🔎 Cyberveille

Les services secrets peuvent surveiller toutes les personnes en Suisse sans motif ni soupçon grâce à la surveillance des communications radio et câblées. Dans un arrêt historique, le Tribunal administratif fédéral a désormais établi que l’exploration des réseaux câblés et radio n’était ni conforme à la Constitution fédérale ni à la Convention européenne des droits de l’homme. Il s’agit d’une victoire importante pour la liberté et la vie privée sur Internet.

L’exploration du réseau cablé est un élément essentiel de la surveillance de masse sans motif ni soupçon exercée par le Service de renseignement de la Confédération (SRC). La surveillance des communications permet d’enregistrer et de surveiller de manière exhaustive les communications entre la Suisse et le reste du monde. Cette mesure a été légalisée en Suisse en 2017 avec la nouvelle loi sur le renseignement (LRens).

La communication transfrontalière est surveillée par le Service de renseignement de la Confédération dans le cadre de l’exploration radio et du réseau câblé. Dans son arrêt, le Tribunal administratif fédéral constate que ce système de collecte d’informations dans sa conception actuelle n’est pas conforme à la Constitution fédérale et à la CEDH. Le législateur a la possibilité de remédier aux lacunes dans le cadre de la révision législative en cours.

Le 20 novembre 2025, la CNIL a sanctionné la société française LES PUBLICATIONS CONDE NAST d’une amende de 750 000 euros pour le non-respect des règles applicables en matière de traceurs (cookies), déposés sur le terminal des utilisateurs se rendant sur le site « vanityfair.fr ».

02.12.2025 - Une campagne d’hameçonnage utilise actuellement abusivement le nom de SERAFE. Les cybercriminels, sous prétexte de vérifier la situation du ménage, cherchent à obtenir toute une série d’informations. Outre des données personnelles telles que nom et date de naissance, ils réclament également l’adresse électronique, le numéro AVS, la date d’un éventuel déménagement et des données de carte de crédit. La rétrospective de cette semaine montre pourquoi cette combinaison de données leur est particulièrement utile et comment se protéger.

La police européenne continue de s’en prendre aux plateformes de mixage de cryptomonnaies. Les forces de l’ordre viennent en effet de démanteler Cryptomixer, un important service de mixage de bitcoins. La plateforme aurait permis de blanchir plus de 1,3 milliard d’euros avant que les enquêteurs ne saisissent ses serveurs.

...

Les mixeurs, ou services de mixages, jouent donc un rôle clé dans le blanchiment d’argent. Ils font d’ailleurs partie de l’arsenal utilisé par les pirates du gang Lazarus (également connu sous le nom d’APT38), financés par la Corée du Nord.

Après Salesforce, un groupe de cybercriminels a décidé de s’attaquer aux clients de Zendesk, éditeur d'une plateforme de support client. La découverte a été faite par les experts de l’entreprise de sécurité ReliaQuest. Dans cette campagne, les pirates se sont appuyés sur des faux noms de domaines déposés au cours des six derniers mois.Pas moins d’une quarantaine de faux domaines ont ainsi vu le jour. Selon ReliaQuest, certains domaines, comme znedesk[.]com et vpn-zendesk[.]com, hébergeaient de fausses pages de connexion imitant à la perfection les écrans de connexion de Zendesk. D'autres intégraient des noms d'entreprise dans leur adresse web afin de leur conférer une apparence de légitimité.

L’application SmartTube, chouchou des utilisateurs d’Android TV et Fire TV pour son interface épurée et sa suppression automatique des pubs sur YouTube, fait les gros titres pour de mauvaises raisons. Fin novembre 2025, des versions officielles de l’app ont été contaminées par un malware discret, capable d’exfiltrer des données sensibles comme le modèle de l’appareil, l’adresse IP locale ou la version d’Android.

Fin novembre 2025, des versions officielles de l’app ont été contaminées par un malware discret, capable d’exfiltrer des données sensibles comme le modèle de l’appareil, l’adresse IP locale ou la version d’Android. Ce n’est pas une attaque isolée : selon des analyses partagées sur AFTVnews, l’infection provient d’un ordinateur de développement compromis, injectant une bibliothèque native cachée qui opère en arrière-plan dès le lancement de l’app. Avec des millions de téléchargements via GitHub ou APKMirror, cet incident rappelle les vulnérabilités des apps sideloadées, loin des remparts du Play Store.

• Vos caméras IP se vendent au marché noir pour 25 000 euros : comment 4 pirates ont transformé vos moments intimes en cryptomonnaies
• Le mot de passe "admin/admin" a créé 120 000 victimes en Corée du Sud : pourquoi les fabricants de caméras refusent encore de forcer le changement obligatoire
• Débranchez vos caméras quand vous êtes chez vous : l'astuce radicale que les constructeurs tech ne veulent pas que vous connaissiez

Le géant sud-coréen du e-commerce a confirmé qu’un incident a exposé les données personnelles de 33,7 millions de comptes clients. Un ancien employé d’origine chinoise est accusé d’avoir utilisé une clé d’authentification restée active après la fin de son contrat pour accéder aux données.

Le Swiss FS-CSC a déjà mené à plusieurs reprises des exercices de simulation de cyberattaque. Le 26 novembre, un cyberexercice a été organisé pour la première fois en Suisse romande. Une soixantaine de participantes et participants issus du secteur financier ont simulé une cyberattaque complexe et en plusieurs étapes.

France Travail a indiqué lundi 1er décembre avoir été victime d'un acte de cyber malveillance ayant entraîné une fuite de données personnelles. En l'occurrence, ce sont les informations relatives à environ 1,6 million de jeunes suivis par le réseau des Missions Locales (antennes dédiées à l'insertion faisant partie du service public de l'emploi) qui sont concernées, soit parce qu'ils étaient inscrits à France Travail, soit parce qu'ils s'étaient vus prescrire une formation via l'outil Ouiform opéré par France Travail.

Selon GBHackers, un nouvel outil open source nommé KawaiiGPT est apparu sur GitHub, se présentant comme une version « kawaii » et non filtrée d’une IA, et comme un clone gratuit de « WormGPT ».

KawaiiGPT fonctionne comme un wrapper: il ne calcule pas lui‑même mais relaie les réponses de DeepSeek, Gemini et Kimi‑K2. Il s’appuie sur une ingénierie inverse de wrappers d’API (provenant du projet Pollinations) pour accéder à ces modèles sans clés officielles, et peut être utilisé gratuitement sur Linux ou Termux sans inscription.

🔗 Source originale : https://gbhackers.com/kawaiigpt-a-free-wormgpt-clone-powered/

Lors d'un exercice de crise cette année, le système informatique central de la Confédération a connu une défaillance, révèle la NZZ am Sonntag. Celui-ci regroupe toutes les informations pour fournir aux cellules de crise cantonales une vue d'ensemble de la situation dans toute la Suisse. Pendant l'exercice de début novembre, simulant une attaque hybride contre notre pays, les cantons n'ont, à plusieurs reprises, pas pu accéder au système informatique central de la Confédération ou seulement avec un certain retard. Les états-majors cantonaux n'ont donc pu suivre la situation que de manière fragmentaire.

De nouvelles recherches révèlent qu’au cours de la période 2023-2025, plus de 237 opérations cyber ont ciblé les infrastructures spatiales. Les satellites et les systèmes de communication spatiaux sont menacés par la cyberguerre, met en garde un nouveau rapport, qui fait état de 237 opérations cyber ayant visé le secteur spatial entre janvier 2023 et juillet 2025, pendant le conflit à Gaza.

L’analyse, publiée par le Center for Security Studies (CSS) de l’ETH Zurich, compile des informations, notamment des publications sur les réseaux sociaux, des articles de presse et des données issues de forums de cybercriminalité, sur des cyberattaques contre le secteur spatial israélien et des agences internationales.

La hausse la plus spectaculaire des cyberattaques contre l’espace s’est produite lors de l’affrontement entre Israël et l’Iran en juin 2025, lorsque 72 opérations ont été recensées en un seul mois. Cela représente près d’un tiers de l’ensemble des incidents identifiés sur la période étudiée, a indiqué l’auteure du rapport, Clémence Poirier.

Pour la première fois, des groupes de hackers russes et nord-coréens unissent leurs forces. Des chercheurs ont en effet découvert que les gangs Gamaredon et Lazarus ont mis leurs ressources en commun… et ça n’augure rien de bon.

...

Fin juillet, les chercheurs ont remarqué que les pirates ont utilisé une même adresse IP. Il semble que les deux gangs partagent en ce moment « une infrastructure commune ».

Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h.

📊 Résultats clés

• Échelle: ~5,6 M de dépôts scannés sur GitLab; comparaison Bitbucket: ~2,6 M.
• Découvertes: 17 430 secrets valides sur GitLab vs 6 212 sur Bitbucket, soit ~35 % de densité de fuites par dépôt en plus côté GitLab.
• Temporalité: plateau des expositions sur Bitbucket depuis 2018, mais « explosion » sur GitLab, probablement corrélée à la montée de l’IA et la prolifération de clés API.
• Ancienneté: des « zombie secrets » toujours valides jusqu’à des commits datés du 16/12/2009.
• Types de secrets: GCP est la catégorie la plus fuitée; environ 1 dépôt sur 1 060 contenait des identifiants GCP valides.
• Localité de plateforme: 406 clés GitLab valides trouvées sur GitLab contre 16 sur Bitbucket (≈25×), illustrant que les secrets d’une plateforme fuient majoritairement sur cette même plateforme.
• Cas marquant: un token Slack attribué à une organisation (confirmé via l’URL d’équipe et page de login Okta) classé P1 et rémunéré 2 100 $.

• Google vous laisse installer des bombes à retardement dans votre navigateur : CRXplorer révèle ce que le géant refuse d'auditer
• Les chasseurs de primes ont trouvé leur eldorado : les extensions Chrome sont devenues le terrain de jeu des hackers pendant que les développeurs dorment
• Vos extensions vous espionnent déjà, mais personne ne vous le dit : cet outil gratuit fait le travail que Google devrait faire

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Si les SSD dominent l'informatique active, ils présentent un risque important pour le stockage d'archives à long terme. Cette analyse approfondie explore la physique des fuites d'électrons dans la mémoire flash NAND, en analysant les normes JEDEC et les contraintes techniques qui font que les SSD hors tension perdent des données au fil du temps, en les comparant à la stabilité des supports magnétiques.

À la suite d’un incident survenu fin octobre aux États-Unis, Airbus a découvert une faille de sécurité sur un logiciel de commande. Le groupe européen s’est lancé dans une vaste entreprise de mise à jour.

GreyNoise Labs a annoncé « GreyNoise IP Check », un outil gratuit permettant de vérifier si une adresse IP a été vue dans des opérations de scan malveillant, notamment issues de botnets et de réseaux de proxies résidentiels.

...

L’outil affiche trois résultats possibles: 1) Clean (aucune activité malveillante détectée), 2) Malicious/Suspicious(comportement de scan observé, nécessitant une investigation des appareils du réseau), 3) Common Business Service (IP d’un VPN, réseau d’entreprise ou cloud, où le scan est attendu/normal). En cas d’activité, une frise chronologique sur 90 jours est fournie pour aider à identifier un point potentiel d’infection ou une corrélation temporelle (ex. installation d’un client de partage de bande passante avant l’apparition des scans).

Il ne se passe pas une semaine quasiment sans qu’une fuite de données ne soit rendue publique. C’est désormais au tour de la Fédération Française de Cardiologie de prévenir ses adhérents : « À la suite d’une faille, un tiers non autorisé a accédé à notre système et dérobé certaines de vos données personnelles ». Contactée par Next, la Fédération nous confirme l’envoi des messages aux adhérents et le contenu du message.

Des services d’alertes automatisées de la firme québécoise GardaWorld utilisés par plusieurs municipalités canadiennes et américaines pour communiquer avec les citoyens en cas d’urgence ont été suspendus en raison d’une cyberattaque et d’une fuite de données personnelles.

Les téléphones mobiles font aujourd'hui partie du quotidien. L'augmentation croissante des usages, aussi bien liés à la vie personnelle que professionnelle, en font une cible de choix pour les attaquants. Comme tout équipement informatique, et bien que de nouvelles mesures de protections soient régulièrement mises en œuvre par les constructeurs, les équipements mobiles sont exposés à des opportunités spécifiques associés à leur usage et à leur fonctionnement. Des vulnérabilités pouvant cibler les réseaux (mobile, Wi-Fi, Bluetooth), le système d’exploitation ou les applications sont ainsi régulièrement exploitées par des attaquants aux capacités et motivations diverses. Parmi ces menaces, l’ANSSI observe notamment des opérations d’espionnage et de surveillance menées par des acteurs étatiques grâce à des capacités développées en interne ou acquises auprès d’entreprises privées spécialisées dans la lutte informatique offensive (LIOP). Ces dernières facilitent l’accès à des technologies sophistiquées, entrainant l’émergence de nouveaux acteurs offensifs, et augmentant ainsi le niveau de menace associé. Au-delà de l’espionnage, les téléphones mobiles sont aussi une cible de choix pour les cybercriminels, qui, en les compromettant, parviennent notamment à détourner de l’argent de leurs victimes. Dans une moindre mesure, les téléphones mobiles sont aussi détournés pour de la surveillance privée ou des opérations de déstabilisation. Ce document a pour objectif de présenter les différents vecteurs techniques exploités par les attaquants pour compromettre des téléphones mobiles, ainsi que dresser une vue d’ensemble sur les menaces pesant sur les utilisateurs en fournissant des exemples concrets d’attaques conduites en France ou à l’étranger. Des recommandations de sécurité à destination des utilisateurs accompagnent cet état de la menace.

Certes, le volume d'attaques dans les environnements OT/IoT est largement inférieur à celui lié à l'IT, ces réseaux OT n'étant pas aussi nombreux, mais ils sont bien plus vulnérables. En effet, ils ne sont pas autant sécurisés, qui plus est, les équipements qui y sont connectés ne le sont pas non plus. Dans ces conditions, ils deviennent une cible de choix pour les cybercriminels qui profitent des failles pour saboter ou stopper un outil de production et même bloquer les réseaux d'entreprises étant donné le manque d'étanchéité entre les environnements. Les différentes autorités mondiales s'alarment de cette situation à l'heure où les relations entre certains pays se dégradent. Dans ce dossier, les spécialistes interviewés nous donnent à la fois leurs points de vue mais aussi leurs solutions et des bonnes pratiques à prendre en compte. (Crédit photo S.L.)

Le Conseil et le Parlement européen ont trouvé un accord sur de nouvelles règles à propos de la fraude en ligne et l'utilisation abusive des données. Notamment, les plateformes devront faire face à leurs responsabilités si elles n'ont pas supprimé des contenus frauduleux signalés qui ont atteint des victimes.