Le Royaume-Uni a contrecarré une opération d’espionnage informatique menée par des hackers russes se faisant passer pour des journalistes auprès du personnel du ministère de la Défense.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

C’est une nouvelle alerte rouge dans le monde opaque de la cyberguerre. Selon une révélation de Sky News le 29 mai, des pirates informatiques liés à la Russie ont tenté de pénétrer les systèmes du ministère britannique de la Défense en se faisant passer pour des journalistes. Si l’attaque a été stoppée à temps, l’épisode met en lumière l’évolution alarmante des stratégies cyber utilisées par les États hostiles. John Healey, ministre de la Défense du Royaume-Uni, a confirmé la création d’un nouveau commandement cyber pour renforcer la riposte britannique, en soulignant que « le clavier est désormais une arme de guerre ». Ce type d’opération, savamment déguisée et orchestrée, souligne combien les lignes entre guerre, espionnage et désinformation deviennent de plus en plus floues.

La cyberguerre ne relève plus de la science-fiction, ni même d’une menace distante. Elle s’invite au cœur des ministères et vise désormais les esprits et les infrastructures autant que les machines. Début mai, deux vagues d’emails piégés, aux apparences anodines mais aux intentions redoutables, ont ciblé des membres du personnel du ministère britannique de la Défense. La première campagne de phishing arborait un thème journalistique, avec des courriels se présentant comme émanant d’une organisation de presse. Le second envoi, plus insidieux encore, utilisait un prétexte financier pour inciter les destinataires à ouvrir un lien vers une plateforme de partage de fichiers, apparemment commerciale.

C’est à ce moment que l’expertise cyber des services britanniques a fait la différence. Les signaux d’alerte ont été détectés suffisamment tôt pour neutraliser la menace avant qu’elle ne compromette des données sensibles. Selon des responsables gouvernementaux cités par Sky News, le logiciel malveillant utilisé dans cette opération n’avait jamais été observé auparavant. Il a été baptisé « Damascened Peacock », un nom de code aussi élégant qu’inquiétant, en raison de ses caractéristiques uniques et sophistiquées.

« Le clavier est désormais une arme de guerre » : une nouvelle doctrine se dessine dans les hautes sphères de la défense britannique.

Les auteurs de cette tentative d’espionnage ont été rapidement identifiés comme étant affiliés à RomCom, un groupe de hackers russes déjà connu pour des opérations similaires menées par le passé. Ce groupe est soupçonné d’agir en lien étroit avec les services de renseignement russes, notamment le GRU. L’objectif : obtenir des informations stratégiques sur les capacités de défense du Royaume-Uni, voire perturber sa chaîne de commandement ou semer la confusion au sein des institutions.

RomCom n’en est pas à son premier coup d’essai. Depuis le début de la guerre en Ukraine, ce collectif s’est distingué par des attaques ciblées contre des entités gouvernementales et des infrastructures critiques dans plusieurs pays de l’OTAN. Mais en revêtant cette fois l’apparence trompeuse de journalistes, les cyberespions franchissent une nouvelle ligne. Ils exploitent la confiance instinctive accordée aux médias, dans un climat déjà fragilisé par la prolifération des fausses informations et des campagnes de désinformation orchestrées depuis Moscou.

Le ministère de la Défense britannique, loin de minimiser l’incident, a profité de cette attaque pour mettre en lumière sa nouvelle stratégie cyber. Depuis plusieurs mois, Londres travaille à la constitution d’un Commandement Cyber intégré, chargé aussi bien des missions défensives que des opérations offensives dans le cyberespace. Ce nouveau corps, que John Healey a formellement présenté devant la presse, regroupera des experts civils et militaires capables de détecter, analyser, riposter, et même anticiper les futures menaces numériques. Il ne s’agit plus simplement de se défendre, mais aussi de dissuader.

L’opération RomCom révèle une mutation profonde : la cyberguerre ne vise plus les infrastructures seules, mais manipule aussi les symboles de la vérité.

La référence aux journalistes n’est pas anodine. En se dissimulant derrière une identité médiatique, les hackers tentent de détourner les codes de la transparence et de l’enquête. Dans une époque où la vérité est déjà sujette à contestation, cette tactique s’inscrit dans une guerre cognitive, où l’information devient une arme en soi. Les journalistes, figures de l’intégrité démocratique, se retrouvent ainsi instrumentalisés dans des scénarios d’espionnage numérique.

Face à ce défi, le Royaume-Uni cherche également à renforcer la coopération internationale. Des échanges techniques ont déjà été entamés avec ses alliés, notamment les États-Unis, le Canada et les membres de l’Union européenne. La menace n’a plus de frontières, et seule une réponse coordonnée peut espérer contenir l’ampleur des attaques à venir. La cybersécurité devient donc un pilier central de la diplomatie et de la défense, à égalité avec les arsenaux conventionnels.

Dans les rangs du personnel militaire et civil, l’épisode RomCom a servi de leçon. La vigilance face aux courriels non sollicités a été intensifiée, tout comme les programmes de formation à la cybersécurité. Désormais, une simple pièce jointe, un lien douteux, ou une demande inhabituelle peut devenir le point d’entrée d’une vaste opération d’espionnage. Et dans le monde numérique, quelques secondes d’inattention peuvent suffire à compromettre une stratégie entière.

Le cas du « Damascened Peacock » rappelle aussi que les États ne sont pas les seuls à être vulnérables. Les entreprises de défense, les fournisseurs, les prestataires et même les chercheurs universitaires collaborant sur des programmes militaires constituent autant de cibles potentielles. Le tissu industriel de la défense doit donc être sécurisé dans sa totalité, avec des standards de cybersécurité élevés à chaque maillon de la chaîne.

La situation pousse aussi à une réflexion plus large : quelles doivent être les règles d’engagement dans le cyberespace ? Peut-on appliquer les conventions de Genève au domaine numérique ? Et quelles limites devraient être imposées à des opérations pourtant invisibles, mais aux conséquences bien réelles ? Le Royaume-Uni, à travers cette nouvelle doctrine cyber, espère poser les bases d’un cadre international plus strict, à défaut d’être universel.

Le spectre d’une cyberguerre totale n’est plus un fantasme. Alors que les conflits armés classiques continuent de ravager certaines régions du monde, la guerre silencieuse des réseaux s’intensifie en parallèle, souvent à l’abri des regards. L’affaire RomCom s’ajoute à une longue liste d’incidents qui prouvent que les batailles de demain se livrent aussi dans les lignes de code.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Cybersécurité

Des espions dans la toile

30 mai 2025 Damien Bancal

Le vol massif de données touchant plus de 65 000 policiers néerlandais a été attribué à un groupe de hackers russes. Une cyberattaque révélatrice d’une guerre numérique qui ne dit pas son nom.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

En septembre 2024, les Pays-Bas ont été frappés par une cyberattaque d’ampleur inédite : les données personnelles de plus de 65 000 policiers néerlandais ont été dérobées via une faille informatique exploitée par des acteurs malveillants. Pendant plusieurs mois, l’identité des auteurs est restée floue, alimentant toutes les spéculations. Mais aujourd’hui, le voile est levé. Les services de renseignement néerlandais, l’AIVD (Service général de renseignement et de sécurité) et le MIVD (Service de renseignement militaire), désignent formellement un groupe de hackers russes, surnommé « Laundry Bear », comme les cerveaux de cette opération. Derrière ce nom codé se cache une organisation discrète, expérimentée et redoutablement efficace, opérant dans l’ombre d’un conflit numérique entre la Russie et l’Occident.

Une faille technique exploitée par un réseau criminel bien rodé

L’attaque s’est appuyée sur une technique bien connue dans le monde de la cybersécurité : le pass-the-cookie. Cette méthode consiste à usurper l’identité numérique d’un utilisateur légitime en réutilisant des cookies d’authentification volés. En l’occurrence, ces cookies ont vraisemblablement été récupérés grâce à un malware de type infostealer, diffusé sur les machines de victimes peu méfiantes. Une fois collectées, ces données ont été revendues sur des places de marché clandestines, où elles ont été achetées par Laundry Bear. Ce groupe a ensuite utilisé ces identifiants pour infiltrer un serveur Microsoft Exchange de la police néerlandaise, où figurait une Global Address List (GAL). Ce fichier regroupait noms, adresses email, numéros de téléphone et fonctions professionnelles de milliers de policiers, ainsi que d’agents de partenaires comme des cabinets juridiques ou le ministère public.

Ce scénario illustre la complexité du cybercrime moderne, où se mêlent criminalité opportuniste et espionnage d’État. Comme l’explique John Hultquist, analyste en chef au sein du Google Threat Intelligence Group, « le cyberespace criminel est devenu un multiplicateur de force pour les acteurs de l’espionnage russe. Ils exploitent systématiquement les accès développés au fil des activités criminelles ordinaires ».

Laundry Bear : un espion discret mais bien équipé

Le nom de Laundry Bear n’est peut-être pas encore célèbre dans le grand public, mais il est bien connu des agences de sécurité occidentales. Ce groupe est soupçonné d’avoir mené de nombreuses opérations discrètes dans divers pays européens, avec un intérêt marqué pour les infrastructures militaires et les relations internationales, notamment en lien avec la guerre en Ukraine. Selon Peter Reesink, directeur du MIVD, Laundry Bear « cible particulièrement les informations liées à la production et à l’acquisition de matériel militaire par les gouvernements occidentaux, ainsi que les livraisons d’armes à l’Ukraine ».

« Nous avons vu ce groupe accéder à des données sensibles d’un nombre impressionnant d’organisations gouvernementales et d’entreprises dans le monde entier », affirme Peter Reesink.

Le groupe se distingue par l’utilisation de TTPs (tactiques, techniques et procédures) extrêmement efficaces pour échapper à la détection. Ces méthodes comprennent l’exploitation de failles 0-day, l’usage d’outils open source modifiés, et une compartimentation rigoureuse de ses opérations pour brouiller les pistes. Cette approche leur a permis de rester invisibles pendant de longues périodes, même au sein de systèmes fortement surveillés.

Face à cette menace, l’AIVD et le MIVD ont fait le choix stratégique de révéler publiquement les méthodes utilisées par Laundry Bear. L’objectif est double : alerter les potentielles cibles de ce type d’attaque, entreprises de défense, fournisseurs de technologies, services publics, et renforcer la résilience des réseaux nationaux.

« En exposant leurs techniques, nous réduisons leurs chances de succès. Les gouvernements, mais aussi les acteurs industriels et technologiques, peuvent dès à présent se protéger plus efficacement contre cette forme d’espionnage« , a déclaré Erik Akerboom, directeur général de l’AIVD.

Cette communication, inhabituelle pour des services de renseignement traditionnellement discrets, souligne l’ampleur du défi sécuritaire que pose le cyber espionnage étatique. Elle marque également un tournant dans la manière dont les démocraties abordent la guerre de l’information : transparence, collaboration intersectorielle et mobilisation des ressources nationales deviennent des impératifs de sécurité.

Une guerre numérique larvée entre Russie et Occident

L’affaire Laundry Bear s’inscrit dans une dynamique plus large d’affrontements cybernétiques entre la Russie et les pays membres de l’Union européenne et de l’OTAN. Depuis l’annexion de la Crimée en 2014 et plus encore depuis l’invasion de l’Ukraine en 2022, les tensions géopolitiques se traduisent de plus en plus par des actions offensives dans le cyberespace. Les infrastructures critiques, les institutions publiques et les entreprises stratégiques sont devenues des cibles prioritaires pour les services de renseignement russes, souvent via des groupes mandatés ou tolérés par le Kremlin.

Le cyberespace est devenu le théâtre d’une guerre froide moderne, où les frontières sont floues et les conséquences bien réelles.

Les Pays-Bas, malgré leur taille modeste, jouent un rôle clé au sein de cette guerre numérique. Leur position stratégique, leur participation active au sein de l’OTAN et leur expertise technologique en font une cible de choix pour les cyberespions. Ce n’est d’ailleurs pas la première fois que le pays est confronté à une attaque d’ampleur. En 2018, le même AIVD avait déjoué une tentative d’infiltration des systèmes de l’OIAC (Organisation pour l’interdiction des armes chimiques) par des agents russes du GRU.

Les données comme nouvelle arme d’influence

Au-delà du simple vol de données, cette attaque soulève une question centrale : que deviennent ces informations une fois entre les mains d’un acteur étatique ? Les renseignements volés peuvent être utilisés pour cartographier les forces de police, identifier des personnes sensibles, pratiquer du chantage ou encore semer la méfiance au sein des institutions. Dans un monde où l’information est pouvoir, le contrôle et la manipulation des données représentent des enjeux majeurs, tant pour la sécurité intérieure que pour la diplomatie.

Il ne faut pas non plus négliger l’effet psychologique de telles opérations. En exposant la vulnérabilité d’institutions respectées comme la police nationale, les attaquants cherchent aussi à affaiblir la confiance du public envers l’État et ses capacités de protection. Une stratégie subtile, mais potentiellement dévastatrice sur le long terme.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Cybersécurité, Entreprise

Erreur de données chez KBC Securities Services : 5 000 clients exposés par une fuite accidentelle

30 mai 2025 Damien Bancal

Une faille de confidentialité chez KBC Securities Services a mis en péril les données financières de milliers de clients, révélant des informations sensibles à des tiers non autorisés.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

C’est un dysfonctionnement aux conséquences sérieuses. KBC Securities Services, filiale du groupe bancaire belge KBC spécialisée dans la gestion de titres pour le compte de grandes fortunes, d’investisseurs institutionnels et de banques privées, a reconnu avoir envoyé, par erreur, des informations financières sensibles à des destinataires pour lesquels ces données n’étaient pas destinées. L’incident, d’origine humaine selon les premières conclusions, touche environ 5 000 clients, soulevant des inquiétudes majeures en matière de protection des données et de confidentialité bancaire.

L’incident s’est produit dans le cadre des activités de KBC Securities Services, un acteur discret mais influent dans l’univers de la gestion d’actifs. Ce service fournit notamment des documents détaillant la composition des portefeuilles, les montants investis, les valeurs des actions détenues, et d’autres informations à caractère financier et personnel. Selon plusieurs témoignages recueillis par le quotidien économique belge De Tijd, certains destinataires de ces documents ont rapidement pu identifier d’autres clients à partir des informations reçues. Un des témoins, lui-même destinataire erroné, a confié avoir reconnu un actionnaire connu dont le portefeuille affichait une valeur très importante.

« Il m’a suffi de quelques clics pour identifier certains titulaires de portefeuille. L’un d’eux est actionnaire dans une entreprise cotée très connue. Les montants figurant dans le document étaient loin d’être négligeables« , explique-t-il, soulignant la gravité de la fuite.

Selon les premières explications fournies par KBC, l’erreur serait liée à un prestataire externe chargé de générer et d’envoyer les documents aux clients. Un dysfonctionnement dans le processus aurait conduit à l’envoi croisé de documents, affectant un « nombre limité » de clients, selon le vocabulaire prudemment choisi par la banque. Mais ce « nombre limité » équivaut tout de même à environ 5 000 personnes, soit une proportion non négligeable au regard du profil hautement sensible de la clientèle concernée.

Dans sa déclaration officielle, KBC Securities Services tente de contenir les dégâts. L’entreprise affirme avoir immédiatement réagi pour corriger l’erreur, informer les clients touchés et prendre des mesures pour empêcher qu’un tel incident ne se reproduise. « La protection des données personnelles de nos clients est l’une de nos plus grandes priorités », indique le communiqué, sans donner davantage de détails sur la nature des mesures prises.

Une violation de ce type peut exposer une institution financière à des sanctions lourdes, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial du groupe, comme le prévoit le Règlement général sur la protection des données (RGPD). Toutefois, les experts interrogés par la presse belge estiment qu’une amende de cette ampleur est peu probable dans ce cas précis, en raison de la nature accidentelle de la fuite et de la réponse rapide de la banque.

L’enjeu principal ne se situe peut-être pas au niveau pécuniaire, mais bien dans la confiance des clients. La réputation de discrétion et de fiabilité de KBC Securities Services pourrait en sortir sérieusement écornée. Dans le secteur très concurrentiel de la gestion de fortune, où la confidentialité est une condition sine qua non de la relation client, ce type d’incident peut provoquer un désengagement rapide et discret de clients fortunés vers des institutions jugées plus sûres.

Certains clients envisagent d’ailleurs de porter plainte ou d’engager des actions en justice, toujours selon De Tijd. Un juriste spécialisé dans la protection des données personnelles estime que les clients ayant subi un préjudice — par exemple la divulgation de données à des concurrents ou des relations personnelles — pourraient obtenir réparation si un lien de causalité est démontré. Toutefois, prouver que la réception d’un mauvais document a directement nui à un client reste complexe, même si le préjudice moral et psychologique est évident.

« Un préjudice réputationnel peut suffire à motiver une action en justice, surtout si les montants en jeu ou les informations révélées sont significatifs », souligne-t-il.

Le secteur financier belge, déjà ébranlé par diverses cyberattaques ces dernières années, voit ainsi se poser une nouvelle menace : celle de la faille humaine. Les institutions bancaires ont massivement investi dans la cybersécurité, mais une simple erreur humaine dans une chaîne externalisée suffit à mettre à nu les limites d’un système pourtant très sécurisé. Cette affaire met également en lumière une problématique souvent sous-estimée : le rôle des sous-traitants et prestataires dans la gestion quotidienne des données sensibles. La délégation de certaines tâches, si elle est économiquement rationnelle, ouvre aussi des brèches que la technologie ne peut entièrement combler.

L’Autorité belge de protection des données a été saisie de l’affaire, mais n’a pour l’heure formulé aucun commentaire officiel. Si elle décide d’ouvrir une enquête, KBC devra justifier l’ensemble des étapes ayant conduit à la fuite et démontrer la mise en œuvre de mesures correctives suffisantes. Ce processus pourrait durer plusieurs mois, voire plus, selon la complexité du dossier.

Dans l’immédiat, la banque reste sur la défensive et refuse de communiquer des détails supplémentaires. Elle affirme que l’ensemble des clients concernés ont été personnellement contactés et qu’un suivi individuel est en cours pour répondre à leurs questions et inquiétudes. Reste à savoir si cela suffira à contenir la perte de confiance induite par un tel épisode.

Cette affaire résonne comme un avertissement pour l’ensemble du secteur bancaire européen. La protection des données, en particulier celles des clients les plus fortunés, n’est pas seulement une exigence réglementaire, c’est une condition de survie dans un univers où la discrétion est une monnaie aussi précieuse que l’or.

Dès lors, la question s’impose : dans un écosystème financier de plus en plus complexe et interconnecté, peut-on encore garantir la confidentialité absolue des données, ou faudra-t-il apprendre à vivre avec le risque permanent d’une faille, aussi humaine soit-elle ?

Data Security Breach

Archives quotidiennes :

Cyberattaque déjouée : des espions russes se faisaient passer pour des journalistes

Le Royaume-Uni a contrecarré une opération d’espionnage informatique menée par des hackers russes se faisant passer pour des journalistes auprès du personnel du ministère de la Défense.

Des espions dans la toile

Le vol massif de données touchant plus de 65 000 policiers néerlandais a été attribué à un groupe de hackers russes. Une cyberattaque révélatrice d’une guerre numérique qui ne dit pas son nom.

Une faille technique exploitée par un réseau criminel bien rodé

Laundry Bear : un espion discret mais bien équipé

Erreur de données chez KBC Securities Services : 5 000 clients exposés par une fuite accidentelle

Une faille de confidentialité chez KBC Securities Services a mis en péril les données financières de milliers de clients, révélant des informations sensibles à des tiers non autorisés.

Actualités cybersécurité, protections des données pour PME/PMI/TPE