🔎 Cyberveille

Le groupe de coopération SRI a adopté la boîte à outils de l’UE pour la sécurité de la chaîne d’approvisionnement des TIC, élaborée par les États membres avec le soutien de la Commission et de l’Agence de l’UE pour la cybersécurité (ENISA), ainsi que deux évaluations des risques concernant respectivement les véhicules connectés et automatisés et les équipements de détection.

La boîte à outils de l’UE pour la sécurité de la chaîne d’approvisionnement des TIC fournit une approche horizontale, commune et non contraignante sur la manière de recenser, d’évaluer et d’atténuer les risques de cybersécurité des chaînes d’approvisionnement des TIC. À la suite des conclusions du Conseil de l’UE sur la sécurité de la chaîne d’approvisionnement des TIC de 2022, la boîte à outils a été élaborée au sein du groupe de coopération SRI. Il repose sur une approche tous risques et définit des concepts clés liés à la sécurité de la chaîne d'approvisionnement des TIC. Étant strictement agnostique vis-à-vis des acteurs, il décrit les scénarios de risque ayant une incidence sur l’écosystème numérique de l’Union et recommande des mesures d’atténuation, y compris l’établissement d’un cadre pour l’évaluation des fournisseurs critiques, la promotion de stratégies multifournisseurs et le dépassement des dépendances à l’égard des fournisseurs à haut risque.

Une redoutable arnaque se propage sur Internet. Cette escroquerie repose sur des mails envoyés depuis une véritable adresse Microsoft. Les cybercriminels ont en effet trouvé le moyen de détourner un service de l’éditeur pour tenter de piéger leurs cibles avec de fausses alertes de facturation.

Depuis quelques semaines, de nombreux témoignages d’internautes font état d’une vague d’arnaques par mail qui exploitent une véritable adresse électronique Microsoft. Comme le rapportent nos confrères d’Ars Technica, les cybercriminels se servent de l’adresse no-reply-powerbi@microsoft.com pour propager leurs escroqueries. Celle-ci est liée à Power BI, une plateforme de Microsoft qui permet de transformer des données brutes en tableaux de bord et rapports interactifs.

Le service dispose d’une fonctionnalité qui propose aux utilisateurs d’envoyer des rapports interactifs à des adresses mail. Power BI permet à un utilisateur de s’abonner, lui ou d’autres personnes, à un rapport pour recevoir automatiquement des e‑mails depuis no-reply-powerbi@microsoft.com. C’est cette fonction qui est détournée de son usage principal par les pirates. En utilisant Power Bi, les cybercriminels peuvent entrer en contact avec leurs cibles en contournant les mesures antispams de la plupart des services de messagerie. Ils profitent aussi de la légitimité d’une adresse Microsoft officielle pour propager leurs mails de phishing.

Vous avez un serveur, un NAS, quelques services qui tournent chez vous ou au boulot, et vous vous demandez si tout ça est bien sécurisé ? Alors plutôt que d'attendre qu'un petit malin vous le fasse savoir de manière désagréable, autant prendre les devants avec un scanner de vulnérabilités.

Attention : si vous scannez le réseau de votre boulot, demandez toujours une autorisation écrite avant car scanner sans permission, c'est illégal et ça peut vous coûter cher. Et ne comptez pas sur moi pour vous apporter des oranges en prison.

OpenVAS (Open Vulnerability Assessment Scanner), c'est l'un des scanners open source les plus connus, maintenu par Greenbone. Une fois en place sur votre réseau, il scanne vos services exposés et vous balance un rapport avec ce qui craint : Ports ouverts, services mal configurés, failles connues, certificats expirés... De quoi repérer une bonne partie de ce qu'un attaquant pourrait exploiter.

Aujourd’hui, j’ai reçu le type de mail de mail que l’on souhaiterait ne jamais recevoir et qui pourtant devient quasi hebdomadaire : l’indication d’une fuite de données suite au piratage d’une société qui nous oblige à lui transmettre nos données si l’on veut profiter de ses services. L’incident s’est produit en janvier 2026, lorsque des hackers ont réussi à accéder au compte d’un agent travaillant pour un prestataire externe de ManoMano. Cette intrusion a permis l’extraction non autorisée de plusieurs types d’informations personnelles.

Il a suffi d’un simple appel vidéo pour que Markus, 18 ans, devienne victime d’un deepfake pornographique. Son histoire illustre une menace qui explose en Suisse et dans le monde.

C’est un dimanche tranquille de novembre, l’année dernière. Markus, un élève appenzellois de 18 ans, est détendu. Distrait un instant, il décroche un appel vidéo sur son iPhone sans vraiment regarder. Qu’est-ce qui pourrait mal tourner?

Il reçoit la réponse quelques minutes plus tard: un cauchemar l’attend.

Dès que Markus décroche, il envoie en temps réel des images vidéo en haute résolution à un inconnu aux Philippines. Des images de son intimité: son corps, son visage, son lit et le poster d’un rappeur accroché au mur derrière lui. Sur le moment, Markus ne se rend pas compte du danger. Il tente de parler anglais avec l’homme, mais celui-ci lui raccroche au nez.

Grâce à des programmes d’intelligence artificielle (IA) comme Sora, Grok ou Veo 3, il est désormais possible de créer en quelques secondes une vidéo truquée à partir d’un vrai modèle: on appelle cela un deepfake. Lorsqu’il est bien réalisé, il est difficile de distinguer le vrai du faux.

Les outils de support à distance BeyondTrust font l’objet d’une vulnérabilité critique, connue publiquement depuis une semaine. Elle apparaît aujourd’hui activement exploitée.

Microsoft Patch Tuesday avec 6 failles déjà exploitées, zero-day Apple dans des attaques extrêmement sophistiquées, nouvelles fuites chez Relais Colis et l'appli Permis de chasser, couple russe poursuivi pour 100+ attaques ransomware, 30 ans de prison pour le patron d'Incognito Market, espionnage chinois démantelé en Gironde, etc.

Relais Colis est de nouveau frappé par une cyberattaque. Avec des identifiants compromis, les pirates sont parvenus à voler les données des clients du transporteur. La fuite risque d’alimenter une nouvelle vague d’arnaques au colis en France.

Relais Colis est à nouveau victime d’une cyberattaque. Dans un mail adressé à ses clients, le transporteur, qui livre des dizaines de millions de colis tous les ans, indique qu’un de ses systèmes informatiques a enregistré « un incident de sécurité ». L’annonce de Relais Colis a été relayée par le chercheur Clément Domingo sur son compte X.

Dans un article de blog publié le 12 février 2026, Scott Shambaugh, mainteneur bénévole de Matplotlib raconte comment un agent IA a tenté de mettre à mal sa réputation en publiant un billet de blog après le refus d’une contribution de code. Scott Shambaugh est l’un des mainteneurs du projet Matplotlib.

Une mission lourde de responsabilité pour cet ingénieur du Colorado : cette bibliothèque Python de visualisation de données est l’une des plus populaires au monde, avec environ 130 millions de téléchargements par mois. Au quotidien, ses tâches consistent en grande partie à gérer les pull requests (PR), c’est‑à‑dire les demandes de modifications de code soumises par la communauté open source.

Selon des chercheurs, un botnet cible particulièrement les serveurs Linux dont l'authentification SSH est faible. Par force brute, il a réussi à compromettre 7000 machines.

Baptisé SSHStalker par des experts de Flare Systems (société canadienne de cybersécurité), le botnet enrôle des serveurs Linux en cassant leur authentification SSH trop faible. La campagne a réussi à compromettre 7000 serveurs dont la moitié sont situés aux Etats-Unis. Pour cela, le botnet a notamment utilisé des exploits ciblant des vulnérabilités Linux non corrigées datant de 2009. Il dispose d’un « kit de botnet assemblé » qui exécute des malwares, des rootkits, des nettoyeurs de journaux et un large éventail d'exploits sur le kernel. Entre autres choses, il récolte les identifiants AWS. Les chercheurs expliquent que SSHStalker a mené « une opération à grande échelle qui privilégie la fiabilité à la discrétion ». Cependant, jusqu'à présent, le botnet n’a pas fait grand-chose d'autre que de maintenir sa persistance sur les machines infectées. Il a la capacité de lancer des attaques DDoS (déni de service distribué) et de mener des activités de crypto-minage, mais il n'a encore rien fait pour monétiser son accès. L’entreprise de cybersécurité pense que l'opérateur est soit en train de mettre en place l'infrastructure du botnet, soit en phase de test, soit en train de maintenir l'accès pour une utilisation future.

Un nouveau kit de phishing baptisé Spiderman permet aux attaquants de tisser facilement une vaste toile d’attaques visant les clients de dizaines de banques européennes et de fournisseurs de services financiers en ligne.

Ce kit se distingue par sa structure très professionnelle et l’étendue de ses cibles, couvrant plusieurs pays et même des plateformes de cryptomonnaies. Son interface organisée offre aux cybercriminels une plateforme tout-en-un pour lancer des campagnes de phishing, capturer des identifiants et gérer en temps réel les données de session volées.

Ce niveau d’automatisation signifie que les attaquants n’ont plus besoin de compétences en développement web ni d’expertise spécifique en phishing. Il s’inscrit dans une tendance préoccupante que nous observons de plus en plus : des outils riches en fonctionnalités (SpamGPT, MatrixPDF, Atroposia) qui rendent les attaques à grande échelle plus faciles que jamais. Concrètement, le phishing bancaire européen est réduit à quelques clics : choisir une banque, déployer un clone pixel-perfect, puis envoyer un leurre clé en main qui semble provenir de l’institution légitime.

Jusqu'alors sans réel cadrage, la stratégie open source de l'agence nationale de la sécurité des systèmes d'information a été érigée en véritable doctrine. Elle défend le principe de l'ouverture des codes sources et des données, avec une préférence pour des licences permissives en particulier Apache 2.0.

L’histoire racontée par Laurent Lerbet est tristement banale. Celle d’une société victime d’une cyberattaque, comme on en voit des centaines. En juillet 2022, sa coopérative agricole voit plusieurs de ses machines « vérolées » par un logiciel malveillant. « Ils sont entrés et ils ont tout chiffré, explique au Monde le gérant, dont dépendent également des caves à vin dans le sud-ouest de la France. Pendant trois jours, nous n’avions rien. »

La criminalité par rançongiciel – ces virus déployés pour paralyser des réseaux informatiques entiers – s’est imposée, depuis 2020, comme une menace majeure pour les autorités. Les attaques les plus médiatiques ont mis à mal des multinationales, laissé des traces pendant des mois, avec à la clé des demandes de rançons se chiffrant en dizaines de millions d’euros.

En moins de dix minutes, un environnement cloud peut aujourd’hui basculer sous le contrôle d’un hacker malveillant, avec l’aide de la GenAI. C’est le constat dressé par l’éditeur de sécurité cloud-native Sysdig, qui a récemment observé une intrusion éclair dans un environnement Amazon Web Services. L’attaquant n’a mis que huit minutes pour passer d’un accès initial à des droits administrateur, après avoir découvert des identifiants exposés dans des buckets Amazon S3 publics contenant notamment des données liées à des architectures d’IA de type Retrieval-Augmented Generation (RAG).

Dans son rapport, la Sysdig Threat Research Team (TRT) explique que les identifiants compromis appartenaient à un utilisateur IAM doté de droits en lecture et écriture sur AWS Lambda et de permissions limitées sur Amazon Bedrock. Ce compte semblait avoir été créé pour automatiser des tâches Bedrock via des fonctions Lambda. Les buckets ciblés utilisaient des conventions de nommage typiques d’outils d’IA, que l’attaquant aurait activement recherchées durant la phase de reconnaissance.

Une nouvelle vulnérabilité (CVE-2026-26012) a été corrigée dans Vaultwarden : elle permet à un membre d'une organisation de contourner les restrictions d'accès aux collections et de récupérer l'ensemble des mots de passe chiffrés. L'installation du patch de sécurité est fortement recommandée.

À mesure que les outils d'IA générative comme ChatGPT, Claude, Gemini et Grok s'intègrent aux flux de travail quotidiens, les attaquants exploitent de plus en plus leur popularité pour diffuser des extensions de navigateur malveillantes.

Dans cette recherche, nous avons mis au jour un Campagne coordonnée d'extensions Chrome se faisant passer pour des assistants IA proposant des services de résumé, de chat, de rédaction et d'assistance Gmail.Bien que ces outils semblent légitimes en apparence, ils dissimulent une architecture dangereuse : au lieu d’implémenter les fonctionnalités essentielles localement, ils intègrent… interfaces distantes contrôlées par serveur Au sein des surfaces contrôlées par les extensions, ils agissent comme des proxys privilégiés, accordant à l'infrastructure distante un accès aux fonctionnalités sensibles du navigateur.

À travers 30 extensions Chrome différentes, publiés sous différents noms et identifiants d'extension et affectant plus de 260,000 XNUMX utilisateurs, nous avons observé le même base de code sous-jacente, mêmes permissions et même infrastructure backend.

Surtout, car une part importante des fonctionnalités de chaque extension est fournie par le biais de composants hébergés à distance, leur comportement lors de l'exécution est déterminé par modifications externes côté serveur, plutôt que par un code examiné lors de l'installation dans le Chrome Web Store.

Le fournisseur de télécommunications néerlandais Odido a été touché par une cyberattaque au cours de laquelle les données de millions de clients ont été volées.

Le fournisseur de télécommunications néerlandais Odido enquête sur une cyberattaque au cours de laquelle les données personnelles de millions de clients ont été dérobées, mais précise également que les mots de passe et les données de facturation n’ont pas été touchés.

On l’avait vu tomber au printemps 2025, puis ressusciter dès l’été. Début 2026, Lumma Stealer confirme qu’il n’a jamais vraiment quitté la scène. Bitdefender décrit une reprise d’activité portée par CastleLoader et des campagnes qui misent avant tout sur la manipulation des internautes.

LayerX a découvert une vulnérabilité d'exécution de code à distance (RCE) sans clic dans Extensions de bureau Claude (DXT)Une faille de sécurité, où un simple événement Google Agenda peut compromettre silencieusement un système utilisant les extensions Claude Desktop Extensions, affecte plus de 10 000 utilisateurs actifs et 50 extensions DXT.

Contrairement aux extensions de navigateur classiques, Claude Desktop Extensions s'exécute sans environnement isolé (sandbox) et avec des privilèges système complets. De ce fait, Claude peut enchaîner automatiquement des connecteurs à faible risque (par exemple, Google Agenda) à des exécutables locaux à haut risque, à l'insu de l'utilisateur et sans son consentement. Si un acteur malveillant exploite cette faille, même un message anodin (« Occupe-toi de ça »), associé à un événement de calendrier formulé de manière malveillante, suffit à déclencher l'exécution de code local arbitraire et à compromettre l'ensemble du système.

Cette vulnérabilité a obtenu la note CVSS de 10/10. Elle engendre des violations des limites de confiance à l'échelle du système dans les flux de travail pilotés par LLM, créant ainsi une surface d'attaque étendue et non résolue qui rend les connecteurs MCP dangereux pour les systèmes sensibles. LayerX a informé Anthropic de nos conclusions, mais l'entreprise a décidé de ne pas corriger la vulnérabilité pour le moment.

Derrière une copie parfaitement fonctionnelle de 7-Zip, les chercheurs de Malwarebytes ont identifié un malware chargé d’enrôler la machine infectée dans un réseau proxy résidentiel, à l’insu de la victime.

Le cas remonte début février, lorsqu’un utilisateur publie un message alarmé sur Reddit. Il explique avoir d’abord installé 7-Zip sur un ancien PC portable, avant de copier l’installeur sur une clé USB pour l’utiliser sur sa nouvelle machine. Quelques erreurs système plus tard, il abandonne et utilise l’outil d’extraction intégré à Windows. Deux semaines passent, jusqu’à ce qu’une alerte Microsoft Defender signale un trojan. L’analyse menée par Malwarebytes révèle alors une campagne structurée, toujours active, qui détourne la bande passante de victimes peu méfiantes en s’appuyant sur des installeurs modifiés de 7-Zip.

Selon l’enseigne, «les données potentiellement impactées concernent les informations traitées par l’outil de gestion des rendez-vous de conception Cuisine».

Un nouveau vol de données. Darty Cuisine a informé ses clients par mail, ce mercredi 11 février, d’une fuite de données après une cyberattaque. «Cet incident de sécurité a entraîné un accès non autorisé à des données hébergées chez un de nos prestataires», explique le cuisiniste à ses clients, précisant que l’incident est «désormais contenu et résolu». Le piratage concerne environ 80.000 clients, précise l’enseigne au Figaro.

"On met une corde supplémentaire à notre arc pour pouvoir, au fond, défendre la France, les Français, nos intérêts," affirme Pascal Confavreux, porte-parole du ministère de l’Europe et des affaires étrangères.

Lutte contre la désinformation - Ingérences étrangères - Entretien de M. Pascal Confavreux, porte-parole du ministère de l’Europe et des affaires étrangères, avec « France Inter »

JOURNALISTE - C'est une innovation diplomatique donc qui fait beaucoup, beaucoup, beaucoup parler. Elle s'appelle French Response, un compte officiel du ministère des affaires étrangères sur le réseau X, qu'on appelait avant Twitter, qui veut répondre à la désinformation et aux attaques en adoptant les codes satiriques des réseaux sociaux. Donald Trump, chef d'État, balance des blagues, des détournements, des images fabriquées avec l'IA, des mèmes. Soit. Mais est-ce que la France doit utiliser le même langage ? Est-ce que ça n'est pas rabaisser, salir, ridiculiser notre parole officielle ? Alors, pour ou contre ce compte French Response ? (…) Le 10 janvier, donc on l'a dit, Elon Musk, je ne redis pas tout ce qu'on vient d'entendre, mais simplement : du clash, de l'humour, du mème, toutes les techniques qu'utilisent les trolls, et peut-être que Fabrice Epelboin nous fera un petit cours sur ce que c'est que le trolling… C'est le langage qu'assume désormais la diplomatie française ? Vous êtes là, en costume cravate, devant moi.

PASCAL CONFAVREUX - On est attaqués. Nos intérêts, notre image sont attaqués dans le domaine informationnel. Notre intuition, c'est qu'il faut monter le son, hausser le ton pour pouvoir nous défendre. Et donc, effectivement, aussi adopter les codes sur les plateformes sur lesquelles nous sommes attaqués. On ne change pas la ligne diplomatique. On est pour, bien sûr, le multilatéralisme, la défense de la Charte des Nations unies, etc. On met une corde supplémentaire à notre arc pour pouvoir, au fond, défendre la France, les Français, nos intérêts, dans ce champ hybride qu'est la lutte informationnelle.

Depuis six ans, les attaques les plus significatives révèlent un changement profond dans la structure même du cyber. Elles ne ciblent plus des vulnérabilités isolées, mais les mécanismes qui permettent au logiciel de se transformer, de circuler et de se propager.

Cette évolution rejoint un thème central de Snow Crash, le roman fondateur de Neal Stephenson : la véritable menace ne se situe pas dans un fichier malveillant ou un programme identifiable, mais dans la manière dont un système traite l’information, la compile, la transmet et la réplique. Dans le livre, la propagation virale n’est possible que parce qu’elle s’insère dans les structures mêmes du langage et du transport. Dans le cyber contemporain, SolarWinds en décembre 2020, Codecov en avril 2021, les dérives ciblées de l’IA en 2022 et 2023 et la compromission d’XZ Utils révélée en mars 2024 ont montré que les pipelines CI/CD, les chaînes de compilation, les mécanismes d’entraînement et les orchestrateurs distribués fonctionnent aujourd’hui comme ces vecteurs systémiques : une altération minuscule peut s’y propager jusqu’à devenir une compromission globale. Comme dans Snow Crash, ce qui compte n’est plus l’objet, mais le vecteur ; non plus la faille, mais le flux ; non plus le code final, mais la manière dont il est produit et transformé. Les attaques modernes exploitent cet entre-deux, cet espace où le logiciel n’est encore ni source ni binaire, mais un matériau vivant en métamorphose. Dans un monde où les systèmes produisent en continu leurs propres versions d’eux-mêmes, les zones de transition deviennent le véritable champ de bataille.

Microsoft vient de colmater 58 vulnérabilités débusquées dans le code de Windows. Six de ces failles sont activement exploitées par des cybercriminels pour détourner les fonctions de sécurité du système d’exploitation.

Réglé comme une horloge, Microsoft vient de publier le Patch Tuesday de février 2026. Cette nouvelle salve de correctifs colmate 58 failles de sécurité identifiées dans le code de Windows. Parmi les vulnérabilités découvertes par Microsoft, on trouve cinq vulnérabilités critiques, six failles activement exploitées dans des cyberattaques et trois brèches considérées comme des zero-day. Le mois dernier, Microsoft avait corrigé 114 failles de sécurité, dont huit jugées critiques.

10.02.2026 - Au cours de la semaine écoulée, l’OFCS a reçu un nombre accru de signalements concernant un phénomène qui, à première vue, ressemble à du spam massif, mais qui constitue en réalité une manœuvre de diversion ciblée de la part de cybercriminels : Le « Subscription Bombing ».

Imaginez recevoir, en l’espace de quelques minutes, des centaines voire des milliers d’e-mails de confirmation, par exemple pour des inscriptions à des newsletters provenant de sites web du monde entier. L’objectif de cette attaque n’est pas de vous importuner : les attaquants exploitent ce flot d’e-mails pour dissimuler un seul message critique. Dans la plupart des cas, les auteurs ont déjà obtenu l’accès à un compte de la victime (par exemple à l’e-banking ou à des boutiques en ligne) et y ont déclenché une transaction. L’alerte de sécurité ou l’e-mail de confirmation du service concerné se perd alors dans la masse du « Bombing » et passe inaperçu aux yeux de la victime.