🔎 Cyberveille

Ruag Mro Holding SA a été victime d’une attaque informatique ciblant son bureau de liaison aux Etats-Unis, a annoncé mardi l’entreprise. L’incident fait actuellement l’objet d’une analyse tandis que des mesures ont été prises.

Il fut un temps où le VPN était le Saint Graal pour sécuriser l’accès à nos infrastructures et nos serveurs. Tout semblait parfait : connexion chiffrée, authentification forte requise… Malheureusement, une fois entré dans la forteresse, toute personne pouvait faire ce que bon lui semblait dans le royaume sans contrôle ni traçabilité.

Avec l’avènement du Bring Your Own Device et du télétravail, il était nécessaire de changer de paradigme : ne plus faire confiance à personne, vérifier les actions faites. C’est la philosophie du “Zero Trust” : chaque accès doit être authentifié, autorisé et audité. Mais comment implémenter cette solution au quotidien sans complexifier la vie de nos collaborateurs ?

Le plus simple à mettre en œuvre est d’ajouter un point unique dans notre infrastructure qui servira de gardien du pont tel un Gandalf devant le Balrog. C’est ce que nous appelons un bastion (également appelé jump host). Ce gardien filtre les accès à notre infrastructure en fonction des droits accordés à l’utilisateur authentifié.

Plusieurs solutions existent sur le marché pour implémenter cette philosophie comme Boundary d’Hashicorp, Teleport mais une solution plus simple, écrite en Rust, existe. Voilà que rentre en scène notre mage : Warpgate.

Les autorités helvétiques utilisent déjà les échanges avec l’IA comme preuves dans leurs enquêtes. Aux États-Unis, un jeune s’est auto-incriminé en avouant 17 vandalismes à ChatGPT.

La police suisse exploite déjà activement les conversations avec ChatGPT dans ses enquêtes criminelles. Le Canton d’Argovie se distingue par son utilisation avancée de ces nouvelles sources de preuves numériques, selon «20 Minutes».

La police cantonale argovienne a déjà analysé plusieurs conversations ChatGPT dans des affaires de délits graves, selon son porte-parole, Bernhard Graser. Ces analyses, toujours coordonnées avec le Ministère public, ont permis d’obtenir des informations jugées précieuses pour les enquêtes, sans que la nature exacte des affaires puisse être révélée.

Des experts en cybersécurité viennent de révéler que plus de 200 applications disponibles sur le Google Play Store totalisaient 42 millions de téléchargements. Le rapport fait état des dernières tendances en matière de malware et rappelle comment s’en protéger.

Pour protéger ses utilisateurs, Google a mis en place diverses mesures de sécurité visant à lutter contre les applications malveillantes. La firme de Mountain View va même bientôt les muscler davantage grâce à un nouveau système de vérification des développeurs Android – annonce qui suscite plusieurs craintes chez les utilisateurs et les développeurs.

Malgré cela, certaines applications malveillantes parviennent à passer sous les radars de Google et s’il en supprime régulièrement de son magasin officiel, le mal est parfois déjà fait : selon la société de cybersécurité cloud Zscaler, pour la période 2024-2025, 239 applications Android malveillantes disponibles sur le Play Store cumulent 42 millions de téléchargements.

Selon le dernier rapport de l'équipe de cybersécurité de Google, l'année 2026 marquera un tournant pour la sécurité informatique des entreprises : l'intelligence artificielle sera utilisée à grande échelle par les attaquants, le cybercrime atteindra une dimension industrielle et la virtualisation deviendra une nouvelle cible stratégique.

2026 s'annonce comme une année charnière pour la cybersécurité des entreprises. D'après Google Cloud et Mandiant (entreprise rachetée en 2022), l'intelligence artificielle s'impose désormais comme un outil offensif à part entière, le cybercrime s'organise en véritable industrie mondiale et la virtualisation, longtemps considérée comme un rempart, devient une nouvelle vulnérabilité.

Le Cybersecurity Forecast Report, publié ce 4 novembre 2025, s'appuie sur les données recueillies par les équipes de Google Threat Intelligence, Google Cloud Security et de Mandiant Consulting. Il a pour ambition de dresser un état des lieux réaliste des tendances déjà observées sur le terrain.

Selon BleepingComputer, des acteurs malveillants exploitent activement une vulnérabilité critique (CVE-2025-11833, score 9,8) dans le plugin WordPress Post SMTP (installé sur 400 000+ sites), permettant la lecture non authentifiée des journaux d’e-mails et la prise de contrôle de comptes administrateurs.

Étant donnée l’exploitation en cours, les propriétaires de sites utilisant Post SMTP sont invités à passer immédiatement à la version 3.6.1 ou à désactiver le plugin

L'idée d'interdire les routeurs TP-Link est apparue pour la première fois il y a environ un an, lorsque le matériel produit par l'entreprise - fondée en Chine - a été accusé d'être lié à une série de cyberattaques. Les services du gouvernement américain ont lancé une enquête pour déterminer si TP-Link pouvait représenter un risque, en mettant particulièrement l'accent sur ses liens avec la Chine, bien que TP-Link opère depuis Singapour et ait établi un nouveau siège aux États-Unis l'année dernière.

"En établissant notre siège mondial aux États-Unis, nous ne faisons pas qu'étendre notre présence, nous prenons un engagement à long terme envers les consommateurs et les entreprises américains", avait déclaré la société.

Influence chinoise ? Aujourd'hui, un nouvel article publié par le Washington Post suggère que "plus d'une demi-douzaine" de ministères et d'agences fédérales soutiennent un plan visant à interdire les ventes futures de routeurs TP-Link aux États-Unis.

Présente désormais dans tous les appareils de téléphonie cellulaire en Russie, l'application de messagerie Max représente le plus récent effort du gouvernement de Vladimir Poutine pour contrôler Internet et, potentiellement, surveiller les internautes.

D'abord distribuée en version beta au printemps dernier, l'application mobile Max est dorénavant préalablement installée sur tous les cellulaires qui sont vendus en sol russe. La plateforme, propriété du média russe VK, permet aux utilisateurs de clavarder avec leur entourage ou encore d'accéder aux services gouvernementaux.

En outre, Moscou invite les détenteurs de vieux appareils de téléphonie cellulaire à télécharger Max, et s'en est remis aux artistes, aux influenceurs et aux athlètes pour en faire la promotion.

Cette appli de messagerie est introduite à un moment où il est de plus en plus difficile, pour les citoyens russes, d'utiliser des plateformes telles que WhatsApp et Telegram.

Selon un chercheur en sécurité, des pirates pourraient détourner l'API de téléchargement de fichiers de l'asssitant IA Claude d'Anthropic pour exfiltrer des informations sensibles, même quand des restrictions réseau sont activées.

Une vulnérabilité récemment révélée dans l'assistant d’IA Claude d'Anthropic pourrait permettre à des pirates d’exploiter la fonctionnalité d'interpréteur de code de la plateforme pour exfiltrer silencieusement les données d'entreprise, en contournant même les paramètres de sécurité par défaut conçus pour empêcher de telles attaques. Le chercheur en sécurité Johann Rehberger a démontré que l'interpréteur de code de Claude peut être manipulé par injection indirecte de commandes pour voler des informations sensibles, notamment les historiques de chat, les documents téléchargés et les données accessibles via les services intégrés. L'attaque a exploité l'infrastructure API propre à Claude pour envoyer les données volées directement vers des comptes contrôlés par les pirates. L'exploit tire parti d'une faille critique dans les contrôles d'accès au réseau de Claude. Et si le paramètre par défaut « Package managers only » (Gestionnaires de paquets uniquement) de la plateforme limite les connexions sortantes aux domaines approuvés comme npm et PyPI, il autorise également l'accès à api.anthropic.com, le point de terminaison que les pirates peuvent exploiter pour voler des données.

Des données publicitaires géolocalisées obtenues par « Le Monde » et ses partenaires ont permis d’identifier et de suivre à la trace plusieurs dignitaires de l’Union européenne. Un cas pratique illustrant les limites du cadre européen en matière de données personnelles.

BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures.

⚠️ Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2.

🧩 Conditions et impact: L’exploitation nécessite que la connexion sociale (social login) soit activée sur le site. Dans ce cas, JobMonster fait confiance aux données d’authentification externes sans les valider correctement, permettant à un attaquant non authentifié de prendre le contrôle de comptes administrateur. Un attaquant doit généralement connaître le nom d’utilisateur ou l’email de l’administrateur ciblé.

Microsoft a révélé les détails d’une nouvelle porte dérobée baptisée SesameOp qui utilise l’interface de programmation d’applications (API) OpenAI Assistants pour les communications de commande et de contrôle (C2).

« Au lieu de s’appuyer sur des méthodes plus traditionnelles, l’acteur malveillant à l’origine de cette porte dérobée utilise OpenAI comme canal C2 pour communiquer furtivement et orchestrer des activités malveillantes au sein de l’environnement compromis », a déclaré l’équipe de détection et de réponse (DART) de Microsoft Incident Response dans un rapport technique publié lundi.

Outre-Atlantique, deux anciens employés d’entreprises spécialisées dans la négociation avec les cybercriminels sont accusés d’avoir eux-mêmes conduit des attaques le rançongiciel d’Alphv/BlackCat.

...

Ils sont accusés d’avoir participé à des cyberattaques impliquant l’enseigne Alphv/BlackCat. Les opérateurs de cette dernière, découverte fin 2021, sont partis avec la caisse début 2024.

Cinq victimes sont attribuées aux deux accusés, entre mai et novembre 2023. Ils auraient sollicité des rançons comprises entre 300 000 $ et 10 millions de dollars.

Le dimanche 19 octobre, le musée du Louvre a été frappé par un cambriolage impressionnant avec le vol de bijoux parmi lesquels le diadème de l'impératrice Eugénie et deux colliers. Le ministère de la Culture a expliqué que ces objets historiques sont "d'une valeur inestimable". Selon Libération avec CheckNews, la sécurité informatique du premier musée au monde est aussi une véritable catastrophe.

L'usine Huawei bâtie à Brumath (Bas-Rhin) serait déjà en vente. Son ouverture était pourtant prévue pour fin 2025. Les soupçons de corruption et d'espionnage à l'encontre du géant chinois des télécoms pourraient être en cause. ... Mais depuis le début du projet en 2020, le vent a tourné en défaveur du fournisseur de réseau. En cause, des accusations d'espionnage ont été lancées par les États-Unis à son encontre. Selon eux et plusieurs autres pays occidentaux, le groupe chinois utiliserait le déploiement de ses composants dans les réseaux 5G pour espionner les communications de sites sensibles.

En 2024, le gouvernement allemand a ordonné la suppression des technologies chinoises dans son réseau 5G. Berlin invoquait alors un "risque pour la sécurité".

En France, les installations d'antennes 5G de la multinationale sont soumises à autorisation de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Les opérateurs, eux, auront obligation d'abandonner les dizaines de milliers d'antennes Huawei présentes sur le territoire en 2031. ...

Une vulnérabilité a été découverte sur les bus électriques Yutong qui circulent dans la capitale norvégienne: des tiers pourraient en prendre le contrôle à distance.

...

Cette vulnérabilité est liée à un boîtier contenant une carte SIM qui permet au constructeur du modèle chinois d'installer à distance des mises à jour logicielles mais aussi, selon des experts, de désactiver le bus, a détaillé le journal Aftenposten. Cette fonctionnalité et donc cette vulnérabilité n'existent pas sur le modèle néerlandais, selon ces mêmes experts.

Une opération policière européenne a permis de démanteler un réseau international de fraude aux cryptomonnaies. Les escrocs ont gagné et blanchi 600 millions d’euros avec des fraudes à l’investissement bien rodées. Neuf suspects ont été interpellés.

Des cybercriminels s'attaquent désormais aux transporteurs routiers à l'aide de logiciels malveillants, pour voler des cargaisons bien réelles. Plusieurs campagnes ont été identifiées par les experts depuis cet été.

Microsoft intègre un capteur de scareware dans le navigateur Edge. En association avec le bloqueur de scareware, il notifie SmartScreen en temps réel dès la détection d'une page suspecte.

Microsoft intensifie sa lutte contre les scareware, ces arnaques qui piègent par exemple les utilisateurs avec de fausses alertes de virus pour leur extorquer de l'argent ou des accès.

Le navigateur Microsoft Edge bénéficie d'une mise à jour avec l'introduction d'un capteur dédié. Cette technologie vient compléter le bloqueur de scareware déjà en place, qui utilise un modèle d'IA local pour identifier les pages frauduleuses.

La CISA confirme qu’une faille de sécurité importante affectant le noyau Linux est désormais activement exploitée dans le cadre d’attaques par ransomware. Cette vulnérabilité affectée à la référence CVE-2024-1086 affecte des distributions populaires. Voici ce que l'on sait.

Une faille vieille de dix ans

La faille de sécurité CVE-2024-1086 se niche dans le composant Netfilter: nf_tables du noyau Linux. Elle a été corrigée en janvier 2024 après sa divulgation publique, mais son exploitation dans la nature n’a été constatée que récemment. Pourtant, cette vulnérabilité n'était pas nouvelle puisqu'elle a été introduite par un changement dans le code effectué en février 2014. Le correctif est donc arrivé 10 ans plus tard.

La Confédération déploie Microsoft 365 dans l’ensemble de ses départements. Mais le Groupement Défense ne peut en tirer que peu d’avantages, puisqu’il lui est interdit de stocker ses documents classifiés dans le cloud de Microsoft. Le chef de l’armée veut une alternative.

«Comparée à la solution logicielle actuelle, M365 n’apporte aucun avantage au Groupement Défense. Au contraire, dans sa configuration actuelle, elle est en grande partie inutilisable», résume Thomas Süssli. Il souligne en outre que la solution Microsoft engendre «des coûts supplémentaires considérables» ainsi que des besoins de formation pour le personnel. «Ces dépenses sont disproportionnées au regard du faible gain réel apporté par la plateforme. Compte tenu de la pression croissante sur les coûts de fonctionnement de l’armée, je ne peux pas assumer ces dépenses sans bénéfice identifiable», écrit-il.

Lors d’une démonstration faite pour La facture, Geneviève Lajeunesse-Trinque, experte en cybersécurité, a connecté les appareils mobiles des jumeaux Tristan et Nathan, âgés de 11 ans, à un ordinateur. Grâce à une méthode couramment utilisée en sécurité de l’information, elle est en mesure d'intercepter les renseignements qui entrent dans le téléphone et la tablette ou qui en sortent.

À peine ont-ils commencé leur séance de jeu que, déjà, on voit facilement une cinquantaine, sinon une centaine de requêtes qui entrent, fait remarquer Mme Lajeunesse-Trinque. Elle fait référence à des données échangées entre l’application mobile et certaines entreprises.

« L’email bombing a évolué : auparavant utilisée comme écran de fumée, elle est maintenant exploitée dès le début d’une attaque plus large », relate Microsoft dans son rapport.

En se faisant passer pour un employé du support technique, les hackers vont entrer en contact avec leur victime par téléphone ou sur Microsoft Teams. Ils vont affirmer que leur boîte mail souffre d’un gros dysfonctionnement. L’internaute sera évidemment enclin à faire confiance à son interlocuteur, étant donné qu’il s’est lui-même rendu compte que sa messagerie était tout à coup saturée de mails. Cette explosion de messages crée « un sentiment d’urgence et de confusion », souligne Microsoft. C’est souvent ce qui permet aux cybercriminels de berner leurs cibles.

Deux articles de recherche distincts démontrent clairement comment les systèmes virtuels peuvent être compromis dans un environnement hostile, notamment lorsque le propriétaire des données ne peut même pas faire confiance au fournisseur de services cloud.

Les processeurs de serveurs modernes intègrent un environnement d’exécution de confiance (Trusted Execution Environment, TEE) pour le traitement des informations particulièrement sensibles. Il existe de nombreuses mise en œuvre du TEE, mais deux d’entre elles sont particulièrement pertinentes dans le cadre de cette discussion : Intel Software Guard eXtensions (SGX) et AMD Secure Encrypted Virtualization (SEV). Presque simultanément, deux équipes de chercheurs distinctes, l’une aux États-Unis et l’autre en Europe, ont découvert indépendamment des méthodes très similaires (bien que distinctes) pour exploiter ces deux mises en œuvre. Leur objectif était d’accéder aux données chiffrées stockées dans la mémoire vive. Les articles scientifiques détaillant ces résultats ont été publiés à quelques jours d’intervalle :

• Le projet WireTap: Breaking Server SGX via DRAM Bus Interposition est le fruit du travail de chercheurs américains. Il détaille le piratage réussi du système Intel Software Guard eXtensions (SGX). Ils y sont parvenus en interceptant l’échange de données entre le processeur et le module RAM DDR4. Dans la publication Battering RAM, des scientifiques belges et britanniques ont également réussi à compromettre le système Intel SGX, ainsi que le système de sécurité équivalent d’AMD, SEV-SNP, en manipulant le processus de transfert de données entre le processeur et le module RAM DDR4.

• Dans la publication Battering RAM, des scientifiques belges et britanniques ont également réussi à compromettre le système Intel SGX, ainsi que le système de sécurité équivalent d’AMD, SEV-SNP, en manipulant le processus de transfert de données entre le processeur et le module RAM DDR4.

Des acteurs malveillants abusent de sites Internet légitimes pour héberger des liens cachés pour le référencement. Nous décrivons leurs tactiques et les mesures que vous pouvez prendre pour y faire face.