Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Mise à jour, Patch

Septembre : Zero Day en amont, Patch Tuesday plus calme

Deux Zero Day Android, une faille WhatsApp et une vulnérabilité WinRAR ont marqué septembre. Le Patch Tuesday s’annonce plus sobre, mais Windows et Adobe restent des priorités.

Le mois de septembre a été rythmé par plusieurs vulnérabilités Zero Day découvertes avant le Patch Tuesday : deux failles critiques dans Android, une brèche dans WhatsApp et une autre dans WinRAR. Microsoft publie ensuite 81 correctifs, dont huit jugés critiques et deux déjà divulgués publiquement. Adobe diffuse en parallèle neuf mises à jour couvrant 22 CVE, dont certaines touchant Acrobat Reader, ColdFusion et Premiere Pro. Malgré un Patch Tuesday relativement calme, la pression reste forte : l’exploitation active des Zero Day, conjuguée à une attaque de la chaîne d’approvisionnement via Drift AI et Salesforce, rappelle l’ampleur de la surface de menace.

Zéro Day avant le Patch Tuesday

Les jours précédant le Patch Tuesday de septembre ont été agités. Deux vulnérabilités critiques dans Android (CVE-2025-38352 et CVE-2025-48543) ont été exploitées activement. Elles s’ajoutent à une faille Zero Day dans WhatsApp (CVE-2025-55177) et à une vulnérabilité similaire dans WinRAR (CVE-2025-8088). Ces quatre incidents suffisent à reconfigurer l’agenda des équipes de sécurité. Parallèlement, une attaque visant la chaîne d’approvisionnement a touché l’agent conversationnel Drift AI, exposant des données de clients Salesforce. L’ensemble illustre la multiplication des vecteurs d’attaque, allant des applications mobiles aux logiciels tiers en passant par les intégrations cloud.

Microsoft a corrigé 81 nouvelles vulnérabilités ce mois-ci, dont huit classées critiques. Parmi elles figurent cinq exécutions de code à distance, deux élévations de privilèges et une divulgation d’informations, toutes affectant Windows ou Office. Deux vulnérabilités avaient déjà été rendues publiques. La première, CVE-2025-55234, concerne le protocole SMB de Windows. Elle offre une élévation de privilèges et affiche un score CVSS de 8,8. Microsoft la classe comme importante, avec un niveau de maturité de code non prouvé. La seconde, CVE-2024-21907, est liée à Newtonsoft.Json et touche SQL Server 2016 à 2019. Elle permet un déni de service à distance, selon l’usage de la bibliothèque. Là encore, l’évaluation du risque recommande de la traiter comme importante. Ces deux divulgations montrent que les failles connues circulent rapidement, augmentant le risque d’exploitation opportuniste.

Mises à jour Adobe et priorités de septembre

Adobe a publié neuf mises à jour couvrant 22 CVE, dont 12 critiques. Les produits concernés incluent Acrobat Reader, Premiere Pro, After Effects, Commerce, ColdFusion, Experience Manager, Dreamweaver et deux outils de modélisation 3D. Adobe attribue une priorité 1 à ColdFusion et une priorité 2 à Commerce. Les autres mises à jour sont classées en priorité 3, donc moins urgentes. La hiérarchisation proposée par Adobe renvoie à l’usage intensif de certaines plateformes en production. Pour ce mois de septembre, les équipes de sécurité doivent donc d’abord traiter les Zero Day détectées avant le Patch Tuesday. Ensuite, elles peuvent planifier les mises à jour Microsoft et Adobe dans le cadre des opérations de maintenance mensuelles. L’absence de nouvelles Zero Day dans le Patch Tuesday allège la charge immédiate, mais l’intensité des incidents précédents rappelle que la vigilance ne peut pas se relâcher.

La séquence de septembre montre un contraste entre l’intensité des Zero Day découvertes avant le Patch Tuesday et la relative stabilité des correctifs officiels. Une question demeure : les équipes de sécurité peuvent-elles maintenir une priorisation efficace face à la convergence des menaces mobiles, logicielles et cloud ?

Base de données, Cybersécurité, Entreprise, Securite informatique

Data Act : nouvelles règles européennes dès le 12 septembre 2025

À partir du 12 septembre 2025, le Data Act entre en application. Ce règlement européen bouleverse l’accès, le partage et la portabilité des données, avec des enjeux clés en cybersécurité.

Le Data Act, règlement européen adopté en 2023, deviendra pleinement applicable le 12 septembre 2025. Son objectif : redonner aux utilisateurs, particuliers comme professionnels, le contrôle des données générées par les objets connectés et services numériques. Le texte impose aux entreprises de garantir un accès simple, gratuit et lisible aux données, d’assurer la portabilité entre prestataires de cloud et de revoir leurs contrats selon des clauses équitables (FRAND). En cas d’urgence publique, les autorités pourront exiger certains accès, tandis que les demandes étrangères seront strictement encadrées. Les sanctions atteignent 20 M€ ou 4 % du chiffre d’affaires mondial. Les acteurs du numérique doivent adapter leurs systèmes, contrats et produits sans délai.

Accès et partage des données

Le principe fondateur du Data Act repose sur l’accès généralisé aux données issues des objets connectés. Les utilisateurs, qu’ils soient particuliers ou entreprises, pourront consulter et réutiliser les données qu’ils produisent. Les fabricants et fournisseurs de services associés auront l’obligation de les mettre à disposition gratuitement, dans des formats structurés et interopérables. L’utilisateur pourra également décider de partager ces informations avec un tiers de son choix, sans restriction contractuelle. Cette évolution vise à rééquilibrer les rapports de force dans l’économie des données, où les détenteurs d’infrastructures ont jusqu’ici concentré l’essentiel de la valeur et du contrôle. Pour la cybersécurité, la multiplication des flux de données soulève toutefois des défis : garantir un accès sécurisé, tracer les transmissions et prévenir les usages abusifs.

Les relations contractuelles entre entreprises devront s’aligner sur une grille équitable. Le règlement impose des conditions dites FRAND (Fair, Reasonable and Non-Discriminatory). Les clauses jugées abusives sont interdites, et une présomption de non-discrimination s’applique désormais. L’objectif est d’empêcher qu’un acteur dominant n’impose unilatéralement des conditions défavorables à ses partenaires. Cela concerne directement les licences de données, les CGV et les accords de prestation liés au cloud. La Commission prévoit de publier des modèles contractuels types pour guider les entreprises. Pour les directions juridiques, c’est un chantier majeur : sécuriser les engagements, anticiper les litiges, et intégrer dès aujourd’hui une logique de partage contrôlé. En arrière-plan, cette normalisation contractuelle vise aussi à limiter les risques d’exploitation économique des données sensibles.

Portabilité et changement de prestataire

Le Data Act introduit un droit effectif à la portabilité des données. Les utilisateurs pourront changer de fournisseur de cloud, SaaS ou IaaS sans supporter de coûts supplémentaires. La migration devra être techniquement possible en 30 jours maximum. À partir de janvier 2027, les frais liés à cette opération seront totalement interdits. Cette mesure ouvre le marché et renforce la concurrence entre prestataires, souvent critiqués pour leurs pratiques de verrouillage. Elle oblige les acteurs à développer des interfaces standardisées et documentées pour faciliter le transfert. Sur le plan cyber, la portabilité massive accroît l’exposition : plus de mouvements de données signifient plus de vecteurs potentiels pour les attaques. Les équipes techniques devront intégrer chiffrement, journalisation et protocoles robustes pour limiter les risques.

Le Data Act impose aux entreprises une refonte de leurs systèmes et contrats. Les obligations techniques, juridiques et organisationnelles exigent une adaptation rapide. La question centrale reste : les mécanismes de portabilité et de partage seront-ils compatibles avec un niveau élevé de cybersécurité ?

Le Data Act s’applique dès septembre 2025. Accès, portabilité et contrats : un tournant européen majeur aux forts enjeux cyber et économiques.

Cybersécurité, Mise à jour, Patch

Microsoft publie enfin le code source historique de BASIC 6502

Après des décennies de rumeurs et de copies non officielles, Microsoft ouvre le code source de son BASIC pour processeur MOS 6502, pierre angulaire de l’informatique personnelle.

Microsoft a mis en accès libre le code source de son interpréteur BASIC pour processeur MOS 6502. Longtemps resté dans l’ombre, accessible uniquement via des fuites ou des archives, il est désormais disponible sous licence MIT. Ce langage, porté en 1976 et adopté dès 1977 par Commodore pour ses ordinateurs PET, VIC-20 et Commodore 64, a contribué à démocratiser l’informatique personnelle. Le dépôt GitHub publié par Microsoft inclut près de 7 000 lignes d’assembleur, des notes historiques et des commits rétrodatés. Ce geste éclaire les origines de l’entreprise et la centralité du BASIC dans son modèle économique initial, tout en offrant à la communauté un patrimoine technologique à explorer et réinventer.

Un langage fondateur libéré

Microsoft a publié le code source de la version 1.1 de son BASIC pour le processeur MOS 6502, une première dans l’histoire de l’entreprise. Écrit en assembleur, le fichier compte 6 955 lignes et reprend les améliorations proposées par l’ingénieur de Commodore John Feagans, ainsi que par Bill Gates lui-même, en 1978. Cette mouture correspond à ce que les utilisateurs des Commodore PET connaissaient sous l’appellation BASIC V2. Jusqu’à présent, il n’existait qu’à travers des copies non officielles, des disquettes de musée ou des projets de rétro-ingénierie.

Le dépôt GitHub mis en ligne sous licence MIT autorise une réutilisation sans restriction, y compris commerciale. Microsoft y a ajouté des commits artificiellement datés d’« il y a 48 ans » et des notes explicatives retraçant l’évolution du langage. L’entreprise redonne ainsi vie à un élément clé de son ADN technologique.

Du prototype Altair aux millions de Commodore

Le premier BASIC de Microsoft a été conçu en 1975 pour l’Altair 8800, un ordinateur équipé du processeur Intel 8080. Ce travail fondateur a été réalisé par Bill Gates et Paul Allen. Dès 1976, avec l’aide de Rick Weiland, le langage est porté sur le MOS 6502, un processeur qui allait s’imposer dans l’histoire de l’informatique.

En 1977, Commodore obtient une licence pour 25 000 $ (≈ 23 000 €). Le BASIC est alors intégré aux PET, puis aux VIC-20 et Commodore 64. Ces deux derniers modèles atteignent des ventes de masse, propulsant le langage et l’entreprise américaine sur le devant de la scène. La stratégie de licences de Microsoft trouve là son premier socle économique solide, bien avant l’ère MS-DOS et Windows.

Le code révèle également une attention extrême portée à l’efficacité mémoire. Sur des systèmes 8 bits limités, la gestion des chaînes, l’arithmétique en virgule flottante et le ramasse-miettes représentaient des défis techniques cruciaux. Des « Easter Eggs » signés Bill Gates, dissimulés dans certaines étiquettes du code (STORDO, STORD0), attestent d’une pratique déjà courante de signatures cachées dans les logiciels.

Le processeur MOS 6502 a équipé des machines devenues emblématiques : Apple II, consoles Atari 2600, Nintendo NES et toute la gamme Commodore. Sa simplicité d’architecture et son faible coût l’ont rendu incontournable. Ce processeur reste un symbole pour les passionnés qui continuent à le reproduire en FPGA, à créer des émulateurs et à imaginer de nouvelles éditions de machines historiques comme le Commodore 64.

Le geste de Microsoft s’inscrit dans cette dynamique patrimoniale. En mettant à disposition ce code, l’entreprise offre à la communauté non seulement une ressource technique, mais aussi une pièce d’histoire. L’initiative résonne avec l’engouement croissant pour l’archéologie numérique et les expérimentations rétro-informatiques.

BASIC a façonné l’accès à l’informatique personnelle : du curseur clignotant sur l’écran d’un Commodore aux projets de réédition en 2025, son empreinte reste intacte. La publication du code sous licence libre garantit sa transmission et son adaptation, loin des contraintes propriétaires d’autrefois.

La mise en ligne du BASIC 6502 dépasse l’acte symbolique. Elle rappelle comment un langage compact et efficace a façonné l’économie et la culture de Microsoft. Elle pose aussi une question contemporaine : dans un monde dominé par les logiciels propriétaires et les plateformes fermées, quelle place reste-t-il pour la transmission libre des codes fondateurs ?

Cybersécurité, Justice

Le Congrès américain veut prolonger la loi clé sur le partage cyber

Une commission du Congrès a validé la prolongation de la loi de 2015 sur le partage d’informations cyber, outil central pour sécuriser les échanges entre entreprises privées et gouvernement.

La loi américaine sur le partage d’informations cyber, adoptée en 2015 après le piratage massif de l’Office of Personnel Management, arrive à expiration le 30 septembre. Une commission de la Chambre a approuvé son renouvellement via le WIMWIG Act, qui prolongerait le dispositif de dix ans. Le texte protège les entreprises de poursuites lorsqu’elles transmettent des renseignements sur des menaces informatiques aux autorités fédérales. S’il est jugé crucial pour la coopération public/privé, le processus de révision suscite des critiques sur la transparence et alimente un débat politique autour du rôle de l’agence CISA, accusée par certains élus républicains de censure en matière de désinformation.

Un cadre légal en sursis

Adoptée en 2015, la loi Cybersecurity and Information Sharing Act (CISA) autorise les acteurs privés à transmettre des renseignements sur des cybermenaces aux autorités fédérales sans crainte de poursuites. Elle devait expirer le 30 septembre. La commission de la Sécurité intérieure de la Chambre a validé mercredi une extension baptisée WIMWIG Act, pour Widespread Information Management for the Welfare of Infrastructure and Government. Cette reconduction de dix ans doit désormais être examinée en séance plénière.

L’adoption initiale de la loi avait marqué un tournant après l’onde de choc provoquée par la fuite massive des données de l’Office of Personnel Management en 2015, qui avait exposé les informations de plus de 21 millions de fonctionnaires. L’affaire avait levé les dernières résistances nées des révélations d’Edward Snowden en 2013 sur les abus de surveillance. Depuis, la loi a permis d’ancrer une coopération jugée essentielle entre infrastructures critiques et gouvernement fédéral.

Des amendements techniques contestés

Le renouvellement du texte a été examiné sans opposition frontale sur le fond. Mais le démocrate Bennie Thompson, élu du Mississippi et chef de file minoritaire, a dénoncé une procédure expéditive. Selon lui, le président de la commission Andrew Garbarino, républicain de New York, a « écourté inutilement » les discussions, la version publique n’ayant été dévoilée que deux jours avant l’examen.

Plusieurs amendements techniques ont été intégrés sans provoquer de débat majeur. Les critiques se sont concentrées sur la méthode, révélant les tensions partisanes autour du dossier, plus que sur la substance du dispositif de partage d’informations lui-même.

Le sujet le plus sensible reste le rôle de l’agence Cybersecurity and Infrastructure Security Agency (CISA). Certains élus républicains redoutent que cette structure fédérale, au cœur du dispositif, ne serve d’outil pour limiter la liberté d’expression. Ces craintes, relayées par le sénateur Rand Paul, président républicain de la commission sénatoriale de la Sécurité intérieure, pourraient peser lors de l’examen au Sénat. Paul, défenseur intransigeant du premier amendement, a annoncé vouloir insérer des garanties interdisant toute action assimilée à de la censure.

Les critiques s’appuient sur les campagnes menées par la CISA autour des élections de 2020, lorsqu’elle avait travaillé avec les plateformes en ligne pour contrer la désinformation. Pour ses détracteurs, ces actions auraient exercé une pression inconstitutionnelle sur des entreprises privées, aboutissant à la suppression de contenus jugés favorables aux conservateurs. Garbarino a confirmé avoir échangé avec Paul sur un texte en préparation visant directement l’agence, sans préciser s’il s’agissait d’un amendement au WIMWIG Act ou d’une proposition distincte.

Le renouvellement du cadre de partage d’informations cyber reste perçu comme indispensable pour protéger les infrastructures critiques. Mais les débats sur le rôle de la CISA et la crainte d’une dérive vers la censure pourraient-ils freiner l’adoption finale d’un dispositif pourtant jugé vital par les acteurs du renseignement et de la cybersécurité ?

backdoor, Cyber-attaque, Cybersécurité, Securite informatique

Google sous pression après une menace du collectif Scattered LapSus Hunters

Un collectif cybercriminel exige le licenciement de deux experts sécurité de Google. Sans preuve d’intrusion, la menace illustre une nouvelle tactique d’intimidation contre les équipes de renseignement.

Le collectif Scattered LapSus Hunters, réunissant trois groupes de pirates connus, menace Google de divulguer des données internes si deux de ses experts en cybersécurité ne sont pas renvoyés. Cette demande inédite, relayée sur Telegram, cible directement les équipes de Threat Intelligence de l’entreprise. Aucune preuve d’intrusion n’a été présentée à ce jour, mais la menace intervient après une fuite récente liée à un prestataire Salesforce ayant touché des données de contacts professionnels. Google n’a pas confirmé de compromission ni réagi publiquement à cet ultimatum. L’affaire met en lumière les pressions croissantes exercées sur les géants technologiques et le rôle clé de leurs cellules de renseignement cyber.

Origines et méthodes du collectif

Les Scattered LapSus Hunters se présentent comme une alliance de trois acteurs notoires de la cybercriminalité : Scattered Spider, LapSus$ et ShinyHunters. Chacun s’est déjà illustré par des attaques marquantes contre de grandes entreprises technologiques. Scattered Spider est réputé pour ses campagnes de social engineering et ses opérations de rançongiciels. LapSus$ s’est fait connaître en piratant Microsoft, NVIDIA et d’autres géants du secteur. ShinyHunters, pour sa part, a bâti sa réputation en volant et en revendant des bases de données issues de plateformes comme Wattpad ou Tokopedia. Personne ne s’est encore imaginé « publiquement » qu’ilm s’agirait peut-être de la même personne, cachait depuis peu sous ces trois signatures.

Cette coalition revendique aujourd’hui une stratégie atypique : exiger non pas une rançon financière, mais le renvoi de deux employés de l’équipe de Threat Intelligence de Google. Une telle démarche suggère que ces analystes mènent activement des enquêtes susceptibles de nuire aux opérations des cybercriminels. Les noms n’ont pas été divulgués, mais le ciblage personnel constitue une escalade significative dans la confrontation entre acteurs malveillants et équipes de défense.

Alerte après une fuite via Salesforce

La menace survient quelques semaines après un incident impliquant l’écosystème de Google. En août, l’un des groupes liés au collectif a exploité une faille chez Salesforce, prestataire externe de Google, pour accéder à des données de contacts professionnels. Les systèmes centraux de l’entreprise n’ont pas été compromis, mais l’événement a permis aux attaquants de récupérer des informations exploitables pour des campagnes de phishing et de vishing à grande échelle.

Face à ce risque accru, Google a diffusé une recommandation mondiale de réinitialisation de mots de passe, visant ses 2,5 milliards d’utilisateurs Gmail. Ce geste illustre la sensibilité de la menace, même lorsque la compromission ne touche pas directement les infrastructures internes. Les cybercriminels misent sur ces brèches périphériques pour multiplier les angles d’attaque.

À ce stade, Google n’a publié aucun communiqué officiel en réponse à l’ultimatum des Scattered LapSus Hunters. L’entreprise semble attendre d’éventuelles preuves tangibles avant d’ajuster sa posture publique. Complyer à une exigence visant des employés serait inédit et risquerait de créer un précédent dangereux, incitant d’autres groupes à recourir à l’extorsion ciblée.

Cette situation constitue un test pour les grandes entreprises technologiques. Elles doivent arbitrer entre discrétion stratégique, communication transparente envers leurs utilisateurs et protection de leurs équipes de renseignement. Si les pirates publient un jour des preuves crédibles d’intrusion, Google sera contraint d’activer ses protocoles de divulgation et de confinement. En attendant, l’épisode illustre la montée en puissance des tactiques de pression psychologique sur les défenseurs, autant que sur les infrastructures techniques.

Cybersécurité, Espionnage Spy, Justice

Disney sanctionné pour collecte illégale de données d’enfants

Disney a accepté de verser 10 M$ (9,3 M€) à la FTC pour avoir violé la loi COPPA en mal étiquetant des vidéos YouTube destinées aux enfants, permettant la collecte de données personnelles sans consentement parental.

Le règlement impose à Disney de revoir sa gestion de contenus en ligne. L’affaire révèle un problème plus large : les limites du système actuel de protection de la vie privée des mineurs, alors que la publicité ciblée et l’IA façonnent déjà l’écosystème numérique des plus jeunes.

Disney face aux accusations de la FTC

La FTC reproche à Disney d’avoir utilisé des paramètres par défaut au niveau des chaînes plutôt qu’une classification vidéo par vidéo. Résultat : des contenus pour enfants issus de franchises comme Frozen, Toy Story ou Les Indestructibles ont été étiquetés « non destinés aux enfants ». Cette erreur a ouvert la voie à la collecte de données et à la publicité personnalisée, pratiques interdites par la COPPA.

En 2020, YouTube avait pourtant corrigé plus de 300 vidéos mal classées, les passant en « contenu enfant ». Malgré ce signalement, Disney a maintenu son système de réglage global, y compris sur des chaînes explicitement dédiées aux plus jeunes comme Disney Junior, Mickey Mouse ou Pixar Cars. L’absence de contrôle individuel a ainsi prolongé les violations de la loi.

Selon la FTC, ces erreurs ont exposé les enfants à des fonctionnalités interdites, telles que l’autoplay ou les annonces ciblées. Disney, qui tire profit des revenus publicitaires générés sur YouTube, est accusé d’avoir négligé sa responsabilité en matière de protection des mineurs.

Les obligations du règlement

L’amende de 10 M$ (≈ 9,3 M€) n’est qu’un aspect de la sanction. Disney devra désormais informer clairement les parents avant toute collecte de données personnelles concernant des enfants de moins de 13 ans et obtenir leur accord préalable.

L’entreprise est également contrainte de mettre en place un programme complet de vérification de l’ensemble de ses vidéos YouTube. Cette obligation pourrait être levée uniquement si YouTube déploie une « technologie d’assurance d’âge » : un système capable de vérifier automatiquement l’âge réel des spectateurs.

Cette perspective ouvre un débat plus large. Jusqu’ici, les plateformes reposaient sur l’autodéclaration et le bon vouloir des entreprises pour étiqueter correctement leurs contenus. L’exigence de solutions automatisées marque un tournant vers une identification systématique et centralisée des spectateurs mineurs, avec tout ce que cela implique en termes de surveillance numérique.

Une première pour les créateurs de contenus YouTube

Le président de la FTC, Andrew Ferguson, a résumé l’enjeu : « Notre décision sanctionne l’abus de confiance des parents par Disney. » Au-delà du cas particulier, ce règlement illustre une évolution : les autorités ne se contentent plus de cibler les plateformes, elles sanctionnent désormais aussi les producteurs de contenus.

C’est la première fois qu’une procédure COPPA vise directement un fournisseur de vidéos sur YouTube, et non la plateforme elle-même. En 2019, Google et YouTube avaient conclu un accord record de 170 M$ (≈ 157,7 M€) pour des violations similaires. L’affaire Disney s’inscrit donc dans la continuité d’un durcissement de la régulation, où les grandes marques ne sont pas à l’abri.

Si Disney se conforme aux nouvelles règles, les contenus destinés aux enfants devraient être correctement classés à l’avenir, limitant l’exposition aux publicités ciblées et améliorant la protection des données. Mais l’affaire rappelle surtout que la protection des mineurs ne peut être laissée au seul bon sens des entreprises, même celles qui incarnent une image familiale.

L’affaire révèle un basculement : le contrôle des contenus pour enfants se déplace vers des mécanismes de vérification technique. La question reste ouverte : jusqu’où l’« assurance d’âge » automatisée peut-elle protéger les enfants sans instaurer une surveillance généralisée des internautes ?

Cybersécurité, Entreprise

Nicholas Andersen prend la tête de la cybersécurité de la CISA

Nicholas Andersen succède à Chris Butera et devient directeur exécutif adjoint chargé de la cybersécurité de la CISA. Son arrivée marque une étape clé pour l’agence au moment où les menaces contre les infrastructures critiques se multiplient.

Reconnu dans les milieux de la défense et de la cybersécurité, Nicholas Andersen a pris ses fonctions le 2 septembre 2025. La CISA, bras armé de Washington pour la protection numérique et physique des infrastructures vitales, mise sur son profil hybride – militaire, gouvernemental et privé – pour renforcer son dispositif face aux cyberattaques. L’agence veut ainsi accroître la résilience nationale, affiner sa coopération avec les acteurs stratégiques et répondre à l’évolution rapide des menaces, qu’elles soient étatiques ou criminelles.

Un profil taillé pour la cybersécurité nationale

Ancien officier des Marines, décoré pour son engagement en renseignement, Andersen s’est imposé comme une figure de référence dans la cybersécurité. Sa carrière illustre un parcours mixte : il a dirigé la sécurité de grandes entreprises tout en occupant des postes stratégiques dans l’appareil fédéral. Washington Executive l’avait désigné parmi les dix responsables sécurité à suivre.

Au sein du privé, il a été président et directeur opérationnel d’Invictus, supervisant la cybersécurité et l’intégration de solutions technologiques pour des clients fédéraux et commerciaux. Chez Lumen Technologies, il a conçu une stratégie de cybersécurité globale et développé des offres sécurisées pour le secteur public, renforçant ainsi les partenariats critiques avec l’État.

Expérience fédérale et réponse aux crises

Entre 2019 et 2021, Andersen a piloté la cybersécurité énergétique au Département de l’Énergie. D’abord adjoint principal, puis secrétaire adjoint par intérim, il a coordonné la protection des infrastructures face aux menaces iraniennes, aux crises énergétiques et aux catastrophes naturelles. Son action a notamment été décisive lors de la reconstruction du réseau électrique de Porto Rico après les ouragans.

Ce parcours l’a amené à défendre la notion de résilience intégrée, combinant réponse opérationnelle rapide, anticipation stratégique et coopération étroite avec le secteur privé. Autant d’éléments que la CISA veut aujourd’hui systématiser.

Transition interne et continuité opérationnelle

Avec l’arrivée d’Andersen, Chris Butera, jusqu’ici directeur exécutif adjoint par intérim, devient directeur exécutif adjoint suppléant. Cette transition interne garantit la continuité des opérations de cybersécurité de l’agence, tout en préparant le terrain au leadership renforcé d’Andersen.

La CISA, qualifiée d’« agence de cyberdéfense nationale », reste en première ligne pour protéger les réseaux, systèmes et infrastructures essentiels. L’arrivée d’Andersen intervient dans un contexte de menaces accrues : attaques de groupes étatiques, campagnes de ransomware contre les services publics et exploitation des dépendances critiques.

Avec Nicholas Andersen, la CISA mise sur un stratège aguerri, à la croisée du renseignement, de l’industrie et de la défense nationale. Reste une question centrale : comment son expérience conjointe public-privé sera-t-elle exploitée pour contrer l’évolution des attaques hybrides sur les infrastructures critiques américaines ?

backdoor, Cybersécurité, Entreprise, Securite informatique

APT29 : la Russie piège le web avec des attaques « watering hole »

Une fausse page Cloudflare, un clic de routine, et l’espionnage commence. Les attaques de l’APT29 révèlent comment Moscou transforme les sites légitimes en armes numériques.

Le groupe APT29, lié au renseignement extérieur russe (SVR), a mis en place une nouvelle campagne d’attaques « watering hole » dévoilée par Amazon. En compromettant des sites populaires, ils ont piégé aléatoirement une partie des visiteurs avec de fausses pages de sécurité imitant Cloudflare. Derrière cette ruse, l’objectif n’était pas de voler des mots de passe mais d’exploiter l’authentification Microsoft pour obtenir un accès persistant aux comptes. L’opération illustre l’évolution constante des méthodes de l’APT29, déjà impliqué dans des campagnes contre universitaires, ONG et opposants russes. Elle met en évidence une stratégie de collecte de renseignement à grande échelle, jouant sur la confiance des internautes.

La patience des prédateurs

Le groupe APT29, aussi appelé Midnight Blizzard, n’agit pas comme un simple collectif cybercriminel. Ses opérations sont attribuées au Service de renseignement extérieur russe (SVR), héritier des réseaux d’espionnage de la guerre froide. Désormais, les agents ne déposent plus de messages secrets sous un banc public. Ils infiltrent des sites fréquentés chaque jour par des internautes ordinaires et attendent patiemment que leurs cibles idéales se présentent.

Amazon a révélé que cette opération récente reposait sur une stratégie de long terme. Plutôt que d’attaquer un seul organisme, les pirates ont compromis plusieurs sites de confiance, laissés en apparence intacts. Puis, ils ont installé un mécanisme sélectif : seuls 10 % des visiteurs étaient redirigés vers une fausse page Cloudflare, ce qui rendait la manœuvre difficile à détecter. Le reste du trafic continuait normalement, réduisant fortement les soupçons.

Ce choix tactique traduit la sophistication de l’APT29 : ils ne cherchent pas la masse mais la précision. L’approche aléatoire permet de collecter des profils variés, parmi lesquels certains deviennent de véritables cibles stratégiques.

L’art technique et psychologique

Le danger de l’APT29 ne réside pas uniquement dans ses liens présumés avec le SVR, mais dans sa maîtrise conjointe de la technique et de la psychologie des victimes. Le code malveillant, soigneusement analysé par Amazon, utilisait un encodage base64 pour échapper aux détections automatiques. Des cookies étaient placés pour éviter qu’un utilisateur redirigé une première fois le soit de nouveau, ce qui aurait éveillé les soupçons.

La copie des pages de vérification Cloudflare était parfaite : couleurs, logos, interface. Aux yeux d’un internaute pressé, tout semblait légitime. Mais le but n’était pas de capturer des identifiants saisis dans un formulaire. L’APT29 exploitait un mécanisme légal de Microsoft : le « device code authentication ». En incitant les victimes à autoriser un nouvel appareil, ils obtenaient un accès direct et durable aux comptes Microsoft des cibles, avec courriels, documents et données sensibles incluses.

Cette approche illustre une tendance croissante : détourner les fonctionnalités existantes plutôt que créer des malwares visibles. Le faux se mêle au vrai, et c’est l’utilisateur, confiant, qui ouvre lui-même la porte.

Un jeu du chat et de la souris permanent

Amazon a tenté de neutraliser l’opération en supprimant les domaines piégés. Mais l’APT29 a immédiatement rebondi, transférant ses infrastructures vers un autre fournisseur cloud et enregistrant de nouveaux noms de domaine, dont « cloudflare.redirectpartners.com ». Cette réactivité explique pourquoi ils figurent parmi les acteurs les plus persistants du cyberespionnage mondial.

Ce n’est pas une première. En octobre 2024, Amazon avait déjà interrompu une tentative d’usurpation de ses propres services par le groupe russe. En juin 2025, Google avait signalé des campagnes de phishing contre chercheurs et critiques du Kremlin. Chaque épisode montre une adaptation rapide, une volonté d’apprendre de ses échecs et une extension progressive du champ d’action.

L’APT29 ne vise pas une opération unique. Il perfectionne un modèle, teste ses armes numériques, observe les réactions adverses et prépare déjà la prochaine vague.

Le facteur humain au cœur de la manœuvre

Cette campagne ne se distingue pas par une complexité technique extrême. Elle se distingue par sa capacité à exploiter la confiance. Les sites étaient authentiques. Les pages de sécurité paraissaient ordinaires. Les demandes d’autorisation venaient de Microsoft.

Tout reposait sur un principe simple : inciter les gens à suivre ce qui semblait être la procédure normale. C’est pourquoi la formation en cybersécurité atteint vite ses limites. Expliquer qu’il faut « se méfier de tout » reste théorique. En pratique, un employé cherchant un document ou un particulier voulant lire ses courriels cliquera souvent sans réfléchir. C’est cette normalité apparente qui rend l’attaque redoutable.

Derrière, les conséquences dépassent la simple compromission d’un compte personnel. L’échantillon aléatoire de victimes peut contenir des fonctionnaires, des contractants de la défense, des journalistes ou des militants. Autant de profils qui intéressent directement Moscou dans une logique de renseignement.

Cette campagne montre que la guerre de l’information ne passe plus uniquement par les réseaux diplomatiques ou militaires. Elle s’insinue dans les gestes banals du numérique quotidien. La vraie question est donc la suivante : jusqu’où les acteurs étatiques comme l’APT29 peuvent-ils exploiter la routine des internautes avant que les systèmes de défense collectifs ne s’adaptent ?

Cybersécurité, Securite informatique

Un script d’email jetable détourne la validation en ligne

Un script Python circulant sur le web automatise la création d’adresses temporaires et la récupération de codes de validation. Un outil modifié pour fraude et usurpation d’identité numérique.

Un script Python accessible en ligne permet de générer automatiquement des adresses email jetables et d’intercepter les messages de confirmation envoyés par divers services. L’outil s’appuie sur une API distante pour fournir des domaines valides et surveille les boîtes créées jusqu’à l’arrivée d’un code de validation numérique. Si ce code est détecté, il est extrait et affiché. Un tel mécanisme, à première vue utile pour des tests techniques, ouvre en réalité la voie à des abus massifs : contournement de vérifications par mail, création automatisée de comptes frauduleux, propagation de spam et usurpation d’identité numérique. Une illustration concrète de la façon dont un simple script peut devenir une arme cybercriminelle.

Comment fonctionne le script

Le code en question interroge une API située sur un domaine que DataSecurityBreach.fr ne citera pas. Le site est basé au Vietnam. La première étape consiste à récupérer une liste de domaines encore valides et exploitables. L’outil sélectionne ensuite celui dont l’expiration est la plus éloignée, afin de garantir une adresse fonctionnelle. Une chaîne aléatoire de lettres et chiffres est générée pour constituer la partie locale de l’adresse. Résultat : une adresse jetable de type uXXXX@domaine.com, prête à être utilisée pour un enregistrement sur n’importe quel site.

La seconde phase est celle de la surveillance. Le script interroge périodiquement l’API afin de détecter l’arrivée d’un email adressé à cette boîte. Il analyse alors l’objet et le contenu du message, cherchant une suite de chiffres comprise entre 5 et 8 caractères. Dès que ce code apparaît, il est extrait et affiché. L’utilisateur dispose ainsi du code de validation envoyé par le service ciblé, sans jamais avoir eu besoin d’une adresse personnelle.

Les dérives possibles

Sur le plan technique, l’outil n’est qu’une automatisation d’adresses temporaires déjà présentes sur le marché des « temp-mails ». Mais sa capacité à générer, intercepter et extraire directement les codes de validation le rend particulièrement dangereux. Des acteurs malveillants peuvent l’exploiter pour ouvrir des comptes en masse sur des plateformes de streaming, de réseaux sociaux ou de messageries, contournant ainsi les mécanismes de contrôle.

Une telle automatisation favorise aussi les campagnes de spam. En multipliant les adresses éphémères, les cybercriminels peuvent envoyer des messages indésirables sans crainte de blocage. Enfin, l’usurpation d’identité numérique devient envisageable : si une plateforme se contente d’une validation par email temporaire, l’attaquant peut s’y inscrire en se faisant passer pour un utilisateur légitime. Le risque touche directement les services en ligne qui ne couplent pas leur authentification à des contrôles plus robustes.

Un problème récurrent de cybersécurité

L’usage massif d’emails temporaires ne date pas d’hier. Ils sont populaires pour éviter la publicité ou protéger la vie privée. Mais l’industrialisation par script change la donne. Là où un internaute lambda devait générer manuellement son adresse et surveiller la boîte, le script fait tout automatiquement : de la création à la récupération du code. Cette automatisation réduit les coûts, augmente la vitesse et accroît la capacité de nuisance.

Pour les services en ligne, la menace est double. D’un côté, ils voient leurs systèmes d’inscription saturés par des comptes fantômes. De l’autre, ils risquent de valider des transactions ou inscriptions frauduleuses en se basant sur un contrôle d’email insuffisant. Les conséquences vont de la fraude publicitaire à la compromission de programmes de fidélité, en passant par l’ouverture de portes aux campagnes de désinformation.

Ce script illustre la facilité avec laquelle une fonction banale, l’email jetable, peut se transformer en outil de fraude à grande échelle. La vigilance s’impose autant du côté des utilisateurs, qui doivent comprendre les dérives de tels services, que des plateformes, qui ne peuvent plus se contenter d’une simple vérification par email. La vraie question est claire : combien de temps les systèmes d’inscription basés uniquement sur une adresse électronique tiendront-ils face à l’automatisation des faux comptes ?

Cybersécurité, Espionnage Spy, IA

ChatGPT accusé à Moscou de transmettre des données au Pentagone

OpenAI est accusée par un responsable russe de partager automatiquement avec les agences américaines les requêtes en russe envoyées via ChatGPT.

Selon le site Caliber, Alexander Asafov, premier vice-président de la commission de la Chambre publique de Moscou sur la société civile, affirme que les demandes en langue russe soumises à ChatGPT seraient transférées « proactivement et automatiquement » au FBI et au Pentagone. Il ajoute que des dirigeants d’entreprises d’intelligence artificielle auraient reçu cette année « des grades au Pentagone ». Aucune preuve n’a été apportée pour étayer ces accusations.

Une rhétorique géopolitique

Cette déclaration s’inscrit dans une série de prises de position russes qui présentent les grands acteurs occidentaux du numérique comme des instruments d’ingérence. En ciblant OpenAI, Moscou met l’accent sur l’usage de l’IA générative en Russie et sur les risques supposés d’espionnage. L’accusation d’un transfert automatique au FBI et au Pentagone relève davantage d’un discours politique que d’une information vérifiée.

L’angle cyber et renseignement

La Russie multiplie les alertes autour de la collecte de données par les plateformes étrangères, qu’elle considère comme un levier de surveillance occidentale. La référence à un lien direct entre OpenAI et le Pentagone illustre une stratégie classique : associer les outils numériques à une infrastructure de renseignement militaire. Cette rhétorique vise autant l’opinion publique russe que les utilisateurs potentiels de l’IA dans la région.

Ni OpenAI ni les autorités américaines n’ont réagi à cette déclaration au moment de la publication. La formulation employée par Asafov — « automatiquement » et « initiative » d’OpenAI — ne repose sur aucune documentation technique accessible. À ce stade, il s’agit d’une accusation politique relayée par la presse locale, sans élément de corroboration indépendant.

La question centrale reste donc : cette accusation relève-t-elle d’une alerte fondée sur des renseignements techniques, ou d’une construction géopolitique destinée à encadrer l’usage de l’IA en Russie ?