🔎 Cyberveille

• Un agent IA a vidé la plateforme Lilli de McKinsey en 2h : 46,5 millions de messages en clair, 728 000 fichiers clients et accès en écriture à la base de données, via une injection SQL classique sur un endpoint non authentifié.
• La faille existait depuis 2023 sur une plateforme utilisée par 70% des 40 000 consultants de McKinsey (500 000 requêtes/mois), mais les scanners OWASP ZAP l'ont ratée parce qu'ils testaient les valeurs des paramètres, pas les noms de champs.
• Les 95 prompts système contrôlant le chatbot étaient modifiables en écriture : suffisait d'une requête SQL UPDATE pour empoisonner les réponses à tous les utilisateurs sans laisser de trace. Résumé généré par IA

Un agent IA autonome a percé les défenses de Lilli, la plateforme d'intelligence artificielle interne de McKinsey, c'est arrivé en à peine deux heures. Au programme : 46,5 millions de messages en clair, 728 000 fichiers clients et un accès en écriture à l'ensemble de la base de données. Le tout sans aucun identifiant.

Proton Mail est souvent présenté comme le service mail le plus respectueux de la vie privée. C’est globalement vrai, mais une affaire récente aux États-Unis rappelle que confidentialité et anonymat sont deux choses très différentes. En janvier 2024, le FBI a réussi à identifier la personne derrière un compte Proton Mail lié au mouvement « Stop Cop City » à Atlanta, grâce à des données de paiement transmises par les autorités suisses. Voici ce qu’il faut en retenir.

Comment le FBI a remonté jusqu’au compte Le compte defendtheatlantaforest@protonmail.com était l’adresse publique du groupe Defend the Atlanta Forest (DTAF), affiché sur leur page Facebook et leur blog. Le FBI a sollicité Proton via un MLAT, un traité d’entraide judiciaire entre pays, en passant par les autorités suisses. Proton, soumis au droit suisse, a répondu à cette injonction légalement contraignante en transmettant les données de paiement associées au compte. Ces données ont suffi à identifier le titulaire de la carte bancaire utilisée pour payer l’abonnement.

Proton a tenu à préciser qu’il n’a pas répondu directement au FBI, mais à une ordonnance des autorités suisses, après vérification que les conditions légales suisses étaient remplies. La distinction est réelle sur le plan juridique. Dans les faits, les données sont quand même arrivées au FBI.

Un bot alimenté a utilisé les GitHub Actions pour compromettre des dépôts GitHub. Ironie du sort, il a piraté un scanner de sécurité (vulnérabilité, mauvaises configurations…), publié une extension VS Code malveillante et renommé le dépôt (en privé).

Il y a maintenant plus de sept ans que GitHub propose ses « Actions » pour automatiser des tâches, dont la mise en production automatique de code. On parle souvent de CI/CD avec CI pour Continuous Integration (intégration continue) et CD pour Continuous Deployment (déploiement continu).

La semaine dernière, un bot baptisé hackerbot-claw a utilisé l’intelligence artificielle générative (Claude Opus 4.5 selon sa propre présentation) pour exploiter activement la fonctionnalité GitHub Actions afin de faire des dégâts dans des dépôts GitHub.

Avec le kit Coruna, l’exploitation de vulnérabilités inédites dans iOS a basculé d’un modèle d’espionnage ciblé vers une menace de masse.

Google Threat Intelligence Group (GTIG) a identifié le kit Coruna, intégrant 23 exploits pour des vulnérabilités ayant affecté les versions iOS 13.0 à 17.2.1. Selon Google, « Coruna illustre à nouveau la manière dont les capacités sophistiquées de piratage peuvent proliférer », conduisant à une transition de l’espionnage vers l’usage criminel opportuniste. Les entreprises sont désormais concernées par ce risque de compromission de masse, où les capacités d’États-nations sont désormais susceptibles d’être vendues sur un marché de l’occasion des vulnérabilités inédites.

Si un acteur externe a pu accéder à certaines informations professionnelles liées à la gestion des équipements mobiles, les autorités assurent qu’aucune donnée des citoyens n’est concernée.

L’incident détecté au sein du Centre des technologies de l’information de l’État (CTIE), survenu à la fin du mois de février, refait parler de lui en cette fin de semaine. Pour rappel, un logiciel malveillant sur le système gérant les smartphones et tablettes du CTIE avait été détecté.

Des chercheurs de la société Acronis ont décortiqué une campagne malveillante ciblant des civils israéliens via une version corrompue de Red Alert, l’application officielle d’avertissement en cas de tirs de roquettes. En Israël, les applications mobiles complètent depuis plusieurs années les sirènes diffusées à travers le territoire pour prévenir la population en cas de tirs de roquettes.

Parmi elles, l’app Red Alert ou « Tseva Adom » en hébreu, est devenue une solution incontournable pour recevoir des notifications en temps réel dès qu’une attaque est détectée. Elle compte des millions de téléchargements.

De nouvelles recherches d’Infoblox Threat Intel montrent comment des cybercriminels détournent un élément fondamental d’Internet pour contourner de nombreux contrôles de sécurité actuels.

Les attaques de phishing sont omniprésentes, mais leurs méthodes suivent généralement des schémas et tendances bien identifiés. Une étude menée par Infoblox Threat Intel met cependant en lumière une nouvelle méthode utilisée par des cybercriminels pour cibler leurs victimes.

Ces campagnes malveillantes utilisent une technique inédite, jusqu’alors non documentée, pour contourner les dispositifs de sécurité. Elle consiste à exploiter une partie de l’espace de noms de domaine réservée à l’infrastructure d’Internet afin de diffuser du phishing via du spam. Les acteurs malveillants créent des tunnels IPv6, puis utilisent des enregistrements DNS inversés pour héberger des sites frauduleux. Cette approche, à la fois déroutante et efficace, passe facilement sous les radars, car ces enregistrements DNS sont hébergés dans le TLD .arpa, rarement surveillé par les solutions de sécurité.

Certains utilisateurs reçoivent des emails les alertant d'une intrusion sur leur compte LastPass. Il s'agit en fait d'une tentative de phishing visant à subtiliser vos données, et notamment votre mot de passe principal. Votre compte LastPass a-t-il été compromis ? La plateforme annonce qu'une nouvelle campagne d'hameçonnage (phishing) est en train de viser ses utilisateurs. Celle-ci a débuté aux alentours du 1ᵉʳ mars 2026 et est toujours active au moment auquel ces lignes sont écrites. Des pirates envoient de faux emails qui imitent ceux de LastPass pour faire croire qu'une autre personne tente d'effectuer des actions non autorisées sur le compte LastPass, comme l'exportation du coffre-fort, la récupération complète du compte, ou l'enregistrement d'un nouvel appareil de confiance.

Le tribunal judiciaire de Paris a, pour la première fois, rendu un opérateur télécom responsable d’une arnaque bancaire visant l’un de ses clients. Le numéro utilisé, qui était celui de la banque de la victime, aurait dû être bloqué par ce dernier. La victime ne doit cependant pas faire preuve de négligence grave – comme valider des opérations de paiement au lieu de les annuler – pour récupérer ses deniers envolés.

Les victimes de faux conseillers bancaires, qui voient leurs économies s’envoler en quelques secondes, doivent souvent entamer un long processus judiciaire pour tenter d’obtenir un remboursement. Si ces dernières s’adressent en priorité à leur banque, une décision de justice, datant du 15 janvier dernier, a, pour la première fois, aussi mis en cause l’opérateur télécom. La raison ? Ce dernier n’a pas arrêté à temps un appel frauduleux usurpant le numéro d’une banque.

Le service de livraison de fleurs Florajet a été victime d'une cyberattaque massive. Les données de plus de 1,4 million de commandes, incluant noms, adresses, numéros de téléphone et surtout les messages personnels, ont été dérobées. Cette fuite expose les clients à des risques de phishing, d'usurpation d'identité et de chantage.

Un site web conçu pour ressembler à une page de sécurité de compte Google distribue ce qui pourrait être l'un des kits de surveillance basés sur navigateur les plus complets que nous ayons observés à ce jour.

Sous couvert d'un contrôle de sécurité de routine, il guide les victimes à travers un processus en quatre étapes qui permet à l'attaquant d'accéder aux notifications push, à la liste de contacts de l'appareil, à la localisation GPS en temps réel et au contenu du presse-papiers, le tout sans installer d'application traditionnelle.

Pour les victimes qui suivent toutes les instructions, le site fournit également un package Android présentant un implant natif qui comprend un clavier personnalisé (permettant la capture des frappes), des capacités de lecture d'écran basées sur l'accessibilité et des autorisations compatibles avec l'accès au journal des appels et l'enregistrement du microphone.

L'infrastructure utilise un seul domaine de commande et de contrôle, google-prism[.]com. Le domaine est acheminé via le réseau de diffusion de contenu de Cloudflare, un service largement utilisé par les sites légitimes et malveillants.

Des escrocs recouvrent les codes QR des stations de recharge de voitures électriques pour obtenir les données de cartes de crédit des victimes. Un touriste suisse en a été victime deux fois - en Ecosse et en Norvège. En 2024, un couple de Landquart (GR) s'est rendu en Ecosse. Un soir, l'homme a voulu recharger la batterie de leur voiture électrique à une station de recharge dans la cour arrière de l'hôtel. Cette démarche se fait via l'application de différents fournisseurs, avec des cartes de recharge spéciales ou directement avec la carte de crédit à la borne de recharge.

Google a déjoué une vaste opération mondiale de cyberespionnage. Orchestrée par des hackers chinois financés par Pékin, l’attaque a permis de pirater au moins 53 organisations dans 42 pays. Les pirates ont exploité Google Sheets pour rester invisible pendant une longue période.

Google révèle avoir démantelé une vaste opération d’espionnage liée à la Chine. L’opération a permis à des hackers chinois d’infiltrer au moins 53 organisations dans 42 pays différents. Derrière la campagne, on trouve un gang connu sous le nom d’UNC2814, aussi appelé « Gallium ». Financé par Pékin, le groupe criminel est actif depuis 2017. Il s’est spécialisé dans l’espionnage de cibles stratégiques pour le pouvoir chinois, en priorité des opérateurs télécoms étrangers et des organismes gouvernementaux. Une fois dans le système, les pirates vont rester sous le radar et surveiller des individus, intercepter les communications et collecter des données sensibles.

Découvrez Flair, l’assistant intelligent qui détecte les arnaques et deepfakes. Une innovation pragmatique pour sécuriser nos échanges digitaux au quotidien. Cet article s’inscrit dans le cadre de la veille stratégique de dcod.ch dédiée à la confiance numérique. L’objectif est de mettre en avant une solution ou une innovation technologique dont l’approche offre une réponse pertinente aux enjeux actuels de intelligence artificielle & innovation tech.

• Claude Opus 4.6 a trouvé 22 failles dans Firefox en 2 semaines (14 haute gravité), soit 1/5 de toutes les vulnérabilités critiques corrigées en 2025, toutes déjà patchées dans Firefox 148.
• L'IA détecte les bugs 10 fois moins cher qu'un audit traditionnel mais échoue à les exploiter : seuls 2 exploits fonctionnels sur plusieurs centaines de tentatives, même avec 4 000 dollars de crédits API.
• Mozilla intègre désormais l'analyse assistée par IA dans ses processus de sécurité interne, confirmant que la cybersécurité défensive bascule vers des outils d'audit automatisé.

L'anonymat en ligne n'existe plus selon une étude des chercheurs de l'ETH Zurich et d'Anthropic à qui l'on doit Claude. Selon leurs travaux, l'IA identifie les utilisateurs anonymes avec une précision redoutable.

On parle d'un taux de réussite de 68 % pour retrouver l'identité d'un compte anonyme. La précision atteint 90 % sur les résultats obtenus. Le tout pour un coût dérisoire, entre 1 et 4 dollars par identification. L'étude de Simon Lermen et Daniel Paleka a été publiée à la fin du mois février 2026 sur arXiv.

Le Centre des monuments nationaux indique œuvrer "activement" pour "rétablir le service dans les meilleurs délais".

Dans un mail envoyé à ses clients et consulté par l'Agence Radio France, samedi 7 mars, le Centre des monuments nationaux indique "que son prestataire de billetterie en ligne a été victime, le 2 mars, d'une cyberattaque de type rançongiciel" et ajoute œuvrer "activement" pour "rétablir le service dans les meilleurs délais".

"Aucune exfiltration ou utilisation frauduleuse de données n'a été établie" Le Centre des monuments nationaux explique qu'"à ce stade, aucune exfiltration ou utilisation frauduleuse de données n'a été établie" mais précise que "certaines données pourraient toutefois avoir été exposées : adresse électronique, historique d'achats et, le cas échéant, données de compte client (nom, prénom, pays, code postal, mot de passe chiffré)". En revanche, "les données bancaires ne sont pas concernées, celles-ci étant traitées par un prestataire de paiement distinct".

La Commission nationale de l'informatique et des libertés (CNIL) a été informée de l'incident, poursuit le Centre des monuments nationaux. "Il est suivi par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ainsi que par les équipes spécialisées du ministère de la Culture".

• Tycoon 2FA, plateforme de phishing vendue en abonnement (120$/10j), a généré 62% des tentatives de phishing bloquées par Microsoft en 2025 en contournant la double authentification
• 100 000 organisations compromises mondialement (dont hôpitaux et administrations), 6 823 victimes en France, 64 000 incidents reliés à cette seule plateforme
• Europol a saisi 330 domaines et identifié le développeur au Pakistan, mais sans arrestation ; la plateforme régénérait ses domaines tous les 24-72h, limitant l'efficacité de l'opération

Un site web frauduleux utilisant la marque Avast incite les utilisateurs francophones à fournir toutes les informations relatives à leur carte de crédit (numéro, date d'expiration et code de sécurité à trois chiffres) sous prétexte de traiter un remboursement de 499,99 € qui ne leur est pas dû.

L'opération combine un « support » par chat en direct, un montant de transaction alarmant codé en dur et une réplique convaincante de l'identité visuelle d'Avast afin de créer un sentiment d'urgence et de récolter des données de paiement à grande échelle.

Baptisé « Coruna », cet outil a visé aussi bien des Ukrainiens que des détenteurs chinois de cryptomonnaies.

Très certainement créé pour un Etat, puis utilisé par des criminels : les chercheurs en sécurité du Google Threat Intelligence Group ont annoncé, ce mardi, avoir découvert un outil de piratage d’iPhone particulièrement évolué, qui semble avoir été utilisé à la fois par des services de renseignement et des groupes criminels.

Baptisé « Coruna », cet ensemble de 23 vulnérabilités, pour certaines encore jamais documentées, permettait d’installer un logiciel espion dans un iPhone sans action de la part de l’utilisateur, lors de la visite de sites Internet sur lesquels un code malveillant était installé. Les outils permettant de pirater les iPhone, qui disposent de protections informatiques robustes, sont rares.

YGGtorrent intégralement compromis avec rapport à l'appui, démantèlement de Tycoon2FA, fuite historique aux Pays-Bas chez l'opérateur Odido, données médicales françaises Cegedim exposées, kit iOS Coruna attribué aux États-Unis, vulnérabilités CVSS 10 chez Cisco et VMware Aria exploité, etc.

• Apple a laissé VPHONE600AP, un composant de virtualisation iOS, traîner dans le firmware de Private Cloud Compute : des chercheurs peuvent maintenant faire tourner iOS 26 en VM sur Mac via le Virtualization.framework
• vphone-cli automatise tout le processus (téléchargement firmware, patches, boot) en quelques commandes Terminal, sinon il faudrait appliquer 20 étapes manuelles pour contourner bootloader, SSV, APFS et trustcache
• Accès via SSH, VNC ou RPC une fois lancé, mais limité à macOS Sequoia + Apple Silicon avec SIP/AMFI désactivés : outil de sécu avant tout, pas une feature officielle

Deux domaines saisis, treize arrestations dans quatorze pays et des dizaines de perquisitions simultanées : l'"Operation Leak", coordonnée depuis les locaux d'Europol à La Haye, a mis fin aux activités de LeakBase, un forum criminel parmi les plus fréquentés du cybercrime anglophone.

Dans une démarche qu’il veut prudente, Datagouv lance un serveur MCP expérimental afin de permettre aux utilisateurs d’interroger les données ouvertes en langage naturel via un chatbot. Seule la lecture des données est autorisée.

Un module malveillant imitant la célèbre bibliothèque de cryptographie du langage Go a été découvert par les chercheurs de Socket. Ce faux package, baptisé xinfeisoft/crypto, ne se contente pas de voler les mots de passe saisis dans le terminal, car il installe également une porte dérobée persistante sur les systèmes Linux.