Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjourà tous,
Cette semaine a vu une telle déferlante d'attaques en tous genre que j'ai décidé de ne traiter que les genres d'attaques qui progressent le plus. Sinon j'y serais encore dimanche prochain. Et bien sûr, ensuite on fait un tour rapide de nos cybermenaces préférées, et des malchanceux pris la main dans le sac. Bonne lecture !
L'agenda
Lundi 24 mars à 20h à Lambersart (59)
ciné-débat : La Bataille du LibreTarif unique de 5€
Mardi 25 mars de 18h30 à 20h, la Bibliothèque Francophone Multimédia de Limoges organise
une rencontre autour de Pepper & Carrot, une BD entièrement conçue avec des logiciels libres, par David Revoy
Entrée libre et gratuite dans la limite des places disponibles.
Opinion
Usbek&Rica utilise son habituel ton décalé pour avancer une proposition bien plus sérieuse qu'il n'y paraît au premier abord :
il s'agit de l'idée d'une agence européenne du renseignement. Si le ton humoristique décrit un Bureau des Légendes européen, il n'en reste pas moins que l'époque où nous pouvions compter sur les agences états-uniennes pour pallier nos insuffisances est révolu. Et que les tensions internationales se traduisent en cyber-guerres aux conséquences bien réelles. Dans ce contexte, et malgré le ton léger de l'article, cette solution apparaît comme une nécessité.
Les campagnes de la semaine
La nouveauté de la semaine
On connaissait l'attaque réseau du Man-in-the-Middle (MitM), rebaptisée depuis Attacker-in-the-Middle (AitM); Voici maintenant
le BitM, alias Browser-in-the-Middle. L'attaque consiste à faire croire à l’utilisateur qu'il interagit avec une page de login sécurisée, alors qu'en fait ses actions sont répercutées sur la machine de l'attaquant. L'objectif est de récupérer ses jetons de session après une authentification multi-facteurs.
Les risques qui montent
Une avalanche de chiffres est tombée cette semaine, concernant les vols d'identifiants : ce sont d'abord
3,2 milliards de logins qui ont été volés, et 23 millions de machines infectées par des acteurs malveillants, selon le dernier rapport de Flashpoint. La suite logique, c'est que
ces logins sont de plus en plus exploités. Selon Kapersky, il s'agit du deuxième vecteur d'attaques le plus courant. Une analyse de cloudflare présente le problème autrement :
41% des logins réussis le sont à partir d'un mot de passe compromis.. C'est énorme, c'est comme si on annonçait qu'une entrée dans un bâtiment sur deux se faisait par effraction. L'ennui, c'est que nos identités numériques nous paraissent éloignées de notre état civil et de notre identité IRL. Or le rapport 2025 de SpyCloud sur la compromission d'identité avance une moyenne de
146 par utilisateur en entreprise le nombre de documents volés liés à son identité, dans un mélange d'identifiants personnels et professionnels, de données financières, de cookies de sessions, d'adresses IP, de numéros de sécurité sociale, de CNI, etc. Avec un risque croissant d'attaques sur les identités visant aussi bien les individus que les organisations Comble de la négligence,
70% des secrets ayant fuité sont toujours en place deux ans plus tard. Cela inclut aussi ceux qui concernent les NHI (Non-Human Entities), comme les clés d'API ou jetons d'automatisation.
Une autre menace croissante, d'ailleurs bien plus visible, est celle
des ransomwares. En 2023, le montant cumulé des rançons atteignait déjà $1,1 milliards. Et il n'y a aucune chance de voir les chiffres baisser pour 2024 et 2025.
Il suffit pour s'en convaincre de constater
la fulgurante ascension de Medusa : le groupe a accru ses activités de 45% entre 2024 et 2025, et rien que ce mois-ci a fait 60 nouvelles victimes, portant à plus de 300 le nombre d'incidents dont il a été responsable en 2025. Et ce n'est qu'un exemple, certes particulièrement actif, mais les groupes de ce genre poussent comme des champignons : RansomHub, Mora_001, Hellcat… Tous actifs actuellement.
Le Rapport cyber européen 2025 met en avant
une résurgence des attaques par déni de service distribué. non seulement leur nombre a connu une augmentation de 137%, mais leur puissance aussi s'est accrue, jusqu'à atteidre 1,4 terabits par seconde.
Panorama des cybermenaces
Chine
La Chine accuse
quatre Taïwanais d'être associés aux activités de la force cyber de l'armée de Taïwan, et d'avoir mené des attaques contre les intérêts chinois. De son côté, Taipei rejette ces accusations en bloc, et accuse la Chine d'avoir monté l'affaire de toutes pièces pour justifier ses propres cyberattaques.
Autre cible privilégiée des foudres du gouvernement chinois,
les États-Unis ont inculpé des employés de l'entreprise I-SOON dans une affaire d'espionnage impliquant l'APT FishMonger, qui est considéré comme le bras armé d'I-SOON.
En dépit de nombreuses critiques et d'avertissements,
la chaîne d'approvisionnement numérique états-unienne reste totalement dominée par des compagnies chinoises. A titre d'exemple, le groupe ByteDance (la société-mère de TikTok) est connecté à 35,4% du marché US. Mais les petits fournisseurs de secteurs de niche constituent également un risque.
Un autre aspect – totalement différent – de la rivalité inamicale avec les États-Unis a été révélé cette semaine : selon un général de l'US Space Force,
les satellites chinois se sont livrés à des manœuvres ressemblant à un combat aérien. Selon lui, cela indiquerait que la Chine développe dès à présent ses capacités guerrières spatiales. Pour mémoire, la crainte d'une frappe nucléaire depuis l'espace date de l'époque de la guerre froide et revient périodiquement, mais plutôt à l'encontre de la Russie.
États-Unis
Alors que le DOGE met en pièce le CISA (Cybersecurity and Infrastructure Security Agency), en particulier la red team (les équipes de sécurité offensive), l'agence a formulé
des craintes quant aux perturbations du renseignement sur les menaces cyber qui s'ensuivraient. Un formulaire d'inscription aux alumni du CISA a été mis en place pour faciliter les connexions avec les entreprises privées souhaitant embaucher les red teamers licenciés.
Et pendant que le CISA rétrécit à vue d’œil,
la FCC (Federal Communications Commission) se propose de former un conseil de sécurité nationale chargé de lutter contre les menaces étrangères sur les infrastructures numériques et les télécommunications états-uniennes… E que s’apelerio CISA ?
Côté privé, Microsoft aussi pourrait faire un effort :
11 cybermenaces étatiques ont été repérées comme exploitant ou ayant exploité une faille zero-day datant de 2017, incluant l'Iran, la Russie, la Corée du Nord et la Chine. La faille permet l'exécution de commandes arbitraires en dissimulant le code dans des raccourcis de fichiers .lnk. Pourtant, Microsoft refuse de patcher au motif que le risque ne justifierait pas une maintenance.
Corée du Nord
L'OFAC (Office of Foreign Assets Control), une agence du ministère du budget états-unien, a annoncé des sanctions à l'encontre de
l'APT43, alias Kimsuky, un groupe nord-coréen. Officiellement, ces sanctions sont liées au lancement d'un satellite de reconnaissance militaire, mais il s'agit plus largement de bloquer autant de ressources que possible aux opérations malveillantes de la Corée du Nord.
Pour le moment, force est de constater que leurs opérations se portent bien : le RGB (Reconnaissance General Bureau), leur agence de renseignement, est en train de constituer
un nouveau groupe de hackers, Research Center 227, spécialisé dans l'IA.
Après des rapports d'abus par le groupe Lazarus, la plateforme d'échange de cryptomonnaies OKX a décidé de
suspendre son agrégateur de trading tout-en-un OKX DEX pour y implémenter des mises à jour de sécurité. Cela fait suite à la tentative de Lazarus de s'en servir pour blanchir une petite partie de son butin d'un montant de $1,5 milliards après un vol de cryptomonnaie.
Du côté de l'APT37, plus connus sous le nom de
Squid Werewolf, une campagne d'ingénierie sociale a été lancée pour distribuer des pièces jointes contenant les détails d'une offre d'emploi émanant de faux recruteurs. Bien-sûr, la pièce jointe contient également un malware...
Encore sur le thème de l'emploi, un effort coordonné des travailleurs IT nord-coréens pour générer des devises étrangères afin de financer le programme nucléaire et ballistique est toujours en cours.
Ils se concentrent désormais sur l'exploitation de gitHub pour créer des personna de travailleurs philippins, vietnamiens ou japonais.
Russie
Le gang de cyber-rançonneurs russes
Blacklock est en pleine forme : avec leur ransomware-as-a-service, ils ont réussi à compromettre 48 organisations en juste deux mois. Ils ciblent des secteurs variés, immobilier, technologie ou construction. Leur niveau de compétence technique est élevé : ils créent leurs propres malwares et emploient des méthodes de chiffrement avancées.
Un négociant de failles zero-day de nom de
Operation Zero offre jusqu'à $4 millions pour des exploits sur Telegram. Cette compagnie travaille exclusivement avec le gouvernement russe. Son offre est explicable, car l'application est très populaire en Russie et en Ukraine. De son côté, le gouvernement ukrainien a interdit son usage sur les équipements militaires et gouvernementaux.
Un autre allié de Moscou,
FIN7, s'est doté d'une porte dérobée sophistiquée du nom de Anubis Backdoor. Jusqu'ici plutôt connu pour les millions de dégâts occasionnés sur les infrastructures des secteurs financiers et hospitaliers, ce nouvel outil indique une évolution vers des activités plus discrètes, de type APT.
C'est désormais avéré :
le groupe de ransomware BlackBasta est lié au gouvernement russe. c'est – entre autres – ce que nous apprend une fuite de logs sur environ un an, provenant d'un utilisateur de Telegram.
Busted !
Les gros poissons ne sont pas à l'abri
Suite à son arrestation et à sa détention provisoire en Israël,
Rostislav Panev a été extradé vers les États-Unis, où il sera jugé en tant que développeur du groupe de ransomware-as-a-service Lockbit.
Autre victoire pour les États-Unis, les propriétés et intérêts américains du mixeur de cryptomonnaies
Sinbad ont été saisis pour avoir servi à blanchir l'argent issu des activités de l'APT nord-coréen Lazarus.
Europol a également frappé un grand coup en
démantelant un réseau criminel dont les activités consistaient à la fois à escroquer le système de santé français et à blanchir ses gains en Allemagne. Les sommes détournées avaient atteint 6,7 millions d'Euros.
Les gens ordinaires, la tech et la justice
Vexé par une restructuration lui laissant moins de responsabilités et un accès réduit au système de son entreprise,
Davis Lu, un développeur texan, installe un kill switch sur l'Active directory, de façon à bloquer tous les accès au système en cas de désactivation de son compte. Ce qui arriva après son départ en 2019. Il passera en jugement le 23 juin prochain, et risque 10 ans prison.
Après avoir lu sur la montre connectée qu'elle partageait avec son mari un message prouvant son infidélité, une femme qui avait produit sa trouvaille lors de la procédure de divorce
a été condamnée par le tribunal de Montauban au motif que ce message privé ne lui était pas destiné.
Le système de vérification biométrique d'Interpol a été optimisé, et bien qu'accompagné de certaines garanties sur la protection des données, il soulève de nombreuses inquiétudes quant aux possibilités de fuites, et sur la fiabilité de certaines sources telles que les caméras de vidéosurveillance.
Voila, c'est tout pour cette semaine. A la semaine prochaine pour jeter un coup d'oeil su les nouveautés du numérique.
