Le virus chinois Volt Typhoon exploite une faille de Versa Director et cible les secteurs informatiques américains et mondiaux - Actus du 27/08/2024
Découvrez comment identifier les actifs inconnus lors des tests d'intrusion et comment le virus chinois Volt Typhoon exploite une faille zero-day de Versa Director pour cibler les secteurs informatiques mondiaux, y compris les FAI et MSP américains. Protégez vos systèmes dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Comment identifier les actifs inconnus lors des tests d'intrusion
Les organisations, même les plus vigilantes en matière de sécurité, laissent souvent des zones d'ombre dans leur surface d'attaque numérique, ce qui les rend vulnérables aux cyberattaques. Cet article souligne les limites des tests de pénétration traditionnels et propose une approche intégrée combinant la gestion de la surface d'attaque externe (EASM) et les tests de pénétration en tant que service (PTaaS). Cette intégration permet d'identifier les actifs non testés et d'améliorer la posture de sécurité globale. En utilisant les capacités de découverte d'actifs d'EASM, les entreprises peuvent établir un inventaire complet de leur surface d'attaque externe, permettant aux testeurs de se concentrer sur les vulnérabilités critiques. Les avantages de cette approche incluent une visibilité inégalée sur l'ensemble de la surface d'attaque, une surveillance continue et une réponse rapide aux nouvelles vulnérabilités. En adoptant cette stratégie, les organisations peuvent mieux se défendre contre les menaces, sécuriser leur surface d'attaque en constante évolution et protéger leurs actifs numériques essentiels. En somme, il est crucial de ne pas se fier uniquement aux tests de pénétration, mais d'intégrer des solutions comme EASM et PTaaS pour une sécurité proactive et efficace.
Sources :
Le virus chinois Volt Typhoon exploite une faille de Versa Director et cible les secteurs informatiques américains et mondiaux
Le groupe de cyberespionnage Volt Typhoon, attribué avec une confiance modérée à la Chine, a exploité une vulnérabilité récemment révélée dans Versa Director, affectant des secteurs clés tels que les fournisseurs de services Internet et l'informatique. Cette faille, identifiée comme CVE-2024-39717, permettait à des utilisateurs avec des privilèges d'administrateur de télécharger des fichiers malveillants déguisés en images PNG. Les attaques ont ciblé quatre victimes américaines et une non-américaine dès le 12 juin 2024. Les chercheurs de Lumen Technologies ont noté que les clients touchés n'avaient pas appliqué les recommandations de sécurité émises en 2015 et 2017. Volt Typhoon a utilisé cette vulnérabilité pour déployer un shell web personnalisé, VersaMem, conçu pour intercepter des identifiants et faciliter des attaques en chaîne. Ce shell est modulaire et permet l'exécution de code Java en mémoire, évitant ainsi la détection. Les experts recommandent de bloquer l'accès externe à certains ports et de rechercher des fichiers PNG suspects. Volt Typhoon, actif depuis au moins cinq ans, cible les infrastructures critiques aux États-Unis et à Guam, soulignant la menace persistante que représentent les acteurs étatiques pour les entreprises et leurs clients.
Sources :
Les pirates chinois Volt Typhoon ont exploité la faille zero-day de Versa pour pirater les FAI et les MSP
Le groupe de hackers soutenu par l'État chinois, Volt Typhoon, a exploité une vulnérabilité zero-day dans Versa Director pour voler des identifiants et infiltrer des réseaux d'entreprise. Cette faille permettait aux attaquants disposant de privilèges d'administrateur de télécharger des fichiers Java malveillants déguisés en images PNG, pouvant être exécutés à distance. La mise à jour vers la version 22.1.4 corrige cette vulnérabilité, et les administrateurs sont conseillés de revoir les exigences de durcissement du système et les directives de pare-feu fournies par le vendeur. Découverte par Lumen's Black Lotus Labs, la vulnérabilité a été exploitée depuis le 12 juin 2024, affectant au moins quatre organisations aux États-Unis et une en Inde. Les attaquants ont utilisé un shell web Java personnalisé, nommé "VersaMem", pour voler les identifiants des utilisateurs légitimes. Black Lotus Labs recommande aux administrateurs de vérifier les comptes nouvellement créés et de restreindre l'accès au port HA. Volt Typhoon est connu pour compromettre des routeurs SOHO et des dispositifs VPN pour mener des attaques furtives. En décembre 2023, des alertes ont été émises pour renforcer la sécurité des dispositifs SOHO contre ces menaces.
Sources :
Microsoft Sway utilisé de manière abusive dans une campagne massive de phishing par code QR
Une campagne massive de phishing utilisant des QR codes a exploité Microsoft Sway, un outil de création de présentations en ligne, pour héberger des pages d'atterrissage visant à tromper les utilisateurs de Microsoft 365 afin qu'ils divulguent leurs identifiants. Détectée par Netskope Threat Labs en juillet 2024, cette attaque a révélé une augmentation spectaculaire de 2 000 fois des tentatives de phishing, principalement ciblant des utilisateurs en Asie et en Amérique du Nord, notamment dans les secteurs technologique, manufacturier et financier. Les courriels redirigeaient les victimes vers des pages de phishing sur le domaine sway.cloud.microsoft, les incitant à scanner des QR codes menant à d'autres sites malveillants. Les attaquants profitaient de la sécurité souvent moins rigoureuse des appareils mobiles, rendant les victimes plus vulnérables. Ils utilisaient également des techniques comme le phishing transparent pour voler des identifiants et des codes d'authentification à deux facteurs, tout en affichant la page de connexion légitime. De plus, des outils comme Cloudflare Turnstile ont été employés pour masquer le contenu de phishing, évitant ainsi les blocages par des services de filtrage. Cette méthode rappelle une campagne antérieure, PerSwaysion, qui avait déjà ciblé des identifiants Office 365.
Sources :
CTEM sous les projecteurs : comment les nouvelles catégories de Gartner aident à gérer les expositions
Le rapport récemment publié par Gartner sur le Hype Cycle pour les opérations de sécurité met en lumière l'importance de la gestion continue de l'exposition aux menaces (CTEM). Cette approche, introduite par Gartner en 2022, vise à évaluer, prioriser, valider et remédier aux vulnérabilités au sein de la surface d'attaque d'une organisation. Pentera, mentionnée comme fournisseur exemplaire dans la nouvelle catégorie de validation d'exposition adversariale (AEV), joue un rôle clé dans l'adoption de CTEM, en se concentrant sur la validation de la sécurité. La réorganisation des catégories vise à aider les entreprises à identifier les fournisseurs de sécurité les mieux adaptés à la mise en œuvre de CTEM. Les plateformes d'évaluation des vulnérabilités (EAP) améliorent l'efficacité opérationnelle et sont bien notées par Gartner. L'AEV combine la simulation d'attaques et les tests de pénétration automatisés pour fournir des preuves continues d'exposition. Bien que des défis subsistent, notamment la nécessité d'intégrer ces fonctions, la maturité croissante des produits dans ce domaine soutient l'opérationnalisation de CTEM. Pentera est présentée comme un élément essentiel pour maintenir une posture de sécurité dynamique et robuste. Pour approfondir le sujet, le sommet XPOSURE 2024, organisé par Pentera, sera une occasion d'en apprendre davantage.
Sources :
Microsoft corrige une faille de contrebande ASCII qui permettait le vol de données depuis Microsoft 365 Copilot
Une vulnérabilité récemment corrigée dans Microsoft 365 Copilot a été révélée, permettant le vol d'informations sensibles via une technique appelée "ASCII smuggling". Cette méthode utilise des caractères Unicode spéciaux invisibles dans l'interface utilisateur, permettant à un attaquant d'inciter l'utilisateur à cliquer sur des liens contenant des données cachées. Le processus d'attaque implique plusieurs étapes : injection de contenu malveillant dans un document partagé, utilisation d'une charge utile pour inciter Copilot à rechercher des emails et documents, et exploitation de l'ASCII smuggling pour exfiltrer des données vers un serveur tiers. Les informations sensibles, telles que les codes d'authentification multi-facteurs (MFA), peuvent ainsi être transmises à un serveur contrôlé par un adversaire. Microsoft a réagi en corrigeant ces problèmes après une divulgation responsable en janvier 2024. Des attaques de preuve de concept (PoC) ont également été démontrées, soulignant la nécessité de surveiller les risques liés aux outils d'intelligence artificielle. Les entreprises doivent évaluer leur tolérance au risque et mettre en place des contrôles de sécurité pour prévenir les fuites de données via Copilot, notamment en activant la prévention des pertes de données.
Sources :
Google met en garde contre une faille de sécurité CVE-2024-7965 dans Chrome, qui est activement exploitée
Google a récemment annoncé qu'une vulnérabilité de sécurité, identifiée comme CVE-2024-7965, a été exploitée activement dans la nature. Ce défaut, lié à une mauvaise implémentation dans le moteur V8 de JavaScript et WebAssembly, permet à un attaquant distant de provoquer une corruption de la mémoire via une page HTML malveillante. Découverte par un chercheur sous le pseudonyme TheDog, cette faille a été signalée le 30 juillet 2024, lui valant une récompense de 11 000 dollars. Bien que Google ait reconnu l'existence d'une exploitation de cette vulnérabilité après la mise à jour, il n'est pas encore clair si elle a été utilisée comme un zero-day avant sa divulgation. Depuis le début de 2024, Google a corrigé neuf zero-days dans Chrome, dont plusieurs démontrés lors de l'événement Pwn2Own 2024. Les utilisateurs sont fortement encouragés à mettre à jour leur navigateur vers la version 128.0.6613.84/.85 pour Windows et macOS, et 128.0.6613.84 pour Linux, afin de se protéger contre d'éventuelles menaces. Des informations supplémentaires sur la nature des attaques et les acteurs impliqués n'ont pas encore été communiquées.
Sources :
Google signale une dixième faille zero-day sur Chrome comme exploitée cette année
Google a annoncé avoir corrigé sa dixième vulnérabilité zero-day exploitée en 2024, identifiée sous le nom CVE-2024-7965. Cette faille, signalée par un chercheur en sécurité connu sous le pseudonyme TheDog, est due à un bug dans le backend du compilateur lors de la sélection des instructions pour la compilation juste-à-temps (JIT). Elle affecte le moteur JavaScript V8 de Chrome, permettant à des attaquants distants d'exploiter une corruption de mémoire via une page HTML spécialement conçue. Cette annonce fait suite à la correction d'une autre vulnérabilité de haute sévérité (CVE-2024-7971) également liée à des failles dans le moteur V8. Google a mis à jour Chrome (version 128.0.6613.84/.85) pour Windows, macOS et Linux, et encourage les utilisateurs à appliquer les mises à jour manuellement si nécessaire. Bien que Google ait confirmé l'exploitation de ces vulnérabilités, il n'a pas fourni de détails supplémentaires sur les attaques. Depuis le début de l'année, Google a corrigé huit autres zero-days, principalement liés à des failles dans le moteur V8, qui ont été exploitées lors d'attaques ou de concours de hacking.
Sources :
La vulnérabilité du plugin LiteSpeed Cache met en danger plus de 5 millions de sites Web WordPress
Les administrateurs WordPress utilisant le plugin Litespeed Cache doivent impérativement mettre à jour leurs sites avec la dernière version du plugin pour corriger une vulnérabilité critique. Découverte par le chercheur en sécurité John Blackbourn de PatchStack, cette faille permet à un attaquant non authentifié de prendre le contrôle de sites ciblés. Le plugin, qui offre un cache au niveau serveur et de nombreuses fonctionnalités d'optimisation, compte plus de 5 millions d'installations actives, ce qui souligne l'ampleur du risque en cas de vulnérabilité. La faille se trouvait dans la fonctionnalité de crawler du plugin, qui simule des utilisateurs authentifiés. En raison d'un hachage de sécurité faible, un attaquant pouvait usurper l'identité d'un utilisateur authentifié et obtenir des privilèges élevés, pouvant aller jusqu'à l'installation de plugins malveillants et la prise de contrôle complète du site. Identifiée sous le code CVE-2024-28000, cette vulnérabilité a reçu une note de gravité critique de 9,8. Les développeurs ont corrigé le problème dans la version 6.4 du plugin. Les administrateurs doivent donc mettre à jour vers la version 6.4.1 pour se protéger contre d'éventuelles menaces.
Sources :
Les portefeuilles numériques sont vulnérables aux paiements frauduleux
Des chercheurs de l'Université du Massachusetts Amherst et de l'Université d'État de Pennsylvanie ont mis en évidence des vulnérabilités de sécurité dans la plupart des portefeuilles numériques, les rendant susceptibles aux paiements frauduleux. Bien que ces portefeuilles soient populaires pour leur commodité et leur sécurité, ils présentent des failles dans les fonctions d'authentification, d'autorisation et de contrôle d'accès. Un attaquant peut ainsi intégrer une carte bancaire volée ou annulée dans son propre portefeuille et effectuer des transactions. Le processus d'attaque implique l'exploitation de la procédure d'accord d'authentification entre le portefeuille et la banque, la contournement de l'autorisation de paiement, et la création d'une porte dérobée à travers différents types de paiements. Les chercheurs ont démontré cette stratégie contre des banques américaines telles que Bank of America et des portefeuilles numériques comme Apple Pay et Google Pay. Pour remédier à ces problèmes, ils recommandent d'implémenter une authentification multi-facteurs pour l'intégration des cartes, une authentification continue pour la mise à jour des jetons de vérification, et une surveillance constante des métadonnées de paiement. Les chercheurs ont informé les parties concernées avant la divulgation publique, qui ont depuis commencé à déployer des correctifs.
Sources :
La FAA propose de nouvelles règles de cybersécurité pour lutter contre les menaces pesant sur les avions
Face à l'augmentation des menaces de sécurité dans l'industrie aéronautique, la Federal Aviation Authority (FAA) a proposé de nouvelles règles de cybersécurité pour les avions, visant à standardiser les certifications et la sécurité des réseaux associés aux composants des aéronefs. Actuellement, la FAA délivre des "conditions spéciales" au cas par cas, en fonction du type d'avion, du moteur ou de la conception de l'hélice. Cependant, avec l'augmentation des incidents de cybersécurité, l'autorité souhaite uniformiser ces règles pour faciliter le processus de certification et réduire les coûts. Selon Wesley L. Mooty, directeur exécutif par intérim du service de certification des aéronefs, ces changements introduiront des exigences de certification de type et de navigabilité continue pour protéger les systèmes et réseaux des avions contre les interactions électroniques non autorisées. La connectivité accrue des systèmes d'avion a élargi le paysage des menaces, rendant nécessaire une surveillance proactive. Les nouvelles règles visent à combler les lacunes des réglementations existantes, jugées insuffisantes face aux vulnérabilités contemporaines, tout en s'alignant sur les normes mondiales de l'aviation civile.
Sources :
Google a corrigé une faille zero-day dans Chrome avec plusieurs vulnérabilités
Les utilisateurs de Google Chrome doivent rapidement mettre à jour leur navigateur suite à la dernière version qui corrige 38 vulnérabilités de sécurité, dont une faille zero-day exploitée activement. Ce nombre élevé de correctifs est inhabituel et souligne l'importance de cette mise à jour. Parmi les 38 vulnérabilités, 20 ont été signalées par des chercheurs externes, tandis que le reste provient de l'équipe de Google. Les failles incluent 7 de haute sévérité, 9 de sévérité moyenne et 4 de faible sévérité. Google n'a pas divulgué de détails spécifiques sur les vulnérabilités, mais a reconnu les chercheurs ayant contribué à leur identification, certains recevant des récompenses significatives. Par exemple, la vulnérabilité CVE-2024-7964 a valu 36 000 $ à un chercheur anonyme. La faille zero-day, identifiée comme CVE-2024-7971, est une vulnérabilité de type confusion dans le composant V8, avec des tentatives d'exploitation détectées. Google a déployé ces correctifs dans les versions 128.0.6613.84 pour les ordinateurs de bureau et 128.0.6613.88 pour Android. Il est donc crucial que tous les utilisateurs mettent à jour leurs appareils pour éviter des menaces potentielles.
Sources :
Vulnérabilité de l'IA Slack : données exposées à partir de canaux privés
Des chercheurs ont découvert une vulnérabilité sérieuse dans Slack AI, un outil de communication populaire. Cette faille permet à un attaquant de voler des données provenant de canaux privés en injectant des invites malveillantes dans Slack AI. Selon un article de PromptArmor, Slack AI, qui offre une assistance rapide aux utilisateurs, a accès aux conversations dans les canaux privés et publics, ce qui le rend vulnérable. Les chercheurs expliquent qu'un adversaire peut réaliser des attaques par injection de prompt pour extraire des données de canaux privés, car le modèle de langage ne peut pas faire la distinction entre des invites légitimes et malveillantes. Initialement, Slack AI ne traitait que des messages texte, mais les versions récentes acceptent également des liens Google Drive et des pièces jointes, augmentant ainsi les risques. Pour exploiter cette vulnérabilité, un attaquant n'a besoin que de créer un canal public. Bien que les chercheurs aient informé l'équipe de Slack, la gravité de la situation n'a pas été reconnue immédiatement. Cependant, Salesforce a confirmé avoir déployé un correctif pour remédier à cette vulnérabilité, affirmant qu'il n'y avait aucune preuve d'accès non autorisé aux données des clients.
Sources :
Vulnérabilité critique de contournement de l'authentification affectant GitHub Enterprise Server
Les utilisateurs de GitHub Enterprise Server (GHES) doivent mettre à jour leurs systèmes suite à la correction d'une vulnérabilité critique d'authentification, identifiée comme CVE-2024-6800, qui permettait à un attaquant d'obtenir des privilèges d'administrateur sans authentification. Cette faille, notée 9.5 sur l'échelle CVSS, était due à un problème de signature XML dans les instances GHES utilisant l'authentification SAML avec certains fournisseurs d'identité. Un attaquant ayant un accès direct au réseau pouvait falsifier une réponse SAML, compromettant ainsi la sécurité des systèmes. GitHub a réagi à cette vulnérabilité après un rapport de son programme de bug bounty, affectant toutes les versions de GHES antérieures à la version 3.14. Les correctifs ont été publiés pour les versions stables 3.13.3, 3.12.8, 3.11.14 et 3.10.16. En outre, deux autres vulnérabilités de gravité moyenne ont été corrigées : CVE-2024-7711, permettant à un attaquant de modifier des problèmes dans des dépôts publics, et CVE-2024-6337, exposant le contenu des problèmes dans des dépôts privés. Les utilisateurs sont donc encouragés à mettre à jour leurs systèmes pour bénéficier de ces correctifs.
Sources :
Que reproche la France au fondateur de Telegram ? Les 12 chefs d’accusation révélés
Pavel Durov, le fondateur de Telegram, a été arrêté en France le 24 août, faisant face à douze chefs d'inculpation liés à des infractions de cybercriminalité. Son arrestation a été prolongée et pourrait durer jusqu'à 96 heures, en raison d'une enquête ouverte par un juge d'instruction le 8 juillet. Cette enquête a été initiée après des préoccupations concernant la diffusion de contenus illégaux sur Telegram, notamment la vente de sextapes d'adolescents. Durov est perçu comme une victime collatérale du manque de coopération de Telegram avec les autorités judiciaires françaises, ce qui est souligné par l'un des chefs d'inculpation. La justice s'intéresse particulièrement aux données d'identification des utilisateurs d'un canal Telegram désormais fermé. Bien que Telegram offre des options de chiffrement, la plateforme n'est pas entièrement sécurisée par défaut, ce qui soulève des questions sur la responsabilité des fournisseurs de services de cryptologie. La situation a suscité des réactions internationales, y compris un tweet d'Emmanuel Macron dénonçant des fake news à ce sujet. L'affaire met en lumière les défis de la régulation des plateformes de communication face à la cybercriminalité.
Sources :
Patelco informe 726 000 clients d'une violation de données par ransomware
Patelco Credit Union a informé 726 000 clients d'une violation de données suite à une attaque par ransomware, revendiquée par le groupe RansomHub. L'incident, survenu le 29 juin 2024, a conduit à la fermeture temporaire des systèmes bancaires pour protéger les données des clients. Une enquête a révélé qu'un accès non autorisé avait été obtenu le 23 mai 2024, permettant aux cybercriminels de voler des informations personnelles, notamment des noms, numéros de sécurité sociale, numéros de permis de conduire, dates de naissance et adresses e-mail. RansomHub a publié ces données sur son portail d'extorsion, affirmant avoir échoué à négocier avec Patelco. En réponse, Patelco a proposé à ses clients une couverture gratuite de protection d'identité et de surveillance de crédit pendant deux ans, avec une date limite d'inscription fixée au 19 novembre 2024. L'organisation a également mis en garde contre les risques accrus de phishing et d'escroqueries, conseillant aux clients de rester vigilants face aux communications non sollicitées. Patelco a précisé qu'elle ne demanderait jamais directement des informations sensibles, comme les détails de carte bancaire.
Sources :
Microsoft : Exchange Online identifie par erreur des e-mails comme des logiciels malveillants
Microsoft enquête sur un problème de faux positifs dans Exchange Online, où des emails contenant des images sont incorrectement identifiés comme malveillants et envoyés en quarantaine. Dans une alerte de service publiée sur le centre d'administration Microsoft 365, la société a confirmé que ces messages, y compris ceux avec des signatures d'image, sont touchés. Les administrateurs système rapportent que le problème semble affecter principalement le trafic sortant, notamment les réponses et les transferts d'emails précédemment externes. Microsoft a identifié le problème sous le numéro de suivi EX873252 et examine les données de télémétrie pour en déterminer la cause et élaborer un plan de remédiation. En réponse à la situation, la société a pris des mesures pour libérer les emails légitimes mal classés et a annoncé que plus de 99 % des emails concernés avaient été débloqués et renvoyés. À 15h20 EDT, Microsoft a déclaré que le problème était résolu. Ce n'est pas la première fois que la société fait face à des problèmes similaires, ayant déjà traité une situation en octobre 2023 liée à une règle anti-spam défectueuse.
Sources :
Uber condamné à une amende de 325 millions de dollars pour avoir transféré les données de ses conducteurs d'Europe vers les États-Unis
L'Autorité néerlandaise de protection des données (AP) a infligé une amende de 290 millions d'euros (325 millions de dollars) à Uber Technologies Inc. et Uber B.V. pour violations du RGPD. L'autorité accuse Uber d'avoir transféré des données personnelles de l'Espace économique européen (EEE) vers des serveurs aux États-Unis sans les protections adéquates, comme l'exige le Chapitre V du RGPD. C'est la troisième amende infligée à Uber par l'AP, après une première de 600 000 euros en novembre 2018 pour des contrôles d'accès aux données insuffisants, et une seconde de 10 millions d'euros en janvier 2024 pour des pratiques de gestion des données peu claires. L'enquête a été déclenchée par des plaintes de chauffeurs français, relayées par la CNIL. Malgré l'annulation du Privacy Shield par la Cour de justice de l'Union européenne, Uber aurait continué à transférer des données sans mettre en place de Clauses contractuelles types (CCT). Uber conteste cette décision, affirmant que ses pratiques étaient conformes au RGPD et qu'aucun transfert de données n'avait lieu. L'entreprise prévoit de faire appel, un processus qui pourrait durer jusqu'à quatre ans, durant lequel l'amende sera suspendue.
Sources :
Versa corrige la vulnérabilité zero-day de Director exploitée dans des attaques
Versa Networks a corrigé une vulnérabilité zero-day, identifiée comme CVE-2024-39717, qui permettait aux attaquants d'uploader des fichiers malveillants via une faille d'upload de fichiers non restreint dans l'interface de Versa Director. Cette plateforme est utilisée par les fournisseurs de services gérés pour simplifier la conception et la livraison des services SASE. La vulnérabilité, considérée comme de haute sévérité, était liée à la fonctionnalité "Change Favicon" et pouvait être exploitée par des utilisateurs ayant des privilèges d'administrateur. Versa a averti que les clients touchés n'avaient pas mis en œuvre les recommandations de durcissement du système et les directives de pare-feu, laissant ainsi un port de gestion exposé sur Internet. La société a informé ses partenaires et clients de la nécessité de revoir ces exigences dès le 26 juillet et a signalé l'exploitation de cette vulnérabilité par un acteur de menace avancée (APT) au moins une fois. La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées, demandant aux agences fédérales de sécuriser leurs instances vulnérables d'ici le 13 septembre. Versa recommande à ses clients de mettre à jour leurs installations et de vérifier les fichiers suspects dans leurs systèmes.
Sources :
« Il revient aux juges de statuer » : Macron dénonce les fake news sur Telegram et Pavel Durov
Emmanuel Macron a récemment commenté l'arrestation de Pavel Durov, le président de Telegram, en France, soulignant qu'il s'agissait d'une enquête judiciaire et non d'une décision politique. Dans son message, il a dénoncé les fausses informations circulant sur les réseaux sociaux concernant cette affaire, affirmant que la justice doit agir de manière indépendante pour respecter la loi dans un État de droit. Les raisons de l'arrestation de Durov demeurent floues, mais des allégations de mauvaise modération de contenus illicites et de manque de coopération avec les autorités ont été évoquées. Macron a également cherché à contrer les interprétations qui relient cette arrestation à une atteinte à la liberté d'expression, une idée largement diffusée par des figures médiatiques comme Elon Musk et Tucker Carlson. Malgré les explications fournies, les réactions sur les réseaux sociaux montrent un scepticisme persistant. Durov reste en garde à vue, qui a été prolongée par les enquêteurs français, et peut durer jusqu'à 96 heures. Cette situation soulève des questions sur la modération des contenus et la liberté d'expression dans le contexte des enquêtes judiciaires.
