Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjour,
Et ça y est, notre instance Hubzilla a repris du service grâce aux bénévoles qui s'impliquent pour la faire tourner ! GG à elles/eux et sans plus tarder, on passe ax attaques et cybermenaces.
Bonne lecture !
L'agenda
Du lundi 28 avril au samedi 3 mai à Chateaubriant et alentour, l'association ACIAH organise
une semaine autour de la distribution Aciah-Linux, conçue pour une meilleure accessibilité pour les personnes non-voyantes.
Gratuit sur inscription
Lundi 28 avril et mardi 29 avril de 18h à 19h30 à l'Espace Waldeck-Rousseau, 161 de l’avenue Roger Salengro, 13002 Marseille, l'association AssoDev-MarsNet organise
une présentation et des ateliers sur les solutions numériques libres et éthiques pour les associations, dans le cadre du projet Open Minds.
Entrée libre et gratuite
Mercredi 30 avril de 19h à 23h, une soirée est organisée au cinéma L'Univers,16 rue Georges Danton à Lille autour de la
projection de la série documentaire Share AlikeEntrée prix libre
En ligne
Mercredi 30 avril à 20h, visioconférence de Stéphane Galland sur le thème
"UPmethodology : Outils et extensions pour des documents scientifiques ou techniques"Mardi 29 avril de 11h à 12h, webinaire à l'intention des petites structures sur le thème de l'intégration d'une solution IAM (gestion des accès et des identités) :
"Liferay et Keycloak: Sécurisez et centralisez vos accès en toute simplicité"Opinion
Au début de ce mois, Daniel Kokotajlo, Scott Alexander, Thomas Larsen, Eli Lifland et Romeo Dean
ont publié sur cette page une sorte de manifeste contenant leurs prédictions sur l'avenir mirobolant de l'IA dans les 10 prochaines années.
Dans la foulée, Thomas Gerbaud en a fait une critique brutale, qui se trouve résumée dans le itre : "
AI 2027, une bonne vieille daube".
Je vous laisse vous faire une opinion, mais je vous livre la mienne : je n'ai été convaincue ni par l'un ni par l'autre. Principalement parce qu'aucun des deux ne pose la question des ressources englouties (5l d'eau par image, liste non exhaustive) ou des données et des œuvres d'art usurpées pour l'entraînement des modèles. Ou encore des travailleurs pauvres de l'IA au Kenya et ailleurs, ou de l'intégration forcée de l'IA agentique dans nos moindres usages numériques... Bref, d'un côté on se fait mousser avec une mauvaise S-F qui évacue tout problème de fond, de l'autre on s'en tient à la méthodologie et au style : "Mais c'est mal écrit et ça ne tient pas !" Sans doute, mais est-ce vraiment le problème ?
Les campagnes de la semaine
La nouveauté de la semaine
Des chercheurs de chez Varonis ont mis à jour un nouveau type d'attaque, qu'ils appellent
"Cookie-Bite Attack". Il s'agit d'un mélange inédit d'infostealer, d'extension de navigateur malveillante et de scripts automatisés pour extraire les cookies d'authentification directement du navigateur. Les techniques employées pour obtenir des jetons en texte clair relèvent à la fois du phishing, du MitM, du dumping de la mémoire des processus du navigateur et du déchiffrement des cookies stockés localement. L'objectif est de contourner les mécanismes d'authentification multi-facteur pour obtenir et maintenir un accès persistant à des serveurs cloud.
Les risques qui montent
En préambule, le bilan annuel du FBI sur la cybercriminalité est sorti, et prouve en chiffres ce qu'on ressent quand on suit l'actualité de ce domaine :
les cybercriminels s'enrichissent plus que jamais, le nombre des victimes monte en flèche et les ransomwares constituent la menace la plus importante contre les infrastructures critiques.
Ce n'est un secret pour personne, les voitures modernes comprennent une part importante d’équipements connectés, ce qui ne va pas sans risques :
les cyberattaques sur les automobiles sont en hausse de 45%, et ce sont principalement des ransomwares.
Ransomware encore, dans un autre secteur :
les attaques par ransomware content en moyenne $6,08 millions aux banques, sans compter les dépenses en mesures de protection et les éventuelles amendes pour non-conformité. Il est difficile de mesurer le coût additionnels liés aux dommages réputationnels et aux perturbations des opérations. La stabilité financière dépend désormais de la mise en place d'une cybersécurité proactive et de la mise en conformité aux normes et réglementations.
Malgré une résurgence des
vols d'identifiants, qui ont surpassé les gains d'accès par phishing en 2024,
le nombre de
phishings constitue encore 26 % des gains d'accès initiaux et continue d'augmenter, avec une hausse de +84 % de l'envoi d'infostealers par email.
Mais les gains d'accès sont loin d'être la seule fonction des emails frauduleux, et
un rapport de Valimail montre que les emails restent le vecteur d'attaque le plus répandu, en tenant compte de l'ensemble des attaques et des campagnes de désinformations.
Avec la publication de son rapport M-Trends 2025,
Mandiant met en lumière la sophistication croissante des menaces cyber, en particulier ceux liés à la Chine. Ces groupes exploitent communément des zero-day, évitent la détection en déployant des réseaux de proxies ressemblant à des botnets. Et à côté d'attaques de haute complexité mêlant savamment divreses tactiques, ils savent aussi saisir l'opportunité d'utiliser une méthode toute simple mais parfaitement adaptée à l'occasion qui se présente.
Panorama des cybermenaces
Tendances générales
Nous sommes déjà entrés dans une ère où les infrastructures essentielles comme celles du
secteur de l'énergie deviennent la cible de cyberattaques étatiques. Dans une majorité des cas (55%) le vecteur initial de l'attaque est un phishing par email, suivi par la compromission d'un SaaS (souvent Microsoft 365). La première source de ces attaques sont les groupes de ransomware (18 % des cas). L'intégration croissante de l'IA dans les systèmes du secteur génère quelques inquiétudes, qui ne se réalisent pas dans les faits pour le moment. La vulnérabilité la plus à risque réside dans la concentration des fournisseurs de solutions informatiques, qui fait qu'une seule attaque ciblée pourrait avoir des répercussions sur l'ensemble d'une infrastructure critique.
Autre cible de plus en plus privilégiée par les groupes affiliés par un État :
les petites et moyennes entreprises, en particulier celles qui fournissent des biens et des services à des organisations plus imposantes. En d'autres termes, ce sont les possibilités d'attaques sur la chaîne d'approvisionnement qui sont recherchées ici par les acteurs malveillants.
Autrefois centré principalement sur l'Asie du sud-est, le problème des
call center dédiés aux scams s'étend au reste du monde, et participe à l'expansion et à l'enrichissement de groupes mafieux au point que l'ONU tire la sonnette d'alarme.
L'attaque dite
"clickfix" (incitation de l'utilisateur à cliquer sur un bouton d’apparence inoffensive, mais qui va lancer un programme malveillant) se généralise également, et fait désormais partie de l'arsenal de différents groupes malveillants à travers le monde.
Guerre en Ukraine et tensions Russie-Europe
Une backdoor particulièrement sophistiquée a été découverte dans le système informatique de
diverses organisations gouvernementales, financières et industrielles en Russie. Cette porte dérobée cible plus particulièrement les machines connectées à ViPNet, une solution de sécurisation. Le point d'entrée est une mise à jour de ViPNet infectée par un malware. Dans un contexte d'accroissement des activités de cyber-espionnage, de nouvelles APT ont été repérées, à qui cette attaque pourrait être imputée.
Un autre spyware a été répandu parmi les soldats russes sous la forme
d'une fausse appli Alpine Quest sur les téléphones Android, qui récupérait les données sensibles, les contact, et surtout la géolocalisation de la cible. Si des opérations similaires ont été menées auparavant par Ukrainian Cyber Alliance, l'attribution de cette action n'est pas confirmée à ce jour.
De l'autre côté, une campagne attribuée aux APT UTA0355 et UTA0352 cible les organisations liées à l'Ukraine et les associations de défense des droits de l'Homme
en contournant le système d'authentification 0Auth grâce à un phishing pour accéder à leur compte MS365. Volexity, qui suit ces deux APT, évalue avec un degré de confiance modéré leur allégeance à la Russie.
Après l'ANSSI il y a quelques semaines, c'est maintenant
le Ministère de la défense hollandais qui dénonce une action de sabotage russe contre le système de contrôle numérique d'un établissement public batave. Cette attaque, qui a échoué grâce à une réaction rapide de la cible, constitue selon un "dangereux précédent". En effet, elle a été identifiée comme appartenant un plan coordonné de déstabilisation de la cohésion sociale et de compromission de la sécurité à travers l'Europe.
Cela peut prêter à rire au premier abord, mais l'affaire est plus sérieuse qu'elle en a l'air :
le Royaume-Uni interdit l'export de manettes de jeux vidéos vers la Russie. En effet, le détournement de leur utilisation à des fins militaires a été démontré, pour contrôler des drones ciblant des civils. Dans le nouveau lot de sanctions européennes auquel les anglais se joignent, se trouvent aussi un logiciel servant à identifier de nouvelles sources d'énergie comme le gaz ou le pétrole, et toutes sortes de matériaux ou de technologies pouvant contribuer à l'effort de guerre.
Mieux vaut tard que jamais : dans un contexte instable de tensions globales où le numérique est trop souvent un terrain de bataille officieux,
les entreprises européennes du numérique s'alignent sur une volonté de souveraineté exprimée dans une lettre ouverte initiée par l'entreprise danoise Netcompany. Y'a plus qu'à…
Les lignes bougent en Asie
Les rois du scam par la recherche d'emploi – j'ai nommé Lazarus – ont maintenant un sous-groupe connu sous le nom de 'Contagious Interview', et dont la principale activité consiste à
se faire passer pour une entreprise de consulting en cryptomonnaies pour inciter les chercheurs d'emplois reçus en entretien en visio à télécharger divers malwares.
Les relations nord-coréennes avec son voisin du sud se tendent :
Lazarus a ciblé plusieurs organisations sud-coréennes dans l'IT, la finance et les communications avec une attaque du point d'eau (infection d'un site légitime pour s'attaquer à ses visiteurs). Si l'exploitation qui s'ensuit demeure peu claire à ce jour, elle contient une étape identifiée d'élévation de privilèges. Les chercheurs de Kapersky ont nommé la campagne 'Operation SyncHole'.
Une autre campagne contre la Corée du sud
a été réalisée par l'APT Kimsuky. Il s'agit cette fois de l'exploitation d'une faille dans le protocole RDP qui permet la connexion à distance à un appareil. Ce gain d'accès à distance est réalisé avec un fichier .lnk malveillant maquillé en document Office et distribué par spear-phishing.
Passons à la Thaïlande, qui paie cher l'expansion du secteur numérique de son économie,
avec une hausse des cyberattaques de 240%. Suite à une transition numérique rapide, la Thaïlande est devenue une importante plateforme économique régionale, ce qui ne va pas sans susciter quelques convoitises. D'où un nombre de victimes de ransomware multiplié par cinq. Les chercheurs de Cyfirma ont cartographié les cybermenaces à l’œuvre : 70 % proviennent de la Russie et de la Chine, avec un nombre non négligeable d'attaquants nord-coréens. Les organisations à l’œuvre relèvent autant de l'affiliation à un état qu'à la sphère cybercriminelle.
On finit par le Japon, dont l'agence des services financiers (FSA) a donné l'alerte à propos de la
compromission de comptes d'au moins six sociétés, résultant en environ US$700 millions de transactions illicites. Encore une fois, le point d'entrée a été une campagne d'ingénierie sociale, mêlant faux-sites et phishing. Si l'objectif de l'attaque semble être la manipulation de la valeur des actions en faveur des attaquants, une des conséquences est une déstabilisation du marché.
Voilà, c'est tout pour aujourd'hui !
On se retrouve la semaine prochaine pour faire un tour des nouveautés dans le monde de la tech.
D'ici là prenez soin de vous...
