🔎 Cyberveille

Un gigantesque botnet appelé Aisuru enchaine les cyberattaques. Au 3ᵉ trimestre 2025, il a orchestré plus de 1 300 attaques DDoS. Il a aussi et surtout déployé une attaque record. Déjouée par Cloudflare, l’offensive provenait de millions d’appareils piratés…

Cloudflare vient de mettre en ligne son « rapport sur les menaces DDoS » (Distributed Denial of Service) pour le troisième trimestre 2025. Au cours de la période, le géant américain s’est surtout démené contre les assauts perpétrés par Aisuru, un redoutable botnet.

Les fuites de données se multiplient, mais l'information reste éparpillée. BonjourLaFuite change la donne en proposant une timeline factuelle et structurée des incidents en France.

Selon react.dev, une vulnérabilité critique permettant une exécution de code à distance non authentifiée a été découverte dans React Server Components et divulgée sous CVE-2025-55182 (score CVSS 10.0). Le défaut provient d’un problème dans la façon dont React décode les charges utiles envoyées aux endpoints de React Server Functions, permettant à un attaquant de provoquer une RCE via une requête HTTP malveillante.

🔗 Source originale : https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

Chrome 143 arrive sur votre ordinateur. La mise à jour corrige un total de 13 vulnérabilités dans le code du navigateur web, dont quatre failles de haute gravité.

Dans le paysage en constante évolution de la cybersécurité , la croissance des attaques de type adversaire au milieu (AitM pour adversary-in-the-middle) représente une menace importante pour les organisations. L’hameçonnage de type AitM est de plus en plus employé par les auteurs de menace depuis la migration des organisations vers le nuage, obligeant la ligne de défense principale à migrer de la protection traditionnelle des périmètres réseau vers la protection de l’identité comme priorité.

Et de trois. A la mi-novembre, l’agence de police européenne Europol signalait la dernière édition de son opération Endgame, cette action internationale visant à déstabiliser l’écosystème cybercriminel en s’attaquant à leurs infrastructures. Cette fois-ci, c’est l’infostealer Rhadamanthys ainsi que le cheval de Troie VenomRAT et le botnet Elysium qui ont été ciblés.

Un dossier sur lequel ont travaillé depuis la France, sous l'autorité de la section cyber du parquet de Paris, les cyber policiers parisiens de la BL2C (Brigade de lutte contre la cybercriminalité). Sur le réseau social professionnel LinkedIn, le chef de l'Office anti-cybercriminalité Nicolas Guidoux avait ainsi souligné l’importance de l’action policière parisienne dans l’identification de la personne arrêtée en Grèce.

Après avoir été au coeur d’une fuite de données massive le mois dernier, une nouvelle vaste opération de piratage secoue l’écosystème Salesforce.

De son côté, Google confirme que les données de plus de 200 entreprises ont été dérobées, exposant une faille de confiance dans la chaîne de fournisseurs logiciels…

Une attaque en chaîne orchestrée via les applications de Gainsight Selon Austin Larsen, analyste au sein du Google Threat Intelligence Group, plus de 200 instances Salesforce seraient potentiellement touchées. Dans son message sur LinkedIn, il affirme que le point d’entrée n’est pas Salesforce lui-même, mais Gainsight, un fournisseur d’applications de support client connecté à la plateforme CRM. Salesforce a d’ailleurs rapidement précisé, dans un communiqué, qu’aucune vulnérabilité interne n’était en cause.

Nouvelle cyberattaque en France, avec Leroy Merlin qui annonce avoir été piraté, entraînant le vol des données des clients. Cela intervient le lendemain de l’annonce d’un piratage visant France Travail.

...

Les pirates ont obtenu les informations ci-dessous :

Nom Prénom Numéro de téléphone Adresse e-mail Adresse postale Date de naissance Informations relatives au programme de fidélité L’enseigne essaye de rassurer en affirmant que « vos données bancaires n’ont pas été atteintes et restent totalement sécurisées. Par ailleurs, le mot de passe de votre compte client web est lui aussi sécurisé et n’a pas fuité ».

Plus de 4,3 millions d’utilisateurs de Chrome et Edge ont été espionnés via des extensions piégées. Une vaste opération, baptisée ShadyPanda, a détourné des modules pourtant disponibles sur les stores officiels des navigateurs.

Une enquête récente révèle une opération d’espionnage à grande échelle, menée par des extensions disponibles sur les boutiques officielles de Chrome et Edge. Derrière cette campagne, baptisée ShadyPanda, des acteurs malveillants ont transformé des modules apparemment inoffensifs en outils de surveillance capables de collecter l’historique de navigation, les frappes clavier, les cookies et d’autres données sensibles.

Si les écrans de mise à jour Windows se veulent toujours rassurants, c’est précisément cette confiance que la nouvelle variante du malware ClickFix détourne avec une efficacité redoutable.

Depuis le mois d’octobre, comme on l’apprend sur Huntress, des chercheurs observent une campagne qui joue uniquement sur la manipulation : aucun exploit, aucune faille… juste un faux écran de mise à jour en plein écran, pensé pour pousser l’utilisateur à exécuter lui-même la commande qui l’infecte.

Berne, 02.12.2025 — L’Office fédéral de l’armement armasuisse et l’U.S. Air Force Research Laboratory (AFRL) ont lancé le projet de recherche « A-VIPER ». Il est basé sur l’accord-cadre actuel entre le Département fédéral de la défense, de la protection de la population et des sports (DDPS) et le Département de la Défense des États-Unis (DoD) et vise à développer de manière décisive l’identification, l’analyse et la priorisation automatisées des vulnérabilités logicielles dans les systèmes critiques pour la sécurité.

Les services secrets peuvent surveiller toutes les personnes en Suisse sans motif ni soupçon grâce à la surveillance des communications radio et câblées. Dans un arrêt historique, le Tribunal administratif fédéral a désormais établi que l’exploration des réseaux câblés et radio n’était ni conforme à la Constitution fédérale ni à la Convention européenne des droits de l’homme. Il s’agit d’une victoire importante pour la liberté et la vie privée sur Internet.

L’exploration du réseau cablé est un élément essentiel de la surveillance de masse sans motif ni soupçon exercée par le Service de renseignement de la Confédération (SRC). La surveillance des communications permet d’enregistrer et de surveiller de manière exhaustive les communications entre la Suisse et le reste du monde. Cette mesure a été légalisée en Suisse en 2017 avec la nouvelle loi sur le renseignement (LRens).

La communication transfrontalière est surveillée par le Service de renseignement de la Confédération dans le cadre de l’exploration radio et du réseau câblé. Dans son arrêt, le Tribunal administratif fédéral constate que ce système de collecte d’informations dans sa conception actuelle n’est pas conforme à la Constitution fédérale et à la CEDH. Le législateur a la possibilité de remédier aux lacunes dans le cadre de la révision législative en cours.

Le 20 novembre 2025, la CNIL a sanctionné la société française LES PUBLICATIONS CONDE NAST d’une amende de 750 000 euros pour le non-respect des règles applicables en matière de traceurs (cookies), déposés sur le terminal des utilisateurs se rendant sur le site « vanityfair.fr ».

02.12.2025 - Une campagne d’hameçonnage utilise actuellement abusivement le nom de SERAFE. Les cybercriminels, sous prétexte de vérifier la situation du ménage, cherchent à obtenir toute une série d’informations. Outre des données personnelles telles que nom et date de naissance, ils réclament également l’adresse électronique, le numéro AVS, la date d’un éventuel déménagement et des données de carte de crédit. La rétrospective de cette semaine montre pourquoi cette combinaison de données leur est particulièrement utile et comment se protéger.

La police européenne continue de s’en prendre aux plateformes de mixage de cryptomonnaies. Les forces de l’ordre viennent en effet de démanteler Cryptomixer, un important service de mixage de bitcoins. La plateforme aurait permis de blanchir plus de 1,3 milliard d’euros avant que les enquêteurs ne saisissent ses serveurs.

...

Les mixeurs, ou services de mixages, jouent donc un rôle clé dans le blanchiment d’argent. Ils font d’ailleurs partie de l’arsenal utilisé par les pirates du gang Lazarus (également connu sous le nom d’APT38), financés par la Corée du Nord.

Après Salesforce, un groupe de cybercriminels a décidé de s’attaquer aux clients de Zendesk, éditeur d'une plateforme de support client. La découverte a été faite par les experts de l’entreprise de sécurité ReliaQuest. Dans cette campagne, les pirates se sont appuyés sur des faux noms de domaines déposés au cours des six derniers mois.Pas moins d’une quarantaine de faux domaines ont ainsi vu le jour. Selon ReliaQuest, certains domaines, comme znedesk[.]com et vpn-zendesk[.]com, hébergeaient de fausses pages de connexion imitant à la perfection les écrans de connexion de Zendesk. D'autres intégraient des noms d'entreprise dans leur adresse web afin de leur conférer une apparence de légitimité.

L’application SmartTube, chouchou des utilisateurs d’Android TV et Fire TV pour son interface épurée et sa suppression automatique des pubs sur YouTube, fait les gros titres pour de mauvaises raisons. Fin novembre 2025, des versions officielles de l’app ont été contaminées par un malware discret, capable d’exfiltrer des données sensibles comme le modèle de l’appareil, l’adresse IP locale ou la version d’Android.

Fin novembre 2025, des versions officielles de l’app ont été contaminées par un malware discret, capable d’exfiltrer des données sensibles comme le modèle de l’appareil, l’adresse IP locale ou la version d’Android. Ce n’est pas une attaque isolée : selon des analyses partagées sur AFTVnews, l’infection provient d’un ordinateur de développement compromis, injectant une bibliothèque native cachée qui opère en arrière-plan dès le lancement de l’app. Avec des millions de téléchargements via GitHub ou APKMirror, cet incident rappelle les vulnérabilités des apps sideloadées, loin des remparts du Play Store.

• Vos caméras IP se vendent au marché noir pour 25 000 euros : comment 4 pirates ont transformé vos moments intimes en cryptomonnaies
• Le mot de passe "admin/admin" a créé 120 000 victimes en Corée du Sud : pourquoi les fabricants de caméras refusent encore de forcer le changement obligatoire
• Débranchez vos caméras quand vous êtes chez vous : l'astuce radicale que les constructeurs tech ne veulent pas que vous connaissiez

Le géant sud-coréen du e-commerce a confirmé qu’un incident a exposé les données personnelles de 33,7 millions de comptes clients. Un ancien employé d’origine chinoise est accusé d’avoir utilisé une clé d’authentification restée active après la fin de son contrat pour accéder aux données.

Le Swiss FS-CSC a déjà mené à plusieurs reprises des exercices de simulation de cyberattaque. Le 26 novembre, un cyberexercice a été organisé pour la première fois en Suisse romande. Une soixantaine de participantes et participants issus du secteur financier ont simulé une cyberattaque complexe et en plusieurs étapes.

France Travail a indiqué lundi 1er décembre avoir été victime d'un acte de cyber malveillance ayant entraîné une fuite de données personnelles. En l'occurrence, ce sont les informations relatives à environ 1,6 million de jeunes suivis par le réseau des Missions Locales (antennes dédiées à l'insertion faisant partie du service public de l'emploi) qui sont concernées, soit parce qu'ils étaient inscrits à France Travail, soit parce qu'ils s'étaient vus prescrire une formation via l'outil Ouiform opéré par France Travail.

Selon GBHackers, un nouvel outil open source nommé KawaiiGPT est apparu sur GitHub, se présentant comme une version « kawaii » et non filtrée d’une IA, et comme un clone gratuit de « WormGPT ».

KawaiiGPT fonctionne comme un wrapper: il ne calcule pas lui‑même mais relaie les réponses de DeepSeek, Gemini et Kimi‑K2. Il s’appuie sur une ingénierie inverse de wrappers d’API (provenant du projet Pollinations) pour accéder à ces modèles sans clés officielles, et peut être utilisé gratuitement sur Linux ou Termux sans inscription.

🔗 Source originale : https://gbhackers.com/kawaiigpt-a-free-wormgpt-clone-powered/

Lors d'un exercice de crise cette année, le système informatique central de la Confédération a connu une défaillance, révèle la NZZ am Sonntag. Celui-ci regroupe toutes les informations pour fournir aux cellules de crise cantonales une vue d'ensemble de la situation dans toute la Suisse. Pendant l'exercice de début novembre, simulant une attaque hybride contre notre pays, les cantons n'ont, à plusieurs reprises, pas pu accéder au système informatique central de la Confédération ou seulement avec un certain retard. Les états-majors cantonaux n'ont donc pu suivre la situation que de manière fragmentaire.

De nouvelles recherches révèlent qu’au cours de la période 2023-2025, plus de 237 opérations cyber ont ciblé les infrastructures spatiales. Les satellites et les systèmes de communication spatiaux sont menacés par la cyberguerre, met en garde un nouveau rapport, qui fait état de 237 opérations cyber ayant visé le secteur spatial entre janvier 2023 et juillet 2025, pendant le conflit à Gaza.

L’analyse, publiée par le Center for Security Studies (CSS) de l’ETH Zurich, compile des informations, notamment des publications sur les réseaux sociaux, des articles de presse et des données issues de forums de cybercriminalité, sur des cyberattaques contre le secteur spatial israélien et des agences internationales.

La hausse la plus spectaculaire des cyberattaques contre l’espace s’est produite lors de l’affrontement entre Israël et l’Iran en juin 2025, lorsque 72 opérations ont été recensées en un seul mois. Cela représente près d’un tiers de l’ensemble des incidents identifiés sur la période étudiée, a indiqué l’auteure du rapport, Clémence Poirier.