🔎 Cyberveille

Deux articles de recherche distincts démontrent clairement comment les systèmes virtuels peuvent être compromis dans un environnement hostile, notamment lorsque le propriétaire des données ne peut même pas faire confiance au fournisseur de services cloud.

Les processeurs de serveurs modernes intègrent un environnement d’exécution de confiance (Trusted Execution Environment, TEE) pour le traitement des informations particulièrement sensibles. Il existe de nombreuses mise en œuvre du TEE, mais deux d’entre elles sont particulièrement pertinentes dans le cadre de cette discussion : Intel Software Guard eXtensions (SGX) et AMD Secure Encrypted Virtualization (SEV). Presque simultanément, deux équipes de chercheurs distinctes, l’une aux États-Unis et l’autre en Europe, ont découvert indépendamment des méthodes très similaires (bien que distinctes) pour exploiter ces deux mises en œuvre. Leur objectif était d’accéder aux données chiffrées stockées dans la mémoire vive. Les articles scientifiques détaillant ces résultats ont été publiés à quelques jours d’intervalle :

• Le projet WireTap: Breaking Server SGX via DRAM Bus Interposition est le fruit du travail de chercheurs américains. Il détaille le piratage réussi du système Intel Software Guard eXtensions (SGX). Ils y sont parvenus en interceptant l’échange de données entre le processeur et le module RAM DDR4. Dans la publication Battering RAM, des scientifiques belges et britanniques ont également réussi à compromettre le système Intel SGX, ainsi que le système de sécurité équivalent d’AMD, SEV-SNP, en manipulant le processus de transfert de données entre le processeur et le module RAM DDR4.

• Dans la publication Battering RAM, des scientifiques belges et britanniques ont également réussi à compromettre le système Intel SGX, ainsi que le système de sécurité équivalent d’AMD, SEV-SNP, en manipulant le processus de transfert de données entre le processeur et le module RAM DDR4.

Des acteurs malveillants abusent de sites Internet légitimes pour héberger des liens cachés pour le référencement. Nous décrivons leurs tactiques et les mesures que vous pouvez prendre pour y faire face.

Face à la recrudescence des tentatives d’escroqueries de patients sur Doctolib, la plateforme vient de mettre en ligne un guide pour sensibiliser et protéger ses utilisateurs

Des mails ou SMS de Doctolib qui vous demandent de décaler un rendez-vous ou vous proposent un remboursement suite à une consultation. Le message paraît fiable, il s’agit pourtant d’une arnaque. Depuis quelques mois, de nombreux escrocs se font passer pour le service médical, utilisé par plus de 45 millions de Français, afin de piéger ses utilisateurs.

La semaine écoulée a une nouvelle fois mis en lumière la diversité et l’ampleur des menaces cyber qui pèsent sur les organisations à travers le monde.

Dans cette édition du Cyberhebdo, nous avons recensé sept cyberattaques majeures rapportées dans la presse internationale, touchant des acteurs situés en Irlande (IRL), en Suède (SWE), au Japon (JPN), à Taïwan (TWN), en Allemagne (DEU) et aux États-Unis (USA). ...

24/10/2025 - Svenska kraftnät (SWE) Svenska kraftnät, opérateur du réseau de transport de l'électricité en Suède, a confirmé avoir subi une attaque informatique, mais aucune indication n'a été trouvée que le système électrique a été affecté. Les autorités compétentes ont été impliquées pour enquêter sur l'incident, revendiqué par Everest. Svenska kraftnät est responsable de l'exploitation du réseau principal et du fonctionnement du système électrique en cas de crise, de guerre ou de perturbations graves.

Le FBI peut déverrouiller votre smartphone Pixel ? Apparemment oui, grâce à Cellebrite. Mais une fuite montre que GrapheneOS (un Android alternatif) protège bien mieux vos données.

Une présentation interne de Cellebrite a fuité. Et elle confirme ce qu’on savait déjà : vos Pixel 6 à 9 peuvent être déverrouillés par les forces de l’ordre américaine.

Mais il y a quelque chose d’intéressant. GrapheneOS, l’OS Android alternatif obsédé par la sécurité, résiste bien mieux que l’Android standard de Google.

La slide qui circule sur les forums montre exactement quels modèles sont vulnérables, dans quelles conditions, et jusqu’à quelle version logicielle.

Ce nouvel agent de cybersécurité est capable d'identifier, d'expliquer et de contribuer à corriger les vulnérabilités.

• OpenAI a lancé Aardvark, un agent de recherche en cybersécurité.
• Aardvark, basé sur GPT-5, est actuellement en version bêta privée.
• Il peut découvrir et contribuer à corriger les failles de sécurité.

À partir du 3 novembre prochain, une nouvelle politique entre en vigueur pour les extensions Firefox. Elle oblige les développeurs à spécifier si leurs modules collectent ou transmettent des données personnelles.

Cette obligation de transparence s'appliquera initialement aux nouvelles soumissions sur le portail addons.mozilla.org (AMO).

par Hexatrust - groupement d’entreprises spécialisées en cybersécurité

La récente annonce de la nomination de Stéphane Israël à la tête d’AWS European Sovereign Cloud vient ajouter un nouvel épisode à un phénomène qui balaie la France et l’Europe ces derniers mois : le mot « souveraineté » est partout. Sa réalité technologique, elle, semble au mieux confuse, au pire nulle part.

Pourtant, à l’heure où le contexte géostratégique et l'augmentation des risques en cyber-résilience accélèrent l’augmentation des exigences de sécurité des organisations européennes, le choix d’un service cloud doit s’opérer vers une solution sécurisant simultanément les aspects techniques, juridiques et opérationnels. D’où l’importance de s’accorder sur la définition de la souveraineté quand celle-ci devient un critère majeur de confiance et d’achat.

Selon une analyse de Microsoft, les acteurs russes multiplient les cyberattaques contre les pays de l'OTAN dans un contexte de tensions croissantes. Selon une nouvelle analyse de Microsoft, les cyberattaques russes contre les pays de l'OTAN ont augmenté de 25 % en un an.

Si l'Ukraine reste la principale cible de la Russie, le rapport révèle que les dix autres pays les plus visés sont tous membres de l'OTAN.

Vingt pour cent des cyberattaques russes ont visé les États-Unis, suivis du Royaume-Uni (12 %) et de l'Allemagne (6 %).

La Belgique, l'Italie, l'Estonie, la France, les Pays-Bas et la Pologne ont été la cible de 5 % ou moins des cyberattaques russes.

Ces résultats interviennent dans un contexte de tensions croissantes entre la Russie et l'Union européenne. Au début du mois, la présidente de la Commission européenne, Ursula von der Leyen, a accusé la Russie de mener une "campagne de zone grise délibérée et ciblée" contre l'Europe à la suite d'incursions de drones au-dessus de son espace aérien, la qualifiant de "guerre hybride".

Alors que nous générons de plus en plus de données dans nos usages numériques se pose la question de leur devenir après notre mort. Un proche ou un héritier peut-il exercer des droits sur les comptes et données d’un défunt ? Quelle est la procédure à suivre ?

Trois semaines après la cyberattaque qui a touché de nombreux lycées des Hauts-de-France, la région annonce que les opérations de remise en état des outils informatiques administratifs sont quasiment terminées. En ce qui concerne la partie pédagogique, la reprise est en cours.

Trois semaines après la cyberattaque qui a touché de nombreux lycées des Hauts-de-France, la région annonce que les opérations de remise en états des outils informatiques administratifs sont quasiment terminés. La reprise des services pourra avoir lieu lundi, pour la rentrée. Les services académiques ont élaboré un kit de reprise administrative à l’attention des personnels pour toutes les procédures administratives et budgétaires.

Google et Amazon auraient accepté, dans un contrat très lucratif avec l'État israélien, un mécanisme pour contourner d'éventuels contrôles d'autres juridictions, selon des documents obtenus par le Guardian.

Si Microsoft a largement fourni l’armée israélienne en cloud et IA, c'est bien ses deux concurrents qui ont obtenu en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Projet qui, au sein de Google, a fait des remous récemment puisque l'entreprise a licencié 28 de ses employés en janvier dernier après des manifestations de salariés dans les locaux.

Le malware Airstalk utilise l’API AirWatch de gestion mobile, rebaptisée Workspace ONE Unified Endpoint Management, pour établir un canal de communication covert de type Command and Control (C2). Cette méthode d’échange de données détourne des fonctionnalités prévues pour la gestion des appareils mobiles afin de masquer ses activités. Des variantes en PowerShell et en .NET permettent au logiciel malveillant d’exécuter des tâches multiples telles que la capture d’écran, la collecte de cookies et l’extraction de l’historique ou des marque-pages des navigateurs web, ciblant spécifiquement des navigateurs grand public comme Chrome et Edge, ainsi que le navigateur d’entreprise Island. Airstalk se distingue par une architecture multi-threaded qui optimise ses capacités pour une collecte de données furtive et une persistance durable sur les systèmes infectés.

Un nouveau malware Android baptisé Herodotus se propage dans plusieurs pays. Ce virus d’un parvient à imiter le comportement humain afin contourner les protections d’Android. Son but : piller votre compte en banque et voler toutes vos données.

Les smartphones Android sont la cible d’un nouveau logiciel malveillant. Découvert par les experts de Threat Fabric, le malware a été baptisé Herodotus. Il se distingue par sa capacité à contourner les mécanismes de détection et de sécurité d’Android en se faisant passer pour un être humain.

Concrètement, le virus est capable de simuler la manière dont un être humain tape du texte sur le clavier smartphone. En imitant le comportement d’un véritable utilisateur, Herodotus berne les solutions de sécurité. Il peut alors faire ce qu’il veut sur le smartphone sans la moindre entrave.

• Le chèque énergie sera bientôt envoyé aux bénéficiaires
• Certains Français ne sont pas automatiquement enregistrés par le ministère de l’Économie et doivent exceptionnellement en faire la demande
• Les escrocs profitent de cette confusion pour lancer une campagne de phishing à grande échelle qui peut coûter cher aux victimes

• Basé sur Firefox ESR 140, Tor Browser 15.0 est disponible sur desktop et Android.
• Le navigateur libre y améliore notamment ses onglets et sa sécurité.

Dans cet article Anthony, formateur Hacking et Sécurité, présente les failles de sécurité les plus critiques observées cette année (jusqu’en octobre 2025). Une faille est dite critique lorsqu’elle permet à un attaquant d’obtenir un accès à distance au système, parfois même sans authentification.

L’impact est évalué à l’aide du référentiel « Common Vulnerabilities and Exposures » et du « Common Vulnerability Scoring System », noté de 0 à 10 ; au-delà de 9, on parle généralement de vulnérabilité critique. Comme des dizaines de nouvelles failles sont publiées chaque jour, il est impossible d’être exhaustif, et la médiatisation ne reflète pas toujours la gravité réelle.

Souvenez-vous, il y a un peu plus d’un an, Free a subi une cyberattaque ravageuse qui a permis de dérober certaines informations de ses clients et notamment leurs IBAN. Ces précieuses données personnelles sont aujourd’hui utilisées par des acteurs malveillants qui ont lancé une campagne de phishing.

Quatre pays européens, la France, l'Allemagne, l'Italie et les Pays-Bas, ont annoncé mercredi la création d'un consortium qui aura pour but de développer des infrastructures numériques souveraines dans la cybersécurité, l'IA et le cloud.

Dans les dernières semaines, le Centre pour la cybersécurité et la Gendarmerie royale du Canada ont reçu plusieurs signalements d'incidents liés à des systèmes de contrôle industriels (SCI) accessibles depuis Internet. L'un des incidents touchait une installation de traitement de l'eau. Des valeurs de pression d'eau ont été trafiquées, ce qui a entraîné une dégradation du service dans le secteur desservi par cette installation. Un autre incident s'est produit dans une entreprise pétrolière et gazière canadienne. Une jauge magnétique à lecture directe a été manipulée, ce qui a déclenché de fausses alarmes. Dans le cadre d'un troisième incident, qui a touché une ferme canadienne, les niveaux de température et d'humidité d'un silo de séchage du grain ont été manipulés, ce qui aurait pu entraîner des conditions dangereuses s'ils n'avaient pas été découverts à temps.

Dans un rapport publié le 27 octobre 2025, la société de cybersécurité Kaspersky revient sur une vaste campagne de cyberespionnage ayant pris pour cible le navigateur Google Chrome. Les pirates sont parvenus à contourner la sandbox du navigateur afin d’infecter de nombreuses victimes. Nous sommes en mars 2025 et les chercheurs de la société de cybersécurité Kaspersky détectent une vague d’infections touchant des organisations gouvernementales et financières russes.

L’attaque est particulièrement efficace. Nul besoin de télécharger une pièce jointe ou de procéder à une manipulation complexe, il suffit que la victime clique sur un lien issu d’un message de phishing pour être infectée.

• La Corée du Nord a volé 2,84 milliards de dollars en cryptomonnaies depuis janvier 2024, dont 1,65 milliard rien qu’entre janvier et septembre 2025.
• Pyongyang déploie entre 1 000 et 1 500 travailleurs informatiques en Chine et prévoit d’en envoyer jusqu’à 40 000 en Russie.
• Les autorités américaines ont sanctionné en août un réseau de travailleurs informatiques nord-coréens, marquant un tournant dans la lutte contre cette menace.
• Des dizaines de millions de dollars du piratage de Bybit ont été récupérés, démontrant l’efficacité croissante des outils de traçage.

Un piratage a visé une société de sécurité maritime. Parmi les données exposées: des rapports confidentiels d’incidents survenus lors de voyages.

• Des pirates informatiques ont dévoilé des rapports d’incidents sensibles de MSC Croisières.
• Un document révèle l’agression présumée d’une passagère suisse de 11 ans.
• Les crimes en mer échappent souvent à toute juridiction claire.

Dans une étude publiée le 28 octobre 2025, les chercheurs de la société de cybersécurité Socket alertent sur la présence de 10 paquets malveillants cachés dans la bibliothèque en ligne npm. La plateforme est utilisée par des millions de développeurs à travers le monde pour bâtir des logiciels informatiques.

Un chercheur en sécurité, Jose Pino, a trouvé un important problème dans Chrome, qui peut rejaillir dans tous les navigateurs basés sur Chromium. Il ne peut pas en l’état être utilisé pour pirater une machine, mais il peut occasionner un plantage complet du navigateur, voire de la machine selon la configuration utilisée.