🔎 Cyberveille

Les collectivités publiques sont nombreuses à utiliser des outils informatiques fournis par des prestataires externes. Ces solutions utilisent de plus en plus souvent la technologie de l’informatique en nuage (« cloud computing » en anglais) – ce qui pose la question de leur compatibilité avec la législation sur la protection des données. L’article que j’ai co-rédigé avec Marie-Laure Percassi et qui a été publié dans la Jusletter 29 septembre 2025 montre que les solutions en nuage sont en principe admissibles du point de vue de la protection des données, mais que d’autres obstacles – surtout politiques – peuvent s’opposer à leur utilisation.

« Il n’y a pas une solution qui vous prémunisse à 100 % du risque d’être intercepté et écouté ». Voilà la mise en garde faite par le patron de la DGSE, les services secrets français. Nicolas Lerner évoquait à ce moment-là les applications de messagerie instantanée proposant du chiffrement de bout en bout. Mais est-ce qu’il faut pour autant les jeter à la poubelle ?

...

« Un téléphone, c’est un espion, un mouchard que vous avez dans votre poche. Donc, il faut considérer […] que ce que vous échangez dans votre téléphone, les conversations que vous avez, les messages que vous avez, peuvent être interceptés », a-t-il ajouté. Et donc, potentiellement accessibles à des tiers, notamment des services de renseignement.

Mais comment ? Pas en cassant les opérations mathématiques qui servent au chiffrement de bout en bout, mais en suivant une autre stratégie que l’on peut résumer en un proverbe : Si la porte est fermée, alors il faut passer par la fenêtre.

J’ai rejoint Europol, l’autorité de poursuite pénale de l’Union européenne, en 2018. À l’époque, je savais déjà que la criminalité organisée allait évoluer rapidement, mais je ne me doutais pas de la vitesse et de l’ampleur de cette évolution. En 2025, la cybercriminalité n’est plus un sujet marginal: elle constitue l’épine dorsale du crime organisé mondial. Chaque attaque de rançongiciel, chaque campagne d’hameçonnage et chaque transaction frauduleuse en cryptomonnaie la rendent encore plus lucrative et menacent la stabilité de notre société.

Il ressort du rapport d’Europol sur la cybercriminalité que les données constituent aujourd’hui la matière première de la criminalité: elles en sont à la fois la cible, l’outil et la marchandise. Ce qui a commencé par des attaques sporadiques de hackers s’est transformé en un écosystème hautement professionnalisé. Le vol de données est devenu le pilier du crime organisé, perpétré par des intermédiaires spécialisés qui achètent et vendent des accès à des systèmes compromis, voire proposent ces accès en location.

Cinq personnes ont été interpellées lors du démantèlement d'un réseau criminel international de vol de voitures à l'aide d'enceintes connectées trafiquées, a annoncé la gendarmerie, dimanche 9 novembre. Ces cinq individus ont été interpellés en Ile-de-France, en Eure-et-Loir et dans le Gard. Des opérations ont également été conduites en Italie.

Selon BleepingComputer, une faille critique affecte la bibliothèque JavaScript expr-eval, découverte par le chercheur Jangwoo Choe et suivie sous l’identifiant CVE-2025-12735, avec une sévérité notée 9,8 par la CISA.

Produits concernés et impact: la faille touche expr-eval (version stable publiée il y a 6 ans) et son fork activement maintenu expr-eval-fork. La bibliothèque compte plus de 800 000 téléchargements hebdomadaires sur NPM (expr-eval) et 80 000 pour le fork, et est utilisée dans plus de 250 projets, notamment des calculateurs en ligne, outils éducatifs, simulateurs, outils financiers et certains systèmes IA/NLP.

Correctif: un correctif est disponible dans expr-eval-fork v3.0.0, avec mise en place d’une liste d’autorisation de fonctions sûres, d’un système d’enregistrement de fonctions personnalisées et d’une couverture de tests améliorée. Pour le paquet expr-eval original, un pull request implémente la correction mais les mainteneurs restent inactifs et il est incertain quand une nouvelle version sera publiée.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/

Informations sur la vulnérabilité: https://cve.circl.lu/vuln/CVE-2025-12735

Selon Endor Labs, une vulnérabilité critique d’injection SQL, CVE-2025-64459 (CVSS v3.1: 9.1), affecte le framework web Python Django. Sont concernés Django 6.0 (beta), 5.2, 5.1 et 4.2 (et potentiellement des versions plus anciennes). Des correctifs sont disponibles dans Django 5.2.8, 5.1.14 et 4.2.26.

Le problème survient lorsque des applications passent des entrées utilisateur directement à des méthodes QuerySet (filter(), exclude(), get()) via l’expansion de dictionnaire. Des attaquants peuvent injecter les paramètres internes de Django — _connector (AND/OR/XOR) et _negated (inversion booléenne) — pour manipuler la logique SQL, entraînant accès non autorisé, contournement d’authentification et élévation de privilèges, parfois sans authentification préalable.

...

Mesures et détection proposées par l’article :

• Mise à jour immédiate vers 5.2.8, 5.1.14 ou 4.2.26 et déploiement en production.
• Revue de code des motifs vulnérables (expansion de request.GET/POST vers QuerySet).
• Bonnes pratiques : validation via Django Forms, liste blanche de paramètres, mappage explicite des champs.
• Détection : recherche de _connector et _negated dans les journaux, revue des événements d’authentification et des accès inhabituels; tests automatisés rejetant ces paramètres; usage d’outils (ex. Endor Labs) et CI/CD avec surveillance continue.

🔗 Source originale : https://www.endorlabs.com/learn/critical-sql-injection-vulnerability-in-django-cve-2025-64459

Informations sur la vulnérabilité: https://cve.circl.lu/vuln/CVE-2025-64459

Selon BleepingComputer, trois vulnérabilités nouvellement divulguées affectent le runtime de conteneurs runC, utilisé par Docker et Kubernetes.

Trois failles critiques dans runC (Docker / Kubernetes) permettent d’échapper au conteneur Des vulnérabilités dévoilées cette semaine dans runC — le runtime de conteneurs de référence OCI utilisé par Docker et Kubernetes — peuvent permettre à un attaquant d’obtenir des accès en écriture au système hôte avec les privilèges root si elles sont exploitées. Les CVE sont CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881 ; des correctifs sont inclus dans runC versions 1.2.8, 1.3.3, 1.4.0-rc.3 et ultérieures (CVE-2025-31133 & CVE-2025-52881 affectent toutes les versions ; CVE-2025-52565 impacte runC 1.0.0-rc3 et suivantes).

...

L’article met l’accent sur la gravité potentielle de ces vulnérabilités, compte tenu de la place de runC dans les déploiements de conteneurs, et souligne le risque d’élévation d’accès au-delà du conteneur.

Ambassadeur des Etats-Unis en Israël de 2017 à 2021, lors du premier mandat de son ex-client Donald Trump, cet ancien avocat a été nommé pour incarner le projet de renaissance de l'éditeur du logiciel Pegasus sur le sol américain. Il dit être prêt à faire jouer ses relations pour obtenir des contrats avec des agences gouvernementales.

Le constructeur taïwanais QNAP vient de publier une salve de correctifs de sécurité destinée à patcher 7 failles zero-day sur ses NAS ! Il s'agit de vulnérabilités découvertes et exploitées lors de la compétition de hacking Pwn2Own Ireland 2025.

Ces failles de sécurité affectent les systèmes d'exploitation pour NAS QNAP, à savoir QTS et QuTS hero et plusieurs applications phares qu'il est possible d'installer sur les NAS de la marque. Les 7 vulnérabilités exploitées publiquement lors du concours Pwn2Own Ireland 2025 sont les suivantes :

• QTS / QuTS Hero : CVE-2025-62847, CVE-2025-62848, CVE-2025-62849
• Hyper Data Protector : CVE-2025-59389
• Malware Remover : CVE-2025-11837
• HBS 3 Hybrid Backup Sync : CVE-2025-62840, CVE-2025-62842

• Hyundai AutoEver America a subi une cyberattaque majeure entre le 22 février et le 2 mars 2025, compromettant ses systèmes nord-américains.
• Des données sensibles, comme des numéros de Sécurité sociale et des permis de conduire, pourraient avoir été dérobées, touchant potentiellement des millions de clients.
• En réponse, Hyundai a renforcé ses réseaux, mobilisé des experts externes et alerte les utilisateurs sur la nécessité de protéger leur identité et surveiller leurs comptes.

Le Bureau du budget du Congrès américain (CBO) a confirmé un incident de cybersécurité important, à la suite d'une intrusion présumée d'acteurs étrangers dans son réseau. Cette intrusion a potentiellement exposé des données sensibles, ce qui a incité l'agence non partisane à prendre des mesures immédiates. Selon certaines informations, les responsables auraient découvert récemment le piratage, ce qui soulève des inquiétudes quant à la possible compromission d'e-mails et de communications confidentiels entre les bureaux du Congrès et les analystes du CBO.

Le Congressional Budget Office (CBO), ou Bureau du budget du Congrès américain, est une agence fédérale américaine faisant partie de la branche législative du gouvernement fédéral des États-Unis. En ce qui concerne les prévisions de dépenses du budget fédéral des États-Unis par le Congrès des États-Unis, le CBO joue un rôle similaire au Joint Committee on Taxation (qui estime les revenus futurs du Congrès) et au département du Trésor des États-Unis (qui estime les revenus futurs de la branche exécutive (en) du gouvernement américain). Le CBO, en tant que conseil budgétaire, s'occupe également d'établir les effets de la dette nationale américaine.

Les cyberattaques paralysant les services publics ou induisant la divulgation de données sensibles sont susceptibles d’ébranler la confiance de la population envers l’administration. Des incidents survenus par le passé et une enquête menée en 2025 par l’association « Ma Commune » montrent que de nombreuses communes pourraient encore mieux se préparer aux cyberattaques. Par conséquent, l’OFCS a lancé un projet en collaboration avec son réseau de partenaires pour améliorer de manière simple et pratique la cyberrésilience des communes et organisations suisses. Dans ce contexte, un modèle de concept d’urgence a été élaboré, comprenant des outils concrets.

Information de présentation - Maîtriser une crise informatique: le plan d’urgence comme clé de la cyberrésilience

• Le ministère autrichien de l'économie a migré vers une plateforme Nextcloud.
• Il s'agit de la dernière mesure en date d'une tendance européenne à se détourner de la Big Tech.
• Les gouvernements et les agences européennes veulent contrôler les données sensibles.

Des chercheurs en cybersécurité ont découvert neuf paquets malveillants disséminés dans la bibliothèque de codes NuGet. Certains de ces pièges, destinés à compromettre les projets des développeurs qui les téléchargent, ont été programmés pour délivrer la charge offensive parfois plusieurs années après leur création. Explications.

La liste des paquets malveillants concernés par cette affaire sont les suivants :

• MyDbRepository (Dernière mise à jour : 13 mai 2023)
• MCDbRepository (Dernière mise à jour : 5 juin 2024)
• Sharp7Extend (Dernière mise à jour : 14 août 2024)
• SqlDbRepository (Dernière mise à jour : 24 octobre 2024)
• SqlRepository (Dernière mise à jour : 25 octobre 2024)
• Test SqlUnicornCore (Dernière mise à jour : 26 octobre 2024)
• SqlUnicornCore (Dernière mise à jour : 26 octobre 2024)
• SqlUnicorn.Core (Dernière mise à jour : 27 octobre 2024)
• Dépôt SQLite (Dernière mise à jour : 28 octobre 2024)

Le 31 octobre dernier, Archive.today a posté sur X un lien vers une injonction faite au bureau d'enregistrement de son nom de domaine Tucows. Celle-ci demande au registrar canadien (un des plus importants dans le monde) de transmettre toutes les données relatives au client qui détient archive.today.

...

Le site permet à un utilisateur d'archiver une page qui pourra ensuite être consultée par d'autres. Ce mécanisme est massivement utilisé par des internautes pour passer outre les paywalls des différents médias. Sur sa page de FAQ, on peut y lire qu'il utilise Apache Hadoop et Apache Accumulo et que « toutes les données sont stockées sur HDFS, le contenu textuel est dupliqué trois fois entre les serveurs de différents centres de données et les images sont dupliquées deux fois ». Et selon cette même page, « tous les datacenters sont situés en Europe » (peut-être chez OVH). Mais aucune mention légale n'apparait concernant le responsable du site.

Le service Have I Been Pwned (HIBP) de l'expert en cybersécurité Troy Hunt a ajouté à sa base une énorme collection de données fuitées. Elles ont été fournies par la société Synthient et proviennent d'une vaste compilation de listes de credential stuffing circulant dans la nature.

...

Troy Hunt précise que sur les 1,3 milliard de mots de passe, 625 millions étaient totalement nouveaux. L'ampleur est telle que 2,9 millions d'abonnés HIBP sur un total de 5,9 millions ont été notifiés de leur présence dans la fuite.

...

Face à la panique potentielle, Troy Hunt a tenu à clarifier un point : il ne s'agit absolument pas d'une faille de sécurité chez Google. Bien que l'ensemble contienne 394 millions d'adresses Gmail uniques, cela représente 20 % du total des adresses, qui proviennent de 32 millions de domaines de messagerie différents. ...

Source : BleepingComputer — Cisco avertit que deux vulnérabilités déjà exploitées en zero-day contre ses pare-feux ASA/FTD (CVE-2025-20362 et CVE-2025-20333) sont désormais utilisées pour provoquer des redémarrages en boucle, entraînant des dénis de service. La CISA a émis une directive d’urgence pour les agences fédérales américaines.

• Vulnérabilités et impact: les failles CVE-2025-20362 (accès non authentifié à des endpoints URL restreints) et CVE-2025-20333 (RCE après authentification) peuvent, en chaîne, donner un contrôle total des systèmes non patchés. Un nouvel artéfact d’attaque observé le 5 novembre 2025 force des redémarrages inattendus des appareils, causant un DoS.

...

Pour contourner ce problème, pas mal d’utilisateurs utilisent Flyoobe, un petit outil devenu super populaire. Ce programme, qui s’appelait avant Flyby11, permet d’installer Windows 11 même sur des machines qui ne respectent pas les exigences de Microsoft. En gros, il enlève les blocages et laisse faire l’installation comme si de rien n’était.

Le logiciel est gratuit et dispo sur GitHub, avec son code source ouvert, donc tout le monde peut vérifier ce qu’il fait. Ce succès attire aussi des gens malintentionnés, certains ont créé un faux site qui ressemble à l’officiel pour piéger les internautes et leur faire télécharger une version trafiquée. Ce faux site propose une version modifiée du logiciel, qui peut contenir des programmes malveillants.

Une campagne d’espionnage d’envergure a exploité une vulnérabilité critique sur les Galaxy S22, S23 et S24 pendant près d’un an. Le pire ? L’infection pouvait se faire sans que vous cliquiez sur quoi que ce soit.

Les chercheurs de Palo Alto Networks viennent de parler publiquement l’existence de « Landfall », un logiciel espion Android qui a ciblé spécifiquement les téléphones Samsung Galaxy entre juillet 2024 et février 2025.

04.11.2025 - L’OFCS a reçu plusieurs signalements de personnes qui ont tout à coup reçu un SMS plusieurs mois après le vol ou la perte de leur iPhone pour les informer que leur appareil avait été localisé à l’étranger. Ces messages font croire aux victimes qu’elles vont récupérer leur téléphone, mais il s’agit en réalité d’une tentative pour obtenir l’accès aux données de l’identifiant Apple. Notre rétrospective hebdomadaire examine ces cas de plus près.

La Suisse prise en étau dans une guerre avec des dommages catastrophiques. Des cyberattaques massives contre les infrastructures ferroviaires et hospitalières. C'est le scénario imaginé par la Confédération pour un exercice de sécurité nationale mené sur deux jours. Cet exercice de simulation de cyberattaques, d'ampleur inédite et gardé secret, s'est achevé vendredi soir et visait à évaluer la capacité du pays à résister à des menaces hybrides.

Toutes les couches politiques ont été concernées: le Conseil fédéral, le Parlement, les 26 cantons et 5 villes ont ainsi participé. C'est la première fois que la collaboration de crise est testée avec les cantons mais aussi des organisations scientifiques, la Migros, les CFF et plusieurs hôpitaux, avec un scénario jugé plausible face à la menace de cyberattaques en Suisse.

Le Washington Post a déclaré qu'il faisait partie des victimes d'une vaste atteinte à la sécurité informatique liée au logiciel Oracle ORCL.N .

Dans un communiqué publié jeudi, le journal a déclaré qu'il était l'un de ceux qui ont été touchés "par la violation de la plate-forme Oracle E-Business Suite". Le journal n'a pas fourni d'autres détails, mais sa déclaration intervient après que CL0P, le célèbre groupe de ransomware, a déclaré sur son site web que le Washington Post faisait partie de ses victimes. CL0P n'a pas répondu aux demandes de commentaires. Oracle a renvoyé Reuters à une paire d' avis de sécurité publiés le mois dernier. Les pirates informatiques à la recherche de rançons font généralement connaître leurs victimes afin de leur faire honte et de les obliger à payer l'extorsion, et CL0P est l'un des plus prolifiques au monde. L'équipe de pirates serait au centre d'une vaste campagne cybercriminelle visant la suite d'applications E-Business d'Oracle , que les clients d'Oracle utilisent pour gérer les clients, les fournisseurs, la fabrication, la logistique et d'autres processus d'entreprise.

Le Bureau du budget du Congrès, organisme non partisan chargé de la comptabilité des législateurs américains, a été piraté par un « acteur étranger ». L’attaque laisse craindre une fuite des projections à long terme du budget américain à des puissances étrangères. L’incident de sécurité serait toujours « en cours » et les membres du Congrès américain ont été appelés à la plus grande vigilance.

C’est une menace silencieuse, mais de plus en plus pressante, qui plane sur nos données personnelles. Depuis plusieurs mois, les fuites d’informations ne sont plus uniquement le fruit de cyberattaques dirigées contre des plateformes : elles naissent désormais au cœur même de nos ordinateurs, sous l’effet des infostealers, ces logiciels espions qui subtilisent identifiants et mots de passe dans l’ombre.

Fin octobre, des experts en cybersécurité révélaient que 183 millions d’adresses emails avaient été compromises lors d’une fuite massive survenue au printemps. Quelques jours plus tard, l’opérateur français France Travail confirmait l’exposition de données sensibles concernant 31.000 demandeurs d’emploi. En août, un cybercriminel affirmait avoir mis la main sur une base contenant 15 millions de comptes PayPal, issue d’une nouvelle fuite. Deux mois auparavant, des chercheurs dévoilaient la compromission de 16 milliards d’identifiants provenant des services en ligne les plus fréquentés. En février 2024 encore, des milliers de comptes d’allocataires de la CAF étaient piratés.

Europol tire la sonnette d’alarme face à l’explosion des arnaques au faux numéro. L’agence européenne de police met en garde contre la montée fulgurante du « spoofing » d’identifiant d’appelant, une technique qui permet aux escrocs de faire apparaître un numéro de confiance sur le téléphone de leurs victimes. Cette fraude coûte déjà plus de 850 millions d’euros par an en Europe.

Europol alerte sur l’explosion des escroqueries liées au « spoofing » d’identifiant d’appelant. Cette tactique criminelle permet aux fraudeurs de faire apparaître un faux numéro sur le téléphone de leurs victimes. En règle générale, les pirates usurpent le numéro de téléphone d’une banque, d’un proche, d’un service de police ou encore d’une entreprise connue, comme un opérateur télécom ou un service public. Le procédé permet d’endormir la méfiance de la cible.