Archives mensuelles : juillet 2025

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Zéro-day sur Microsoft SharePoint : plus de 100 organisations déjà compromises !

Un exploit critique permet l’injection de portes dérobées avant toute authentification. Des géants industriels, des hôpitaux et des agences gouvernementales figurent déjà parmi les cibles. Microsoft et les CERT appellent à une vigilance renforcée.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Il y a quelques jours, une vulnérabilité critique de type « zero-day » a été découverte dans Microsoft SharePoint Server. D’abord perçue comme une faille technique isolée, elle s’est révélée être au cœur d’une campagne de piratage d’ampleur inédite. Ce défaut de sécurité permet à des attaquants d’exécuter du code arbitraire sur les serveurs cibles, avant même toute authentification. L’exploitation active a été détectée par l’entreprise néerlandaise Eye Security, rapidement relayée par la Shadowserver Foundation, qui confirme une vague de compromissions en cours.

Initialement repérée sur une poignée de systèmes – environ 85 serveurs selon les premières observations – l’attaque s’est révélée bien plus large que prévu. À l’heure actuelle, plus de 100 organisations ont été confirmées comme victimes, parmi lesquelles figurent des multinationales, des entreprises industrielles sensibles, des hôpitaux et des administrations publiques. La majorité des compromissions concerne des entités situées aux États-Unis et en Allemagne, mais la propagation est mondiale.

Une porte d’entrée avant identification, une persistance après patch

La faille, désormais référencée sous le code CVE-2025-49706, affecte spécifiquement les installations locales de Microsoft SharePoint Server. Elle repose sur un processus de désérialisation de données non fiables, permettant à un acteur malveillant d’exécuter du code sans avoir besoin de s’authentifier sur le serveur. Cette caractéristique rend l’attaque particulièrement redoutable : elle contourne les protections de base, infiltre les systèmes, et permet l’installation d’un backdoor persistant dans l’infrastructure.

Une fois la brèche exploitée, les attaquants récupèrent des clés cryptographiques sensibles – notamment les clés MachineKey, utilisées pour la validation et le chiffrement des sessions. Ces éléments permettent ensuite de générer du trafic qui semble parfaitement légitime aux yeux du serveur cible, même après l’installation des correctifs de sécurité. Les requêtes malveillantes sont ainsi indétectables par les filtres traditionnels, et la compromission se prolonge en toute discrétion.

Des chercheurs décrivent une chaîne d’infection redoutablement efficace. L’attaque commence avant l’authentification, se poursuit à l’aide de scripts PowerShell, de fichiers ASPX malveillants, et de techniques d’exfiltration directe depuis la mémoire vive du serveur. L’objectif : récupérer des secrets, contourner les journaux système, et pivoter à l’intérieur du réseau à grande vitesse, sans nécessité de ré-exploiter la faille.

 

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Des milliers de serveurs vulnérables encore exposés

La Shadowserver Foundation estime que jusqu’à 9 000 serveurs SharePoint accessibles depuis Internet pourraient être vulnérables à l’attaque. Les secteurs concernés sont critiques : entreprises industrielles, établissements de santé, cabinets d’audit, institutions bancaires, organismes publics. Le risque d’espionnage économique ou d’interruption de service est donc majeur.

Data Security Breach vous alerte également sur un danger moins visible : la simple présence de la vulnérabilité peut signifier qu’un accès clandestin a déjà été pris. Il ne suffit donc plus de déployer les mises à jour. Il est désormais recommandé de procéder à un audit complet des systèmes, voire à leur isolement en cas de doute sérieux.

Microsoft, de son côté, a reconnu la gravité de la situation. Des mises à jour de sécurité ont été publiées, accompagnées de recommandations urgentes. Toutefois, l’éditeur souligne que les correctifs seuls ne suffisent pas si les attaquants ont déjà obtenu les clés de chiffrement critiques. Pour se protéger, Microsoft préconise également l’activation de l’interface de scan antimalware (AMSI), le déploiement de Microsoft Defender sur les hôtes concernés, et – en cas d’urgence – la coupure de la connexion Internet des serveurs affectés.

Une campagne en chaîne, et des traces menant vers la Chine

Plus inquiétant encore : la faille CVE-2025-49706 est désormais exploitée en tandem avec une autre vulnérabilité, non nommée pour l’instant. Cette combinaison permet de transformer une simple requête HTTP avec un en-tête Referer pointant vers le chemin /_layouts/SignOut.aspx en une attaque complète, équivalente à celle connue sous le nom CVE-2025-53770. Cette technique de contournement minimaliste est actuellement utilisée activement dans des campagnes mondiales, selon les experts Palo Alto Networks.

Quant à l’origine des attaques, aucun groupe n’a encore revendiqué cette campagne sophistiquée. Cependant, les données de Google sur le trafic global ont permis d’établir un lien potentiel avec une groupe APT opérant depuis la Chine. Cette hypothèse reste à confirmer, mais elle est prise au sérieux par les services de renseignement. L’ambassade chinoise, sollicitée, n’a pas souhaité commenter ces accusations. A noter que l’Ip est Chinoise, les pirates sont trés certainement à des milliers de kilomètres de ce pays.

Aux États-Unis, le FBI est désormais saisi de l’affaire, tout comme le National Cyber Security Centre (NCSC) britannique. Les deux entités coopèrent activement avec des partenaires publics et privés pour évaluer l’impact et identifier les vecteurs d’intrusion.

La réaction d’urgence ne suffit plus : les entreprises doivent revoir leur modèle de sécurité

Cette attaque marque un tournant dans la stratégie des cybercriminels. Elle démontre que la compromission d’un serveur peut précéder toute détection, et qu’un patch appliqué tardivement est souvent inutile. Pire encore : certains systèmes sont aujourd’hui silencieusement compromis, en apparence sains, mais manipulés en profondeur. Le modèle de sécurité défensif classique – identifier, patcher, surveiller – montre ici ses limites.

Pour les entreprises utilisant Microsoft SharePoint, il ne s’agit plus d’un simple avertissement. C’est un appel à l’action immédiat, mais aussi à une refonte stratégique. La résilience numérique passe désormais par une surveillance proactive, des journaux renforcés, des audits réguliers de configuration, de la veille sérieuse du web et du dark web comme le propose la référence sur ce sujet, le Service Veille de ZATAZ, et des simulations d’intrusion pour évaluer la surface d’attaque réelle. Le recours à des plateformes cloisonnées, la segmentation réseau, et l’automatisation des détections doivent redevenir prioritaires.

Face à une menace qui évolue aussi vite que les correctifs, seule une vision stratégique et systémique de la cybersécurité permettra de contenir l’impact. Les organisations doivent cesser de traiter les failles comme de simples bugs techniques, et commencer à les voir comme des opportunités offertes à leurs adversaires les plus déterminés.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Entreprise, Securite informatique

Vulnérabilité zero-day critique CVE-2025-53770 : Microsoft et Google alertent sur une menace active visant SharePoint

Microsoft a diffusé une alerte d’urgence à destination de ses clients concernant la faille de sécurité identifiée sous le nom CVE-2025-53770, actuellement exploitée de manière active sur les instances on-premises de Microsoft SharePoint.

Les équipes du Google Threat Intelligence Group ont détecté plusieurs attaques en cours ciblant cette vulnérabilité, qui n’a, à ce jour, pas encore fait l’objet d’un correctif officiel. Selon les analyses menées, les attaquants déploient des webshells sur les serveurs compromis, accédant ensuite à des données cryptographiques sensibles stockées sur ces mêmes infrastructures. Ce mode opératoire confère aux cybercriminels un accès persistant et non authentifié, complexifiant considérablement la détection de la compromission.

« Les intrusions observées montrent que les acteurs malveillants visent spécifiquement l’implantation de webshells et l’exfiltration de secrets cryptographiques critiques », souligne l’un des rapports techniques issus des investigations menées par Google Threat Intelligence Group.

Face à la gravité de la menace, Microsoft a publié des mesures d’atténuation immédiates et recommande de les appliquer en urgence, notamment pour les organisations dont les serveurs SharePoint on-premises sont exposés à Internet. Les versions cloud de la plateforme, à savoir SharePoint Online au sein de Microsoft 365, ne sont pas concernées par cette vulnérabilité.

Les premiers éléments techniques publiés indiquent que la faille CVE-2025-53770 permet une prise de contrôle à distance d’un serveur SharePoint vulnérable, sans nécessité d’authentification préalable. Cette caractéristique facilite la propagation de l’attaque et son exploitation à grande échelle. Selon les recommandations des experts, il est impératif de partir du principe qu’un serveur exposé a potentiellement déjà été compromis, et d’engager sans délai des actions de vérification et de remédiation.

« Il ne s’agit pas simplement d’appliquer le correctif et de passer à autre chose. Les organisations doivent immédiatement déployer des mesures d’atténuation, rechercher activement des signes d’intrusion, et prévoir des actions de remédiation approfondies », précise Charles Carmakal, Chief Technology Officer de Mandiant Consulting, rattaché à Google Cloud.

Au moment de la publication de l’alerte, Microsoft n’a pas encore diffusé de correctif officiel pour la vulnérabilité CVE-2025-53770, mais recommande l’application de filtres et de restrictions réseau spécifiques pour limiter l’exposition des serveurs. Les recommandations actuelles incluent la désactivation de l’accès public à SharePoint on-premises, le durcissement des contrôles d’accès, et la surveillance des journaux d’activité afin de détecter toute activité anormale.

« Les attaques en cours démontrent la capacité des cybercriminels à adapter rapidement leurs techniques et à contourner les protections existantes », indique un rapport de Microsoft, insistant sur la nécessité d’une vigilance accrue.

L’analyse des compromissions déjà constatées révèle l’utilisation de webshells personnalisés, facilitant l’exfiltration de fichiers chiffrés, de certificats, de clés privées et d’autres secrets indispensables au fonctionnement sécurisé des environnements Microsoft SharePoint. Ce mode opératoire complique la détection des attaques, les fichiers malveillants étant fréquemment dissimulés au sein de répertoires légitimes ou sous des noms anodins.

La chronologie de la campagne d’attaque montre une accélération notable des tentatives d’exploitation depuis la fin de la semaine dernière, les attaquants adaptant leurs charges utiles en temps réel pour contourner les premières mesures d’atténuation publiées par Microsoft et ses partenaires. Plusieurs entreprises et administrations internationales ont d’ores et déjà signalé des tentatives d’accès non autorisées, ainsi que des traces de manipulation de fichiers critiques sur leurs infrastructures SharePoint.

« L’exploitation massive et continue de cette faille justifie la publication rapide d’un correctif d’urgence hors cycle de publication habituel », estime Charles Carmakal.

Par ailleurs, Microsoft rappelle que la vulnérabilité CVE-2025-53770 ne concerne pas les instances de SharePoint Online intégrées à Microsoft 365. Seules les versions hébergées localement (on-premises) sont impactées par la faille, ce qui restreint la surface d’attaque, mais impose une réactivité maximale aux administrateurs de ces environnements.

Les experts en sécurité recommandent également de vérifier l’intégrité des fichiers et des processus système sur les serveurs potentiellement exposés, d’analyser la présence de webshells, ainsi que de surveiller les flux réseau sortants inhabituels, signes possibles d’une exfiltration de données. Des outils spécialisés permettent de détecter certaines signatures spécifiques aux webshells utilisés dans le cadre de cette campagne, mais la diversité des implants observés nécessite une vigilance constante et des analyses approfondies.

« Les webshells implantés confèrent un accès persistant aux serveurs compromis, ouvrant la voie à des campagnes d’exfiltration de longue durée », rappelle un rapport technique relayé par les équipes de Google Threat Intelligence Group.

En complément des mesures techniques, plusieurs recommandations organisationnelles ont été formulées, telles que l’isolement temporaire des serveurs suspects, la rotation des clés et certificats potentiellement exposés, ainsi que la notification des utilisateurs concernés en cas de compromission avérée.

La collaboration entre Microsoft, Google Threat Intelligence Group et d’autres partenaires du secteur vise à accélérer le développement et la diffusion du correctif, mais aussi à sensibiliser les responsables informatiques aux risques encourus et à la nécessité d’une veille permanente face à l’évolution des menaces.

« L’exploitation de CVE-2025-53770 permet un accès non authentifié à des données cryptographiques sensibles, représentant un risque majeur pour la sécurité des organisations visées », souligne un communiqué officiel de Microsoft, publié ce week-end.

La campagne en cours met en lumière l’importance des processus de gestion de crise et d’analyse post-compromission, afin de limiter l’impact des attaques et de restaurer la confiance dans les systèmes d’information affectés. Les organismes ayant identifié des traces de compromission sont invités à contacter les équipes de réponse à incident et à procéder à un audit complet de leurs infrastructures SharePoint.

Les principales institutions de cybersécurité, dont l’Agence nationale de la sécurité des systèmes d’information, relaient les alertes et rappellent l’importance de n’exposer aucun service critique directement sur Internet, notamment lorsque des vulnérabilités non corrigées sont signalées.

La publication prochaine d’un correctif d’urgence est attendue par l’ensemble de la communauté, qui reste mobilisée pour limiter la diffusion de l’attaque et réduire le risque d’exfiltration de données. Les administrateurs sont invités à consulter régulièrement les bulletins de sécurité de Microsoft et à se tenir prêts à appliquer immédiatement toute mise à jour publiée.

« Les acteurs malveillants adaptent constamment leurs techniques pour exploiter de nouvelles failles dès leur divulgation », rappellent les spécialistes, insistant sur la nécessité d’une adaptation permanente des stratégies de défense.

Pour l’heure, aucune estimation précise du nombre de serveurs compromis n’a été officiellement communiquée, mais les observations recueillies montrent que la campagne vise en priorité des organisations détenant des informations cryptographiques à haute valeur ajoutée, telles que des certificats SSL/TLS, des jetons d’authentification et des clés de signature électronique.

L’alerte de ce week-end marque une étape supplémentaire dans la multiplication des attaques ciblant les environnements collaboratifs d’entreprise, mettant en évidence l’intérêt croissant des cybercriminels pour les serveurs SharePoint on-premises et les données sensibles qu’ils hébergent.

Cybersécurité, Securite informatique

Le Thermomix TM5 piraté : une démonstration choc sur la sécurité des objets connectés

Possibilité de pirater le robot de cuisine Thermomix TM5. Parmi les possibilités : afficher des messages personnalisés ou modifier la température, sans aucune modification physique de l’appareil.

L’équipe de chercheurs en cybersécurité de Synacktiv a récemment mené une expérimentation saisissante sur le Thermomix TM5, robot de cuisine multifonctions de la société allemande Vorwerk, largement répandu dans les foyers français. Cette démonstration de piratage, effectuée dans un cadre strictement contrôlé, vise à attirer l’attention sur la réalité des risques auxquels s’exposent les objets connectés du quotidien, souvent perçus comme inoffensifs.

Le choix du Thermomix TM5 n’est pas anodin, mais il ne vise pas pour autant à stigmatiser ce produit ou à remettre en cause la sécurité du fabricant. Le robot culinaire dispose d’un niveau de sécurité supérieur à nombre de ses concurrents. Néanmoins, le Thermomix incarne parfaitement cette génération d’objets intégrant des composants informatiques et communicants, désormais omniprésents dans l’environnement domestique. La société Vorwerk a d’ailleurs réagi avec sérieux et rapidité à la découverte, autorisant la publication des résultats et engageant un dialogue avec les experts, une attitude saluée par l’ensemble du secteur.

« Les objets connectés deviennent des ordinateurs comme les autres, donc des cibles potentielles d’attaquants. »

L’expérimentation a été menée sans qu’aucune modification physique ne soit apportée au robot de cuisine. À partir d’une analyse approfondie de son système embarqué, les experts en cybersécurité ont identifié des vulnérabilités permettant de prendre le contrôle de certaines fonctionnalités de l’appareil. Il a ainsi été possible d’afficher des messages personnalisés sur l’écran tactile, de manipuler la température de chauffe, ou encore de provoquer l’apparition de messages d’erreur non prévus. Cette prise de contrôle, bien qu’encadrée et réalisée par des chercheurs dans le cadre d’un test, illustre la capacité d’un attaquant à détourner un objet familier pour en faire un outil à des fins malveillantes, si les failles sont exploitées dans des conditions réelles.

La démonstration rendue publique

Synacktiv a choisi de rendre publique cette démonstration pour illustrer l’enjeu que représentent les objets connectés dans l’évolution du risque cyber. Aujourd’hui, ces équipements, qu’il s’agisse de robots de cuisine, d’enceintes intelligentes, de montres connectées, de caméras de surveillance ou encore de systèmes de chauffage, sont présents par milliards à travers le monde. Le risque, jusqu’ici principalement associé aux ordinateurs et téléphones, concerne désormais l’ensemble de l’électroménager connecté et plus largement tous les objets intelligents du quotidien.

« Plus un appareil est connecté, plus il peut devenir une porte d’entrée s’il est mal protégé. »

La démonstration, bien qu’étonnante, ne visait pas à créer l’inquiétude chez les utilisateurs. Les conditions de l’attaque restent complexes, nécessitant des compétences avancées et un accès physique ou logique particulier à l’appareil. Cette opération relève d’une démarche de recherche responsable, qui ne menace pas directement les possesseurs de Thermomix TM5. Toutefois, le message transmis est clair : la sécurité des objets connectés doit être prise en compte avec le même sérieux que celle des ordinateurs ou des smartphones.

Des dispositifs de sécurité dès la conception des produits

L’opération a d’autant plus d’impact que Vorwerk, informé en amont, a collaboré et fait preuve d’une transparence saluée par la communauté. Le fabricant a pris acte des vulnérabilités révélées et s’est engagé à travailler à l’amélioration de la sécurité de ses produits. Cette réactivité est encore trop rare dans le secteur, où la communication autour des failles de sécurité demeure souvent limitée, par crainte de porter atteinte à l’image de marque ou de subir des conséquences juridiques. En autorisant la publication des résultats, Vorwerk envoie un signal fort à l’industrie et démontre une maturité croissante face aux enjeux de la cybersécurité.

« Dialoguer avec les experts pour comprendre et corriger les failles démontre une maturité sur ces enjeux, c’est un signal fort pour le marché. »

Au-delà du cas du Thermomix TM5, cette expérience met en évidence la nécessité pour les fabricants d’intégrer des dispositifs de sécurité dès la conception des produits. Il est essentiel que la sécurité ne soit pas reléguée au second plan, mais qu’elle devienne un critère central, au même titre que la performance ou le design. Les appareils connectés, de par leur architecture, peuvent constituer des points d’entrée vers les réseaux domestiques ou professionnels, exposant l’ensemble des systèmes à des risques démultipliés. L’enjeu n’est plus seulement la protection des données personnelles, mais aussi la prévention de scénarios de sabotage ou de détournement de fonctions critiques.

La sensibilisation du public à cette problématique demeure aujourd’hui limitée. Les consommateurs ne sont pas toujours informés des risques liés à l’usage des objets connectés.

Cybersécurité, Entreprise, Mise à jour, Patch

Patch Tuesday de juillet 2025 : 130 failles corrigées, priorité sur Chrome et Edge

Microsoft publie en juillet 2025 des correctifs majeurs pour Windows, Office, SharePoint, SQL et Visual Studio, tandis que Google Chrome et Edge corrigent une faille Zero Day critique.

Le mois de juillet 2025 marque un Patch Tuesday particulièrement dense, avec 130 nouvelles vulnérabilités (CVE) traitées par Microsoft, dont 14 classées au niveau Critique. Ces failles concernent l’ensemble des environnements Windows, mais touchent également Office, SharePoint et SQL Server, des composants majeurs dans les systèmes d’information des entreprises. Microsoft fait état d’une divulgation publique cette fois, avec la correction d’une faille (CVE-2025–49719) dans Microsoft SQL. Cette vulnérabilité de divulgation d’informations, dont la publication a été confirmée par Microsoft, bénéficie d’un score CVSS v3.1 de 7,5 et est considérée de niveau Important, bien que le code d’exploitation n’ait pas encore été démontré.

D’après les données officielles publiées le 9 juillet 2025, Microsoft recommande l’application rapide des correctifs, les vulnérabilités critiques pouvant permettre l’exécution de code à distance, notamment au travers du service Windows RRAS (Routing and Remote Access Service). Seize failles (CVE) ont été corrigées sur ce composant réseau, exposant les systèmes Windows Server à un risque d’exploitation par des acteurs non authentifiés. Microsoft précise que l’attaque ne nécessite pas de privilèges particuliers et peut être initiée via le réseau. Il est donc conseillé de limiter l’exposition en restreignant l’accès aux ports RRAS à des réseaux de confiance ou via des VPN, et de désactiver les fonctionnalités RRAS non utilisées.

« Les vulnérabilités RRAS, si elles ne sont pas corrigées, peuvent être exploitées sans privilège sur le réseau », rappelle le rapport officiel de Microsoft du 9 juillet 2025.

La situation du service DHCP sous Windows Server, perturbé depuis le Patch Tuesday de juin 2025, s’est également normalisée. Plusieurs entreprises avaient rapporté des problèmes de renouvellement d’adresse IP et des interruptions du service DHCP suite à l’application des mises à jour de juin. Selon les articles de connaissances (KB) mis à jour, ainsi qu’une vérification croisée sur le moteur de recherche Gemini le 8 juillet 2025, ce dysfonctionnement a bien été résolu par les correctifs publiés ce mois-ci. Avant la publication de ces correctifs, la solution temporaire recommandée consistait à désinstaller les mises à jour de juin, au prix d’une exposition accrue à d’autres vulnérabilités.

Git, Chrome, Edge et Visual Studio : correctifs urgents

Outre les produits phares, sept vulnérabilités liées à Git et deux vulnérabilités additionnelles nécessitant la mise à jour de Visual Studio sont corrigées ce mois-ci. Ces failles, signalées par MITRE, touchaient directement l’outil de versionnage Git intégré à Visual Studio, utilisé massivement dans le développement de logiciels. Les mises à jour de Visual Studio sont donc recommandées à tous les développeurs concernés.

Si Microsoft concentre l’attention par le volume de ses correctifs, la plus forte alerte de sécurité de ce début d’été concerne la quatrième vulnérabilité Zero Day de l’année pour Google Chrome. Signalée sous la référence CVE-2025-6554, cette faille a été corrigée dans le build 138.9.7204.96/.97 pour Windows, 138.0.7204.92/.93 pour Mac et 138.0.7204.92 pour Linux. La publication du correctif le 30 juin 2025 précède de quelques jours le Patch Tuesday, mais son importance est majeure, dans la mesure où elle a déjà été exploitée activement. Microsoft Edge, navigateur basé sur le même moteur Chromium, bénéficie également de cette correction.

La diffusion du correctif étant en cours sur l’ensemble des plateformes, la priorité de sécurité numéro un ce mois-ci, selon la méthodologie de priorisation basée sur les risques, est d’assurer le déploiement effectif des mises à jour Chrome et Edge sur tous les postes de travail. « Les administrateurs doivent vérifier que la dernière version de Chrome et Edge est bien déployée pour contrer l’exploitation Zero Day CVE-2025-6554 », précise le communiqué officiel de Google.

Vulnérabilités tierces et recommandations

Les vulnérabilités tierces restent donc le point de vigilance principal en juillet 2025, bien que la volumétrie côté Microsoft soit importante. Les administrateurs système sont invités à maintenir un niveau de patching élevé sur l’ensemble des solutions Microsoft et Google, notamment dans les environnements d’entreprise. Les correctifs de juillet 2025 ne comportent toutefois pas, selon les publications officielles, de risque de sécurité significatif non corrigé ou d’incident majeur en cours. La priorité reste le déploiement rapide des correctifs disponibles.

Les recommandations générales pour limiter l’exposition aux vulnérabilités, comme la restriction des accès réseaux, la désactivation des fonctions inutilisées et l’application rapide des correctifs, demeurent d’actualité. Il convient également de s’assurer que la mise à jour de l’OS Windows Server est appliquée, particulièrement pour les organisations qui auraient désinstallé la mise à jour de juin à cause des problèmes DHCP.

cyberattaque, Cybersécurité, Entreprise

Cybercriminalité en 2024 : Les vrais chiffres de la France sous surveillance

Alors que les projecteurs mondiaux étaient braqués sur la France pour les Jeux Olympiques et Paralympiques 2024, beaucoup redoutaient une vague de cyberattaques sans précédent. Pourtant, derrière les chiffres officiels, la réalité s’avère bien plus nuancée. Loin des effets d’annonce, la cyberdélinquance en France dessine une cartographie complexe, où la vigilance institutionnelle côtoie les arnaques numériques du quotidien, et où l’évolution des comportements cybercriminels suit sa propre logique, loin des prédictions alarmistes.

L’année olympique n’a pas déclenché de tsunami cyber : radiographie d’une menace maîtrisée

En 2024, la France s’attendait à une avalanche d’incidents informatiques, alimentée par la visibilité mondiale des Jeux Olympiques et Paralympiques. Mais, au grand dam des catastrophistes, la vague n’a pas eu lieu. Les services de police et de gendarmerie, sur le pont, ont observé une stabilité inattendue du nombre d’infractions liées au numérique, alors même que l’Hexagone était sous les feux de la rampe.

Ce calme relatif cache toutefois une réalité plus subtile : la cybercriminalité ne connaît pas de pause, elle mute. Les chiffres officiels, consolidés par le Service Statistique Ministériel de la Sécurité Intérieure (SSMSI), montrent que le volume total des infractions numériques a progressé de 2 % en 2024 par rapport à l’année précédente. Cette hausse, loin d’un raz-de-marée, s’inscrit dans une tendance de fond : le numérique façonne désormais toutes les facettes de la délinquance.

Dans ce paysage, la création de la plateforme Thésée, dédiée au dépôt en ligne de plaintes pour e-escroqueries, a bouleversé les usages. Près de 51 000 plaintes y ont été enregistrées, soit plus d’un cinquième des atteintes numériques aux biens recensées par les forces de l’ordre. Si le volume global d’atteintes numériques aux biens recule légèrement (-1 %), cette évolution masque des dynamiques inversées : la forte baisse des infractions déclarées via Thésée (-19 %) n’est que partiellement compensée par une hausse des signalements hors plateforme (+6 %).

La conclusion s’impose : le numérique n’a pas provoqué d’explosion, mais il a façonné les modalités mêmes de la criminalité. Loin des fantasmes, la cybersécurité institutionnelle française a tenu bon, mais la vigilance reste de mise, car la délinquance numérique s’adapte et évolue, souvent à bas bruit.

En 2024, 348 000 infractions numériques ont été enregistrées en France, soit une hausse de 2 % par rapport à 2023, confirmant une progression constante, mais loin de l’explosion attendue durant les JO.

Victimes, profils et genres : la cybercriminalité cible différemment

Derrière chaque statistique, une histoire. En 2024, les femmes ont payé un lourd tribut aux atteintes numériques à la personne. Deux tiers des victimes sont de sexe féminin, une surreprésentation flagrante qui interroge sur la nature de la violence numérique : harcèlement, injures, menaces ou encore discriminations prolifèrent en ligne, bien au-delà des frontières physiques.

Les femmes de 18 à 44 ans incarnent à elles seules près de la moitié des victimes majeures de ces délits, alors qu’elles ne représentent qu’un cinquième de la population adulte française. Cette surexposition ne s’explique ni par un taux d’équipement informatique supérieur, ni par une différence d’accès à Internet, mais bien par une réalité sociale et numérique qui démultiplie la vulnérabilité dans l’espace digital.

Du côté des atteintes numériques aux biens — essentiellement des escroqueries et fraudes financières en ligne —, le clivage de genre s’estompe. Hommes et femmes sont concernés à parts quasi égales, avec une légère surreprésentation des hommes de plus de 45 ans. Les mineurs ne sont pas en reste : les victimes d’atteintes numériques à la personne sont très majoritairement des filles de moins de 15 ans, tandis que les garçons de plus de 15 ans dominent dans la catégorie des infractions financières.

L’analyse du profil des personnes mises en cause complète ce panorama : sur les 60 000 individus impliqués dans une infraction numérique en 2024, plus de huit sur dix sont majeurs. Les atteintes à la personne constituent désormais la majorité des dossiers traités (62 %), signe d’une dématérialisation croissante des violences. Sur la décennie écoulée, le nombre de personnes mises en cause a bondi de 75 %, même si la croissance ralentit en 2024. Un détail frappant, pourtant : les atteintes aux institutions et celles touchant aux législations spécifiques (RGPD, loi Hadopi, etc.) représentent une infime part des infractions, mais leur hausse reste spectaculaire en 2024 (+42 % pour ces dernières).

La cybercriminalité n’est donc pas qu’une affaire de chiffres : elle touche différemment selon l’âge, le genre, le statut social, et démontre chaque année sa capacité à contourner les réponses institutionnelles et à s’installer dans tous les recoins de la vie connectée.

En 2024, 66 % des victimes majeures d’atteintes numériques à la personne étaient des femmes, révélant la dimension profondément genrée de la violence numérique en France.

L’évolution des techniques et des profils : du hacking à la délinquance du quotidien

Le paysage cybercriminel français n’a plus grand-chose à voir avec les mythes des années 2000, où le “hacker de génie” était l’unique menace. Désormais, la majorité des infractions enregistrées s’inscrit dans un continuum qui va de l’escroquerie en ligne de masse jusqu’aux atteintes techniques complexes, comme l’intrusion dans les systèmes automatisés de traitement de données (ASTAD).

En 2024, 17 100 atteintes ASTAD ont été recensées, en léger recul, mais ces attaques constituent toujours le noyau dur de la criminalité numérique : sabotages, intrusions, paralysies de réseaux… Ces actes sont à la fois les plus difficiles à mener pour les criminels et les plus complexes à investiguer pour les services de sécurité. Paradoxalement, c’est dans les “petites” infractions du quotidien que l’ampleur du phénomène se mesure le mieux. Les escroqueries et fraudes profitent d’une automatisation croissante des attaques : phishing industrialisé, usurpations d’identité, arnaques à la fausse location ou au faux support technique.

Les chiffres du SSMSI montrent aussi une montée en puissance de la délinquance numérique “banalisée”, dont les auteurs ne sont pas des cyberpirates chevronnés mais de simples opportunistes profitant de failles humaines et techniques. Plus inquiétant encore, la criminalité numérique touche aussi les institutions publiques, avec une augmentation continue des attaques contre les collectivités, les administrations et les entreprises stratégiques.

Dans ce contexte, la plateforme Thésée représente une innovation majeure, tant pour le signalement que pour le dépôt de plaintes. Ce nouvel outil contribue à mieux documenter la réalité cybercriminelle, même s’il révèle aussi le retard de certaines victimes dans la prise de conscience et la dénonciation des faits.

Si la France a su résister à la tempête annoncée en 2024, c’est sans doute grâce à une alliance de facteurs : montée en compétence des équipes cyber, structuration des dispositifs de réponse et, surtout, capacité à s’adapter en continu aux mutations de la menace. La vigilance, quant à elle, reste une affaire collective, car chaque usager, chaque institution, chaque entreprise demeure une cible potentielle dans un univers numérique sans frontière.