🔎 Cyberveille

Des adresses mail et des mots de passe s'étaient retrouvés sur une plateforme en ligne, librement accessible, après un vol massif de données personnelles, au printemps dernier. La fuite avait été identifiée dès le mois de mai, mais sans que les comptes Gmail ne soient évoqués jusqu'ici.

L’aéroport de Dublin a été l’une des victimes d’une vaste cyberattaque. Des millions de données de passagers ont été compromises au cours de l’offensive. Le groupe de pirates russes Everest revendique l’intrusion et menace de publier les informations volées sur le dark web.

Dans un article de blog publié le 24 octobre 2025, des chercheurs de la société de cybersécurité NeuralTrust ont révélé une méthode permettant à un acteur malveillant de contourner les mécanismes de sécurité de l’assistant IA intégré au nouveau navigateur ChatGPT Atlas. Depuis le lancement du nouveau navigateur ChatGPT Atlas par OpenAI, le 21 octobre 2025, chacun s’y intéresse à sa manière : le grand public explore ses nouvelles fonctionnalités, tandis que les chercheurs en cybersécurité, eux, cherchent surtout à tester ses limites et à repérer les failles avant que des cybercriminels ne s’en chargent.

Alors que la mobilité électrique explose en Europe, les cybercriminels ciblent désormais les bornes de recharge. À base de QR codes piégés ou d'attaques à distance, la menace s'intensifie pour les conducteurs.

Berne, 27.10.2025 — En cas de cyberincident, la mise en réseau complète des systèmes numériques pourrait affecter un grand nombre d’organisations. C’est pourquoi une approche coordonnée de tous les acteurs concernés, qu’ils soient issus du monde économique, des cantons ou de la Confédération, est essentielle. L’Office fédéral de la cybersécurité (OFCS) a donc élaboré un concept illustrant l’organisation mise en place par la Confédération pour garantir la gestion coordonnée des cyberincidents.

Dans sa quête d'autonomie technologique, la Chine vient de franchir une étape décisive. Le pays a officialisé une nouvelle norme de firmware, UBIOS, destinée à remplacer l'omniprésent UEFI et à bâtir un écosystème informatique entièrement souverain.

• L’Office fédéral de la cybersécurité a analysé deux logiciels open source, TYPO3 et QGIS, dans le cadre d’un projet pilote mené avec le NTC.
• Huit failles ont été détectées dans TYPO3, dont une critique, tandis que QGIS présentait six vulnérabilités, dont deux de gravité élevée.
• Toutes les failles majeures ont été corrigées par la communauté en moins de 90 jours, améliorant la sécurité globale de ces outils.
• L’OFCS envisage d’institutionnaliser ces contrôles pour renforcer durablement la cyberrésilience et la souveraineté numérique de la Suisse.

Une étude révèle que près de 20 000 mots de passe d’employés du secteur public français sont exposés sur le dark web. En exploitant ces données d’identification compromises, des pirates pourraient parvenir à mener des cyberattaques contre les institutions publiques françaises.

Sur le dark web, on trouve énormément de mots de passe appartenant à des employés de l’État français. C’est ce que révèle une étude réalisée par les chercheurs de NordPass à l’aide de NordStellar, la plateforme de surveillance du dark web développée par Nord Security (qui édite aussi NordVPN).

Selon les derniers rapports, elles ont bondi de 180 % au Portugal, tandis que l’Allemagne, le Royaume-Uni et l’Italie figurent parmi les pays les plus ciblés. Un constat alarmant qui confirme que le Vieux Continent est devenu l’un des terrains de jeu favori des hackers. Les cyberattaques ont augmenté de manière exponentielle au Portugal au cours des six premiers mois de 2025, avec 14 incidents de ce type enregistrés, selon le rapport semestriel de Thales. Il s'agit d'une augmentation de 180 % par rapport au second semestre de l'année dernière.

Le groupe de pirates informatiques AKIRA est la plus grande menace dans le pays, avec trois attaques enregistrées, suivi par Nightspire, Nitrogen et Warlock, avec deux attaques chacun.

Ces groupes de ransomware ont intensifié la fréquence de leurs attaques, qui deviennent de plus en plus sophistiquées. Bien que l'on continue d'observer l'utilisation du modèle RaaS ( ransomware-as-a-service ), dans lequel le logiciel malveillant est fourni à des tiers en échange d'un pourcentage des bénéfices réalisés, certains de ces acteurs se concentrent de plus en plus sur le vol et l'extorsion de données, en excluant le composant de chiffrement de l'infrastructure attaquée, une tendance qui démontre un changement dans les schémas des ransomwares.

Huit règles pour la cyberguerre Par ailleurs, les hackers ont un statut compliqué: doit-on considérer celles et ceux qui participent à des efforts de guerre comme des combattants à part entière? Et quelles sont les limites de leurs activités? Le CICR s'est penché sur le sujet et a notamment édicté début 2024 huit règles d'engagement dans le cadre des conflits armés, sur le modèle des règles du droit international en matière de guerres conventionnelles.

La production auto britannique a chuté de plus d'un quart sur un an en septembre au Royaume-Uni, plombée par une cyberattaque qui a mis à l'arrêt pendant plus d'un mois Jaguar Land Rover (JLR), plus gros employeur du secteur au Royaume-Uni.

Révélée le 2 septembre, la cyberattaque avait contraint JLR à fermer ses systèmes et sa production, qui n'a pas pu redémarrer avant début octobre, mettant la pression sur le constructeur et nombre de ses fournisseurs.

La production britannique de voitures a chuté de 27,1% en septembre, selon les chiffres publiés vendredi par l'association sectorielle (SMMT), qui pointe notamment dans un communiqué "l'arrêt de la production chez le plus grand employeur automobile britannique".

"Le paiement d'une rançon ne garantit pas que les auteurs de la menace ne divulguent pas les données de la victime ou ne frappent pas de nouveau, ce qui modifie fondamentalement le calcul du rapport risque-bénéfice pour les organisations ciblées”, note CrowdStrike. (…) Les facteurs économiques favorisent les attaquants qui peuvent percevoir des paiements tout en conservant les données volées pour les exploiter ultérieurement, tenter d'autres extorsions ou les vendre à d'autres groupes criminels.”

L’avenir de la sécurité réseau ne réside plus dans la détection, mais dans la stabilisation entropique. Il faudra concevoir des algorithmes capables de maintenir la cohérence du chaos, de limiter la dérive sans chercher à la supprimer.

La survie des entreprises passe désormais par leur capacité à réagir efficacement lors d'un incident.

Les entreprises européennes font face à une réalité alarmante : les cyberattaques ont établi de nouveaux records en termes de variété et de nombre d'incidents selon le rapport ENISA Threat Landscape 2024. Cette tendance observée en 2024 transforme radicalement l'approche que doivent adopter les organisations en matière de gestion de crise pour 2025. Au-delà de la simple protection technique, c'est désormais leur capacité à réagir efficacement lors d'un incident qui détermine leur survie.

Après la cyberattaque qui a touché l'hôpital de Pontarlier dans la nuit de samedi 18 à dimanche 19 octobre, le personnel est repassé au papier et au crayon. Certains salariés sont aussi revenus de leurs congés pour donner un coup de main.

La tête dans les médicaments, stylo à la main et feuilles sur les genoux : l'équipe de la pharmacie de l'hôpital de Pontarlier a dû recompter entièrement son stock de médicaments à la main. Des "modalités de fonctionnement d'autrefois" selon le directeur de l'hôpital de Pontarlier. Car l'établissement a été victime d'une cyberattaque dans la nuit du samedi 18 au dimanche 19 octobre et fonctionne sans réseau informatique depuis.

La panne AWS du 19 octobre a eu des conséquences graves pour de très nombreux services web. Elle nous a appris qu’une seule région d’Amazon concentrait énormément de services au cœur des applications modernes. Les explications croisées d’Amazon et de Ookla, qui édite DownDetector, sont précieuses pour comprendre ce qu’il s’est passé… et tenter de mitiger la prochaine panne.

Source: Kanton Basel-Landschaft (baselland.ch) — communiqué officiel. 🚨 La police indique qu’un « SMS-Blaster » a été utilisé le mardi 14 octobre 2025 dans la région de Muttenz.

Une vaste opération d’espionnage vise les fabricants de drones militaires en Europe. Sous couvert de fausses offres d’emploi, les hackers nord-coréens de Lazarus ont infiltré plusieurs entreprises européennes. Les données volées doivent aider la Corée du Nord à développer leurs propres drones de combat.

Hanoï - Plus de 60 pays ont signé samedi à Hanoï le premier traité des Nations Unies visant la cybercriminalité malgré l’opposition d’un groupe improbable d’entreprises technologiques et d’organisations de défense des droits s’inquiétant d’une surveillance étatique accrue.

Ce nouveau cadre juridique international vise à renforcer la coopération internationale pour lutter contre la cybercriminalité, allant de la pédopornographie aux arnaques et au blanchiment d’argent.

Il entrera en vigueur une fois ratifiée par chacun des Etats signataires.

Le secrétaire général de l’ONU, Antonio Guterres, s’est félicité de cette «étape importante», ajoutant que ce n’est «que le début».

Des données personnelles des licenciés de la Fédération française de tir ont été visées par un piratage informatique entre le 18 et 20 octobre. L'instance affirme qu'aucune donnée bancaire ou médicale n'est concernée.

Un hacker éthique est parvenu à pirater la plateforme de la Fédération internationale de l’automobile (FIA) gérant l’accès aux classements des pilotes. Une opération qui lui a permis d’accéder aux pièces d’identité et aux données personnelles de Max Verstappen et de tous les autres pilotes F1.

Les cybercriminels utilisent des méthodes sophistiquées pour se glisser dans les échanges e-mail des entreprises et pour rediriger des transactions financières.

Les fraudeurs collectent des informations sur des entreprises, des institutions ou des associations en exploitant des données publiques telles que les sites web ou les profils sur les réseaux sociaux.

En général, l’incident commence par un e-mail anodin adressé au secrétariat ou à une personne du service financier d’une entreprise, d’une institution ou d’une association. L’e-mail semble provenir du compte du supérieur hiérarchique (CEO fraud) ou d’un fournisseur / partenaire commercial externe.

Ce genre d’organisations à but non lucratif n’ont souvent pas assez de ressources à consacrer à leur sécurité informatique.

En janvier 2024, une centaine de hackeurs bénévoles avaient identifié et transmis « plus de cent vulnérabilités critiques aux ONG partenaires ». Ce vendredi 24 octobre, l’association Hack4Values, créée en 2021, remet le couvert avec la deuxième édition de son bug bounty solidaire.

TL;DR : Microsoft a publié un correctif hors-cycle pour une RCE critique dans WSUS (CVE-2025-59287). Une preuve d’exploitation (PoC) est publique — patch immédiat recommandé. Si vous ne pouvez pas patcher tout de suite : désactivez le rôle WSUS ou bloquez les ports 8530/8531 (mais les clients ne recevront plus de MAJ). Gravité élevée (CVSS ≈ 9.8).

Ce qu’il se passe

Microsoft a sorti une mise à jour urgente corrigeant une exécution de code à distance dans Windows Server Update Services (WSUS). La faille permet à un attaquant distant non authentifié d’exécuter du code sur le serveur (avec des privilèges élevés). Une démonstration d’exploitation / PoC circule déjà publiquement, ce qui augmente nettement l’urgence du correctif.

Traduction de la note Microsoft :

« Si vous n’avez pas encore installé la mise à jour de sécurité Windows d’octobre 2025, nous vous recommandons d’appliquer cette mise à jour OOB à la place. Après l’installation, vous devrez redémarrer votre système. »

Pourquoi c’est alarmant

• Exploitable à distance sans authentification.

• WSUS tourne souvent avec des droits élevés (SYSTEM) → prise de contrôle complète possible.

• Les serveurs WSUS peuvent se synchroniser entre eux → risque de propagation automatique (d’où le terme wormable).

• PoC public disponible → réel risque d’exploitation massive si non patché.

Liens utiles

PoC / write-up technique : https://hawktrace.com/blog/CVE-2025-59287

Fiche vulnérabilité : https://vulnerability.circl.lu/vuln/CVE-2025-59287

Microsoft Security Response Center : https://support.microsoft.com/en-us/topic/october-23-2025-kb5070879-os-build-25398-1916-out-of-band-e192ac2e-3519-44c6-8706-d7e40c556c8c

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

Dans les news [EN]: https://www.bleepingcomputer.com/news/security/microsoft-releases-windows-server-emergency-updates-for-critical-wsus-rce-flaw/

Des fact-checkers états-uniens et journalistes français ont identifié un réseau de plus de 300 sites d'information, dont 143 « au moins » en français, financés par le service de renseignement militaire russe. Nous les avons ajoutés à la liste des (soi-disant) sites d'information épinglés par l'extension (gratuite) que Next a développée pour alerter ses utilisateurs au sujet des contenus générés par IA. Elle dénombre désormais plus de 8 000 sites GenAI.