🔎 Cyberveille

Victime d'une cyberattaque en octobre dernier, la commune (5 154 habitants, Lot-et-Garonne) a bénéficié de l'aide du centre de gestion pour rétablir ses services rapidement.

Deux jeunes hommes ont été mis en examen jeudi à Paris pour le piratage de l’Office français de l’immigration et de l’intégration (OFII), entraînant le vol et la diffusion de certaines données personnelles.

Fini de rire pour les jeunes hackers. Deux garçons, âgés de 20 et 17 ans, ont été mis en examen, jeudi à Paris, pour « l’accès et le maintien frauduleux dans des systèmes de traitement automatisé de données (STAD), la modification et l’introduction frauduleuse de données dans des STAD, le tout en bande organisée et association de malfaiteurs ».

La coentreprise franco-allemande European Search Perspective a transmis des lettres ouvertes aux dirigeants de l'ensemble des États membres de l'Union européenne. Ces derniers sont invités à créer des index de recherche nationaux sous juridiction européenne. Il faut dire que le constat a de quoi inquiéter : 99,5% des requêtes effectuées en Europe transitent par des infrastructures étrangères.

Google a identifié deux vulnérabilités « zero-day » dans le moteur de Chrome, cela rend une simple navigation web risquée. Ces failles critiques, baptisées CVE-2026-3909 et CVE-2026-3910, sont actuellement utilisées pour attaquer des machines Windows, Mac et Linux.

Apple a publié des mises à jour pour d’anciens produits ciblés par l’outil d’espionnage Coruna. Son existence a été révélée par Google ce mois de mars et iVerify indique qu’il s’agit d’un logiciel “initialement commercialisé par des fournisseurs de solutions de surveillance”, mais qui a fini par être utilisé dans le cadre d’opérations criminelles à grande échelle.

Panorama ANSSI 2025 de la cybermenace, Microsoft Patch Tuesday sans 0day, outils de piratage iPhone Coruna finalement liés aux US, démantèlement de LeakBase, ShinyHunters vise 100 entreprises via Salesforce, 90 zero-days exploités en 2025, l'Iran cible les caméras IP au Moyen-Orient, etc.

Jeudi, le parquet de Paris a annoncé qu'une vaste opération judiciaire internationale a permis de mettre hors ligne SocksEscort, un service de proxy cybercriminel qui s'appuyait sur un million de box internet infectées dans le monde entier.

Alors que Meta a récemment porté plainte contre deux entreprises brésiliennes pour des arnaques publicitaires, une enquête menée par les chercheurs de Bitdefender Labs révèle l’existence d’un vaste écosystème de fraude qui s’appuie sur cette même infrastructure publicitaire.

Présente dans au moins 25 pays, cette opération illustre l’évolution des stratégies de cybercriminalité financière, désormais structurées comme de véritables plateformes à grande échelle…

La Région Occitanie a subi une cyberattaque permettant à un groupe de hackeurs de voler les données de 310 000 jeunes bénéficiaires de la "Carte Jeune Région". Nom, prénom, coordonnées, mais aussi photo individuelle et établissement scolaire figureraient sur cette base de données. La Région a déposé plainte. ...

Contactée par France 3 Occitanie, la Région a confirmé avoir appris dès jeudi 5 mars par son prestataire de service qu'un "incident de sécurité sur le système informatique de la Carte Jeune" s'était produit, sans pouvoir préciser le nombre de personnes touchées. Le dispositif "Carte Jeune" permet aux 230 000 lycéens de la région, ainsi qu'aux jeunes apprenants en établissements spécialisés, d'accéder à des "bons plans" commerciaux et culturels, ainsi qu'à leur établissement scolaire.

Selon une étude conduite par une équipe d’experts en sécurité, une faille matérielle présente dans de nombreux téléphones Android permettait à des pirates informatiques d'y accéder en moins d'une minute. Ils ont pu accéder à des données sensibles, notamment des messages et les phrases de récupération de portefeuilles cryptographiques.

Un inconnu propose à la vente, sur un forum clandestin, une base de données qui contiendrait des informations sensibles concernant plus de six millions de clientes et clients de Sunrise. L’incident n’est pas confirmé, mais l’offre détaillée laisse penser à une fuite potentiellement grave.

...

Pour l’heure, il ne s’agit toutefois que d’allégations non confirmées provenant d’une source criminelle. Contacté à ce sujet, Sunrise indique n’avoir «actuellement aucun indice» suggérant que la fuite de données alléguée existe ou ait existé. L’opérateur souligne disposer d’un système de gestion de la sécurité complet et certifié et estime que les données de ses clients sont en sécurité. Les spécialistes en cybersécurité de l’entreprise examinent néanmoins «très attentivement ces informations».Sunrise précise en outre qu’il informera sa clientèle «dès que les faits seront établis».

Les systèmes informatiques de la société Stryker ont été en partie paralysés, et le contenu de certains appareils professionnels de salariés effacés à distance. Le groupe qui a revendiqué l’attaque est soupçonné d’être proche des services iraniens.

Une gestion de version détaillée se trouve à la fin de ce document.

En 2025, les frontières qui existent traditionnellement entre acteurs étatiques et cybercriminels ont continué de s’éroder, complexifiant notamment le processus d'imputation. Ainsi par exemple le détournement, à des fins malveillantes, d’outils et de services légitimes, n'est plus une pratique caractéristique de groupes réputés liés à des états.

Dans le même temps, les techniques d'ingénierie sociale se réinventent et vont au-delà des faux supports informatiques. Par ailleurs ces acteurs montrent aussi un intérêt pour des outils plus évolués que sont ceux d'intelligence artificielle, sans qu'il soit pour autant pertinent de parler de changement de paradigme.

Pour atteindre leurs objectifs, les attaquants exploitent toujours des vulnérabilités, massivement et opportunistement, ou de manière plus ciblé, en fonction de la finalité recherchée. En particulier, celles qui visent les équipements de bordure, et de manière générale les solutions exposées sur internet, peuvent être exploitées très rapidement.

En parallèle, dans un contexte d’aggravation des tensions géopolitiques mondiales, les acteurs étatiques poursuivent leurs efforts pour compromettre les réseaux des entités diplomatiques à des fins de collecte de renseignement stratégique. Comme les années précédentes, les MOA réputés liés à des services de renseignements russes ou chinois sont toujours autant observés.

Sur le volet du cybercrime, sans faire de généralisation, il est observé une baisse de l'utilisation de rançongiciels au profit d'une augmentation significative de la seule exfiltration de données. Encore une fois en 2025, l'ANSSI a pu cependant compter sur des fuites de données affectant notamment ces acteurs, permettant ainsi de mieux comprendre leur fonctionnement.

• Sept adolescents polonais (12-16 ans) vendaient des outils DDoS-for-hire, permettant à n'importe qui d'acheter des attaques contre des sites d'enchères, hébergeurs et plateformes de réservation pour générer des revenus.
• La Pologne refuse de poursuivre pénalement les moins de 13 ans et privilégie la rééducation pour les 13-17 ans, mais cette approche éducative ne dissuade pas des mineurs déjà lucratifs dans la cybercriminalité.
• L'accès facile à ces ressources malveillantes en ligne et la coordination entre mineurs sur plusieurs régions révèle un marché criminel structuré et accessible même aux enfants.

Un appel frauduleux lui coûte 50’000 francs En falsifiant des numéros suisses, des escrocs se font passer pour des employés ou policiers et détournent des millions. Un conseiller national exhorte les opérateurs à réagir. En bref:

• Le «spoofing» permet à des escrocs d’afficher de faux numéros suisses depuis l’étranger.
• L’Ofcom oblige désormais les opérateurs à bloquer les appels usurpés provenant de l’étranger.
• Le conseiller national Martin Candinas (Le Centre/GR) réclame des mesures plus strictes contre ces arnaques.

🎁 🔗

👇

https://www.24heures.ch/spoofing-un-appel-frauduleux-coute-50000-francs-a-un-suisse-112848262385?gift_token=20d154a0bac0

Une nouvelle technique d'évasion, baptisée "Zombie ZIP", permet de cacher des charges malveillantes aux yeux de la majorité des solutions de sécurité du marché, y compris les EDR. Voici ce qu'il faut savoir sur cette menace potentielle.

L'art de l'illusion avec la méthode Zombie ZIP Découverte par Chris Aziz, chercheur en sécurité chez Bombadil Systems, la technique Zombie ZIP abuse de la confiance accordée aux moteurs d'analyse à l'en-tête des fichiers ZIP. En effet, cette attaque consiste à manipuler l'en-tête du fichier ZIP de façon à altérer le champ déterminant la méthode de compression au sein de l'archive.

Le 12 mars, Orange Cyberdefense présentera "Don't Go to the Police", un film-documentaire sur la cyberattaque subie par Coaxis. En hébergeant les données de milliers de clients, cette PME du Lot-et-Garonne est devenue le maillon faible d'une filière entière.

Combinant orchestration de l'IA, intégration du protocole MCP et plus de 100 outils offensifs dans un seul référentiel GitHub public, CyberStrikeAI rend plus accessible la mise en oeuvre de cyberattaques complexes. Un outil utile pour les experts en cybersécurité, mais également pour les pirates.

L'IA facilite de plus en plus les attaques informatiques et c'est dans ce contexte qu'une plateforme de test de cyberattaques open source appelée CyberStrikeAI voit le jour. Celle-ci regroupe des outils et des fonctions d'automatisation des attaques de bout en bout dans un seul moteur d'orchestration IA natif. Malgré un avertissement présent dans son dépôt GitHub indiquant qu'il s'agit d'une plateforme à des fins d'enseignement et de formation, de sérieux doutes subsistent sur la motivation de son promoteur. Selon les recherches de l’entreprise de cybersécurité Team Cymru, le développeur à l'origine de CyberStrikeAI aurait en effet « certains liens » avec le gouvernement chinois et serait directement impliqué dans des opérations malveillantes. Les activités GitHub de CyberStrikeAI suggèrent que son développeur, connu sous le nom d'Ed1s0nZ, interagit avec des entreprises privées chinoises ayant des liens connus avec le ministère chinois de la Sécurité d'État (MSS). Entre le 20 et le 26 janvier, les chercheurs ont observé 21 adresses IP uniques exécutant CyberStrikeAI, avec des serveurs principalement hébergés en Chine, à Singapour et à Hong Kong. Ce nombre indique une « forte augmentation de l'utilisation opérationnelle » depuis la création du référentiel GitHub en novembre 2025, a noté M. Thomas de Team Cymru.

Les fraudeurs cherchent continuellement à adapter leurs méthodes pour tromper les internautes. La semaine dernière, l'OFCS a reçu deux nouvelles variantes de fraude, basées sur des phénomènes existants ou combinant différentes méthodes frauduleuses.

Avec un e-mail trompeusement authentique au nom d’Amazon, les destinataires sont informés qu’ils font partie des « 250 clientes et clients suisses sélectionnés » pouvant remporter des prix attractifs tels que des bons Amazon, le dernier iPhone ou une PlayStation 5.

Jeu-concours frauduleux combinés à du phishing Le message contient un lien pour participer prétendument à un jeu-concours. Il s’agit en réalité d’un jeu-concours frauduleux destiné à attirer les destinataires vers des sites web. Sur ces sites, il est plus ou moins clairement indiqué qu’en saisissant les données de carte de crédit, un abonnement de plusieurs années est souscrit. Il ne s’agit pas de phishing classique : les opérateurs exploitent délibérément des zones grises pour éviter la fermeture du site ou une plainte pénale. La surprise intervient lorsque, en cliquant sur le lien, une page s’ouvre d’abord, demandant à la victime de saisir ses identifiants Amazon. Les informations saisies sont directement envoyées aux fraudeurs. Avec ces données, les criminels peuvent accéder au compte Amazon, passer des commandes, consulter les informations de paiement enregistrées et utiliser les données personnelles – un cas de phishing classique.

L’Organisation mondiale de la propriété intellectuelle vient de rendre sa décision dans le litige opposant Optic 2000 à un chercheur en sécurité. Ce dernier avait enregistré un nom de domaine pour « protéger », disait-il, l’entreprise.

Un nom de domaine qui doit être transféré au plus vite au plaignant et un chercheur en sécurité informatique « de bonne foi » qui aurait cependant évité sans doute bien des ennuis en consultant la page de contact d’Optic 2000. L’Organisation mondiale de la propriété intellectuelle (Ompi) vient de rendre sa décision dans l’affaire opposant le spécialiste des lunettes Optic 2000 et Philippe Caturegli, un spécialise de la cybersécurité français basé aux États-Unis.

Mondial Relay replonge dans la tourmente des fuites de données. Le transporteur révèle qu’un intrus s’est infiltré dans sa plateforme de suivi des colis pour y dérober des données personnelles et des informations logistiques. Les données ont été mises en vente sur le dark web, augurant une nouvelle vague d’escroqueries sophistiquées.

Un faux site imitant le célèbre utilitaire CleanMyMac circule actuellement en ligne et pousse les internautes à exécuter une commande dans Terminal. Derrière cette manipulation se cache SHub Stealer, un malware macOS capable de voler mots de passe, données de navigateurs et portefeuilles crypto.

L'Active Directory (AD) est le système nerveux central de la quasi-totalité des infrastructures Windows en entreprise. Il gère les identités, les authentifications, les droits d'accès, les politiques de sécurité et les relations de confiance entre domaines. C'est aussi, sans conteste, la surface d'attaque la plus exploitée lors des intrusions avancées : Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket, délégations non contraintes — les techniques d'attaque sur l'AD sont nombreuses, bien documentées et redoutablement efficaces.

Dans ce contexte, PingCastle s'est imposé comme l'outil de référence pour évaluer rapidement le niveau de risque d'un Active Directory. Créé par Vincent Le Toux et distribué sous licence libre, il produit en quelques minutes un rapport de sécurité complet avec un score de risque chiffré, une liste des vulnérabilités détectées et des recommandations priorisées. C'est à la fois un outil d'audit pour les équipes défensives et un outil de reconnaissance précieux pour les pentesters.

Des chercheurs en cybersécurité ont découvert un package npm malveillant qui se fait passer pour un installateur OpenClaw afin de déployer un cheval de Troie d’accès à distance (RAT) et de voler des données sensibles sur des hôtes compromis.

Le paquet, nommé « @openclaw-ai/openclawai », a été déposé auprès du registre par l’utilisateur « openclaw-ai » le 3 mars 2026. Il a été téléchargé 178 fois à ce jour. La bibliothèque est toujours disponible au téléchargement.

JFrog, qui a découvert le paquet, a déclaré qu’il est conçu pour voler les identifiants système, les données du navigateur, les portefeuilles de cryptomonnaie, les clés SSH, les bases de données du Trousseau d’accès Apple et l’historique iMessage, ainsi que pour installer un RAT persistant avec des capacités d’accès à distance, un proxy SOCKS5 et le clonage de sessions de navigateur en direct.

« Cette attaque se distingue par l’ampleur de sa collecte de données, le recours à l’ingénierie sociale pour obtenir le mot de passe du système de la victime, ainsi que la sophistication de sa persistance et de son infrastructure de commande et de contrôle », a déclaré Meitar Palas, chercheur en sécurité . « En interne, le logiciel malveillant s’identifie comme GhostLoader. »

Selon les agences de renseignement néerlandaises, ces attaques par ingénierie sociale ont visé des responsables gouvernementaux et des militaires dans le monde entier. Les services de renseignement militaire (MIVD) et de sécurité intérieure (AIVD) des Pays-Bas ont alerté, le 9 mars 2026, sur une campagne de piratage de comptes WhatsApp et Signal menée par des cybercriminels affiliés au Kremlin. Elle a notamment visé des responsables politiques, des fonctionnaires et des militaires. Cette campagne s’appuie exclusivement sur de l’ingénierie sociale et n’implique aucune compromission de WhatsApp ou de Signal.