🔎 Cyberveille

ette campagne malveillante vise des infrastructures critiques dédiées à la gestion des identités et des accès. Amazon Integrated Security a révélé, le 10 novembre 2025, qu’un acteur malveillant sophistiqué exploitait des failles zero-day dans des produits de Citrix et de Cisco. La campagne, en cours depuis au moins mai 2025, s’appuie sur deux vulnérabilités :

• CVE-2025-5777, surnommée « Citrix Bleed Two », rendue publique en juillet 2025 ;
• CVE-2025-20337, une faille affectant Cisco Identity Services Engine (ISE), découverte en juin 2025.

Selon CJ Moses, responsable de la sécurité informatique chez Amazon Integrated Security, cette campagne illustre une tendance croissante chez les cybercriminels : cibler les infrastructures critiques de gestion des identités et des accès, comme Cisco ISE.

La société de cybersécurité n’a pas précisé l’origine, les motivations ou les cibles de l’attaquant. CJ Moses estime toutefois que « l’identification de plusieurs exploits zero-day non publiés suppose un acteur malveillant disposant de ressources considérables, de capacités avancées en matière de recherche de vulnérabilités ou d’un accès à des informations non publiques sur les failles ».

Dans le cadre de l'opération de coopération judiciaire internationale ENDGAME lancée en mai 2024, de nouvelles actions de démantèlement ont été menées contre les infrastructures liées à des codes cybercriminels depuis la semaine du 3 novembre 2025.

Ces opérations ont impliqué les autorités allemandes, danoises, françaises, néerlandaises, américaines, australiennes et britanniques. Davantage d'informations sur l'opération sont disponibles dans les communiqués de l'OFAC, Europol et Eurojust. Dans le cadre de cette opération, l'ANSSI apporte son soutien pour l'identification et la notification des victimes et partage des recommandations de sécurité.

Les codes malveillants concernés (VenomRAT, Rhadamanthys et Elysium) peuvent servir de point d'entrée sur le système d'information des victimes pour exfiltrer des données et déployer d'autres codes malveillants comme des outils génériques offensifs et des rançongiciels. Pour cette raison, il est particulièrement important de procéder à des investigations complémentaires sur les SI dont une machine a été infectée, à la recherche de traces de latéralisation ou d'autres outils malveillants.

Le service en ligne d’auto-école Stych a annoncé ce 7 novembre avoir subi une cyberattaque. Certaines données personnelles de ses utilisateurs ont été dérobées : on vous explique tout.

Stych affirme être victime d’une cyberattaque Dans un mail envoyé ce vendredi 7 novembre à tous ses utilisateurs, Stych a informé « d’une récente violation de données qui a compromis certaines de vos informations personnelles. » La plateforme ne va pas plus loin dans ses explications, si ce n’est que « vos données bancaires, vos documents personnels et votre mot de passe n’ont pas été compromis lors de cet incident. » Stych précise avoir pris ses dispositions, renforcé ses mesures de sécurité et informé la CNIL.

L'opération Endgame d'Europol, à laquelle participe notamment la France, a encore frappé avec plus de 1 025 serveurs cybercriminels qui ont été démantelés ces derniers jours. Des centaines de milliers d'ordinateurs infectés étaient concernés à l'échelle mondiale.

Le fondateur de la messagerie chiffrée, mis en examen pour des infractions relevant du crime organisé, pourrait à nouveau voyager sans restrictions. Les mesures qui l’obligeaient à pointer régulièrement en France auraient été levées le 10 novembre dernier, selon un article de Bloomberg.

Après avoir fustigé une arrestation « absurde et sans fondement », ainsi qu’une « erreur de la police française », Pavel Durov a obtenu gain de cause. L’homme à la tête de la messagerie chiffrée Telegram serait désormais libre de ses mouvements. Les restrictions de voyages à l’étranger, et l’obligation de pointage deux fois par mois au commissariat de Nice, imposées par les autorités françaises, auraient été levées, selon un article de Bloomberg, ce jeudi 13 novembre.

Google intensifie sa lutte contre les cybercriminels chinois spécialisés dans le phishing. Le géant américain vient de saisir la justice afin de mettre un terme définitif aux activités de Lighthouse, une puissante plateforme chinoise ayant permis d’orchestrer des campagnes mondiales de phishing. Elle a notamment été utilisée pour pirater plus de 100 millions de cartes de crédit.

Google vient de lancer l’assaut à l’encontre de Lighthouse, une plateforme chinoise de phishing. Cette plateforme vend des outils très efficaces pour lancer des arnaques par SMS et par email. L’infrastructure de Lighthouse a notamment été utilisée dans des attaques d’envergures usurpant l’identité des systèmes de péages américains ou d’USPS, le service postal des États-Unis. La plateforme est surtout spécialisée dans le smishing, c’est-à-dire le phishing par SMS.

Palo Alto Networks alerte sur une vulnérabilité émergente appelée «Agent Session Smuggling», permettant à des attaquants d’intercepter les échanges entre agents IA et de détourner leurs sessions d’authentification.

...

Une menace propre aux systèmes d’agents IA Les systèmes A2A reposent sur des échanges automatisés entre agents qui exécutent des tâches pour le compte d’un utilisateur ou d’une application. Ces interactions, qui impliquent la gestion d’identités, de sessions et de permissions, sont encore peu encadrées sur le plan de la sécurité. Selon Unit 42, «l’Agent Session Smuggling permet à un acteur malveillant d’utiliser un agent compromis pour infiltrer la session d’un autre agent et exécuter des actions au nom de celui-ci».

Depuis le 10 octobre, le fonctionnement informatique des 269 lycées de la région est fortement perturbé suite à une importante cyberattaque. Ce mardi 11 novembre, un nouvel appel à la vigilance a été lancé aux parents d’élèves car des données personnelles ont fuité. ...

Même si les élèves ne sont pas en cours en ce jour férié, les suites de la cyberattaque visant la Région Hauts-de-France et ses 269 lycées continuent d’agiter le milieu scolaire.

Ce mardi 11 novembre, des parents d’élèves ont reçu via ProNote une communication du Président de Région et des recteurs des académies de Lille et Amiens pour appeler à la vigilance. En effet, suite à la cyberattaque lancée le 10 octobre, et revendiquée par le gang Qiling qui exigeait le paiement d’une rançon sous forme de cryptomonnaies, le fonctionnement informatique des lycées a été perturbé.

E. Les géants américains de la technologie multiplient les investissements massifs sur le continent. Ils ne cessent de mettre en avant leur apport à la souveraineté numérique. Mais il n’en est rien

Il devient compliqué de suivre le rythme, tant les annonces s’enchaînent à un rythme effréné. Jour après jour, les géants américains de la technologie multiplient les promesses d’investissements en Europe. A coups de dizaines de milliards de dollars, ils empilent les annonces pour les créations de nouveaux centres de données sur le continent. Ils ne se contentent pas de cela: souvent, ils les saupoudrent de déclarations enflammées pour le continent, assurant contribuer à sa souveraineté numérique. On va le voir, il s’agit d’un écran de fumée.

Une cyberattaque sur le logiciel Weda, très utilisé par les médecins, survenue dans la nuit du 10 au 11 novembre, ralentit le travail des professionnels de santé, notamment dans l’Eure et en Seine-Maritime. Une situation qui interpelle sur la dépendance numérique dans le domaine médical.

La saison 3 de l’opération Endgame est attendue pour ce jeudi 13 novembre 2025. Elle devrait s’inscrire dans la continuité des saisons précédentes qui avaient frappé plusieurs botnets dont l’activité était très fortement liée aux cyberattaques débouchant sur le déclenchement de rançongiciels. ... Les chercheurs Gi7w0rm et g0njxa ont fait état de nombreuses allégations de prise de contrôle des infrastructures de Rhadamanthys par des tiers – vraisemblablement des forces de l’ordre, notamment allemandes.

Selon g0njxa, un message a été adressé aux clients du cleptogiciel selon lequel « les agences internationales chargées de l'application de la loi ont désigné Rhadamanthys comme cible dans le cadre de l'opération Endgame

Berne, 13.11.2025 — Dès à présent, la population et les entreprises peuvent être alertées de graves cybermenaces via Alertswiss. L’Office fédéral de la cybersécurité (OFCS) et l’Office fédéral de la protection de la population (OFPP) ont renforcé leur collaboration. Des alertes relatives aux cybermenaces sont intégrées dans l’application et la plateforme web Alertswiss. Cela permet de disposer d’un canal supplémentaire pour informer et alerter la population le plus rapidement possible en cas de cyberattaques à grande échelle ou d’un genre nouveau, et pour la protéger en lui fournissant des conseils concrets sur les mesures à prendre.

Lors d’une cyberattaque à grande échelle, les premières heures et les mesures de protection préventives peuvent se révéler décisives. C’est pourquoi l’Office fédéral de la cybersécurité (OFCS) et l’Office fédéral de la protection de la population (OFPP) ont intensifié leur collaboration en matière d’alerte face aux cybermenaces. À l’avenir, l’OFCS utilisera Alterswiss, en plus de ses canaux établis, pour alerter la population et les entreprises en cas de cyberattaques de grande ampleur ou d’un genre nouveau. L’OFCS continuera de communiquer les cybermenaces du quotidien, comme les campagnes d’hameçonnage, sur ses canaux habituels pour sensibiliser et protéger continuellement la population.

Vous administrez les sites web d’une petite société ou d’une institution ?
Vous êtes sysadmin/webadmin ou responsable technique pour une petite structure, et vous cherchez un moyen simple d’être averti en cas de vulnérabilité sur vos serveurs ou logiciels ?
Bonne nouvelle : il existe une solution libre, open source Vulnerability Lookup.

🔍 C’est quoi Vulnerability Lookup ?

Vulnerability Lookup est un service développé par le CIRCL (Computer Incident Response Center Luxembourg).
C’est une plateforme libre et ouverte qui permet de chercher, consulter et comprendre des failles de sécurité informatiques connues (par exemple celles qui touchent des logiciels ou des systèmes).
Il agrège des données de multiples sources (comme le CERT FR, NVD, GitHub Security Advisories, etc.) pour offrir une plateforme centralisée de veille sur les vulnérabilités.

En plus de la recherche et de la veille, le projet encourage et facilite la disclosure responsable — c’est-à-dire le processus éthique par lequel un chercheur ou une entreprise signale une vulnérabilité de manière coordonnée et sécurisée, pour que celle-ci soit corrigée avant d’être rendue publique.

➡️ C’est comme un moteur de recherche pour les failles informatiques.
➡️ Il aide les entreprises, chercheurs et citoyens à savoir si un logiciel est vulnérable et quels risques cela représente.
➡️ Le tout est collaboratif et transparent, basé sur des données publiques comme les bases GCVE et CVE (Common Vulnerabilities and Exposures).

Et le meilleur : c’est open source 🧡
➡️ Code source : github.com/vulnerability-lookup/vulnerability-lookup
➡️ Instance publique hébergée et mise à disposition par circl.lu : cve.circl.lu

Vous pouvez donc :

• Utiliser directement l’instance publique du CIRCL https://cve.circl.lu/, en vous inscrivant, ou
• Déployer votre propre instance locale si vous préférez garder vos données internes chez vous.
  Aucune licence à payer, aucune solution propriétaire à acheter.

📬 Recevoir des notifications email sur les vulnérabilités

L’une des fonctionnalités les plus utiles : les notifications automatiques par email.
Cela vous permet d’être alerté dès qu’une nouvelle vulnérabilité touche un produit ou un composant que vous surveillez.

Voici comment faire :

1. Allez sur l’instance publique : https://cve.circl.lu/
2. Créez un compte (c’est gratuit).
3. Ajoutez les produits à surveiller — par exemple :
   • nginx, apache, wordpress, openssh, microsoft exchange, etc.
4. Activez les notifications par email :
   Suivez le guide officiel : https://www.vulnerability-lookup.org/user-manual/email-notification/
5. Vous recevrez désormais un mail à chaque nouvelle CVE correspondant à vos critères.

🧠 Une touche d’innovation : l’analyse VLAI et les “Sightings”

La plateforme innove aussi avec une approche d’évaluation intelligente appelée VLAI (Vulnerability Lookup Artificial Intelligence) — un système d’analyse assistée par IA qui aide à évaluer la gravité et le contexte d’une vulnérabilité.
Très pratique pour estimer la criticité d’une faille qui n’a pas encore reçu de score CVSS officiel, ou pour disposer d’un premier avis avant qu’une évaluation humaine ne soit publiée. 👉 En savoir plus : https://www.vulnerability-lookup.org/user-manual/ai/

Autre fonctionnalité intéressante : les Sightings.
Ils permettent de mesurer la popularité ou la visibilité d’une vulnérabilité en s’appuyant sur les articles, partages sur les réseaux sociaux et autres mentions publiques indexées par la plateforme.
En un coup d’œil, vous pouvez donc vous faire une idée de l’impact réel d’une faille et de l’attention qu’elle suscite dans la communauté.

💡 Pourquoi c’est intéressant ?

• Vous restez informé sans devoir scruter manuellement les flux CVE.
• Vous évitez de dépendre d’outils commerciaux souvent hors budget pour les petites structures.
• Vous pouvez intégrer les alertes dans vos process internes (via API, scripts, etc.).
• Vous bénéficiez d’un regard contextuel enrichi grâce à l’IA et aux Sightings.
• Et surtout : c’est fait pour la communauté 👐

Astuce bonus : si vous utilisez déjà un système de tickets ou un outil de monitoring, vous pouvez interconnecter les notifications via l’API pour un suivi automatique de vos vulnérabilités.

🛠️ Projet open source, docs et contributions

👉 https://www.vulnerability-lookup.org/
👉 https://github.com/vulnerability-lookup/vulnerability-lookup

La circulaire du 25 juillet 2025 consacre le déploiement de Tchap comme messagerie instantanée sécurisée de l’État. La Direction interministérielle du numérique (DINUM) franchit une nouvelle étape : elle officialise son soutien à la (Ouvre une nouvelle fenêtre)Fondation Matrix.org. La France devient le premier État à conclure un partenariat de ce niveau avec l’organisation.

Cette décision traduit la volonté de sécuriser l’avenir du protocole Matrix et de consolider un commun numérique européen sur lequel administrations et entreprises pourront s’appuyer dans la durée.

Cette annonce a été officialisée lors de la (Ouvre une nouvelle fenêtre)conférence Matrix, organisée du 15 au 18 octobre 2025 à Strasbourg. La DINUM y est intervenue aux côtés de la Fondation et d’acteurs internationaux.

Bruxelles réfléchirait à la possibilité d’interdire aux Etats-membres le recours aux technologies des équipementiers chinois Huawei et ZTE. Les recommandations émises en 2020 deviendraient alors force de loi.

Des chercheurs en sécurité de Datadog affirment que le logiciel malveillant Vidar était présent dans 23 versions du référentiel npm depuis deux semaines et recommandent de prendre des précautions pour se protéger.

Des codes malveillants continuent d'être téléchargés dans des référentiels open source, ce qui rend difficile pour les développeurs responsables de faire confiance à leur contenu et pour les RSSI aux applications qui incluent du code open source. Dernier exemple en date : la découverte par des chercheurs en sécurité de Datadog le mois dernier dans le référentiel npm de 17 paquets (23 versions) contenant un malware pour les systèmes Windows qui s'exécute via un script de post-installation. Usant de typosquatting, les paquets associés se font passer pour ceux d'aide aux bots Telegram, de bibliothèques d'icônes ou de forks apparemment légitimes de projets préexistants tels que Cursor et React.

Des analystes spécialisés dans la lutte contre les menaces ont découvert des similitudes entre un logiciel malveillant bancaire appelé Coyote et un programme malveillant récemment divulgué, baptisé Maverick, qui a été propagé via WhatsApp.

D’après un rapport de CyberProof, ces deux souches de logiciels malveillants sont écrites en .NET, ciblent les utilisateurs et les banques brésiliennes, et présentent des fonctionnalités identiques permettant de déchiffrer et de cibler les URL bancaires, ainsi que de surveiller les applications bancaires. Plus important encore, elles sont toutes deux capables de se propager via WhatsApp Web .

Le malware Maverick a été initialement documenté par Trend Micro au début du mois dernier, qui l’a attribué à un acteur malveillant se faisant appeler Water Saci . La campagne comporte deux volets : un malware auto-réplicatif nommé SORVEPOTEL, diffusé via la version web de WhatsApp et utilisé pour distribuer une archive ZIP contenant la charge utile Maverick.

Dans un récent rapport relayé par Forbes, Google met en garde contre les connexions WiFi gratuites et ouvertes. Ces réseaux, souvent non chiffrés, permettraient à n’importe qui de surveiller ou d’intercepter les données échangées : mots de passe, emails, numéros de carte bancaire…

Le géant américain rappelle que 94 % des utilisateurs d’Android ont déjà été exposés à une tentative d’attaque en ligne, notamment via des messages piégés ou des liens malveillants. Dans ce contexte, le WiFi public est une faille parfaite : “Ces réseaux peuvent être exploités très facilement par des attaquants“, explique Google.

...

quelques réflexes simples peuvent limiter les risques :

• vérifier le nom exact du réseau avant de se connecter ;
• éviter les sites sensibles (banques, impôts, espace santé, etc.) ;
• activer un VPN pour chiffrer la connexion ;
• désactiver le partage de fichiers ou AirDrop en public ;
• oublier le réseau après usage, pour éviter les connexions automatiques ultérieures.

• Vous refusez les cookies religieusement ? 60% d'entre vous ont quand même une empreinte numérique unique qui vous piste légalement partout
• Firefox 145 ment sur votre CPU et sabote vos polices : les nouvelles armes radicales contre le pistage que Chrome refuse toujours d'implémenter
• Votre carte graphique, votre façon de scroller et même votre carte son vous trahissent : le fingerprinting est devenu plus précis qu'un cookie et impossible à effacer

[🔒 paywall] C’est un dossier que l’on croyait enterré à jamais. Mais au contraire, il risque de ressurgir rapidement de manière éclatante. Le bannissement de l’équipementier télécom Huawei, mis en place entre 2018 et 2019 par les Etats-Unis, pourrait bientôt ricocher de manière spectaculaire en Europe, touchant aussi la Suisse. Bruxelles songerait à imposer l’exclusion de la firme chinoise de tous ses Etats membres. Une décision qui ne manquerait pas d’exercer une immense pression sur Swisscom, Sunrise et Salt, les trois opérateurs suisses étant clients de l’équipementier asiatique.

En comparaison du Patch Tuesday d'octobre 2025, ce nouveau Patch Tuesday semble bien maigre : il y a presque 3 fois moins de vulnérabilités corrigées ce mois-ci. Parmi elles, il y a tout de même 5 failles critiques :

• Microsoft Office : CVE-2025-62199
• Nuance PowerScribe : CVE-2025-30398
• Visual Studio : CVE-2025-62214
• Windows DirectX : CVE-2025-60716
• Windows GDI+ : CVE-2025-60724

Il est à noter que la nouvelle fonctionnalité Administrator Protection de Windows 11, destinée à renforcer la sécurité des privilèges administrateur, est affectée par une faille de sécurité importante (CVE-2025-60721) : "En exploitant cette vulnérabilité, un pirate pourrait obtenir des privilèges élevés équivalents à ceux d'un administrateur système, ce qui lui permettrait d'exécuter du code arbitraire avec une intégrité élevée et de contourner les protections administratives.", précise Microsoft.

11.11.2025 - De moins en moins de destinataires se laissent piéger par des e-mails non ciblés. Les e-mails de phishing évoluent donc constamment et les escrocs sont contraints de mener des attaques de plus en plus sophistiquées et ciblées. Au lieu d’envoyer un grand nombre d’e-mails impersonnels, les escrocs observent les thèmes sociaux ou économiques actuels et adaptent leurs tentatives en conséquence.

Les campagnes de phishing qui font référence à des institutions officielles ou dignes de confiance, telles que les autorités, les banques ou les caisses d’assurance maladie, sont particulièrement efficaces. À première vue, ces e-mails semblent crédibles, car ils utilisent des logos, des mises en page ou même des formulations qui nous sont familiers. Le choix des thèmes est également mûrement réfléchi. Les cryptomonnaies ou les dispositions fiscales, par exemple, sont des sujets réels mais souvent complexes. De nombreux destinataires sont dans l’incertitude et donc plus enclins à suivre les instructions.

Les collectivités publiques sont nombreuses à utiliser des outils informatiques fournis par des prestataires externes. Ces solutions utilisent de plus en plus souvent la technologie de l’informatique en nuage (« cloud computing » en anglais) – ce qui pose la question de leur compatibilité avec la législation sur la protection des données. L’article que j’ai co-rédigé avec Marie-Laure Percassi et qui a été publié dans la Jusletter 29 septembre 2025 montre que les solutions en nuage sont en principe admissibles du point de vue de la protection des données, mais que d’autres obstacles – surtout politiques – peuvent s’opposer à leur utilisation.

« Il n’y a pas une solution qui vous prémunisse à 100 % du risque d’être intercepté et écouté ». Voilà la mise en garde faite par le patron de la DGSE, les services secrets français. Nicolas Lerner évoquait à ce moment-là les applications de messagerie instantanée proposant du chiffrement de bout en bout. Mais est-ce qu’il faut pour autant les jeter à la poubelle ?

...

« Un téléphone, c’est un espion, un mouchard que vous avez dans votre poche. Donc, il faut considérer […] que ce que vous échangez dans votre téléphone, les conversations que vous avez, les messages que vous avez, peuvent être interceptés », a-t-il ajouté. Et donc, potentiellement accessibles à des tiers, notamment des services de renseignement.

Mais comment ? Pas en cassant les opérations mathématiques qui servent au chiffrement de bout en bout, mais en suivant une autre stratégie que l’on peut résumer en un proverbe : Si la porte est fermée, alors il faut passer par la fenêtre.

J’ai rejoint Europol, l’autorité de poursuite pénale de l’Union européenne, en 2018. À l’époque, je savais déjà que la criminalité organisée allait évoluer rapidement, mais je ne me doutais pas de la vitesse et de l’ampleur de cette évolution. En 2025, la cybercriminalité n’est plus un sujet marginal: elle constitue l’épine dorsale du crime organisé mondial. Chaque attaque de rançongiciel, chaque campagne d’hameçonnage et chaque transaction frauduleuse en cryptomonnaie la rendent encore plus lucrative et menacent la stabilité de notre société.

Il ressort du rapport d’Europol sur la cybercriminalité que les données constituent aujourd’hui la matière première de la criminalité: elles en sont à la fois la cible, l’outil et la marchandise. Ce qui a commencé par des attaques sporadiques de hackers s’est transformé en un écosystème hautement professionnalisé. Le vol de données est devenu le pilier du crime organisé, perpétré par des intermédiaires spécialisés qui achètent et vendent des accès à des systèmes compromis, voire proposent ces accès en location.