🔎 Cyberveille

Trois acteurs majeurs du tourisme ont signalé un piratage en quelques jours. Homair, Vacancéole et Belambra ont-ils un prestataire commun, possiblement lié à Septeo/Resalys ?

C’est une bourde qui devrait rester dans les mémoires. Aujourd’hui, le code source de Claude Code, l’assistant IA de codage d’Anthropic, a fuité complètement. Chez Anthropic, on a aujourd’hui un gros problème avec les autorités américaines, qui souhaitent pouvoir utiliser militairement les outils IA Claude sans aucune restriction - ce qui pousse aujourd’hui l’entreprise à mener un combat judiciaire. Mais la liste des soucis ne s’arrête pas là pour la firme de Dario Amodei, avec aujourd'hui une fuite historique du code source de Claude Code.

Le code source de Claude Code se retrouve soudainement à l’air libre ! Il y a des fuites qui portent préjudice. Et nul doute que celle qui vient d’avoir lieu ce 31 mars va marquer. Le spécialiste de la sécurité Chaofan Shou vient en effet de découvrir l’ensemble du code de Claude Code dans un fichier source map de 60 Mo, publié par erreur sur le registre npm.

Pour rappel, un fichier source map est un fichier qui permet de retrouver un code lisible, à des fins notamment de débogage - et qui n’est pas censé être proposé au public. Évidemment, le code a très vite intéressé des nuées d’internautes, et une copie s’est retrouvée sur GitHub, où elle est déjà extrêmement populaire.

L'un des piliers de l'écosystème JavaScript, la bibliothèque Axios, a été compromise pour diffuser un malware. En piratant le compte d'un mainteneur, des attaquants ont injecté une dépendance malveillante dans deux versions officielles, exposant serveurs et postes de travail au vol de données.

L’équipe du GReAT (Global Research and Analysis Team) de Kaspersky a mené une analyse approfondie du code source des exploits Coruna et a déterminé avec certitude que ce kit constitue une itération directe et actualisée du framework utilisé, du moins en partie, lors de la campagne de cyberespionnage Opération Triangulation. Kaspersky est convaincu que les exploitations du kernel identifiés dans les deux opérations sont l’œuvre du même auteur.

Après des revendications la semaine dernière, c’est désormais officiel : un pirate a récupéré des données du système d’information sur les armes du ministère de l’Intérieur. En plus du type d’arme, il dispose aussi de l’adresse des propriétaires.

Le système d’information sur les armes (alias SIA) est un service du ministère de l’Intérieur. « La création d’un compte dans le SIA est obligatoire pour les détenteurs d’armes particuliers majeurs ». Comme le rapporte l’Union Française des amateurs d’Armes, le ministère prévient d’une fuite de données (copie du courier, en pdf). L’information a également été confirmée au Parisien.

« Nous avons le regret de vous informer qu’il a été constaté l’accès, par action malveillante, à un des comptes d’une entreprise utilisatrice du système d’information sur les armes (SIA), entraînant l’extraction de données commerciales présentes dans ce compte, dont certaines sont susceptibles de contenir une ou plusieurs de vos données personnelles ».

Armes et adresses du propriétaire… un combo dangereux ! Cela comprend des informations « relatives à l’arme détenue ou acquise (type, classement, marque, modèle) », mais aussi des données sur leur propriétaire avec le nom et prénom, l’adresse électronique et enfin l’adresse postale. Comme avec la fuite de données de la Fédération française de tir (FFTir), le risque est de voir des personnes malintentionnées tenter de récupérer des armes.

• Des milliers de faux messages d'alerte VS Code inondent GitHub Discussions, imitant des CVE critiques avec liens Google Drive pour collecter données système et credentials des développeurs
• Le script JavaScript de filtrage écarte les bots et chercheurs en sécurité, ne livrant le malware final qu'aux vrais utilisateurs, ce qui explique pourquoi Socket n'a pas pu l'analyser
• GitHub reste une cible récurrente : après une attaque OAuth en mars 2025 et du phishing en juin 2024, cette campagne exploite les notifications email officielles pour crédibiliser des arnaques

Des chercheurs en cybersécurité ont découvert un kit d’outils d’accès à distance d’origine russe qui est distribué via des fichiers de raccourci Windows malveillants (LNK) déguisés en dossiers de clés privées.

Selon Censys, la boîte à outils CTRL est conçue sur mesure à l’aide de .NET et comprend divers exécutables pour faciliter l’hameçonnage d’identifiants, l’enregistrement de frappe, le détournement du protocole de bureau à distance (RDP) et le tunnelage inverse via Fast Reverse Proxy (FRP).

« Les exécutables permettent le chargement de charges utiles chiffrées, la collecte d’identifiants via une interface utilisateur de phishing Windows Hello soignée, l’enregistrement des frappes au clavier, le détournement de sessions RDP et le tunnelage par proxy inverse via FRP », a déclaré Andrew Northern, chercheur en sécurité chez Censys .

La plateforme de gestion de la surface d’attaque a déclaré avoir récupéré CTRL à partir d’un répertoire ouvert à 146.19.213[.]155 en février 2026. Les chaînes d’attaque distribuant la boîte à outils s’appuient sur un fichier LNK armé (« Clé privée #kfxm7p9q_yek.lnk ») avec une icône de dossier pour inciter les utilisateurs à double-cliquer dessus.

Cela déclenche un processus en plusieurs étapes, chaque étape déchiffrant ou décompressant la suivante, jusqu’à l’exécution du kit d’outils. Le programme d’installation de fichiers LNK est conçu pour lancer une commande PowerShell cachée, qui efface ensuite les mécanismes de persistance existants du dossier de démarrage Windows de la victime.

Une erreur humaine dans le système de gestion de contenu d’Anthropic a accidentellement exposé un brouillon de billet décrivant le modèle. Anthropic travaille sur un nouveau modèle d’intelligence artificielle (IA) très puissant qui « fait peser des risques sans précédent sur la cybersécurité », selon une fuite provenant de l’entreprise.

La semaine dernière, une fuite de données a révélé qu’Anthropic développait un nouveau modèle très performant, que la société d’IA a depuis reconnu et baptisé « Claude Mythos ».

Un porte-parole d’Anthropic a déclaré au magazine Fortune (source en anglais) qu’il s’agissait d’un « changement d’échelle » pour l’IA et du modèle « le plus performant » conçu à ce jour, avec « des progrès significatifs en matière de raisonnement, de programmation et de cybersécurité ».

La technologie pourrait être si puissante qu’elle en deviendrait l’outil rêvé des pirates informatiques. Les valeurs de la cybersécurité ont reculé en Bourse après les rumeurs concernant Anthropic.

Dans le même temps, Anthropic avertit en privé de hauts responsables gouvernementaux que Mythos rend beaucoup plus probables des cyberattaques de grande ampleur en 2026, rapporte le site Axios (source en anglais).

Les pirates n'ont mis que quelques heures pour exploiter une faille RCE dans Langflow. La CISA l'a ajouté à son catalogue et a fixé une délai rapide pour l'application du correctif.

20 heures, le délai est relativement court pour l’exploitation d’une vulnérabilité dans le framework open source Langflow utilisé dans le développement des agents IA et des pipelines de RAG. Selon Sysdig, des cybercriminels ont commencé à attaquer un ensemble de nœuds honeypot hébergeant des instances vulnérables chez plusieurs fournisseurs de cloud et dans différentes régions dès leur mise en service. Le fournisseur a observé quatre tentatives de ce types dans les heures qui ont suivi le déploiement et l’un des attaquants est parvenu à exfiltrer des variables d’environnement.

Le 24 mars, la Commission européenne a découvert une cyberattaque qui a affecté son infrastructure en nuage hébergeant la présence de la Commission sur le web sur la plateforme Europa.eu. Des mesures immédiates ont été prises pour contenir l'attaque. La réaction rapide de la Commission a permis de contenir l'incident et de mettre en œuvre des mesures d'atténuation des risques pour protéger les services et les données, sans perturber la disponibilité des sites web Europa.

Les premières conclusions de notre enquête en cours suggèrent que des données ont été extraites de ces sites Web. La Commission en informe dûment les entités de l'Union qui auraient pu être touchées par l'incident. Les services de la Commission continuent d'enquêter sur l'impact total de l'incident.

Les systèmes internes de la Commission n'ont pas été affectés par la cyberattaque. La Commission continuera à suivre la situation et à prendre toutes les mesures nécessaires pour assurer la sécurité de ses systèmes et données internes. Il analysera l'incident et utilisera les résultats pour renforcer encore ses capacités en matière de cybersécurité.

Alors que l'Europe est confrontée à des cyberattaques et à des attaques hybrides persistantes ciblant des services essentiels et des institutions démocratiques, la Commission s'emploie activement à renforcer la résilience de l'UE en matière de cybersécurité.

YesWeHack étend son positionnement au-delà du bug bounty et lance deux nouvelles offres de test d’intrusion, le Pentest Autonome et le Pentest Continu, pour couvrir l’intégralité de la gestion de l’exposition aux risques cyber. La plateforme réunit désormais quatre modalités complémentaires, bug bounty, politique de divulgation des vulnérabilités, pentest autonome et pentest continu, dans une interface unifiée de pilotage de la sécurité offensive.

La surface d’attaque des organisations a profondément changé de nature au cours des cinq dernières années. La prolifération des API, la généralisation des architectures cloud hybrides, l’intégration de composants tiers et l’accélération des cycles de développement ont rendu obsolètes les approches de test fondées sur des audits ponctuels annuels ou semestriels. Une vulnérabilité introduite lors d’un déploiement en production un mardi matin peut rester non détectée pendant des mois si l’organisation ne dispose pas de mécanismes de détection en continu. C’est ce fossé que YesWeHack cherche à combler avec son nouveau positionnement.

30.03.2026 - Le rapport semestriel de l’Office fédéral de la cybersécurité (OFCS), publié aujourd’hui, décrit l’évolution des cybermenaces et des principaux cyberincidents qui ont marqué la Suisse et la scène internationale au cours du second semestre 2025. Pour la première fois, il présente non seulement les cyberincidents rapportés sur une base volontaire, mais aussi les cyberattaques visant les infrastructures critiques qui sont soumises à l’obligation de signaler depuis le 1er avril 2025. Le volume élevé des annonces facultatives reste stable, mais leur forme se développe et se précise. Pour assurer une protection efficace, il est nécessaire que l’État, l’économie et la société collaborent étroitement, tant au niveau national qu’à l’échelon international.

Une vulnérabilité critique dans FortiClient EMS permet aux attaquants d’accéder aux systèmes sans authentification. La vulnérabilité serait déjà exploitée dans la nature.

Fortinet fait face à des attaques actives sur une vulnérabilité critique de sa plateforme FortiClient EMS, permettant aux attaquants de prendre le contrôle de systèmes sans authentification. La vulnérabilité, CVE-2026-21643, est déjà exploitée dans la nature selon des chercheurs.

Considéré comme affilié à la République islamique, le groupe Handala a publié en ligne en ligne nombre de photos et de courriers électroniques issues d’une messagerie privée de Kash Patel, selon des informations rapportées ce vendredi par des médias américains.

Une attaque sophistiquée par empoisonnement de la supply chain a frappé LiteLLM, un SDK populaire pour l'interopérabilité des modèles d'IA. En seulement 46 minutes, les versions malveillantes ont été téléchargées près de 47 000 fois, compromettant des milliers d'environnements de développement et de pipelines CI/CD.

La Commission européenne a confirmé une cyberattaque sur son infrastructure cloud hébergée chez AWS (Amazon Web Services). Le pirate aurait dérobé plus de 350 Go de données avant que la faille ne soit comblée. On parle de bases de données, de fichiers internes et d'informations sur les employés de Bruxelles. L'attaque a visé le compte AWS qui héberge les sites Europa.eu.

Anthropic a mis au point une nouvelle version surpuissante de Claude. Cette nouvelle itération, considérée le modèle « de loin le plus puissant » jamais entraîné par la start-up, suscite même les inquiétudes d’Anthropic. Selon l’entreprise, Mythos pose des « risques de cybersécurité significatifs ».

Ce jeudi 26 mars 2026, Anthropic a commis une petite erreur sur son blog. À cause d’une « erreur humaine » de configuration sur le CMS de la start-up, une large quantité de brouillons et documents internes ont été mis en ligne par le biais d’une URL publique non sécurisée. Sans surprise, de nombreux curieux se sont mis à fouiller dans les documents mis en ligne par mégarde par Anthropic.

Deux chercheurs en cybersécurité, à savoir Roy Paz de LayerX Security et Alexandre Pauwels de l’université de Cambridge, découvrent ces documents publics et les envoient au magazine Fortune. Informée par Fortune, Anthropic coupe ensuite l’accès aux documents. La start-up reconnaît « un problème avec un outil CMS externe » et confirme qu’il s’agit de « premières versions de contenus envisagés pour publication ».

Un logiciel malveillant de vol d'informations sous macOS, jusqu'alors inconnu, a été découvert lors de notre surveillance régulière des menaces. Nous l'avions initialement identifié sous le nom de NukeChain, mais peu avant la publication de cet article, le panneau de contrôle de ce logiciel malveillant a été rendu public, révélant ainsi son véritable nom : Infiniti Stealer.

Ce logiciel malveillant est conçu pour voler des données sensibles sur les Mac. Il se propage via une fausse page CAPTCHA qui incite les utilisateurs à exécuter eux-mêmes une commande : une technique connue sous le nom de ClickFix. Plutôt que d'exploiter une faille, il repose sur l'ingénierie sociale.

La charge utile finale est écrite en Python et compilée avec Nuitka, ce qui donne un binaire natif pour macOS. Cela la rend plus difficile à analyser et à détecter que les logiciels malveillants classiques basés sur Python.

À notre connaissance, il s'agit de la première campagne macOS répertoriée combinant la diffusion de ClickFix et un programme de vol de données Python compilé avec Nuitka.

Dans le monde du rançongiciel, qui dit double extorsion dit menace de divulgation de données, lors de la cyberattaque, avec passage par la case revendication publique. Mais ce processus n’est pas totalement systématique.

Le processus de double extorsion est désormais bien installé dans les pratiques des cybercriminels. Ils lancent une attaque, volent des données à leur victime, en chiffrent une partie, déposent une mal-nommée note de rançon avec des instructions pour prendre langue avec eux.

Passé un délai plus ou moins court selon les cybercriminels et les enseignes de rançongiciel, les assaillants publient une revendication sur leur site vitrine. Menace de divulgation des données volées à l’appui.

Lorsqu’elle survient, la divulgation peut attendre entre quelques semaines et quelques mois, parfois sous l’effet des efforts fructueux d’un talentueux négociateur pour jouer la montre.

Mais toutes les revendications ne sont pas suivies d’une effective divulgation. Avec l’aide d’eCrime.ch, et ses données arrêtées au 20 mars, nous nous sommes penchés sur ce phénomène, en nous concentrant sur les enseignes aux revendications actuellement les plus nombreuses. Les résultats sont édifiants.

C'est un séisme qui secoue le paysage médiatique allemand. L'actrice et animatrice Collien Fernandes a publiquement accusé son ex-mari, l'acteur Christian Ulmen, d'une agression d'un genre nouveau et terrifiant. Pendant une décennie, alors qu'ils formaient l'un des couples les plus en vue du pays, il aurait orchestré une campagne de harcèlement numérique massive contre elle. Le mode opératoire : la création et la diffusion de "deepfakes" (hypertrucages vidéo ou photo) à caractère sexuel, la mettant en scène dans des situations dégradantes. La vérité a éclaté au grand jour lorsque, acculé par une enquête qu'elle avait elle-même lancée contre X, son mari lui a tout avoué le soir de Noël.

La Mutuelle Familiale informe avoir été victime d’un incident de cybersécurité découvert le 17 mars 2026 ayant entrainé une indisponibilité temporaire de ses services (remboursements, tiers payant, plateforme téléphonique, espace adhérents, application mobile).

Dès la détection de cet événement, les équipes internes, appuyées par des experts spécialisés en cybersécurité, ont immédiatement pris les mesures nécessaires pour contenir l’incident, sécuriser les systèmes et en analyser l’origine ainsi que l’étendue.

À ce stade, les investigations techniques sont toujours en cours afin de déterminer précisément la nature des données potentiellement concernées. Les premières analyses ne permettent pas encore d’établir de manière exhaustive les informations impactées. Si des données personnelles devaient être concernées, les personnes impactées en seraient informées dans les meilleurs délais.

La protection des données personnelles de ses adhérents, partenaires et collaborateurs constitue une priorité absolue pour La Mutuelle Familiale, pleinement consciente des désagréments que cette situation peut engendrer et en présente ses sincères excuses.

Dans ce contexte, La Mutuelle Familiale recommande à ses adhérents de faire preuve de vigilance face à toute sollicitation suspecte (courriels, appels, SMS) et de ne jamais communiquer d’informations sensibles sans vérification préalable.

La Mutuelle Familiale présentera de nouvelles informations dès que les investigations en cours auront permis d’établir un diagnostic complet. Ses équipes sont pleinement mobilisées pour permettre un rétablissement des services dans les meilleurs délais.

En mai 2025, le peuple roumain a dû élire son président lors d’un second scrutin. Le premier avait été annulé par la Cour constitutionnelle en raison d’une ingérence russe. Le groupe de réflexion Expert Forum a rassemblé, avec le soutien de la Suisse, les preuves d’une campagne électorale illégale.

Attaques supply chain TeamPCP (Trivy, LiteLLM), fuites de données en France (Crous, Éducation nationale), vulnérabilités critiques (SharePoint, Oracle, Spring AI), Google déploie des agents Gemini pour surveiller le dark web, Europol démantèle 373 000 sites frauduleux, sept condamnations à Paris pour escroquerie par IMSI-catchers, etc.

Nous avons récemment expliqué comment des acteurs malveillants diffusent le voleur d’informations AMOS pour macOS par le biais de Google Ads, en tirant parti d’une discussion avec un assistant d’IA sur le site d’OpenAI pour héberger des instructions malveillantes. Nous avons décidé d’approfondir nos recherches et avons découvert plusieurs campagnes malveillantes similaires dans lesquelles des pirates tentent de faire installer aux utilisateurs des programmes malveillants déguisés en outils d’IA populaires à travers des annonces de recherche Google. Si les victimes recherchent des outils pour macOS, la charge utile déployée est précisément AMOS. Si, en revanche, elles utilisent Windows, c’est le voleur d’informations Amatera qui est déployé. Ces campagnes utilisent comme appât l’application chinoise populaire AI Doubao, l’assistant IA viral OpenClaw ou l’assistant de programmation Claude Code. Cela signifie que ces campagnes constituent une menace non seulement pour les particuliers, mais aussi pour les entreprises.

Le groupe de pirates TeamPCP continue de faire parler de lui, et cette fois-ci, c'est le paquet Python LiteLLM qui a été compromis ! Les pirates affirment avoir volé des données sur des milliers de machines suite à la diffusion d'une version malveillante. Voici ce que l'on sait.

TeamPCP, c'est le groupe de cybercriminels qui fait énormément parler de lui ces dernières semaines. Pourquoi ? Tout simplement parce qu'ils sont à l'origine de la compromission de Trivy, le scanner de vulnérabilités open source. Une attaque de grande ampleur sur la chaine d'approvisionnement logicielle, avec à la clé un impact fort : un infostealer injecté dans le code, des versions malveillantes publiées sur Docker Hub, etc...

02/03/2026 - HackerBot Claw : le bot IA autonome qui a fait disparaître Trivy de GitHub

20/03/2026 - Le scanner Trivy piraté une seconde fois : attention au vol de secrets

24/03/2026 - L’attaque contre Trivy s’étend jusqu’au Docker Hub : attention aux malwares

Concernant LiteLLM, il s'agit d'une bibliothèque Python open source qui permet de jouer le rôle de passerelle/proxy entre un utilisateur et plusieurs LLM, grâce à son API (probablement le même principe qu'avec OpenRouter, mais en local). Ce paquet est très populaire : il est téléchargé plus de 3 millions de fois par jour, soit un total de 95 millions de téléchargements sur les 30 derniers jours.