Archives mensuelles : mars 2026

Cybersécurité, Espionnage Spy, Justice

Ancien pilote américain accusé d’avoir formé l’armée chinoise

Un ancien officier décoré de l’US Air Force est accusé aux États-Unis d’avoir préparé une formation militaire pour des pilotes chinois, avec l’appui d’un pirate informatique lié à des opérations d’espionnage industriel.

Les autorités américaines ont arrêté Gerald Eddie Brown, ancien major de l’US Air Force, soupçonné d’avoir conspiré avec un pirate informatique chinois pour former des pilotes de chasse de l’Armée populaire de libération. L’enquête révèle un projet structuré visant à transférer un savoir-faire militaire sensible vers la Chine. Le dossier implique Stephen Su Bin, déjà condamné pour avoir piraté des entreprises de défense américaines et dérobé des données classifiées sur des programmes militaires. L’affaire illustre les stratégies d’acquisition technologique de Pékin, mêlant cyberespionnage, recrutement d’experts occidentaux et exploitation d’anciens militaires disposant d’une expertise critique.

Un ancien pilote au cœur d’un projet de formation militaire

Les procureurs fédéraux américains accusent Gerald Eddie Brown, 65 ans, d’avoir participé à un projet destiné à transmettre des compétences militaires sensibles à la Chine. L’ancien officier a été arrêté jeudi à Jeffersonville, dans l’Indiana, après plusieurs années passées en Chine où il aurait fourni une formation aéronautique à des pilotes militaires.

Les documents judiciaires indiquent que Brown a servi plus de vingt ans dans l’US Air Force. Après avoir quitté l’armée en 1996 avec le grade de major, il a poursuivi sa carrière dans l’aviation civile comme pilote de fret. Il a également occupé des fonctions dans deux entreprises américaines liées au secteur de la défense.

Selon l’acte d’accusation, il aurait commencé en 2023 des discussions visant à former des pilotes de la Force aérienne de l’Armée populaire de libération, la PLAAF. Les autorités américaines estiment que cette activité relevait d’un transfert d’expertise militaire sensible vers une puissance étrangère.

Le projet prévoyait notamment la transmission de compétences liées au combat aérien et aux opérations militaires. Brown aurait exprimé clairement son intention de former des pilotes chinois à ces techniques.

En décembre 2023, il se rend en Chine. Sur place, il rencontre des responsables chinois et leur présente son parcours professionnel. Les enquêteurs affirment qu’il est resté dans le pays près de trois ans avant de revenir aux États-Unis ce mois-ci, moment choisi par les autorités pour procéder à son arrestation.

Une affaire liée à un pirate impliqué dans l’espionnage industriel

L’enquête américaine souligne un élément central du dossier. Le contrat de formation aurait été négocié avec l’aide d’un complice de Stephen Su Bin, ressortissant chinois déjà condamné pour cyberespionnage.

Su Bin dirigeait une société de technologies aéronautiques installée au Canada. Entre 2008 et 2014, il est accusé d’avoir mené des intrusions informatiques contre plusieurs entreprises de défense américaines. Les autorités américaines affirment que ces opérations visaient à récupérer des informations sensibles pour le gouvernement chinois.

En 2016, Su Bin a reconnu avoir piraté un sous-traitant militaire américain. L’enquête a établi qu’il avait dérobé des données militaires sensibles et des informations soumises aux règles américaines de contrôle des exportations.

Un épisode particulièrement documenté concerne l’avion de transport militaire C-17. Le pirate informatique avait pénétré les serveurs de Boeing pour accéder à des fichiers techniques relatifs à cet appareil. Les documents récupérés avaient ensuite été transmis par courrier électronique à des responsables chinois.

Pour ces faits, Su Bin a été condamné à quatre ans de prison et son entreprise a été sanctionnée.

Les procureurs affirment que Brown a collaboré avec ce réseau afin de finaliser l’accord de formation. Selon l’accusation, l’ancien officier n’avait pas obtenu l’autorisation obligatoire du Département d’État pour fournir une expertise militaire à une armée étrangère.

Cette obligation relève de la réglementation américaine sur le trafic international d’armes, connue sous le nom d’International Traffic in Arms Regulations, ou ITAR. Elle encadre strictement l’exportation de technologies et de connaissances militaires.

Les responsables du FBI et du ministère de la Justice présentent l’affaire comme un exemple de stratégie chinoise visant à exploiter l’expertise occidentale.

Roman Rozhavsky, directeur adjoint de la division de contre-espionnage du FBI, estime que Brown « a trahi son pays en formant des pilotes chinois à combattre ceux qu’il avait juré de protéger ».

John Eisenberg, procureur général adjoint chargé de la sécurité nationale, souligne que la formation d’une armée étrangère par un citoyen américain reste illégale sans licence officielle délivrée par le Département d’État.

L’affaire illustre la convergence entre cyberespionnage, recrutement d’experts militaires et transferts de compétences stratégiques dans la compétition technologique entre Washington et Pékin.

Dans le domaine du renseignement, ces dossiers démontrent comment la Chine combine piratage informatique et captation de savoir-faire humain pour accélérer la modernisation de ses forces armées.

Cybersécurité

Prince Group : 62 inculpations dans une vaste fraude en ligne

À Taïwan, la justice frappe un réseau international lié au groupe Prince. Les procureurs accusent l’organisation d’avoir orchestré une gigantesque fraude numérique et un système de blanchiment à l’échelle mondiale.

Le parquet du district de Taipei a inculpé 62 personnes et 13 entreprises pour leur rôle présumé dans les activités criminelles du groupe Prince, une organisation accusée d’avoir organisé des escroqueries en ligne massives en Asie. Les enquêteurs estiment que ce réseau, lié à des complexes installés au Cambodge, a permis de soutirer des milliards de dollars à des victimes en Occident et en Chine. Les autorités taïwanaises affirment que plus de 339 million $ (312,7 millions d’euros) ont été blanchis via Taïwan. L’affaire illustre l’industrialisation des cyberescroqueries internationales et les circuits financiers complexes utilisés pour dissimuler l’origine des fonds.

Un réseau mondial d’escroqueries et de blanchiment

Le parquet du district de Taipei a annoncé l’inculpation de 62 individus ainsi que de 13 sociétés pour leur implication présumée dans un vaste système d’escroquerie en ligne lié au groupe Prince. L’enquête, ouverte en octobre dernier, fait suite à des poursuites engagées aux États-Unis contre Chen Zhi, fondateur du groupe, pour blanchiment d’argent.

Selon les procureurs taïwanais, l’organisation aurait exploité des centaines de complexes au Cambodge. Ces installations servaient de centres d’escroquerie numérique où des travailleurs, souvent victimes de trafic d’êtres humains, étaient contraints de mener des opérations frauduleuses à grande échelle. Les escroqueries visaient principalement des victimes aux États-Unis, en Europe et en Chine.

Chen Zhi a été arrêté au Cambodge plus tôt dans l’année avant d’être extradé vers la Chine. Les autorités taïwanaises ont toutefois poursuivi leur propre enquête sur les activités financières du réseau sur leur territoire.

Les investigations indiquent que des acteurs liés au groupe Prince ont blanchi au moins 339 million $ (312,7 millions d’euros) à Taïwan. Les fonds auraient ensuite servi à acquérir des biens de grande valeur. Les procureurs évoquent l’achat de 24 propriétés, de 35 véhicules et d’autres actifs estimés à environ 1,7 million $. Au total, les autorités taïwanaises ont saisi environ 174 million $ (160,5 millions d’euros) en espèces et en biens.

Les enquêteurs décrivent une structure financière particulièrement complexe. D’après le parquet, le groupe Prince contrôlait près de 250 sociétés offshore réparties dans 18 pays. Ces entités détenaient 453 comptes financiers nationaux et internationaux. Des contrats commerciaux fictifs entre ces sociétés auraient permis de dissimuler les flux financiers et de recycler l’argent issu des escroqueries via différents circuits de change.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Cyberescroquerie industrielle et coopération internationale

L’enquête menée par les autorités taïwanaises a conduit à plusieurs arrestations et mises en détention. Neuf personnes considérées comme des figures importantes du réseau ont été placées en détention. Soixante-treize autres suspects ont été libérés sous caution après plusieurs mois d’investigation.

Parmi les personnes inculpées figurent Chen Zhi ainsi que plusieurs collaborateurs soupçonnés d’avoir enfreint la législation taïwanaise sur le crime organisé, le blanchiment d’argent et diverses infractions financières. Les suspects détenus incluent des ressortissants cambodgiens ainsi que des individus originaires de Singapour, de Chine, de Malaisie et d’autres pays.

Les autorités américaines avaient déjà accusé le groupe Prince de tirer profit d’activités criminelles variées. Selon le département du Trésor des États-Unis, l’organisation aurait bénéficié de jeux d’argent illégaux en ligne, d’extorsion sexuelle et de blanchiment d’argent. Les enquêteurs évoquent également des opérations impliquant trafic d’êtres humains, torture et exploitation de travailleurs contraints d’opérer des réseaux d’escroquerie.

Les activités liées à Taïwan remonteraient à 2016. Les procureurs affirment que Chen Zhi avait chargé deux collaborateurs, Wang Tang et Zhang Yao, de gérer depuis Taipei plusieurs opérations de jeux clandestins et de blanchiment. L’enquête a révélé un vaste réseau de sociétés écrans et de comptes bancaires dans différentes juridictions, notamment les îles Marshall, les Seychelles, l’île de Man, le Japon et la Thaïlande.

Les suspects auraient également tenté de dissimuler leurs gains illicites en investissant dans des biens de luxe, notamment des maisons haut de gamme, des voitures prestigieuses et des articles de luxe.

Dans certains cas considérés comme mineurs, 24 personnes poursuivies pour infractions liées aux jeux d’argent ont reconnu les faits. Les procureurs ont suspendu les poursuites après leurs aveux et l’expression de remords.

Au niveau international, plusieurs mesures ont déjà visé l’organisation. Les autorités américaines et britanniques ont imposé des sanctions au groupe Prince. Le département de la Justice des États-Unis affirme avoir saisi environ 15 milliard $ (13,8 milliards d’euros) en bitcoins sur des comptes associés à Chen Zhi.

Les escroqueries orchestrées par ce réseau reposaient sur différentes méthodes, notamment les arnaques sentimentales et les fraudes financières. Ces opérations auraient généré des milliards de dollars en ciblant principalement des victimes occidentales.

L’ampleur de ces activités a provoqué une forte pression internationale sur le Cambodge, accusé d’abriter de nombreux complexes de cyberescroquerie. Après l’arrestation de Chen Zhi, plusieurs installations ont été désertées dans un climat chaotique. Des victimes de trafic d’êtres humains et des travailleurs contraints ont quitté ces sites et se sont rendus dans des ambassades pour demander assistance.

Cette affaire met en lumière la dimension industrielle des escroqueries numériques transnationales et la nécessité d’une coopération renforcée entre services de renseignement financier et unités de cybercriminalité.

Cybersécurité, Justice, Securite informatique

Phobos : le développeur clé plaide coupable aux États-Unis

Un développeur russe lié au ransomware Phobos reconnaît sa responsabilité devant la justice américaine. L’affaire révèle l’organisation interne d’un réseau criminel actif depuis plusieurs années.

Un ressortissant russe de 43 ans a plaidé coupable aux États-Unis pour son rôle central dans le ransomware Phobos. Considéré comme l’un des principaux développeurs de cette plateforme criminelle, Evgenii Ptitsyn risque jusqu’à 20 ans de prison. Les enquêteurs estiment que Phobos et sa variante 8Base ont extorqué plus de 16 million $ (14,7 millions d’euros) depuis 2019 auprès d’organisations du monde entier. L’affaire met en lumière le modèle industriel du ransomware-as-a-service, dans lequel des développeurs fournissent l’outil à des affiliés chargés de mener les attaques contre des entreprises, des établissements de santé et des institutions publiques.

Un développeur clé du ransomware Phobos face à la justice

L’un des cerveaux techniques associés au ransomware Phobos a reconnu sa culpabilité devant la justice américaine. Evgenii Ptitsyn, citoyen russe âgé de 43 ans, a admis des faits de fraude électronique mercredi devant un tribunal fédéral. Les procureurs des États-Unis le présentent comme un acteur majeur de ce réseau de cyberextorsion.

Selon l’acte d’accusation, Ptitsyn a contribué au fonctionnement du ransomware à partir de novembre 2020. Le logiciel malveillant a ensuite été utilisé pour viser plus de 1 000 organisations à travers le monde. L’enquête judiciaire décrit un dispositif structuré, mêlant développement technique, diffusion sur des forums criminels et exploitation d’un site sur le darknet destiné à exposer ou vendre les données volées.

L’homme a été arrêté en Corée du Sud avant d’être remis aux autorités américaines en novembre 2024. Sa condamnation doit être prononcée le 15 juillet. La peine maximale encourue atteint 20 ans de prison.

Les procureurs affirment que Ptitsyn occupait une position centrale dans l’écosystème Phobos. Il développait et maintenait le ransomware, puis le distribuait à des affiliés du réseau. Ces partenaires menaient les intrusions informatiques, chiffraient les systèmes des victimes et exigeaient ensuite une rançon. Une commission revenait aux opérateurs techniques pour chaque paiement obtenu.

Les investigations ont également relié Ptitsyn à plusieurs attaques précises. Parmi elles figure une intrusion contre un système scolaire public en Californie. L’établissement a payé une rançon de 300 000 $ (276 500 euros) en 2023 pour récupérer l’accès à ses données. D’autres opérations ont visé des organisations du secteur médical ainsi que plusieurs entreprises.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Un réseau international démantelé progressivement

Les poursuites contre Ptitsyn s’inscrivent dans une série d’actions menées contre les groupes liés au ransomware Phobos et à sa variante 8Base. Les autorités américaines estiment que ces réseaux ont extorqué plus de 16 million $ (14,7 millions d’euros) depuis 2019.

Au cours des deux dernières années, plusieurs membres ou associés ont été arrêtés dans différentes juridictions. Un administrateur de Phobos a été interpellé en Corée du Sud en juin 2024 avant d’être extradé vers les États-Unis. En 2023, un autre acteur important a été arrêté en Italie sur la base d’un mandat d’arrêt français.

Plus récemment, une opération internationale coordonnée a visé le groupe 8Base, considéré comme un utilisateur majeur de l’infrastructure Phobos. Quatre individus soupçonnés de diriger cette organisation ont été arrêtés. Les enquêteurs les accusent d’avoir exploité une variante du ransomware pour extorquer des victimes en Europe et dans d’autres régions.

Cette opération a également conduit au démantèlement de 27 serveurs liés au réseau criminel. Les services de police ont pu prévenir plus de 400 entreprises d’attaques de ransomware en cours ou imminentes.

L’enquête a mobilisé les forces de l’ordre de 14 pays, avec le soutien d’Europol et d’Eurojust. Le Centre européen de lutte contre la cybercriminalité d’Europol a assuré un rôle de coordination entre les différentes investigations. Les analystes ont notamment partagé des renseignements, réalisé des analyses techniques et facilité les échanges entre les équipes nationales.

Près de 600 messages opérationnels ont été échangés via le réseau sécurisé SIENA, tandis que 37 réunions opérationnelles et sprints techniques ont été organisés pour faire progresser les investigations.

Repéré pour la première fois en décembre 2018, Phobos constitue l’un des ransomwares les plus persistants du paysage cybercriminel. Son succès repose sur un modèle de ransomware-as-a-service qui permet à de nombreux acteurs, même peu expérimentés, de lancer leurs propres campagnes d’extorsion.

Les services de renseignement spécialisés dans la cybersécurité considèrent aujourd’hui Phobos et 8Base parmi les groupes de ransomware les plus actifs en 2024.

L’affaire Ptitsyn illustre la stratégie des autorités consistant à cibler les développeurs et les infrastructures techniques afin d’affaiblir durablement les réseaux de cyberextorsion.

La traque judiciaire et technique des opérateurs de ransomware reste désormais un enjeu central pour le renseignement cyber international.

Cybersécurité, Justice, loi

Cyberfraude : Washington prépare un fonds pour les victimes

La Maison Blanche veut répondre à l’explosion mondiale des escroqueries numériques. Un décret présidentiel prévoit indemnisation des victimes et offensive coordonnée contre les réseaux criminels transnationaux.

La cyberfraude représente désormais une menace économique majeure pour les États-Unis. Chaque année, des escroqueries en ligne dérobent des milliards de dollars aux particuliers américains. Face à cette situation, l’administration Trump a publié un décret présidentiel ordonnant une réponse coordonnée de l’ensemble du gouvernement. Objectif affiché : démanteler les organisations criminelles transnationales à l’origine de ces arnaques et créer un mécanisme d’indemnisation pour les victimes. Le texte prévoit la mobilisation de plusieurs ministères, l’exploitation des capacités du secteur privé de cybersécurité et une pression diplomatique accrue contre les États accusés d’héberger ou de tolérer ces réseaux.

Un plan fédéral contre l’économie mondiale de la cyberfraude

Le décret présidentiel publié vendredi fixe un calendrier précis à plusieurs agences fédérales. Elles disposent de 120 jours pour produire un plan d’action détaillant les mesures destinées à prévenir, perturber, enquêter et démanteler les organisations criminelles transnationales impliquées dans la cybercriminalité.

Ce plan doit notamment viser les réseaux opérant des centres d’escroquerie, souvent situés hors du territoire américain. Ces structures sont spécialisées dans les arnaques financières numériques, allant de faux investissements à des escroqueries sentimentales. Selon le FBI, ces dispositifs criminels soutirent environ 12,5 milliards $ par an aux citoyens américains, soit environ 11,5 milliards d’euros.

Le décret prévoit également la création d’une cellule opérationnelle au sein du National Coordination Center. Cette unité doit centraliser les efforts fédéraux contre ces organisations criminelles. Elle rassemblera plusieurs administrations : Département d’État, Trésor, Défense, Sécurité intérieure et Justice.

La Maison Blanche souligne que l’objectif consiste à améliorer la circulation du renseignement, la coordination opérationnelle et la rapidité de réaction entre institutions. Le dispositif doit également rester aligné sur les cadres juridiques déjà utilisés par les autorités américaines pour lutter contre les cybermenaces provenant de juridictions étrangères.

Le secteur privé pourrait être mobilisé dans ce dispositif. Les entreprises spécialisées en cybersécurité disposent de capacités techniques et de renseignement sur les menaces qui peuvent aider à attribuer les attaques, suivre les infrastructures criminelles et perturber les opérations des acteurs malveillants.

L’administration américaine considère ces activités comme un phénomène structuré et transnational. Rançongiciels, logiciels malveillants, hameçonnage, chantage sexuel, usurpation d’identité ou fraude financière constituent les principales techniques utilisées par ces groupes.

Washington estime que certains régimes étrangers offrent un soutien implicite ou direct à ces réseaux criminels. Selon la Maison Blanche, ces activités alimentent une économie clandestine mêlant fraude numérique, coercition, travail forcé et parfois traite d’êtres humains.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Vers un mécanisme d’indemnisation des victimes

Le décret introduit également un élément inédit dans la stratégie américaine contre la cybercriminalité : un programme d’indemnisation des victimes.

Dans un délai de 90 jours, l’administration devra définir un mécanisme permettant de restituer aux victimes une partie des fonds récupérés lors des opérations judiciaires. Les montants proviendront d’actifs saisis, confisqués ou récupérés auprès des organisations criminelles responsables de ces escroqueries numériques.

Cette approche repose sur un constat simple. Les autorités américaines récupèrent régulièrement des sommes importantes lors d’enquêtes internationales, mais les modalités de redistribution restent souvent floues pour les victimes.

La semaine précédant l’annonce, les autorités ont saisi plus de 2 millions $ (1,84 million d’euros) auprès d’escrocs égyptiens. L’année précédente, le ministère de la Justice avait également annoncé la saisie d’environ 15 milliards $ en bitcoins, soit près de 13,8 milliards d’euros, sur des comptes liés selon l’accusation au dirigeant d’un conglomérat cambodgien suspecté d’avoir dirigé un vaste empire d’escroquerie.

Nicole Tisdale, ancienne responsable du Conseil de sécurité nationale à la Maison Blanche, estime que le décret marque un changement stratégique. Elle souligne que la cybercriminalité ignore les frontières juridiques alors que les réponses institutionnelles restent souvent fragmentées.

Selon elle, le texte impose explicitement une coordination de l’ensemble de l’appareil fédéral autour d’un objectif commun : protéger les victimes et renforcer la réponse opérationnelle.

Le décret prévoit également des mesures de pression diplomatique contre les pays accusés d’abriter ces réseaux criminels. Les outils envisagés incluent la réduction de l’aide étrangère, l’application de sanctions ciblées, des restrictions de visas ou encore des sanctions commerciales. Le texte mentionne aussi l’expulsion immédiate de responsables ou diplomates étrangers considérés comme complices.

Le directeur national de la cybersécurité, Sean Cairncross, a expliqué que la publication du décret coïncidait volontairement avec la nouvelle stratégie nationale de cybersécurité. L’objectif consiste à mobiliser l’ensemble des instruments de puissance américains, y compris la diplomatie.

Le Département d’État devra ainsi développer une stratégie diplomatique pour pousser les gouvernements étrangers à agir contre les centres d’escroquerie présents sur leur territoire.

Dans cette logique, le ministère de la Justice prévoit d’augmenter les arrestations et les procédures d’extradition visant les responsables de ces réseaux criminels.

L’enjeu dépasse la simple cyberdéfense. Pour Washington, il s’agit désormais de s’attaquer à une industrie criminelle mondialisée dont l’infrastructure numérique constitue l’un des piliers.

La bataille contre la cyberfraude devient ainsi un dossier mêlant renseignement, diplomatie et guerre économique numérique.

backdoor, Cybersécurité, Espionnage Spy, Securite informatique, Smartphone, Social engineering

Nouveau malware Android vole les codes SMS bancaires

Un nouveau cheval de Troie Android circule via messageries sous forme d’une fausse galerie photo. L’application malveillante intercepte les SMS, notamment les codes d’authentification bancaire, afin de faciliter des fraudes financières.

Un fichier APK récemment identifié par des spécialistes en cybersécurité révèle une nouvelle évolution de la famille de malwares Pulsar SMS Stealer. Diffusée sous le nom trompeur Photos_2920, cette application Android se présente comme une simple galerie d’images. En réalité, elle agit comme un outil d’espionnage capable d’intercepter les messages SMS de l’utilisateur. Les chercheurs indiquent qu’au 10 mars 2026, ce programme malveillant échappe encore aux détections antivirus connues. La diffusion repose sur l’ingénierie sociale via des messageries mobiles. L’objectif consiste à récupérer les codes OTP et 2FA utilisés pour sécuriser l’accès aux comptes bancaires et services en ligne.

Une galerie photo qui espionne les SMS

Les attaquants envoient directement le fichier APK aux victimes par messagerie. La méthode exploite un réflexe courant : ouvrir une image reçue d’un contact ou d’un interlocuteur inconnu. Une fois installé, le logiciel malveillant adopte l’apparence d’une galerie photo anodine.

En arrière-plan, l’application réclame une série d’autorisations sensibles. Ces droits lui permettent d’intercepter, lire, envoyer et supprimer des SMS. Le programme accède également à plusieurs identifiants de l’appareil, dont l’IMEI, le numéro de téléphone et les informations de l’opérateur mobile.

Les analyses montrent aussi que le malware récupère les numéros associés aux deux cartes SIM lorsque l’appareil en possède deux. Il peut démarrer automatiquement après redémarrage du téléphone et rester actif en continu. L’ensemble des messages SMS stockés sur l’appareil est ensuite transmis vers un serveur de commande et de contrôle, souvent abrégé C2.

Ce type d’attaque mobile inquiète les spécialistes depuis plusieurs années. Les codes à usage unique envoyés par SMS servent fréquemment à valider des opérations bancaires ou à confirmer une connexion. Lorsqu’un cybercriminel intercepte ces messages, il peut contourner une grande partie des protections de sécurité.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Une architecture technique sophistiquée

Les chercheurs d’Advanced Monitoring ont examiné l’échantillon malveillant et identifié une architecture en plusieurs étapes. Le fichier classes.dex externe agit comme un chargeur fortement obfusqué. Son rôle consiste à extraire une charge utile DEX dissimulée dans le répertoire assets sous le nom NwyavbTt.csz.

Ce module est ensuite chargé dynamiquement grâce à une injection ClassLoader. Cette technique complique l’analyse par les outils de sécurité et retarde la détection automatique.

La seconde étape active la logique principale du malware. Elle gère la communication avec le serveur C2, l’interception des SMS et l’identification détaillée de l’appareil infecté. Des mécanismes de persistance assurent le maintien du logiciel sur le téléphone même après un redémarrage.

Les documents techniques publiés décrivent également un masquage important du trafic réseau. Les paquets de communication, appelés pulsations, transmettent régulièrement au serveur l’état complet de l’appareil compromis. Les informations incluent l’état de l’écran, le niveau de batterie, les autorisations SMS accordées et la configuration du mode Doze d’Android, qui limite l’activité en arrière-plan.

Une configuration initiale permet de récupérer des paramètres supplémentaires depuis un point de terminaison identifié sous la forme /m/{build_id}. Les données renvoyées adoptent une structure de type PEM et sont chiffrées avec l’algorithme AES-256-GCM.

Alexander Rudzik, spécialiste principal de la recherche sur les cybermenaces chez Perspektivny Monitoring, explique que dissimuler des malwares dans des applications liées aux médias devient une stratégie courante. Selon lui, une approche comparable existait déjà dans la famille Mamont. L’échantillon actuel présente toutefois des caractéristiques techniques inédites.

Les chercheurs signalent que l’obfuscation multi-étapes et le camouflage avancé du trafic rendent l’analyse particulièrement complexe. L’absence de ce fichier sur les plateformes publiques de partage de malwares suggère également que la campagne reste à un stade précoce. Les premiers indices indiquent un ciblage d’utilisateurs situés en Russie.

Pour les analystes du renseignement cyber, ce type d’attaque illustre une tendance durable : les opérations financières frauduleuses s’appuient désormais sur l’exploitation directe des mécanismes d’authentification mobile.

Cybersécurité, Espionnage Spy, IA

Le Parlement européen coupe l’IA des tablettes des élus

Le Parlement européen a désactivé des fonctions d’IA sur les tablettes des députés, faute de garanties sur les données envoyées vers des serveurs d’IA. En toile de fond, la fuite NSW illustre le risque d’usage.

Selon un mail consulté par Politico, l’informatique du Parlement européen avertit que la sécurité des données téléversées vers des serveurs d’IA, comme ceux utilisés par ChatGPT, ne peut pas être garantie. Lundi 16 février, les élus ont été informés que des « fonctions d’intelligence artificielle intégrées » avaient été désactivées sur les tablettes professionnelles. L’équipe IT explique que certaines options s’appuient sur des services cloud et envoient des données hors de l’appareil, alors que des traitements pourraient être réalisés localement.

Pourquoi l’IA intégrée inquiète l’IT du Parlement

Le message interne rapporté par Politico repose sur un constat simple, dès qu’une fonction « intelligente » s’appuie sur le cloud, une partie du contrôle s’éloigne. Le service informatique du Parlement européen prévient que la protection de toute donnée envoyée vers des serveurs d’IA, « such as those used by ChatGPT », ne peut pas être assurée. Il ajoute surtout que la cartographie exacte des flux, autrement dit ce qui part, quand, et vers qui, reste en cours de consolidation.

Cette incertitude déclenche une décision de précaution. Lundi 16 février 2026, les membres de la chambre ont été informés que des « built-in artificial intelligence features » avaient été désactivées sur les tablettes d’entreprise. L’argumentaire technique vise des fonctions qui, selon l’équipe IT, utilisent des services cloud pour exécuter des tâches qui pourraient être traitées localement, et donc envoient des données hors de l’appareil. Au fil des mises à jour, ces fonctionnalités se diffusent et se complexifient, ce qui rend l’évaluation des partages de données plus difficile. Tant que le périmètre n’est pas « fully clarified », la consigne est de les maintenir inactives.

Un responsable de l’UE, cité dans le récit, précise la nature des outils concernés, assistants de rédaction, systèmes de synthèse, résumeurs de pages web, et assistants virtuels renforcés. Le détail est important, car il ne s’agit pas d’une interdiction générale de logiciels, mais d’un gel ciblé des automatismes capables d’aspirer du texte, des pièces jointes, des contenus web ou des extraits de documents, puis de les transmettre à un prestataire. À l’inverse, les applications de base, e-mail, calendriers, documents, et autres outils quotidiens, ne sont pas affectées.

Ce choix s’accompagne d’une communication maîtrisée, voire frustrante. Interrogée par Politico, l’UE refuse de préciser quelles fonctions exactes ont été coupées ou quel système fait tourner les appareils. Le Parlement européen répond qu’il « constantly monitor[s] cyber security threats » et déploie rapidement les mesures nécessaires, tout en jugeant que leur nature est sensible et ne peut pas être détaillée. Ce silence, classique en sécurité, alimente toutefois un autre risque, laisser les utilisateurs deviner, contourner, ou substituer des outils, parfois moins contrôlés.

Le vrai danger, l’exfiltration par usage banal

L’épisode met en lumière un déplacement de la menace. L’IA élargit la surface d’attaque, non seulement via des vulnérabilités techniques, mais aussi par la facilité des erreurs, un copier-coller, un document glissé dans un champ de chat, une synthèse automatique lancée sur un texte interne. Ce n’est pas la sophistication qui rend l’incident probable, c’est la banalité du geste.

L’exemple fourni par l’Australie, survenu fin 2025 selon le récit, cristallise cette logique. La NSW Reconstruction Authority (RA), agence en charge de réduire l’impact des catastrophes naturelles, a annoncé être au courant d’une « data breach » touchant des milliers de personnes ayant candidaté au Northern Rivers Resilient Homes Program (RHP), un dispositif d’aide financière destiné à renforcer la résistance des habitations aux inondations. Le gouvernement de Nouvelle-Galles du Sud explique que la faille provient d’un ancien contractuel, qui a téléversé des données personnelles dans un outil d’IA non sécurisé et non autorisé par le département.

Les autorités ajoutent qu’il n’existe « no evidence » de publication des informations. Le communiqué précise un fait brut, le contractuel aurait copié 10 colonnes et plus de 12 000 lignes d’un tableur Microsoft Excel dans ChatGPT. Sur la base d’une « early forensic analysis », jusqu’à 3 000 personnes pourraient être concernées. Les données exposées incluent noms, adresses, e-mails, numéros de téléphone, ainsi que des informations personnelles et de santé.

La comparaison n’est pas un parallèle technique, mais un parallèle comportemental. Dans les deux cas, la question centrale est le contrôle des flux, ce qui quitte le terminal, ce qui est conservé côté prestataire, et qui peut y accéder. La décision du Parlement européen, désactiver tant que l’évaluation n’est pas achevée, vise précisément à éviter qu’un outil « intégré » banalise l’externalisation de fragments sensibles, au nom du confort.

À mesure que l’IA s’invite partout, la fuite la plus probable n’est plus un piratage, mais un téléversement ordinaire devenu irréversible.

Cybersécurité, Securite informatique

Nouvelle-Galles du Sud arme ses seniors contre les arnaques

En Nouvelle-Galles du Sud, l’État lance un accompagnement en présentiel pour aider les seniors à mieux se défendre contre les escroqueries.

Le gouvernement de Nouvelle-Galles du Sud a annoncé un nouveau programme pour sensibiliser les personnes âgées à la sécurité numérique et aux réflexes anti-arnaques. ID Support NSW déploiera un soutien en face à face. Mission, que les seniors soient « à l’aise » en ligne, de la reconnaissance des scams à la gestion des mots de passe. Les autorités relient cette initiative à la stratégie d’inclusion numérique. Les plus de 55 ans ont déclaré 53 million $ de pertes liées aux arnaques en 2025.

Un lancement calé sur le Seniors Festival, et sur l’urgence

Le calendrier n’a rien d’anodin. ID Support NSW a lancé son programme de soutien en face à face lors du NSW Seniors Festival Roadshow, le 2 mars 2026. Derrière cette date, l’État cherche à capter une audience déjà mobilisée par un événement grand public, puis à prolonger l’effet d’entraînement via des sessions en personne organisées ensuite dans l’ensemble de la Nouvelle-Galles du Sud. L’objectif affiché est simple : faire baisser l’exposition des seniors aux fraudes, en renforçant des gestes concrets, au plus près du terrain.

Le ministre des Services aux consommateurs et du Gouvernement numérique, Jihad Dib, pose le cadre politique et psychologique du dispositif. « Nous voulons que les personnes âgées de Nouvelle-Galles du Sud se sentent à l’aise pour naviguer dans le monde numérique », dit-il. La formule vise une réalité trés souvent affiché par DataSecuritybreach.fr : la fraude prospère moins sur l’ignorance que sur l’inconfort, la précipitation et l’isolement face à un écran. Dib détaille la promesse opérationnelle, « qu’il s’agisse de reconnaître une arnaque, de gérer ses mots de passe ou d’accéder à des services essentiels en ligne ».

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

YouTube
WhatsApp
Google News
Autres

S’abonner à la NewsLetter

Le gouvernement espère un impact à l’échelle de tout l’État, avec un bénéfice double, réduire les pertes et restaurer la confiance. En filigrane, l’exécutif assume que l’accès aux services publics, et souvent aux services privés, devient progressivement conditionné à des usages numériques. Dans ce contexte, ne pas accompagner revient à déplacer la vulnérabilité, du guichet vers le smartphone, du papier vers le lien cliquable, et donc vers l’arnaque.

La dimension stratégique est explicitée par Dib, qui inscrit le programme dans une politique plus large : « L’amélioration des compétences numériques est un pilier fondamental de la stratégie d’inclusion numérique du gouvernement de Nouvelle-Galles du Sud, qui vise à réduire la fracture numérique et à renforcer la cybersécurité au sein de la communauté. » Le message est clair, l’inclusion numérique n’est plus seulement sociale, elle devient un enjeu de sécurité collective.

Des chiffres qui pèsent, une cible qui concentre les attaques

Le gouvernement appuie son initiative sur un constat statistique : les Australiens plus âgés affichent des niveaux de littératie numérique plus faibles. Les plus de 75 ans obtiendraient un score inférieur de 32% à la moyenne nationale. Cette donnée, citée pour matérialiser l’écart, éclaire pourquoi les seniors sont souvent ciblés par des mécanismes de manipulation, faux supports techniques, messages anxiogènes, promesses de remboursement, ou urgences fabriquées. Plus l’aisance numérique baisse, plus l’attaquant peut imposer son rythme et son scénario.

Le coût, lui, est donné sans détour. Les personnes de plus de 55 ans ont déclaré des pertes liées à des escroqueries de 53 million $ pour la seule année 2025 (48 760 000 €). Le montant, même présenté comme déclaratif, sert de point d’appui narratif au programme : il ne s’agit plus d’un risque abstrait, mais d’une hémorragie suffisamment visible pour justifier un dispositif dédié.

ZATAZ, qui organise des conférences et ateliers pour les aînés depuis des années insiste sur l’effet amplificateur. Selon lui, organiser ce genre de rendez-vous doit donner à davantage de seniors une chance « d’améliorer leurs connaissances en cybersécurité afin de prévenir d’éventuelles escroqueries ». Là encore, la logique est préventive, et s’appuie sur le présentiel, format souvent plus rassurant pour des publics peu enclins à suivre des modules en ligne.

Enfin, la responsable de la cybersécurité de Nouvelle-Galles du Sud, Marie Patane, ancre le propos dans une dynamique de société, une vie « de plus en plus numérique » où il ne faut « laisser personne de côté ».

Apple, backdoor, Cybersécurité, Entreprise, Espionnage Spy, ID, Identité numérique, ios, Smartphone, Vie privée, VPN

Chantage au faux VPN : comment l’iPhone se retrouve piégé

Une appli VPN gratuite, installée en quelques minutes, puis un message qui tombe comme une menace, payez ou votre iPhone sera bloqué. En coulisses, tout se joue ailleurs, sur l’identifiant Apple.

Une escroquerie prend appui sur des applications VPN gratuites téléchargées depuis l’App Store, avant de basculer en chantage. Les victimes reçoivent un message réclamant un transfert d’argent, souvent autour de 10 000 €, sous peine de rendre l’iPhone inutilable. Un VPN ne peut pourtant pas bloquer un iPhone à distance. Le mécanisme réel vise l’identifiant Apple, récupéré par pression, ou via la manipulation qui pousse l’utilisateur à se connecter à un autre compte. Parfois, l’attaque passe aussi par l’installation d’un profil de gestion d’appareil déguisé. Une fois l’accès obtenu, le mode Perdu est activé via Localiser et le verrouillage d’activation se déclenche.

Ce que le VPN ne peut pas faire, et ce que les escrocs exploitent

Tout commence comme une routine numérique. Une personne télécharge un VPN gratuit « pratique » depuis l’App Store, l’utilise tranquillement, puis reçoit un message qui change l’ambiance : transférez de l’argent ou l’iPhone sera bloqué. La somme exigée vise à couper le souffle, souvent autour de 10 000 €. Le scénario laisse croire à un pouvoir direct de l’application sur le téléphone.

Cette idée est trompeuse. Un VPN ne dispose pas d’un bouton secret capable de rendre un iPhone inutilisable à distance. Il ne peut pas, seul, déclencher un verrouillage système. La bascule se produit ailleurs : dans l’identité numérique attachée à l’appareil. Le point crucial est l’accès au compte Apple, obtenu par compromission ou par une manœuvre qui pousse la victime à se connecter à un autre identifiant dans les réglages.

Le VPN sert alors surtout de prétexte et de mise en scène. Il crédibilise un discours d’assistance improvisée, de « restriction » à lever, de configuration à finaliser. L’attaque ne repose pas sur une magie technique, mais sur une capture d’autorisations, par précipitation et par pression, jusqu’à faire entrer l’utilisateur dans un couloir où il donne lui-même la clé.

La mécanique du chantage : compte Apple, profils iOS, verrouillage

Le schéma le plus fréquent repose sur des messages qui promettent un contournement rapide, puis exigent le mot de passe de l’identifiant Apple au nom d’une « vérification », d’une « activation », d’une « synchronisation » ou d’une « configuration ». L’objectif est simple : prendre le contrôle du compte, pas du VPN. Parfois, les escrocs vont jusqu’à convaincre l’utilisateur de saisir l’identifiant Apple d’une autre personne dans les réglages de l’iPhone. Une fois ce pas franchi, l’appareil est lié à une identité qui n’est plus celle du propriétaire.

Dans d’autres histoires, une étape additionnelle aggrave le risque : l’installation d’un profil de gestion d’appareil. Ce type de profil modifie les règles de sécurité de l’iPhone et donne à l’administrateur le pouvoir d’imposer des politiques, y compris un blocage. Les escrocs le camouflent derrière des intitulés rassurants, « configuration réseau » ou « certificat de service ». Là encore, le ressort n’est pas un tour de passe-passe : c’est une autorisation accordée volontairement, souvent sous contrainte psychologique.

Une fois l’accès au compte Apple acquis, le verrou se referme. Les attaquants activent le mode Perdu via Localiser mon iPhone. Le verrouillage d’activation se déclenche alors : l’appareil exige des identifiants, mais ceux-ci restent entre les mains des escrocs. Côté victime, la sensation est celle d’un blocage soudain et inexplicable, alors que la cause est presque toujours la même : un identifiant Apple compromis, ou un appareil rattaché à un compte qui n’est plus maîtrisé.

La protection tient pourtant à quelques réflexes simples. Ne partagez jamais le mot de passe de votre identifiant Apple, y compris avec un « support » par chat ou un prétendu configurateur VPN. Saisissez votre identifiant Apple uniquement dans les réglages système, et uniquement le vôtre. Avant d’installer un profil iOS, il est conseillé de vérifier qui vous le demande et pour quel motif. En cas de doute, fermez la page et n’installez rien.

Si des escrocs ont déjà accédé à votre compte Apple, il faut agir vite. Changez le mot de passe de l’identifiant Apple, contrôlez la liste des appareils associés, activez l’authentification à deux facteurs et supprimez les appareils inconnus. Si l’iPhone est bloqué par le verrouillage d’activation, la voie de sortie consiste à rétablir l’accès au compte Apple ou à contacter l’assistance officielle en fournissant une preuve de propriété. Le transfert d’argent ne permet généralement pas de reprendre le contrôle et ouvre souvent la porte à de nouvelles demandes.

Dans cette affaire, le signal cyber à retenir est net : l’attaque vise d’abord l’identité et les permissions, puis transforme l’écosystème en levier d’extorsion.

APT, Cybersécurité, Entreprise, IA

L’IA au service d’un piratage éclair de FortiGate

Entre automatisation et négligence, une campagne récente montre comment des interfaces d’administration exposées et des mots de passe faibles suffisent à ouvrir des réseaux entiers, à grande échelle.

Une analyse d’Amazon décrit une campagne menée entre le 11 janvier et le 18 février 2026, où un cybercriminel motivé par le profit a compromis plus de 600 équipements FortiGate dans 55 pays. L’attaque ne reposait pas sur des failles logicielles, mais sur des consoles de gestion laissées accessibles depuis Internet et protégées par une authentification simple avec des mots de passe faciles à deviner. En s’appuyant sur plusieurs services commerciaux d’IA générative, l’attaquant a industrialisé la méthode, récupérant configurations, identifiants, plans réseau et paramètres VPN. Objectif final, pénétrer l’interne, viser Active Directory et sonder les sauvegardes, un signal souvent associé aux préparatifs d’un rançongiciel.

Une intrusion sans vulnérabilité, portée par l’automatisation

Le scénario a quelque chose d’inconfortable, parce qu’il n’exige ni exploit sophistiqué ni compétence rare. D’après Amazon, du 11 janvier au 18 février 2026, soit 38 jours si l’on compte du premier au dernier jour, un acteur cybercriminel a pris pied sur plus de 600 équipements FortiGate répartis dans 55 pays. Le volume et la dispersion géographique donnent l’impression d’une opération structurée, pourtant l’analyse conclut à un profil non étatique, plutôt un loup solitaire ou un petit noyau opportuniste.

Le point d’entrée n’est pas une vulnérabilité du produit. L’attaquant a cherché des interfaces de gestion directement exposées sur Internet, puis a tenté de deviner ou de forcer des mots de passe trop faibles, avec une authentification à facteur unique. Le cœur du problème est donc une erreur de configuration élémentaire, que l’on retrouve encore dans des entreprises de toutes tailles, parfois par héritage de choix anciens, parfois par manque de contrôle, souvent parce que l’accès distant “temporaire” finit par devenir permanent.

Ce qui change, selon Amazon, c’est la cadence. Plusieurs services commerciaux d’IA générative auraient servi à mettre en place une chaîne d’actions quasi automatique. L’IA ne « pirate » pas à elle seule, mais elle peut accélérer la préparation, l’enchaînement des étapes, la normalisation des commandes, l’adaptation des scripts et la production de variations lorsque l’environnement diffère légèrement. À l’échelle d’Internet, ce gain de temps transforme une routine d’attaquant en moisson industrielle. Quand la barrière technique baisse, le véritable facteur limitant devient la discipline d’hygiène numérique du côté des défenseurs.

De la configuration au cœur du réseau, la trajectoire classique

Une fois l’équipement compromis, l’attaquant a téléchargé les configurations complètes. C’est un trésor opérationnel, parce qu’il peut y trouver des identifiants, des informations de topologie, des indices sur la segmentation, ainsi que des paramètres de réseau privé virtuel. À partir de là, le basculement est logique, l’objectif n’est pas l’équipement lui-même, mais la porte qu’il ouvre sur l’infrastructure interne des organisations.

L’analyse décrit ensuite une progression vers les domaines Active Directory. Cette étape est un pivot, car Active Directory concentre l’identité, les droits et souvent les clés d’accès aux ressources critiques. L’attaquant a extrait des bases de données de comptes et, dans certains cas, a obtenu des ensembles complets de hachages de mots de passe. Même sans casser immédiatement ces hachages, leur possession facilite la réutilisation d’identifiants, les tentatives hors ligne et la cartographie des privilèges.

Un autre détail pèse lourd, l’intérêt marqué pour les serveurs de sauvegarde. Dans la pratique des intrusions à but lucratif, les sauvegardes sont la bouée de secours des victimes, donc une cible prioritaire pour qui veut monétiser l’accès. L’analyse souligne que cette curiosité pour les systèmes de backup intervient fréquemment avant le déploiement d’un rançongiciel. Autrement dit, la compromission du périmètre n’est qu’un début, le vrai risque se situe dans la capacité à rendre la restauration impossible ou douloureuse.

Enfin, la campagne semble guidée par un pragmatisme froid. Lorsque l’environnement imposait des opérations plus complexes, l’attaquant ne s’acharnait pas et passait à une autre cible. Cette discipline révèle une logique de rendement, maximiser les gains en minimisant le temps passé par victime. C’est précisément là que l’IA générative, utilisée comme accélérateur, renforce le modèle, elle aide à standardiser l’approche et à éliminer les frictions, sans nécessairement augmenter la profondeur technique de l’attaque.

Au bout du compte, cette affaire rappelle une vérité de cyber-renseignement, l’avantage revient à celui qui transforme de petites failles d’hygiène en informations actionnables, vite, à grande échelle.