🔎 Cyberveille

Plusieurs campagnes d’espionnage ou à visée lucrative identifiées ces derniers mois reposaient sur l’exploitation très sophistiquée de vulnérabilités de téléphones d’Apple. La dernière repérée concerne les appareils équipés d’anciennes versions d’iOS (de iOS 18.4 à 18.7).

Entre lundi soir et mardi après-midi, des dizaines de milliers de messages électroniques ont été envoyés aux élus PLR, UDC et Vert'libéraux au Grand Conseil vaudois pour les inciter à voter en faveur de sanctions contre l'UEFA pour son inaction face à la Fédération israélienne de football.

Alerté, le secrétariat général du Grand Conseil a pu bloquer ces envois massifs. Une analyse est en cours auprès des services informatiques cantonaux.

Des messages électroniques, ils en reçoivent régulièrement, mais pas à ce rythme-là. En moins de 12 heures, certains élus de droite ont reçu plus de cent e-mails, avant que les services informatiques ne parviennent à bloquer les envois. Tous écrits avec le même objectif: demander aux députés de voter en faveur d’une résolution visant à sanctionner l’UEFA pour son inaction face à la Fédération israélienne de football. Une résolution rejetée.

À l’occasion de la première édition des Rencontres de l’Agence du Numérique en Santé (ANS), consacrée à la cybersécurité en santé, plus de 220 participants se sont réunis, à PariSanté Campus et à distance.

• CVE-2026-32746 : buffer overflow dans telnetd (GNU InetUtils) permet un shell root avant même le login, via un paquet SLC malformé, score CVSS 9.8, aucun patch dispo avant avril
• Deuxième faille critique en 2 mois sur le même daemon : la CVE-2026-24061 est déjà activement exploitée en production selon la CISA
• Telnet traîne partout (switchs Cisco, automates Siemens, imprimantes réseau) : bloquez le port 23 au firewall, isolez en VLAN, désactivez le service, car beaucoup d'équipements legacy ne supportent que telnet et pas SSH

Un nouveau rapport s’appuyant sur des renseignements exclusifs révèle comment le régime nord-coréen mobilise des milliers de professionnels experts de l’IT pour infiltrer des entreprises à travers le monde.

Tribune – Flare, leader du Threat Exposure Management, vient de publier une nouvelle étude en collaboration avec IBM X-Force, une équipe internationale d’experts composée de hackers, de spécialistes de la cyberdéfense, d’analystes du renseignement sur les menaces et de chercheurs en sécurité. Intitulé « Inside the North Korean Infiltrator » Threat », ce rapport offre un aperçu rare des opérations quotidiennes des informaticiens nord-coréens, aussi appellés “IT workers”. Il détaille les tactiques, techniques et procédures (TTP) qu’ils utilisent pour infiltrer des organisations, en Europe occidentale et en Amérique du Nord, afin d’en tirer des gains financiers tout en exfiltrant des données sensibles.

La Fédération Française de Rugby a été la cible d’une attaque informatique. Les investigations techniques menées à ce stade indiquent que l’incident de sécurité s’est produit à la suite d’une campagne de phishing (ou d’usurpation d’identité numérique) sur nos populations licenciées.

Shinyhunters a accédé à 900000 dossiers de la société de sécurité Aura. Les données ne comprennent ni mots de passe ni informations financières.

Le gang de rançongiciels Shinyhunters, connu pour le récent piratage d’Odido, frappe à nouveau. Les cybercriminels ont pénétré dans la société de sécurité Aura et ont obtenu un accès non autorisé à 900 000 dossiers. La majorité de ceux-ci se compose de noms et d’adresses e-mail provenant d’un outil de marketing que l’entreprise a acquis en 2021. La société fait état de moins de 20 000 données divulguées concernant des clients actifs d’Aura. Il s’agit d’adresses e-mail, de noms, de numéros de téléphone et d’adresses IP, comme le rapporte également Have I Been Pwned.

17.03.2026 - De plus en plus d’entreprises contactent l’OFCS après avoir reçu par e-mail des factures suspectes. Les messages contiennent généralement une pièce jointe au format ZIP, qui renferme elle-même un fichier HTML. À première vue, la facture affichée dans ce fichier paraît anodine : Aucun lien, rien de suspect, aucun indice de logiciel malveillant. Mais cette impression est trompeuse. La rétrospective hebdomadaire actuelle montre de manière frappante combien d’efforts les escrocs déploient pour dissimuler leurs attaques et inspirer confiance.

Alors que les arnaques par SMS continuent de se multiplier selon l’Arcep, une affaire récente jugée à Paris illustre un tournant dans les méthodes utilisées par les cybercriminels.

Loin des techniques classiques, certains groupes n’hésitent plus à exploiter des technologies habituellement réservées aux forces de l’ordre. Une évolution qui interroge sur l’accessibilité de ces équipements sensibles et sur la capacité des autorités à encadrer leur usage…

Des IMSI-catchers utilisés pour du phishing de masse Au coeur de cette affaire, on retrouve des dispositifs appelés IMSI-catchers, normalement utilisés par les services de renseignement pour intercepter des communications mobiles. Ces appareils agissent comme de fausses antennes relais, capables de se faire passer pour le réseau d’un opérateur afin de capter les téléphones à proximité.

Meta annonce qu'elle va mettre fin à la prise en charge de la messagerie chiffrée de bout en bout (E2EE) sur Instagram, annulant la garantie que seuls l'expéditeur et le destinataire puissent lire les messages

Meta a récemment annoncé qu'elle mettrait fin à la prise en charge de la messagerie chiffrée de bout en bout (E2EE) sur Instagram après le 8 mai 2026. Suite à ce changement, les messages envoyés sur la plateforme ne seront plus protégés de manière à garantir que seuls l'expéditeur et le destinataire puissent les lire. Selon Meta, peu d'utilisateurs ont adopté la fonctionnalité E2EE, qui n'a jamais été activée par défaut et n'était accessible que dans certaines régions. En conséquence, l'entreprise a décidé de supprimer complètement cette fonctionnalité.

Instagram est un réseau social américain de partage de photos et de courtes vidéos appartenant à Meta Platforms. Il permet aux utilisateurs de publier des contenus multimédias pouvant être modifiés à l'aide de filtres, classés par hashtags et associés à un lieu grâce au géomarquage. Les publications peuvent être partagées publiquement ou avec des abonnés préapprouvés. Les utilisateurs peuvent parcourir le contenu d'autres utilisateurs par tags et emplacements, consulter les contenus tendance, aimer des photos et suivre d'autres utilisateurs pour ajouter leur contenu à un fil d'actualité personnel.

En quelques mois, Jessica Foster est devenue une star d'Instagram auprès d'une Amérique conservatrice fascinée par cette jeune soldate patriote. Mais derrière les photos de bases militaires et de jets de combat se cachait en fait une création générée par IA conçue pour attirer les abonnés vers un faux compte OnlyFans.

Depuis l'été 2025, le botnet KadNap a compromis plus de 14 000 routeurs, majoritairement des modèles Asus. Détecté par Black Lotus Labs, ce malware utilise une architecture P2P pour masquer ses serveurs. Les appareils infectés sont transformés en proxies et loués sur une plateforme nommée Doppelganger pour mener des attaques DDoS ou par force brute.

Deux wiper et un passage par des instances vulnérables : le Cert polonais a documenté l’attaque informatique qui donne des sueurs froides au cyber-pompier français.

Une cyberattaque viserait la plateforme de billetterie Vivaticket (Tickeasy), utilisée par des milliers d’organisations culturelles et sportives. Des millions d’utilisateurs pourraient être concernés.

Depuis le début de la guerre, Téhéran multiplie les opérations de cyber malveillance visant Israël mais aussi des entreprises américaines. Le pays s’appuie sur un réseau de sous-traitants qui agit dans l’ombre pour déstabiliser ses adversaires mais aussi à des fins d’espionnage.

Treize des plus grands éditeurs américains, dont Hachette et Penguin Random House, attaquent en justice la bibliothèque fantôme Anna’s Archive pour violation massive du droit d'auteur. Mais le véritable enjeu dépasse ce cas : cette action en justice met en lumière la stratégie de Meta, qui revendique ouvertement le droit d'utiliser des millions de livres piratés, téléchargés via BitTorrent, pour entraîner ses modèles d'IA en invoquant le "fair use".

L’incident a contraint l’institution à suspendre son système de messagerie électronique. Le Parlement albanais a confirmé, le 10 mars 2026, avoir été victime d’une cyberattaque, qui l’a notamment contraint à suspendre son système de messagerie électronique. L’accès du personnel aux ordinateurs de l’institution a également été interrompu pendant plusieurs heures à la suite de l’incident. Les autorités albanaises n’ont pas publiquement attribué l’attaque, mais celle-ci a été revendiquée le même jour par le groupe pro-iranien Homeland Justice.

Des sociétés de cybersécurité ont relié ce collectif au Corps des gardiens de la révolution islamique (CGRI) iranien. Homeland Justice a revendiqué plusieurs attaques contre des cibles albanaises ces dernières années, en réaction à l’accueil par Tirana de membres du groupe d’opposition iranien Mujahedeen-e-Khalq (MEK).

e 13 mars 2026, Microsoft a publié hors cycle la mise à jour KB5084597 pour corriger trois vulnérabilités RCE dans le snap-in MMC (Microsoft Management Console) du service RRAS (Routing and Remote Access Service) : CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111.

Surface d’attaque et vecteur d’exploitation

La vulnérabilité réside dans le snap-in RRAS utilisé pour l’administration distante de serveurs. Le vecteur est côté client : c’est le poste d’administration qui est compromis, pas le serveur RRAS lui-même. Un attaquant authentifié sur le domaine doit inciter un utilisateur à initier une connexion depuis le snap-in RRAS vers un serveur malveillant sous son contrôle. L’exploitation abuse donc de la relation de confiance implicite entre le poste joint au domaine et le composant de gestion MMC lors de l’établissement de la session de management distant.

Microsoft a publié mardi des correctifs pour un ensemble de 84 nouvelles failles de sécurité affectant divers composants logiciels, dont deux étaient déjà connues du public.

Parmi ces vulnérabilités, huit sont jugées critiques et 76 importantes. Quarante-six des failles corrigées concernent l’élévation de privilèges, suivies de 18 exécutions de code à distance, 10 divulgations d’informations, quatre usurpations d’identité, quatre attaques par déni de service et deux contournements de mesures de sécurité.

Ces correctifs s’ajoutent aux 10 vulnérabilités qui ont été corrigées dans son navigateur Edge basé sur Chromium depuis la publication de la mise à jour Patch Tuesday de février 2026 .

Les deux vulnérabilités zero-day divulguées publiquement sont CVE-2026-26127 (score CVSS : 7,5), une vulnérabilité de déni de service dans .NET, et CVE-2026-21262 (score CVSS : 8,8), une vulnérabilité d’élévation de privilèges dans SQL Server.

Des criminels exploitent le nom du Théâtre de Bâle pour une arnaque sournoise mêlant rencontres en ligne et billetterie. Voici ce que l'on sait et comment s'en protéger.

...

Six victimes se sont manifestées auprès de la billetterie depuis janvier. Beaucoup n'ont probablement jamais mis les pieds au Theater Basel. Leurs histoires suivent toutes le même schéma: sur des plateformes de rencontres comme Bumble, elles font la connaissance d'une personne attirante. Celle-ci propose une sortie au théâtre pour un premier rendez-vous et demande à sa victime de se procurer deux billets pour un spectacle.

• Les chercheurs d’ESET ont identifié la réactivation de la capacité du Sednit à produire des implants avancés.
• Au cours de l’opération observée, un second implant développé par Sednit, BeardShell, a également été découvert.
• Entre 2025 et 2026, Sednit a déployé à plusieurs reprises BeardShell aux côtés de Covenant, un autre composant clé de son arsenal.
• Le groupe a profondément modifié ce framework open source afin de l’adapter à des opérations d’espionnage persistante et d’y intégrer un nouveau protocole réseau reposant sur un fournisseur cloud légitime.

Il y a environ un an, nous avons publié un article sur la technique ClickFix, qui devenait de plus en plus populaire parmi les cybercriminels. Le principe des attaques utilisant la technique ClickFix consiste à convaincre la victime, sous divers prétextes, d’exécuter une commande malveillante sur son ordinateur. Autrement dit, du point de vue des solutions de cybersécurité, la commande est exécuté au nom de l’utilisateur concerné et avec ses privilèges.

Lors des premières utilisations de cette technique, les cybercriminels tentaient de convaincre les victimes qu’elles devaient exécuter une commande pour résoudre un problème ou un captcha, et dans la grande majorité des cas, la commande malveillante était un script PowerShell. Cependant, depuis lors, les pirates informatiques ont trouvé une série de nouvelles ruses, que les utilisateurs devraient connaître, ainsi qu’un certain nombre de nouvelles variantes de diffusion de charges utiles malveillantes, qui méritent également d’être surveillées.

L'une des fonctionnalités les plus importantes de Google se cache derrière un simple paramètre. Voici où la trouver et comment elle peut vous aider.

Avec la sortie d'Android 16 l'année dernière, Google a déployé plusieurs paramètres de sécurité renforcés qu'il ne faut pas négliger. Le changement le plus important est sans doute la Protection avancée.

L'éditeur Veeam a publié une mise à jour de sécurité importante pour Veeam Backup & Replication. Elle corrige pas moins de 5 failles de sécurité, dont 3 qui sont classées comme critiques avec des scores CVSS flirtant avec la note maximale. Quels sont les risques ? Voici ce qu'il faut savoir.

Cinq vulnérabilités corrigées, dont trois critiques ! Ce nouveau bulletin de sécurité publié le 12 mars 2026 (KB4831) par Veeam référence 5 failles de sécurité affectant Veeam Backup & Replication 13. Parmi elles, trois vulnérabilités permettent une exécution de code à distance (RCE), ce qui ouvre la porte à la compromission de l'infrastructure de sauvegarde.

Il est à noter que toutes ces vulnérabilités ont un point commun : l'attaquant doit être authentifié pour envisager une exploitation. Néanmoins, les privilèges varient d'une faille à l'autre, parfois il faut simplement un compte sur le domaine Active Directory, tandis que parfois il faut un rôle spécifique au niveau de l'application.

Un agent IA a obtenu en moins de deux heures un accès étendu au chatbot GenAI utilisé par les 40’000 collaborateurs de McKinsey. L’outil a permis de consulter 46,5 millions de messages et des dizaines de milliers de comptes.