Mozilla alerte sur une vulnérabilité critique de Firefox pour les utilisateurs de Windows. - Actus du 27/03/2025
Découvrez les dernières alertes cybersécurité : Mozilla signale une faille critique dans Firefox Sandbox sur Windows. ZATAZ et LockSelf s'associent pour renforcer la cybersécurité souveraine. De plus, Meta AI de WhatsApp débarque en Europe, mais attention, il est impossible à désactiver !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Mozilla avertit les utilisateurs de Windows de Firefox Sandbox Flaw
Mozilla a publié la version 136.0.4 de Firefox pour corriger une vulnérabilité critique, identifiée comme CVE-2025-2857, qui permet aux attaquants d'échapper au sandbox du navigateur sur les systèmes Windows. Cette faille, signalée par le développeur Andrew McCreight, est due à un "handle incorrect" pouvant mener à des échappements de sandbox. Elle affecte les versions standard et de support étendu (ESR) de Firefox, utilisées par des organisations nécessitant un support prolongé. Bien que Mozilla n'ait pas fourni de détails techniques, elle a noté que cette vulnérabilité est similaire à une faille zero-day de Chrome, récemment exploitée dans des attaques. Les développeurs de Firefox ont identifié un schéma similaire dans leur code IPC, permettant aux attaquants de tromper le processus parent pour divulguer des handles dans des processus enfants non privilégiés. Cette vulnérabilité n'affecte que Firefox sur Windows, les autres systèmes d'exploitation étant épargnés. En parallèle, des chercheurs ont signalé une exploitation de la faille CVE-2025-2783 dans une campagne de cyber-espionnage ciblant des organisations gouvernementales russes. Mozilla a également corrigé d'autres vulnérabilités zero-day dans le passé, renforçant ainsi la sécurité de son navigateur.
Sources :
ZATAZ et LockSelf : un partenariat au service d’une cybersécurité souveraine et accessible
ZATAZ et LockSelf ont établi un partenariat stratégique pour renforcer la cybersécurité en France, face à l'augmentation des cybermenaces. LockSelf, éditeur de solutions de cybersécurité, et ZATAZ, média spécialisé, unissent leurs compétences pour aider les entreprises, collectivités et institutions à améliorer leur maturité en matière de cybersécurité. Ce partenariat se traduit par la création de la LockSelf Community, un espace de ressources qui propose des contenus de sensibilisation, des bonnes pratiques et des articles spécialisés, visant à rendre la cybersécurité plus accessible et opérationnelle.
Les solutions phares de LockSelf incluent LockPass, un gestionnaire de mots de passe qui centralise et sécurise les accès, LockTransfer, qui permet un transfert de fichiers sensibles dans un cadre sécurisé, et LockFiles, un environnement de stockage chiffré pour les données critiques. Ces outils sont conçus pour répondre aux besoins des équipes techniques et des utilisateurs finaux, souvent exposés aux risques. En combinant l'expertise pédagogique de ZATAZ et les solutions souveraines de LockSelf, ce partenariat offre un écosystème complet pour améliorer la posture de cybersécurité des organisations, tout en respectant les normes françaises et européennes.
Sources :
Meta Ai de WhatsApp se déroule maintenant en Europe, et il ne peut pas être désactivé
Meta a lancé son IA dans WhatsApp en Europe, rendant cette fonctionnalité incontournable pour les utilisateurs de 41 pays. Annoncée le 19 mars 2025, après une pause l'année précédente, l'IA de Meta commence à apparaître sur de nombreux appareils. Des utilisateurs au Royaume-Uni et dans d'autres pays européens, comme la France et l'Allemagne, rapportent la présence d'un chatbot Meta AI intégré à WhatsApp. Bien que cette IA ne soit pas aussi performante que celle de l'application web de Meta, elle permet de répondre à des questions, de partager des liens via Bing et de créer des stickers. Cependant, elle ne peut pas transcrire des audios ni résumer des discussions de groupe. En matière de confidentialité, Meta assure que les conversations personnelles ne seront pas utilisées pour former ses modèles d'IA, mais les interactions avec le chatbot pourraient l'être. Un point notable est que l'IA ne peut pas être désactivée, ce qui signifie que les utilisateurs doivent éviter d'interagir avec le bouton AI, situé juste au-dessus du bouton de nouveau chat. Cette intégration soulève des préoccupations quant à l'impact sur l'expérience utilisateur et la gestion de la vie privée.
Sources :
Les pirates réutilisent Edrkillshifter de RansomHub dans les attaques de Medusa, Bianlian et jouent
Une nouvelle analyse révèle des liens entre les affiliés de RansomHub et d'autres groupes de ransomware tels que Medusa, BianLian et Play. Ces connexions proviennent de l'utilisation d'un outil personnalisé, EDRKillShifter, conçu pour désactiver les logiciels de détection et de réponse des points de terminaison (EDR) sur les hôtes compromis. Documenté pour la première fois en août 2024, cet outil utilise une tactique connue sous le nom de Bring Your Own Vulnerable Driver (BYOVD), exploitant un pilote légitime mais vulnérable pour neutraliser les solutions de sécurité. Les chercheurs d'ESET soulignent que les opérateurs de ransomware évitent de mettre à jour fréquemment leurs encryptors pour ne pas risquer d'introduire des failles. Ainsi, les affiliés utilisent des EDR killers pour contourner la détection avant d'exécuter l'encryptor. Fait notable, cet outil développé par RansomHub est également utilisé dans d'autres attaques de ransomware, suggérant une collaboration entre des groupes traditionnellement fermés. Les attaques récentes, y compris celles de CosmicBeetle, montrent une tendance croissante à l'utilisation de techniques BYOVD. ESET recommande aux utilisateurs, notamment en milieu professionnel, d'activer la détection des applications potentiellement dangereuses pour prévenir l'installation de pilotes vulnérables.
Sources :
Les mises à jour récentes de Windows Server 2025 provoquent des congélations de bureau à distance
Des mises à jour récentes de Windows Server 2025 provoquent des gelées des sessions de Bureau à distance (Remote Desktop) après l'installation des mises à jour de sécurité depuis le Patch Tuesday de février 2025. Microsoft a confirmé que, suite à l'installation de la mise à jour de sécurité KB5051987, les utilisateurs peuvent rencontrer des problèmes de gel des sessions, rendant les entrées au clavier et à la souris non réactives. Les utilisateurs doivent alors se déconnecter et se reconnecter pour rétablir la fonctionnalité. Ce problème a également touché les systèmes Windows 11 24H2, mais a été résolu par une mise à jour optionnelle (KB5052093) deux semaines plus tard. Microsoft prévoit de déployer un correctif pour Windows Server 2025 dans une mise à jour future. Par ailleurs, la société a utilisé la fonctionnalité Known Issue Rollback (KIR) pour résoudre d'autres problèmes de connexion RDP liés aux mises à jour de Windows 11 24H2. Un correctif permanent sera disponible avec les mises à jour cumulatives du mois prochain. Microsoft a également résolu un problème d'impression aléatoire avec certaines imprimantes USB et aide à enquêter sur des erreurs de connexion sur Windows 11 24H2 lors de la restauration de données.
Sources :
Vivaldi intègre Proton VPN dans le navigateur pour combattre le suivi du Web
Vivaldi a récemment intégré Proton VPN directement dans son navigateur, permettant aux utilisateurs de protéger leurs données contre la surveillance des grandes entreprises technologiques sans avoir besoin de télécharger des extensions. Cette fonctionnalité, accessible après mise à jour et création d'un compte Vivaldi, permet de chiffrer l'activité de navigation et de masquer l'adresse IP de l'utilisateur. Vivaldi a choisi de collaborer avec Proton VPN en raison de son statut d'organisation à but non lucratif, sans dépendances politiques, et de sa réputation d'intégrité. Cette initiative vise à offrir une alternative européenne aux géants technologiques américains, répondant à la demande croissante des consommateurs pour une meilleure protection de la vie privée. Bien que l'intégration de Proton VPN soit gratuite et sans limites de temps ou de bande passante, elle présente des restrictions sur la vitesse et le choix des serveurs. Il est important de noter que cette fonctionnalité ne protège que le trafic du navigateur Vivaldi et non celui des autres applications. Pour bénéficier de toutes les fonctionnalités de Proton VPN, les utilisateurs peuvent opter pour un abonnement payant, qui permet également d'installer l'application de bureau pour une protection complète.
Sources :
G2 Noms INE 2025 Leader de la formation en cybersécurité
Le 27 mars 2025, INE, un leader mondial de la formation et des certifications en cybersécurité, a annoncé avoir reçu douze distinctions dans le rapport G2 du printemps 2025, dont celles de leader dans le développement professionnel en cybersécurité et les fournisseurs de cours en ligne. Ces récompenses soulignent la performance exceptionnelle d'INE par rapport à ses concurrents. Selon des utilisateurs comme Sai Tharun K., INE offre une formation pratique et accessible, comblant le fossé entre théorie et compétences pratiques. Dara Warn, PDG d'INE, a exprimé sa fierté face à cette reconnaissance, surtout dans un contexte où les menaces cybernétiques augmentent en fréquence et en complexité. INE a également été reconnu pour son impact dans la formation technique, avec des distinctions telles que Leader régional en Europe et en Asie. En 2024, INE Security a été primé comme le meilleur programme de formation en sécurité informatique par les SC Awards, renforçant son rôle de pionnier dans le domaine. Ces distinctions mettent en avant l'engagement d'INE à fournir une formation de pointe, essentielle pour naviguer dans les défis numériques actuels. INE continue d'être le choix privilégié pour les entreprises et les professionnels de l'IT.
Sources :
Proton VPN arrive gratuitement dans le navigateur Vivaldi
Vivaldi, un navigateur web cherchant à se démarquer dans un marché dominé par Google Chrome, a annoncé un partenariat avec Proton pour intégrer son VPN, Proton VPN, directement dans son logiciel. Cette initiative, révélée le 27 mars, pourrait permettre à Vivaldi de gagner des parts de marché face à des concurrents comme Safari, Edge, Firefox et Opera. Bien que les détails de l'accord ne soient pas précisés, l'intégration de Proton VPN, reconnu pour sa solidité et son offre gratuite sans publicité ni journalisation, représente un atout majeur. Les utilisateurs de Vivaldi bénéficieront d'une solution simplifiée, bien que Proton VPN puisse également être utilisé indépendamment avec d'autres navigateurs via une extension. L'offre gratuite de Proton VPN, bien que limitée en fonctionnalités par rapport à des solutions payantes, est un avantage significatif. Ce rapprochement vise à améliorer l'expérience utilisateur en rendant l'accès à un VPN de qualité plus accessible. En somme, cette collaboration pourrait renforcer la position de Vivaldi sur le marché des navigateurs, tout en offrant aux utilisateurs une option de sécurité en ligne appréciable.
Sources :
APT36 Spoofs India Publier un site Web pour infecter les utilisateurs de Windows et Android avec des logiciels malveillants
Un groupe de menaces persistantes avancées (APT) lié au Pakistan, identifié comme APT36 ou Transparent Tribe, a créé un faux site web imitant le système postal public indien pour infecter les utilisateurs de Windows et Android en Inde. Le site frauduleux, "postindia[.]site", incite les utilisateurs de Windows à télécharger un document PDF malveillant, tandis que ceux sur Android se voient proposer un fichier APK ("indiapost.apk"). Le PDF contient des instructions pour exécuter une commande PowerShell, compromettant potentiellement le système. L'analyse des données EXIF du PDF révèle qu'il a été créé le 23 octobre 2024, et le domaine a été enregistré le 20 novembre 2024. Le code PowerShell est conçu pour télécharger un payload depuis un serveur distant inactif. Pour les utilisateurs Android, l'application demande des permissions étendues pour collecter des données sensibles, tout en se déguisant en icône de compte Google pour éviter d'être détectée. L'application fonctionne en arrière-plan, même après un redémarrage, et force l'acceptation des permissions. CYFIRMA souligne que la tactique "ClickFix" est de plus en plus exploitée par des cybercriminels, représentant une menace significative pour les utilisateurs.
Sources :
Des dizaines de défauts de l'onduleur solaire pourraient être exploités pour attaquer les réseaux électriques
Des dizaines de vulnérabilités ont été identifiées dans les onduleurs solaires de trois grands fabricants, Sungrow, Growatt et SMA, pouvant être exploitées pour contrôler des dispositifs ou exécuter du code à distance sur leurs plateformes cloud. Les chercheurs de Vedere Labs, une branche de Forescout, ont découvert 46 failles, dont certaines pourraient avoir un impact sévère sur la stabilité des réseaux électriques et la vie privée des utilisateurs. Les attaquants pourraient prendre le contrôle des onduleurs, modifier leurs paramètres de configuration, ou même réaliser des attaques par déni de service. Par exemple, ils pourraient exploiter des vulnérabilités d'IDOR pour accéder à des comptes Growatt ou utiliser des identifiants MQTT codés en dur pour publier des messages sur des dongles de communication. En contrôlant un ensemble d'onduleurs, un assaillant pourrait perturber la production d'énergie pendant les heures de pointe, affectant ainsi le réseau électrique. En plus de ces menaces, les vulnérabilités pourraient également compromettre la vie privée des utilisateurs en permettant le détournement de dispositifs intelligents. Sungrow et SMA ont corrigé les failles, tandis que Growatt a également publié des correctifs sans nécessiter de modifications des onduleurs.
Sources :
Le nouveau rapport explique pourquoi les solutions CASB ne parviennent pas à s'adresser à Shadow SaaS et comment le réparer
Un nouveau rapport, intitulé "Understanding SaaS Security Risks: Why CASB Solutions Fail to Cover 'Shadow' SaaS and SaaS Governance", met en lumière les défis de sécurité auxquels les entreprises font face avec les applications SaaS. Bien que les solutions CASB traditionnelles soient couramment utilisées pour protéger contre l'accès malveillant et l'exfiltration de données, elles se révèlent insuffisantes pour gérer les applications SaaS non sanctionnées et les risques associés. Les employés utilisent à la fois des applications autorisées et non autorisées, ce qui expose les données à des menaces variées. Les applications non sanctionnées sont particulièrement vulnérables, car les employés y téléchargent des fichiers, tandis que les applications sanctionnées sont ciblées par des cybercriminels cherchant à compromettre les identifiants des utilisateurs. Le rapport souligne que les solutions CASB manquent de visibilité en temps réel et ne peuvent pas bloquer efficacement les activités malveillantes. Il propose une approche novatrice de sécurité SaaS basée sur le navigateur, permettant une visibilité complète et une protection en temps réel. Cette méthode offre des avantages significatifs, tels qu'une détection exhaustive des applications SaaS, une application granulaire des politiques de sécurité et une intégration fluide avec les infrastructures de sécurité existantes.
Sources :
Deepfake-as-a-Service : L’IA au cœur de la cyberfraude 2.0
Un rapport de TEHTRIS met en lumière l'industrialisation des deepfakes et de l'IA dans la cybercriminalité, notamment avec l'émergence de plateformes comme Haotian AI. Ces outils, accessibles même aux cybercriminels peu qualifiés, facilitent la création de contenus deepfake réalistes, rendant les arnaques en ligne plus crédibles et difficiles à détecter. Le rapport souligne le phénomène du « Deepfake-as-a-Service » (DfaaS), où des services tels que le clonage de voix et l'animation par IA permettent des usurpations d'identité et des escroqueries sentimentales. Haotian AI, une organisation asiatique, illustre cette tendance en proposant des services clés en main pour faciliter les attaques. Les bots IA peuvent simuler des conversations massives, augmentant ainsi l'efficacité des arnaques. TEHTRIS recommande aux entreprises d'adopter des solutions de détection avancées, de surveiller les transactions suspectes et de former leurs équipes à ces nouvelles menaces. Eric Bregand, CPO de TEHTRIS, avertit que 2025 pourrait marquer une nouvelle ère de cybercriminalité automatisée, rendant essentielle une posture de sécurité proactive pour contrer ces menaces émergentes.
Sources :
Lundi 31 mars Journée mondiale de la sauvegarde des données informatiques
À l'occasion de la Journée mondiale de la sauvegarde des données, Edwin Weijdema et Michael Cade de Veeam soulignent l'évolution des enjeux liés à la sauvegarde des données. Alors qu'il y a quatorze ans, l'accent était mis sur la sensibilisation, il est désormais crucial de se concentrer sur la préparation. Bien que la plupart des organisations aient mis en place des solutions de sauvegarde, il est essentiel de tester ces sauvegardes et les plans de récupération associés. Les sauvegardes, autrefois considérées comme secondaires, doivent maintenant s'inscrire dans un cadre plus large de résilience des données, surtout face à la montée des cyberattaques. Les sauvegardes immuables deviennent indispensables pour garantir leur intégrité. En cas d'attaque, un plan de sauvegarde solide est nécessaire pour restaurer les systèmes d'information. Cependant, les entreprises ne doivent pas se reposer uniquement sur les sauvegardes ; un plan de cybersécurité global est essentiel pour se défendre contre les ransomwares. La Journée mondiale de la sauvegarde doit également évoluer pour refléter ces nouvelles réalités, en intégrant une approche holistique de la résilience des données au-delà des sauvegardes isolées.
Sources :
DORA et MFA : pourquoi la résistance au phishing est essentielle pour la cyber-résilience
Le 12 mars, le Sénat français a examiné un projet de loi transposant les directives européennes NIS2, REC et DORA, visant à renforcer la cybersécurité pour 15 000 entités. Le baromètre 2025 du CESIN révèle que le phishing, responsable de 60 % des incidents, reste la principale menace, particulièrement pour les institutions financières, où le vol de données a augmenté de 42 %. Pour contrer cette menace, les entreprises doivent adopter des méthodes d’authentification multi-facteur (MFA) plus robustes. La loi DORA impose aux institutions financières et à leurs fournisseurs d’intégrer des mécanismes d’authentification solides, remplaçant les cartes à puce traditionnelles devenues obsolètes. La transition vers les standards FIDO et les passkeys représente une alternative prometteuse, offrant une sécurité accrue contre le phishing. Ces technologies nécessitent une combinaison de connaissances, de possession et d'identité physique pour l'authentification, rendant les tentatives de phishing moins efficaces. FIDO2, en particulier, est une solution moderne, évolutive et rentable, adaptée à l’authentification des clients. La loi DORA incite ainsi les institutions à abandonner les modèles de sécurité obsolètes et à adopter des pratiques d’authentification modernes, garantissant une meilleure protection contre les cyberattaques.
Sources :
KDDI France renforce la cyber-résilience des entreprises avec son offre de coffre-fort anti-ransomware en partenariat avec DELL Technologies
KDDI France a lancé une nouvelle offre de coffre-fort anti-ransomware, développée en collaboration avec DELL Technologies, pour protéger les données critiques des entreprises contre les cyberattaques, dont le nombre a augmenté de 400 % depuis 2020. Cette solution vise à garantir la sécurité des sauvegardes en proposant une infrastructure sanctuarisée, déconnectée et immuable, rendant les sauvegardes invisibles du réseau. Elle repose sur trois éléments clés : la sanctuarisation des données dans un espace sécurisé, l'immuabilité pour prévenir toute modification malveillante, et un système de déconnexion physique (air gap) qui isole les sauvegardes des cybercriminels. KDDI France assure également la conformité avec les exigences de l'ANSSI, permettant aux entreprises de tester et restaurer rapidement leurs environnements de production en cas d'incident. L'offre est compatible avec divers logiciels de sauvegarde, facilitant son intégration avec les outils existants. KDDI France accompagne ses clients tout au long du processus, de la mise en place à l'intégration, afin d'assurer une expérience utilisateur fluide. Benoit Mercier, Président de KDDI France, souligne l'importance de la cyber-résilience pour permettre aux entreprises de redémarrer efficacement après une attaque.
Sources :
Université de New York : un pirate expose les données de plus de 3 millions de candidats
Une récente attaque informatique a compromis des données sensibles de l'Université de New York (NYU), incluant des résultats d'admission, des spécialisations, des informations familiales et des aides financières, remontant à 1989. L'incident, révélé par un utilisateur sur Reddit, a mis en lumière des pratiques controversées d'admission à NYU, dans un contexte marqué par l'annulation de la discrimination positive par la Cour suprême américaine en 2023. Le pirate a accédé à des graphiques sur les scores SAT et ACT des candidats, ainsi qu'à quatre fichiers CSV contenant des données sensibles. NYU a rapidement confirmé l'attaque, restauré son site et isolé les serveurs affectés. L'université a également proposé une année gratuite de surveillance du crédit aux candidats touchés. Parallèlement, le Department of Homeland Security a annoncé une réduction de 10 millions de dollars de son budget, affectant la cybersécurité des États, qui doivent désormais gérer la sécurité de leurs infrastructures critiques sans soutien fédéral adéquat. Cette situation soulève des inquiétudes quant à la capacité des États à faire face à des cybermenaces sophistiquées, surtout lorsque des attaques coordonnées pourraient avoir des conséquences à l'échelle nationale.
Sources :
Top 3 MS Office Exploits Les pirates utilisent en 2025 - restez vigilant!
Les hackers continuent d'exploiter les documents Word et Excel pour diffuser des malwares en 2025, utilisant des techniques variées telles que le phishing et les exploits sans clic. Ces fichiers malveillants peuvent contenir des liens vers de fausses pages de connexion Microsoft 365 ou des portails de phishing imitant des outils d'entreprise. Une analyse d'un fichier Excel dans le sandbox ANY.RUN a révélé un lien de phishing qui redirigeait vers une page de vérification Cloudflare, puis vers une fausse page de connexion Microsoft. Cette méthode exploite une vulnérabilité dans l'Éditeur d'équations de Microsoft, permettant le téléchargement et l'exécution de malwares en arrière-plan, comme Agent Tesla, un voleur d'informations. Bien que Microsoft ait corrigé cette vulnérabilité, elle reste exploitée par des attaquants ciblant des systèmes non mis à jour. D'autres techniques, comme l'abus de l'outil de diagnostic MSDT, permettent d'exécuter du code malveillant simplement en visualisant le fichier. Les entreprises doivent revoir la gestion des documents Office, utiliser des outils comme ANY.RUN pour analyser les fichiers suspects et se tenir informées des nouvelles techniques d'exploitation. Les appareils mobiles sont également des cibles clés pour les attaques, nécessitant une vigilance accrue.
Sources :
Attaque DDoS massive sur le fournisseur Lovit : des milliers d’habitants privés d’Internet
Une attaque DDoS massive a frappé le fournisseur d'accès Internet Lovit, privant pendant plus de 24 heures les résidents des complexes PIK à Moscou et Saint-Pétersbourg de connexion. Débutée le 21 mars 2025, l'attaque a ciblé des éléments critiques de l'infrastructure de Lovit, atteignant une puissance de 65 Gbit/s, l'une des plus puissantes enregistrées en Russie. Les équipes techniques de Lovit ont lutté pour rétablir le service, mais la complexité de l'attaque a rendu la restauration complète difficile. Les conséquences ont été significatives : les résidents ont perdu l'accès à des services numériques essentiels, certains se retrouvant bloqués à l'extérieur de leurs immeubles, tandis que les systèmes de sécurité ont été compromis. Les commerces ont également souffert, incapables d'accepter les paiements électroniques, ce qui a entraîné une baisse d'activité. Le 22 mars, Lovit a partiellement rétabli l'accès, mais le service est resté instable. En parallèle, une plainte collective a été déposée pour enquêter sur les pratiques commerciales de Lovit, qui pourrait perdre son exclusivité dans les complexes PIK. L'origine de l'attaque demeure inconnue, alors que d'autres cyberattaques ciblent des entités en Belgique et en France.
Sources :
La Russie poursuit sa surveillance des internautes en bloquant 47 VPN dans le pays
Depuis mars 2025, les internautes russes subissent une intensification des restrictions en ligne, orchestrée par Roskomnadzor, l'agence de censure. Ce régulateur a ordonné la suppression de nombreuses applications VPN sur le Google Play Store, portant à près de 200 le nombre total de services interdits depuis l'invasion de l'Ukraine en février 2022. Récemment, 47 nouvelles demandes de suppression ont été émises, visant des applications comme HideMyNetVPN et Proxy Shield VPN. Ces actions s'inscrivent dans le cadre d'une loi de mars 2024 criminalisant la diffusion d'informations sur les moyens de contourner la censure. Parallèlement, Cloudflare a été ciblé, avec le blocage de plus de 500 000 adresses IP, entraînant des pannes pour des millions d'utilisateurs sur des plateformes comme TikTok et Steam. En réponse à la surveillance accrue, Cloudflare a introduit une technologie pour masquer les informations de connexion, ce qui a suscité l'ire de Roskomnadzor. Les interruptions d'accès à Internet se multiplient, notamment dans des régions musulmanes, alors que le Kremlin teste un Internet souverain. Ces mesures témoignent d'un contrôle de plus en plus strict sur l'Internet en Russie.
Sources :
Criminalité organisée en Europe : comment l’IA et les menaces hybrides redéfinissent le monde
La criminalité organisée en Europe subit une transformation radicale, comme l'indique le rapport EU-SOCTA 2025 d'Europol. Les criminels exploitent désormais l'intelligence artificielle (IA) et les menaces hybrides pour étendre leur influence et automatiser leurs activités, rendant les méthodes traditionnelles de lutte contre la criminalité obsolètes. Catherine De Bolle, directrice d'Europol, souligne que les criminels utilisent des technologies avancées pour échapper à la détection, notamment par le biais de ransomwares qui paralysent des systèmes critiques en échange de rançons en cryptomonnaies. Le rapport met également en lumière l'utilisation des flux migratoires comme outil de déstabilisation, exacerbant les tensions politiques et sociales dans plusieurs États membres. L'IA est identifiée comme un levier stratégique pour le crime organisé, révolutionnant son fonctionnement. Face à cette montée des menaces, Europol appelle à une réponse coordonnée au sein de l'Union européenne, soulignant l'importance d'une coopération renforcée entre les États membres. Le rapport conclut que pour contrer ces criminels de plus en plus sophistiqués, les forces de l'ordre doivent moderniser leurs outils et adopter une approche proactive. La question demeure : l'Europe saura-t-elle s'adapter à temps pour faire face à cette menace croissante ?
Sources :
Cyberattaque chez Astral Foods : baisse de profit de 60 %
Astral Foods, un leader sud-africain de la volaille, a subi une cyberattaque le 16 mars 2025, perturbant gravement sa production et ses livraisons. Cette attaque a aggravé une situation déjà difficile, avec une prévision de baisse des bénéfices semestriels de 60 %, représentant une perte d'environ un million d'euros. La cyberattaque a temporairement paralysé la division de transformation de la volaille, entraînant des retards dans le traitement des produits et affectant directement les revenus de l'entreprise. Malgré une réponse rapide avec l'activation de protocoles de récupération, les conséquences financières demeurent préoccupantes, exacerbées par la pression sur les prix et l'augmentation des coûts d'alimentation. La baisse des prix du poulet, due à une demande plus faible, a également réduit les marges bénéficiaires. Astral Foods a cependant réussi à restaurer ses systèmes informatiques et à reprendre ses opérations normales, sans compromettre les données sensibles de ses clients ou employés. Toutefois, la reprise a engendré des coûts imprévus, ajoutant une pression financière supplémentaire. Ce cas rappelle les défis posés par les cyberattaques, comme l'illustre la situation de la société française Octave, qui a dû fermer après une attaque similaire.
Sources :
150 000 sites compromis par l'injection JavaScript faisant la promotion des plateformes de jeu chinois
Une campagne en cours infiltre des sites web légitimes avec des scripts JavaScript malveillants pour promouvoir des plateformes de jeux d'argent en chinois, compromettant environ 150 000 sites jusqu'à présent. Selon l'analyste de sécurité Himanshu Anand, l'attaquant utilise une injection d'iframe pour afficher un superposition plein écran dans le navigateur des visiteurs. Actuellement, plus de 135 800 sites contiennent ce code malveillant, redirigeant les utilisateurs vers des pages de jeux via des scripts hébergés sur plusieurs domaines. Une variante de cette campagne imite des sites de paris légitimes comme Bet365, utilisant des logos officiels pour tromper les utilisateurs. Parallèlement, GoDaddy a révélé une opération de malware appelée DollyWay, qui a compromis plus de 20 000 sites depuis 2016, ciblant principalement les visiteurs de sites WordPress infectés. Les scripts injectés redirigent les utilisateurs vers des pages d'escroquerie via un réseau de distribution de trafic. Les injections malveillantes sont réalisées par du code PHP inséré dans des plugins actifs, désactivant les mesures de sécurité. Malgré des perturbations récentes, les opérateurs de DollyWay continuent de s'adapter, montrant la résilience des cybercriminels face aux efforts de sécurité.
Sources :
CISA avertit des défauts de Sitecore RCE; Les exploits actifs frappent Next.js et Draytek
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté deux vulnérabilités de sécurité, datant de six ans, affectant Sitecore CMS et Experience Platform (XP), à son catalogue des vulnérabilités exploitées (KEV), en raison de preuves d'exploitation active. Les vulnérabilités concernent : CVE-2019-9874 (score CVSS : 9.8), permettant à un attaquant non authentifié d'exécuter du code arbitraire via un objet .NET sérialisé, et CVE-2019-9875 (score CVSS : 8.8), permettant à un attaquant authentifié d'exécuter également du code arbitraire. Bien que Sitecore ait signalé une exploitation active de CVE-2019-9874, aucune mention n'a été faite pour CVE-2019-9875. Les agences fédérales doivent appliquer les correctifs nécessaires d'ici le 16 avril 2025. Parallèlement, Akamai a observé des tentatives d'exploitation d'une nouvelle vulnérabilité dans le framework Next.js (CVE‑2025‑29927, score CVSS : 9.1), qui pourrait permettre un contournement des contrôles de sécurité. GreyNoise a également averti d'activités d'exploitation contre plusieurs vulnérabilités connues dans des dispositifs DrayTek, avec des pays comme l'Indonésie et les États-Unis en tête des destinations de trafic d'attaque.
Sources :
NetApp Snapcenter Flaw pourrait permettre aux utilisateurs d'accéder à un administrateur à distance sur les systèmes de plug-in
Une faille de sécurité critique a été révélée dans NetApp SnapCenter, permettant une élévation de privilèges si elle est exploitée. SnapCenter est un logiciel destiné aux entreprises pour gérer la protection des données à travers diverses applications, bases de données, machines virtuelles et systèmes de fichiers, offrant des fonctionnalités de sauvegarde, de restauration et de clonage des ressources de données. La vulnérabilité, identifiée sous le code CVE-2025-26512, a un score CVSS de 9,9 sur 10. Selon l'avis publié par la société d'infrastructure de données, "les versions de SnapCenter antérieures à 6.0.1P1 et 6.1P1 sont vulnérables, permettant à un utilisateur authentifié de SnapCenter Server de devenir un utilisateur administrateur sur un système distant où un plug-in SnapCenter est installé." Cette vulnérabilité a été corrigée dans les versions 6.0.1P1 et 6.1P1 de SnapCenter. Actuellement, il n'existe pas de solutions de contournement pour ce problème. Bien qu'aucune preuve d'exploitation de cette faille dans la nature ne soit disponible, il est crucial que les organisations mettent à jour leurs systèmes pour se protéger contre d'éventuelles menaces.
Sources :
Fournisseur de logiciels aux amendes britanniques 3,07 millions de livres sterling pour une violation de ransomware 2022
L'Information Commissioner's Office (ICO) du Royaume-Uni a infligé une amende de 3,07 millions de livres sterling à Advanced Computer Software Group Ltd en raison d'une attaque par ransomware survenue en 2022, qui a exposé les données personnelles sensibles de 79 404 personnes, y compris des patients du National Health Service (NHS). L'attaque, révélée en août 2022, a provoqué des pannes importantes dans divers services NHS, notamment le service d'urgence 111. Bien qu'Advanced ait fourni des produits de gestion des patients au NHS, les détails sur le groupe de ransomware impliqué étaient initialement limités. Il a été établi que le groupe LockBit était responsable, utilisant des identifiants compromis pour accéder à un serveur Citrix. L'ICO a souligné que la société n'avait pas mis en œuvre des mesures de sécurité adéquates, telles qu'une gestion des vulnérabilités insuffisante et un manque de couverture universelle de l'authentification multi-facteurs (MFA). Cette amende est significative car elle représente la première sanction au Royaume-Uni contre un processeur de données plutôt qu'un contrôleur de données. Bien que l'amende soit inférieure aux 6,09 millions de livres envisagés précédemment, elle souligne les attentes en matière de sécurité pour les organisations traitant des informations sensibles.
Sources :
Les clients d'Oracle confirment que les données volées dans une violation de cloud présumée sont valides
Le 26 mars 2025, des clients d'Oracle ont confirmé que des données volées lors d'une prétendue violation de la sécurité des serveurs SSO d'Oracle Cloud étaient valides, malgré le déni de l'entreprise. Un individu, se faisant appeler ‘rose87168’, a revendiqué l'accès aux serveurs d'Oracle Cloud, affirmant avoir volé des données d'authentification et des mots de passe cryptés de 6 millions d'utilisateurs. Le hacker a partagé des fichiers contenant des bases de données, des données LDAP et une liste de 140 621 domaines d'entreprises et d'agences gouvernementales touchées. Bien qu'Oracle ait déclaré qu'aucun client n'avait subi de violation, des analyses de BleepingComputer ont révélé des échantillons de données volées corroborant les affirmations du hacker. Ce dernier a également partagé des échanges d'emails, prétendant avoir exploité une vulnérabilité dans l'infrastructure d'Oracle. Une enquête a montré que le serveur concerné exécutait une version vulnérable d'Oracle Fusion Middleware. Après la révélation de cette violation, Oracle a mis hors ligne le serveur incriminé. Les clients expriment leur méfiance envers Oracle, accusant l'entreprise de dissimulation et de manque de transparence.
Sources :
Le nombre de téléchargements de données via des applications d’IA générative a été multipliés par 30 en un an
Le rapport 2025 Generative AI Cloud and Threat Report de Netskope met en lumière les risques associés à l'utilisation de l'IA générative en entreprise, notamment la transformation involontaire des employés en menaces internes. Environ 72 % des utilisateurs combinent leurs comptes personnels avec des applications d'IA générative, ce qui pose des défis en matière de sécurité. Le rapport révèle que 75 % des professionnels ont accès à ces outils, soulignant l'importance d'une surveillance adéquate. Malgré les efforts des entreprises pour gérer l'IA générative, le phénomène de l'IA fantôme remplace le shadow IT, rendant la sécurité des données encore plus complexe. Netskope observe une augmentation significative des infrastructures d'IA générative locales, passant de moins de 1 % à 54 % en un an. Pour atténuer les risques, il est recommandé aux entreprises d'évaluer leur utilisation de l'IA générative, de renforcer le contrôle des applications et de se référer à des cadres de gestion des risques. Les entreprises doivent adapter leurs stratégies de sécurité pour faire face à l'évolution rapide des menaces générées par l'IA, en intégrant des outils de sécurité basés sur cette technologie pour rester efficaces.
Sources :
Fuite et vol de données : comment sauvegarder les informations irremplaçables ?
La fuite de données récente touchant la Métropole du Grand Paris, affectant environ 5 000 personnes, souligne les défis croissants de la protection des informations sensibles. Selon un rapport d'IBM, 35 % des violations concernent des données « cachées », souvent dispersées, rendant leur sécurisation complexe et augmentant le coût moyen des violations de 16 %. Jocelyn Krystlik, de Stormshield, insiste sur l'importance de protéger les données sensibles, notamment par le chiffrement et la sauvegarde. Il recommande d'identifier et de classer les données selon leur sensibilité, en appliquant la règle du 3-2-1 pour les sauvegardes : trois copies sur deux supports différents, dont une externalisée. Les données sont vulnérables, quel que soit leur emplacement, et la dispersion complique leur protection. L'automatisation des sauvegardes et la mise en place de mots de passe robustes sont essentielles pour garantir la continuité des opérations. De plus, la sensibilisation des employés aux bonnes pratiques de cybersécurité est cruciale pour éviter les négligences. Enfin, maintenir les systèmes à jour et utiliser des solutions de protection avancées sont des mesures clés pour renforcer la résilience des organisations face aux cybermenaces. Une stratégie de sauvegarde efficace est donc fondamentale pour la protection des données.
Sources :
Kaspersky découvre un exploit zero-day dans Chrome utilisé dans des campagnes en cours
Kaspersky a récemment identifié une vulnérabilité avancée dans Google Chrome (CVE-2025-2783) qui permet aux attaquants de contourner la protection de la sandbox du navigateur. Découverte par l'équipe GReAT de Kaspersky, cette faille ne nécessite qu'un clic initial sur un lien malveillant pour compromettre le système de la victime, sans autres actions requises. En mars 2025, Kaspersky a observé une série d'infections causées par des courriels de phishing ciblant des utilisateurs de médias, d'établissements scolaires et d'organisations gouvernementales en Russie. Ces courriels invitaient les destinataires à visiter le forum « Primakov Readings », utilisant des liens malveillants à expiration rapide pour éviter la détection. La vulnérabilité de Chrome faisait partie d'une chaîne d'attaques comprenant un exploit d'exécution de code à distance (RCE) non identifié. Les chercheurs de Kaspersky ont souligné la sophistication de l'exploit, suggérant qu'il a été développé par des acteurs qualifiés. Google a remercié Kaspersky pour sa découverte, et un correctif a été publié le 25 mars 2025. Kaspersky continue d'enquêter sur cette opération, nommée « Operation ForumTroll », et recommande aux utilisateurs de mettre à jour leur navigateur pour se protéger.
Sources :
Proton et ZATAZ, une alliance pour la cybersécurité
Proton, entreprise suisse spécialisée dans la confidentialité numérique, s'associe avec ZATAZ, un média français de cybersécurité, pour promouvoir un Internet plus sûr et respectueux de la vie privée. Ce partenariat vise à sensibiliser le public aux enjeux croissants de la protection des données personnelles, alors que les violations de la vie privée se multiplient. Proton, fondé à Genève, a été créé pour permettre aux utilisateurs de reprendre le contrôle de leurs communications, notamment avec Proton Mail, une messagerie sécurisée née des révélations d'Edward Snowden sur la surveillance de masse. Proton se distingue par son modèle freemium transparent et ses services open source. En plus de Proton Mail, l'entreprise propose Proton VPN, qui garantit une navigation anonyme sans conserver de journaux d'activité, ainsi que Proton Drive, un service de stockage cloud chiffré, et Proton Calendar, un agenda numérique respectueux de la vie privée. Ce partenariat avec ZATAZ renforce l'engagement de Proton envers une cybersécurité éthique et accessible, face à la montée des cyberattaques en 2024. Ensemble, ils œuvrent pour une autonomie numérique accrue, essentielle dans un monde où la frontière entre vie privée et sphère publique devient floue.
Sources :
Les streamements révèlent la violation de données tierces après les données de fuite de pirate
StreamElements, une entreprise de streaming basée sur le cloud, a confirmé avoir subi une violation de données via un fournisseur tiers, après qu'un hacker a divulgué des échantillons de données volées sur un forum de piratage. Bien que les serveurs de StreamElements n'aient pas été compromis, des données anciennes d'un fournisseur avec lequel ils ont cessé de travailler l'année dernière ont été exposées. Le hacker, se faisant appeler "victim", a affirmé avoir volé les données de 210 000 clients, incluant noms, adresses, numéros de téléphone et adresses e-mail. Un journaliste a vérifié l'authenticité des données en recevant ses propres informations personnelles. Le hacker a également prétendu avoir accédé à un compte interne de StreamElements via un malware, permettant de voler des données d'utilisateurs de 2020 à 2024. Bien que StreamElements n'ait pas encore envoyé de notifications aux utilisateurs concernés, il a averti la communauté des tentatives de phishing exploitant cet incident. Une enquête est en cours, et le post du hacker sur BreachForums a été supprimé. Les utilisateurs sont conseillés de rester vigilants face aux tentatives de fraude potentielles.
Sources :
Troy Hunt piégé par un phishing : quand le chasseur devient la proie
Troy Hunt, expert en cybersécurité et fondateur du site Have I Been Pwned, a récemment été victime d'une attaque de phishing, compromettant sa newsletter et les données de 16 000 abonnés. Reconnu pour son travail sur la sécurité des données, Hunt a reçu un email l'incitant à vérifier ses informations personnelles. En se connectant et en saisissant son code de double authentification (2FA), il a involontairement déclenché le piratage de son compte. Ce n'est qu'après que le site s'est figé qu'il a réalisé qu'il avait été piégé. Hunt a partagé son expérience sur son compte X, soulignant que même les experts peuvent tomber dans le piège du phishing, ce qui soulève des questions sur la sécurité dans un environnement numérique de plus en plus complexe. L'attaque, bien que classique, démontre l'évolution des techniques de phishing, rendant ces tentatives plus crédibles. Hunt a rapidement informé ses abonnés de la situation. Cet incident rappelle que, malgré les technologies avancées comme la double authentification, aucune mesure ne peut totalement prévenir les erreurs humaines, car les pirates exploitent souvent des failles dans la vigilance des utilisateurs.
Sources :
Faux papiers et données volées : un site inquiétant sort de l’ombre
Un nouveau site web, accessible sur le web traditionnel depuis début 2025, propose un arsenal numérique aux cybercriminels, contournant les réseaux anonymes comme Tor. Cette plateforme, dont le nom reste confidentiel, permet aux utilisateurs non abonnés d'effectuer jusqu'à dix recherches par jour dans une vaste base de données classée. Les services offerts incluent des documents falsifiés tels que des RIB, des factures, des fiches de paie et des ordonnances médicales, personnalisables selon l'identité volée d'un internaute. Le site, qui semble être géré par un individu français, adopte une interface moderne et rassurante, imitant les services SaaS pour normaliser ses activités illégales. Son modèle économique repose sur des paiements en cryptomonnaie, avec des abonnements à bas prix, garantissant un certain anonymat malgré la traçabilité des transactions. Ce glissement du darkweb vers le web conventionnel rend la détection des plateformes criminelles plus facile, mais complique leur fermeture. Ce phénomène illustre une évolution vers une économie parallèle ciblant un public plus large, rendant la régulation, la prévention et la coopération policière cruciales dans la lutte contre le cybercrime.
Sources :
La nouvelle plate-forme Atlantis AIO automatise la farce des références sur 140 services
La plateforme de cybercriminalité 'Atlantis AIO' propose un service automatisé de credential stuffing ciblant 140 services en ligne, tels que des services de messagerie, des sites de commerce électronique, des banques et des VPN. Ce système permet aux cybercriminels de mener des attaques par force brute, de contourner les CAPTCHA et d'automatiser les processus de récupération de comptes, facilitant ainsi la monétisation des identifiants volés. Le credential stuffing consiste à tester des identifiants volés sur différentes plateformes, permettant aux attaquants de prendre le contrôle des comptes non protégés par une authentification multi-facteurs. Atlantis AIO, découvert par Abnormal Security, offre des modules préconfigurés pour cibler des services comme Hotmail et eBay, et permet aux utilisateurs de lancer des attaques personnalisées. Les comptes compromis sont souvent revendus sur des forums clandestins à des prix très bas. Pour se défendre contre ces attaques, il est recommandé d'utiliser des mots de passe forts et uniques, ainsi que l'authentification multi-facteurs. Les sites peuvent également mettre en place des mesures de limitation de taux et surveiller les comportements suspects pour contrer ces menaces.
Sources :
Nouvelles variantes de dérobée Sparrowdoor trouvées dans les attaques contre les organisations américaines et mexicaines
Le groupe de cybermenaces chinois connu sous le nom de FamousSparrow a été lié à une attaque ciblant un groupe commercial aux États-Unis et un institut de recherche au Mexique, déployant ses malwares phares, SparrowDoor et ShadowPad. Observée en juillet 2024, cette activité marque la première utilisation de ShadowPad par ce groupe, un malware largement diffusé par des acteurs soutenus par l'État chinois. Selon un rapport d'ESET, FamousSparrow a introduit deux versions non documentées de SparrowDoor, dont une modulaire, représentant des avancées significatives par rapport aux versions précédentes. L'attaque a impliqué le déploiement d'un web shell sur un serveur Internet Information Services (IIS), exploitant des versions obsolètes de Windows Server et Microsoft Exchange Server. Ce web shell permet de lancer un script à distance, qui déploie ensuite SparrowDoor et ShadowPad. La version modulaire de SparrowDoor se distingue par son approche basée sur des plugins, offrant jusqu'à neuf modules différents pour diverses opérations. ESET souligne que cette activité démontre non seulement que le groupe est toujours actif, mais qu'il développe également de nouvelles versions de SparrowDoor.
