🔎 Cyberveille

En partenariat avec le CDSE, VIGINUM publie un guide de sensibilisation afin de dresser un panorama de la menace informationnelle appliquée au champ économique.

Ingérences numériques étrangères

VIGINUM et le Cercle des directions de la sécurité des entreprises (CDSE) ont co-produit ce guide afin de faire prendre conscience de la menace informationnelle et de ses enjeux. Ce guide a également pour vocation de partager des réflexes et des bonnes pratiques pour aider les entreprises à mieux détecter et, le cas échéant, mieux réagir aux manipulations de l’information qui les ciblent.

C’est la question que de nombreux belges doivent se poser depuis la révélation de cette affaire le 25 décembre 2025. Le député libéral Mathieu Michel a annoncé que son salaire de novembre a été détourné par des hackers. Une information confirmée par la Chambre du pays.

C’est par la voie d’un e-mail envoyé à ses clients que Mondial Relay annonce avoir fait l’objet d’un piratage impliquant le vol de données. Le courriel indique :

Nous souhaitons vous informer d’un incident de sécurité informatique identifié récemment au sein de notre environnement.

Nous avons détecté des accès non autorisés à notre plateforme en ligne dédiée aux e-commerçants pour suivre les colis et demandes clients, ayant entraîné l’exposition de données personnelles.

Dans le détail, les hackers ont pu accéder aux données suivantes :

• Nom

• Prénom

• Adresses e-mail

• Adresse postale

• Numéro de téléphone

• Informations nécessaires au suivi logistique des colis (numéro d’expédition et de commande, statuts de livraison détaillés)

Cinq géants de l'électronique grand public — Sony, Samsung, LG, Hisense et TCL — sont poursuivis par l'État du Texas pour avoir capturé en secret ce qui s'affiche sur les écrans de millions de foyers américains. La fréquence alléguée des captures : deux fois par seconde.

Avez-vous déjà reçu des appels de personnes vous demandant pourquoi vous les avez contactées, alors que vous n’avez jamais composé leur numéro ? Ou pire, des dizaines de rappels de numéros inconnus après un prétendu appel de votre part ? Vous êtes probablement victime de spoofing téléphonique?, une technique de fraude en pleine expansion qui permet aux arnaqueurs d’usurper n’importe quel numéro de téléphone.

Face à cette menace croissante, l’Arcep? (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) a adopté de nouvelles mesures qui entreront en vigueur le 1er janvier 2026. Ces dispositions obligeront les opérateurs français à afficher « numéro masqué » pour tout appel émis depuis l’étranger avec un numéro mobile français non authentifié.

Selon Hackaday, libxml2 — une bibliothèque centrale pour le traitement XML/XSLT utilisée dans GNOME, des navigateurs web et de nombreux logiciels — a brièvement perdu son unique mainteneur après le départ programmé de Nick Wellnhofer, avant que deux nouveaux développeurs ne reprennent le projet.

L’article retrace l’historique : au début des années 2000, l’auteur original Daniel Veillard passe la main à Nick Wellnhofer. Tous deux agissent comme bénévoles, avec pour tout soutien notable un don de Google, tandis que de grandes entreprises intègrent la bibliothèque et envoient des rapports de bugs.

Le texte met en avant la pression spécifique aux signalements de failles de sécurité : la réception d’un rapport implique des attentes élevées (analyse immédiate, correctif, calendrier de patch, dépôt de CVE), souvent sans merge request ni cas de test fourni. Cette dynamique aurait contribué au burnout de Nick sur libxml2 et libxslt. ⚠️

Le risque souligné est qu’en l’absence de mainteneur lors d’une nouvelle CVE à haut risque, l’écosystème dépendant de libxml2 se retrouve exposé. La situation s’est toutefois débloquée avec l’arrivée de deux nouveaux mainteneurs, même si cette rotation est présentée comme un signal préoccupant quant à la soutenabilité du modèle.

En conclusion, l’article met en lumière la tension entre l’attente d’un logiciel gratuit et exempt de bugs critiques et la réalité du maintien bénévole, notant que des mécanismes comme les bounties peuvent surtout générer des « maux de tête ». C’est un article de presse spécialisé qui informe sur la gouvernance du projet et ses implications de sécurité pour l’écosystème.

🔗 Source originale : https://hackaday.com/2025/12/23/libxml2-narrowly-avoids-becoming-unmaintained/

Après une migration dans la douleur vers Google Workspace pour la bureautique, Airbus souhaite désormais transférer vers le cloud ses principales applications sur site, notamment son ERP, ses systèmes d'exécution de la production, son CRM et la gestion du cycle de vie des produits (conception des avions). Mais pas dans n’importe quel cloud, indique Catherine Jestin, vice-présidente exécutive numérique chez Airbus interrogé par nos confrères de The Register. « J'ai besoin d'un cloud souverain car certaines informations sont extrêmement sensibles d'un point de vue national et européen », explique-t-elle. Tout en ajoutant, « nous voulons garantir que ces informations restent sous contrôle européen ».

Selon BleepingComputer, MongoDB a émis une alerte pressant les administrateurs IT d’appliquer sans délai les correctifs pour une vulnérabilité classée à haute gravité.

⚠️ L'éditeur met en garde contre une vulnérabilité de lecture de mémoire de gravité élevée, qui pourrait être exploitée à distance par des attaquants non authentifiés.

Alerte sécurité : vulnérabilité critique MongoDB (CVE-2025-14847)

EDIT 26.12: enlevé définition erronée de RCE du titre en accord avec la correction de l'article original

🔗 Source originale : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

Une attaque par ransomware a récemment frappé l’Administration nationale des eaux roumaines. Des pirates ont exploité BitLocker, intégré à Windows, pour verrouiller près de 1 000 systèmes. L’incident a perturbé le système d’information, sans affecter l’exploitation hydraulique.

Des fraudeurs utilisent l'IA pour créer des images de produits abîmés et obtenir des remboursements. Née en Chine, cette escroquerie se propage globalement, coûtant des millions aux plateformes d'e-commerce qui peinent à distinguer le vrai du faux. Les vendeurs ripostent, mais les clients honnêtes pourraient payer le prix fort.

Le 22 décembre 2025, la CNIL a sanctionné la société NEXPUBLICA FRANCE d’une amende de 1 700 000 euros pour ne pas avoir prévu des mesures de sécurité suffisantes pour son logiciel PCRM, un outil de gestion de la relation avec les usagers dans le domaine de l’action sociale.

En naviguant dans les Google Groupes, il ne faut pas plus de quelques minutes pour tomber sur des informations qui ne devraient pas être librement accessibles : devis, relevés de compte, bilans de santé, rendez-vous médicaux, etc. Parents d’élèves, associations, syndicats de copropriété, entreprises… tout le monde est concerné. Pire encore, certaines données sont en ligne depuis près de 20 ans.

Identifiée début décembre et désormais activement exploitée, la vulnérabilité critique CVE-2025-59718 touche plusieurs produits Fortinet utilisant l’authentification FortiCloud SSO. Elle permet à un attaquant distant non authentifié de contourner la connexion et d’accéder aux consoles d’administration. Les éditeurs de sécurité, dont CrowdSec, alertent sur une intensification des tentatives d’exploitation, au moment même où la faille entre dans le catalogue KEV de la CISA.

Depuis quelques jours, la ville de Lens et ses services municipaux sont touchés par une cyberattaque. Une plainte a été déposée au commissariat.

**Le diagnostic « toujours en cours » **

« La Ville de Lens a subi une intrusion dans son système d’information qui a des impacts sur le fonctionnement des services municipaux », a annoncé la municipalité sur Facebook. « À cette heure le diagnostic technique est toujours en cours pour déterminer l’origine et la gravité de l’intrusion. » En attendant, « des mesures complémentaires de sécurité et de protection des données ont été mises en place ».

23.12.2025 - Noël est une période d’espoir et de recueillement. C’est justement là-dessus que misent les escrocs en prétendant apporter de l’aide : ils ciblent par exemple des victimes de fraudes à l’investissement en ligne et leur annoncent que l’argent perdu a refait surface. Le remboursement se fait attendre, mais les factures s’accumulent. Les victimes sont en effet exhortées à payer divers frais jusqu’au moment où elles comprennent que le remboursement promis ne sera jamais versé. Le miracle de Noël se transforme alors en cauchemar.

Le groupe de hackers prorusse Noname057(16) a revendiqué la cyberattaque contre le groupe La Poste, en cours depuis lundi 22 décembre, a confirmé le parquet de Paris à franceinfo mardi. À la suite de cette revendication, les gendarmes de l'Unité nationale cyber (UNC) et la Direction générale de la sécurité intérieure (DGSI) ont été saisis de l'enquête ouverte(Nouvelle fenêtre) pour des faits d’entrave au fonctionnement d’un système de traitement automatisé de données.

Une vulnérabilité critique ( CVE-2025-68613 ) permet à un utilisateur connecté de détourner un workflow pour exécuter des commandes sur le serveur qui héberge n8n.

Concrètement, une automatisation mal conçue (ou malveillante) peut sortir du cadre prévu et donner accès au système :

données manipulées par les workflows

modification ou suppression des automatisations

et potentiellement contrôle complet du serveur

La faille touche de nombreuses versions (depuis 0.211.0) et est très sévère, surtout si n8n est exposé à Internet ou utilisé par plusieurs personnes.

✅️ Solution : mettre à jour rapidement vers les versions corrigées (≥ 1.120.4 / 1.121.1 / 1.122.0).

En attendant, restreignez au maximum les droits de création/édition des workflows

👉️ Si n8n est critique dans votre infra, c’est une priorité de sécurité.

Le règlement sur les données établit un cadre européen pour organiser le partage et l’utilisation des données des objets connectés. Il renforce les droits des utilisateurs et crée de nouvelles obligations pour les acteurs concernés. La CNIL présente son rôle et les nouvelles règles applicables.

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

...

La vulnérabilité CVE-2025-14733 est une vulnérabilité d’écriture hors limite (CWE-787) dans le cadre du processus « iked » (Internet Key Exchange Daemon) utilisé pour les connexions RPV IKEv2. Ce défaut pourrait permettre à un attaquant éloigné et non authentifié d’exécuter un code arbitraire sur des dispositifs Firebox vulnérables. La vulnérabilité touche les configurations de RPV utilisateur mobile avec IKEv2 et de RPV de bureau local avec IKEv2 lorsqu’un homologue passerelle dynamique est activé ou l’a déjà été.

• Les chercheurs de Riot Games découvrent que votre firmware UEFI vous ment : il prétend vous protéger contre les attaques DMA mais ne fait rien, et seul un accès physique à votre machine peut le révéler
• Quatre géants de la carte mère (ASUS, Gigabyte, MSI, ASRock) laissent des dizaines de chipsets vulnérables en attente de correctifs, certains ne seront patchés qu'en 2026
• Votre réparateur, votre collègue jaloux ou l'ancien proprio du PC d'occasion que vous avez acheté pouvaient lire toute votre mémoire avant même que Windows ne démarre

...

La faille se décline en plusieurs CVE selon les constructeurs (CVE-2025-11901 pour ASUS, CVE-2025-14302 pour Gigabyte, CVE-2025-14303 pour MSI, CVE-2025-14304 pour ASRock) et concerne les protections DMA au démarrage. En gros, le firmware UEFI prétend activer l' IOMMU (un mécanisme matériel d'isolation mémoire destiné à bloquer les attaques DMA), sauf que dans les faits, il ne le configure pas correctement. Votre système pense être protégé alors qu'il ne l'est pas du tout... Bref ça craint !

Une nouvelle fraude sophistiquée cible les acheteurs de mémoire vive sur les grandes plateformes. Des clients commandant des kits de RAM DDR5, y compris via le circuit officiel "vendu et expédié par Amazon", reçoivent en réalité des barrettes DDR4 obsolètes, habilement dissimulées sous de faux dissipateurs thermiques. L'arnaque, qui repose sur une faille dans la gestion des retours produits, est particulièrement lucrative en raison de la flambée des prix des composants.

MacOS a été pris pour cible par une nouvelle variante du logiciel malveillant MacSync grâce à une méthode de distribution plus sophistiquée que les techniques habituelles. Une application Swift signée par Apple capable de contourner le mécanisme de sécurité Gatekeeper. Voici ce que l'on sait.

Jusqu'ici, le logiciel malveillant MacSync était distribué par l'intermédiaire de techniques classiques et largement utilisé par les cybercriminels, comme la technique ClickFix. "Contrairement aux variantes précédentes de MacSync Stealer qui reposaient principalement sur des techniques de type « drag-to-terminal » ou « ClickFix », cet échantillon adopte une approche plus trompeuse et plus passive.", peut-on lire dans le rapport des chercheurs en sécurité de Jamf.

Depuis ce lundi matin, de nombreux clients de la Banque Postale ne parviennent pas à accéder à leurs comptes. La cause serait une attaque par déni de service distribué. Des clients des banques du groupe BPCE ont aussi signalé des problèmes, qui semblent avoir été liés à un problème technique.

...

Un projet de sauvegarde de l’intégralité de la culture humaine annonce être parvenu à récupérer les 300 To de musique hébergés sur Spotify pour les partager librement. Le casse du siècle ? Le projet Anna’s Archive a fait une annonce vertigineuse sur son blog samedi 20 décembre 2025.

« Nous avons sauvegardé Spotify (métadonnées et fichiers musicaux). Il est distribué sous forme de torrents en vrac (~300 To), regroupés par popularité. »

https://annas-archive.li/blog/backing-up-spotify.html

Vous avez bien lu, le projet de sauvegarde du savoir et de la culture humaine annonce être parvenu à récupérer l’intégralité des données de Spotify, soit un peu moins de 300 To de musique, mais aussi toutes les métadonnées du service, comme la popularité de chaque artiste.

Depuis plusieurs mois, des campagnes de phishing exploitent un flux OAuth légitime pour obtenir un accès direct aux comptes Microsoft 365 des victimes. Une méthode connue, mais désormais utilisée à grande échelle.