🔎 Cyberveille

Une nouvelle faille de sécurité importante a été corrigée dans PAN-OS, le système utilisé par les firewalls de chez Palo Alto Networks. Quels sont les risques ? Comment se protéger ? Voici l'essentiel à savoir.

Le mercredi 14 janvier 2026, une nouvelle vulnérabilité importante, estampillée CVE-2026-0227 (score CVSS de 7.7 sur 10), a été dévoilée par Palo Alto Networks au travers d'un bulletin de sécurité. Elle affecte le système PAN-OS des firewalls Palo Alto (Next-Gen Firewall) et Prisma Access.

En exploitant cette faille de sécurité, un attaquant distant non authentifié peut causer un déni de service sur le pare-feu. Cela signifie que le firewall est susceptible de redémarrer. Le pire, c'est que des tentatives d'exploitation répétées pourront faire entrer le firewall en mode maintenance, ce qui le rend inactif. Pour l'entreprise, ce comportement est synonyme d'interruptions de service.

L'entreprise Mandiant, filiale de Google, vient de lâcher une bombe : des rainbow tables de 8 To permettant de casser n'importe quel hash de mots de passe NTLMv1. Ce protocole obsolète est pourtant encore très utilisé dans les environnements Windows.

Jeudi 15 janvier 2026, la société Mandiant a publié sur Google Cloud une rainbow table spécifiquement conçue pour s'attaquer au hash Net-NTLMv1. Concrètement, cette base permet à n'importe qui, autant aux défenseurs qu'aux attaquants, de retrouver un mot de passe en clair à partir de son empreinte en moins de 12 heures.

Pour cela, il n'est pas nécessaire de disposer d'un supercalculateur : du matériel grand public, facile à se procurer et abordable (moins de 600 dollars) suffit amplement. Mandiant n'a pas donné d'exemple de matériel.

Mandiant précise : "En publiant ces tables, Mandiant vise à abaisser la barrière pour que les professionnels de la sécurité puissent démontrer l'insécurité de Net-NTLMv1. Bien que des outils pour exploiter ce protocole existent depuis des années, ils nécessitaient souvent le téléchargement de données sensibles vers des services tiers ou du matériel coûteux pour forcer les clés par brute-force."___

Le chef présumé de Black Basta a été démasqué lors d’une vaste opération de police en Ukraine. Le ressortissant russe est activement recherché par les forces de l’ordre.

Avec l’appui d’Europol et d’Interpol, les forces de l’ordre ukrainiennes et allemandes ont mené une opération d’envergure à l’encontre de Black Basta, l’un des plus redoutables gangs de l’industrie du ransomware. Spécialisé dans la double extorsion, le gang est impliqué dans plus de 600 cyberattaques à l’encontre de grandes entreprises. Le groupuscule est apparu en 2022 et est considéré comme l’un des principaux héritiers de Conti, un ancien mastodonte du ransomware, qui a disparu quelques années plus tôt. Dans le sillage de la guerre en Ukraine, Conti s’est en effet disloqué sous la pression de luttes intestines. Notez que Conti était déjà né sur les centres du gang Ryuk, disparu en 2020.

À Bayonne, un employé municipal a profité d'ordinateurs laissés ouverts et sans surveillance pour détourner près de 3 millions d’euros sur plusieurs années. Une affaire édifiante qui rappelle à quel point une simple négligence numérique peut avoir de lourdes conséquences.

Un couple de retraités a été enlevé à Sallanches par des malfaiteurs réclamant une rançon de 8 millions d'euros en cryptomonnaies. Il s'agit du quatrième enlèvement de ce type en 2026, une affaire désormais traitée par le nouveau Parquet national anticriminalité organisée (PNACO). Cette série d'attaques accentue la pression sur les détenteurs de crypto-actifs en France.

La France fait face à une nouvelle forme de criminalité organisée. Dans la nuit du 14 au 15 janvier 2026, un couple de retraités a été kidnappé à son domicile de Sallanches, en Haute-Savoie. Les ravisseurs, manifestement bien informés, ont rapidement exigé une rançon de huit millions d'euros en cryptomonnaies, ciblant en réalité leur fils, un professionnel reconnu du secteur des actifs numériques.

Les noms, numéros de téléphone, adresses électroniques et postales de ces jeunes titulaires de cette carte dans la région sont désormais vendus sur le dark web.

Le site de la carte avantage jeunes de Bourgogne-Franche-Comté, une carte donnant accès à différentes réductions aux jeunes de moins de 30 ans dans la région, a été victime d'une cyberattaque il y a une dizaine de jours, et les données personnelles de dizaines de milliers de jeunes sont désormais proposées à la vente sur le dark web, a appris lundi 19 janvier ICI Bourgogne(Nouvelle fenêtre), auprès de l'association gestionnaire de cette carte, le Centre régional d'information jeunesse (CRIJ).

Au total, 282 906 noms, numéros de téléphone, adresses électroniques et postales de titulaires de cette carte dans la région sont désormais proposés à la vente sur le dark web par un certain "HexDex2". Pour prouver la réussite de sa cyberattaque, le hacker a publié une première liste de données. Parmi les personnes concernées dans la liste se trouvent plusieurs mineurs. Selon le CRIJ, la fuite ne concerne en réalité qu'environ 100 000 personnes. "Nous avons environ 95 000 jeunes qui ont la carte tous les ans. Dans les données qui ont fuité, on a des doublons. Il y a des noms qui reviennent jusqu'à quatre fois" explique-t-on.

Les derniers correctifs de sécurité ayant transformé des PC fonctionnels en machines bloquées

À force de multiplier les couches de sécurité et les correctifs mensuels, Microsoft semble avoir franchi une ligne rouge. Les dernières mises à jour de sécurité de Windows 11 ont provoqué des dysfonctionnements suffisamment graves pour empêcher certains PC de s’éteindre correctement ou même de laisser leurs utilisateurs se connecter. Un incident majeur, qui a contraint l’éditeur à publier en urgence des mises à jour hors calendrier, révélant une fragilité structurelle de plus en plus difficile à ignorer.

L’affaire aurait pu rester cantonnée à un bogue technique de plus, rapidement corrigé. Mais cette fois, les symptômes touchent au cœur même de l’expérience utilisateur. Un système d’exploitation qui ne s’éteint plus normalement, ou qui bloque à l’écran de connexion, cesse tout simplement de remplir sa mission première. Pour les particuliers, cela se traduit par de la frustration et des manipulations risquées comme l’arrêt forcé. Pour les entreprises, c’est un scénario autrement plus critique, avec des postes immobilisés, des utilisateurs bloqués et des équipes IT mises sous pression.

La direction interministérielle du numérique (DINUM) a détecté le 9/01/26 une intrusion sur (Ouvre une nouvelle fenêtre)HubEE, plateforme d'échange de documents qu'elle opère au bénéfice de plusieurs administrations pour leurs démarches en ligne, notamment certaines proposées sur (Ouvre une nouvelle fenêtre)service-public.gouv.fr.

Dès le 9/01/26, des mesures conservatoires ont immédiatement été mises en place pour bloquer l'attaquant. Les équipes techniques de la DINUM se sont aussitôt mobilisées pour renforcer les mécanismes d'authentification et de surveillance des flux avant de rétablir pleinement le service dès le 12/01/26.

Les travaux menés ont permis d'identifier et de caractériser les données exfiltrées par l'attaquant, de l'ordre de 70 000 dossiers représentant un total de 160 000 documents, contenant pour certains des données personnelles. Une notification a été effectuée auprès de la CNIL et l'information des utilisateurs s'organise avec les administrations concernées.

La Direction de l’immobilier de l’État a été visée par une cyberattaque. L’attaque a obligé le gouvernement à suspendre son portail immobilier jusqu’à nouvel ordre. Les investigations sont en cours.

La Direction de l’immobilier de l’État indique avoir subi une cyberattaque. Le service de l’État qui définit et pilote la politique immobilière de l’État français explique avoir enregistré « un incident de cybersécurité » sur son « portail immobilier ». Ce portail donne accès « aux applications informatiques de la direction de l’immobilier de l’État ». L’incident a eu lieu dans le courant de la semaine dernière.

Une fois n’est pas coutume, la cyberattaque ne s’est pas soldée par un vol de données. Comme l’indique la Direction de l’immobilier de l’État, « aucun vol de données n’a été identifié » par ses équipes. Le portail du service regorge de données de gestion du parc immobilier public, et comprend des inventaires de biens, des informations comptables ou encore des données foncières.

Fuites de données (Eurail, la FFT, Instagram et BreachForums), Microsoft Patch Tuesday corrigeant 113 failles dont une activement exploitée, hôpital belge paralysé par une cyberattaque, évasion de VM ESXi documentée, Cloudflare menace de quitter l'Italie, etc.

Ça s'appelle OGhidra , et c'est une extension qui fait le pont entre le célèbre framework de reverse engineering Ghidra et la puissance des modèles de langage (LLM).

Comme ça, plutôt que de vous péter les yeux sur des milliers de lignes de code décompilé, vous pouvez simplement "discuter" avec les fonctions ou les strings extraites. Grâce à une intégration avec Ollama, OGhidra permet d'interroger les représentations du binaire en langage naturel pour identifier des vulnérabilités, renommer intelligemment des fonctions ou expliquer des algorithmes complexes. Attention toutefois, comme avec tout LLM, les résultats doivent être validés manuellement (les hallucinations, ça arrive même aux meilleurs !).

Le gros avantage ici, vous l'aurez compris, c'est la privacy car tout tourne en local sur votre ordi. L'extension utilise des techniques comme le RAG (Retrieval-Augmented Generation) pour garder le contexte de vos sessions et le CAG (Cache-Augmented Generation) pour optimiser les performances. Prévoyez quand même une machine solide car pour faire tourner des modèles comme gemma3 confortablement, 32 Go de RAM (et une bonne dose de VRAM) ne seront pas de trop.

Caché dans des dossiers ZIP, le malware Gootloader parvient à tromper la vigilance des solutions antivirus pour infecter nos appareils.

...

Il semblerait que le groupe de pirates à l'origine de Gootloader collabore avec un autre acteur malveillant, Vanilla Tempest, auteur du ransomware Rhysida. La méthode de distribution du malware s'effectue par fichier ZIP, ce qui joue un rôle crucial pour échapper à la détection. “L'archive ZIP utilisée dans les campagnes Gootloader actuelles est volontairement corrompue. La plupart des logiciels de décompression, comme 7-Zip et WinRAR, ne parviennent pas à analyser ou extraire correctement son contenu. Cependant, le gestionnaire ZIP intégré à Windows l'ouvre sans problème, permettant ainsi aux cibles d'exécuter le fichier JScript intégré”, explique Expel.

C’est un véritable jeu du chat et de la souris. Comme les solutions de cybersécurité sont de plus en plus performantes pour détecter les liens malveillants dans les e-mails, des cybercriminels tentent de piéger leurs cibles avec des QR codes. Cette variante du phishing, appelée quishing, consiste à envoyer un code à scanner par la cible, à la place d’un lien traditionnel, afin de déjouer les systèmes de protection.

Mais, comme les développeurs de ces systèmes sont aussi réactifs, des cybercriminels utilisent déjà une autre parade : au lieu d’envoyer le QR code malveillant sous forme d’image, ils dessinent celui-ci en utilisant du code HTML.

Pour éviter toute propagation de l'infection, le groupe a déconnecté une partie de ses serveurs, ce qui a rendu les sites de plusieurs de ses filiales inaccessibles. Kyowon, l’un des plus importants conglomérats de Corée du Sud, a confirmé, le 11 janvier 2026, être victime d’une attaque par rançongiciel. Actif à l’origine dans l’édition et l’éducation, le groupe s’est diversifié, notamment dans les loisirs, l’hôtellerie et les services à la vie quotidienne. Le 10 janvier au matin, ses équipes informatiques ont identifié une activité anormale sur les SI du conglomérat. Pour éviter toute propagation, Kyowon a alors déclenché un plan d’urgence, en isolant les serveurs affectés.

Les détails du piratage du ministère de l’Intérieur commencent à émerger. Ce mardi 13 janvier, Laurent Nuñez, auditionné au Sénat, a en effet donné de nouveaux détails sur cette cyberattaque qui a secoué son ministère à la mi-décembre

Tout avait commencé, selon l’état actuel des investigations, le 25 novembre 2025. La direction générale de la police nationale réalise que des boîtes mails de ses agents, les seuls concernés par l’intrusion, ont été compromises. Des fonctionnaires signalent en effet ne plus pouvoir accéder à leur messagerie après un changement de mot de passe. La façon dont leur messagerie a été comprise n’a pas été détaillée.

Comme la Place Beauvau, qui va mettre sur le dossier son centre de cyberdéfense, et l’Anssi vont le comprendre ensuite, l’attaquant ne se contente pas de prendre la main sur les mails. Il effectue une cinquantaine de recherches autour de différents mots clés, comme « secret », « mot de passe » ou des noms d’applications. Une technique fructueuse, puisqu’il retrouve alors dans des messages des mots de passe échangés en clair.

À l’issue d’une consultation publique, la CNIL publie ses recommandations sur le recueil du consentement multi-terminaux (cross-device). L’objectif est d’aider les acteurs à recueillir un consentement conforme aux exigences du RGPD.

Face aux offensives numériques attribuées aux Russes et aux Chinois, l’Alliance muscle sa défense. A Tallinn, 36 pays ont participé à l’exercice Cyber Coalition 2025. Objectif : renforcer la coopération et la réactivité.

Le 4 décembre, c’est l’effervescence d’une ruche à l’intérieur du massif immeuble postsoviétique abritant le centre d’excellence cyber CR14 du ministère de la Défense estonien, à Tallinn, capitale du pays. En ce septième et dernier jour d’exercice, dans la salle de commandement aux tentures beiges donnant un faux air d’abri militaire, s’activent quelque 200 gradés, dont les nuances de treillis marquent le cosmopolitisme. Concentrés, les traits tirés par la fatigue accumulée, les coordinateurs nationaux de 36 pays, chacun dans un box séparé par de minces cloisons affichant son drapeau, vérifient que la simulation, préparée depuis plus d’un an, se déroule sans accrocs. Bienvenue à la Cyber Coalition 2025, la dernière édition de l’exercice annuel de cyberdéfense de l’Otan.

Fortinet a publié des mises à jour pour corriger une faille de sécurité critique affectant FortiSIEM qui pourrait permettre à un attaquant non authentifié d’exécuter du code sur des instances vulnérables.

La vulnérabilité d’injection du système d’exploitation (OS), référencée sous le nom CVE-2025-64155 , est notée 9,4 sur 10,0 sur le système de notation CVSS.

Une fuite de données sensibles touche la France. Des pirates sont parvenus à mettre la main sur les plans techniques de plusieurs prisons françaises, d’une base militaire et de certaines grandes entreprises. Les données ont été mises en vente sur le dark web.

Fin 2025, DCE Conseil, une société de conseil en ingénierie du bâtiment, spécialisée dans l’énergie et les installations techniques, a été victime d’un incident de sécurité, rapporte Le Point. Le compte cloud d’un ingénieur commercial de la société a été compromis, vraisemblablement à l’aide d’identifiants volés. Grâce à ces données d’authentification, des pirates se sont connectés au système et ont exfiltré 844 Go de fichiers sensibles

Relais Colis confirme avoir été victime d’une cyberattaque. Des données personnelles ont été compromises par des pirates, ce qui risque d’aboutir à une explosion des arnaques à la livraison de colis en France.

Relais Colis indique avoir été victime d’une fuite de données. Le transporteur français révèle que l’un de ses « prestataires techniques » a subi « un incident de sécurité informatique ». Suite à cet incident, « certaines données à caractère personnel » ont été compromises. Les données affectées comprennent le nom et prénom, l’adresse e-mail, et le numéro de téléphone des utilisateurs.

« Aucune donnée bancaire, aucun mot de passe, ni aucune information de paiement ou donnée sensible ne sont concernés par cet incident », rassure Relais Colis dans le mail adressé à ses utilisateurs.

Cette initiative intervient dans le sillage du scandale entourant Grok, l’outil d’IA associé au réseau social X, accusé d’avoir produit des images deepfake représentant des femmes et des enfants dénudés. Face à l’indignation internationale, xAI, la société mère de Grok, a annoncé jeudi 15 janvier avoir désactivé la fonctionnalité permettant la génération de telles images.

« Ces systèmes devraient être interdits sur le marché européen », écrivent les législateurs dans une lettre consultée par Euractiv. Ils y font référence à Grok et à d’autres outils basés sur l’IA qui permettent aux utilisateurs de générer des images intimes manipulées. Selon eux, ces outils facilitaient la violence en ligne fondée sur le genre et la création de contenus pédopornographiques.

« Il n’est pas clair si ces systèmes sont actuellement interdits sur le marché européen, ce qui laisse des lacunes juridiques », poursuivent les législateurs.

Si avec Copilot, Microsoft promet une interaction fluide et sécurisée entre l’utilisateur et son environnement Windows, cette relation de confiance peut aussi devenir un angle d’attaque.

En effet, une découverte récente d’une vulnérabilité particulièrement sournoise, capable d’exploiter Copilot sans éveiller le moindre soupçon.

La faille, révélée par les chercheurs de Varonis Threat Labs et baptisée « Reprompt« , repose sur un principe simple : détourner le fonctionnement interne de Copilot à partir d’un lien parfaitement légitime.

Tout commence par un e-mail ou un message contenant une URL pointant vers Copilot, hébergée sur un domaine Microsoft authentique, sans rien d’anormal en apparence.

Une fois le lien ouvert, une requête préconfigurée se lance automatiquement dans la session Copilot de la victime, sans action manuelle. Cette requête contient alors des instructions invisibles, conçues pour contourner les garde-fous de l’assistant.

Copilot se retrouve alors à exécuter des ordres qui ne s’affichent pas à l’écran, tout en conservant un accès complet aux données liées à la session de l’utilisateur déjà authentifié.

Après l’Ukraine, le réseau satellitaire dirigé par l’homme le plus riche de la planète devient capital en Iran. Ce moyen de communication est un enjeu géostratégique majeur, et il prend aussi de l’importance au niveau économique Agrandir l'image

Pour contrecarrer la censure en place et envoyer des images et vidéos de la répression sur les réseaux sociaux, la solution la plus utilisée reste les cartes sim étrangères, mais des récepteurs Starlink sont également présents sur le terrain. Des brouilleurs précis à la manoeuvre

Mais comme le relève l'expert en tech de défense Mehdi Yahyanejad dans The Times of Israel, le trafic vers Starlink a chuté de plus de 80% dans le pays, témoignant de mesures prises par le régime pour mettre un terme à ces utilisations.

Pour réussir leur coup, les autorités iraniennes ne font pas que chercher les récepteurs physiques, ils utilisent des brouilleurs très précis qui viennent interférer avec les fréquences utilisées par Starlink.

Pour sa 4e édition, le Capture the flag « Passe ton hack d'abord » porté par le Comcyber avec le soutien du ministère de l'Education nationale vise à réunir sur le territoire 10 000 lycéens et étudiants de BTS et de classes préparatoires. Du 19 janvier au 6 février 2026, ils devront résoudre une série d'épreuves à distance en tant que cyber-combattants.