🔎 Cyberveille

Le Centre national des œuvres universitaires et scolaires (Cnous) a pris connaissance, le 23 mars 2026, d’une exfiltration de données provenant du site mesrdv.etudiant.gouv.fr, plateforme de prise de rendez-vous avec les services sociaux et logement des Crous. Dès la détection de cet incident, les accès concernés ont été immédiatement sécurisés et une investigation technique approfondie a été engagée afin d’en identifier les causes, de mesurer le nombre de personnes susceptibles d’avoir été impactées et d’éviter qu’une situation similaire ne se reproduise. Cet incident fait l’objet d’un suivi attentif et d’une mobilisation complète des services compétents. 774 000 personnes sont concernées par cette extraction de données, issues de rendez-vous pris sur les dix dernières années. Parmi elles, 139 000 personnes ont fait l’objet d’une exfiltration de pièces jointes déposées dans l’application et 635 000 ont fait l’objet d’une exfiltration de données très limitée (nom, prénom, adresse mail, objet et date du rendez-vous).

Une déclaration a été faite auprès de la Commission nationale de l’informatique et des libertés (CNIL). Un dépôt de plainte est en cours. Chaque personne concernée sera informée de la situation par le Cnous. L’accès au site est temporairement suspendu, le temps de procéder aux corrections nécessaires et de garantir une réouverture dans des conditions de sécurité renforcées. Dans l’attente, les étudiants nécessitant un rendez-vous social d’urgence peuvent prendre attache avec le centre de contact du réseau des Crous : 09 72 59 65 65.

Conscient du caractère systémique des cyberattaques, le Cnous accorde la plus haute importance à la sécurité numérique. Il porte une politique de sécurité des systèmes d’information renforcée de façon continue pour s’adapter à l’évolution des menaces.

Après une cyberattaque le 14 mars 2026, l'entreprise Intoxalock, qui gère des milliers d'éthylotests connectés, doit faire face à la gronde d'automobilistes à l'arrêt.

Depuis plusieurs jours, sur les réseaux sociaux comme Reddit, des automobilistes se plaignent de ne pas pouvoir démarrer leur véhicule. En cause, la présence d'un éthylotest connecté inopérant. Pourquoi ne remplit-il plus son office? Selon Intoxalock, son fabricant, la faute reviendrait à une cyberattaque survenue le 14 mars 2026, qui vient perturber ses services et causer des interruptions.

Données personnelles, adresses postales notamment ont été piratées dans un logiciel de l’éducation nationale a annoncé le ministère le 23 mars. 243.000 agents essentiellement des enseignants, ont été touchés quelques jours plus tôt.

Une seule clé volée, 80 millions de stablecoins créés à partir de rien, 24,5 millions convertis en Ether en quelques minutes. Le protocole DeFi Resolv n'a pas été piraté par un bug. Son code a fonctionné exactement comme prévu.

Le code source d'un outil d'espionnage étatique vient de fuiter publiquement. Il suffit de quelques heures et de zéro compétence en iOS pour le déployer.

La menace DarkSword vient de changer de nature. Nous avions détaillé le fonctionnement de ce kit d'espionnage capable de vider un iPhone non mis à jour via une simple page web. Désormais, le problème n'est plus seulement technique. Comme le rapporte TechCrunch, une version fonctionnelle du kit a été publiée sur GitHub. N'importe qui peut la télécharger.

Les autorités pensaient avoir mis un terme aux activités de l’une des plateformes de phishing les plus dangereuses du moment, Tycoon2FA. En quelques jours, la plateforme, spécialisée dans le contournement de la double authentification, est revenue sur le devant de la scène… et elle tourne à plein régime.

...

Le répit n’aura été que de courte durée. Moins d’un mois après sa fermeture forcée, Tycoon2FA fait son retour sur le devant de la scène. Après avoir constaté une chute brutale de l’activité du kit dans le sillage de l’opération du 4 mars, les chercheurs de CrowdStrike ont vite enregistré une reprise d’activité. Le service a très vite repris sa cadence de croisière, seulement quelques jours après, indiquant que la plateforme est loin d’être morte et enterrée.

Ces plateformes arnaquaient leurs utilisateurs en prétendant vendre du matériel pédopornographique et cybercriminel. Europol a annoncé, le 20 mars 2026, avoir coordonné, avec les autorités allemandes, le démantèlement de 373 000 sites du dark web, qui prétendaient vendre des contenus pédopornographiques et cybercriminels. Lancée par la police allemande en 2021, l’enquête ciblait à l’origine la plateforme « Alice with Violence CP ». Elle s’est avérée n’être que la partie émergée de ce vaste réseau de fausses places de marché criminelles.

Pour colmater les brèches, Google vient de lancer le déploiement des versions 146.0.7680.153/154 de Chrome sur Windows/ macOS et de 146.0.7680.15 sur Linux. Dépêchez-vous d’installer la dernière mise à jour de Chrome sur votre ordinateur et sur votre smartphone. Dès qu’elle est disponible, ouvrez le menu À propos de Google Chrome, laissez le navigateur télécharger les correctifs puis cliquez sur Relancer pour finaliser l’installation. Pensez aussi à activer les mises à jour automatiques afin de rester protégé en permanence. Pour rappel, Google a déjà corrigé deux failles zero-day dans Chrome la semaine dernière.

L'IA amplifie la prolifération des secrets. GitGuardian révèle une progression de 81 % des fuites liées aux services d'IA tandis que 29 millions de secrets sont détectés sur GitHub public. En 2025, les commits de développeurs utilisant Claude Code présentent un taux de fuite de secrets de 3,2 % contre 1,5 % en moyenne. Le facteur humain demeure déterminant.

GitHub est un service web d'hébergement et de gestion de développement de logiciels, utilisant le logiciel de gestion de versions Git. Le site assure un contrôle d'accès et des fonctionnalités destinées à la collaboration comme le suivi des bugs, les demandes de fonctionnalités, la gestion de tâches et un wiki pour chaque projet. Le site est devenu le plus important dépôt de code au monde, utilisé comme dépôt public de projets libres ou dépôt privé d'entreprises.

GitGuardian, leader français de cybersécurité et éditeur d'une des applications la plus installée de GitHub, a publié la 5ᵉ édition de son rapport annuel « State of Secrets Sprawl ». Le rapport analyse comment l'adoption généralisée de l'IA en 2025 a profondément transformé le développement logiciel et accéléré l'exposition des identités machines et de leurs secrets au sein des dépôts de code publics et privés.

Alors que l'écosystème logiciel croît rapidement, le nombre de secrets divulgués augmente plus vite encore, et le traitement des incidents accuse un retard croissant. En 2025, l'adoption de l'IA a définitivement transformé l'ingénierie logicielle :

• Augmentation de +43 % en glissement annuel des commits publics, avec un rythme de croissance au moins deux fois supérieur à celui des années précédentes.

• Depuis 2021, les secrets croissent environ 1,6 fois plus vite que la population de développeurs actifs.

• En moyenne sur l'année, les taux de fuite de secrets dans le code assisté par IA sont environ deux fois supérieurs à ceux observés sur l'ensemble de GitHub.

Ensemble, ces forces ont entraîné une augmentation annuelle de +34 % du nombre de nouveaux secrets exposés sur GitHub, atteignant ~29 millions de secrets détectés au total, marquant la plus forte augmentation annuelle jamais enregistrée.

Le Secrétariat général de l’Enseignement catholique a été victime d’une attaque informatique ciblant l’application de gestion de ses établissements du premier degré. Cet incident, identifié rapidement, a entraîné un accès non autorisé aux données relatives à l’identification des utilisateurs de cette application et aux coordonnées des élèves, de leurs familles et des enseignants. Le Secrétariat général de l’Enseignement catholique a immédiatement déployé un protocole de réponse rigoureux. Toutes les mesures nécessaires ont été prises sans délai pour sécuriser les systèmes, notamment : • La sécurisation immédiate de tous les accès ; • La suspension des services impactés par l’incident ; • Le signalement aux autorités juridiques et administratives compétentes, en premier lieu desquelles le Ministère de l’Éducation Nationale.

Parallèlement, une communication proactive a été établie avec l’ensemble des chefs d’établissement, des enseignants et des parents d’élèves concernés pour les informer des mesures mises en place pour assurer la sécurisation des systèmes et transmettre des recommandations de vigilance, notamment relatives à la modification des accès et à l’usage de mots de passe complexes.

Par ailleurs, l’Enseignement catholique s’est adjoint la collaboration d’experts en cybersécurité pour analyser la situation en profondeur, limiter les conséquences potentielles de cet incident et envisager les éventuels correctifs de sécurité.

Le Secrétariat général regrette profondément cette situation et assure l’ensemble des communautés éducatives de son entière mobilisation pour limiter les effets de cette attaque et renforcer encore la protection des données personnelles des familles et de ses personnels.

C’est une victoire pour les formats ouverts qu’annonce The Document Foundation (TDF), l’organisation à but non lucratif responsable de la suite bureautique LibreOffice: l'intégration d'Open Document Format (ODF) comme format standard obligatoire dans le Deutschland-Stack, le cadre d'infrastructure numérique souveraine du gouvernement fédéral allemand pour l'ensemble des administrations publiques.

Pas une simple recommandation Le Deutschland-Stack est publié (texte en allemand) par le ministère fédéral allemand du Numérique et de la Modernisation de l'État (Bundesministerium für Digitales und Staatsmodernisierung). Il définit les normes techniques d'une infrastructure numérique partagée, interopérable et souveraine pour toutes les administrations publiques allemandes. Parmi ses normes techniques dans une section "Technologies sémantiques et analyse en temps réel", les formats ODF et PDF/UA sont explicitement désignés comme les deux formats de documents obligatoires.

«Il ne s’agit pas d’une recommandation ni d’une préférence, c’est impératif», souligne Florian Effenberger, directeur exécutif de la Document Foundation (en France, le RGI de 2016 note le format ODF comme "recommandé" et le format OOXML "en observation - p. 40 et 41 du PDF).

IDENTIFICATION & ATTRIBUTION

Dénominations (alias connus par vendor)

Le groupe est suivi sous les dénominations suivantes selon les vendors : MERCURY (Microsoft, dénomination historique), MuddyWater (ClearSky, dénomination d’usage courant), Mango Sandstorm (Microsoft, dénomination actuelle), Seedworm (Symantec/Broadcom), Static Kitten (CrowdStrike), Earth Vetala (Trend Micro), TEMP.Zagros (Mandiant/FireEye pré-attribution), TA450 (Proofpoint), Boggy Serpens (Palo Alto Unit 42). Autres aliases documentés : MuddyC2 (opérationnel), G0069 (MITRE ATT&CK).

Origine

Iran.

Sponsor présumé

Le groupe est évalué comme un élément subordonné au MOIS : Ministry of Intelligence and Security (Vezarat-e Ettelaat va Amniat-e Keshvar) (1). Cette attribution a été formalisée dans un avis conjoint publié le 24 février 2022 par le FBI, la CISA, le CNMF et le NCSC-UK, avec un niveau de confiance élevé. MERCURY/MuddyWater opère sous la même tutelle institutionnelle qu’APT39 (MOIS) mais constitue un cluster d’activité distinct par ses cibles, ses outils et ses objectifs opérationnels. Les acteurs du groupe sont évalués comme étant en mesure de partager des accès et des données avec d’autres acteurs malveillants iraniens (1). Un lien opérationnel avec le cluster Storm-1084 (DarkBit) a été documenté par Microsoft.

Niveau de sophistication

Tier 2 : Modéré à Fort, en progression constante. L’évolution du groupe sur la période 2017-2026 se structure en trois phases documentées (2) :

Phase I (2017-2022) : opérations centrées sur des scripts PowerShell/VBS. Arsenal principal : POWERSTATS, PowGoop, Small Sieve, Canopy/Starwhale, Mori.

Phase II (2023-2024) : virage doctrinal vers l’abus d’outils RMM (Remote Monitoring and Management) légitimes comme vecteur de C2 principal (SimpleHelp, ScreenConnect, N-able), combiné à l’émergence des premiers backdoors custom de nouvelle génération (BugSleep/MuddyRot).

Phase III (2024-2026) : itération rapide sur des malwares custom, adoption de Rust comme langage de développement (RustyWater), intégration documentée de l’IA générative dans le développement des outils, C2 via bots Telegram, et extension géographique vers les États-Unis et le Canada (campagne Dindoor, mars 2026).

Motivation

Espionnage stratégique à large spectre et perturbation ciblée. Collecte de renseignement sur des cibles gouvernementales, militaires et d’infrastructure critique au service des objectifs du MOIS. Depuis 2024, corrélation documentée entre les accès cyber compromis (flux CCTV en direct) et des opérations cinétiques iraniennes (frappes de missiles). Déploiement occasionnel de ransomware (Thanos, 2020-2021 ; variantes 2024) comme vecteur de perturbation ou d’extorsion secondaire.

Statut

ACTIF : dernière activité documentée : mars 2026. Campagnes Dindoor (Broadcom/Symantec, mars 2026), RustyWater (janvier 2026), Operation Olalampo (Group-IB, janvier-février 2026), avec compromissions confirmées ciblant des entités américaines, israéliennes et canadiennes (3)(4)(5).

Un agent IA rebelle a déclenché une alerte de sécurité majeure chez Meta, en agissant sans autorisation, ce qui a entraîné la divulgation de données sensibles concernant l'entreprise et ses utilisateurs

Meta, la société mère de Facebook, rencontrerait des difficultés avec des agents IA incontrôlables. Selon un rapport de The Information, un agent IA de Meta a mal fonctionné, exposant des données sensibles de l'entreprise et des utilisateurs à des employés qui n'étaient pas autorisés à y accéder. Meta a confirmé l'incident à The Information, le classant comme « Sev 1 », soit le deuxième niveau de gravité le plus élevé dans le système interne de l'entreprise destiné à évaluer les problèmes de sécurité.

Dans le contexte de l'intelligence artificielle générative, les agents IA ou « IA agentique » constituent une catégorie d'agents intelligents qui se distinguent par leur capacité à fonctionner de manière autonome dans des environnements complexes. Les outils d'IA agentique privilégient la prise de décision plutôt que la création de contenu et ne nécessitent pas de surveillance continue. Les agents IA possèdent plusieurs attributs clés, notamment des structures d'objectifs complexes, des interfaces en langage naturel, la capacité d'agir indépendamment de la supervision de l'utilisateur et l'intégration d'outils logiciels ou de systèmes de planification. Les agents intègrent également des systèmes de mémoire permettant de se souvenir des interactions précédentes entre l'utilisateur et l'agent, ainsi que des logiciels d'orchestration pour organiser les composants de l'agent.

Des chercheurs ont découvert une campagne menée par le groupe Glassworm qui exploite les relations de dépendance entre les extensions dans le registre Open VSX pour diffuser indirectement des malwares.

Deux incidents de sécurité en trois semaines J'ai envie de dire que le cauchemar continue pour les mainteneurs de Trivy et les utilisateurs de ce scanner de vulnérabilités très populaire. Souvenez-vous : fin février dernier, un bot autonome nommé hackerbot-claw était parvenu à exploiter une faille dans un workflow GitHub Actions pour dérober un jeton d'accès et prendre le contrôle du dépôt Trivy. L'outil avait même disparu totalement de GitHub, avant de revenir quelques heures plus tard.

Jeudi 19 mars, un nouvel incident de sécurité a frappé Trivy. Cette fois-ci, c'est une version malveillante qui a été diffusée : v0.69.4. Des investigations menées par StepSecurity et partagées dans un rapport expliquent précisément ce qu'il s'est passé. Tout d'abord, il semblerait que le même acteur soit à l'origine de cette seconde attaque.

"Le système d'automatisation des publications Trivy (aqua-bot) a publié la version v0.69.4, et une balise v0.70.0 a également été brièvement créée. Les binaires de la version v0.69.4 contenaient un code malveillant qui établissait une connexion avec un domaine C2 de type « typosquatting ».", peut-on lire.

Ubiquiti a récemment patché deux failles de sécurité dans l'application UniFi Network, dont la CVE-2026-22557, une vulnérabilité critique pouvant mener à la prise de contrôle des comptes utilisateurs. Voici comment se protéger.

CVE-2026-22557 : une faille de sécurité critique L'application UniFi Network est une solution permettant de configurer et de surveiller les équipements réseaux de la célèbre marque Ubiquiti : routeurs, switchs, points d'accès Wi-Fi, etc. Autrement dit, elle assure la fonction de contrôleur global au niveau du réseau.

Cette même solution est affectée par une faille de sécurité critique : CVE-2026-22557 (avec un score CVSS de 10 sur 10). En effet, en exploitant cette vulnérabilité de type Path Traversal, un attaquant distant non authentifié pourrait compromettre l'instance UniFi. Aucune interaction de la part d'un utilisateur n'est nécessaire, l'attaquant doit seulement pouvoir contacter la solution UniFi via le réseau.

Dans son bulletin de sécurité, Ubiquiti précise : "Un acteur malveillant ayant accès au réseau pourrait exploiter une vulnérabilité de traversée de chemin trouvée dans l'application UniFi Network pour accéder aux fichiers du système sous-jacent, qui pourraient ensuite être manipulés pour accéder à un compte sous-jacent."

Le footing d'un jeune officier publié sur la plateforme sportive a permis de localiser le porte-avions français au large de Chypre.

Quand un simple footing révèle une position censée être confidentielle. Le porte-avions Charles-de-Gaulle, déployé en mer Méditerranée pour faire face aux menaces d'extension de la guerre entre les Etats-Unis, Israël et l'Iran, a été localisé au large de Chypre le vendredi 13 mars, à près d'une centaine de kilomètres des côtes turques.

L'information a été révélée jeudi 19 mars par Le Monde(Nouvelle fenêtre) grâce à l'application de course à pied Strava. Selon le quotidien, un jeune officier de la Marine nationale y a enregistré un footing de plus de 7 km en 37 minutes et 20 secondes effectué sur le pont du bateau. Ces données, accessibles publiquement, peuvent être consultées par n'importe quel utilisateur de la plateforme.

Reconnaissance faciale dans la rue, traçage de millions de téléphones portables, piratage d'applications de messagerie chiffrées, tel est l'arsenal dont dispose aujourd'hui l'ICE, la police de l'immigration de l'administration Trump. L'ICE a déployé un arsenal technologique inédit et massif dans l’histoire américaine. Un budget de plus de 120 milliards de dollars est prévu pour la police de l'immigration d’ici à 2029, soit deux fois plus que sous l'ère Joe Biden. Ses effectifs ont aussi doublé depuis l'arrivée de Donald Trump.

Interrogé dans La Matinale, Cooper Quintin, technologue principal à l’Electronic Frontier Foundation, organisation américaine de défense des libertés numériques, détaille: "S'ils étaient une armée, cela ferait d'eux la 14e armée la mieux financée au monde, entre l'Ukraine et Israël". Avec cette manne financière, l'agence s'est offert un catalogue d'outils dignes des services de renseignement les plus intrusifs.

Les travaux conjoints des services membres du Centre de Coordination des Crises Cyber (C4) ont permis d’identifier une recrudescence de campagnes d’attaques ciblant les comptes de messagerie instantanées. Ces campagnes ciblent particulièrement les secteurs régaliens (personnalités politiques, cadres de l’administration) mais aussi les personnels de la société civile exerçant des fonctions sensibles (journalistes, industriels, etc.).

Ces attaques – quand elles réussissent – peuvent permettre à des acteurs malveillants d’accéder aux historiques de conversation, voire de prendre le contrôle des comptes de messagerie de leurs victimes et de diffuser des messages en usurpant leur identité. Cette note d’alerte contient des actions immédiates permettant de vérifier la prise de contrôle d’un compte par un tiers ainsi que des préconisations d’hygiène numérique simples afin d’éviter une telle compromission.

https://www.cert.ssi.gouv.fr/uploads/20260320_NP_C4_Alerte_Ciblage_messagerie_instantanee.pdf

Les États-Unis, l’Allemagne et le Canada annoncent avoir frappé l’infrastructure de plusieurs des botnets DDoS les plus actifs du moment. Parmi eux, Aisuru et KimWolf, deux noms qui ont rythmé ces derniers mois au gré d’attaques massives, d’une activité difficile à contenir et de records qui ont fini par banaliser des volumes autrefois exceptionnels.

À l’occasion de la première édition des Rencontres de l’Agence du Numérique en Santé (ANS), consacrée à la cybersécurité en santé, plus de 220 participants se sont réunis, à PariSanté Campus et à distance.

Vol de données dans 77 % des attaques ransomware, Instagram supprime le chiffrement de bout en bout, le groupe iranien Handala déploie des wipers via Intune, exploitation zero-day Cisco par Interlock, négociateur ransomware accusé de collusion criminelle, l'IA remet en cause les licences open source, opération Synergia III, etc.

Plusieurs campagnes d’espionnage ou à visée lucrative identifiées ces derniers mois reposaient sur l’exploitation très sophistiquée de vulnérabilités de téléphones d’Apple. La dernière repérée concerne les appareils équipés d’anciennes versions d’iOS (de iOS 18.4 à 18.7).

Entre lundi soir et mardi après-midi, des dizaines de milliers de messages électroniques ont été envoyés aux élus PLR, UDC et Vert'libéraux au Grand Conseil vaudois pour les inciter à voter en faveur de sanctions contre l'UEFA pour son inaction face à la Fédération israélienne de football.

Alerté, le secrétariat général du Grand Conseil a pu bloquer ces envois massifs. Une analyse est en cours auprès des services informatiques cantonaux.

Des messages électroniques, ils en reçoivent régulièrement, mais pas à ce rythme-là. En moins de 12 heures, certains élus de droite ont reçu plus de cent e-mails, avant que les services informatiques ne parviennent à bloquer les envois. Tous écrits avec le même objectif: demander aux députés de voter en faveur d’une résolution visant à sanctionner l’UEFA pour son inaction face à la Fédération israélienne de football. Une résolution rejetée.

• CVE-2026-32746 : buffer overflow dans telnetd (GNU InetUtils) permet un shell root avant même le login, via un paquet SLC malformé, score CVSS 9.8, aucun patch dispo avant avril
• Deuxième faille critique en 2 mois sur le même daemon : la CVE-2026-24061 est déjà activement exploitée en production selon la CISA
• Telnet traîne partout (switchs Cisco, automates Siemens, imprimantes réseau) : bloquez le port 23 au firewall, isolez en VLAN, désactivez le service, car beaucoup d'équipements legacy ne supportent que telnet et pas SSH