🔎 Cyberveille

Depuis plusieurs semaines, des utilisateurs et utilisatrices reçoivent des mails PayPal officiels mentionnant des achats qu’ils n’ont jamais effectués. Une arnaque particulièrement sournoise, qui détourne certaines fonctionnalités de la plateforme pour piéger ses victimes.

Recevoir une alerte PayPal annonçant la fin d’un paiement automatique n’a rien d’exceptionnel. En revanche, lorsque ledit mail mentionne soudain l’achat d’un MacBook ou d’un iPhone à plus de 1 300 dollars, il y a légitimement de quoi s’inquiéter. Voilà l'expérience qu’ont récemment rapportée plusieurs utilisateurs et utilisatrices sur Reddit, destinataires de messages en apparence tout ce qu’il y a de plus officiels. Alerté par ces signalements, Bleeping Computer s’est penché sur la question et a mis au jour une arnaque d’un genre particulier. Les escrocs impliqués ne cherchent pas à imiter PayPal, mais détournent certaines fonctionnalités de la plateforme pour pousser leurs victimes à contacter un service client frauduleux.

Une extension Chrome malveillante a été débusquée. Recommandée par Google, elle siphonne en douce les conversations d’IA de millions d’internautes. L’extension est taillée pour les échanges sur des chatbots comme ChatGPT, Gemini ou Perplexity. Elle enfreint les règles édictées par Google pour protéger les données de ses utilisateurs.

Les experts de Koi Security pointent du doigt une nouvelle extension Google Chrome disponible sur le Chrome Web Store. Baptisée Urban VPN Proxy, l’extension était présentée comme un outil de confidentialité reposant sur un service de VPN. Recommandée par Google en personne, l’extension affichait une note de 4,7 étoiles. Forte de l’avis positif des internautes, l’extension a été installée plus de 6 millions de fois.

La plateforme de streaming audio SoundCloud est affectée par un incident de sécurité : les pirates ont pu mettre la main sur des informations au sujet des utilisateurs. Cette cyberattaque est aussi liée aux problèmes d'accès à SoundCloud si vous utilisez un VPN. Voici ce que l'on sait. ... En l'occurrence, l'adresse e-mail est affectée par cette fuite de données, tandis que les autres informations sont celles déjà visibles sur le profil public des utilisateurs. Même si les pirates ont pu se constituer une belle base de données, SoundCloud précise qu'ils n'ont pas eu accès à des informations sensibles comme le mot de passe. D'après BleepingComputer, cet incident de sécurité impacterait 20% des utilisateurs de la plateforme, soit environ 28 millions de comptes.

Nous ignorons quel est le groupe de pirates à l'origine de cette attaque, mais toujours d'après BleepingComputer, le redoutable groupe ShinyHunters serait à l'origine de cet acte malveillant. SoundCloud n'a apporté de précision à ce sujet, ni même comment ils ont pu accéder à ce système interne : il est fort probable que le compte d'un salarié de SoundCloud ait été compromis.

...

Un message a été publié samedi 13 décembre à 18 heures sur le site BreachForums, dédié au piratage informatique. Son auteur explique avoir « réussi à compromettre » le ministère de l’Intérieur et avoir eu accès aux fichiers de police de 16,4 millions de Français.

Ce groupe inconnu affirme agir en représailles du démantèlement du groupe de hackers « Shiny Hunters » par la France il y a quelques mois. « Nous donnons une semaine à la France pour nous contacter afin de négocier ce qu’il adviendra de ses fichiers. Plus vous tardez, plus nous divulguerons de données », se termine le message. Cet ultimatum se terminerait donc samedi 20 décembre, à 18 heures.

Washington préparerait une stratégie nationale de cybersécurité qui enrôlerait explicitement les entreprises privées dans des opérations cyber offensives. Selon les informations révélées par Bloomberg, le texte en cours d’arbitrage formaliserait la participation d’acteurs industriels à des actions de perturbation, de neutralisation ou de riposte contre des États et des groupes criminels. Cette inflexion ne constitue pas une rupture isolée, mais l’aboutissement d’un ensemble cohérent d’initiatives et de publications récentes du gouvernement américain.

Google tire la sonnette d’alarme. Une faille critique baptisée « React2Shell » permet à des cybercriminels, dont des groupes liés à la Chine, de prendre le contrôle de serveurs informatiques. La faille permet aux pirates d’espionner, de préparer des sabotages et de miner illégalement de la cryptomonnaie…

C’est la question que je me suis posée il y a quelques semaines : comment est-il possible, via une licence Cloudflare gratuite, de récupérer les alertes de sécurité du pare-feu afin de les reporter vers la plateforme AbuseIPDB, qui centralise un très grand nombre d’incidents de sécurité ?

L’approche est assez proche de la technique que j’avais présentée dans un précédent article, basée sur Fail2ban et Portsentry.

Comment les pirates utilisent des sites factices générés par l’IA pour distribuer des versions de l’outil d’accès à distance Syncro (RAT) infectées par des chevaux de Troie.

Nous avons récemment détecté une nouvelle campagne malveillante qui suit une approche plutôt intrigante. L’acteur crée ses propres versions signées d’un réel outil d’accès à distance (RAT). Pour les distribuer, ils utilisent un service assisté par IA afin de générer en masse des pages Internet malveillantes qui se présentent de manière convaincante comme les sites officiels de diverses applications.

Lisez la suite pour découvrir en quoi consiste cette attaque, pourquoi elle est particulièrement dangereuse pour les utilisateurs et comment vous protéger.

Pour le cabinet d'analyse, les entreprises ne doivent pas se précipiter pour utiliser les navigateurs IA en raison de problèmes de sécurité récurrents.

Le nouveau Notepad++ 8.8.9 a été publié dans le but de corriger une faille de sécurité importante liée à l'outil de mise à jour WinGUp. En parallèle, une question se pose : Notepad++ a-t-il été détourné par des pirates pour compromettre le réseau de plusieurs entreprises ? Voici ce que l'on sait.

Un processus de mise à jour détourné à des fins d'espionnage Tout a commencé par plusieurs messages d'inquiétude sur le forum de Notepad++. Un utilisateur vigilant a signalé un comportement anormal lors de l'exécution de l'outil de mise à jour automatique, correspondant à l'exécutable GUP.exe (WinGUp). D'après lui, au lieu de récupérer le paquet légitime correspondant à la nouvelle version, le programme a généré un exécutable inconnu : %Temp%\AutoUpdater.exe.

• Des chercheurs en sécurité affirment, sur la base de vidéos internes divulguées, qu’Intellexa pouvait accéder à distance aux systèmes de surveillance de ses clients et consulter les données personnelles des personnes visées par Predator.
• L’enquête révèle qu’Intellexa continue d’exploiter des vulnérabilités dites « zero-day » pour maintenir son logiciel espion Predator opérationnel, malgré son inscription sur des listes de sanctions et des investigations en cours, notamment en Grèce.
• Les documents et vidéos internes montrent l’usage d’une chaîne d’infection via publicités mobiles malveillantes, baptisée « Aladdin », permettant d’infecter un appareil simplement en affichant une publicité ciblée, sans clic de la victime.
• Des ONG et laboratoires de recherche relient Predator à des opérations de surveillance dans plusieurs pays, visant des militants, des avocats et des journalistes, tandis que des experts soulignent les risques de dérives graves pour les droits humains fondamentaux.

Afin de tester les risques que pouvait prendre le public, une ASBL a semé des clés USB dans l’espace public.

En toute discrétion, cet été, le Club de la sécurité des systèmes d’information Luxembourg (CLUSIL) a semé la panique au sein d’une organisation avec des clés USB. Cette dernière, ayant trouvé des clés essaimées dans l’espace public par le CLUSIL, a «déclenché une réunion d’urgence en moins de 45 minutes, isolé les supports, copié leur contenu sur un disque et placé le tout dans un coffre, avant de contacter un CERT (centre d’alerte et de réaction aux attaques informatiques)», relate Cédric Mauny, président de l’ASBL, en ajoutant que «c’est un très bon réflexe de leur part».

Le CLUSIL avait dispersé 250 clés à travers le pays, des gares aux parcs en passant par des centres d’affaires. Le but: observer les risques pris par des humains poussés par la curiosité. Le CLUSIL avait prévenu les CERT à l’avance et ses clés étaient inoffensives. Mais dans l’absolu, une clé inconnue peut présenter des dangers: se faire passer pour un clavier, un point d’accès wifi, afin de propager des logiciels malveillants ou voler des données, à l’insu de l’utilisateur.

La double authentification n’est plus un bouclier absolu contre les cyberattaques. Un outil employé par les cybercriminels permet en effet de casser l’authentification deux facteurs. L’opération repose sur le détournement de cookies de session par le biais d’un faux portail de connexion glissé entre vous et la plateforme officielle. Explications.

La double authentification est souvent présentée comme un rempart quasi infaillible contre les cyberattaques. De plus en plus répandu, le mécanisme ajoute une couche de sécurité supplémentaire à vos comptes en ligne. En plus de votre mot de passe, vous devez valider votre connexion à l’aide d’un code transmis par SMS, par e-mail ou via une application dédiée. Ce code complique la tâche des pirates même s’ils ont déjà volé vos identifiants.

Le Conseil des États a accepté une motion demandant au Conseil fédéral de revoir en profondeur le projet de révision des ordonnances liées à la surveillance des communications (SCPT). Le gouvernement devra présenter une nouvelle version. Proton a communiqué sa réaction à la rédaction.

12.12.2025 - Dans le cadre du rapport « Opportunités et risques des systèmes d’intelligence artificielle dans la cybersécurité » donnant suite au postulat 23.3861 Andrey, le Conseil fédéral examine la manière dont l’intelligence artificielle (IA) exerce une influence en cybersécurité et vérifie si la cyberstratégie nationale (CSN) répond aux développements rapides constatés dans ce domaine. Le rapport, approuvé par le Conseil fédéral lors de sa séance du 12 décembre 2025, parvient à la conclusion que l’IA joue un rôle de catalyseur des tendances actuelles dans le domaine de la cybersécurité, sans pour autant en modifier les principes de base. Il est cependant prévu que la CSN indique désormais plus clairement les projets liés à l’IA, afin de favoriser la transparence et de permettre un pilotage ciblé.

Si Apple nous a gratifiés de toute une série de mises à jour un vendredi soir, ce n’est pas pour rien. Outre de nombreuses nouveautés, elles corrigent deux vulnérabilités de type « zero-day » qui ont pu être utilisées lors d’attaques ciblées.

Les deux failles, référencées sous les noms CVE-2025-43529 et CVE-2025-14174, touchent le cœur du système.

La première (CVE-2025-43529) concerne WebKit, le moteur de rendu de Safari. Il s'agit d'une faille de type use-after-free qui permet l'exécution de code arbitraire simplement en traitant un contenu web malveillant. La seconde (CVE-2025-14174) est une corruption de mémoire identifiée non seulement par les équipes d'Apple, mais aussi par le Threat Analysis Group de Google.

Microsoft révise entièrement son programme de primes aux chercheurs en sécurité. Désormais, même les failles détectées dans des logiciels tiers utilisés par l'entreprise pourront donner lieu à une rémunération.

Le gouvernement allemand accuse la Russie d'une série d'actions hostiles, allant des cyberattaques à l'ingérence dans les élections. En réaction, l'ambassadeur russe a été convoqué vendredi au ministère des Affaires étrangères.

Moscou serait à la fois à l'origine d'une cyberattaque massive contre le contrôle du trafic aérien allemand et d'une opération de désinformation lors des dernières élections législatives. Face à ces accusations, l'ambassadeur russe a été convoqué au ministère des Affaires étrangères.

Moins puissants que des groupes APT, ces collectifs ont pourtant ciblé l’industrie agroalimentaire, l’approvisionnement en eau et des organismes de régulation nucléaire. La CISA, équivalent américain de l’Anssi, a publié, le 9 décembre 2025, un avis de sécurité sur des attaques de groupes hacktivistes pro-russes visant des secteurs critiques aux États-Unis. Le rapport a été élaboré en collaboration avec des agences gouvernementales, des forces de police et des institutions judiciaires de quinze pays, dont la France. L’avis s’intéresse notamment aux cyberoffensives de CyberArmyofRussia_Reborn (CARR) et NoName057(16) contre les secteurs de l’eau, de l’énergie et de l’agroalimentaire.

Le ministère de la Défense américain a dévoilé le 8 décembre 2025 GenAI.mil, une nouvelle plateforme d’intelligence artificielle militaire fondée sur Gemini de Google. Elle doit doper la productivité des millions de salariés du Pentagone et préparer l’intégration de systèmes d’IA capables de gérer des données sensibles, voire classifiées. Le département de la Défense des États-Unis – renommé Département de la guerre, le 5 septembre 2025 – souhaite mettre Gemini, l’assistant IA de Google « directement entre les mains de chaque soldat américain ». C’est en tout cas ce qu’a assuré Pete Hegseth, le secrétaire à la Défense du pays le 9 décembre 2025 dans une vidéopubliée sur les réseaux sociaux, annonçant le lancement de GenAI.mil, une plateforme d’intelligence artificielle à vocation militaire.

Des vulnérabilités ont été découvertes dans le système d'authentification de Forticloud. En attendant l'application des correctifs, Fortinet recommande aux utilisateurs de désactiver le SSO.

...

Les failles, référencées CVE-2025-59718 et CVE-2025-59719, sont des vulnérabilités de signature cryptographique identifiées dans le système d'exploitation FortiOS qui fait fonctionner les équipements Fortinet, ainsi que dans Fortiweb, Fortiproxy et Fortiswitchmanager. Elles donnent la possibilité à un attaquant non authentifié de contourner l'authentification unique de connexion Forticloud SSO via un message SAML (security assertion markup language) spécialement conçu, si cette fonctionnalité est activée sur l'appareil.

Derrière la promesse pirate de voir le dernier film avec Leonardo DiCaprio se cache une menace sophistiquée capable de prendre le contrôle total de votre ordinateur.

Alors que le film One Battle After Another (Une bataille après l'autre) avec Leonardo DiCaprio est distingué par des récompenses, il est également au centre d'une campagne de malware. Les chercheurs de Bitdefender Labs dévoilent une chaîne d'infection dissimulée dans un faux fichier torrent du film pour du téléchargement pirate.

Les chercheurs en cybersécurité de Sentinel One ont mis en lumière le retour d’un groupe de hackers baptisé « CyberVolk ». Si cette résurgence, ainsi que les capacités d’automatisation du groupe, peuvent inquiéter, les chercheurs pointent aussi de grosses erreurs de conception qui permettent, parfois, de récupérer les fichiers chiffrés sans avoir à payer la rançon. Difficile de savoir précisément qui se cache derrière CyberVolk, ni au service de quels intérêts exacts le groupe agit. Traqué depuis fin 2024 par les chercheurs de l’entreprise de cybersécurité SentinelOne, ce collectif de hacktivistes à motivation politique semble porter des intérêts à la fois pro‑russes et pro‑indiens, en exploitant activement « les tensions géopolitiques actuelles pour lancer et justifier ses attaques contre des entités publiques et gouvernementales. »

Une enquête a été ouverte après la découverte de "l'existence d'activités suspectes visant des serveurs de messagerie" du ministère de l'Intérieur et des mesures ont été mises en oeuvre afin de "circonscrire la menace", a indiqué la place Beauvau jeudi à l'AFP, confirmant une information de BFMTV.

Un chercheur en sécurité alerte que de nombreuses applications .NET seraient vulnérables à l'écriture de code malveillant dans des fichiers à cause de classes de proxy http de .NET acceptant des URL non http. Malgré le problème, Microsoft ne prévoit pas de le corriger dans l'immédiat.

A l’occasion de la Black Hat en Europe qui s’est tenue à Londres du 8 au 11 décembre, Piotr Bazydło un chercheur de chez WatchTowr, société spécialisée en sécurité, a présenté une vulnérabilité dans les proxy http créés dans du code .NET. Le problème vient d’un comportement inattendu donnant aux attaquants la capacité d’écrire du code malveillant dans les fichiers. Il ouvre aussi la voie à de l’exécution de code à distance via des web shells et des scripts PowerShell malveillants dans de nombreuses applications .NET. En l’espèce, l’expert à dénicher des failles RCE dans Barracuda Service Center, Ivanti Endpoint Manager, Umbraco 8 CMS, PowerShell et SQL Server Integration Services de Microsoft.