🔎 Cyberveille

Un chercheur en cybersécurité a mis la main sur 149 millions d'identifiants volés, accessibles en ligne sans aucune protection. Gmail, Facebook, Netflix, des sites gouvernementaux et même OnlyFans sont touchés.

Jérémie Fowler, chercheur expérimenté en sécurité informatique, est tombé sur une base de données ouverte hébergée sur le cloud. 96 Go de fichiers bruts, sans mot de passe ni chiffrement. À l'intérieur, 149 404 754 combinaisons d'identifiants uniques, chacune accompagnée de l'adresse e-mail ou du nom d'utilisateur, du mot de passe en clair et de l'URL exacte de connexion. Des milliers d'échantillons vérifiés par le chercheur permettent de mesurer les dégâts. Gmail totalise 48 millions de comptes exposés, Facebook 17 millions, Instagram 6,5 millions. Yahoo, Outlook, iCloud, mais aussi Netflix, TikTok, Binance et même des adresses .gov se retrouvent dans le lot. Une vraie caverne d'Ali Baba, sans le mot de passe.

• Sandworm a tenté le coup en Pologne, mais s'est complètement planté
• Comment la Pologne a arrêté l'attaque que l'Ukraine n'a pas pu bloquer il y a 10 ans
• Le GRU triple ses effectifs pour une raison que Varsovie ne dit pas tout haut

Vous vous souvenez de NotPetya et des attaques contre le réseau électrique ukrainien ? Hé bien des hackers, vraisemblablement liés au GRU russe, viennent de remettre le couvert, mais cette fois c'est la Pologne qui était dans le viseur, et...

Ils se sont plantés !

Fin décembre 2025, plus précisément les 29 et 30, le réseau électrique polonais a subi ce que le ministre de l'Énergie Milosz Motyka qualifie de "plus forte attaque sur l'infrastructure énergétique depuis des années". Du lourd, quoi ! Sauf que contrairement à ce qui s'était passé en Ukraine fin 2015, cette cyber offensive n'a provoqué aucune coupure de courant. Les Polonais ont bien géré le coup

Le 20 janvier 2026 à 5h30, la FNC a été la cible d’un acte de cyber-malveillance ayant affecté l’espace adhérents du guichet unique des validations des permis de chasser.

La FNC s’en est aperçue très rapidement et a immédiatement isolé les accès ce qui a stoppé l’attaque et limité son ampleur.

L’incident est désormais clos et les systèmes seront remis en service de manière sécurisée dans les prochains jours.

Microsoft a transmis au FBI les clés de récupération nécessaires pour déverrouiller les supports de stockage chiffrés de trois ordinateurs portables dans le cadre d’une enquête fédérale. Cette coopération, révélée par une affaire de fraude à Guam, met en lumière une faille potentielle dans la protection des données par défaut de Windows 11, où les clés BitLocker sont stockées sur le cloud de l’entreprise et accessibles sur réquisition judiciaire.

Présentées comme des outils de productivité, cinq extensions Chrome ont volé des sessions et pris le contrôle de comptes sur des plateformes RH et ERP.

Deux jeunes hackers, dont un mineur de 17 ans, ont été mis en examen à Paris pour avoir attaqué plusieurs sites Internet de l’Éducation nationale en septembre 2025. Ces interpellations, menées mardi à Caen et Aix-en-Provence par l’Office anticybercriminalité (OFAC), font suite au défaçage (modification non sollicitée) des portails des régions académiques de La Réunion, Reims et Clermont-Ferrand.

L’agence danoise de renseignement a mis en garde contre des vulnérabilités du Bluetooth qui pourraient permettre à des espions américains d’écouter les conversations téléphoniques des autorités danoises ou groenlandaises. La preuve que les services de renseignement européens considèrent dorénavant leur "allié" américain d'hier comme un rival ?

Peur sur le Bluetooth ? Le service de renseignement danois a conseillé, lundi 19 janvier, aux autorités et à la police du Danemark de désactiver le Bluetooth sur leurs smartphones, tablettes et tous les autres périphériques. Les failles de sécurité de cette très populaire technologie de communication sans fil les inquiètent, surtout dans le contexte des tensions avec le président américain Donald Trump au sujet du Groenland.

...

Concrètement, c’est une faille découverte récemment qui cristallise les inquiétudes. "Elle concerne ce qu’on appelle le 'fast pair', c’est-à-dire la possibilité de connecter rapidement un smartphone à des oreillettes Bluetooth. C’est très utile et très facile à faire. Mais la contrepartie est que la sécurité n’est pas au point", souligne Benoit Grunemwald, expert en cybersécurité pour la société Eset.

...

20.01.2026 - Pour de nombreux utilisateurs et utilisatrices, les moteurs de recherche constituent un outil fiable pour naviguer sur internet. Les résultats affichés donnent l’impression de fournir des contenus vérifiés et pertinents, or c’est précisément ce sentiment de confiance qui est exploité à des fins frauduleuses. Les résultats de recherche sont manipulés de manière ciblée afin de diriger les personnes sur des pages malveillantes, souvent sans que ces dernières ou que les gestionnaires de sites web ne s’en aperçoivent immédiatement.

Au cours des dernières semaines, l’OFCS a été informé à plusieurs reprises de résultats de recherche Google altérés. Les signalements provenaient tous de liens suspects liés à des sites web légitimes plus ou moins connus. Les résultats de recherche affichaient certes les titres corrects des sites en question, mais leurs descriptions situées en dessous contenaient des textes cryptiques, des chaînes de caractères incohérentes ou des déclarations prêtant à confusion. Ces informations n’avaient aucun rapport apparent avec le contenu réel du site web. En cliquant sur le lien, une page frauduleuse s’ouvrait. En revanche, lorsque l’URL était saisie directement dans le navigateur, le contenu légitime s’affichait.

Lors du concours Pwn2Own Automotive 2026 à Tokyo, des experts en cybersécurité de Synacktiv ont exploité deux failles zero day pour pirater le tableau de bord d'une Tesla. Cette intrusion, récompensée par 35 000 dollars, leur a donné un accès total au système multimédia, exposant potentiellement les données personnelles des conducteurs, comme les contacts ou les itinéraires GPS.

Des opérateurs de crypto-actifs, dont la société Waltio ou leurs prestataires, ont récemment été victimes de fuites de données personnelles.

Dans ce contexte, une enquête préliminaire sur la fuite de données concernant Waltio et diligentée sur les instructions de la section de lutte contre la cybercriminalité (J3) du Parquet de Paris est notamment ouverte à l’Unité nationale cyber de la Gendarmerie nationale (UNCyber). Les investigations sont en cours pour déterminer la nature précise des données dérobées et identifier les clients de la société qui en ont été victimes.

Pour sa part, Cybermalveillance.gouv.fr reçoit de nombreux témoignages d’utilisateurs de son service d’assistance 17Cyber faisant état de prises de contact par de faux employés qui prétendent travailler pour des opérateurs connus de crypto-actifs (Binance, Coinhouse, Coinbase, Waltio, etc.) ou de faux services anti-fraude de leur banque qui les alertent de transactions suspectes sur leur portefeuille de cryptomonnaies. À la manière des fraudes au faux conseiller bancaire et généralement par téléphone, ils tentent de manipuler les détenteurs de cryptomonnaies afin de détourner leurs actifs vers des portefeuilles frauduleux.

Dans certains cas, il s’agit d’appels de faux représentants de l’ordre (policiers, gendarmes, douaniers, magistrats), dont l’objectif est d’obtenir des informations complémentaires sur les détenteurs de crypto-actifs ou encore des documents ou objets sensibles (moyens de paiement, clés de récupération (« seeds »), biens de valeur, etc.).

Dans les situations les plus graves, des malfaiteurs peuvent aller jusqu’à menacer et agresser physiquement les victimes ou leur entourage proche pour les extorquer. Des enlèvements et séquestrations ont encore été signalés aux forces de l’ordre en janvier 2026.

Une nouvelle campagne de phishing cible les utilisateurs et utilisatrices de LastPass. Des mails imitant le support du service évoquent une maintenance fictive afin de récupérer l’accès aux coffres.

Le média Cybernews a révélé, le 19 janvier 2026, que le gang de rançongiciel RansomHub avait revendiqué une attaque menée en décembre 2025 contre l’industriel chinois Luxshare, l’un des principaux sous-traitants d’Apple. Le groupe cybercriminel affirme avoir dérobé des informations sensibles, dont des secrets industriels, et menace de les divulguer si sa victime ne paie pas la rançon exigée.

Luxshare fabrique notamment les AirPods, des Apple Watch et assemble certains modèles d’iPhone de Mac et d’iPad. RansomHub affirme détenir une archive de 1 To de données confidentielles sur des projets d’Apple allant de 2019 à 2025, comportant notamment :

des fichiers techniques très sensibles, dont des modèles 3D CAO ; des documents d’ingénierie et des schémas mécaniques ; des informations sur la réparation et la logistique des appareils ; des fichiers Gerber, utilisés dans la fabrication de circuits imprimés ; des données personnelles de salariés impliqués dans ces projets.

Un rapport rédigé par l’eurodéputé suédois Tomas Tobé, rapporteur du texte, conclut que « le niveau d’ambition de la Commission ne correspond pas encore à l’ampleur de la menace ». L’élu reconnaît néanmoins que l’initiative constitue « une étape importante » dans la protection des processus démocratiques européens.

L’Union européenne est confrontée à un « cocktail extrêmement dangereux » mêlant manipulation étrangère et désinformation en ligne, explique Tomas Tobé à Euractiv. Il cite en particulier « l’ingérence russe, ainsi que les géants technologiques chinois et américains qui n’assument tout simplement pas leurs responsabilités » comme principaux facteurs de déstabilisation.

En janvier 2023, la CNIL a mené plusieurs contrôles auprès de la société concernée. Elle a notamment constaté que, depuis février 2018, l’entreprise transmettait les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un réseau social. Ces données étaient utilisées afin d’afficher, sur ce réseau, des publicités ciblées visant à promouvoir les articles vendus par la société.

À l’issue de ces contrôles, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés. Elle a prononcé à son encontre une amende de 3,5 millions d’euros. Cette décision a été adoptée en coopération avec 16 homologues européens de la CNIL, des données de personnes résidant dans ces pays étant concernées.

Le montant de la sanction tient compte de la gravité des manquements constatés, dont deux portent sur des principes fondamentaux de la protection des données, ainsi que du nombre élevé de personnes concernées (plus de 10,5 millions).

La formation restreinte a également décidé de publier sa délibération. Elle a estimé que le recours à la publicité ciblée sur les réseaux sociaux étant une pratique répandue parmi les acteurs économiques, il était important d’informer le public des règles applicables en la matière, sans qu’il soit, en l’espèce, utile de nommer la société concernée.

Des pirates parviendraient à exploiter la faille de sécurité CVE-2025-59718 sur les firewalls FortiGate de chez Fortinet, y compris lorsque le patch de sécurité a été installé ! Voici ce que l'on sait sur cette menace potentielle.

Un nouvel article publié sur BleepingComputer rapporte que des administrateurs Fortinet signalent que des firewalls FortiGate sont compromis malgré l'application des derniers correctifs de sécurité. Plus précisément, les pirates parviendraient à contourner le correctif de la faille de sécurité CVE-2025-59718 patchée le 9 décembre 2025. Cela signifie qu'un firewall patché reste potentiellement vulnérable.

Pour rappel, cette vulnérabilité permet à un attaquant non authentifié de bypasser le mécanisme de connexion FortiCloud SSO, grâce à un message SAML forgé pour l'occasion. Il y a une condition importante préalable à l'exploitation de cette vulnérabilité : le SSO FortiCloud doit être activé sur l’équipement vulnérable.

Le laboratoire de sécurité CovertLabs a révélé l’existence de près de 200 applications iOS exposant des données personnelles d’utilisateurs. Pour parvenir à ce constat, les chercheurs s’appuient sur Firehound, un outil développé par un chercheur connu sous le pseudonyme Harrris0n.

Une vulnérabilité critique a été identifiée dans le code d’Advanced Custom Fields: Extended (ACF Extended), un plugin WordPress qui permet de créer des champs personnalisés (cases, listes, zones de texte, etc.) pour construire des pages et des contenus sur mesure. Dans les détails, le plugin ajoute des fonctionnalités au plugin Advanced Custom Fields (ACF), essentiellement destinées aux développeurs.

Découverte par le chercheur en sécurité Andrea Bocchetti, la faille se situe dans le traitement des formulaires « Insérer un utilisateur / Mettre à jour un utilisateur » d’ACF Extended, précisément dans la gestion du champ du rôle utilisateur. Sur certains formulaires publics ACF Extended, n’importe qui peut se faire passer pour l’administrateur. À la suite d’un manque de contrôles, le plugin accepte qu’un internaute lambda décrète arbitrairement qu’il est l’administrateur du site. En exploitant la faille, un attaquant peut donc s’octroyer des privilèges administrateur sur un site vulnérable.

Une récente décision de justice néerlandaise détaille la façon d’opérer d’un pirate visant des infrastructures portuaires au profit de narcotrafiquants.

Comme le signale un arrêt récent de la cour d’appel d’Amsterdam, cela fait alors environ un mois que le « black hat » est en relation avec les trafiquants de drogue. Ces derniers souhaitent prendre le contrôle de l'informatique des infrastructures portuaires d’Anvers et Rotterdam pour faciliter le déchargement et l’exfiltration de leurs livraisons de drogue.

[Mozilla Foundation] Il existe plus de jouets connectés au cloud que nous ne pouvons en compter. Pendant les fêtes, ce n’est pas seulement l’IA que vous devez surveiller lorsque vous déballez les cadeaux pour les enfants.

Si un jouet est connecté à Internet, il peut envoyer des informations sur vous et vos enfants aux serveurs du fournisseur, ainsi qu’à des sociétés tierces avec lesquelles le fournisseur a conclu des accords de partage de données.

Nous avons commandé une étude à 7ASecurity, un cabinet de conseil en cybersécurité de confiance, pour pirater dix des jouets Internet les plus populaires afin d’évaluer leur niveau de confidentialité et de sécurité.

« Sur les dix jouets intelligents audités pour ce rapport, 7ASecurity a constaté des faiblesses généralisées en matière de sécurité et de confidentialité. Concrètement, cela signifie que de nombreux jouets commercialisés pour les enfants pourraient être utilisés à mauvais escient pour espionner des familles, manipuler ce que les enfants entendent ou voient, ou exposer des données sensibles. »

France Éducation international informe qu’un acte de cyber-malveillance a ciblé, entre le vendredi 9 janvier et le lundi 12 janvier 2026, la plateforme GAEL, utilisée pour la gestion des diplômes DELF et DALF.  

En 2025, on parlait de secrets hardcodés. En 2026, le problème a muté : tool poisoning, conversation hijacking, supply chain compromise. MCP n'est pas 'LE' vecteur d'attaque de l'ère agentique — mais il cristallise toutes ses failles, parce qu'il donne aux agents un accès réel aux systèmes.

La Commission européenne veut rendre obligatoire le bannissement des équipementiers jugés à risque pour la sécurité des réseaux, comme les chinois Huawei et ZTE. Ce projet de loi vise à harmoniser les pratiques des États membres et impose aux opérateurs un délai de trois ans pour retirer ces infrastructures

Une extension malveillante fait évoluer les attaques ClickFix en provoquant volontairement le crash du navigateur. Une approche plus convaincante, conçue pour leurrer les internautes, et ciblant en priorité les environnements d’entreprise.

L'Urssaf a lancé lundi un appel à la vigilance sur des risques d'hameçonnage après la détection d'un accès frauduleux à une interface contenant des données des déclarations préalables à l'embauche, 12 millions de salariés étant potentiellement concernés.

"L'Urssaf a constaté un accès non-autorisé à l'API (l’interface, NDLR) contenant certaines données de la déclaration préalable à l'embauche, réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis", explique l'institution dans un communiqué.

Les données qui ont été "consultées et potentiellement extraites" sont les noms, prénoms, dates de naissance, Siret de l'employeur et dates d’embauche de 12 millions de salariés embauchés depuis moins de trois ans, précise l'Urssaf.

Les dégâts financiers et matériels que peuvent occasionner une attaque informatique sont considérables. Si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée. Ce fort potentiel de déstabilisation exige, à la fois des organisations cibles et des prestataires de cybersécurité, un savoir-faire dans l’endiguement de ces cyber-attaques, dans la reprise de contrôle du système d’information compromis et dans le rétablissement d’un état de fonctionnement suffisant. La remédiation est l'étape clé pour y parvenir. Elle constitue l’une des dimensions majeures de la réponse à incident cyber, avec l’investigation et la gestion de crise.

L’ANSSI est engagée avec l’écosystème de sécurité informatique, à l’élaboration, et la diffusion des piliers doctrinaux de la mise en œuvre et du pilotage de la remédiation. Elle publie un corpus doctrinal qui s’articule en trois volets (stratégique, opérationnel, technique) et a vocation à s’enrichir progressivement.

En plus d’être menée et pilotée, la remédiation nécessite une préparation. La préparation à la remédiation permet de faciliter l'élaboration et l'exécution de la réponse à un incident de sécurité et fluidifie les conditions d'interventions d'équipe en charge de remédier à l'attaque. Cette préparation peut se faire en anticipation, avant que la détection d'un incident n'ait lieu et quand les équipes ne sont pas spécifiquement mobilisées; ou elle peut se faire lors de la réaction d'un incident détecté, dans un temps contraint et en amorce de la remédiation.

Ce document vient compléter le volet opérationnel de la remédiation. Il aide à la mise en œuvre ou à l'identification des actions citées parmi les activités du guide « Piloter la remédiation » de cette même collection (Piloter la remédiation | MesServicesCyber). Il s’appuie sur des retours opérationnels de l’ANSSI et il est aussi issu d’ateliers avec des prestataires en réponse à incident qui ont bien voulu partager leurs expériences.