🔎 Cyberveille

Todd C. Miller, mainteneur historique de sudo, cherche un sponsor pour continuer à faire vivre l’outil. Il explique entretenir sudo depuis plus de 30 ans, et sollicite un financement pour assurer maintenance et développement. Pour comprendre cette tension, il faut revenir à un point simple : sudo est petit, mais il est placé au pire endroit possible, la frontière des privilèges.

Sudo, un pilier tenu par un seul homme Sudo est un utilitaire en ligne de commande qui permet à des utilisateurs autorisés d'exécuter certaines commandes au nom d'un autre compte, généralement l'administrateur, sous des règles de contrôle précises. C'est la clé qui sépare un utilisateur lambda d'un utilisateur capable de démonter le système de l'intérieur. Sans ce filtre, les entreprises seraient contraintes de distribuer des accès root massifs, ou d'accepter un risque de sécurité stratosphérique.

Le groupe APT28, alias Fancy Bear, a exploité une faille 0-day dans Microsoft Office pour attaquer des entités publiques, notamment dans plusieurs pays d’Europe de l’Est, dont l’Ukraine. La société de cybersécurité Trellix a publié, le 4 février 2026, un rapport sur une vaste campagne de spearphishing menée par le groupe russe APT28, qui exploitait une faille 0-day dans Microsoft Office pour viser des organisations européennes diplomatiques, maritimes et de transport. Ce rapport complète les récentes révélations du CERT national ukrainien et de Zscaler sur des attaques visant des agences gouvernementales en Ukraine et des organisations publiques en Slovaquie et Roumanie.

L’unité 42 de la société de cybersécurité Palo Alto Networks a publié, le 5 février 2026, un rapport sur une campagne de cyberespionnage ayant compromis 70 institutions appartenant à 37 gouvernements dans le monde. Probablement parrainé par un État, l’acteur de la menace, d’origine asiatique, a également mené « des opérations de reconnaissance » dans 155 pays. Tous les continents sont concernés.

« Au vu de l’ampleur du phénomène, il s’agit probablement de la compromission d’infrastructures gouvernementales la plus étendue et la plus importante menée par un groupe étatique depuis SolarWinds », a déclaré Pete Renals, directeur des programmes de sécurité nationale pour l’unité 42.

Substack a confirmé une intrusion survenue en octobre 2025 mais détectée seulement en février 2026. Des données comme les adresses e-mail et numéros de téléphone ont été dérobées. L'entreprise a corrigé la faille et prévient ses utilisateurs des risques de phishing, tout en enquêtant pour renforcer ses systèmes de protection et regagner la confiance des créateurs et abonnés.

Le 2 février 2026, les chercheurs de Coveware ont publié un article de blog révélant une découverte étonnante. Le ransomware du groupe Nitrogen contient une erreur de programmation catastrophique rendant impossible le déchiffrement des fichiers, même pour les hackers eux-mêmes. C’est une triste réalité que de nombreuses victimes de ransomware connaissent : rien n’assure qu’après le paiement de la rançon, les hackers déchiffrent réellement les systèmes verrouillés.

Mais dans cette affaire, nulle place au doute. Même s’ils le voulaient, les hackers du groupe Nitrogen seraient en réalité incapables de procéder au déchiffrement. La faute à une erreur de programmation relevée par les équipes de Coveware le 2 février 2026.

Flickr a été victime d’une fuite de données chez l’un de ses prestataires. En exploitant une vulnérabilité dans l’outil de messagerie, un tiers a pu consulter des données personnelles sur les clients de la plateforme.

Flickr annonce avoir été victime d’un incident de sécurité. Ce jeudi 5 février 2026, la plateforme de partage de photos et de vidéos a été informée d’une faille de sécurité chez un prestataire.

Quatre vulnérabilités ont été découvertes dans le contrôleur réseau open source Ingress Nginx. Il est largement utilisé dans les déploiements Kubernetes, mais son support doit s'arrêter fin mars.

Alerte sur la sécurité de l’outil open source Ingress Nginx - géré par la CNCF et à ne pas confondre avec le logiciel de serveur web éponyme - avec la découverte de quatre failles. Deux d’entre elles présentent un score CVSS de 8,8. La CVE-2026-1580 est un problème de validation des entrées. Si le contrôleur Ingress Ngnix est paramétré avec une configuration d'erreurs personnalisées par défaut incluant les erreurs HTTP 401 ou 403, et si le backend d'erreurs personnalisées par défaut configuré est défectueux et ne respecte pas l'en-tête HTTP Xcode, alors un Ingress avec l'annotation auth-url peut être accédé même en cas d'échec d'authentification.

Dans cet article, nous allons nous intéresser à une catégorie de cyberattaquants qui s'est spécialisée dans une étape clé d'une cyberattaque : l'accès initial au système d'information et la persistance.

Nous verrons que la simple volonté de compromettre un système d'information et de s'y implanter durablement peut être motivée uniquement par la revente de ces accès, souvent à des acteurs aux intentions encore plus malveillantes

Qu’est-ce qu’un access broker ? Un access broker (ou Initial Access Broker) est un acteur spécialisé de la cybercriminalité dont le rôle est d’infiltrer des systèmes d'information, puis de revendre cet accès non autorisé à d’autres cybercriminels.

L’infrastructure numérique de La Sapienza subit une interruption majeure depuis mardi. Comptant environ 120 000 étudiants, l’établissement romain figure parmi les plus grandes universités européennes. Les systèmes informatiques ont été volontairement désactivés suite à une intrusion malveillante présumée.

La Commission européenne travaille actuellement sur un outil open source à usage interne, qui doit servir de sauvegarde pour le logiciel actuel.

La Commission européenne testerait un logiciel open source pour gérer ses communications internes. C’est ce qu’un porte-parole a déclaré à Euractiv. La Commission jette son dévolu sur Matrix, un protocole de messagerie open source dirigé par une organisation à but non lucratif basée à Londres. L’alternative open source doit servir de sauvegarde au système de communication actuel. Actuellement, la Commission européenne utilise la plateforme de messagerie Signal comme sauvegarde.

Windows est à nouveau dans le viseur des pirates. Les chercheurs de ReliaQuest ont découvert une campagne malveillante qui exploite les fichiers d’économiseur d’écran Windows pour piéger les internautes. La cyberattaque repose en effet sur des fichiers .scr, qui permettent normalement d’installer un économiseur d’écran sur l’ordinateur.

La Fédération française de voile annonce une fuite de données affectant des centaines de milliers de licenciés et ex-licenciés, sans compromission des données bancaires ou médicales

La Fédération française de voile a indiqué jeudi avoir subi une « fuite de données » concernant « plusieurs centaines de milliers » de licenciés et ex-licenciés, affirmant qu’aucune donnée bancaire ou médicale n’avait été compromise. La fédération « a récemment identifié une fuite de données affectant sa plateforme de gestion des licences », qui « résulte de l’utilisation frauduleuse d’un compte club compromis.

L'enquête, dirigée par la section de lutte contre la cybercriminalité du parquet de Paris, a été confiée à la DGSI (Direction générale de la sécurité intérieure).

Le 30 janvier, la police a été avisée que deux personnes de nationalité chinoise étaient suspectées de procéder à des opérations de captation satellitaire depuis leur Airbnb loué en Gironde. A l'origine de l'affaire: des riverains avaient constaté le déploiement d'une parabole d'environ 2 mètres de diamètre, corrélée à une déconnexion internet.

Lors d'une perquisition menée le lendemain, les enquêteurs ont découvert "un système d'ordinateurs reliés à des antennes paraboliques permettant la captation de données satellitaires", qui a été saisi pour exploitation.

Substack a mis plusieurs mois à se rendre compte qu’un pirate avait mis la main sur les données de certains de ses utilisateurs. Adresses e‑mail, numéros de téléphone et métadonnées ont été compromises.

Substack annonce avoir été victime d’une fuite de données. La plateforme en ligne, qui permet à des auteurs, journalistes et créateurs de publier des newsletters, articles, podcasts et vidéos, et de les monétiser, indique qu’un pirate est parvenu à accéder à des données internes en octobre 2025. Dans un mail adressé aux utilisateurs concernés, Substack explique que l’incident a été identifié il y a seulement quelques jours, le 3 février 2025.

La Chine a exécuté fin janvier 2026 11 membres du groupe Ming, lié à des centres de cyberescroquerie au Myanmar. Beijing dit coopérer activement avec Naypyidaw contre la fraude transfrontalière. La Chine a frappé fort. 11 personnes liées aux centres d’escroquerie au Myanmar ont été exécutées le 29 janvier 2026, rapporte la CCTV, la télévision d’État. Membres du groupe criminel Ming, les arnaqueurs ont été condamnés à la peine capitale 4 mois plus tôt pour homicide volontaire, mais aussi pour fraude et gestion de casinos. Si certains avaient fait appel, la Cour populaire supérieure du Zhejiang, à l’est de la Chine, avait confirmé le verdict de première instance le 25 novembre 2025.

03.02.2026 - Ces dernières semaines, l’OFCS a reçu plusieurs annonces relatives à des courriels dont le contenu indiquait que l’expéditeur avait partagé un fichier sur la plateforme Microsoft « SharePoint ». Le lien indiqué dans les messages aboutit effectivement à la plateforme « SharePoint » officielle. Vous découvrirez dans la rétrospective hebdomadaire les mauvaises intentions qui se cachent derrière ces courriels et ce que cela signifie pour les utilisateurs et utilisatrices.

Des cybercriminels exploitent une faille de sécurité surnommée Metro4Shell et qui affecte directement l'écosystème React Native. Elle se situe dans le composant Metro Development Server utilisé par le paquet NPM populaire @react-native-community/cli. Quels sont les risques ? Voici ce que l'on sait.

VulnCheck a publié un nouveau rapport pour évoquer l'exploitation de la CVE-2025-11953 depuis le 21 décembre 2025, avec notamment la découverte d'un 6ème exploit PoC le 3 février 2026. Associée à un score CVSS de 9.8 sur 10, cette vulnérabilité réside au sein de Metro Development Server, un composant clé du paquet npm @react-native-community/cli. L'occasion de préciser que ce paquet est populaire, avec plus de 2 millions de téléchargements par semaine.

Cette vulnérabilité permet à des attaquants distants et non authentifiés d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent, en ciblant le composant vulnérable. Une simple requête POST suffit à exploiter cette faiblesse sur les machines Windows.

Coinbase, le géant américain des cryptomonnaies, a reconnu une nouvelle fuite de données. L’un de ses sous‑traitants a abusé de ses accès à l’outil interne de support pour consulter les données d’une partie des clients. Cet incident survient moins d’un an après une violation analogue. Là encore, c’est un prestataire qui était à l’origine de la fuite.

Coinbase, la plateforme d’échange de cryptomonnaies basée à New York, annonce avoir subi une nouvelle fuite de données. L’incident est survenu dans le courant du mois de décembre 2025, rapporte Bleeping Computer.

Comme l’explique l’exchange numéro 2 du marché des cryptos, son équipe de sécurité a découvert qu’un « seul sous-traitant de Coinbase » a consulté des informations clients en abusant de ses accès à l’interface interne de support. Ce prestataire, en charge de l’assistance clientèle, a accédé « de manière inappropriée aux informations des clients, ce qui a touché un très petit nombre d’utilisateurs ».

L’IA générative face aux attaques informatiques Technologie innovante, performante et flexible, l’IA générative est aujourd’hui employée de manière massive et intégrée à de nombreux usages. Incluant les « grands modèles de langage » (GML) ou Large Language Model (LLM), l’IA générative présente l’avantage de s’intégrer facilement à des outils existants, y compris à ceux d’acteurs cyberoffensifs. Même si elle risque d’alimenter certaines attaques informatiques, elle comporte d’évidentes limites techniques et opérationnelles. Elle peut même devenir la cible de cyberattaques. Cette synthèse fait un état des lieux de la menace que peut représenter aujourd’hui l’IA générative et des menaces qui la ciblent.

Cyberattaques, l’IA générative comme levier Force est de constater que des modèles d’IA générative sont utilisés et détournés à différentes étapes d’une attaque informatique pour effectuer du profilage de victime, concevoir du contenu à des fins d’ingénierie sociale ou encore développer des programmes malveillants. Cependant, leur utilisation dépend du niveau de compétences et des objectifs poursuivis : pour les acteurs les plus avancés, l’IA générative représente un outil de gain de performance et de passage à l’échelle tandis que pour les acteurs moins expérimentés, elle représente davantage un outil d’apprentissage.

Pour l’heure, l’ANSSI statue qu’aucun système d’IA générative officiel ou débridé n’a été en mesure de mener de manière autonome toutes les étapes d’une attaque informatique.

L’IA générative, potentielle victime La seconde partie de la synthèse décrit de quelle manière les systèmes d’IA deviennent également des cibles. En effet, les systèmes de LLM sont susceptibles d’être victimes d’empoisonnement de modèles à des fins d’altération de données ou de désinformation. Ils peuvent également être ciblés à des fins de compromission de chaine logicielle ou d’exfiltration de données, illustrant une nouvelle fois l’adaptabilité des attaquants aux nouveaux usages numériques dans un contexte professionnel.

La situation évolue vite et doit faire l’objet de vigilance L’ANSSI prévient du caractère rapide de l’évolution des usages par les attaquants et les organisations, ce qui impose une réévaluation régulière de la menace.

La Gendarmerie nationale a lancé, cette semaine, une alerte sur les réseaux sociaux. Des fraudeurs parviennent désormais à afficher le vrai numéro de votre brigade locale lorsqu'ils vous appellent. Leur objectif est de se faire passer pour des gendarmes afin de récupérer vos coordonnées bancaires, en prétextant un prélèvement frauduleux sur votre compte, ce qui inquiète les forces de l'ordre.

Des escrocs qui falsifient le numéro de votre gendarmerie Les escrocs maîtrisent bien ce que l'on appelle le spoofing, une manipulation technique qui truque l'affichage du numéro appelant. Elle est d'autant plus redoutable que, oui, c'est bien le vrai numéro de votre brigade qui s'affiche, alors que l'appel provient de malfrats situés n'importe où. Cette crédibilité instantanée dont ils profitent fait toute la différence. Même les personnes habituellement méfiantes baissent leur garde face à ce qu'elles croient être une autorité légitime.

En 2024, 141 « événements de cybersécurité » en lien avec les Jeux olympiques avaient été signalés à l’Agence nationale de la sécurité des systèmes d’information pendant la compétition, sans qu’aucun ait affecté le bon déroulement des épreuves. L’Italie affirme avoir déjoué une série de cyberattaques russes contre des sites liés aux Jeux olympiques (JO) d’hiver de Milan-Cortina, dont des hôtels et plusieurs sites du ministère des affaires étrangères, a annoncé le chef de la diplomatie italienne, Antonio Tajani, deux jours avant la cérémonie d’ouverture. « Il s’agit d’actions d’origine russe », a-t-il ajouté.

Hugging Face, plateforme dédiée aux modèles et aux données d’entraînement en IA, a été détournée par des cybercriminels pour diffuser des logiciels malveillants sur des appareils Android.

Hugging Face, plateforme de partage de modèles de langage, de données d’entraînement et d’applications d’intelligence artificielle accessibles au téléchargement et au développement collaboratif, a récemment été exploitée par des acteurs malveillants pour diffuser des applications Android infectées, rapporte le site spécialisé Bleeping Computer, citant une analyse de l’éditeur de cybersécurité Bitdefender.

L'éditeur américain Malwarebyte, spécialisé dans les solutions de cybersécurité, annonce son intégration au sein de ChatGPT. Il devient alors le premier antivirus à déployer son expertise directement dans l'interface du chatbot d'OpenAI.

Des documents internes du Département fédéral des affaires étrangères ont été stockés par erreur dans le cloud de Microsoft. Le DFAE confirme une faille partielle dans ses dispositifs de sécurité, dans un contexte de dépendance accrue de l’administration fédérale aux services cloud américains.

Des documents internes du Département fédéral des affaires étrangères (DFAE) ont été stockés par erreur dans une infrastructure cloud opérée par Microsoft, selon une enquête publiée par la NZZ am Sonntag. Les informations concernées étaient classifiées au niveau «interne», un degré qui, selon la législation suisse, peut déjà représenter un risque pour les intérêts de politique étrangère ou pour la sécurité intérieure et extérieure du pays.

Le DFAE a confirmé l’existence de cette faille. Selon le département, le dispositif technique destiné à empêcher le transfert de documents classifiés vers le cloud ne fonctionne actuellement que partiellement, ce qui a permis le stockage involontaire de certains fichiers internes sur des serveurs exploités par Microsoft.

Une faille connue, révélée par un audit interne Le problème n’était pas totalement inconnu des autorités. Toujours d’après la NZZ am Sonntag, un audit interne mené durant l’été précédent avait déjà jugé insuffisantes les mesures de sécurité en place. Le rapport signalait notamment que des documents classifiés avaient été stockés de manière incorrecte, sans que le contenu précis des fichiers concernés ne soit rendu public.

Le DFAE indique toutefois que les documents soumis à des niveaux de classification plus élevés n’ont pas été affectés. À la suite de ces constats, le département affirme avoir renforcé la sensibilisation de ses collaborateurs aux règles de gestion et de stockage des données sensibles.

Don Ho, principal mainteneur de l'éditeur de texte Notepad++, est revenu lundi sur le piratage survenu au niveau du composant en charge des mises à jour du logiciel, révélé en décembre dernier. Dans un billet de blog en forme de post-mortem, il affirme avoir changé d'hébergeur et mis en place les garanties techniques nécessaires à la prévention de tout nouvel incident.

Le piratage avait été confirmé le 9 décembre dernier, lors de la sortie de Notepad++ v8.8.9. Alerté par des signalements d'utilisateurs, puis par les vérifications opérées par certains experts en cybersécurité, Don Ho avait révélé la compromission du serveur chargé de distribuer les mises à jour du logiciel, via un composant interne baptisé WinGUp. Il expliquait alors :

« L'analyse des rapports a révélé une faille dans la manière dont le programme de mise à jour vérifie l'intégrité et l'authenticité du fichier de mise à jour téléchargé. Si un attaquant parvient à intercepter le trafic réseau entre le client du programme de mise à jour et l'infrastructure de mise à jour de Notepad++, il peut exploiter cette faille pour inciter le programme de mise à jour à télécharger et exécuter un fichier binaire indésirable (au lieu du fichier de mise à jour légitime de Notepad++). »