Archives de catégorie : cyberattaque

backdoor, cyberattaque, Cybersécurité

Fausses invitations de concert, espionnage contre l’armée russe

Une pièce jointe Excel, déguisée en invitation de Nouvel An, aurait servi d’appât contre des militaires russes. Intezer décrit une campagne discrète, mais révélatrice, portée par le groupe Goffee.

Des chercheurs d’Intezer affirment qu’un groupe d’espionnage peu documenté cible des militaires russes et l’industrie de défense via des leurres en russe. La campagne, repérée en octobre 2025 après la découverte d’un fichier XLL malveillant sur VirusTotal, déclenche automatiquement du code dans Excel. À l’ouverture, le fichier installe une porte dérobée inédite, EchoGather, capable de profiler la machine, exécuter des commandes et transférer des fichiers. Les données partent vers un serveur de commande et contrôle camouflé en site de livraison de nourriture. Les appâts incluent une fausse invitation à un concert réservé à des officiers supérieurs, truffée d’indices de génération artificielle, et une lettre usurpant un adjoint du ministère russe de l’Industrie.

Une entrée par Excel, une sortie par un faux site de livraison

Le point de départ est presque banal : un fichier destiné à être ouvert dans Excel. Le signal apparaît début octobre, quand un fichier XLL est téléversé sur VirusTotal, d’abord depuis l’Ukraine, puis depuis la Russie. Son titre, « enemy’s planned targets« , donne le ton, à la fois martial et calibré pour piquer la curiosité d’un public lié au militaire. L’astuce technique tient au format : un XLL n’est pas une simple feuille de calcul, c’est un add-in capable de lancer du code. Dans ce cas, l’exécution est automatique à l’ouverture, sans passer par la chorégraphie classique des macros qui réclament l’activation.

Une fois déclenché, le fichier télécharge un implant jusqu’alors non documenté, baptisé EchoGather. La description fournie par les chercheurs correspond à une porte dérobée orientée collecte et pilotage : inventaire du système, exécution de commandes à distance, exfiltration de fichiers. Un infostealer. Le volet « renseignement » est ici central, car ces fonctions servent moins à faire tomber un réseau qu’à y rester, y lire, et y prendre ce qui a de la valeur.

Le canal de sortie, lui, joue la dissimulation. Les informations volées sont envoyées vers un serveur de commande et contrôle présenté comme un site de livraison de nourriture. Ce camouflage n’est pas qu’esthétique : il permet de se fondre dans un trafic web ordinaire, en empruntant des apparences rassurantes. Dans des environnements surveillés, l’attaquant ne cherche pas seulement à chiffrer ou à détruire, il cherche surtout à ne pas être remarqué.

Soulignons un contexte plus large : les campagnes visant des organisations russes sont moins souvent documentées par des chercheurs occidentaux, faute de visibilité sur les réseaux russes. Cette rareté donne à la découverte un relief particulier. Elle n’implique pas que l’activité soit exceptionnelle, mais plutôt qu’elle est rarement observée depuis l’extérieur, ce qui laisse davantage de zones grises sur la portée réelle de l’opération.

Invitations de Nouvel An et faux courrier officiel : l’appât avant la collecte

Pour approcher la cible, le groupe mise sur l’ingénierie sociale. Les leurres sont rédigés en russe et cherchent à coller au rythme d’une administration ou d’une structure de défense. L’exemple le plus frappant est une fausse invitation à un concert destiné à des officiers supérieurs, une accroche taillée pour l’ego, la routine protocolaire et l’envie d’accéder à une information « réservée ». Sauf que le document trahit sa fabrication : erreurs linguistiques, et surtout une imitation déformée de l’aigle bicéphale russe, plus proche d’un oiseau générique que du symbole national. Ce détail est précieux : il signale un effort d’imitation, mais aussi une méconnaissance de codes visuels que la cible, elle, identifie au premier coup d’œil.

Un second appât usurpe une lettre émanant d’un adjoint au ministère russe de l’Industrie et du Commerce. Le texte réclame des justificatifs de prix liés à des contrats de défense étatiques. Le choix du thème est cohérent : il vise des entreprises de défense et des acteurs high-tech, exactement les profils que les chercheurs estiment ciblés. La demande de « documents de justification » est aussi une clé psychologique : elle crée une urgence administrative, et légitime l’ouverture de pièces jointes dans un cadre supposé officiel.

Malgré ces éléments, un point demeure opaque : on ne sait pas si la campagne a réellement réussi, ni quelles informations précises étaient recherchées. L’incertitude fait partie de la dynamique du renseignement : l’attaquant collecte large, puis trie, et le défenseur découvre souvent l’intention après coup, quand les traces sont déjà refroidies. (Interzer)

Cyber-attaque, cyberattaque, Cybersécurité, Entreprise, Identité numérique

Les adresses IP ukrainiennes volées, angle mort européen

À Kherson, des identifiants auraient été extorqués sous contrainte pour détourner des adresses IP ukrainiennes. En toile de fond, la “neutralité” revendiquée par RIPE NCC nourrit une zone grise aux effets directs sur l’attribution des cyberattaques.

Dans les territoires ukrainiens occupés, des opérateurs télécoms auraient été forcés de céder leurs identifiants, permettant la captation d’adresses IP ukrainiennes aujourd’hui exploitées par Moscou. Un mécanisme : re-enregistrement auprès d’entités russes via RIPE NCC, registre basé à Amsterdam, malgré les alertes ukrainiennes et des sanctions européennes visant des structures liées aux RPD et RPL. En masquant des attaques et des opérations de désinformation derrière des IP “ukrainiennes” ou “européennes”, ces détournements compliquent l’attribution et accroissent le risque pour la cybersécurité du continent. La question devient juridique, politique et opérationnelle.

Des “passeports” numériques au rendement stratégique

Le cœur du problème tient à la nature même d’une adresse IP : un identifiant unique qui sert à acheminer le trafic et, dans de nombreux cas, à inférer une localisation. Dans un environnement où les IPv4 sont décrites comme quasi épuisées, la ressource prend une dimension à la fois marchande et stratégique. Une fourchette de prix, 35 à 50 € par IPv4 sur des marchés non officiels. Pour mesurer l’ordre de grandeur, la perte de 1 000 adresses représente entre 35 000 et 50 000 € ; 10 000 adresses, entre 350 000 et 500 000 € ; 100 000 adresses, entre 3,5 et 5 millions d’euros. Oleksandr Fedienko, député ukrainien et ex-président de l’Association ukrainienne de l’Internet, relie ces volumes aux portefeuilles des grands opérateurs, qui compteraient des centaines de milliers d’adresses, et évoque des pertes de plusieurs millions dès lors que quelques milliers d’unités disparaissent.

Mais l’argent n’est qu’un volet. Fedienko insiste sur l’usage de ces adresses par des communications gouvernementales, des transactions bancaires et des signaux d’infrastructures critiques. Dans cette lecture, contrôler des blocs d’IP revient à contrôler une partie de l’identité réseau d’un pays, et donc une capacité de se dissimuler, de filtrer, d’interrompre ou de tromper. L’affirmation, “leur contrôle est une question de sécurité nationale”, situe l’enjeu au niveau du renseignement : une IP n’est pas seulement un numéro, c’est un point d’ancrage pour le camouflage, l’usurpation et l’influence.

Kherson, la contrainte physique et la capture des ressources

Une bascule après les occupations russes de 2014 et de 2022 : des fournisseurs d’accès ukrainiens auraient perdu leurs locaux et leurs adresses IP, ensuite réenregistrées au bénéfice de sociétés russes via RIPE NCC. La spécificité de Kherson, rapportée par Fedienko, est la méthode. Il dit connaître un cas où des ressources ont été « confisquées de force sous la torture« , et précise l’élément opérationnel clé : sans identifiant et mot de passe, la prise de contrôle est difficile. Autrement dit, l’occupation territoriale devient un moyen d’acquérir l’accès administrateur aux actifs numériques, pas seulement de saisir des équipements.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

 

Nous voici face à des entités présentées comme pivots de l’extension informationnelle russe dans les zones occupées, via des entreprises de communication unitaires d’État créées sous les administrations installées comme Ugletelecom, Comtel, l’opérateur Phoenix et Republican Digital Communications. Leur intérêt, dans cette architecture, est double : utiliser « les plus grands volumes » d’IP volées et offrir une façade administrative pour l’exploitation courante, notamment dans la diffusion de contenus et l’organisation technique de services.

Sanctions, « neutralité » et risque d’attribution pour l’Europe

L’angle juridique est porté par Andriy Pylypenko, avocat participant à un groupe de travail sur le gel des adresses IP volées. Il attribue à ces entités un rôle de soutien informationnel aux administrations d’occupation, avec des actions décrites comme structurantes : organisation de référendums et d’élections truqués, propagation, cyberattaques, et détournement des paiements d’accès à Internet vers les budgets des RPD et RPL. Dans ce cadre, l’IP devient une ressource logistique au service d’un système politique illégal, et un outil pour frapper l’Ukraine tout en compliquant les preuves.

En 2018 l’Association ukrainienne d’Internet a alerté RIPE sur toute coopération avec les RPD et RPL, sans réaction, RIPE arguant que les adresses IP n’étaient pas des ressources économiques, donc pas concernées par les sanctions de l’UE. Puis, en 2021, le ministère néerlandais des Affaires étrangères a précisé que les ressources IP entraient bien dans la catégorie des ressources économiques au sens du régime européen, ce qui a contraint RIPE à geler l’enregistrement d’IP détenues par des entités sanctionnées. Le conseil d’administration de RIPE a néanmoins contesté publiquement cette interprétation et demandé une exemption, refusée par La Haye faute de base juridique pour des dérogations générales.

L’effet cyber est direct : si des acteurs russes opèrent avec des IP ukrainiennes, ils peuvent faire passer des actions hostiles pour des activités « ukrainiennes » ou « européennes ». Cela brouille l’attribution, ralentit la réponse, et peut déclencher des erreurs d’escalade, au moment même où la reconnaissance par l’OTAN, dès le sommet de Varsovie de 2016, du cyberespace comme domaine opérationnel, et l’idée qu’une cyberattaque majeure pourrait activer la défense collective via l’article 5. Le risque, vu de l’Europe, n’est donc pas abstrait : c’est la possibilité de décisions politiques et techniques prises sur une attribution fragilisée.

NEWS & ALERTES ACTUALITÉS

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
cyberattaque, Cybersécurité, Espionnage Spy

IDFKA, la porte dérobée en Rust qui vise les télécoms russes

IDFKA, une backdoor en Rust restée dix mois chez un sous-traitant télécom russe, révélant une opération d’espionnage à double visage.

Présentée au SOC Forum 2025, l’enquête de Solar 4RAYS détaille une opération d’espionnage visant un opérateur de télécommunications russe via un sous-traitant informatique compromis. Deux groupes, Snowy Mogwai et NGC5081, ont exploité la même brèche pour accéder aux bases de données d’abonnés et aux informations d’appels. NGC5081 a déployé une nouvelle porte dérobée, IDFKA, écrite en Rust et masquée en service légitime, qui utilise un protocole propriétaire pour échapper à la surveillance réseau. Active depuis au moins dix mois dans l’infrastructure du prestataire, cette backdoor dispose toujours d’une infrastructure de commande et de contrôle opérationnelle, maintenant le risque de nouvelles intrusions contre d’autres organisations de part le monde.

Un sous-traitant compromis et deux groupes en parallèle

L’alerte ne vient pas d’un poste de travail classique, mais d’un compte de service. Fin mai 2025, le centre opérationnel de sécurité de Solar, le JSOC, observe des commandes inhabituelles exécutées sur l’infrastructure d’un opérateur de télécommunications. Les opérations suspectes transitent par un compte technique, administré par un sous-traitant informatique. Autrement dit, l’attaque s’appuie sur un maillon tiers, intégré au cœur des processus de l’opérateur.

Lorsque les spécialistes rejoignent l’enquête, le scénario se complexifie rapidement. Ils ne découvrent pas un acteur isolé, mais deux groupes distincts présents simultanément dans le réseau du prestataire. Le premier, Snowy Mogwai, est décrit comme une équipe d’espionnage informatique asiatique déjà connue. Le second, NGC5081, apparaît comme un groupe beaucoup moins documenté, mais manifestement capable d’opérer au même niveau.

Les deux équipes partagent le même intérêt stratégique. Leur cible n’est pas le sous-traitant pour lui-même, mais les données gérées par l’opérateur de télécommunications. En compromettant l’entreprise de services informatiques, elles obtiennent un accès indirect mais privilégié aux ressources de l’opérateur, notamment aux bases d’abonnés et aux informations relatives aux appels. Cette configuration illustre un schéma désormais classique dans les opérations d’espionnage numérique : frapper l’écosystème pour approcher la cible finale.

Le fait que Snowy Mogwai et NGC5081 agissent en parallèle dans le même environnement montre aussi que la brèche n’est pas un incident opportuniste isolé. La coexistence de deux groupes dans un périmètre aussi sensible indique un intérêt durable pour les données de télécommunications et suggère que ce segment d’infrastructure est surveillé et testé par plusieurs acteurs en quête d’accès pérennes.

Pour les équipes de réponse à incident, cette superposition complique l’attribution et la remédiation. Chaque groupe dispose de ses propres outils, de ses techniques et de ses objectifs opérationnels. Il faut distinguer les traces, séparer les chaînes d’attaque, comprendre ce qui relève de Snowy Mogwai et ce qui appartient à NGC5081. C’est dans cet enchevêtrement que la nouvelle porte dérobée IDFKA est mise en lumière.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes exploitables, priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

IDFKA, une porte dérobée écrite en Rust et pensée pour durer

NGC5081 ne se contente pas d’exploiter des outils existants. Le groupe déploie deux implants de contrôle à distance, Asian Tinyshell et IDFKA. Le premier est déjà connu, le second est inédit au moment de l’intervention. L’existence d’IDFKA est révélée précisément lors des opérations de réponse à incident chez le sous-traitant, preuve que l’outil était conçu pour rester discret, voire invisible, tant qu’aucune analyse approfondie n’était menée.

IDFKA se présente comme un service légitime. Cette approche permet de s’imbriquer dans l’infrastructure sans déclencher immédiatement de suspicion. En empruntant l’apparence et les comportements d’un composant attendu du système, la backdoor se dissimule au milieu du bruit de fond habituel des services techniques. Pour les équipes de défense, cela complique la détection, qui doit s’appuyer sur des signaux faibles plutôt que sur des anomalies grossières.

La référence choisie par les développeurs n’a rien d’anodin. Le nom IDFKA évoque le célèbre code de triche IDKFA du jeu Doom, qui offrait au joueur toutes les armes et toutes les clés. L’analogie est transparente : dans l’environnement de l’opérateur, la porte dérobée vise à donner aux attaquants un accès total, à la fois aux systèmes, aux mouvements latéraux et aux données recherchées. L’outil devient une clé universelle, forgée sur mesure pour cette opération d’espionnage.

IDFKA a été développé de bout en bout par les attaquants. Cet effort de conception complète révèle un niveau de compétence élevé et une volonté de disposer d’un arsenal propriétaire, non immédiatement détectable par les signatures classiques. Le choix du langage Rust renforce cette orientation. Ce langage moderne, plus rare dans les malwares traditionnels, rend l’analyse inverse plus complexe pour de nombreuses équipes de sécurité, habituées à des implants écrits dans des langages plus répandus.

Sur le plan réseau, IDFKA ne se contente pas d’employer des protocoles ou des canaux standard. La backdoor utilise un protocole propriétaire de couche 4 sur IP, ce qui permet de rendre son trafic beaucoup moins évident pour les systèmes de surveillance. Plutôt que de se cacher derrière un protocole chiffré connu, la porte dérobée emprunte une voie moins balisée, où les outils de détection automatisée disposent de moins de repères. Cette architecture renforce sa capacité à rester en place, même dans un environnement surveillé.

Les capacités opérationnelles décrites couvrent l’ensemble du cycle d’une intrusion furtive. IDFKA permet d’exercer un contrôle à distance sur les systèmes du sous-traitant, d’assurer des déplacements latéraux au sein du réseau et de conduire une analyse approfondie de l’infrastructure. Autrement dit, la backdoor n’est pas un simple point d’appui technique, mais un véritable poste de pilotage, qui offre aux attaquants une vue d’ensemble et des leviers d’action multiples dans l’environnement compromis.

Cette backdoor a permis aux attaquants de rester infiltrés pendant au moins dix mois dans l’infrastructure du prestataire. Cette durée est directement tirée de l’analyse de l’incident, qui relie la présence d’IDFKA à des activités observées sur une période prolongée. Dix mois de présence signifient que les attaquants ont disposé du temps nécessaire pour cartographier les systèmes, affiner leurs accès et calibrer leurs actions de manière discrète, loin d’une logique d’attaque brutale.

Pilotage à distance, données d’abonnés et menace persistante

Avec IDFKA solidement ancrée dans le réseau du sous-traitant, les attaquants ont pu atteindre ce qui constitue le cœur informationnel d’un opérateur de télécommunications : les bases de données d’abonnés et les informations d’appels. Les spécialistes indiquent que ces éléments ont pu être téléchargés depuis l’infrastructure compromise. En d’autres termes, les systèmes permettant l’extraction et le transit de ces données ont été sous contrôle adverse.

Les experts n’ont pas trouvé de preuve directe de vol, mais considèrent que les données sont très probablement tombées entre les mains des attaquants. Cette conclusion repose sur un enchaînement logique : d’une part, la backdoor donne un accès durable et profond aux systèmes où ces informations sont stockées ou manipulées ; d’autre part, les attaquants ont mis en place les moyens techniques de télécharger ces éléments. L’absence de preuve explicite d’exfiltration ne suffit donc pas à écarter le scénario, car les traces peuvent être limitées ou volontairement effacées.

Pour les métiers du renseignement et de la cyberdéfense, la valeur de ces données est évidente. Les bases d’abonnés offrent une vision détaillée des identités, des coordonnées et des structures de clientèle d’un opérateur. Les informations d’appels, même sans contenu des conversations, permettent de reconstituer des graphes de communication, des habitudes de contact et des schémas de relation. Dans un cadre d’espionnage, ce type de visibilité ouvre la voie à la surveillance ciblée, au profilage et à la préparation d’opérations ultérieures.

L’un des éléments les plus préoccupants mis en avant concerne la situation actuelle d’IDFKA. Malgré la découverte de l’implant et l’enquête menée sur l’incident, l’infrastructure de commande et de contrôle de la backdoor demeure active. Autrement dit, les serveurs et mécanismes permettant de piloter IDFKA n’ont pas disparu, ce qui signifie que l’outil reste à la disposition des attaquants pour de futures campagnes.

Cette persistance transforme l’affaire étudiée au SOC Forum 2025 en cas d’école. IDFKA n’est pas seulement le vestige d’une opération passée contre un sous-traitant spécifique, mais un composant réutilisable, prêt à être redéployé contre d’autres organisations, notamment russes. Toute entreprise partageant une architecture ou une chaîne de sous-traitance comparable peut, par analogie, se retrouver exposée aux mêmes méthodes et au même outillage.

Pour les opérateurs de télécommunications, le message est clair. La surface d’attaque ne se limite plus aux frontières directes de leurs systèmes. Elle inclut l’ensemble des prestataires techniques capables d’exécuter des commandes, d’administrer des comptes de service ou de manipuler des données sensibles. Dans ce contexte, un compte géré par un sous-traitant devient un point d’entrée de choix pour des groupes d’espionnage structurés, capables de maintenir une présence discrète pendant des mois.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
LinkedIn
GNews
Autres

L’enquête montre aussi que la dynamique d’attaque ne repose plus sur un seul adversaire. La présence parallèle de Snowy Mogwai et NGC5081 rappelle que les environnements critiques peuvent intéresser plusieurs groupes, simultanément ou successivement. Chacun peut apporter ses propres outils, dont certains, comme IDFKA, sont développés sur mesure pour contourner des dispositifs de défense déjà connus. [Blog original / En russe / Restriction d’accés]

cyberattaque, Cybersécurité, Entreprise

Les hacktivistes intensifient leurs attaques contre les infrastructures canadiennes

Le Canada alerte sur la hausse des cyberattaques ciblant ses infrastructures critiques, orchestrées par des hacktivistes exploitant des systèmes industriels connectés et mal sécurisés.

Le Centre canadien pour la cybersécurité a publié une alerte le 29 octobre sur une série d’attaques contre des systèmes de contrôle industriels (ICS) exposés à Internet. Les incidents ont visé des secteurs essentiels comme l’eau, l’énergie et l’agriculture, confirmant une tendance mondiale d’ingérence hacktiviste. Bien que non attribuées à un groupe précis, ces opérations s’inscrivent dans la continuité des campagnes menées par des collectifs liés à la Russie, tels que Z-Pentest. Un groupe que le site de référence sur la cyber sécurité et la cyber intelligence ZATAZ.COM affichait comme des opportunistes communicants.

NE MANQUEZ PAS NOTRE NEWS LETTER (CHAQUE SAMEDI). INSCRIPTION

L’agence appelle à renforcer la protection des dispositifs ICS, souvent négligés ou mal isolés, et recommande une coordination accrue entre gouvernements, fournisseurs et opérateurs d’infrastructures critiques.

Attaques ciblant les systèmes de contrôle industriels

Le Centre canadien pour la cybersécurité a identifié trois attaques récentes contre des dispositifs industriels connectés. Dans un réseau de traitement de l’eau, les pirates ont modifié les valeurs de pression, provoquant une dégradation du service local. Une autre intrusion, sur un site pétrolier et gazier, a altéré les capteurs d’une jauge automatisée de réservoir, déclenchant de fausses alarmes. Enfin, une exploitation agricole a vu ses paramètres de température et d’humidité trafiqués dans un silo à grains, générant un risque d’incident technique majeur.

L’agence souligne que ces manipulations illustrent une stratégie hacktiviste visant la visibilité médiatique plutôt que la destruction. Les infrastructures exposées sur Internet constituent des cibles faciles pour ces acteurs opportunistes.

Une menace soutenue par des groupes pro-russes

Aucune attribution formelle n’a été faite, mais plusieurs signaux convergent vers la mouvance hacktiviste russe, dominante dans la manipulation d’ICS depuis 2024. Le groupe Z-Pentest, apparu à l’automne dernier, a popularisé la diffusion de captures d’écran de panneaux de contrôle industriels pour revendiquer ses intrusions. Ces campagnes visent à déstabiliser les États occidentaux et à saper la confiance dans la résilience de leurs infrastructures.

L’Agence américaine de cybersécurité (CISA) a également observé une recrudescence d’attaques similaires. Elle évoque une stratégie d’influence numérique où la perturbation technique se double d’une guerre informationnelle. Les campagnes visent la réputation des institutions plutôt que des gains économiques.

Les dispositifs les plus vulnérables restent les automates programmables, les unités terminales distantes, les interfaces homme-machine, les systèmes SCADA ou les équipements IIoT. Leur exposition directe à Internet, souvent pour des raisons de maintenance à distance, facilite l’accès des intrus.

VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR

Renforcer la résilience et la coordination


Le Centre recommande aux gouvernements provinciaux et territoriaux de coopérer avec les municipalités pour établir un inventaire complet des systèmes critiques. Les secteurs de l’eau, de l’alimentation et de la fabrication, moins encadrés sur le plan cyber, nécessitent une attention particulière.

Les opérateurs doivent vérifier la configuration de leurs équipements et s’assurer que les connexions distantes utilisent des réseaux privés virtuels avec authentification à deux facteurs. En l’absence d’isolation possible, la surveillance doit être accrue à l’aide d’outils de détection et de prévention d’intrusion, de tests réguliers et d’une gestion active des vulnérabilités.

L’agence recommande également des exercices de simulation pour clarifier les responsabilités et évaluer la capacité de réponse. Le manque de coordination interne demeure un point faible majeur : « Une répartition floue des rôles crée souvent des lacunes laissant les systèmes sans protection », a rappelé le Centre.

cyberattaque, Cybersécurité, Entreprise

Cybercriminalité en 2024 : Les vrais chiffres de la France sous surveillance

Alors que les projecteurs mondiaux étaient braqués sur la France pour les Jeux Olympiques et Paralympiques 2024, beaucoup redoutaient une vague de cyberattaques sans précédent. Pourtant, derrière les chiffres officiels, la réalité s’avère bien plus nuancée. Loin des effets d’annonce, la cyberdélinquance en France dessine une cartographie complexe, où la vigilance institutionnelle côtoie les arnaques numériques du quotidien, et où l’évolution des comportements cybercriminels suit sa propre logique, loin des prédictions alarmistes.

L’année olympique n’a pas déclenché de tsunami cyber : radiographie d’une menace maîtrisée

En 2024, la France s’attendait à une avalanche d’incidents informatiques, alimentée par la visibilité mondiale des Jeux Olympiques et Paralympiques. Mais, au grand dam des catastrophistes, la vague n’a pas eu lieu. Les services de police et de gendarmerie, sur le pont, ont observé une stabilité inattendue du nombre d’infractions liées au numérique, alors même que l’Hexagone était sous les feux de la rampe.

Ce calme relatif cache toutefois une réalité plus subtile : la cybercriminalité ne connaît pas de pause, elle mute. Les chiffres officiels, consolidés par le Service Statistique Ministériel de la Sécurité Intérieure (SSMSI), montrent que le volume total des infractions numériques a progressé de 2 % en 2024 par rapport à l’année précédente. Cette hausse, loin d’un raz-de-marée, s’inscrit dans une tendance de fond : le numérique façonne désormais toutes les facettes de la délinquance.

Dans ce paysage, la création de la plateforme Thésée, dédiée au dépôt en ligne de plaintes pour e-escroqueries, a bouleversé les usages. Près de 51 000 plaintes y ont été enregistrées, soit plus d’un cinquième des atteintes numériques aux biens recensées par les forces de l’ordre. Si le volume global d’atteintes numériques aux biens recule légèrement (-1 %), cette évolution masque des dynamiques inversées : la forte baisse des infractions déclarées via Thésée (-19 %) n’est que partiellement compensée par une hausse des signalements hors plateforme (+6 %).

La conclusion s’impose : le numérique n’a pas provoqué d’explosion, mais il a façonné les modalités mêmes de la criminalité. Loin des fantasmes, la cybersécurité institutionnelle française a tenu bon, mais la vigilance reste de mise, car la délinquance numérique s’adapte et évolue, souvent à bas bruit.

En 2024, 348 000 infractions numériques ont été enregistrées en France, soit une hausse de 2 % par rapport à 2023, confirmant une progression constante, mais loin de l’explosion attendue durant les JO.

Victimes, profils et genres : la cybercriminalité cible différemment

Derrière chaque statistique, une histoire. En 2024, les femmes ont payé un lourd tribut aux atteintes numériques à la personne. Deux tiers des victimes sont de sexe féminin, une surreprésentation flagrante qui interroge sur la nature de la violence numérique : harcèlement, injures, menaces ou encore discriminations prolifèrent en ligne, bien au-delà des frontières physiques.

Les femmes de 18 à 44 ans incarnent à elles seules près de la moitié des victimes majeures de ces délits, alors qu’elles ne représentent qu’un cinquième de la population adulte française. Cette surexposition ne s’explique ni par un taux d’équipement informatique supérieur, ni par une différence d’accès à Internet, mais bien par une réalité sociale et numérique qui démultiplie la vulnérabilité dans l’espace digital.

Du côté des atteintes numériques aux biens — essentiellement des escroqueries et fraudes financières en ligne —, le clivage de genre s’estompe. Hommes et femmes sont concernés à parts quasi égales, avec une légère surreprésentation des hommes de plus de 45 ans. Les mineurs ne sont pas en reste : les victimes d’atteintes numériques à la personne sont très majoritairement des filles de moins de 15 ans, tandis que les garçons de plus de 15 ans dominent dans la catégorie des infractions financières.

L’analyse du profil des personnes mises en cause complète ce panorama : sur les 60 000 individus impliqués dans une infraction numérique en 2024, plus de huit sur dix sont majeurs. Les atteintes à la personne constituent désormais la majorité des dossiers traités (62 %), signe d’une dématérialisation croissante des violences. Sur la décennie écoulée, le nombre de personnes mises en cause a bondi de 75 %, même si la croissance ralentit en 2024. Un détail frappant, pourtant : les atteintes aux institutions et celles touchant aux législations spécifiques (RGPD, loi Hadopi, etc.) représentent une infime part des infractions, mais leur hausse reste spectaculaire en 2024 (+42 % pour ces dernières).

La cybercriminalité n’est donc pas qu’une affaire de chiffres : elle touche différemment selon l’âge, le genre, le statut social, et démontre chaque année sa capacité à contourner les réponses institutionnelles et à s’installer dans tous les recoins de la vie connectée.

En 2024, 66 % des victimes majeures d’atteintes numériques à la personne étaient des femmes, révélant la dimension profondément genrée de la violence numérique en France.

L’évolution des techniques et des profils : du hacking à la délinquance du quotidien

Le paysage cybercriminel français n’a plus grand-chose à voir avec les mythes des années 2000, où le “hacker de génie” était l’unique menace. Désormais, la majorité des infractions enregistrées s’inscrit dans un continuum qui va de l’escroquerie en ligne de masse jusqu’aux atteintes techniques complexes, comme l’intrusion dans les systèmes automatisés de traitement de données (ASTAD).

En 2024, 17 100 atteintes ASTAD ont été recensées, en léger recul, mais ces attaques constituent toujours le noyau dur de la criminalité numérique : sabotages, intrusions, paralysies de réseaux… Ces actes sont à la fois les plus difficiles à mener pour les criminels et les plus complexes à investiguer pour les services de sécurité. Paradoxalement, c’est dans les “petites” infractions du quotidien que l’ampleur du phénomène se mesure le mieux. Les escroqueries et fraudes profitent d’une automatisation croissante des attaques : phishing industrialisé, usurpations d’identité, arnaques à la fausse location ou au faux support technique.

Les chiffres du SSMSI montrent aussi une montée en puissance de la délinquance numérique “banalisée”, dont les auteurs ne sont pas des cyberpirates chevronnés mais de simples opportunistes profitant de failles humaines et techniques. Plus inquiétant encore, la criminalité numérique touche aussi les institutions publiques, avec une augmentation continue des attaques contre les collectivités, les administrations et les entreprises stratégiques.

Dans ce contexte, la plateforme Thésée représente une innovation majeure, tant pour le signalement que pour le dépôt de plaintes. Ce nouvel outil contribue à mieux documenter la réalité cybercriminelle, même s’il révèle aussi le retard de certaines victimes dans la prise de conscience et la dénonciation des faits.

Si la France a su résister à la tempête annoncée en 2024, c’est sans doute grâce à une alliance de facteurs : montée en compétence des équipes cyber, structuration des dispositifs de réponse et, surtout, capacité à s’adapter en continu aux mutations de la menace. La vigilance, quant à elle, reste une affaire collective, car chaque usager, chaque institution, chaque entreprise demeure une cible potentielle dans un univers numérique sans frontière.

cyberattaque, Cybersécurité

Cyberattaque dans les Hauts-de-Seine : la menace invisible qui paralyse les collectivités

Une attaque informatique « de grande ampleur » a paralysé les services numériques du conseil départemental des Hauts-de-Seine ce mardi matin, plongeant l’administration dans le flou technologique.

Ce mardi à 10 heures, le département des Hauts-de-Seine a annoncé sur ses réseaux sociaux être victime d’une cyberattaque d’envergure, touchant l’ensemble de ses systèmes d’information. Ce nouvel incident, qui s’ajoute à une série d’agressions informatiques subies par plusieurs collectivités locales de la région parisienne, souligne la vulnérabilité croissante des institutions publiques face à des menaces numériques toujours plus sophistiquées. Alors que les équipes techniques s’activent encore pour identifier l’origine et l’impact de l’attaque, une question se pose : les collectivités sont-elles suffisamment armées pour affronter ces assauts digitaux ?

Une administration à l’arrêt

Ce mardi matin, c’est par un message sobre mais alarmant que le conseil départemental des Hauts-de-Seine a informé ses administrés : ses services numériques ont été brutalement désactivés à la suite d’une cyberattaque. Dans un communiqué diffusé peu après, l’administration évoque une attaque « de grande ampleur » ayant contraint à couper « l’ensemble des systèmes d’information et des moyens de communication habituels » pour une durée encore indéterminée. La nature exacte de l’agression, ses auteurs potentiels et les failles exploitées n’ont pas été dévoilés, laissant place à une incertitude totale.

À 18 heures, soit huit heures après la révélation publique de l’attaque, la situation demeurait inchangée. « La phase de diagnostic est toujours en cours« , indiquait alors le service de communication du département. Derrière cette formule se cache une réalité : sans accès à ses outils numériques, une administration moderne voit la majorité de ses activités paralysée. De la gestion des dossiers à la communication avec les usagers, tout repose aujourd’hui sur l’informatique.

« L’ensemble des systèmes d’information et des moyens de communication habituels ont été désactivés pour une période indéterminée », précisait le conseil départemental dans un communiqué publié en milieu de journée.

Un contexte régional tendu

Loin d’être un cas isolé, cette cyberattaque s’inscrit dans une série noire qui frappe depuis plusieurs années les collectivités locales en Île-de-France. Le conseil départemental des Hauts-de-Seine avait déjà été confronté à une intrusion informatique en 2023. Cette attaque, bien que moins sévère selon les dires de l’époque, avait contraint l’institution à couper temporairement certains services, notamment téléphoniques. Les données personnelles n’avaient pas été compromises, assurait alors l’administration.

Mais d’autres collectivités voisines n’ont pas toujours eu cette chance. En novembre 2022, c’est le département de Seine-et-Marne qui voyait ses réseaux informatiques mis hors service à la suite d’une cyberattaque. Il lui avait fallu plusieurs semaines pour retrouver une activité normale. Plus récemment encore, la ville de Bois-Colombes a subi une attaque dans la nuit du 31 janvier au 1er février 2024. Les conséquences avaient été telles qu’un partenariat stratégique fut rapidement conclu entre la Métropole du Grand Paris et le campus Cyber de Puteaux, dans l’objectif de renforcer les défenses numériques des collectivités territoriales.

Un phénomène en pleine expansion

Loin d’être anecdotiques, ces attaques traduisent un phénomène de fond : la montée en puissance du cybercrime ciblant les entités publiques. Selon un rapport publié en février dernier, une commune sur dix en France affirme avoir été victime d’une cyberattaque au cours des douze derniers mois. Cette statistique, en forte progression par rapport aux années précédentes, illustre l’ampleur de la menace. Des villes comme Chaville ou Saint-Cloud, déjà touchées en 2022, en ont fait les frais.

Ce qui motive les cybercriminels n’est pas toujours clair. Il peut s’agir de rançongiciels, qui visent à extorquer de l’argent en échange de la restitution des données volées ou chiffrées. Mais dans certains cas, les motivations peuvent être politiques ou liées à l’espionnage. Quelle que soit la cause, le résultat est souvent le même : des semaines, voire des mois, de paralysie partielle des services, des dépenses imprévues et une perte de confiance des citoyens.

Une commune sur dix en France a été victime d’une cyberattaque au cours de l’année écoulée, selon une étude publiée en février.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Des réponses encore balbutiantes

Face à cette nouvelle donne, les collectivités locales cherchent à s’organiser. Le partenariat évoqué entre la Métropole du Grand Paris et le campus Cyber est un exemple de réaction institutionnelle à un risque devenu systémique. Ce campus, installé à Puteaux, se présente comme un centre névralgique de l’expertise en cybersécurité, rassemblant acteurs publics, entreprises privées et chercheurs.

Mais la tâche est immense. La majorité des collectivités locales ne disposent ni des ressources humaines ni des budgets pour assurer une cybersécurité de haut niveau. Le coût moyen d’une cyberattaque pour une collectivité territoriale peut s’élever à plusieurs centaines de milliers d’euros, sans compter les pertes indirectes liées à l’interruption des services publics. Pour les petites communes, souvent dépourvues de direction informatique propre, la prévention et la réponse aux attaques relèvent du casse-tête.

Le plan national de cybersécurité, lancé en 2021 par le gouvernement français, avait pour ambition d’accompagner les collectivités dans leur transformation numérique sécurisée. Pourtant, les résultats peinent à suivre. Beaucoup d’élus locaux pointent du doigt la complexité des dispositifs d’aides, jugés trop technocratiques. D’autres dénoncent un manque de formation et de sensibilisation à la sécurité numérique, aussi bien pour les agents publics que pour les élus.

Les cyberattaques n’épargnent plus aucune strate de l’administration. Et pourtant, dans bien des cas, les collectivités découvrent leur vulnérabilité une fois l’attaque survenue, jamais avant. Ce qui soulève une inquiétude légitime : combien d’entre elles sont actuellement infiltrées sans le savoir ? Combien de failles dorment encore dans les systèmes, prêtes à être exploitées ?

Le prix du numérique

L’attaque contre les Hauts-de-Seine met une nouvelle fois en lumière le paradoxe auquel sont confrontées les administrations publiques : la course à la numérisation des services, encouragée au nom de la modernité et de l’efficacité, s’accompagne de risques technologiques considérables. La dépendance croissante aux systèmes informatiques transforme chaque faille de sécurité en bombe à retardement.

La collectivité départementale s’efforce désormais de rétablir l’accès à ses applications et réseaux. Mais ce type d’accident, outre le coût financier qu’il engendre, produit un effet délétère sur la confiance du public. Dans un monde où la transparence, l’accessibilité et la réactivité sont devenues les maîtres mots de la gestion publique, un écran noir sur les systèmes numériques devient vite un symbole d’impuissance.

Alors que la cybersécurité ne cesse de gagner en importance, cette dernière attaque dans les Hauts-de-Seine vient rappeler que les collectivités locales, malgré leurs efforts, demeurent des cibles de choix. Et qu’à l’ère du tout numérique, la guerre invisible qui se joue dans les câbles et les serveurs pourrait bien devenir l’un des plus grands défis des administrations publiques françaises.

Rejoignez-nous sur notre news letter, sur WhatsApp et suivez notre veille sur Twitter/X, LinkedIn & YouTube.

cyberattaque, Entreprise

Cyberattaque chez Co-op : les révélations accablantes des pirates

Les pirates du groupe DragonForce affirment avoir volé les données de 20 millions de membres de la coopérative britannique Co-op, malgré les démentis initiaux de l’entreprise.

Alors que la cybersécurité est devenue un enjeu majeur pour les entreprises du monde entier, une nouvelle attaque d’envergure secoue le Royaume-Uni. Le géant britannique de la distribution, Co-op, a été victime d’un piratage informatique attribué au groupe DragonForce, un collectif notoire dans le milieu du rançongiciel. Ce dernier affirme avoir exfiltré d’importantes quantités de données sensibles, concernant à la fois des employés et des clients de l’entreprise. Malgré une communication initiale rassurante de la part de Co-op, les révélations faites à la BBC par les pirates eux-mêmes, accompagnées de preuves concrètes, jettent une lumière inquiétante sur l’ampleur réelle de la brèche.

DragonForce, connu pour ses opérations d’extorsion numérique, a contacté la BBC pour fournir des captures d’écran de son message initial envoyé au chef de la cybersécurité de Co-op. Ce message, daté du 25 avril, a été transmis via Microsoft Teams, une méthode de communication inhabituelle mais révélatrice du niveau d’infiltration atteint par le groupe. Dans un geste encore plus audacieux, les pirates ont ensuite tenté un appel direct au responsable de la sécurité de Co-op, cherchant vraisemblablement à forcer une négociation ou à démontrer leur contrôle sur les systèmes internes.

L’entreprise a dans un premier temps minimisé l’incident, déclarant qu’aucune donnée client ne semblait avoir été compromise. Mais quelques jours plus tard, face à l’accumulation de preuves, Co-op a dû reconnaître que des acteurs malveillants avaient bel et bien eu accès à des informations appartenant à des membres actuels et passés. Les pirates, quant à eux, affirment avoir mis la main sur les données de 20 millions de membres inscrits au programme de fidélité de Co-op — un chiffre que la société n’a pas confirmé, alimentant ainsi la confusion et les spéculations.

« Les pirates ont eu accès aux identifiants du personnel, à 10 000 dossiers clients, aux numéros de carte de membre, noms, adresses et coordonnées personnelles », rapporte la BBC.

Si l’on en croit les informations transmises par DragonForce, la portée de l’attaque dépasse de loin ce que l’on craignait. Les hackers disent avoir infiltré les équipes internes de l’entreprise, récupérant notamment les identifiants de connexion de plusieurs employés. Ils auraient aussi exfiltré au moins 10 000 dossiers clients contenant noms, adresses postales, adresses e-mail, numéros de téléphone et numéros de carte de membre Co-op. La BBC précise qu’elle a pu consulter un échantillon de ces données et qu’après vérification, celles-ci ont été détruites.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Co-op a toutefois tenu à rassurer ses membres : selon un porte-parole, les informations volées n’incluraient ni les mots de passe, ni les coordonnées bancaires, ni les données de carte de crédit. Les informations relatives aux transactions ou aux services souscrits par les clients seraient également épargnées. Un soulagement relatif pour les consommateurs, mais qui ne dissipe pas l’inquiétude sur la gestion de la crise par l’entreprise.

Cette affaire relance le débat sur la transparence des entreprises victimes de cyberattaques. Car si Co-op a fini par admettre l’intrusion, son refus de confirmer l’ampleur exacte du vol de données alimente les doutes. Pour les experts en cybersécurité, cette stratégie de communication minimaliste est risquée. Elle nuit à la confiance des clients et pourrait exposer l’entreprise à des sanctions réglementaires, notamment dans le cadre du RGPD européen, qui impose des délais stricts et des obligations de notification en cas de fuite de données personnelles.

DragonForce, qui a également revendiqué une attaque récente contre M&S et affirmé avoir tenté de pirater Harrods, fonctionne selon un modèle bien rodé. Le groupe diffuse ses outils via un réseau d’affiliés, en échange d’un pourcentage sur les rançons obtenues. Cette approche de la cybercriminalité, qui rappelle les logiques de start-up, lui permet de multiplier les attaques tout en diversifiant ses cibles. Les experts estiment que le groupe est constitué majoritairement d’adolescents anglophones, animés à la fois par des motivations financières et une forme de défi idéologique envers les grandes entreprises.

Les canaux de communication utilisés par DragonForce, notamment Telegram et Discord, jouent un rôle central dans leur stratégie. Ils y diffusent les preuves de leurs attaques, publient des listes de victimes et parfois même des données volées, exerçant ainsi une pression publique sur les organisations ciblées. Cette tactique s’avère redoutablement efficace : l’exposition médiatique incite certaines entreprises à céder au chantage pour éviter que leurs informations confidentielles ne soient divulguées sur Internet.

La question de savoir si Co-op a reçu une demande de rançon demeure floue. L’entreprise ne s’est pas exprimée sur ce point, mais le message envoyé via Microsoft Teams laisse penser que les pirates cherchaient à ouvrir un canal de négociation. Refuser de répondre publiquement à cette question pourrait s’expliquer par le souhait de ne pas encourager d’autres attaques similaires, ou par la simple volonté de limiter les retombées médiatiques.

Au-delà du cas Co-op, cette cyberattaque illustre une évolution préoccupante du paysage numérique. Les cybercriminels n’hésitent plus à cibler des structures de grande envergure, à compromettre leurs systèmes internes et à se servir des médias pour amplifier leur pouvoir de nuisance. Dans un contexte où les données personnelles constituent un actif stratégique, les entreprises doivent redoubler de vigilance, investir dans des dispositifs de protection plus robustes et surtout adopter une posture de transparence active dès qu’une faille est détectée.

D’un point de vue juridique, le vol présumé de données de millions de clients pourrait entraîner des poursuites et des sanctions. Si le chiffre de 20 millions de personnes concernées venait à être confirmé, il s’agirait d’une des violations de données les plus importantes qu’ait connues le Royaume-Uni ces dernières années. À l’échelle européenne, les conséquences seraient tout aussi significatives, notamment en matière de régulation et de cybersécurité.

Dans ce climat tendu, les entreprises sont appelées à repenser leurs protocoles de réponse aux incidents, à renforcer la formation de leurs employés et à mettre en place des dispositifs de surveillance avancés. La collaboration avec les autorités judiciaires et les experts en cybersécurité devient également essentielle pour contenir les dégâts, identifier les auteurs et prévenir de nouvelles intrusions.

La cyberattaque contre Co-op agit donc comme un électrochoc. Elle met en lumière les failles d’un système encore trop vulnérable face à des pirates toujours plus organisés, inventifs et audacieux. Elle rappelle également aux consommateurs l’importance de la vigilance numérique : changer régulièrement ses mots de passe, surveiller ses relevés bancaires et être attentif aux communications inhabituelles sont devenus des gestes de prudence élémentaires.

Alors que les menaces numériques s’intensifient et que les groupes comme DragonForce gagnent en influence, une question essentielle demeure : comment les entreprises peuvent-elles regagner la confiance du public et garantir la sécurité de nos données dans un monde de plus en plus connecté ?

Harrods a confirmé une cyberattaque

Après des incidents similaires subis par M&S et Co-op, ce qui en fait le troisième grand détaillant britannique ciblé en quelques jours. Le grand magasin de luxe Harrods a confirmé la cyberattaque. « Nous avons récemment été confrontés à des tentatives d’accès non autorisé à certains de nos systèmes », a pu lire DataSecuritybreach.fr dans un communiqué publié par l’entreprise. « Notre équipe de sécurité informatique expérimentée a immédiatement pris des mesures proactives pour assurer la sécurité des systèmes et, par conséquent, nous avons restreint l’accès à Internet sur nos sites aujourd’hui.« 

En réponse à l’attaque, l’entreprise a « restreint l’accès à Internet sur ses sites« , mais le site de Harrods est resté en ligne. Harrods n’a pas fourni de détails techniques sur les attaques, et il n’est pas clair s’il a subi une violation de données.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

cyberattaque, Entreprise

Cyberattaque sur le bureau du procureur général de Virginie : le groupe Cloak revendique la responsabilité

Le groupe de ransomware Cloak a revendiqué la responsabilité de la cyberattaque qui a frappé le bureau du procureur général de Virginie en février dernier. L’attaque a forcé les autorités à désactiver les systèmes informatiques, perturbant le fonctionnement de l’institution et exposant potentiellement des données sensibles.

En février 2025, une cyberattaque sophistiquée a été détectée au sein du bureau du procureur général de Virginie, provoquant l’arrêt immédiat des systèmes informatiques internes, y compris les services de messagerie et de VPN. Face à l’ampleur de la faille, les responsables ont dû revenir temporairement à des procédures manuelles, utilisant des documents papier pour assurer la continuité du service. Steven Popps, procureur général adjoint en chef, a décrit l’attaque comme « particulièrement complexe », soulignant le niveau de sophistication des techniques employées par les assaillants. L’incident a été immédiatement signalé au FBI, à la police d’État de Virginie et à l’Agence des technologies de l’information de Virginie (VITA), qui ont ouvert une enquête pour évaluer l’ampleur des dégâts et identifier la source de l’attaque.

Le bureau du procureur général de Virginie est resté très discret sur la nature exacte de la brèche, refusant de divulguer des détails précis sur les systèmes compromis ou les types de données potentiellement volées. Cependant, le 20 mars 2025, le groupe Cloak a ajouté le bureau du procureur général de Virginie à la liste de ses victimes sur son site de fuite hébergé sur le dark web. Le groupe a déclaré que le délai de négociation avec les autorités avait expiré et a affirmé avoir volé 134 Go de données sensibles lors de l’attaque.

Des captures d’écran de certains fichiers volés avaient été publiées comme preuve initiale du piratage. Désormais, l’ensemble des 134 Go de données est accessible en téléchargement sur la plateforme de fuite du groupe. La divulgation de ces fichiers fait craindre une potentielle exposition de documents juridiques sensibles, de communications internes, et d’informations confidentielles concernant des enquêtes en cours. Cette fuite massive pourrait avoir des conséquences majeures sur le fonctionnement du bureau du procureur général, tout en compromettant la sécurité des affaires traitées par l’institution.

Cloak : un groupe de ransomware organisé et expérimenté

Le groupe Cloak est actif depuis au moins 2023. Selon un rapport de la société de cybersécurité Halcyon, le groupe aurait déjà ciblé plus d’une centaine d’organisations, principalement en Europe et en Asie. L’Allemagne figure parmi les cibles privilégiées du groupe, mais les attaques se sont également étendues à d’autres pays, touchant divers secteurs économiques, notamment la santé, l’immobilier, la construction, l’informatique, l’agroalimentaire et la production industrielle. Cette diversification des cibles témoigne de la capacité d’adaptation du groupe et de la sophistication de ses méthodes d’attaque.

Le mode opératoire de Cloak repose en grande partie sur l’acquisition d’accès réseau par l’intermédiaire de courtiers d’accès initiaux (Initial Access Brokers, IAB) ou par des techniques d’ingénierie sociale. Les méthodes employées incluent le hameçonnage (phishing), les publicités malveillantes (malvertising), les kits d’exploitation de vulnérabilités et les téléchargements furtifs (drive-by downloads) déguisés en mises à jour légitimes de logiciels, comme les installateurs de Microsoft Windows. Cette capacité à manipuler le comportement des utilisateurs par des techniques psychologiques et technologiques rend les attaques particulièrement difficiles à détecter avant qu’elles ne soient en cours d’exécution.

Cloak utilise une variante du ransomware ARCrypter, dérivée du code source du ransomware Babuk, qui avait fuité en 2021. Une fois le réseau infiltré, le ransomware chiffre les fichiers sensibles, rendant leur accès impossible sans une clé de déchiffrement. Les attaquants exigent ensuite une rançon, souvent en cryptomonnaie, en échange de cette clé. Si la victime refuse de payer ou tarde à réagir, Cloak menace de divulguer publiquement les données volées sur le dark web, comme ce fut le cas dans l’attaque contre le bureau du procureur général de Virginie.

Une attaque qui soulève des questions sur la sécurité des institutions publiques

L’attaque contre le bureau du procureur général de Virginie met en lumière la vulnérabilité des infrastructures informatiques des institutions publiques face à des menaces cyber de plus en plus agressives. Les institutions gouvernementales, souvent dotées de systèmes informatiques vieillissants et de protocoles de sécurité obsolètes, sans parler de la mise à la porte de milliers de fonctionnaires aux USA par l’administration TRUMP, constituent des cibles privilégiées pour les groupes de ransomware. La capacité des attaquants à paralyser les opérations critiques du bureau du procureur général démontre le niveau de préparation et de sophistication de Cloak.

Les conséquences potentielles de cette attaque sont multiples. Outre la compromission des dossiers juridiques en cours, le vol de données pourrait entraîner une manipulation de certaines affaires sensibles. Les communications internes du bureau, y compris les stratégies de défense et les éléments à charge dans des procédures judiciaires, pourraient également être utilisées comme levier par des acteurs malveillants.

Steven Popps, procureur général adjoint, a déclaré que le bureau s’efforce de restaurer ses systèmes et de renforcer ses mesures de sécurité. Les autorités de Virginie collaborent étroitement avec le FBI et la police d’État pour identifier les auteurs de l’attaque et évaluer l’ampleur des dommages causés. Cependant, dans la mesure où Cloak opère depuis des juridictions étrangères, les possibilités d’arrestation ou de sanction directe restent limitées.

Arnaque, cyberattaque

Rakuten face à une vague d’escroqueries par hameçonnage : les clients appelés à renforcer leur sécurité

Rakuten Securities a récemment alerté ses clients sur une augmentation inquiétante des escroqueries par hameçonnage ayant entraîné des connexions et des transactions non autorisées. L’entreprise exhorte ses clients à renforcer la sécurité de leurs comptes pour faire face à cette menace croissante.

Depuis la fin de l’année dernière, les cyberattaques ciblant le secteur financier se sont intensifiées, exposant les investisseurs à des risques accrus. Rakuten Securities, l’un des plus grands courtiers en ligne, a constaté une augmentation spectaculaire des cas d’hameçonnage (phishing) conduisant à des transactions boursières non autorisées. Les victimes se retrouvent souvent piégées après avoir reçu des messages frauduleux ressemblant à des communications officielles. Cette situation met en lumière les vulnérabilités du système financier numérique et la nécessité de renforcer les mesures de sécurité pour protéger les investisseurs.

Une montée en puissance des attaques ciblées

Le 21 mars 2025, Rakuten Securities a publié une déclaration officielle sur sa page d’accueil, attirant l’attention de ses clients sur la gravité de la situation. L’entreprise a signalé une hausse significative des demandes de renseignements concernant des connexions suspectes à des comptes de trading et des transactions effectuées sans l’autorisation des titulaires.

« Depuis la fin de l’année dernière, nous avons reçu de nombreuses demandes de renseignements de la part de clients concernant des connexions non autorisées« . Cette augmentation des signalements reflète une tendance inquiétante dans le secteur financier, où les attaques informatiques se professionnalisent et ciblent des comptes à fort potentiel de rendement.

Parmi les cas signalés, certains clients ont découvert que des actions chinoises avaient été achetées à leur insu. Cette situation laisse supposer une tentative de manipulation des cours boursiers par des criminels cherchant à exploiter les fluctuations de titres peu liquides. Ce type de fraude est particulièrement difficile à détecter, car il repose sur des transactions en apparence légitimes, dissimulées au sein de volumes de trading importants.

La stratégie des criminels : sophistication et adaptation

Les escroqueries par hameçonnage sont devenues de plus en plus sophistiquées. Les cybercriminels utilisent des méthodes avancées pour inciter les investisseurs à divulguer leurs identifiants de connexion. Des faux emails, des messages texte et des appels téléphoniques imitant les communications officielles de Rakuten Securities sont employés pour tromper les victimes.

Ces techniques d’hameçonnage ne se contentent plus de demander des identifiants de connexion. Elles exploitent également des méthodes d’ingénierie sociale pour obtenir des informations sensibles supplémentaires, comme les codes de vérification envoyés par SMS.

Les criminels s’adaptent rapidement aux nouvelles mesures de sécurité. Ils exploitent les failles comportementales des utilisateurs et utilisent l’intelligence artificielle pour personnaliser leurs attaques.

L’une des stratégies les plus fréquentes consiste à pousser la victime à télécharger une application ou un fichier infecté. Une fois installé, le logiciel malveillant permet aux attaquants d’intercepter les données de connexion en temps réel et de contourner les dispositifs de sécurité tels que l’authentification à deux facteurs (2FA).

Des transactions boursières suspectes : la menace d’une manipulation du marché

Le rapport de Rakuten Securities met en évidence une tendance inquiétante : les attaques ciblent non seulement des comptes individuels, mais également des portefeuilles d’actions spécifiques. Les actions chinoises semblent être une cible privilégiée des criminels.

En achetant des titres peu liquides à l’insu des investisseurs, les attaquants parviennent à influencer temporairement le cours de ces actions. En gonflant artificiellement la demande, ils provoquent une hausse des prix, leur permettant de vendre ensuite ces titres à profit avant que le marché ne corrige l’anomalie.

Cette tactique, connue sous le nom de « pump and dump« , est particulièrement redoutable dans un contexte de marché volatil. Les actions chinoises, souvent cotées à la fois sur les bourses asiatiques et internationales, offrent un terrain propice à ce type de manipulation. Les criminels peuvent ainsi exploiter les écarts de cotation entre différentes places boursières pour maximiser leurs profits.

Le fait que des actions chinoises soient spécifiquement ciblées suggère une coordination entre plusieurs acteurs criminels. Cela pourrait être le signe d’une tentative de manipulation de grande ampleur.

Une menace persistante dans le secteur financier

Les incidents signalés s’inscrivent dans une tendance plus large de cybercriminalité ciblant les institutions financières. Les services de courtage en ligne sont particulièrement vulnérables en raison du volume élevé de transactions et de la valeur des portefeuilles détenus par leurs clients.

Les plateformes de trading sont devenues une cible de choix pour les cybercriminels, attirés par la perspective de gains rapides et la possibilité de blanchir des fonds par le biais de transactions complexes. Les cryptomonnaies jouent également un rôle clé dans ces opérations, offrant aux criminels un moyen d’échapper aux contrôles traditionnels.

Dans un contexte de marché de plus en plus interconnecté, la question demeure : les plateformes de trading seront-elles capables de combler le fossé technologique face à des attaquants toujours plus sophistiqués ?

backdoor, cyberattaque

Chrome sous attaque : une faille critique exploitée dans une campagne de cyber espionnage

Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.

Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.

Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.

Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.

« Une sophistication rare, digne d’acteurs étatiques »

L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).

L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.

Un correctif publié, mais l’enquête se poursuit

L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.

Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.

L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.

Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.

Un jeu d’échecs numérique aux ramifications géopolitiques

Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.

Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.

Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?