🔎 Cyberveille

Afin de tester les risques que pouvait prendre le public, une ASBL a semé des clés USB dans l’espace public.

En toute discrétion, cet été, le Club de la sécurité des systèmes d’information Luxembourg (CLUSIL) a semé la panique au sein d’une organisation avec des clés USB. Cette dernière, ayant trouvé des clés essaimées dans l’espace public par le CLUSIL, a «déclenché une réunion d’urgence en moins de 45 minutes, isolé les supports, copié leur contenu sur un disque et placé le tout dans un coffre, avant de contacter un CERT (centre d’alerte et de réaction aux attaques informatiques)», relate Cédric Mauny, président de l’ASBL, en ajoutant que «c’est un très bon réflexe de leur part».

Le CLUSIL avait dispersé 250 clés à travers le pays, des gares aux parcs en passant par des centres d’affaires. Le but: observer les risques pris par des humains poussés par la curiosité. Le CLUSIL avait prévenu les CERT à l’avance et ses clés étaient inoffensives. Mais dans l’absolu, une clé inconnue peut présenter des dangers: se faire passer pour un clavier, un point d’accès wifi, afin de propager des logiciels malveillants ou voler des données, à l’insu de l’utilisateur.

La double authentification n’est plus un bouclier absolu contre les cyberattaques. Un outil employé par les cybercriminels permet en effet de casser l’authentification deux facteurs. L’opération repose sur le détournement de cookies de session par le biais d’un faux portail de connexion glissé entre vous et la plateforme officielle. Explications.

La double authentification est souvent présentée comme un rempart quasi infaillible contre les cyberattaques. De plus en plus répandu, le mécanisme ajoute une couche de sécurité supplémentaire à vos comptes en ligne. En plus de votre mot de passe, vous devez valider votre connexion à l’aide d’un code transmis par SMS, par e-mail ou via une application dédiée. Ce code complique la tâche des pirates même s’ils ont déjà volé vos identifiants.

Le Conseil des États a accepté une motion demandant au Conseil fédéral de revoir en profondeur le projet de révision des ordonnances liées à la surveillance des communications (SCPT). Le gouvernement devra présenter une nouvelle version. Proton a communiqué sa réaction à la rédaction.

12.12.2025 - Dans le cadre du rapport « Opportunités et risques des systèmes d’intelligence artificielle dans la cybersécurité » donnant suite au postulat 23.3861 Andrey, le Conseil fédéral examine la manière dont l’intelligence artificielle (IA) exerce une influence en cybersécurité et vérifie si la cyberstratégie nationale (CSN) répond aux développements rapides constatés dans ce domaine. Le rapport, approuvé par le Conseil fédéral lors de sa séance du 12 décembre 2025, parvient à la conclusion que l’IA joue un rôle de catalyseur des tendances actuelles dans le domaine de la cybersécurité, sans pour autant en modifier les principes de base. Il est cependant prévu que la CSN indique désormais plus clairement les projets liés à l’IA, afin de favoriser la transparence et de permettre un pilotage ciblé.

Si Apple nous a gratifiés de toute une série de mises à jour un vendredi soir, ce n’est pas pour rien. Outre de nombreuses nouveautés, elles corrigent deux vulnérabilités de type « zero-day » qui ont pu être utilisées lors d’attaques ciblées.

Les deux failles, référencées sous les noms CVE-2025-43529 et CVE-2025-14174, touchent le cœur du système.

La première (CVE-2025-43529) concerne WebKit, le moteur de rendu de Safari. Il s'agit d'une faille de type use-after-free qui permet l'exécution de code arbitraire simplement en traitant un contenu web malveillant. La seconde (CVE-2025-14174) est une corruption de mémoire identifiée non seulement par les équipes d'Apple, mais aussi par le Threat Analysis Group de Google.

Microsoft révise entièrement son programme de primes aux chercheurs en sécurité. Désormais, même les failles détectées dans des logiciels tiers utilisés par l'entreprise pourront donner lieu à une rémunération.

Le gouvernement allemand accuse la Russie d'une série d'actions hostiles, allant des cyberattaques à l'ingérence dans les élections. En réaction, l'ambassadeur russe a été convoqué vendredi au ministère des Affaires étrangères.

Moscou serait à la fois à l'origine d'une cyberattaque massive contre le contrôle du trafic aérien allemand et d'une opération de désinformation lors des dernières élections législatives. Face à ces accusations, l'ambassadeur russe a été convoqué au ministère des Affaires étrangères.

Moins puissants que des groupes APT, ces collectifs ont pourtant ciblé l’industrie agroalimentaire, l’approvisionnement en eau et des organismes de régulation nucléaire. La CISA, équivalent américain de l’Anssi, a publié, le 9 décembre 2025, un avis de sécurité sur des attaques de groupes hacktivistes pro-russes visant des secteurs critiques aux États-Unis. Le rapport a été élaboré en collaboration avec des agences gouvernementales, des forces de police et des institutions judiciaires de quinze pays, dont la France. L’avis s’intéresse notamment aux cyberoffensives de CyberArmyofRussia_Reborn (CARR) et NoName057(16) contre les secteurs de l’eau, de l’énergie et de l’agroalimentaire.

Le ministère de la Défense américain a dévoilé le 8 décembre 2025 GenAI.mil, une nouvelle plateforme d’intelligence artificielle militaire fondée sur Gemini de Google. Elle doit doper la productivité des millions de salariés du Pentagone et préparer l’intégration de systèmes d’IA capables de gérer des données sensibles, voire classifiées. Le département de la Défense des États-Unis – renommé Département de la guerre, le 5 septembre 2025 – souhaite mettre Gemini, l’assistant IA de Google « directement entre les mains de chaque soldat américain ». C’est en tout cas ce qu’a assuré Pete Hegseth, le secrétaire à la Défense du pays le 9 décembre 2025 dans une vidéopubliée sur les réseaux sociaux, annonçant le lancement de GenAI.mil, une plateforme d’intelligence artificielle à vocation militaire.

Des vulnérabilités ont été découvertes dans le système d'authentification de Forticloud. En attendant l'application des correctifs, Fortinet recommande aux utilisateurs de désactiver le SSO.

...

Les failles, référencées CVE-2025-59718 et CVE-2025-59719, sont des vulnérabilités de signature cryptographique identifiées dans le système d'exploitation FortiOS qui fait fonctionner les équipements Fortinet, ainsi que dans Fortiweb, Fortiproxy et Fortiswitchmanager. Elles donnent la possibilité à un attaquant non authentifié de contourner l'authentification unique de connexion Forticloud SSO via un message SAML (security assertion markup language) spécialement conçu, si cette fonctionnalité est activée sur l'appareil.

Derrière la promesse pirate de voir le dernier film avec Leonardo DiCaprio se cache une menace sophistiquée capable de prendre le contrôle total de votre ordinateur.

Alors que le film One Battle After Another (Une bataille après l'autre) avec Leonardo DiCaprio est distingué par des récompenses, il est également au centre d'une campagne de malware. Les chercheurs de Bitdefender Labs dévoilent une chaîne d'infection dissimulée dans un faux fichier torrent du film pour du téléchargement pirate.

Les chercheurs en cybersécurité de Sentinel One ont mis en lumière le retour d’un groupe de hackers baptisé « CyberVolk ». Si cette résurgence, ainsi que les capacités d’automatisation du groupe, peuvent inquiéter, les chercheurs pointent aussi de grosses erreurs de conception qui permettent, parfois, de récupérer les fichiers chiffrés sans avoir à payer la rançon. Difficile de savoir précisément qui se cache derrière CyberVolk, ni au service de quels intérêts exacts le groupe agit. Traqué depuis fin 2024 par les chercheurs de l’entreprise de cybersécurité SentinelOne, ce collectif de hacktivistes à motivation politique semble porter des intérêts à la fois pro‑russes et pro‑indiens, en exploitant activement « les tensions géopolitiques actuelles pour lancer et justifier ses attaques contre des entités publiques et gouvernementales. »

Une enquête a été ouverte après la découverte de "l'existence d'activités suspectes visant des serveurs de messagerie" du ministère de l'Intérieur et des mesures ont été mises en oeuvre afin de "circonscrire la menace", a indiqué la place Beauvau jeudi à l'AFP, confirmant une information de BFMTV.

Un chercheur en sécurité alerte que de nombreuses applications .NET seraient vulnérables à l'écriture de code malveillant dans des fichiers à cause de classes de proxy http de .NET acceptant des URL non http. Malgré le problème, Microsoft ne prévoit pas de le corriger dans l'immédiat.

A l’occasion de la Black Hat en Europe qui s’est tenue à Londres du 8 au 11 décembre, Piotr Bazydło un chercheur de chez WatchTowr, société spécialisée en sécurité, a présenté une vulnérabilité dans les proxy http créés dans du code .NET. Le problème vient d’un comportement inattendu donnant aux attaquants la capacité d’écrire du code malveillant dans les fichiers. Il ouvre aussi la voie à de l’exécution de code à distance via des web shells et des scripts PowerShell malveillants dans de nombreuses applications .NET. En l’espèce, l’expert à dénicher des failles RCE dans Barracuda Service Center, Ivanti Endpoint Manager, Umbraco 8 CMS, PowerShell et SQL Server Integration Services de Microsoft.

Dans une prise de parole aussi franche qu'inattendue, le géant de l'IA jette un pavé dans la mare : ses propres technologies futures pourraient devenir des outils de cyberattaques sophistiqués.

OpenAI prévient que ses futurs modèles d'IA atteindront probablement un niveau de risque « élevé » en cybersécurité. Face à des capacités offensives en forte hausse, la firme renforce ses mesures de protection et appelle à une collaboration accrue de l'industrie pour encadrer cette technologie à double tranchant.

OpenAI a officiellement tiré la sonnette d'alarme. Dans un rapport récent, le créateur de ChatGPT avertit que ses prochains modèles d'intelligence artificielle sont sur une trajectoire qui les mènera à présenter un risque « élevé » en matière de cybersécurité.

La région Hauts-de-France annonce la mise en place d’un « plan massif » pour sécuriser les systèmes d’information de ses lycées après la cyberattaque du 10 octobre.

Les extensions de navigateur malveillantes restent un angle mort pour les équipes de cybersécurité de nombreuses organisations. Elles sont devenues un incontournable de l’arsenal des cybercriminels, utilisées pour le vol de sessions et de comptes, l’espionnage, le masquage d’autres activités criminelles, la fraude publicitaire et le vol de cryptomonnaies. Les incidents très médiatisés impliquant des extensions malveillantes sont fréquents, allant de la compromission de l’extension de sécurité Cyberhaven à la publication massive d’extensions de voleurs d’informations.

Les extensions sont attrayantes pour les pirates informatiques, car elles disposent d’autorisations et d’un accès étendu aux informations contenues dans les applications SaaS et les sites Internet. Comme il ne s’agit pas d’applications autonomes, elles échappent souvent aux stratégies de sécurité et aux outils de contrôle standard.

L’équipe de sécurité d’une entreprise doit s’attaquer à ce problème de façon systématique. La gestion des extensions de navigateur nécessite une combinaison d’outils de gestion des stratégies ainsi que des services ou utilitaires spécialisés dans l’analyse des extensions. Ce sujet était au cœur de l’intervention d’Athanasios Giatsos lors du Security Analyst Summit 2025.

Nous avons récemment présenté la technique ClickFix. Aujourd’hui, des acteurs malveillants ont commencé à déployer une nouvelle variante de cette méthode, baptisée « FileFix » par les chercheurs. Le principe fondamental reste le même : utiliser des techniques d’ingénierie sociale pour inciter la victime à exécuter à son insu un code malveillant sur son propre appareil. La différence entre ClickFix et FileFix réside essentiellement dans l’endroit où la commande est exécutée.

Avec ClickFix, les pirates persuadent la victime d’ouvrir la boîte de dialogue Exécuter de Windows et d’y coller une commande malveillante. Par contre, dans le cas de FileFix, les cybercriminels manipulent la victime en lui faisant coller une commande dans la barre d’adresse de l’Explorateur de fichiers Windows. Du point de vue de l’utilisateur, cette action ne paraît pas anormale : la fenêtre de l’Explorateur de fichiers est couramment utilisée, ce qui rend son utilisation moins susceptible d’être perçue comme dangereuse. Par conséquent, les utilisateurs qui ne connaissent pas cette technique sont nettement plus susceptibles de se faire piéger par l’escroquerie FileFix.

Le framework open source de détection et d'extraction de type de contenu a été corrigé cet été pour les formats PDF. Mais la faille dans Tika s'étend à d'autres modules, soulignent les responsables du projet.

La vague de cyberattaques contre les serveurs ESXi survenue le 3 février 2023, avec un rançongiciel baptisé ESXiArgs, a rappelé douloureusement la réalité de la menace pesant sur les infrastructures de virtualisation. Mais elle est loin d’être nouvelle.

Il y a une très bonne raison à cela : frapper un serveur de virtualisation, ça veut dire affecter toutes les machines virtuelles qui s’y exécutent, d’un seul coup. C’est donc le gage d’un fort impact, d’une perturbation significative de l’activité de sa victime. À la clé, pour le cybercriminel, une potentialité renforcée d’obtenir le paiement de la rançon qu’il demande.

Les dernières révélations sur LockBit 3.0 soulignent la manière dont les ex-Conti se sont disséminés, faisant tomber les lignes historiques entre enseignes de ransomware, les reléguant au rôle d’écrans de fumée.

Un piratage informatique a visé un Ehpad de Champdeniers-Saint-Denis, lundi 8 décembre 2025. La direction précise que la continuité des soins n’a pas été affectée. Les familles ont été alertées de risques d’usurpations d’identité.

Dans le cadre de la préparation de l'offre Thunderbird Pro attendue pour 2026, l'équipe de Thunderbird a sollicité des prestataires externes pour réaliser un audit de sécurité de Thunderbird Send, son futur service de partage de fichiers. Cet audit a permis d'identifier et de corriger plusieurs vulnérabilités importantes.

Avec l'abonnement Thunderbird Pro, Thunderbird souhaite proposer une suite complète de services respectueux de la vie privée. Parmi ces services, Thunderbird Send aura un rôle à jouer, notamment pour le partage des pièces jointes : cet outil permettra le partage de fichiers volumineux avec un chiffrement de bout en bout. Il faut le considérer comme l'héritier de Firefox Send.

Microsoft a publié son Patch Tuesday de décembre 2025, soit le dernier de l'année 2025 ! Au total, 57 failles de sécurité ont été corrigées dans les produits et services Microsoft, dont 3 failles zero-day. Voici un récapitulatif

Ce Patch Tuesday contient beaucoup de vulnérabilités importantes, dont 19 vulnérabilités permettant une exécution de code à distance, mais seulement 4 sont considérées comme critiques :

• Microsoft Office : CVE-2025-62554, CVE-2025-62557
• Microsoft Outlook : CVE-2025-62562
• Windows - GDI+ : CVE-2025-60724

[paywall🔒] Enquête En utilisant des données publicitaires d’accès facile, « Le Monde » a pu déterminer avec certitude ou un haut niveau de probabilité l’identité, le domicile et les habitudes de plusieurs dizaines de salariés ou fonctionnaires d’entités sensibles.

...

La faute incombe à une industrie publicitaire boulimique, opaque et hors de contrôle qui extrait chaque jour des smartphones des milliards de données personnelles, et notamment des déplacements précis à quelques mètres près, avant de les revendre. A moins d’une hygiène numérique à toute épreuve, il est difficile de lui échapper.