🔎 Cyberveille

Une vulnérabilité critique a été identifiée dans le code d’Advanced Custom Fields: Extended (ACF Extended), un plugin WordPress qui permet de créer des champs personnalisés (cases, listes, zones de texte, etc.) pour construire des pages et des contenus sur mesure. Dans les détails, le plugin ajoute des fonctionnalités au plugin Advanced Custom Fields (ACF), essentiellement destinées aux développeurs.

Découverte par le chercheur en sécurité Andrea Bocchetti, la faille se situe dans le traitement des formulaires « Insérer un utilisateur / Mettre à jour un utilisateur » d’ACF Extended, précisément dans la gestion du champ du rôle utilisateur. Sur certains formulaires publics ACF Extended, n’importe qui peut se faire passer pour l’administrateur. À la suite d’un manque de contrôles, le plugin accepte qu’un internaute lambda décrète arbitrairement qu’il est l’administrateur du site. En exploitant la faille, un attaquant peut donc s’octroyer des privilèges administrateur sur un site vulnérable.

Une récente décision de justice néerlandaise détaille la façon d’opérer d’un pirate visant des infrastructures portuaires au profit de narcotrafiquants.

Comme le signale un arrêt récent de la cour d’appel d’Amsterdam, cela fait alors environ un mois que le « black hat » est en relation avec les trafiquants de drogue. Ces derniers souhaitent prendre le contrôle de l'informatique des infrastructures portuaires d’Anvers et Rotterdam pour faciliter le déchargement et l’exfiltration de leurs livraisons de drogue.

[Mozilla Foundation] Il existe plus de jouets connectés au cloud que nous ne pouvons en compter. Pendant les fêtes, ce n’est pas seulement l’IA que vous devez surveiller lorsque vous déballez les cadeaux pour les enfants.

Si un jouet est connecté à Internet, il peut envoyer des informations sur vous et vos enfants aux serveurs du fournisseur, ainsi qu’à des sociétés tierces avec lesquelles le fournisseur a conclu des accords de partage de données.

Nous avons commandé une étude à 7ASecurity, un cabinet de conseil en cybersécurité de confiance, pour pirater dix des jouets Internet les plus populaires afin d’évaluer leur niveau de confidentialité et de sécurité.

« Sur les dix jouets intelligents audités pour ce rapport, 7ASecurity a constaté des faiblesses généralisées en matière de sécurité et de confidentialité. Concrètement, cela signifie que de nombreux jouets commercialisés pour les enfants pourraient être utilisés à mauvais escient pour espionner des familles, manipuler ce que les enfants entendent ou voient, ou exposer des données sensibles. »

En 2025, on parlait de secrets hardcodés. En 2026, le problème a muté : tool poisoning, conversation hijacking, supply chain compromise. MCP n'est pas 'LE' vecteur d'attaque de l'ère agentique — mais il cristallise toutes ses failles, parce qu'il donne aux agents un accès réel aux systèmes.

La Commission européenne veut rendre obligatoire le bannissement des équipementiers jugés à risque pour la sécurité des réseaux, comme les chinois Huawei et ZTE. Ce projet de loi vise à harmoniser les pratiques des États membres et impose aux opérateurs un délai de trois ans pour retirer ces infrastructures

Une extension malveillante fait évoluer les attaques ClickFix en provoquant volontairement le crash du navigateur. Une approche plus convaincante, conçue pour leurrer les internautes, et ciblant en priorité les environnements d’entreprise.

L'Urssaf a lancé lundi un appel à la vigilance sur des risques d'hameçonnage après la détection d'un accès frauduleux à une interface contenant des données des déclarations préalables à l'embauche, 12 millions de salariés étant potentiellement concernés.

"L'Urssaf a constaté un accès non-autorisé à l'API (l’interface, NDLR) contenant certaines données de la déclaration préalable à l'embauche, réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis", explique l'institution dans un communiqué.

Les données qui ont été "consultées et potentiellement extraites" sont les noms, prénoms, dates de naissance, Siret de l'employeur et dates d’embauche de 12 millions de salariés embauchés depuis moins de trois ans, précise l'Urssaf.

Les dégâts financiers et matériels que peuvent occasionner une attaque informatique sont considérables. Si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée. Ce fort potentiel de déstabilisation exige, à la fois des organisations cibles et des prestataires de cybersécurité, un savoir-faire dans l’endiguement de ces cyber-attaques, dans la reprise de contrôle du système d’information compromis et dans le rétablissement d’un état de fonctionnement suffisant. La remédiation est l'étape clé pour y parvenir. Elle constitue l’une des dimensions majeures de la réponse à incident cyber, avec l’investigation et la gestion de crise.

L’ANSSI est engagée avec l’écosystème de sécurité informatique, à l’élaboration, et la diffusion des piliers doctrinaux de la mise en œuvre et du pilotage de la remédiation. Elle publie un corpus doctrinal qui s’articule en trois volets (stratégique, opérationnel, technique) et a vocation à s’enrichir progressivement.

En plus d’être menée et pilotée, la remédiation nécessite une préparation. La préparation à la remédiation permet de faciliter l'élaboration et l'exécution de la réponse à un incident de sécurité et fluidifie les conditions d'interventions d'équipe en charge de remédier à l'attaque. Cette préparation peut se faire en anticipation, avant que la détection d'un incident n'ait lieu et quand les équipes ne sont pas spécifiquement mobilisées; ou elle peut se faire lors de la réaction d'un incident détecté, dans un temps contraint et en amorce de la remédiation.

Ce document vient compléter le volet opérationnel de la remédiation. Il aide à la mise en œuvre ou à l'identification des actions citées parmi les activités du guide « Piloter la remédiation » de cette même collection (Piloter la remédiation | MesServicesCyber). Il s’appuie sur des retours opérationnels de l’ANSSI et il est aussi issu d’ateliers avec des prestataires en réponse à incident qui ont bien voulu partager leurs expériences.

Une nouvelle faille de sécurité importante a été corrigée dans PAN-OS, le système utilisé par les firewalls de chez Palo Alto Networks. Quels sont les risques ? Comment se protéger ? Voici l'essentiel à savoir.

Le mercredi 14 janvier 2026, une nouvelle vulnérabilité importante, estampillée CVE-2026-0227 (score CVSS de 7.7 sur 10), a été dévoilée par Palo Alto Networks au travers d'un bulletin de sécurité. Elle affecte le système PAN-OS des firewalls Palo Alto (Next-Gen Firewall) et Prisma Access.

En exploitant cette faille de sécurité, un attaquant distant non authentifié peut causer un déni de service sur le pare-feu. Cela signifie que le firewall est susceptible de redémarrer. Le pire, c'est que des tentatives d'exploitation répétées pourront faire entrer le firewall en mode maintenance, ce qui le rend inactif. Pour l'entreprise, ce comportement est synonyme d'interruptions de service.

L'entreprise Mandiant, filiale de Google, vient de lâcher une bombe : des rainbow tables de 8 To permettant de casser n'importe quel hash de mots de passe NTLMv1. Ce protocole obsolète est pourtant encore très utilisé dans les environnements Windows.

Jeudi 15 janvier 2026, la société Mandiant a publié sur Google Cloud une rainbow table spécifiquement conçue pour s'attaquer au hash Net-NTLMv1. Concrètement, cette base permet à n'importe qui, autant aux défenseurs qu'aux attaquants, de retrouver un mot de passe en clair à partir de son empreinte en moins de 12 heures.

Pour cela, il n'est pas nécessaire de disposer d'un supercalculateur : du matériel grand public, facile à se procurer et abordable (moins de 600 dollars) suffit amplement. Mandiant n'a pas donné d'exemple de matériel.

Mandiant précise : "En publiant ces tables, Mandiant vise à abaisser la barrière pour que les professionnels de la sécurité puissent démontrer l'insécurité de Net-NTLMv1. Bien que des outils pour exploiter ce protocole existent depuis des années, ils nécessitaient souvent le téléchargement de données sensibles vers des services tiers ou du matériel coûteux pour forcer les clés par brute-force."___

Le chef présumé de Black Basta a été démasqué lors d’une vaste opération de police en Ukraine. Le ressortissant russe est activement recherché par les forces de l’ordre.

Avec l’appui d’Europol et d’Interpol, les forces de l’ordre ukrainiennes et allemandes ont mené une opération d’envergure à l’encontre de Black Basta, l’un des plus redoutables gangs de l’industrie du ransomware. Spécialisé dans la double extorsion, le gang est impliqué dans plus de 600 cyberattaques à l’encontre de grandes entreprises. Le groupuscule est apparu en 2022 et est considéré comme l’un des principaux héritiers de Conti, un ancien mastodonte du ransomware, qui a disparu quelques années plus tôt. Dans le sillage de la guerre en Ukraine, Conti s’est en effet disloqué sous la pression de luttes intestines. Notez que Conti était déjà né sur les centres du gang Ryuk, disparu en 2020.

À Bayonne, un employé municipal a profité d'ordinateurs laissés ouverts et sans surveillance pour détourner près de 3 millions d’euros sur plusieurs années. Une affaire édifiante qui rappelle à quel point une simple négligence numérique peut avoir de lourdes conséquences.

Un couple de retraités a été enlevé à Sallanches par des malfaiteurs réclamant une rançon de 8 millions d'euros en cryptomonnaies. Il s'agit du quatrième enlèvement de ce type en 2026, une affaire désormais traitée par le nouveau Parquet national anticriminalité organisée (PNACO). Cette série d'attaques accentue la pression sur les détenteurs de crypto-actifs en France.

La France fait face à une nouvelle forme de criminalité organisée. Dans la nuit du 14 au 15 janvier 2026, un couple de retraités a été kidnappé à son domicile de Sallanches, en Haute-Savoie. Les ravisseurs, manifestement bien informés, ont rapidement exigé une rançon de huit millions d'euros en cryptomonnaies, ciblant en réalité leur fils, un professionnel reconnu du secteur des actifs numériques.

Les noms, numéros de téléphone, adresses électroniques et postales de ces jeunes titulaires de cette carte dans la région sont désormais vendus sur le dark web.

Le site de la carte avantage jeunes de Bourgogne-Franche-Comté, une carte donnant accès à différentes réductions aux jeunes de moins de 30 ans dans la région, a été victime d'une cyberattaque il y a une dizaine de jours, et les données personnelles de dizaines de milliers de jeunes sont désormais proposées à la vente sur le dark web, a appris lundi 19 janvier ICI Bourgogne(Nouvelle fenêtre), auprès de l'association gestionnaire de cette carte, le Centre régional d'information jeunesse (CRIJ).

Au total, 282 906 noms, numéros de téléphone, adresses électroniques et postales de titulaires de cette carte dans la région sont désormais proposés à la vente sur le dark web par un certain "HexDex2". Pour prouver la réussite de sa cyberattaque, le hacker a publié une première liste de données. Parmi les personnes concernées dans la liste se trouvent plusieurs mineurs. Selon le CRIJ, la fuite ne concerne en réalité qu'environ 100 000 personnes. "Nous avons environ 95 000 jeunes qui ont la carte tous les ans. Dans les données qui ont fuité, on a des doublons. Il y a des noms qui reviennent jusqu'à quatre fois" explique-t-on.

Les derniers correctifs de sécurité ayant transformé des PC fonctionnels en machines bloquées

À force de multiplier les couches de sécurité et les correctifs mensuels, Microsoft semble avoir franchi une ligne rouge. Les dernières mises à jour de sécurité de Windows 11 ont provoqué des dysfonctionnements suffisamment graves pour empêcher certains PC de s’éteindre correctement ou même de laisser leurs utilisateurs se connecter. Un incident majeur, qui a contraint l’éditeur à publier en urgence des mises à jour hors calendrier, révélant une fragilité structurelle de plus en plus difficile à ignorer.

L’affaire aurait pu rester cantonnée à un bogue technique de plus, rapidement corrigé. Mais cette fois, les symptômes touchent au cœur même de l’expérience utilisateur. Un système d’exploitation qui ne s’éteint plus normalement, ou qui bloque à l’écran de connexion, cesse tout simplement de remplir sa mission première. Pour les particuliers, cela se traduit par de la frustration et des manipulations risquées comme l’arrêt forcé. Pour les entreprises, c’est un scénario autrement plus critique, avec des postes immobilisés, des utilisateurs bloqués et des équipes IT mises sous pression.

La direction interministérielle du numérique (DINUM) a détecté le 9/01/26 une intrusion sur (Ouvre une nouvelle fenêtre)HubEE, plateforme d'échange de documents qu'elle opère au bénéfice de plusieurs administrations pour leurs démarches en ligne, notamment certaines proposées sur (Ouvre une nouvelle fenêtre)service-public.gouv.fr.

Dès le 9/01/26, des mesures conservatoires ont immédiatement été mises en place pour bloquer l'attaquant. Les équipes techniques de la DINUM se sont aussitôt mobilisées pour renforcer les mécanismes d'authentification et de surveillance des flux avant de rétablir pleinement le service dès le 12/01/26.

Les travaux menés ont permis d'identifier et de caractériser les données exfiltrées par l'attaquant, de l'ordre de 70 000 dossiers représentant un total de 160 000 documents, contenant pour certains des données personnelles. Une notification a été effectuée auprès de la CNIL et l'information des utilisateurs s'organise avec les administrations concernées.

La Direction de l’immobilier de l’État a été visée par une cyberattaque. L’attaque a obligé le gouvernement à suspendre son portail immobilier jusqu’à nouvel ordre. Les investigations sont en cours.

La Direction de l’immobilier de l’État indique avoir subi une cyberattaque. Le service de l’État qui définit et pilote la politique immobilière de l’État français explique avoir enregistré « un incident de cybersécurité » sur son « portail immobilier ». Ce portail donne accès « aux applications informatiques de la direction de l’immobilier de l’État ». L’incident a eu lieu dans le courant de la semaine dernière.

Une fois n’est pas coutume, la cyberattaque ne s’est pas soldée par un vol de données. Comme l’indique la Direction de l’immobilier de l’État, « aucun vol de données n’a été identifié » par ses équipes. Le portail du service regorge de données de gestion du parc immobilier public, et comprend des inventaires de biens, des informations comptables ou encore des données foncières.

Fuites de données (Eurail, la FFT, Instagram et BreachForums), Microsoft Patch Tuesday corrigeant 113 failles dont une activement exploitée, hôpital belge paralysé par une cyberattaque, évasion de VM ESXi documentée, Cloudflare menace de quitter l'Italie, etc.

Ça s'appelle OGhidra , et c'est une extension qui fait le pont entre le célèbre framework de reverse engineering Ghidra et la puissance des modèles de langage (LLM).

Comme ça, plutôt que de vous péter les yeux sur des milliers de lignes de code décompilé, vous pouvez simplement "discuter" avec les fonctions ou les strings extraites. Grâce à une intégration avec Ollama, OGhidra permet d'interroger les représentations du binaire en langage naturel pour identifier des vulnérabilités, renommer intelligemment des fonctions ou expliquer des algorithmes complexes. Attention toutefois, comme avec tout LLM, les résultats doivent être validés manuellement (les hallucinations, ça arrive même aux meilleurs !).

Le gros avantage ici, vous l'aurez compris, c'est la privacy car tout tourne en local sur votre ordi. L'extension utilise des techniques comme le RAG (Retrieval-Augmented Generation) pour garder le contexte de vos sessions et le CAG (Cache-Augmented Generation) pour optimiser les performances. Prévoyez quand même une machine solide car pour faire tourner des modèles comme gemma3 confortablement, 32 Go de RAM (et une bonne dose de VRAM) ne seront pas de trop.

Caché dans des dossiers ZIP, le malware Gootloader parvient à tromper la vigilance des solutions antivirus pour infecter nos appareils.

...

Il semblerait que le groupe de pirates à l'origine de Gootloader collabore avec un autre acteur malveillant, Vanilla Tempest, auteur du ransomware Rhysida. La méthode de distribution du malware s'effectue par fichier ZIP, ce qui joue un rôle crucial pour échapper à la détection. “L'archive ZIP utilisée dans les campagnes Gootloader actuelles est volontairement corrompue. La plupart des logiciels de décompression, comme 7-Zip et WinRAR, ne parviennent pas à analyser ou extraire correctement son contenu. Cependant, le gestionnaire ZIP intégré à Windows l'ouvre sans problème, permettant ainsi aux cibles d'exécuter le fichier JScript intégré”, explique Expel.

C’est un véritable jeu du chat et de la souris. Comme les solutions de cybersécurité sont de plus en plus performantes pour détecter les liens malveillants dans les e-mails, des cybercriminels tentent de piéger leurs cibles avec des QR codes. Cette variante du phishing, appelée quishing, consiste à envoyer un code à scanner par la cible, à la place d’un lien traditionnel, afin de déjouer les systèmes de protection.

Mais, comme les développeurs de ces systèmes sont aussi réactifs, des cybercriminels utilisent déjà une autre parade : au lieu d’envoyer le QR code malveillant sous forme d’image, ils dessinent celui-ci en utilisant du code HTML.

Pour éviter toute propagation de l'infection, le groupe a déconnecté une partie de ses serveurs, ce qui a rendu les sites de plusieurs de ses filiales inaccessibles. Kyowon, l’un des plus importants conglomérats de Corée du Sud, a confirmé, le 11 janvier 2026, être victime d’une attaque par rançongiciel. Actif à l’origine dans l’édition et l’éducation, le groupe s’est diversifié, notamment dans les loisirs, l’hôtellerie et les services à la vie quotidienne. Le 10 janvier au matin, ses équipes informatiques ont identifié une activité anormale sur les SI du conglomérat. Pour éviter toute propagation, Kyowon a alors déclenché un plan d’urgence, en isolant les serveurs affectés.

Les détails du piratage du ministère de l’Intérieur commencent à émerger. Ce mardi 13 janvier, Laurent Nuñez, auditionné au Sénat, a en effet donné de nouveaux détails sur cette cyberattaque qui a secoué son ministère à la mi-décembre

Tout avait commencé, selon l’état actuel des investigations, le 25 novembre 2025. La direction générale de la police nationale réalise que des boîtes mails de ses agents, les seuls concernés par l’intrusion, ont été compromises. Des fonctionnaires signalent en effet ne plus pouvoir accéder à leur messagerie après un changement de mot de passe. La façon dont leur messagerie a été comprise n’a pas été détaillée.

Comme la Place Beauvau, qui va mettre sur le dossier son centre de cyberdéfense, et l’Anssi vont le comprendre ensuite, l’attaquant ne se contente pas de prendre la main sur les mails. Il effectue une cinquantaine de recherches autour de différents mots clés, comme « secret », « mot de passe » ou des noms d’applications. Une technique fructueuse, puisqu’il retrouve alors dans des messages des mots de passe échangés en clair.

À l’issue d’une consultation publique, la CNIL publie ses recommandations sur le recueil du consentement multi-terminaux (cross-device). L’objectif est d’aider les acteurs à recueillir un consentement conforme aux exigences du RGPD.

Face aux offensives numériques attribuées aux Russes et aux Chinois, l’Alliance muscle sa défense. A Tallinn, 36 pays ont participé à l’exercice Cyber Coalition 2025. Objectif : renforcer la coopération et la réactivité.

Le 4 décembre, c’est l’effervescence d’une ruche à l’intérieur du massif immeuble postsoviétique abritant le centre d’excellence cyber CR14 du ministère de la Défense estonien, à Tallinn, capitale du pays. En ce septième et dernier jour d’exercice, dans la salle de commandement aux tentures beiges donnant un faux air d’abri militaire, s’activent quelque 200 gradés, dont les nuances de treillis marquent le cosmopolitisme. Concentrés, les traits tirés par la fatigue accumulée, les coordinateurs nationaux de 36 pays, chacun dans un box séparé par de minces cloisons affichant son drapeau, vérifient que la simulation, préparée depuis plus d’un an, se déroule sans accrocs. Bienvenue à la Cyber Coalition 2025, la dernière édition de l’exercice annuel de cyberdéfense de l’Otan.