenus interdits.

Blocages !

Facebook et Instagram : En mars 2022, Roskomnadzor a bloqué l’accès à ces plateformes, les qualifiant d' »extrémistes » après que Meta Platforms a autorisé des messages appelant à la violence contre les forces russes.

BBC News : Le site de la BBC a été bloqué en mars 2022, les autorités russes accusant les médias occidentaux de diffuser de la désinformation sur l’invasion de l’Ukraine.

Twitter : Bien que Twitter ne soit pas complètement bloqué, son accès est fortement restreint depuis mars 2022, rendant son utilisation difficile pour les internautes russes.

Deezer : Le service de streaming musical Deezer est également inaccessible en Russie depuis mars 2022, dans le cadre des restrictions sur les plateformes occidentales.

Chess.com : En avril 2022, le site d’échecs en ligne a été bloqué après la publication d’articles critiques sur l’invasion russe en Ukraine.

Applications VPN : Depuis juillet 2024, environ 25 services de VPN, dont Proton VPN, ont été retirés de l’App Store en Russie, limitant les moyens de contourner la censure.

YouTube : En août 2024, les autorités russes ont considérablement ralenti l’accès à YouTube, réduisant le débit à environ 128 kilobits par seconde, rendant la plateforme pratiquement inutilisable.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Cybersécurité, Entreprise, Microsoft, Patch

Massgrave : un crack ultime pour les licences Windows et Office ?

Le groupe de crackers Massgrave annonce avoir trouvé une méthode pour activer presque toutes les versions de Windows et Office, incluant des licences permanentes.

Le groupe de « pirate de logiciels » Massgrave (MassGravel) affirme avoir réalisé une avancée majeure dans le piratage des licences des logiciels Microsoft, permettant désormais d’activer quasiment toutes les versions de Windows et Office de manière permanente.

Selon leurs déclarations, cette nouvelle méthode fonctionne sur toutes les éditions clients et serveurs de Windows, y compris les mises à jour de sécurité étendues (ESU) et les clés de licence spécifiques à Microsoft (CSVLK). Massgrave promet ainsi une activation complète pour des versions allant de Windows Vista jusqu’à Windows 11 et Server 2025.

Cette méthode, encore en développement, pourrait également offrir un support prolongé pour Windows 10 à partir d’octobre 2025, date à laquelle le support officiel prendra fin. Les outils de Massgrave, disponibles en open source sur GitHub, illustrent une nouvelle étape dans la guerre entre Microsoft et les pirates, avec des implications majeures pour la cybersécurité.

Une fenêtre pirate pour Windows

Massgrave a récemment annoncé une méthode permettant d’activer « presque toutes les protections de licence des logiciels Windows et Office » de manière permanente. Leur nouvelle technique, basée sur une extension des solutions de contournement existantes, inclut des fonctionnalités avancées comme la prise en charge des mises à jour de sécurité étendues (ESU) et des licences en volume spécifiques (CSVLK), rendant la méthode compatible avec les dernières versions de Windows et Office. Autant dire que Microsoft pourrait voir d’un très mauvais œil cette annonce.

Depuis des années, l’activation des logiciels Microsoft nécessite une clé valide ou une licence officielle. Cependant, les solutions de contournement, souvent basées sur des lignes de commande PowerShell, permettent d’activer temporairement certaines versions. Massgrave franchit un nouveau cap en revendiquant une méthode capable d’activer définitivement Windows 8, Windows 10, et même Windows 11, ainsi que les dernières éditions d’Office, y compris Server 2025.

Les crackers annoncent également que leur outil offrira un support étendu (ESU) pour Windows 10, prévu pour octobre 2025. Cette fonctionnalité est particulièrement attirante pour les utilisateurs souhaitant prolonger la durée de vie de leurs systèmes après la fin du support officiel.

Le groupe a également souligné que leurs outils, disponibles en open source sous le projet Microsoft Activation Scripts (MAS) sur GitHub, illustrent un paradoxe intéressant : malgré la visibilité de ces projets, Microsoft n’a pris aucune mesure significative pour les bloquer. Il est même rapporté que certains ingénieurs du support Microsoft auraient utilisé les solutions de Massgrave dans des situations de dépannage. (Sic!)

La disponibilité des outils sur GitHub pose des questions sur la politique de tolérance de Microsoft envers ce type de pratiques. Alors que l’entreprise pourrait engager des actions pour limiter leur diffusion, elle semble, jusqu’à présent, adopter une posture passive. Cette situation alimente un débat sur la manière dont les grandes entreprises technologiques gèrent le piratage de leurs propres produits.

Massgrave précise que leur nouvelle méthode est encore en phase de développement et devrait être disponible dans les mois à venir.

Préoccupation pour les entreprises

Pour les entreprises, cette annonce soulève des préoccupations importantes en matière de cybersécurité et de conformité légale. D’abord le risque de se faire piéger par des logiciels crackés. Le cas des logiciels professionnels piégés par l’info stealer Redline en est un parfait exemple.

Ensuite, l’utilisation de cracks, bien qu’elle puisse sembler une solution rapide et économique, expose les utilisateurs à des risques majeurs. Ces outils peuvent inclure des malwares ou des portes dérobées, rendant les systèmes vulnérables aux attaques. De plus, l’usage de logiciels non licenciés constitue une violation des termes d’utilisation, avec des implications légales et financières potentielles.

Alors que Massgrave promet une avancée significative dans le piratage, il est crucial de rappeler que l’utilisation de ces outils n’est pas sans conséquence. Les entreprises comme les particuliers doivent se méfier des solutions « trop belles pour être vraies » et privilégier des alternatives légales pour sécuriser leurs systèmes.

Années 2010 : Premiers outils d’activation temporaire basés sur PowerShell.
2020 : Développement du projet Microsoft Activation Scripts (MAS) par Massgrave.
Décembre 2024 : Annonce d’une méthode révolutionnaire pour activer Windows et Office de manière permanente.
2025 : Prévision d’un support étendu (ESU) pour Windows 10 après la fin du support officiel.

L’annonce de Massgrave illustre les défis croissants auxquels sont confrontées les entreprises technologiques comme Microsoft face au piratage de leurs produits.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Argent, Entreprise

L’Iran réglemente les crypto-monnaies pour contourner les sanctions

L’Iran choisit la réglementation plutôt que l’interdiction des crypto-monnaies, visant contrer les sanctions américaines et s’aligner sur l’économie mondiale.

L’Iran, pays fortement impacté par les sanctions économiques internationales, adopte une stratégie en choisissant de réglementer les crypto-monnaies au lieu de les interdire. Selon Abdolnasser Hemmati, ministre de l’Économie et des Finances, les autorités cherchent à exploiter le potentiel des crypto-actifs pour stimuler l’emploi des jeunes, réduire l’impact des sanctions américaines et intégrer le pays dans l’économie mondiale.

La Banque centrale d’Iran jouera un rôle central en devenant l’organisme de réglementation des crypto-monnaies. Elle aidera les traders à se conformer aux lois fiscales et anti-blanchiment d’argent. Avec des investisseurs iraniens détenant entre 30 et 50 milliards de dollars en actifs cryptographiques – un tiers du marché total de l’or du pays –, cette initiative reflète un potentiel économique significatif.

En outre, des discussions sont en cours avec la Russie pour créer un stablecoin commun destiné aux transactions internationales, renforçant ainsi le rôle stratégique des crypto-monnaies pour l’Iran.

Une stratégie économique tournée vers les crypto-monnaies

L’Iran voit dans les crypto-monnaies une opportunité unique de surmonter les restrictions imposées par les sanctions américaines. Depuis 2022, les entreprises locales sont autorisées à utiliser des actifs numériques pour les transactions d’importation, une mesure destinée à contourner les blocages financiers internationaux.

En 2023, la Banque centrale d’Iran a entamé des discussions avec la Russie sur la création d’un stablecoin régional, permettant de faciliter les règlements commerciaux bilatéraux tout en réduisant la dépendance au dollar américain. Cette initiative pourrait offrir une alternative durable pour les échanges internationaux des deux pays, renforçant leur résilience économique face aux pressions occidentales.

« Les actifs cryptographiques détenus par les Iraniens représentent entre 30 et 50 milliards de dollars, un tiers de la valeur du marché de l’or national. »

Avec une grande partie des échanges cryptographiques centralisés affiliés au gouvernement, l’Iran espère utiliser ces plateformes pour attirer des investissements, encourager l’innovation et stimuler l’emploi dans les secteurs technologiques et financiers.

Un cadre réglementaire sous l’égide de la banque centrale

La Banque centrale d’Iran deviendra le principal organisme de réglementation des crypto-monnaies, orientant les politiques pour équilibrer les opportunités économiques et les risques associés. Les efforts se concentreront sur la lutte contre le blanchiment d’argent, la conformité fiscale et la création d’un environnement sûr pour les traders de crypto.

Cette approche vise à éliminer les impacts négatifs des actifs cryptographiques tout en exploitant leur potentiel économique. Le ministre de l’Économie, Abdolnasser Hemmati, a souligné que cette réglementation pourrait transformer les crypto-monnaies en outil de croissance économique, en particulier pour les jeunes Iraniens, tout en offrant une alternative pour contrer les sanctions.

« La Banque centrale iranienne guidera les traders pour respecter les lois fiscales et anti-blanchiment, favorisant un écosystème cryptographique sûr et conforme. »

En favorisant l’adoption des crypto-monnaies, l’Iran espère également intégrer son économie dans le paysage mondial, tout en réduisant sa dépendance aux systèmes financiers traditionnels. Le hic! Les pirates pourraient passer par ce biais pour blanchir l’argent volé, comme ce fût le cas avec deux entreprises Russes épinglées par la NCA britanniques.

Défis et perspectives économiques

Malgré les opportunités offertes par les crypto-monnaies, des défis subsistent. Une étude récente a révélé que la plupart des échanges cryptographiques iraniens sont affiliés au gouvernement et participent au contournement des sanctions.

Depuis 2023, le projet de stablecoin commun avec la Russie souligne une vision régionale stratégique, avec la création d’un mécanisme alternatif pour les règlements commerciaux. Ce partenariat pourrait inspirer d’autres pays cherchant à se libérer de la domination du dollar et des sanctions dans le commerce mondial.

En réglementant les crypto-monnaies, l’Iran adopte une approche visant à stimuler son économie tout en contournant les sanctions internationales. En raison des sanctions américaines, il est interdit aux plateformes internationales d’actifs numériques de fournir des services aux utilisateurs iraniens. Selon une étude diffusée en octobre 2024, il existerait 90 plateformes de trading de crypto-monnaies en activité en Iran. Parmi ceux-ci, plus de 10 fonctionnent comme des échanges centralisés avec des sites Web et des applications. Il y aurait entre 15 à 19 millions d’utilisateurs actifs.

Pour rester informé des évolutions sur les crypto-monnaies et les stratégies économiques mondiales, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Découvrez comment les nouvelles technologies redessinent l’économie mondiale.

cyberattaque, Cybersécurité, Entreprise

Ransomware : Gueule de bois pour Stoli Group, le roi de la vodka

Stoli Group, célèbre fabricant de vodka, attribue son dépôt de bilan à une attaque de ransomware en août, aggravant une situation financière déjà tendue.

Le fabricant de vodka Stoli Group, connu pour ses produits emblématiques comme la vodka Stoli, a révélé qu’une attaque de ransomware en août 2024 avait considérablement aggravé ses difficultés financières, conduisant deux de ses filiales américaines à déposer le bilan. L’incident a désactivé son système ERP, obligeant l’entreprise à passer à une gestion manuelle, perturbant ses opérations et compliquant sa relation avec ses créanciers.

Ce ransomware, bien qu’aucun groupe n’ait encore revendiqué l’attaque, s’inscrit dans un contexte de défis multiples pour Stoli : des batailles juridiques prolongées avec le gouvernement russe, des sanctions internationales et une baisse de la demande post-pandémie. En proie à une dette de 84 millions de dollars, l’entreprise lutte pour maintenir ses opérations, visant une restauration de ses systèmes au premier trimestre 2025. Cette affaire illustre l’impact dévastateur des cyberattaques sur les grandes entreprises et leur stabilité financière.

Une attaque de ransomware paralysante

En août 2024, Stoli Group a été victime d’une attaque de ransomware ayant perturbé l’ensemble de son infrastructure informatique, y compris son système de planification des ressources (ERP). Ce système était crucial pour les opérations globales, et sa désactivation a forcé l’entreprise à basculer vers des processus manuels pour gérer ses fonctions internes, notamment la comptabilité.

Les perturbations causées par cette attaque ont également compliqué la communication avec les créanciers, Stoli étant incapable de fournir des rapports financiers actualisés. Cette incapacité à répondre aux exigences des prêteurs a aggravé la situation financière, contribuant directement au dépôt de bilan de ses filiales américaines, Stoli Group USA et Kentucky Owl.

« L’attaque a provoqué des problèmes opérationnels importants dans toutes les sociétés du groupe Stoli, y compris Stoli USA et KO, en raison de la désactivation du système de planification des ressources de l’entreprise (ERP) du groupe Stoli et du passage forcé de la plupart des processus internes du groupe Stoli (y compris les fonctions comptables) à un mode de saisie manuelle.« 

Aucun groupe de ransomware n’a encore revendiqué l’attaque, et la société n’a pas précisé si une rançon a été versée. Stoli vise à restaurer ses systèmes d’ici le premier trimestre 2025, mais les pertes opérationnelles restent lourdes.

La branche américaine de la société a été créée en 2013 et distribue tous ses produits aux États-Unis. En plus de la vodka homonyme Stoli, la société possède plusieurs autres marques internationales d’alcool.

Un contexte économique et juridique déjà tendu

L’impact du ransomware s’ajoute à une série de défis majeurs pour Stoli Group, dont des batailles juridiques prolongées avec le gouvernement russe. Depuis un décret de Vladimir Poutine en 2000 cherchant à renationaliser la marque, Stoli a été confrontée à une série de poursuites et de confiscations, culminant avec la saisie en 2022 de ses deux dernières distilleries en Russie, d’une valeur estimée à 100 millions de dollars.

En juillet 2024, un gouvernement local russe a qualifié Stoli d’« extrémiste », citant son soutien aux réfugiés ukrainiens. Ces mesures, combinées aux coûts juridiques globaux et à la perte d’actifs, ont mis une pression énorme sur les finances de l’entreprise.

La pandémie de COVID-19 et l’inflation ont également joué un rôle. Une baisse de la demande d’alcool, combinée à une hausse des coûts opérationnels, a entraîné une érosion des marges bénéficiaires, exacerbant les défis financiers.

Ransomware : une menace pour la stabilité des entreprises

L’attaque contre Stoli n’est pas un cas isolé. Les cyberattaques par ransomware continuent de causer des pertes massives aux entreprises dans divers secteurs. En 2023, la Brunswick Corporation a estimé les pertes liées à un ransomware à 85 millions de dollars, tandis qu’un libraire canadien a déclaré des pertes de 50 millions de dollars dues à une attaque ayant paralysé ses opérations pendant des semaines.

L’impact des ransomwares va au-delà des pertes financières immédiates, affectant la réputation des entreprises, leur relation avec les créanciers et leur capacité à maintenir des opérations normales. Applied Materials, fournisseur pour l’industrie des semi-conducteurs, a rapporté des pertes potentielles de 250 millions de dollars à cause d’une attaque contre l’un de ses fournisseurs.

Pour Stoli, cette attaque de ransomware a agi comme un catalyseur, accélérant un dépôt de bilan rendu inévitable par des pressions économiques, juridiques et opérationnelles multiples. Ces incidents soulignent la nécessité pour les entreprises de renforcer leurs défenses cybernétiques et de planifier des réponses rapides aux attaques.

L’attaque de ransomware contre Stoli Group illustre l’impact dévastateur des cyberattaques sur les grandes entreprises. Elle montre comment ces incidents, combinés à des pressions économiques et juridiques, peuvent pousser des organisations autrefois solides à la faillite.

En France, même constat pour l’opérateur Octave placé en redressement à la suite d’une cyberattaque. Une attaque informatique qui a mis au tapis l’entreprise, mais aussi et surtout de nombreuses entreprises partenaires, et leur boutique en ligne, obligées de ressortir, crayon et papier en magasin physique. Certaines boutiques ont été relancée… 3 mois aprés l’attaque !

Abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp pour rester informé des dernières actualités et des meilleures pratiques en matière de cybersécurité.