🔎 Cyberveille

Le recel de données issues d'un leak et l'achat d'informations volées sur le darkweb sont tolérés par les autorités. Motif : ils sont légitimes… et courants.

L’intelligence économique intrigue autant qu’elle impressionne : il suffit de l’évoquer pour susciter curiosité et fantasmes d'espionnage. "Dans cette activité, il y a le mythe de la barbouzerie, composée d'anciens des services de renseignement. Il est surtout alimenté par les jeunes générations", reconnaît Nicolas Zubinski, directeur général d'Ogma Intelligence, une société spécialisée dans ce domaine.

L'hôpital cantonal de Lucerne (LUKS) soigne son image. Reportages télévisés, clips sur les réseaux sociaux et brochures à tout va: le plus grand centre hospitalier non universitaire de Suisse présente son programme «Virtual Care» comme une révolution.

Le principe? Des caméras installées dans les chambres, des soignants qui surveillent tout derrière des écrans, et une centrale de surveillance veillant à tout garder sous contrôle. Sur le papier, tout le monde est gagnant: le personnel serait soulagé et les patients mieux encadrés. Les questions sur la protection de la sphère privée et des données, elles, restent en arrière-plan.

Côté sécurité mobile, Apple sort du lot : à la suite d'un audit mené par le BSI allemand, les iPhone et iPad fonctionnant sous iOS 26 et iPadOS 26 viennent d'être homologués pour traiter des informations classifiées de l’OTAN. Surtout, cette homologation est native : pas besoin d'ajouter une surcouche logicielle tierce.

Le niveau "NATO Restricted" pour iOS 26 Les appareils Apple sous iOS 26 et iPadOS 26 ont décroché le macaron "NATO Restricted", et c'est la première fois qu'un appareil grand public parvient à obtenir cette certification. Néanmoins, il est important de préciser qu'il y a plusieurs niveaux de classification, et qu'il s'agit ici du premier échelon. Il y a donc des niveaux supérieurs : Confidential, Secret, Cosmic Top Secret. Tout cela est expliqué sur Wikipédia.

ESET Research découvre PromptSpy, le premier malware Android à exploiter l’IA générative pour assurer sa persistance

• PromptSpy est le premier malware Android identifié à intégrer l’IA générative directement dans sa chaîne d’exécution.
• Le modèle Gemini de Google est exploité pour analyser l’interface de l’appareil compromis et fournir à PromptSpy des instructions contextuelles lui permettant de rester ancré dans la liste des applications récentes.
• L’objectif principal de PromptSpy est le déploiement d’un module VNC, offrant aux attaquants un accès distant à l’appareil infecté.
• Le malware dispose de multiples capacités malveillantes, notamment la capture de données sur l’écran de verrouillage, le blocage contre sa désinstallation, la collecte d’informations système, la capture d’écran et l’enregistrement vidéo de l’activité à l’écran.

Repéré par Christophe Boutry, ancien enquêteur judiciaire spécialisé en contre-terrorisme et expert en investigations numériques, le piratage d'Eiffage via la plateforme NextSend touche près de 176 000 personnes. LAPSUS$ a publié 77 fichiers contenant des données allant des identifiants de connexion aux informations financières sensibles.

Eiffage, le groupe de BTP coté en bourse, s'est retrouvé dans le collimateur de LAPSUS$ le 25 février 2026. Le collectif de pirates revendique l'exfiltration d'une base de données de 175 942 enregistrements issus de NextSend, une plateforme de transfert de fichiers utilisée en interne par l'entreprise.

Je suis journaliste tech depuis 20 ans, j’ai écrit quantité d’articles sur la cybersécurité. Et je me suis quand même fait arnaquer comme un bleu par un faux conseiller Binance. Témoignage d’une escroquerie par téléphone d’une redoutable efficacité (et d’une humiliation personnelle cuisante). Jeudi 19 février, 12h24. Je suis en train de préparer mon déjeuner, concentré sur mes casseroles, quand mon téléphone sonne. Numéro inconnu : 01 89 48 05 96. Première erreur : je décroche. En 2026, répondre à un numéro inconnu, c’est déjà perdre la partie. Mais je suis journaliste tech, pas un pigeon, alors qu’est-ce qui pourrait mal tourner ?

Une voix féminine, française, parfaite. Pas de trace d’accent synthétique, pas de call center crachotant au fond. « Service client de Binance France », annonce-t-elle avec un niveau de langage qui me fait presque regretter mon bac+5. Elle m’indique qu’une tentative de connexion sur mon compte a été effectuée depuis l’Espagne avec un smartphone Xiaomi. Des détails crédibles, précis, rassurants.

Ils se faisaient appeler « GlobalProfit ». Les chercheurs en cybersécurité, eux, les ont baptisés Diesel Vortex. De septembre 2025 à février 2026, ce groupe a mené une campagne de hameçonnage ciblée contre des entreprises de transport et de logistique, des deux côtés de l'Atlantique, en Europe et aux États-Unis. Les pirates auraient pu rester dans l'ombre encore longtemps, si l'un d'eux n'avait pas laissé, par inadvertance, l'intégralité de leur code accessible sur internet, explique Have I Been Squatted.

Victime d’une cyber-arnaque, un citoyen a mis près de deux jours pour dénoncer l’incident. La police genevoise évoque des problèmes de sous-effectifs.

En bref:

* Une cyber-arnaque via WhatsApp a piégé plusieurs proches d’une victime genevoise.
* Un projet de prise de plainte en ligne sera élargi à d’autres sites dans les prochaines semaines.
* La police genevoise invoque le manque d’effectifs et des contraintes opérationnelles.
* La conseillère d’État en charge de la Sécurité appelle à renforcer les effectifs.

Vulnérabilité critique Cisco SD-WAN exploitée depuis 2023, fuites de données (OM, Réglo Mobile, Wynn Resorts), espionnage chinois via Google Sheets, 600 pare-feux FortiGate compromis grâce à l'IA générative, le spyware Predator masque caméra et micro sur iOS, transposition de NIS 2 bloquée en France, etc.

Nous vous informons que la Fédération a été victime, à travers l’outil FFGym Licence, d’une cyberattaque ayant engendré le vol de données licenciés. L’attaquant a pu s’introduire dans le système au moyen d’un compte utilisateur compromis.

Données concernées Cette attaque a entrainé un accès non autorisé aux données associées à la fiche :

des licenciés pour la saison en cours et des personnes qui étaient licenciées il y a moins de quatre ans : nom, prénom, date de naissance, sexe, adresse postale, adresse mail, numéro de téléphone, n° de licence ; des personnes qui ont été licenciées à la Fédération depuis 2004 et qui ne le sont plus depuis quatre ans : nom, prénom, date de naissance, n° de licence. 2 900 000 licenciés/anciens licenciés sont concernés par la violation de certaines données de leur fiche licence.

Dans un email envoyé à l’ensemble de l’école et plus largement à « l’ensemble des usagers disposant d’un compte informatique ESPCI », le responsable du service informatique de l’École supérieure de physique et de chimie industrielles de la ville de Paris (ESPCI Paris) les a informés d’une fuite de données personnelles.

• L'isolation client WiFi (censée bloquer la communication entre appareils) est contournable sur tous les routeurs testés en 2 secondes, même en WPA3, via 3 méthodes différentes exploitant des failles de conception.
• Les chercheurs d'UC Riverside et KU Leuven ont créé AirSnitch pour démontrer que macOS, iOS et Android acceptent du trafic via la clé de groupe, permettant un Man-in-the-Middle complet sans latence détectable.
• Sur WiFi public, seul un VPN activé AVANT la connexion offre une protection réelle ; l'isolation client n'existe pas dans le standard IEEE 802.11, chaque fabricant improvise et crée des failles.

Bon, vous connaissez la théorie du travailleur nomade... vous vous posez dans un café avec votre laptop, vous chopez du WiFi gratuit, et vous vous dites que l'isolation client du routeur vous protègera des autres branquignols connectés au même réseau.

Hé ben non ! Car des chercheurs viennent de démontrer que cette protection, c'était du vent... Oui oui, tous les routeurs qu'ils ont testés se sont fait contourner en 2 secondes.

Le ton monte entre la Silicon Valley et Washington. Anthropic, pionnière de l'intelligence artificielle, vient de refuser publiquement l'offre « finale » du Département de la Défense, campant sur ses principes éthiques face à un ultimatum qui expire ce vendredi.

Une drone a été repéré et brouillé, mercredi, par un bateau de la marine suédoise en patrouille, à environ 13 kilomètres du navire amiral de la flotte française, stationné dans le détroit d'Öresund.

La Russie nie en bloc. Deux jours après la neutralisation d'un drone qui volait à proximité du porte-avions Charles-de-Gaulle, actuellement stationné dans les eaux suédoises, le Kremlin a démenti, vendredi 27 février, les propos des autorités locales selon lesquelles l'engin provenait "probablement de la Russie". "Si vous rapportez correctement les déclarations [de Stockholm], à savoir que le drone est russe uniquement parce qu'il y avait un navire russe à proximité, alors cette déclaration est tout à fait absurde", a déclaré le porte-parole de la présidence russe, Dmitri Peskov. Interrogé sur ces accusations par un journaliste, le responsable a ajouté "ne pas connaître les détails" de cet incident.

Une cyberattaque visant un logiciel édité par Cegedim Santé a entraîné la fuite de données médicales de 15 millions de Français. Certaines informations sensibles, dont d’éventuelles annotations de médecins, pourraient avoir été consultées.

Une nouvelle fuite de données massive, cette fois-ci de données médicales. Le ministère de la Santé a confirmé vendredi matin que les «données administratives» de 15 millions de patients Français avaient fuité après une cyberattaque. Dans un communiqué diffusé jeudi, Cegedim Santé avait dévoilé l’existence de cette attaque qui a conduit au vol de données personnelles de nombreux patients.

Des cybercriminels utilisent les notifications officielles de Google Tasks pour dérober des identifiants professionnels. Une technique redoutable, repérée par Kaspersky, qui joue sur la confiance que l'on accorde, souvent sans y penser, aux outils du géant américain.

Un risque sous-estimé: comment claviers, casques et autres périphériques peuvent devenir une porte d’entrée vers des systèmes critiques

Une analyse technique approfondie menée par l’Institut national de test pour la cybersécurité NTC montre que les périphériques utilisés sur les postes de travail numériques constituent une surface d’attaque souvent sous-estimée. Environ 30 claviers, casques, webcams et systèmes de conférence largement répandus en Suisse ont été testés – des appareils que l’on retrouve sur chaque bureau en Suisse ou presque. Le NTC a identifié plus de 60 vulnérabilités, dont 13 graves et 3 critiques. Après signalement aux fabricants, ces vulnérabilités ont été en grande partie corrigées.

https://fr.ntc.swiss/hubfs/ntc-rapport-de-synthese-peripheriques-fr-1.0.pdf

Des chercheurs en cybersécurité ont révélé de multiples vulnérabilités de sécurité dans Claude Code d’Anthropic, un assistant de codage basé sur l’intelligence artificielle (IA), qui pourraient entraîner l’exécution de code à distance et le vol d’identifiants API.

« Ces vulnérabilités exploitent divers mécanismes de configuration, notamment les Hooks, les serveurs MCP (Model Context Protocol) et les variables d’environnement, permettant l’exécution de commandes shell arbitraires et l’exfiltration de clés API Anthropic lorsque les utilisateurs clonent et ouvrent des dépôts non fiables », ont déclaré les chercheurs de Check Point, Aviv Donenfeld et Oded Vanunu, dans un rapport partagé avec The Hacker News.

Le Google Threat Intelligence Group (GTIG) et le cabinet Mandiant ont rendu publics mercredi les détails d'une opération coordonnée contre UNC2814. le groupe est sous étroite surveillance depuis 2017 et soupçonné d'agir pour le compte de la République populaire de Chine. Les hackers ciblent principalement des opérateurs télécoms et des administrations gouvernementales en Afrique, en Asie et sur le continent américain.

GRIDTIDE : quand Google Sheets devient un canal d'espionnage Au cœur du dispositif on trouve GRIDTIDE, un backdoor - autrement dit une porte dérobée - développé en langage C. Ce programme est capable d'exécuter des commandes à distance et de transférer des fichiers depuis ou vers les machines infectées.

GRIDTIDE ne passe pas par un serveur de contrôle classique pour recevoir ses instructions. Il interroge directement un fichier tableur hébergé sur Google Sheets via l'API officielle du service. Oui, il s'agit bien de la même interface utilisée par n'importe quelle application légitime. Le trafic malveillant se fond dans les échanges ordinaires avec les serveurs Google, ce qui le rend donc difficile à détecter par les outils de surveillance réseau habituels.

Le chiffre fait mal : le nombre moyen de vulnérabilités open source par base de code a plus que doublé en une seule année, passant à 581 en moyenne. C’est le constat principal du rapport OSSRA 2026 (Open Source Security and Risk Analysis) de Black Duck, publié le 25 février et basé sur l’analyse de 947 bases de code commerciales dans 17 secteurs. On l’a lu pour vous – il est téléchargeable gratuitement sur inscription (en anglais). La cause pointée du doigt : l’adoption massive des assistants de codage IA. Environ 85 % des organisations utilisent désormais des outils comme GitHub Copilot, Cursor ou Windsurf. Résultat : le nombre moyen de fichiers par base de code a bondi de 74 % et le nombre de composants open source de 30 % en un an. Le code s’accumule plus vite qu’on ne peut le sécuriser.

• Les clés API Google publiques (AIza...) collées dans le JavaScript Maps donnent maintenant accès à Gemini sans restriction : fichiers privés, cache utilisateur, facturation. TruffleSecuritya trouvé 3000 clés valides exposées sur Common Crawl.
• Google active automatiquement l'accès Gemini sur TOUTES les clés existantes d'un projet sans notification, puis a classé le bug comme "comportement normal" avant de l'admettre 7 semaines plus tard.
• Solution immédiate : vérifier console.cloud.google.com pour les API "Generative Language" non restreintes, ajouter des filtres IP/referrer, et basculer sur des comptes de service pour Gemini.

Si vous administrez une infrastructure réseau utilisant Cisco Catalyst SD-WAN, une vulnérabilité critique actuellement exploitée sur Internet permet à un attaquant distant sans authentification d’obtenir un accès administrateur au système. Une exploitation réussie peut permettre de modifier la configuration réseau, d’espionner les communications ou de maintenir un accès discret à l’infrastructure.

Les investigations effectuées par Cisco Talos montrent que ces attaques sont menées par un acteur sophistiqué et que des compromissions ont été observées depuis au moins 2023, avec dans certains cas une élévation de privilèges jusqu’au contrôle complet du système après modification de la version logicielle.

Selon Cisco, un système SD-WAN peut être particulièrement exposé si :

• le contrôleur SD-WAN est accessible depuis Internet

• des ports sont ouverts vers l’extérieur

• l’accès n’est pas limité aux adresses IP autorisées

Les éléments suivants peuvent indiquer qu’un système SD-WAN a été compromis :

• une nouvelle connexion SD-WAN inconnue

• un accès administrateur inattendu

• des journaux système effacés ou incomplets

• des mises à jour ou rétrogradations non planifiées

PRODUITS CONCERNÉS

Cette vulnérabilité affecte :

*Cisco Catalyst SD-WAN Controller

*Cisco Catalyst SD-WAN Manager

ACTIONS RECOMMANDÉES

• Application des mises à jour recommandée dès que possible

• Surveillance des connexions et changements inhabituels recommandée

• Restreindre l’accès réseau aux seuls équipements autorisés

• Conserver les journaux sur un serveur externe si possible

• Placer les contrôleurs derrière un firewall

🩹 👇️ https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

Chaque semaine, de nouvelles applications frauduleuses, malveillantes ou trompeuses tentent de se frayer un chemin jusqu’aux smartphones des utilisateurs.

Face à cette pression constante, Google vient de publier son bilan annuel et dresse un état des lieux de la sécurité de son store d’applications…

En 2025, Google affirme avoir rejeté plus de 1,75 million d’applications Android lors de leur soumission. Dans son rapport, on apprend que ces applications enfreignaient les règles de la plateforme, comme des malwares, du phishing, une collecte abusive de données ou encore des pratiques trompeuses.

Victime d’une usurpation d’identité après le piratage de son mail, un retraité de 75 ans reçoit tous les jours dans sa boîte aux lettres entre 25 à 40 PV. Des amendes qui, cumulées, représentent une dette de 180 000 euros.

Selon une enquête révélée par le New York Times, près de 1,7 milliard de dollars en cryptomonnaies auraient transité via la plateforme Binance au profit d’un groupe terroriste iranien.