🔎 Cyberveille

Dans cet épisode spécial de Purple Voice, écrit par Victor ROCHERON, on plonge au cœur de l’une des sagas les plus marquantes du cybercrime moderne.

De The Comm à la campagne Salesforce 2025, on déroule la genèse et l’évolution de cette nébuleuse composée de jeunes hackers, experts

en social engineering et amateurs de célébrité numérique.

On explore :

les origines de The Comm et ses sous-cultures toxiques, les campagnes de ShinyHunters et Lapsus$, la montée en puissance de Scattered Spider, et la fusion explosive entre hack social, intrusion technique et ransomware russes.

Un épisode dense, documenté, et terriblement actuel.

Entre investigation, technique et analyse CTI, on vous emmène dans les coulisses d’une toile tissée entre Discord, GitHub et le Dark Web.

Selon Keystone-SDA rapporté par swissinfo.ch, des inconnus ont exploité une faille de sécurité dans un système géré par la police de Lucerne et également utilisé par la police cantonale de Schwytz, lequel gère et contrôle l’accès mobile aux téléphones professionnels des employés.

...

La Chancellerie d’État de Lucerne affirme qu’il n’y a jamais eu de danger pour les téléphones portables ni pour les systèmes internes, et que la préparation opérationnelle des corps n’a jamais été menacée.

Chronologie et mesures: la faille a été découverte le 31 octobre et corrigée le même jour. L’incident a été signalé à l’Office fédéral de la cybersécurité ainsi qu’aux délégués à la protection des données des cantons de Lucerne et de Schwytz. La police de Lucerne a déposé une plainte pénale contre inconnu.

🔗 Source originale : https://www.swissinfo.ch/ger/hacker-entwenden-personendaten-von-luzerner-und-schwyzer-polizisten/90414610

🔗 Sources annexes [DE] : https://www.20min.ch/story/kanton-luzern-und-schwyz-cyberangriff-auf-polizei-luzern-personendaten-in-fremden-haenden-103454754

https://www.inside-it.ch/luzern-und-schwyz-sicherheitsluecke-fuehrt-zu-datenabfluss-20251121

https://www.nau.ch/ort/luzern/hacker-entwenden-personendaten-von-luzerner-und-schwyzer-polizisten-67067892

Cl0p continue d’égrainer les victimes de sa dernière campagne industrielle de vol de données. Mais les ShinyHunters sont en embuscade, sur le point d’en revendiquer une grosse série.

...

Le collectif annonce l’ouverture d’une nouvelle vitrine pour le 24 novembre. Celle-ci « contiendra les données des campagnes Salesloft et GainSight, soit près de 1 000 organisations au total ». Toutes ne seront pas épinglées, selon ShinyHunters, seulement les plus notables, « principalement celles du classement Fortune 500 ». Et de désigner déjà « Verizon, Gitlab, F5, Sonicwall et d’autres ».

La situation vient de déraper sérieusement. Suite à un article du Parisien qualifiant GrapheneOS d’outil privilégié des narcotrafiquants, les développeurs de cet OS sécurisé ont pris une décision radicale. Ils annoncent leur départ immédiat de France et la migration de leurs serveurs hébergés chez OVH.

Des chercheurs ont découvert que des développeurs ont copier du code contenant des failles dans les principaux frameworks d'inférence de Meta, Microsoft, Nvidia et des projets open source.

...

« Ces vulnérabilités ont toutes la même cause initiale : l’usage non sécurisé et négligé de ZeroMQ(ZMQ) et de la désérialisation du module pickle de Python », a déclaré Avi Lumelsky, chercheur en sécurité chez Oligo. « En approfondissant nos enquêtes, nous avons découvert que des fichiers de code avaient été copiés d'un projet à l'autre (parfois ligne par ligne), transmettant ainsi des modèles dangereux d'un référentiel à l'autre. »

Nova Énergie n’a jamais pratiqué le démarchage téléphonique. Pourtant, depuis le 6 novembre 2025, une IA se fait passer pour elle et bombarde les particuliers d’appels automatiques.

...

Le mécanisme est bien rodé : une voix générée par IA appelle des dizaines de milliers de personnes et se présente comme un agent de Nova Énergie. À l’autre bout du fil, la conversation semble réelle. "La voix se présentait comme Thomas, de Nova Énergie. Il voulait savoir si j'étais éligible à des aides de l'État pour l'installation de panneaux solaires. C'est inquiétant !", témoigne Christophe, salarié de l'entreprise, qui a lui-même reçu deux appels suspects en provenance de deux numéros différents.

Les chercheurs de Jamf Threat Labs ont détecté ce nouveau malware distribué via un fichier déguisé en application légitime appelée "DynamicLake". L'attaque débute par un site frauduleux qui héberge un fichier DMG. Bon, d'emblée, l'infection initiale devrait nous mettre la puce à l'oreille puisqu'on nous demande de glisser un élément dans le Terminal. Évidemment, cette manipulation lance un script qui télécharge et exécute DigitStealer.​

Suite à un décret de Donald Trump contre la Cour pénale internationale (CPI), le juge français Nicolas Guillou n'a plus le droit d'accéder aux services numériques de certaines firmes américaines.

Après le chatbot Salesloft Drift, une autre application a été mise à profit pour accéder à des instances Salesforce.

...

Aux dernières nouvelles, Gainsight estime que 3 organisations ont été touchées. Ce n’est pas l’avis de Google/Mandiant, chargé d’enquêter : à l’en croire, plus de 200 instances ont potentiellement été affectées. La campagne est possiblement l’œuvre d’affiliés au collectif ShinyHunters.

Depuis plusieurs mois, une vaste campagne de phishing particulièrement vicieuse piège les clients d’hôtels à travers le monde. La force de cette opération ? Les assaillants connaissent l’établissement, les dates et même le prix exact de la réservation. Voici comment une telle arnaque a pu être mise en place.

Quimper, Ploërmel, Brest, Mauron, Josselin… Les signalements se multiplient en Bretagne. Des milliers d’habitants ont vu leurs données personnelles dérobées après une simple prise de rendez-vous en ligne pour refaire une pièce d’identité. L’ampleur de la fuite et ses conséquences pourraient être bien plus larges que prévu. On vous explique.

Les communes concernées utilisent un prestataire externe pour la prise de rendez-vous sur internet.

Ces prestataires, comme rdv360 ou Synbird, s’appuient eux-mêmes sur des logiciels via lesquels les habitants entrent directement leurs informations personnelles.

Suite aux vols de données, ce 18 novembre, la société Synbird a prévenu les personnes touchées et les invite à une vigilance maximale, notamment en cas de contact prétendant obtenir des données bancaires.

Une nouvelle faille de sécurité zero-day a été patchée dans FortiWeb : CVE-2025-58034. Activement exploitée par les cybercriminels, elle peut permettre d'exécuter des commandes sur FortiWeb dans des attaques ne nécessitant pas d'interaction d'un utilisateur. Faisons le point.

Il y a quelques jours, Fortinet a dévoilé une première faille de sécurité zero-day dans FortiWeb : CVE-2025-64446. Dans le sillage de cette première vulnérabilité, une seconde faille de sécurité zero-day a été patchée par l'éditeur américain. Il s'agit d'une faiblesse de type "injection de commande au niveau de l'OS" qu'un attaquant peut exploiter en étant authentifié.

Fortinet précise qu'elle peut "permettre à un attaquant authentifié d'exécuter du code non autorisé sur le système sous-jacent via des requêtes HTTP ou des commandes CLI spécialement conçues."

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Office fédéral allemand pour la sécurité de l’information (Bundesamt für Sicherheit in der Informationstechnik – BSI) publient une Déclaration commune sur les critères de souveraineté numérique du Cloud.

La publication souligne la nécessité pour l’Union européenne de renforcer sa souveraineté numérique face aux dépendances technologiques non européennes et aux risques associés (confidentialité, disponibilité, contrôle des infrastructures). Le BSI et l’ANSSI y présentent leur démarche commune : élaborer et promouvoir des normes et des cadres de cybersécurité robustes au niveau national et européen afin de garantir la sécurité, la résilience et la souveraineté de nos nations. Ils réaffirment leur engagement en faveur de la collaboration, de l'innovation et de la protection des valeurs européennes à l'ère numérique.

Un garage indépendant du Puy-de-Dôme réclame l’annulation de 72 000 euros dus après avoir été victime d’une cyberattaque sophistiquée. L’État le tient pour l’instant, responsable de fraudes à la carte grise qu’il n’a pourtant jamais commises.

Selon Reuters, l’Espagne va enquêter sur de possibles violations de la vie privée par Meta à l’égard des utilisateurs de Facebook et Instagram, après des recherches indiquant l’usage d’un mécanisme caché pour suivre l’activité web d’utilisateurs Android. Le Premier ministre Pedro Sanchez a affirmé que la loi prime sur tout algorithme ou plateforme, annonçant des conséquences en cas d’atteinte aux droits.

🔗 Source originale : https://www.reuters.com/world/spain-investigate-meta-over-suspected-violation-user-privacy-2025-11-19/

Le fournisseur d’infrastructure Cloudflare a présenté ses excuses aprèsune panne d’une ampleur rare survenue le 18 novembre 2025 et ayant affecté de nombreux sites majeurs comme ChatGPT, X ou bien encore des portails d’entreprise. L’incident, qui a duré plusieurs heures, n’était pourtant pas le fruit d’une attaque mais d’une défaillance logicielle liée à la gestion des bots.

Une erreur logicielle au cœur de la panne Contrairement aux premières spéculations, Cloudflare affirme qu’il ne s’agissait pas d’une attaque DDoS, mais d’une « erreur douloureuse » issue d’une mise à jour logicielle. Une modification des permissions dans une base de données ClickHouse a généré des lignes dupliquées dans un fichier de configuration utilisé par son système Bot Management. Résultat : ce « feature file » a doublé de taille, dépassant les limites prévues et provoquant des dysfonctionnements dans le routage du trafic.

La Commission européenne propose un nouveau paquet numérique (Digital Omnibus) visant à simplifier les règles sur l’IA, la cybersécurité et la gestion des données. Objectif affiché: réduire les coûts administratifs et favoriser l’innovation dans les entreprises.

La Commission européenne a présenté un ensemble de mesures numériques destiné à simplifier les obligations administratives des entreprises tout en facilitant leur accès aux données. Ce paquet numérique comprend notamment un dispositif réglementaire simplifié et une stratégie pour un espace commun des données. L’exécutif européen évalue les économies potentielles à 5 milliards d’euros d’ici 2029 et jusqu’à 150 milliards d’euros par an avec l’adoption des portefeuilles numériques.

Un incident de cybersécurité a été identifié chez Eurofiber France le 13 novembre 2025.

La situation est sous contrôle : les systèmes ont été sécurisés, la faille corrigée et des mesures renforcées sont en place. Nous restons pleinement mobilisés pour accompagner nos clients.

Eurofiber France annonce qu’un incident de cybersécurité a été détecté le 13 novembre 2025. Il concerne la plateforme de gestion des tickets utilisée par Eurofiber France et ses marques régionales (Eurafibre, FullSave, Netiwan, Avelia), ainsi que le portail client ATE, qui correspond à la division cloud d’Eurofiber France opérant sous la marque Eurofiber Cloud Infra France. Une vulnérabilité logicielle de cette plateforme a été exploitée par un acteur malveillant, entraînant l’exfiltration de données liées à ces plateformes.

Dans un communiqué publié sur son site le 17 novembre, l'Union de recouvrement des cotisations de sécurité sociale et d'allocations familiales a reconnu avoir été ciblée par "un acte de cybermalveillance". L'alerte a été donnée à la Cnil et à l'Anssi et une plainte pénale sera bientôt déposée.

Dans un entretien accordé au média américain The Record, Kamel Ghali, expert en cybersécurité automobile, dresse un état des lieux de ce qu’il est possible de pirater dans une voiture connectée. Évoquant à la fois des attaques concrètes, les motivations des hackers et les risques théoriques les plus extrêmes, l’expert aide à mieux appréhender un sujet souvent fantasmé. ... Selon l’expert Kamel Ghali, il est impératif que les constructeurs automobiles adoptent des systèmes de sécurité comparables à ceux en vigueur dans l’informatique d’entreprise. L’une des exigences les plus critiques est la segmentation du réseau embarqué. ... A ce sujet, l’affaire des « Kia Boyz » aux États-Unis a fortement marqué l’actualité cyber automobile. Une vague de vols sans précédent avait éclaté en raison de l’absence d’antidémarrage sur certains modèles Hyundai et Kia. La maison mère, Hyundai, avait alors réagi en organisant des ateliers mobiles de réparation et en invitant les conducteurs à se rendre chez leur concessionnaire. Une mise à jour gratuite avait été déployée pour résoudre ce défaut de sécurité, démontrant que la maintenance logicielle est désormais à prendre en considération autant que la maintenance mécanique.

Des chercheurs ont trouvé un moyen de tester plus de 100 millions de numéros de téléphone par heure sur les serveurs de WhatsApp afin de confirmer 3,5 milliards de comptes associés. Le problème a été signalé à Meta et est déjà corrigé.

Vous pouvez partager un article en cliquant sur les icônes de partage en haut à droite de celui-ci. La reproduction totale ou partielle d’un article, sans l’autorisation écrite et préalable du Monde, est strictement interdite. Pour plus d’informations, consultez nos conditions générales de vente. Pour toute demande d’autorisation, contactez syndication@lemonde.fr. En tant qu’abonné, vous pouvez offrir jusqu’à cinq articles par mois à l’un de vos proches grâce à la fonctionnalité « Offrir un article ».

https://www.lemonde.fr/pixels/article/2025/11/18/une-panne-chez-cloudflare-met-a-l-arret-une-partie-du-web-mondial_6653889_4408996.html

« Les services Cloudflare fonctionnent normalement », a annoncé mardi 18 novembre l’entreprise sur son site. Une importante panne de Cloudflare, un service fournissant des protections contre les attaques informatiques et facilitant l’affichage des sites Web, a mis à l’arrêt plusieurs heures une partie du Web mondial. « Une enquête complète et des informations détaillées sur l’incident seront communiquées dès que possible », est-il précisé.

Berne, 18.11.2025 — Le dernier rapport semestriel de l’Office fédéral de la cybersécurité (OFCS) montre que, durant les six premiers mois de l’année 2025, le nombre d’annonces de cyberincidents est resté stable, à un niveau élevé. Plus de la moitié d’entre elles concernaient des tentatives d’escroquerie, qui sont donc encore et toujours d’actualité. Une nette hausse des annonces est notamment constatée dans le domaine des escroqueries à l’investissement en ligne via des publicités, où les cyberpirates usurpent souvent l’identité de personnalités pour gagner la confiance de leurs potentielles victimes. Le rapport met en outre l’accent sur diverses campagnes d’hameçonnage ciblées contre la clientèle des banques, la menace persistante liée aux attaques par rançongiciel et les activités relevant du cyberactivisme lors de grandes manifestations telles que le WEF ou le Concours Eurovision de la chanson.

...

Attaques par rançongiciel et chantage informatique Les attaques par rançongiciel, et donc la menace d’une diffusion de données volées sur un réseau superposé à internet (darknet), constituent encore et toujours un défi de taille. L’année dernière durant la même période, l’OFCS avait enregistré 44 annonces, alors qu’au premier semestre 2025, il en a compté 57, principalement de la part d’organisations et d’entreprises. Au cours des derniers mois, les attaques du groupe de pirates informatiques AKIRA se sont par exemple intensifiées. Depuis avril 2024, le Ministère public de la Confédération conduit une procédure pénale contre inconnu à la suite de plusieurs attaques par rançongiciel ayant visé des entreprises suisses entre mai 2023 et septembre 2025.

Le 24 octobre 2025, une attaque DDoS d’une ampleur inédite a déferlé sur un point de terminaison public situé en Australie, au sein du cloud Azure. Cette attaque, d’une puissance remarquable, a rapidement été identifiée comme un événement historique dans le domaine de la cybersécurité. La cyberattaque a mobilisé un volume de trafic sans précédent et a mis en lumière la capacité des infrastructures cloud face à des assauts d’une telle violence.

Particulièrement actif depuis un an, l’enseigne a su recruter des acteurs qui s’en prennent désormais aux environnements virtualisés Nutanix, et plus seulement ESXi ou Hyper-V. Leurs cibles favorites ? Les PME.