🔎 Cyberveille

L'escalade des cyberattaques contre les institutions françaises franchit un nouveau palier en cette fin d'année. Le groupe de hackers LAPSUS$ GROUP a revendiqué, ce dimanche 28 décembre 2025, la compromission massive du Ministère de l'Agriculture et de l'Alimentation. Pas moins de 61 Go de données confidentielles ont été dérobés et mis en ligne gratuitement par les pirates, exposant des structures critiques liées à la sécurité alimentaire et à la gestion agricole de 32 départements français.

L’annonce a été faite ce week-end par le Chaos Computer Club (CCC), une des organisations de hackers, à l’occasion de sa conférence annuelle. Le groupe affirme vouloir desserrer ce qu’il décrit comme l’« emprise » des grandes entreprises technologiques américaines sur l’Europe, qu’il estime préjudiciable au fonctionnement démocratique.

Le CCC, connu pour ses positions fermes et souvent critiques sur la politique numérique, inscrit cette initiative dans un contexte de crispations croissantes entre l’Union européenne et les États-Unis autour de la règlementation technologique.

Il a notamment évoqué la récente amende de 120 millions d’euros infligée par la Commission européenne à X, le réseau social d’Elon Musk, et l’interdiction de voyager imposée par les États-Unis à plusieurs personnalités européennes, dont l’ancien commissaire au Marché intérieur Thierry Breton.

Commençons par évoquer la première alerte détectée le 29 décembre 2025 sur BreachForums. Un cybercriminel qui se présente sous le pseudo "CZX" affirme avoir infiltré les systèmes de Grenoble École de Management (GEM) en novembre dernier. Cette école accueille environ 7 000 étudiants, ce qui est loin d'être neutre.

Néanmoins, le message du pirate laisse entendre qu'il a eu accès à un bel historique de données : il affirme disposer d'informations sur plus de 400 000 personnes, regroupées dans une archive de 1,35 Go.

...

Le même jour, un autre message a été publié sur BreachForums afin d'évoquer un vol de données à l'Université de Lille, un établissement avec plus de 80 000 étudiants. Cette fois, c'est un groupe tristement célèbre qui a revendiqué l'attaque : le groupe LAPSUS$, soit désormais Scattered LAPSUS$ Hunters (puisqu'il y a eu un regroupement de 3 groupes en 2025).

Ces derniers mois, et je dirais même ces dernières années, le groupe de pirates LAPSUS$ a été associé à de nombreuses cyberattaques, y compris contre des acteurs majeurs (Okta, Microsoft, Nvidia, etc.).

Deux professionnels américains de la cybersécurité ont plaidé coupables pour leur rôle dans une série d’extorsions menées au moyen du rançongiciel ALPHV BlackCat. Cette affaire judiciaire met en lumière une réalité désormais incontournable pour les entreprises. Les menaces ne viennent plus uniquement de l’extérieur, elles peuvent aussi provenir de profils qualifiés et théoriquement garants de la sécurité.

Vulnérabilité critique MongoDB exploitée (MongoBleed), cyberattaque contre l'Agence Spatiale Européenne, fuite massive chez Mondial Relay, fin du chiffrement RC4 chez Microsoft, bilan du piratage du Ministère de L'Intérieur, certification SecNumCloud pour S3NS, etc.

Le 30 décembre 2025, l’Agence Spatiale Européenne (ESA) a annoncé avoir été informée d’un incident de cybersécurité affectant des serveurs situés hors de son réseau. Peu d’informations ont été communiquées sur les causes de cet incident, l’enquête est toujours en cours.

1. À Kherson, des identifiants auraient été extorqués sous contrainte pour détourner des adresses IP ukrainiennes. En toile de fond, la “neutralité” revendiquée par RIPE NCC nourrit une zone grise aux effets directs sur l’attribution des cyberattaques.
2. Des “passeports” numériques au rendement stratégique
3. Kherson, la contrainte physique et la capture des ressources
4. Sanctions, « neutralité » et risque d’attribution pour l’Europe

Dans sa dernière rétrospective hebdomadaire de l’année, l’OFCS a pour habitude de revenir sur les cyberincidents signalés durant les douze derniers mois. En 2025, ce sont au total près de 65 000 annonces qui ont été faites à l’OFCS. La hausse enregistrée par rapport à l’année dernière est donc nettement moins importante que les années précédentes. Il y a de nouveau eu beaucoup d’appels téléphoniques émanant prétendument de la police, mais le nombre d’annonces de ce type a nettement diminué durant le deuxième semestre. Cette baisse a été compensée par des annonces de tentatives d’escroqueries à l’investissement en ligne via des publicités. Même si l’augmentation quantitative des annonces n’est plus aussi importante, leur évolution qualitative est notable.

zLabs, l’équipe de recherche de Zimperium, leader mondial de la sécurité mobile, publie une nouvelle étude révélant une augmentation significative des attaques de phishing ciblant les terminaux mobiles. Ces campagnes reposent sur des fichiers PDF malveillants envoyés par SMS et MMS. L’étude démontre que les cybercriminels exploitent la confiance accordée aux documents PDF (ainsi que les failles des contrôles de sécurité mobile) pour collecter identifiants et données sensibles à grande échelle.

Selon zLabs, les fichiers PDF s’imposent désormais comme un vecteur privilégié du phishing mobile (« mishing »). Perçu comme légitime et omniprésent dans les échanges professionnels, ce format permet aux attaquants de contourner les défenses traditionnelles basées sur les e-mails et les réseaux. Associées à l’instantanéité des SMS, ces campagnes s’avèrent d’une efficacité redoutable.

Des abonnés du distributeur d’électricité de la Nouvelle-Écosse sont choqués de recevoir des factures leur réclamant des milliers de dollars, basées sur des estimations qui leur paraissent illogiques.

Depuis la cyberattaque qu'elle a subie en mars, Nova Scotia Power, une société privée, est incapable de recevoir les informations que transmettent la plupart des compteurs intelligents.

Spécialiste français des batteries et chargeurs, le site web Batteriedeportable a subi une intrusion informatique le mois dernier. Ces dernières heures, les clients ont été informés de l'attaque, car victimes d'un vol de données personnelles.

Un Lituanien de 29 ans vient d'être extradé vers la Corée du Sud. La raison ? Il est accusé d'avoir dissimulé un malware dans une version modifiée du logiciel d'activation Windows KMSAuto, dans le but de détourner des transactions crypto.

KMSAuto au service du vol de cryptomonnaies KMSAuto est un outil populaire permettant d'activer illégalement Windows et Office, sans devoir acheter une licence officielle. Cependant, ce pirate a eu l'idée de distribuer une version modifiée et infectée par un malware. Sa version ne se contentait pas d'activer des produits Microsoft : elle installait un logiciel malveillant de type "clipper".

Une mise à jour vérolée de l’extension Trust Wallet a conduit au détournement de fonds de milliers d’utilisateurs et d’utilisatrices. L’incident a ensuite été exploité pour piéger d’autres victimes.

À la veille de Noël, les utilisateurs et utilisatrices de Trust Wallet ne s’attendaient sans doute pas à ce genre de (mauvaise) surprise. La mise à jour de son extension pour Chrome, publiée le 24 décembre dernier, n’avait finalement de légitime que le nom et le badge de certification. Des hackers sont en effet parvenus à exploiter le processus de publication du Chrome Web Store pour en faire circuler une version officielle, mais compromise, à l’origine d’un braquage de grande ampleur. Trust Wallet a depuis confirmé le carnage et engagé des mesures pour en limiter les conséquences.

Le Figaro vous donne la marche à suivre pour vérifier si vos numéros de téléphone, adresses postales, noms ou numéros de sécurité sociale sont actuellement aux mains de cybercriminels, ou mis à disposition sur le dark web.

Morale : l'eau douce n'efface pas les preuves

Un ancien employé de l’entreprise sud-coréenne Coupang serait à l’origine de l’une des compromissions de données les plus spectaculaires jamais enregistrées. Il aurait eu accès aux données personnelles de plus de 33 millions de personnes, sans jamais réellement parvenir à en tirer parti.

Indispensables à la transition énergétique, les bornes de recharge se sont déployées à grande vitesse, parfois au détriment de leur cybersécurité. Aujourd'hui, la multiplication des attaques révèle un angle mort de la mobilité électrique. Sécuriser ces infrastructures est devenu un enjeu central pour garantir la fiabilité des services et l'adhésion des usagers.

En matière d’arnaques bancaires, les acteurs malveillants sont souvent très imaginatifs, et c’est de nouveau le cas avec cette « fraude à la mule », une technique assez méconnue en France qui commence à faire des victimes. Explications

...

Concrètement, le criminel va envoyer de l’argent à une cible. Il prendra ensuite contact avec cette dernière (souvent par SMS) et lui expliquera s’être trompé lors de son transfert. Il demande à la victime de lui retransférer ce montant, et c’est là tout l’intérêt de cette démarche. En effet, une fois de retour sur son compte, ce pécule n’aura plus la même traçabilité initiale, précisent nos confrères.

Le groupe cybercriminel LAPSUS$ a franchi une nouvelle étape en s'attaquant au CNRS, publiant les données techniques de la NectarCam. Nos propres investigations menées sur les forums spécialisés confirment l'authenticité de cette fuite d'ampleur inédite, qui expose la technologie des futurs télescopes de l'observatoire CTA et s'inscrit dans une série noire après les piratages de Mondial Relay et d'Eni.

• Ubisoft s'est fait voler le code source des années 90 : les hackers ont accès à 35 ans d'archives internes via une simple faille MongoDB
• 2 milliards de crédits distribués gratuitement : Ubisoft paie le prix fort quand ses serveurs deviennent une pinata pour pirates
• Des milliers de joueurs bannis au hasard pendant que les hackers transformaient les messages de ban en pamphlets contre la direction d'Ubisoft

Ces faits surviennent après le piratage des données personnelles de centaines de milliers d'adhérents de la Fédération française de tir, et qui ont été utilisées notamment "pour commettre des vols par effraction".

Une simple latence dans la frappe au clavier peut trahir un espion. C'est l'un des nombreux signaux qui ont permis à Amazon de démasquer une vaste opération d'infiltration visant à financer le régime nord-coréen.

Amazon a révélé être la cible d'une campagne d'infiltration orchestrée par la Corée du Nord. Depuis avril 2024, l'entreprise a stoppé plus de 1 800 tentatives d'embauche par des agents nord-coréens se faisant passer pour des développeurs.

Selon Stephen Schmidt, le chef de la sécurité d'Amazon, ces opérations visent un objectif simple : " être embauché, être payé et rapatrier les salaires pour financer les programmes d'armement du régime. " La tendance connaît une accélération, avec une augmentation de 27 % des candidatures affiliées à la Corée du Nord d'un trimestre à l'autre en 2025.

Quand une plateforme aussi emblématique que Coinbase prend un coup, l’onde de choc se fait sentir dans toute la sphère crypto. Ces derniers mois, la plateforme a été secouée par une affaire de vol de données qui a terni sa réputation. Au cœur du scandale : une attaque coordonnée, des agents corrompus, un butin numérique colossal, et surtout, une faille humaine plus qu’un bug logiciel. Le mal était fait, mais la traque des coupables est lancée. Et les premières arrestations tombent.

• Un agent du support client a volé des données crypto pour un réseau criminel.
• 69 461 comptes exposés, mais Coinbase n’a pas payé la rançon exigée.
• Une prime de 20 millions $ lancée pour identifier les cybercriminels impliqués.
• L’affaire coûte à Coinbase jusqu’à 400 millions $ en mesures de sécurité.

• Hyundai et Kia vont équiper gratuitement environ neuf millions de voitures américaines, produites entre 2011 et 2022, d’une bague en zinc autour du barillet de démarrage, une opération pouvant atteindre 500 millions de dollars.
• Les vols exploitent l’absence d’antidémarrage électronique sur de nombreux modèles, un défaut permettant de démarrer avec un simple câble USB, popularisé par des vidéos virales ayant entraîné une flambée de vols et d’accidents mortels.
• Un mouvement informel d’adolescents, les « Kia Boys », vole principalement des Kia et Hyundai pour des rodéos urbains filmés, faisant exploser les statistiques de vols à Columbus, Milwaukee et dans d’autres villes américaines. Les « Kia Boyz », comme ils se font appeler, sont au cœur de ce phénomène.
• Après un premier accord collectif de 200 millions et un correctif logiciel partiel, des autorités locales dénoncent désormais une « crise » de sécurité publique née d’arbitrages industriels et amplifiée par les réseaux sociaux.

Une anecdote célèbre sur WarGames fut détaillée en 2016 par le journaliste américain Fred Kaplan dans son livre Dark Territory : The Secret History of Cyber War. Grand fan du film, qu’il s’est fait projeter dans son lodge de Camp David au lendemain de sa sortie en salle, fixée au 3 juin 1983, Ronald Reagan est alors si impressionné par son réalisme que, cinq jours plus tard, lors d’une réunion à la Maison-Blanche avec les secrétaires d’État, de la Défense et du Trésor, des généraux et 16 membres du Congrès, il les quaestionne ainsi à brûle-pourpoint : « Est-ce que ce genre de choses pourrait vraiment arriver ? Est-ce que quelqu’un pourrait s’introduire dans nos ordinateurs les plus sensibles ? »