🔎 Cyberveille

Un projet de sauvegarde de l’intégralité de la culture humaine annonce être parvenu à récupérer les 300 To de musique hébergés sur Spotify pour les partager librement. Le casse du siècle ? Le projet Anna’s Archive a fait une annonce vertigineuse sur son blog samedi 20 décembre 2025.

« Nous avons sauvegardé Spotify (métadonnées et fichiers musicaux). Il est distribué sous forme de torrents en vrac (~300 To), regroupés par popularité. »

https://annas-archive.li/blog/backing-up-spotify.html

Vous avez bien lu, le projet de sauvegarde du savoir et de la culture humaine annonce être parvenu à récupérer l’intégralité des données de Spotify, soit un peu moins de 300 To de musique, mais aussi toutes les métadonnées du service, comme la popularité de chaque artiste.

Depuis plusieurs mois, des campagnes de phishing exploitent un flux OAuth légitime pour obtenir un accès direct aux comptes Microsoft 365 des victimes. Une méthode connue, mais désormais utilisée à grande échelle.

Le géant Google Cloud et Palo Alto Networks ont annoncé au début du week-end un partenariat colossal proche des 10 milliards de dollars. L'accord, historique, vise à sécuriser l'infrastructure cloud, face aux menaces de l'ère de l'intelligence artificielle.

L’institut de recherche s’est associé au média spécialisé Next, qui documente l’essor et le trafic de ces fermes à contenus générés par l’intelligence artificielle générative.

D'abord, une avalanche d'avis négatifs sur Google Maps. Puis, par message WhatsApp, un chantage: de l'argent contre la récupération de sa réputation en ligne, via la suppression des mauvaises notes et des commentaires dénigrants. La cellule data de SRF s'est penchée sur cette forme d'extorsion qui vise des PME suisses. Quiconque cherche un bon restaurant, un nouveau dentiste ou un garage se retrouve rapidement sur Google Maps. Presque toutes les entreprises suisses y sont référencées. Elles rivalisent d'ingéniosité pour s'y mettre en valeur. Chacune se voit attribuer une note globale de une à cinq étoiles. Les avis sont donc devenus essentiels dans de nombreux secteurs.

Ligotés, battus, puis contraints de transférer des millions en cryptomonnaies. Ce couple de Dompierre-sur-Mer a vécu une nuit d’horreur. Une attaque d'une rare violence, révélatrice d'une nouvelle cible pour le grand banditisme.

La récente attaque d'un ferry avec un boitier Raspberry Pi connecté au réseau Ethernet local invite les entreprises à repenser leur sécurité physique.

La plateforme de contenus pour adultes Pornhub a été ciblée par un groupe de cybercriminels, qui ont annoncé avoir dérobé les données appartenant à des utilisateurs. Les pirates réclament désormais une rançon. L’entreprise évoque, quant à elle, une faille liée à un prestataire externe et appelle ses abonnés à la vigilance.

Le Danemark a accusé jeudi la Russie d'avoir mené des cyberattaques contre un service de distribution d'eau qui a fait éclater des canalisations et contre des sites Internet consacrés aux élections. C'est la première fois que Copenhague blâme publiquement Moscou.

Jeudi, "Libération" avait fait état d'une fuite massive de données affectant des millions de personnes éligibles au dispositif pass Sport, supervisé par le ministère des Sports.

...

Comme le hacker éthique l'explique, le vrai piratage vise associations.gouv.fr, une plateforme dédiée aux associations, sous tutelle du ministère des Sports. L'attaque date du 3 novembre 2025 et porte la signature de Dumpsec, un groupe habitué de ce type d'opérations.

L’équipe de renseignement sur les menaces d’Amazon a révélé les détails d’une campagne menée par l’État russe pendant des années, ciblant les infrastructures critiques occidentales entre 2021 et 2025.

La campagne visait notamment des organisations du secteur énergétique dans les pays occidentaux, des fournisseurs d’infrastructures critiques en Amérique du Nord et en Europe, ainsi que des entités disposant d’infrastructures réseau hébergées dans le cloud. Elle a été attribuée avec un haut degré de certitude à la Direction principale du renseignement russe (GRU), en raison de similitudes d’infrastructures avec celles d’APT44 , également connu sous les noms de FROZENBARENTS, Sandworm, Seashell Blizzard et Voodoo Bear.

Le ministère britannique des Affaires étrangères a été victime d’un piratage en octobre, nouvel incident dans une année noire pour la cybersécurité britannique

Le ministère britannique des Affaires étrangères a été la cible d’un piratage en octobre dernier, a reconnu le gouvernement vendredi, après la publication d’un article du tabloïd « The Sun » qui affirme qu’un groupe cybercriminel chinois est derrière cet incident.

La Corée du Nord, dirigée d’une main de fer par Kim Jong-un, est l’acteur principal des menaces crypto. Bien que ses cybercriminels aient moins attaqué cette année que la précédente, ils s’en sont pris à des cibles de plus grande taille, comme la plateforme Bybit.

Pyongyang s’est surpassé cette année. Selon un rapport publié jeudi 18 décembre par la société d’analyse de transactions en cryptomonnaies Chainalysis, la Corée du Nord et ses pirates informatiques ont dérobé en 2025 un montant record de 2 milliards de dollars (soit environ 1,71 milliard d’euros) en monnaies virtuelles. Une somme en forte augmentation par rapport à l’an dernier, quand ces mêmes acteurs avaient volé environ 1,34 milliard de dollars (1,14 milliard d’euros).

En novembre 2022, la CNIL s’est vue notifier une violation de données par la société DEEZER. Cette dernière mentionnait la mise en ligne de données de ses utilisateurs sur le darknet et l’implication de son ancien sous-traitant, la société MOBIUS SOLUTIONS LTD, dont elle utilisait les services pour réaliser des campagnes publicitaires personnalisées à destination de ses clients.

En 2023 et 2024, la CNIL a réalisé des contrôles sur pièces auprès de la société MOBIUS SOLUTIONS LTD.

Sur la base de ces contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué, en sa qualité de sous-traitant, à plusieurs obligations prévues par le RGPD.

La formation restreinte a ainsi prononcé une amende d’un million d’euros et a décidé de rendre publique sa décision. Le montant de cette amende a été décidé au regard de la gravité des manquements retenus, du nombre de personnes concernées par la violation de données et du chiffre d’affaires de la société MOBIUS SOLUTIONS LTD.

Près de deux millions d’appareils Android sont tombés sous la coupe d’un redoutable botnet, baptisé Kimwolf. Le malware vise les téléviseurs, les boîtiers TV et les tablettes Android à bas prix. Grâce aux terminaux sous son contrôle, le botnet peut lancer des attaques DDoS dévastatrices.

Un nouveau botnet a été repéré sur des appareils Android. Identifié par les chercheurs de QiAnXin XLab, le botnet Kimwolf pirate essentiellement des téléviseurs, des décodeurs et des tablettes. Selon l’enquête menée par les experts en cybersécurité, plus de 1,8 million d’appareils Android sont tombés sous la coupe du botnet. Le malware est apparu en 2016.

Après avoir eu connaissance de la revendication d’une violation de données des Caf par un groupe de pirates informatiques, la Caisse nationale des Allocations familiales (Cnaf) a immédiatement mené une investigation approfondie. Cette analyse atteste de la sécurité de son système d’information et de son site internet caf.fr.

Aucune intrusion constatée Contrairement aux affirmations relayées par ce groupe, aucune intrusion ni faille n’a été détectée dans nos systèmes. Notre système d'information n’a jamais été piraté et reste pleinement sécurisé.

Origine des données mises en circulation Les éléments diffusés par les pirates informatiques semblent provenir du système d’information d’autres services publics avec lesquels la Cnaf échange des données pour l’attribution de prestations ou services conditionnés par nos informations. Ces transmissions sont strictement encadrées par la loi et aucune atteinte technique à nos flux d’information n’a été constatée.

La Cnaf rappelle également que les données divulguées ne comprennent aucune donnée bancaire ou de mot de passe permettant de se connecter à l’espace Mon compte sur le site internet caf.fr.

Lors de sa séance du 12 décembre 2025, le Conseil fédéral a été informé des nouvelles lignes directrices de l’administration fédérale en matière de souveraineté numérique. Ces lignes directrices ont été élaborées par la Chancellerie fédérale en collaboration avec les départements et sont contraignantes pour l’ensemble de l’administration fédérale centrale.

..

Les lignes directrices prévoient six valeurs stratégiques de référence pour les projets numériques de la Confédération :

• Indépendance et contrôle : l’objectif est d’éviter ou de réduire de manière ciblée la dépendance vis-à-vis de certains fournisseurs ou de certaines technologies et solutions propriétaires. Étant donné qu’une indépendance totale n’est pas réaliste dans la plupart des cas, il est nécessaire de garantir au moins la capacité de contrôle.

• Coûts et rentabilité: la souveraineté numérique doit être garantie de manière efficace et en ménageant les ressources.

• Résilience: les applications, les infrastructures et les processus doivent rester opérationnels ou pouvoir être rapidement rétablis même en cas d’attaque ou de dysfonctionnement.

• Protection des données et sécurité de l’information : les données relatives à des personnes ou à des affaires doivent être protégées contre tout accès non autorisé, toute perte et toute manipulation.

• Collaboration avec les partenaires et normes : les données, les connaissances, les applications et les infrastructures doivent être utilisées en collaboration avec les partenaires (p. ex. les cantons).

• Innovation et adéquation : les processus et les technologies doivent être faciles à mettre en œuvre, offrir de multiples possibilités d’application et présenter une capacité d’évolutivité.

Le logiciel malveillant découvert était capable de prendre le contrôle, à distance, du ferry "Fantastic", appartenant à la compagnie italienne, Grandi Navi Veloci. L'agence française de contre-espionnage enquête sur un projet présumé de cyberattaque visant un ferry international pouvant transporter jusqu'à 2 000 passagers, qui aurait pu permettre de prendre le contrôle du navire à distance.

Un membre letton de l'équipage est en détention et poursuivi pour avoir agi pour le compte d'une puissance étrangère non identifiée, ont indiqué mercredi des responsables français.

Le ministre de l'Intérieur, Laurent Nuñez, a déclaré : « À l'heure actuelle, l'ingérence étrangère vient très souvent du même pays. »

Bien que la Russie ne soit pas nommée dans cette affaire, la France et d'autres alliés européens de l'Ukraine soutiennent que Moscou mène contre eux une «guerre hybride», faite de sabotages, d'assassinats, de cyberattaques, de désinformation et d'autres actes hostiles, souvent difficiles à relier rapidement à Moscou.

La CNIL met à disposition un démonstrateur pour naviguer à travers la généalogie des modèles d’IA publiés en source ouverte et étudier la traçabilité de cet écosystème, notamment pour faciliter l’exercice de droits d’opposition, d’accès ou d’effacement.

Les attaquants exploitent CVE‑2025‑20393 (mauvaise validation des entrées) permettant une exécution de commandes en root sans authentification sur les OS des appliances affectées. Les cibles sont les Cisco Secure Email Gateway (physiques/virtuelles) et Cisco Secure Email and Web Manager (physiques/virtuelles) lorsque la fonction Spam Quarantine est exposée à Internet. Cisco a découvert l’activité le 10 décembre via un cas TAC et note que les configurations non standard sont celles observées comme compromises. 🚨

Outils observés sur les appliances compromises : AquaShell (backdoor Python sur mesure), AquaPurge (suppression de lignes précises dans les logs), AquaTunnel (backdoor SSH inversée basée sur un outil open source) et Chisel (tunnel/proxy open source). Cisco Talos a partagé des adresses IP d’attaque et des hashes de certains outils (pas d’empreinte pour AquaShell). 🛠️

L’ampleur des compromissions est inconnue. Cisco rappelle que Spam Quarantine n’est pas activé par défaut et que les guides de déploiement n’exigent pas d’exposer le port associé sur Internet. Un correctif pour CVE‑2025‑20393 est attendu prochainement, l’enquête se poursuit. 🕳️

Mesures évoquées: vérifier si Spam Quarantine est activé/configuré; si l’interface de management web ou le port Spam Quarantine sont exposés à Internet, Cisco recommande un processus en plusieurs étapes pour restaurer une configuration sécurisée. Si ce n’est pas possible, contacter le Cisco TAC pour une vérification à distance. En cas de compromission confirmée, reconstruire l’appliance est actuellement la seule option pour éliminer la persistance. 🔁

Attribution: Cisco Talos attribue avec confiance modérée l’activité à un acteur nexus chinois « UAT‑9686 », avec recoupements de TTPs, d’infrastructures et de victimologie avec des groupes tels que APT41 et UNC5174. Le ReverseSSH/AquaTunnel s’aligne avec des usages connus de ces APTs. Le chercheur Kevin Beaumont note que les IPs d’attaque publiées évoquent un APT chinois ayant déjà ciblé des Cisco ASA (backdoor persistante, désactivation des logs et des crash dumps) et des Citrix NetScaler ADC via CVE‑2025‑5777 et CVE‑2025‑7775.

🔗 Source originale : https://www.helpnetsecurity.com/2025/12/17/cisco-secure-email-cve-2025-20393/

Selon Gen, une nouvelle campagne baptisée « GhostPairing » exploite les mécanismes légitimes de jumelage d’appareils WhatsApp pour réaliser une prise de contrôle de compte sans mot de passe, en s’appuyant sur de l’ingénierie sociale et des pages factices de type Facebook.

Les victimes reçoivent, depuis des contacts compromis, un court message mentionnant une « photo » avec un lien affiché comme un aperçu Facebook. La page d’atterrissage imite un « viewer » Facebook et sert en réalité de panneau de contrôle de l’attaquant, qui proxifie le flux de jumelage WhatsApp. La variante la plus utilisée abuse de l’option officielle « lier un appareil via le numéro de téléphone et un code numérique de jumelage » (la variante QR, techniquement possible, est rarement pratique sur un seul appareil). L’utilisateur saisit son numéro, le site de l’attaquant génère puis affiche le code et l’incite à le saisir dans WhatsApp pour « vérifier »; une fois validé, le navigateur de l’attaquant devient un appareil lié au compte de la victime 📱.

🔗 Source originale : https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack

Le forum bien connu des cybercriminels – ainsi que des forces de l’ordre et des chercheurs, notamment –, BreachForums, a été prétendument de retour une énième fois, temporairement. Mais de nombreuses zones d’ombres subsistent.

Dans un message publié samedi 13 décembre, l’un des administrateurs du forum pointait directement les autorités françaises, évoquant les arrestations de l’été dernier, dans l’Hexagone.

Le Centre de santé Tulattavik de l’Ungava (CSTU), qui administre les dispensaires des sept villages inuit de l’est du Nunavik, dans le Grand Nord du Québec, confirme avoir été victime d’une cyberattaque au courant du mois de novembre dernier.

Le téléphone mobile, notre appareil le plus intime et le plus sécurisé, est devenu la cible privilégiée des menaces les plus furtives. L'intrusion par le logiciel espion démarre par l'exploitation d'une faille dans le code (zero-click), ou d'une erreur de jugement (one-click), permettant à l'attaquant de franchir les défenses de l'appareil. Une fois à l'intérieur, le spyware ne vise qu'un objectif : obtenir l'accès administrateur pour transformer votre téléphone en une plateforme de surveillance totale. Face à ces menaces qui s'autodétruisent pour masquer toute trace, l'enjeu principal est de savoir comment traquer l'invisible quand le code lui-même est conçu pour disparaître. Un mouchard dans votre poche : comment fonctionnent les logiciels espions ?