🔎 Cyberveille

Dans une prise de parole aussi franche qu'inattendue, le géant de l'IA jette un pavé dans la mare : ses propres technologies futures pourraient devenir des outils de cyberattaques sophistiqués.

OpenAI prévient que ses futurs modèles d'IA atteindront probablement un niveau de risque « élevé » en cybersécurité. Face à des capacités offensives en forte hausse, la firme renforce ses mesures de protection et appelle à une collaboration accrue de l'industrie pour encadrer cette technologie à double tranchant.

OpenAI a officiellement tiré la sonnette d'alarme. Dans un rapport récent, le créateur de ChatGPT avertit que ses prochains modèles d'intelligence artificielle sont sur une trajectoire qui les mènera à présenter un risque « élevé » en matière de cybersécurité.

La région Hauts-de-France annonce la mise en place d’un « plan massif » pour sécuriser les systèmes d’information de ses lycées après la cyberattaque du 10 octobre.

Les extensions de navigateur malveillantes restent un angle mort pour les équipes de cybersécurité de nombreuses organisations. Elles sont devenues un incontournable de l’arsenal des cybercriminels, utilisées pour le vol de sessions et de comptes, l’espionnage, le masquage d’autres activités criminelles, la fraude publicitaire et le vol de cryptomonnaies. Les incidents très médiatisés impliquant des extensions malveillantes sont fréquents, allant de la compromission de l’extension de sécurité Cyberhaven à la publication massive d’extensions de voleurs d’informations.

Les extensions sont attrayantes pour les pirates informatiques, car elles disposent d’autorisations et d’un accès étendu aux informations contenues dans les applications SaaS et les sites Internet. Comme il ne s’agit pas d’applications autonomes, elles échappent souvent aux stratégies de sécurité et aux outils de contrôle standard.

L’équipe de sécurité d’une entreprise doit s’attaquer à ce problème de façon systématique. La gestion des extensions de navigateur nécessite une combinaison d’outils de gestion des stratégies ainsi que des services ou utilitaires spécialisés dans l’analyse des extensions. Ce sujet était au cœur de l’intervention d’Athanasios Giatsos lors du Security Analyst Summit 2025.

Nous avons récemment présenté la technique ClickFix. Aujourd’hui, des acteurs malveillants ont commencé à déployer une nouvelle variante de cette méthode, baptisée « FileFix » par les chercheurs. Le principe fondamental reste le même : utiliser des techniques d’ingénierie sociale pour inciter la victime à exécuter à son insu un code malveillant sur son propre appareil. La différence entre ClickFix et FileFix réside essentiellement dans l’endroit où la commande est exécutée.

Avec ClickFix, les pirates persuadent la victime d’ouvrir la boîte de dialogue Exécuter de Windows et d’y coller une commande malveillante. Par contre, dans le cas de FileFix, les cybercriminels manipulent la victime en lui faisant coller une commande dans la barre d’adresse de l’Explorateur de fichiers Windows. Du point de vue de l’utilisateur, cette action ne paraît pas anormale : la fenêtre de l’Explorateur de fichiers est couramment utilisée, ce qui rend son utilisation moins susceptible d’être perçue comme dangereuse. Par conséquent, les utilisateurs qui ne connaissent pas cette technique sont nettement plus susceptibles de se faire piéger par l’escroquerie FileFix.

Le framework open source de détection et d'extraction de type de contenu a été corrigé cet été pour les formats PDF. Mais la faille dans Tika s'étend à d'autres modules, soulignent les responsables du projet.

La vague de cyberattaques contre les serveurs ESXi survenue le 3 février 2023, avec un rançongiciel baptisé ESXiArgs, a rappelé douloureusement la réalité de la menace pesant sur les infrastructures de virtualisation. Mais elle est loin d’être nouvelle.

Il y a une très bonne raison à cela : frapper un serveur de virtualisation, ça veut dire affecter toutes les machines virtuelles qui s’y exécutent, d’un seul coup. C’est donc le gage d’un fort impact, d’une perturbation significative de l’activité de sa victime. À la clé, pour le cybercriminel, une potentialité renforcée d’obtenir le paiement de la rançon qu’il demande.

Les dernières révélations sur LockBit 3.0 soulignent la manière dont les ex-Conti se sont disséminés, faisant tomber les lignes historiques entre enseignes de ransomware, les reléguant au rôle d’écrans de fumée.

Un piratage informatique a visé un Ehpad de Champdeniers-Saint-Denis, lundi 8 décembre 2025. La direction précise que la continuité des soins n’a pas été affectée. Les familles ont été alertées de risques d’usurpations d’identité.

Dans le cadre de la préparation de l'offre Thunderbird Pro attendue pour 2026, l'équipe de Thunderbird a sollicité des prestataires externes pour réaliser un audit de sécurité de Thunderbird Send, son futur service de partage de fichiers. Cet audit a permis d'identifier et de corriger plusieurs vulnérabilités importantes.

Avec l'abonnement Thunderbird Pro, Thunderbird souhaite proposer une suite complète de services respectueux de la vie privée. Parmi ces services, Thunderbird Send aura un rôle à jouer, notamment pour le partage des pièces jointes : cet outil permettra le partage de fichiers volumineux avec un chiffrement de bout en bout. Il faut le considérer comme l'héritier de Firefox Send.

Microsoft a publié son Patch Tuesday de décembre 2025, soit le dernier de l'année 2025 ! Au total, 57 failles de sécurité ont été corrigées dans les produits et services Microsoft, dont 3 failles zero-day. Voici un récapitulatif

Ce Patch Tuesday contient beaucoup de vulnérabilités importantes, dont 19 vulnérabilités permettant une exécution de code à distance, mais seulement 4 sont considérées comme critiques :

• Microsoft Office : CVE-2025-62554, CVE-2025-62557
• Microsoft Outlook : CVE-2025-62562
• Windows - GDI+ : CVE-2025-60724

[paywall🔒] Enquête En utilisant des données publicitaires d’accès facile, « Le Monde » a pu déterminer avec certitude ou un haut niveau de probabilité l’identité, le domicile et les habitudes de plusieurs dizaines de salariés ou fonctionnaires d’entités sensibles.

...

La faute incombe à une industrie publicitaire boulimique, opaque et hors de contrôle qui extrait chaque jour des smartphones des milliards de données personnelles, et notamment des déplacements précis à quelques mètres près, avant de les revendre. A moins d’une hygiène numérique à toute épreuve, il est difficile de lui échapper.

09.12.2025 - Les cybercriminels utilisent les mécanismes des processus de recrutement pour instaurer une relation de confiance et manipuler le public cible. Des offres d’emploi attrayantes publiées sur des profils falsifiés paraissent tellement authentiques que personne ne s’en méfie. L’espoir d’une carrière prometteuse peut entraîner un comportement irréfléchi. Les escrocs en profitent pour passer à l’attaque.

Microsoft a publié des correctifs pour 57 failles en décembre 2025. Parmi elles, 3 vulnérabilités sont considérées comme critiques (toutes des exécutions de code à distance), et le reste est classé Important (aucune n’est classée Modéré ou Faible ce mois-ci). Aucune mise à jour de Microsoft Edge n’est incluse dans ce bilan, les correctifs Edge (15 failles) ayant été diffusés plus tôt séparément. Ce Patch Tuesday comprend également 3 failles de type “zero-day” (c’est-à-dire divulguées ou exploitées avant correctif) : 1 vulnérabilité activement exploitée et 2 publiquement divulguées.

WhatsApp vous espionne silencieusement via vos accusés de réception : des chercheurs viennent de prouver qu'on peut connaître vos horaires de sommeil sans que vous le sachiez Meta savait depuis septembre 2024 que sa faille de sécurité permettait de vider 18% de batterie par heure, mais n'a rien fait Un chercheur a créé un outil libre et gratuit pour tracer n'importe quel numéro WhatsApp en temps réel, et c'est légal si vous le testez sur vous-même

...

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

• L'IA a fait en 4 jours ce que 3 ans d'audits humains n'ont pas vu : une faille de base qui menaçait les satellites de la NASA, le James Webb et les rovers martiens
• 37 vulnérabilités découvertes dans l'écosystème spatial en une année : le code ouvert critique des missions spatiales est devenu un gruyère de sécurité
• Des chercheurs ont montré qu'on pouvait modifier l'orbite d'un satellite sans que le contrôleur au sol ne s'en aperçoive : bienvenue dans l'ère où pirater l'espace devient possible

...

La faille découverte au bout de 4 jours d’analyse, se trouvait dans CryptoLib , une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du CCSDS , qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.

Dans un email, la Fédération française de handball explique que « le logiciel fédéral GestHand, utilisé par les clubs, comités et ligues pour leur gestion administrative, a été victime d’un acte de cybermalveillance avec un accès non-autorisé ». Un effet boule de neige est donc à prévoir sur les adhérents et pratiquants.

...

Chez Cuisinella, « un tiers non autorisé a accédé à certaines données relatives à nos clients. Dès la détection de l’incident, nos équipes de cybersécurité ont immédiatement mis fin à l’intrusion, lancé des investigations approfondies et pris les mesures nécessaires ».

L’ANSSI britannique invite les professionnels de la cyber à proscrire le parallèle conceptuel entre injection de prompt et injection SQL. La comparaison entre injection SQL et injection de prompt est tentante, mais dangereuse.

L’ANSSI britannique (NCSC, National Cyber Security Centre) vient de se prononcer dans ce sens. Elle constate que beaucoup de professionnels de la cyber font le rapprochement conceptuel, alors même qu’il existe des différences cruciales. Qui, si non prises en compte, peuvent sévèrement compromettre les mesures correctives.

Infomaniak se présente comme un nouvel acteur dans la cour rapidement grandissante des fournisseurs de solutions IA. Le produit se nomme Euria, un chabot qui entre en concurrence directe avec ChatGPT, Claude et autre Mistral. Le nom est d’ailleurs l'acronyme de « Éthique, Universelle, Responsable, Indépendante et Autonome ». Après un lancement discret en juin dans kDrive, le chatbot prend ses aises.

...

Côté sécurité et confidentialité, Infomaniak assure que des chiffrements sont appliqués « à toutes les étapes ». Il faut comprendre pendant le transport et au repos, mais Infomaniak peut accéder aux données sur ses serveurs. Point important, l’entreprise ajoute que les données traitées ne sont jamais utilisées « pour entraîner des modèles d’intelligence artificielle, établir des profils ou alimenter des systèmes tiers ».

...

Infomaniak n’a cependant pas développé de modèle maison. À la place, l’entreprise se sert de plusieurs modèles open source. Si l’annonce n’en parle pas, l’entreprise nous a répondu, par la voix de Thomas Jacobsen, son responsable communication et marketing : elle se sert de Mistral (nous avons demandé des précisions sur le modèle) et Qwen3 (Alibaba) pour la partie texte, et de Whisper d’OpenAI pour l’audio.

« Notre stack évolue en permanence afin d’intégrer les meilleurs modèles open source disponibles au moment où ils deviennent pertinents. Nous contribuons et suivons de près l’évolution d’Apertus, et nous étudions déjà la possibilité d’adopter le prochain modèle de Mistral. Dans nos choix technologiques, l’impact écologique joue également un rôle essentiel : nous cherchons systématiquement le meilleur compromis entre performance et consommation de ressources »

Deux extensions malveillantes ont été découvertes sur la Marketplace de Visual Studio Code, dissimulant un infostealer capable de dérober vos cookies de sessions dans le navigateur et le contenu de votre portefeuille de crypto-monnaies. Voici ce que l'on sait sur ces menaces.

...

Les deux extensions malveillantes, publiées par un compte de développeur surnommé BigBlack, se nomment "Bitcoin Black" et "Codo AI". La première, c'est un thème sombre pour Visual Studio Code, tandis que la seconde est un assistant au code basé sur l'IA.

« Cyberattaque » ou achat délibéré de faux abonnés ? À Bernay (Eure), la campagne des municipales 2026 s’est brusquement tendue après l’étrange envolée du nombre d’abonnés de la page Facebook de la liste « Agir pour Bernay. Ensemble », menée par Francis Viez. Quelques heures après sa création, elle aurait attiré « près de 1 300 followers en quelques heures seulement », selon Actu, avant que ces chiffres ne soulèvent des soupçons de la part de liste adversaire, en lice pour les prochaines élections.

Les campagnes de notifications de menace Apple suscitent régulièrement des interrogations, car elles signalent des tentatives d’attaques particulièrement sophistiquées, menées au moyen de logiciels espions avancés. Lorsqu’une personne reçoit une telle alerte, cela signifie qu’au moins un de ses appareils liés au compte iCloud a été ciblé, parfois plusieurs mois auparavant, par une tentative d’intrusion complexe. Ces campagnes concernent souvent des individus occupant des fonctions sensibles ou exposées, comme des journalistes, avocats, responsables politiques ou cadres dirigeants.

Lockbit est victime d’une fuite de données. En exploitant de simples informations publiques, un chercheur en cybersécurité est parvenu à exposer une partie de l’infrastructure du gang.

Lockbit 5, la dernière version du redoutable ransomware, vient d’être exposée. Une partie de l’infrastructure du gang criminel, considéré comme le roi de l’extorsion, a été divulguée par un chercheur en cybersécurité, Rakesh Krishnan.

Hanan Elatr Khashoggi a porté plainte en France contre X, afin de dénoncer la surveillance de ses téléphones avant le meurtre de son mari par des agents saoudiens.

Reporters sans frontières (RSF) révèle, après une enquête de plusieurs mois menée avec l’aide technique de l’entreprise de cybersécurité Sekoia, qu’elle a été visée par une cyberattaque orchestrée par un groupe connu sous le nom de Callisto, et réputé proche des services de renseignement du Kremlin. L’attaque, une tentative d’hameçonnage, n’a pas abouti. RSF est la cible régulière d’attaques numériques contre ses systèmes informatiques ou sa réputation en raison de son travail pour une presse libre et le droit à l’information en Russie.

Après la découverte d'une faille critique dans React Server Components, des chercheurs ont signalé plusieurs cas d'exploitation. Il est donc urgent d'appliquer les derniers correctifs pour la bibliothèque open source React et ses différents frameworks associés dont Next.js.