🔎 Cyberveille

Quatre vulnérabilités ont été découvertes dans le contrôleur réseau open source Ingress Nginx. Il est largement utilisé dans les déploiements Kubernetes, mais son support doit s'arrêter fin mars.

Alerte sur la sécurité de l’outil open source Ingress Nginx - géré par la CNCF et à ne pas confondre avec le logiciel de serveur web éponyme - avec la découverte de quatre failles. Deux d’entre elles présentent un score CVSS de 8,8. La CVE-2026-1580 est un problème de validation des entrées. Si le contrôleur Ingress Ngnix est paramétré avec une configuration d'erreurs personnalisées par défaut incluant les erreurs HTTP 401 ou 403, et si le backend d'erreurs personnalisées par défaut configuré est défectueux et ne respecte pas l'en-tête HTTP Xcode, alors un Ingress avec l'annotation auth-url peut être accédé même en cas d'échec d'authentification.

Dans cet article, nous allons nous intéresser à une catégorie de cyberattaquants qui s'est spécialisée dans une étape clé d'une cyberattaque : l'accès initial au système d'information et la persistance.

Nous verrons que la simple volonté de compromettre un système d'information et de s'y implanter durablement peut être motivée uniquement par la revente de ces accès, souvent à des acteurs aux intentions encore plus malveillantes

Qu’est-ce qu’un access broker ? Un access broker (ou Initial Access Broker) est un acteur spécialisé de la cybercriminalité dont le rôle est d’infiltrer des systèmes d'information, puis de revendre cet accès non autorisé à d’autres cybercriminels.

L’infrastructure numérique de La Sapienza subit une interruption majeure depuis mardi. Comptant environ 120 000 étudiants, l’établissement romain figure parmi les plus grandes universités européennes. Les systèmes informatiques ont été volontairement désactivés suite à une intrusion malveillante présumée.

La Commission européenne travaille actuellement sur un outil open source à usage interne, qui doit servir de sauvegarde pour le logiciel actuel.

La Commission européenne testerait un logiciel open source pour gérer ses communications internes. C’est ce qu’un porte-parole a déclaré à Euractiv. La Commission jette son dévolu sur Matrix, un protocole de messagerie open source dirigé par une organisation à but non lucratif basée à Londres. L’alternative open source doit servir de sauvegarde au système de communication actuel. Actuellement, la Commission européenne utilise la plateforme de messagerie Signal comme sauvegarde.

Windows est à nouveau dans le viseur des pirates. Les chercheurs de ReliaQuest ont découvert une campagne malveillante qui exploite les fichiers d’économiseur d’écran Windows pour piéger les internautes. La cyberattaque repose en effet sur des fichiers .scr, qui permettent normalement d’installer un économiseur d’écran sur l’ordinateur.

La Fédération française de voile annonce une fuite de données affectant des centaines de milliers de licenciés et ex-licenciés, sans compromission des données bancaires ou médicales

La Fédération française de voile a indiqué jeudi avoir subi une « fuite de données » concernant « plusieurs centaines de milliers » de licenciés et ex-licenciés, affirmant qu’aucune donnée bancaire ou médicale n’avait été compromise. La fédération « a récemment identifié une fuite de données affectant sa plateforme de gestion des licences », qui « résulte de l’utilisation frauduleuse d’un compte club compromis.

L'enquête, dirigée par la section de lutte contre la cybercriminalité du parquet de Paris, a été confiée à la DGSI (Direction générale de la sécurité intérieure).

Le 30 janvier, la police a été avisée que deux personnes de nationalité chinoise étaient suspectées de procéder à des opérations de captation satellitaire depuis leur Airbnb loué en Gironde. A l'origine de l'affaire: des riverains avaient constaté le déploiement d'une parabole d'environ 2 mètres de diamètre, corrélée à une déconnexion internet.

Lors d'une perquisition menée le lendemain, les enquêteurs ont découvert "un système d'ordinateurs reliés à des antennes paraboliques permettant la captation de données satellitaires", qui a été saisi pour exploitation.

Substack a mis plusieurs mois à se rendre compte qu’un pirate avait mis la main sur les données de certains de ses utilisateurs. Adresses e‑mail, numéros de téléphone et métadonnées ont été compromises.

Substack annonce avoir été victime d’une fuite de données. La plateforme en ligne, qui permet à des auteurs, journalistes et créateurs de publier des newsletters, articles, podcasts et vidéos, et de les monétiser, indique qu’un pirate est parvenu à accéder à des données internes en octobre 2025. Dans un mail adressé aux utilisateurs concernés, Substack explique que l’incident a été identifié il y a seulement quelques jours, le 3 février 2025.

La Chine a exécuté fin janvier 2026 11 membres du groupe Ming, lié à des centres de cyberescroquerie au Myanmar. Beijing dit coopérer activement avec Naypyidaw contre la fraude transfrontalière. La Chine a frappé fort. 11 personnes liées aux centres d’escroquerie au Myanmar ont été exécutées le 29 janvier 2026, rapporte la CCTV, la télévision d’État. Membres du groupe criminel Ming, les arnaqueurs ont été condamnés à la peine capitale 4 mois plus tôt pour homicide volontaire, mais aussi pour fraude et gestion de casinos. Si certains avaient fait appel, la Cour populaire supérieure du Zhejiang, à l’est de la Chine, avait confirmé le verdict de première instance le 25 novembre 2025.

03.02.2026 - Ces dernières semaines, l’OFCS a reçu plusieurs annonces relatives à des courriels dont le contenu indiquait que l’expéditeur avait partagé un fichier sur la plateforme Microsoft « SharePoint ». Le lien indiqué dans les messages aboutit effectivement à la plateforme « SharePoint » officielle. Vous découvrirez dans la rétrospective hebdomadaire les mauvaises intentions qui se cachent derrière ces courriels et ce que cela signifie pour les utilisateurs et utilisatrices.

Des cybercriminels exploitent une faille de sécurité surnommée Metro4Shell et qui affecte directement l'écosystème React Native. Elle se situe dans le composant Metro Development Server utilisé par le paquet NPM populaire @react-native-community/cli. Quels sont les risques ? Voici ce que l'on sait.

VulnCheck a publié un nouveau rapport pour évoquer l'exploitation de la CVE-2025-11953 depuis le 21 décembre 2025, avec notamment la découverte d'un 6ème exploit PoC le 3 février 2026. Associée à un score CVSS de 9.8 sur 10, cette vulnérabilité réside au sein de Metro Development Server, un composant clé du paquet npm @react-native-community/cli. L'occasion de préciser que ce paquet est populaire, avec plus de 2 millions de téléchargements par semaine.

Cette vulnérabilité permet à des attaquants distants et non authentifiés d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent, en ciblant le composant vulnérable. Une simple requête POST suffit à exploiter cette faiblesse sur les machines Windows.

Coinbase, le géant américain des cryptomonnaies, a reconnu une nouvelle fuite de données. L’un de ses sous‑traitants a abusé de ses accès à l’outil interne de support pour consulter les données d’une partie des clients. Cet incident survient moins d’un an après une violation analogue. Là encore, c’est un prestataire qui était à l’origine de la fuite.

Coinbase, la plateforme d’échange de cryptomonnaies basée à New York, annonce avoir subi une nouvelle fuite de données. L’incident est survenu dans le courant du mois de décembre 2025, rapporte Bleeping Computer.

Comme l’explique l’exchange numéro 2 du marché des cryptos, son équipe de sécurité a découvert qu’un « seul sous-traitant de Coinbase » a consulté des informations clients en abusant de ses accès à l’interface interne de support. Ce prestataire, en charge de l’assistance clientèle, a accédé « de manière inappropriée aux informations des clients, ce qui a touché un très petit nombre d’utilisateurs ».

L’IA générative face aux attaques informatiques Technologie innovante, performante et flexible, l’IA générative est aujourd’hui employée de manière massive et intégrée à de nombreux usages. Incluant les « grands modèles de langage » (GML) ou Large Language Model (LLM), l’IA générative présente l’avantage de s’intégrer facilement à des outils existants, y compris à ceux d’acteurs cyberoffensifs. Même si elle risque d’alimenter certaines attaques informatiques, elle comporte d’évidentes limites techniques et opérationnelles. Elle peut même devenir la cible de cyberattaques. Cette synthèse fait un état des lieux de la menace que peut représenter aujourd’hui l’IA générative et des menaces qui la ciblent.

Cyberattaques, l’IA générative comme levier Force est de constater que des modèles d’IA générative sont utilisés et détournés à différentes étapes d’une attaque informatique pour effectuer du profilage de victime, concevoir du contenu à des fins d’ingénierie sociale ou encore développer des programmes malveillants. Cependant, leur utilisation dépend du niveau de compétences et des objectifs poursuivis : pour les acteurs les plus avancés, l’IA générative représente un outil de gain de performance et de passage à l’échelle tandis que pour les acteurs moins expérimentés, elle représente davantage un outil d’apprentissage.

Pour l’heure, l’ANSSI statue qu’aucun système d’IA générative officiel ou débridé n’a été en mesure de mener de manière autonome toutes les étapes d’une attaque informatique.

L’IA générative, potentielle victime La seconde partie de la synthèse décrit de quelle manière les systèmes d’IA deviennent également des cibles. En effet, les systèmes de LLM sont susceptibles d’être victimes d’empoisonnement de modèles à des fins d’altération de données ou de désinformation. Ils peuvent également être ciblés à des fins de compromission de chaine logicielle ou d’exfiltration de données, illustrant une nouvelle fois l’adaptabilité des attaquants aux nouveaux usages numériques dans un contexte professionnel.

La situation évolue vite et doit faire l’objet de vigilance L’ANSSI prévient du caractère rapide de l’évolution des usages par les attaquants et les organisations, ce qui impose une réévaluation régulière de la menace.

La Gendarmerie nationale a lancé, cette semaine, une alerte sur les réseaux sociaux. Des fraudeurs parviennent désormais à afficher le vrai numéro de votre brigade locale lorsqu'ils vous appellent. Leur objectif est de se faire passer pour des gendarmes afin de récupérer vos coordonnées bancaires, en prétextant un prélèvement frauduleux sur votre compte, ce qui inquiète les forces de l'ordre.

Des escrocs qui falsifient le numéro de votre gendarmerie Les escrocs maîtrisent bien ce que l'on appelle le spoofing, une manipulation technique qui truque l'affichage du numéro appelant. Elle est d'autant plus redoutable que, oui, c'est bien le vrai numéro de votre brigade qui s'affiche, alors que l'appel provient de malfrats situés n'importe où. Cette crédibilité instantanée dont ils profitent fait toute la différence. Même les personnes habituellement méfiantes baissent leur garde face à ce qu'elles croient être une autorité légitime.

En 2024, 141 « événements de cybersécurité » en lien avec les Jeux olympiques avaient été signalés à l’Agence nationale de la sécurité des systèmes d’information pendant la compétition, sans qu’aucun ait affecté le bon déroulement des épreuves. L’Italie affirme avoir déjoué une série de cyberattaques russes contre des sites liés aux Jeux olympiques (JO) d’hiver de Milan-Cortina, dont des hôtels et plusieurs sites du ministère des affaires étrangères, a annoncé le chef de la diplomatie italienne, Antonio Tajani, deux jours avant la cérémonie d’ouverture. « Il s’agit d’actions d’origine russe », a-t-il ajouté.

Hugging Face, plateforme dédiée aux modèles et aux données d’entraînement en IA, a été détournée par des cybercriminels pour diffuser des logiciels malveillants sur des appareils Android.

Hugging Face, plateforme de partage de modèles de langage, de données d’entraînement et d’applications d’intelligence artificielle accessibles au téléchargement et au développement collaboratif, a récemment été exploitée par des acteurs malveillants pour diffuser des applications Android infectées, rapporte le site spécialisé Bleeping Computer, citant une analyse de l’éditeur de cybersécurité Bitdefender.

L'éditeur américain Malwarebyte, spécialisé dans les solutions de cybersécurité, annonce son intégration au sein de ChatGPT. Il devient alors le premier antivirus à déployer son expertise directement dans l'interface du chatbot d'OpenAI.

Des documents internes du Département fédéral des affaires étrangères ont été stockés par erreur dans le cloud de Microsoft. Le DFAE confirme une faille partielle dans ses dispositifs de sécurité, dans un contexte de dépendance accrue de l’administration fédérale aux services cloud américains.

Des documents internes du Département fédéral des affaires étrangères (DFAE) ont été stockés par erreur dans une infrastructure cloud opérée par Microsoft, selon une enquête publiée par la NZZ am Sonntag. Les informations concernées étaient classifiées au niveau «interne», un degré qui, selon la législation suisse, peut déjà représenter un risque pour les intérêts de politique étrangère ou pour la sécurité intérieure et extérieure du pays.

Le DFAE a confirmé l’existence de cette faille. Selon le département, le dispositif technique destiné à empêcher le transfert de documents classifiés vers le cloud ne fonctionne actuellement que partiellement, ce qui a permis le stockage involontaire de certains fichiers internes sur des serveurs exploités par Microsoft.

Une faille connue, révélée par un audit interne Le problème n’était pas totalement inconnu des autorités. Toujours d’après la NZZ am Sonntag, un audit interne mené durant l’été précédent avait déjà jugé insuffisantes les mesures de sécurité en place. Le rapport signalait notamment que des documents classifiés avaient été stockés de manière incorrecte, sans que le contenu précis des fichiers concernés ne soit rendu public.

Le DFAE indique toutefois que les documents soumis à des niveaux de classification plus élevés n’ont pas été affectés. À la suite de ces constats, le département affirme avoir renforcé la sensibilisation de ses collaborateurs aux règles de gestion et de stockage des données sensibles.

Don Ho, principal mainteneur de l'éditeur de texte Notepad++, est revenu lundi sur le piratage survenu au niveau du composant en charge des mises à jour du logiciel, révélé en décembre dernier. Dans un billet de blog en forme de post-mortem, il affirme avoir changé d'hébergeur et mis en place les garanties techniques nécessaires à la prévention de tout nouvel incident.

Le piratage avait été confirmé le 9 décembre dernier, lors de la sortie de Notepad++ v8.8.9. Alerté par des signalements d'utilisateurs, puis par les vérifications opérées par certains experts en cybersécurité, Don Ho avait révélé la compromission du serveur chargé de distribuer les mises à jour du logiciel, via un composant interne baptisé WinGUp. Il expliquait alors :

« L'analyse des rapports a révélé une faille dans la manière dont le programme de mise à jour vérifie l'intégrité et l'authenticité du fichier de mise à jour téléchargé. Si un attaquant parvient à intercepter le trafic réseau entre le client du programme de mise à jour et l'infrastructure de mise à jour de Notepad++, il peut exploiter cette faille pour inciter le programme de mise à jour à télécharger et exécuter un fichier binaire indésirable (au lieu du fichier de mise à jour légitime de Notepad++). »

Aujourd’hui, plongeons dans le fonctionnement d’une cyberattaque reposant sur un minuscule mécanisme capable de faire surchauffer un système. L’occasion également de décortiquer un principe fondamental de l’informatique : le fork, littéralement « fourchette ». On l’appelle communément fork bomb, ou virus lapin, même s’il ne s’agit pas à proprement parler d’un virus.

Ici, pas de malware sophistiqué destiné à voler des données sensibles, ni de chiffrement visant à rendre des fichiers inaccessibles en attendant le paiement d’une rançon. Non, cette cyberattaque n’a qu’un seul objectif : immobiliser.

Analyse de l’attaque WhisperPair, qui consiste à suivre les victimes à la trace au moyen d’écouteurs Bluetooth ordinaires.

Une vulnérabilité récemment découverte, baptisée WhisperPair, peut transformer les écouteurs et les casques Bluetooth de nombreuses marques connues en dispositifs de localisation personnelle, et ce, que les accessoires soient connectés à un iPhone, à un smartphone Android ou même à un ordinateur portable. Même si la technologie à l’origine de cette faille a été développée par Google pour les appareils Android, les risques de suivi sont en réalité beaucoup plus élevés pour ceux qui utilisent des écouteurs vulnérables avec d’autres systèmes d’exploitation, comme iOS, macOS, Windows ou Linux. Pour les propriétaires d’iPhone, cette situation est particulièrement préoccupante.

La connexion d’écouteurs Bluetooth à un smartphone Android est devenue nettement plus rapide lorsque Google a lancé Association express, une technologie désormais utilisée par des dizaines de fabricants d’accessoires. Pour coupler de nouveaux écouteurs, il suffit de les allumer et de les tenir à proximité du téléphone. Si votre appareil est relativement moderne (produit après 2019), une fenêtre contextuelle vous invite à vous connecter et à télécharger l’application correspondante, si elle existe. Une simple pression, et le tour est joué.

Malheureusement, il semble qu’un certain nombre de fabricants n’aient pas prêté attention aux détails de cette technologie lors de sa mise en œuvre, et leurs accessoires peuvent désormais être piratés par le smartphone d’un inconnu en quelques secondes, même si les écouteurs ne sont pas en mode d’appairage. Il s’agit là du cœur de la vulnérabilité WhisperPair, récemment découverte par des chercheurs de l’université UCLouvain et enregistrée sous le code CVE-2025-36911.

Centre canadien pour la cybersécurité

La présente évaluation actualise l'Évaluation des menaces de base : Cybercriminalité, publiée en 2023 par le Centre canadien pour la cybersécurité (Centre pour la cybersécurité). Elle a pour but de faire le point sur les menaces par rançongiciel au Canada et d’informer les organisations canadiennes au sujet de l’historique des rançongiciels, des tendances émergentes et prévisionnelles et des répercussions des rançongiciels sur le Canada et les organisations canadiennes. Elle réfutera également des mythes courants et des idées fausses concernant les pratiques exemplaires en cybersécurité et l’intervention en cas de cyberincident . Le présent rapport vise les organisations canadiennes de toutes tailles, y compris les entités du secteur public et des infrastructures essentielles, mais toutes les Canadiennes et tous les Canadiens peuvent en apprendre plus sur l’écosystème de rançongiciel.

Dans la présente évaluation, un rançongiciel désigne généralement un type de maliciel qui empêche une utilisatrice ou un utilisateur légitime d’accéder à un système ou à des données jusqu’à ce qu’il ait payé une rançon. Toutefois, le Centre pour la cybersécurité reconnaît que les rançongiciels ont évolué et que certains incidents se traduisent plutôt par le vol de données et l’extorsion.

Les rançongiciels sont apparus comme une méthode informelle de cybercriminalité utilisant le chiffrement de base et l’extorsion. Dans les dernières décennies, ils se sont rapidement transformés en écosystème sophistiqué dans lesquel les auteurs de menace communiquent et procèdent à des paiements par l’entremise du cyberespace sans frontière difficile d’accès sur le Web clandestin.

On estime que les auteurs de menace qui mènent des attaques par rançongiciel contre des organisations canadiennes sont presque certainement opportunistes et motivés par l’appât du gain. Toutes les organisations canadiennes, peu importe leur taille ou leur secteur, sont à risque d’être la cible d’un rançongiciel. En plus d’avoir des répercussions sur l’infrastructure, les données, la chaîne d’approvisionnement et les activités de l’organisation, une attaque par rançongiciel peut avoir des conséquences sur les moyens de subsistance des Canadiennes et Canadiens si elle interrompt des services essentiels dont ils dépendent.

Le Conseil d’État juge aujourd’hui que le traitement algorithmique des images des caméras de vidéosurveillance placées à l’entrée des écoles, mis en place par la commune de Nice, n’est pas autorisé en l’état actuel de la loi. Si la vidéosurveillance sur la voie publique est possible, le code de la sécurité intérieure n’autorise toutefois pas l’utilisation d’algorithmes pour analyser de manière systématique et automatisée les images collectées.

Comment les spams passent-ils au travers des multiples couches de protection annoncées comme presque infranchissables par les entreprises et par les chercheurs en cybersécurité ?

Avec Personal Intelligence, Google franchit une nouvelle étape dans l’exploitation des données personnelles par l’IA. Si les promesses de personnalisation sont séduisantes, les démonstrations concrètes de Gemini soulèvent des questions sur la vie privée, ainsi que l’influence que les chatbots peuvent avoir sur leurs utilisateurs.