🔎 Cyberveille

Selon Reuters, l’Espagne va enquêter sur de possibles violations de la vie privée par Meta à l’égard des utilisateurs de Facebook et Instagram, après des recherches indiquant l’usage d’un mécanisme caché pour suivre l’activité web d’utilisateurs Android. Le Premier ministre Pedro Sanchez a affirmé que la loi prime sur tout algorithme ou plateforme, annonçant des conséquences en cas d’atteinte aux droits.

🔗 Source originale : https://www.reuters.com/world/spain-investigate-meta-over-suspected-violation-user-privacy-2025-11-19/

Le fournisseur d’infrastructure Cloudflare a présenté ses excuses aprèsune panne d’une ampleur rare survenue le 18 novembre 2025 et ayant affecté de nombreux sites majeurs comme ChatGPT, X ou bien encore des portails d’entreprise. L’incident, qui a duré plusieurs heures, n’était pourtant pas le fruit d’une attaque mais d’une défaillance logicielle liée à la gestion des bots.

Une erreur logicielle au cœur de la panne Contrairement aux premières spéculations, Cloudflare affirme qu’il ne s’agissait pas d’une attaque DDoS, mais d’une « erreur douloureuse » issue d’une mise à jour logicielle. Une modification des permissions dans une base de données ClickHouse a généré des lignes dupliquées dans un fichier de configuration utilisé par son système Bot Management. Résultat : ce « feature file » a doublé de taille, dépassant les limites prévues et provoquant des dysfonctionnements dans le routage du trafic.

La Commission européenne propose un nouveau paquet numérique (Digital Omnibus) visant à simplifier les règles sur l’IA, la cybersécurité et la gestion des données. Objectif affiché: réduire les coûts administratifs et favoriser l’innovation dans les entreprises.

La Commission européenne a présenté un ensemble de mesures numériques destiné à simplifier les obligations administratives des entreprises tout en facilitant leur accès aux données. Ce paquet numérique comprend notamment un dispositif réglementaire simplifié et une stratégie pour un espace commun des données. L’exécutif européen évalue les économies potentielles à 5 milliards d’euros d’ici 2029 et jusqu’à 150 milliards d’euros par an avec l’adoption des portefeuilles numériques.

Un incident de cybersécurité a été identifié chez Eurofiber France le 13 novembre 2025.

La situation est sous contrôle : les systèmes ont été sécurisés, la faille corrigée et des mesures renforcées sont en place. Nous restons pleinement mobilisés pour accompagner nos clients.

Eurofiber France annonce qu’un incident de cybersécurité a été détecté le 13 novembre 2025. Il concerne la plateforme de gestion des tickets utilisée par Eurofiber France et ses marques régionales (Eurafibre, FullSave, Netiwan, Avelia), ainsi que le portail client ATE, qui correspond à la division cloud d’Eurofiber France opérant sous la marque Eurofiber Cloud Infra France. Une vulnérabilité logicielle de cette plateforme a été exploitée par un acteur malveillant, entraînant l’exfiltration de données liées à ces plateformes.

Dans un communiqué publié sur son site le 17 novembre, l'Union de recouvrement des cotisations de sécurité sociale et d'allocations familiales a reconnu avoir été ciblée par "un acte de cybermalveillance". L'alerte a été donnée à la Cnil et à l'Anssi et une plainte pénale sera bientôt déposée.

Dans un entretien accordé au média américain The Record, Kamel Ghali, expert en cybersécurité automobile, dresse un état des lieux de ce qu’il est possible de pirater dans une voiture connectée. Évoquant à la fois des attaques concrètes, les motivations des hackers et les risques théoriques les plus extrêmes, l’expert aide à mieux appréhender un sujet souvent fantasmé. ... Selon l’expert Kamel Ghali, il est impératif que les constructeurs automobiles adoptent des systèmes de sécurité comparables à ceux en vigueur dans l’informatique d’entreprise. L’une des exigences les plus critiques est la segmentation du réseau embarqué. ... A ce sujet, l’affaire des « Kia Boyz » aux États-Unis a fortement marqué l’actualité cyber automobile. Une vague de vols sans précédent avait éclaté en raison de l’absence d’antidémarrage sur certains modèles Hyundai et Kia. La maison mère, Hyundai, avait alors réagi en organisant des ateliers mobiles de réparation et en invitant les conducteurs à se rendre chez leur concessionnaire. Une mise à jour gratuite avait été déployée pour résoudre ce défaut de sécurité, démontrant que la maintenance logicielle est désormais à prendre en considération autant que la maintenance mécanique.

Des chercheurs ont trouvé un moyen de tester plus de 100 millions de numéros de téléphone par heure sur les serveurs de WhatsApp afin de confirmer 3,5 milliards de comptes associés. Le problème a été signalé à Meta et est déjà corrigé.

Vous pouvez partager un article en cliquant sur les icônes de partage en haut à droite de celui-ci. La reproduction totale ou partielle d’un article, sans l’autorisation écrite et préalable du Monde, est strictement interdite. Pour plus d’informations, consultez nos conditions générales de vente. Pour toute demande d’autorisation, contactez syndication@lemonde.fr. En tant qu’abonné, vous pouvez offrir jusqu’à cinq articles par mois à l’un de vos proches grâce à la fonctionnalité « Offrir un article ».

https://www.lemonde.fr/pixels/article/2025/11/18/une-panne-chez-cloudflare-met-a-l-arret-une-partie-du-web-mondial_6653889_4408996.html

« Les services Cloudflare fonctionnent normalement », a annoncé mardi 18 novembre l’entreprise sur son site. Une importante panne de Cloudflare, un service fournissant des protections contre les attaques informatiques et facilitant l’affichage des sites Web, a mis à l’arrêt plusieurs heures une partie du Web mondial. « Une enquête complète et des informations détaillées sur l’incident seront communiquées dès que possible », est-il précisé.

Berne, 18.11.2025 — Le dernier rapport semestriel de l’Office fédéral de la cybersécurité (OFCS) montre que, durant les six premiers mois de l’année 2025, le nombre d’annonces de cyberincidents est resté stable, à un niveau élevé. Plus de la moitié d’entre elles concernaient des tentatives d’escroquerie, qui sont donc encore et toujours d’actualité. Une nette hausse des annonces est notamment constatée dans le domaine des escroqueries à l’investissement en ligne via des publicités, où les cyberpirates usurpent souvent l’identité de personnalités pour gagner la confiance de leurs potentielles victimes. Le rapport met en outre l’accent sur diverses campagnes d’hameçonnage ciblées contre la clientèle des banques, la menace persistante liée aux attaques par rançongiciel et les activités relevant du cyberactivisme lors de grandes manifestations telles que le WEF ou le Concours Eurovision de la chanson.

...

Attaques par rançongiciel et chantage informatique Les attaques par rançongiciel, et donc la menace d’une diffusion de données volées sur un réseau superposé à internet (darknet), constituent encore et toujours un défi de taille. L’année dernière durant la même période, l’OFCS avait enregistré 44 annonces, alors qu’au premier semestre 2025, il en a compté 57, principalement de la part d’organisations et d’entreprises. Au cours des derniers mois, les attaques du groupe de pirates informatiques AKIRA se sont par exemple intensifiées. Depuis avril 2024, le Ministère public de la Confédération conduit une procédure pénale contre inconnu à la suite de plusieurs attaques par rançongiciel ayant visé des entreprises suisses entre mai 2023 et septembre 2025.

Le 24 octobre 2025, une attaque DDoS d’une ampleur inédite a déferlé sur un point de terminaison public situé en Australie, au sein du cloud Azure. Cette attaque, d’une puissance remarquable, a rapidement été identifiée comme un événement historique dans le domaine de la cybersécurité. La cyberattaque a mobilisé un volume de trafic sans précédent et a mis en lumière la capacité des infrastructures cloud face à des assauts d’une telle violence.

Particulièrement actif depuis un an, l’enseigne a su recruter des acteurs qui s’en prennent désormais aux environnements virtualisés Nutanix, et plus seulement ESXi ou Hyper-V. Leurs cibles favorites ? Les PME.

Source: BleepingComputer — ASUS a publié un nouveau firmware pour corriger une faille critique de contournement d’authentification affectant plusieurs routeurs DSL, permettant un accès distant non authentifié avec une faible complexité d’attaque et sans interaction utilisateur.

• Vulnérabilité: CVE-2025-59367 — contournement d’authentification permettant à un attaquant distant non authentifié de se connecter aux appareils exposés en ligne, via des attaques de faible complexité et sans interaction utilisateur. • Produits et correctif: firmware 1.1.2.3_1010 disponible pour les DSL-AC51, DSL-N16 et DSL-AC750. ASUS recommande d’installer la dernière version depuis la page support ou la page produit.

• Mesures de mitigation (si mise à jour impossible ou appareils en fin de vie): désactiver les services accessibles depuis Internet, notamment: accès distant depuis le WAN, transfert de port (port forwarding), DDNS, serveur VPN, DMZ, déclenchement de port (port triggering) et FTP. ASUS conseille aussi d’utiliser des mots de passe complexes pour l’administration et le Wi-Fi, de vérifier régulièrement les mises à jour de sécurité et d’éviter la réutilisation des identifiants.

Une vulnérabilité critique, identifiée comme CVE-2025-64446, a été découverte dans les appliances Fortinet FortiWeb. Cette faille, activement exploitée, combine une traversée de chemin (Path Traversal) et un contournement d’authentification, permettant à un attaquant non authentifié d’exécuter des commandes administratives. L’exploitation a été observée dans le but de créer des comptes administrateurs non autorisés, menant à une compromission totale du système. Fortinet a publié des correctifs et l’agence américaine CISA a ajouté ce CVE à son catalogue des vulnérabilités activement exploitées (KEV), exigeant une mise à jour urgente.

Les mises à jour de sécurité de novembre pour Windows 11 ont doté le système d’une capacité promise il y a quelques mois : permettre aux gestionnaires de mots de passe de s’intégrer totalement dans le système, avec gestion complète des clés d’accès (passkeys). Une intégration qui rappelle celle des mêmes gestionnaires sur Android et iOS.

• Les SMS‑blasters imitent une antenne 2G et envoient des messages frauduleux à tous les téléphones à proximité, contournant les protections habituelles des opérateurs.
• Les pertes enregistrées dans plusieurs pays montrent une adoption rapide par les groupes criminels, attirés par la portée mobile et la capacité de diffusion massive.
• Les arrestations se multiplient au Royaume‑Uni, en Asie, en Amérique latine et même en Suisse, confirmant une tendance mondiale déjà documentée par plusieurs autorités nationales.
• Un SMS‑blaster peut être placé dans un sac ou un véhicule, ce qui facilite sa mobilité et permet d’opérer dans les lieux densément fréquentés.

• Logitech confirme avoir essuyé une cyberattaque, dix jours après une demande de rançon publiée par le groupe de cyberacket Clop.
• L’extorsion de données dont le groupe a été victime «n’a pas de conséquence sur les produits, les activités ou la production».
• La multinationale assure que ses assurances couvriront les conséquences financières.

La Ville de Brest indique qu’une intrusion malveillante a été détectée sur sa plateforme informatique consacrée à la délivrance des cartes d’identité et des passeports.

Un passionné de tir sportif a été victime jeudi à Nice d’un vol d’armes commis par un individu se faisant passer pour un policier, quelques jours après un épisode similaire à Paris et la révélation d’un piratage au sein de la Fédération française de tir.

Jeudi à Nice, un pratiquant de tir a reçu l’appel d’un homme affirmant appartenir aux forces de l’ordre et disant attendre le renouvellement de son autorisation de détention. Dans l’après-midi, un autre individu s’est présenté à son domicile avec un faux document de mise en sécurité et a obtenu les cinq armes ainsi que les munitions du propriétaire.

À la suite d’une cyberattaque d’ampleur survenue le 10 novembre, le logiciel médical Weda, permettant l’accès aux dossiers médicaux des patients, était à l’arrêt. Il a repris un fonctionnement en mode dégradé depuis ce vendredi 14 novembre.

• Le Centre national chinois de réponse d'urgence aux virus informatiques (CVERC) a accusé le gouvernement américain de saisir 127 000 bitcoins volés (d'une valeur de 13 milliards de dollars) qui avaient été initialement piratés en 2020 depuis un pool minier chinois.
• CVERC a affirmé que le piratage avait été perpétré par une « organisation de hackers de niveau étatique » et a suggéré que la saisie par les États-Unis faisait partie d’une opération plus vaste impliquant les mêmes attaquants.
• Le gouvernement américain a contesté les affirmations de CVERC, soutenant que la saisie constituait une action légitime des forces de l'ordre visant les produits criminels, tandis que la Chine la considère comme un acte provocateur exacerbant les tensions entre les deux nations.

Selon watchTowr Labs, une vulnérabilité non nommée et sans identifiant public affecte Fortinet FortiWeb et serait exploitée activement, signalée initialement par l’équipe Defused; des tests internes de watchTowr indiquent qu’un correctif “silencieux” semble présent en version 8.0.2, bien que les notes de version n’en fassent pas mention.

L’analyse détaille une combinaison de deux failles: traversée de chemin dans l’URI de l’API FortiWeb permettant d’atteindre l’exécutable CGI interne fwbcgi, puis contournement d’authentification via l’en-tête HTTP_CGIINFO. Le composant fwbcgi effectue un contrôle d’entrée minimal (JSON valide) et une phase d’“authentification” qui, en réalité, impersonne l’utilisateur fourni par le client via un JSON Base64 (champs username, profname, vdom, loginname), conférant ensuite les privilèges correspondants dans cgi_process().

Selon la SRF (Radio-Télévision suisse), la police de Bâle-Campagne a obtenu un résultat peu courant en Suisse en interpellant un homme soupçonné d’être à l’origine d’escroqueries par SMS, après avoir trouvé un « SMS-Blaster » dans son véhicule.

🚓 L’appareil de type «SMS‑Blaster» se fait passer pour une antenne d’opérateurs (p. ex. Swisscom, Sunrise). Les téléphones des victimes s’y connectent brièvement, permettant l’envoi de SMS frauduleux sans que les destinataires ne s’en aperçoivent. Les messages incluent des scénarios tels que «Hallo Mami, j’ai un nouveau numéro…» ou des fausses notifications de colis.

🔗 Source originale : https://www.srf.ch/news/schweiz/seltener-fahndungserfolg-baselbieter-polizei-schnappt-mutmasslichen-sms-betrueger

Comme l’ont indiqué les chercheurs de Veracode dans un blog, « le paquet malveillant a été téléchargé plus de 206 000 fois avant d'être détecté, et six versions au total ont été mises en ligne, aucune n'étant décelé par les produits antivirus courants ». Github affirme que les paquets ont été téléchargés en interne dans le cadre de ses efforts de red teaming. « Les paquets mentionnés dans le blog de Veracode faisaient partie d'un exercice étroitement contrôlé mené par la red team de GitHub », a déclaré un porte-parole du spécialiste du partage de code.

Google a déployé une nouvelle version de Chrome pour corriger une vulnérabilité jugée sérieuse dans V8, le moteur chargé d’exécuter tout le JavaScript du web. Le problème, identifié sous la référence CVE-2025-13042, a été signalé début novembre par un chercheur indépendant, vite pris en charge par l’équipe de sécurité de Chrome. Le patch (142.0.7444.162/.163) est désormais disponible pour Windows, macOS et Linux, et vous devriez ne pas trop attendre avant de l’installer.

Une menace russophone à l’origine d’une campagne de phishing massive en cours a enregistré plus de 4 300 noms de domaine depuis le début de l’année.

D’après Andrew Brandt, chercheur en sécurité chez Netcraft, cette activité vise les clients du secteur de l’hôtellerie, et plus particulièrement les clients d’hôtels ayant effectué des réservations, en leur envoyant des courriels indésirables. La campagne aurait véritablement débuté vers février 2025.

Parmi les 4 344 domaines liés à l’attaque, 685 contiennent le nom « Booking », suivis de 18 avec « Expedia », 13 avec « Agoda » et 12 avec « Airbnb », ce qui indique une tentative de cibler toutes les plateformes de réservation et de location populaires.