Un « leak » provenant d’une application fintech a exposé plus de 10 000 clients, les informations de prêts et les remboursements.
Une fuite de données provenant de l’application fintech chinoise YangQianGuan a exposé plus de 10 000 enregistrements comprenant noms, numéros de téléphone et confirmations de remboursement. Un cas rare révélé par le pirate informatique lui même qui propose à la vente, 1 000 dollars, son larcin.
Selon les informations regroupées par le Service de Veille de ZATAZ, cette fuite concerne l’application YangQianGuan, opérant dans la région de Hefei, province de l’Anhui, sur la période 2023‑2025. Le fichier comprend au moins 10 000 enregistrements uniques, dont des numéros de téléphone chinois (11 chiffres), des noms complets en caractères chinois, ainsi que le contenu intégral des SMS confirmant le remboursement du prêt. Autant dire que cet exemple est intéressant tant les applications de ce type poussent comme champignon en Automne dans le monde.
Contexte réglementaire et réputation de l’entreprise
YangQianGuan, filiale de Beijing Lingyue Information Technology Co., Ltd., revendique des mécanismes de chiffrement avancés, une gestion des données conforme à la loi chinoise sur la protection des informations personnelles, et des certifications tierces. Le site précise que les données sensibles sont chiffrées, stockées selon des règles de classification et surveillées par un département dédié, avec des procédures d’alerte en cas d’incident.
Cependant, malgré ces garanties, cette fuite suggère une faille grave dans la mise en œuvre réelle de ces mesures. Les échantillons diffusés par le pirate ne sont pas chiffrés et/ou anonymisés. Elle s’inscrit dans une série d’incidents en Chine, y compris des fuites massives (WeChat, Alipay, police de Shanghai), où des données sensibles ont été exposées, souvent par des erreurs de configuration ou absence de protections. Il n’est pas impossible qu’un « Insider » [employé] soit aussi une source pour ce genre de fuite de données.
Une étude mondiale publiée par BioCatch, spécialiste de la détection comportementale des fraudes bancaires, révèle les limites des dispositifs actuels des banques françaises face à la criminalité financière.
Une efficacité perçue, mais des résultats limités
92 % des responsables interrogés affirment que leur dispositif LCB-FT est performant. Pourtant, seuls 51 % estiment que leurs actions ont un impact au-delà de leur organisation. Et 43 % estiment même que leur lutte contre le blanchiment reste confinée à leur périmètre interne. Ce paradoxe souligne le manque de coordination à l’échelle internationale.
Les chiffres sont éloquents : plus d’une banque sur deux déclare perdre plus de 10 millions d’euros par an à cause de la fraude. 38 % estiment leurs pertes entre 10 et 24,9 millions, et 13 % dépassent les 25 millions. 61 % constatent une augmentation continue de ces pertes. Dans le même temps, 44 % des banques investissent entre 10 et 24,9 millions d’euros par an dans des dispositifs de lutte.
Des dispositifs encore trop limités
59 % des établissements limitent leurs enquêtes au seul compte suspecté, sans élargir à l’écosystème criminel (mules, prête-noms). Or, 76 % reconnaissent qu’un dossier de blanchiment est presque toujours lié à d’autres crimes, et 83 % font le lien avec des activités telles que la traite humaine, le terrorisme ou le trafic de stupéfiants.
82 % des professionnels estiment que les organisations criminelles sont technologiquement plus avancées, exploitant IA, cryptoactifs, réseaux sociaux et dark web. « Cette asymétrie technologique doit être comblée rapidement », alerte Matthew Platten de BioCatch France.
90 % des répondants estiment que seule une régulation publique renforcée permettra une lutte efficace. Ils appellent à une coopération entre banques, autorités de régulation et acteurs technologiques pour faire face à des adversaires toujours plus structurés.
Méthodologie de l’étude
L’étude a été menée du 12 au 25 mars 2025 par TEAM LEWIS Research pour BioCatch, auprès de 800 professionnels (fraude, risques, conformité) dans 16 pays. Plus de 60 dirigeants français ont été interrogés. Les données ont été recueillies en plusieurs langues (dont le français).
BioCatch (éditeur de l’étude) : https://www.biocatch.com
Le ministère de l’Intérieur russe souhaite renforcer ses pouvoirs pour lutter plus efficacement contre la fraude bancaire numérique. Parmi les demandes : saisir les comptes en banque avant les arrestations !
Aucun spam. Désinscription en un clic. Votre vie privée est respectée.
DataSecurityBreach.fr a repéré une actualité qui nous a semblé intéressante. Elle concerne la Russie et l’environnement bancaire local. Lors d’une réunion récente du Conseil de la Fédération, le chef du département de droit pénal du département contractuel et juridique du ministère de l’Intérieur de la Russie, Alexeï Plotnitski, a plaidé pour une modification du Code de procédure pénale afin de doter la police de nouveaux outils dans sa lutte contre la fraude, en particulier dans le domaine des délits informatiques.
Selon Plotnitski, le principal obstacle rencontré par les services d’enquête est l’incapacité de bloquer rapidement les fonds dérobés avant leur retrait ou leur transfert vers des comptes introuvables. Il a expliqué que, dans l’état actuel de la législation russe, la suspension des opérations bancaires n’est possible qu’après l’obtention d’une autorisation du parquet ou d’une décision judiciaire. Un processus qui peut durer plusieurs jours, voire plus, alors que les délinquants n’ont besoin que de quelques minutes pour déplacer les fonds.
L’objectif du ministère est d’introduire un mécanisme de gel temporaire des transactions sans qu’il s’agisse d’une arrestation judiciaire formelle. Cette mesure viserait à créer un laps de temps suffisant pour permettre une intervention policière avant que l’argent ne disparaisse. « Il est très important pour nous d’arrêter les mouvements de fonds au plus vite. Mais lorsque nous obtenons toutes les autorisations, l’argent a déjà été retiré« , a déclaré Plotnitski lors de la séance.
Cette proposition de modification du code de procédure est actuellement en discussion. Face aux critiques qui y voient une atteinte aux droits fondamentaux et une possible source d’abus, Plotnitski a insisté sur la nécessité d’équilibrer les droits des suspects avec la réalité de la cybercriminalité. « La question est : voulons-nous créer un désagrément temporaire pour le suspect ou lui permettre de retirer l’argent en toute tranquillité ?« , a-t-il interrogé.
️ VEILLE ZATAZ, VOTRE RADAR CYBER ENTREPRISE
Adoptée et approuvée par 96 % de nos entreprises partenaires !
Un autre point soulevé par le responsable concerne l’accès aux informations bancaires. Actuellement, les enquêteurs du ministère de l’Intérieur n’ont pas accès direct aux données protégées par le secret bancaire, ce qui limite leur capacité à réagir rapidement et à remonter les filières de transferts frauduleux. Plotnitski a toutefois tenu à préciser que le ministère ne cherche pas à abolir le secret bancaire, mais uniquement à permettre un accès ciblé pour les besoins des enquêtes pénales.
Il a affirmé que les fuites de données bancaires ne provenaient pas des services du ministère de l’Intérieur, mais des établissements de crédit eux-mêmes, mettant en cause la responsabilité de ces derniers dans la chaîne de sécurité. Le manque de réactivité des banques face aux demandes de la police a aussi été critiqué : il n’est pas rare que les réponses mettent plusieurs semaines, voire des mois, à parvenir aux autorités.
Pour remédier à cette lenteur, le ministère propose donc d’introduire un délai légal contraignant de trois jours maximum pour la transmission des informations bancaires aux forces de l’ordre. Plotnitski a estimé que même ce délai était trop long compte tenu de la vitesse des opérations frauduleuses. Il a comparé l’action de la police à celle des pompiers, appelés à intervenir quand l’incendie a déjà tout consumé.
Le ministère de l’Intérieur russe souligne depuis plusieurs mois maintenant [lire ici et là] la nécessité de moderniser son arsenal juridique pour mieux répondre aux défis de la cyberfraude, un phénomène en constante expansion. Aucune donnée chiffrée sur l’ampleur exacte des pertes ou du nombre de cas traités n’a été présentée lors de la réunion, mais la récurrence des cas de détournement rapide de fonds via Internet motive la volonté d’agir plus vite.
Un nouveau malware bancaire Android nommé Crocodilus manipule les carnets de contacts pour se faire passer pour des services officiels et voler les données bancaires des utilisateurs.
Aucun spam. Désinscription en un clic. Votre vie privée est respectée.
Apparu en mars 2025, le malware bancaire Crocodilus connaît une progression fulgurante. En quelques mois, il a étendu ses opérations en Europe, en Amérique du Sud et en Asie, en perfectionnant ses méthodes d’attaque. Dernière nouveauté, les chercheurs de ThreatFabric ont révélé que ce cheval de Troie est désormais capable d’ajouter de faux contacts dans les répertoires des victimes. Ces entrées frauduleuses usurpent l’identité de lignes de support bancaires pour piéger les utilisateurs via des appels malveillants. Ce procédé, qui pourrait tromper les systèmes de prévention de fraude reposant sur la reconnaissance des numéros, témoigne d’un degré de sophistication croissant. Derrière ce développement rapide, les experts soupçonnent un groupe bien structuré et doté de moyens importants, bien qu’aucune attribution officielle n’ait été formulée à ce stade.
Une menace polymorphe aux méthodes évolutives
Crocodilus s’inscrit dans la lignée des chevaux de Troie bancaires Android, des logiciels malveillants capables de s’introduire dans les smartphones pour intercepter des informations sensibles telles que les identifiants bancaires, les SMS d’authentification ou les mots de passe à usage unique. Là où il se démarque, c’est par sa capacité à évoluer rapidement et à adopter de nouvelles fonctionnalités destinées à contourner les protections mises en place par les systèmes d’exploitation mobiles et les applications financières.
Le malware peut désormais ajouter des contacts fictifs dans le carnet d’adresses du téléphone infecté. L’objectif est de faire passer des appels malveillants pour des communications officielles. Cette technique vise à duper l’utilisateur en affichant des noms familiers ou attendus, comme « Assistance bancaire », ce qui pourrait le pousser à répondre sans méfiance. Ces appels frauduleux, associés à des scénarios d’ingénierie sociale, servent à récolter des informations complémentaires ou à inciter à installer d’autres logiciels malveillants.
L’analyse précise que Crocodilus est principalement diffusé via des publicités malveillantes sur Facebook. Ces annonces restent en ligne entre une et deux heures, le temps d’être vues plus de 1 000 fois en moyenne. Le profil type des victimes : des utilisateurs de plus de 35 ans, ce qui laisse penser à une cible financièrement stable. Une fois le lien cliqué, l’utilisateur est redirigé vers un site web frauduleux qui télécharge un dropper, c’est-à-dire un logiciel servant à installer discrètement le malware sur le téléphone.
Le dropper de Crocodilus a la capacité de contourner les restrictions de sécurité introduites par Android 13, ce qui le rend particulièrement dangereux pour les terminaux récents. En s’infiltrant à ce niveau du système, il peut ensuite demander des autorisations sensibles et s’installer de manière persistante, échappant aux contrôles classiques.
Une campagne mondiale aux multiples visages
Initialement repéré dans le cadre de campagnes de test restreintes, Crocodilus a rapidement étendu son champ d’action. En Pologne, le cheval de Troie a été diffusé via des publicités Facebook se faisant passer pour des applications bancaires et de commerce en ligne populaires. En Turquie, il a pris l’apparence d’un casino en ligne, en superposant de fausses interfaces de connexion sur de véritables applications financières. En Espagne, les campagnes ont pris la forme de fausses mises à jour de navigateur ciblant presque toutes les grandes banques du pays.
Les chercheurs ont également observé des campagnes actives en Argentine, au Brésil, en Inde, en Indonésie et aux États-Unis. Dans chacun de ces pays, le malware adapte ses méthodes d’usurpation en fonction des habitudes numériques locales et des institutions financières les plus utilisées. L’ampleur géographique de ces attaques et leur niveau de personnalisation indiquent, selon les experts, une organisation bien structurée, capable de coordonner des campagnes complexes sur plusieurs continents.
Pour l’heure, aucune piste officielle ne permet d’attribuer Crocodilus à un groupe criminel identifié. Toutefois, son développement rapide, sa capacité d’adaptation et ses fonctionnalités avancées suggèrent l’implication d’un acteur disposant de ressources importantes et d’une expertise technique confirmée.
Les chevaux de Troie bancaires, une menace persistante sur Android
Les chevaux de Troie bancaires sont l’un des types de logiciels malveillants les plus répandus sur Android. Ils sont conçus pour détourner les données bancaires des utilisateurs et permettent aux attaquants de réaliser des transactions non autorisées ou de prendre le contrôle complet d’un compte. Une fois les identifiants collectés, les cybercriminels peuvent contourner les mécanismes d’authentification à deux facteurs et vider les comptes en quelques minutes.
Crocodilus n’est pas un cas isolé. En septembre 2024, des chercheurs ont découvert Ajina Banker, un autre malware Android visant les clients bancaires d’Asie centrale. Ce cheval de Troie était dissimulé dans des fichiers malveillants imitant des applications financières officielles ou des services administratifs, exploitant la confiance des utilisateurs dans les outils institutionnels.
En parallèle, Chavecloak cible principalement les utilisateurs brésiliens. Ce malware se diffuse via des fichiers PDF piégés et récupère les informations de connexion bancaire. Dans la majorité des cas, les victimes ne se rendent compte de l’infection qu’après la perte effective de fonds. Ces exemples soulignent une tendance inquiétante : les malwares se complexifient et s’infiltrent de plus en plus dans les outils du quotidien, rendant leur détection difficile pour les utilisateurs non avertis.
Les systèmes de protection intégrés à Android, comme Google Play Protect, sont souvent inefficaces contre ces malwares lorsque ceux-ci sont diffusés en dehors du Play Store officiel. L’éducation des utilisateurs, le renforcement des campagnes de sensibilisation et la collaboration entre les plateformes sociales et les éditeurs de sécurité sont autant de leviers nécessaires pour limiter la propagation de ces menaces.
L’Australie a révoqué les licences de 95 entreprises soupçonnées d’être impliquées dans des escroqueries financières, marquant un tournant décisif dans la lutte contre les fraudes aux investissements.
Alors que les arnaques aux investissements prolifèrent sur internet, les autorités australiennes passent à l’offensive. Le régulateur financier national, l’Australian Securities and Investments Commission (ASIC), a obtenu en mars dernier l’approbation d’un juge fédéral pour radier 93 sociétés soupçonnées d’activités frauduleuses et prévoit de liquider deux autres entreprises disposant encore d’actifs. Ces entités sont accusées d’avoir trompé des consommateurs en leur faisant miroiter des gains dans des domaines spéculatifs comme le marché des changes, les cryptomonnaies ou les matières premières. Une opération d’envergure qui s’inscrit dans un contexte où les cyberescroqueries gagnent en sophistication et en audace. Cette décision illustre la volonté des autorités de restaurer la confiance des épargnants et de freiner l’hémorragie financière causée par ces manœuvres frauduleuses.
La décision de l’ASIC d’éradiquer ces sociétés s’appuie sur une vaste enquête révélant que la majorité d’entre elles utilisaient de faux directeurs — souvent inscrits à leur insu — et des adresses fictives. Dans certains cas, les entreprises affichaient une façade officielle en utilisant des logos et des bureaux de représentation, mais ceux-ci se révélaient déserts ou inexistants. Cette stratégie vise à duper les investisseurs en leur donnant l’illusion de traiter avec des institutions légitimes et solides.
Parmi les entreprises visées, Titan Capital Markets fait figure de cas emblématique. Connue pour avoir sponsorisé le club de football anglais Fulham, la société semblait jouir d’une certaine notoriété. Mais derrière cette vitrine, les apparences étaient trompeuses. Une enquête sur place menée à Canberra, supposée abriter les bureaux de Titan, a révélé un local vide, avec du courrier systématiquement retourné. Des investisseurs, principalement originaires d’Inde, ont adressé pas moins de 80 courriels aux liquidateurs, exprimant leur inquiétude et soulignant les sommes importantes qu’ils avaient engagées. Titan Capital Markets, malgré les sollicitations, est restée silencieuse.
Êtes-vous dans les petits papiers des pirates ?
« Ces escroqueries sont comme des hydres : on en coupe une, deux autres surgissent », a déclaré Sarah Court, vice-présidente de l’ASIC. Une image forte, qui résume bien le défi auquel fait face le régulateur australien. Chaque semaine, ce dernier fait fermer environ 130 sites frauduleux, mais les plateformes illicites renaissent presque aussitôt ailleurs, souvent sous une nouvelle identité ou via des entités de couverture.
Selon l’ASIC, le mécanisme est désormais bien rodé : les fraudeurs créent des entreprises enregistrées légalement, mais qui n’ont aucune activité réelle. Elles servent uniquement à donner une crédibilité artificielle à des plateformes de trading fictives ou à des offres d’investissement fallacieuses. En plus de flouer des particuliers, ces structures compliquent le travail des enquêteurs en créant un labyrinthe juridique et administratif difficile à démêler.
L’intervention de la justice fédérale est donc une réponse musclée, mais nécessaire. En ordonnant la radiation immédiate de 93 entreprises et la liquidation surveillée de deux autres, la cour entérine la volonté de l’État australien de reprendre la main sur un secteur miné par les abus. Et l’enquête est loin d’être terminée : selon les documents judiciaires, l’ASIC continue de creuser les ramifications financières et légales de ces sociétés, dans le but de démanteler entièrement le réseau de fraude.
Cette baisse, bien que significative, ne saurait masquer l’ampleur du phénomène. L’Australie fait face à une vague mondiale de cybercriminalité financière, où les escrocs exploitent les nouvelles technologies, les lacunes réglementaires et parfois même la naïveté des investisseurs pour amasser des fortunes. La promesse de rendements élevés dans un contexte d’incertitude économique agit comme un aimant, notamment dans des pays où les systèmes de régulation sont moins robustes et où les victimes se comptent par milliers.
C’est dans ce climat tendu que s’inscrit la stratégie de l’ASIC. Plutôt que de poursuivre chaque site individuellement, l’organisme cible désormais les structures légales qui permettent à ces arnaques de prospérer. En coupant l’accès à l’enregistrement officiel d’entreprises frauduleuses, le régulateur cherche à tarir la source même de leur légitimité apparente.
Les répercussions de cette opération pourraient se faire sentir bien au-delà des frontières australiennes. Nombre des victimes identifiées dans le cas de Titan Capital Markets ne résident pas en Australie. Cela démontre que les escroqueries opérées depuis un pays peuvent avoir des conséquences mondiales, touchant des particuliers à des milliers de kilomètres. L’Inde, en particulier, semble avoir été une cible privilégiée pour certaines de ces entreprises frauduleuses, qui promettaient des retours sur investissement rapides dans des secteurs à la mode comme le trading de devises ou les actifs numériques.
La dimension internationale de ces fraudes pose également un défi en matière de coopération judiciaire et de traçabilité financière. Les fonds investis par les victimes sont souvent rapidement transférés vers des comptes offshore ou blanchis à travers un réseau complexe de sociétés-écrans. Cela rend leur récupération extrêmement difficile, voire impossible, pour la majorité des investisseurs floués.
Mais la lutte contre ces arnaques ne peut pas reposer uniquement sur l’action des autorités. Elle exige aussi une sensibilisation accrue du public. Trop souvent, les victimes sont attirées par des offres trop belles pour être vraies, sans prendre le temps de vérifier les antécédents des sociétés ou les garanties proposées. Une éducation financière de base, couplée à une vigilance constante, constitue une première ligne de défense essentielle contre ces pratiques malveillantes.
Si les mesures prises par l’ASIC sont saluées par les défenseurs des consommateurs, elles n’en soulèvent pas moins une question cruciale : cette stratégie d’élimination des sociétés frauduleuses peut-elle réellement freiner une industrie souterraine en constante mutation, qui semble toujours avoir un temps d’avance ? Dans un monde où les escrocs deviennent de plus en plus technophiles et agiles, la régulation peut-elle suivre le rythme sans se contenter de colmater les brèches ?
Voici la liste complète des entreprises dont la liquidation ou la radiation a été ordonnée dans le cadre de l’affaire ASIC v 24-U Pty Ltd [2025] FCA 321. [Compilation datasecuritybreach.fr)
24-U Pty Ltd
Rootie Tech Solutions Pty Ltd
Aleos Capital Markets Pty Ltd
Aleos Capital Pty Ltd
Cloud Bridge Capital Pty Ltd
Como Trade Pty Ltd
Discovery Capital Group Pty Ltd
Enclave Prime Pty Ltd
Extreme Global Pty Ltd
Extrend Cap International Pty Ltd
Gaoman Capital Group Trading Pty Ltd
Gold Rush Global Group Pty Ltd
Gold Rush Group Pty Ltd
Goldwell Global Pty Ltd
GTS Energy Markets Group Pty Ltd
Invdom Pty Ltd
Khama Capita Pty Ltd
QRS Global Pty Ltd
Rayz Liquidity Pty Ltd
Topmax Global Pty Ltd
Tradewill Global Pty Ltd
Tshan Markets Pty Ltd
Upone Global Financial Services Pty Ltd
19 Securities Pty Ltd
Ausfit Mart Pty Ltd
Aximtrade Pty Ltd
Caitu International Securities Pty Ltd
Genesis Capital Resources Pty Ltd
Gongde International Pty Ltd
Great Plan Service Pty Ltd
Great Virtue Pty Ltd
Guang Quan International Pty Ltd
Guofa International Pty Ltd
Guotai International Pty Ltd
Jinhou International Pty Ltd
Jinte Net Blockchain Pty Ltd
Juncheng Trade Pty Ltd
Nasd Trading Group Pty Ltd
Oceanus Wealth Securities Pty Ltd
Rac Markets Pty Ltd
Rich Gold Group Pty Ltd
Ridder Trader Pty Ltd
Rising Sun Capital Pty Ltd
RN Prime Pty Ltd
Ruifu International Pty Ltd
Ruisen Securities Pty Ltd
Shan Yu International Pty Ltd
Tradehall Pty Ltd
Trillion Global Capital Pty Ltd
Tuotenda Capital Group Pty Ltd
Yinrui International Pty Ltd
Zhongke Global Pty Ltd
Zhongying Global Pty Ltd
Audrn Financial Group Pty Ltd
Aus Financial Australia Pty Ltd
Compilation zataz.com
BHP Markets Pty Ltd
CLSA Capital Group Inv Pty Ltd
Katy Capital Pty Ltd
Rena Markets Pty Ltd
Sophie Capital Financial Trading Pty Ltd
Aleos Capital Pty Ltd
Aximtrade Pty Ltd
Caitu International Securities Pty Ltd
CLSA Capital Group Inv Pty Ltd
Cloud Bridge Capital Pty Ltd
Discovery Capital Group Pty Ltd
Enclave Prime Pty Ltd
Extrend Cap International Pty Ltd
Gaoman Capital Group Trading Pty Ltd
Genesis Capital Resources Pty Ltd
Gongde International Pty Ltd
Great Plan Service Pty Ltd
Great Virtue Pty Ltd
Guang Quan International Pty Ltd
Guofa International Pty Ltd
Guotai International Pty Ltd
Invdom Pty Ltd
Jinhou International Pty Ltd
Jinte Net Blockchain Pty Ltd
Juncheng Trade Pty Ltd
Khama Capita Pty Ltd
Mercury Securities Group Pty Ltd
Nasd Trading Group Pty Ltd
Oceanus Wealth Securities Pty Ltd
Compilation zataz.com
Rac Markets Pty Ltd
Rayz Liquidity Pty Ltd
Ridder Trader Pty Ltd
Rising Sun Capital Pty Ltd
RN Prime Pty Ltd
Rootie Tech Solutions Pty Ltd
Ruifu International Pty Ltd
Ruisen Securities Pty Ltd
Seventy Investech Pty Ltd
Shan Yu International Pty Ltd
Tradehall Pty Ltd
Un paquet malveillant déguisé en convertisseur PDF a été utilisé pour pirater les portefeuilles de cryptomonnaies Atomic Wallet et Exodus, exposant des milliers d’utilisateurs à une fraude invisible.
Un paquet open source diffusé via le gestionnaire npm, baptisé pdf-to-office, prétendait offrir une fonction anodine de conversion de fichiers PDF vers des formats Microsoft Office. En réalité, il s’agissait d’un cheval de Troie sophistiqué, conçu pour infiltrer deux des portefeuilles de cryptomonnaies les plus populaires — Atomic Wallet et Exodus — et rediriger subrepticement les transactions vers des adresses contrôlées par les cybercriminels. Cette attaque ciblée souligne à nouveau les failles béantes de la chaîne d’approvisionnement logicielle dans l’univers de la blockchain, où la confiance peut être compromise par une simple ligne de code.
Ce n’est pas la première fois que des paquets npm sont détournés à des fins malveillantes, mais l’attaque révélée se distingue par sa précision chirurgicale et son camouflage élaboré. Le paquet pdf-to-office ne suscitait a priori aucun soupçon : ses métadonnées semblaient légitimes, sa description technique cohérente, et il remplissait même partiellement sa promesse en convertissant certains fichiers PDF. Mais une fois installé sur la machine d’un développeur ou d’un utilisateur peu méfiant, le vrai travail du code malveillant commençait.
Dès l’exécution, le script inspectait le système local pour détecter la présence des portefeuilles Atomic Wallet ou Exodus. En fonction de la version installée, il allait modifier directement certains fichiers critiques au sein de leurs répertoires. Le plus inquiétant : les applications continuaient à fonctionner normalement, sans éveiller la moindre alerte de la part de l’utilisateur. L’interface restait identique, les soldes n’étaient pas altérés, les fonctions paraissaient intactes. Pourtant, à l’envoi de fonds, l’adresse du destinataire était discrètement remplacée par une adresse appartenant à l’attaquant.
« Même supprimé, le virus continue d’agir dans l’ombre : seul un reformatage complet des portefeuilles permet d’en venir à bout. »
Cette technique d’injection silencieuse est particulièrement dangereuse, car elle détourne des fonds en toute discrétion, souvent sans que les victimes ne s’en rendent compte avant que le mal ne soit fait. Ce type d’attaque est difficile à détecter à l’œil nu, car elle ne repose pas sur un simple keylogger ou une interception réseau, mais sur la modification interne des composants de logiciels de confiance.
Le script malveillant effectuait un archivage de fichiers provenant de la configuration d’AnyDesk, un logiciel populaire de prise de contrôle à distance. Ces archives étaient ensuite exfiltrées vers un serveur externe, ce qui pourrait indiquer soit une tentative de nettoyage de traces, soit la préparation d’une attaque plus vaste ciblant des environnements professionnels ou des infrastructures critiques. Ce volet secondaire de l’attaque suggère un niveau de sophistication élevé, digne de groupes de cybercriminalité organisés.
L’attaque met en lumière les faiblesses structurelles de l’écosystème npm, qui repose sur la confiance entre développeurs.
À l’heure actuelle, le paquet pdf-to-office a été retiré de la plateforme npm. Mais les conséquences persistent. Car même après la suppression du paquet et son désinstallation manuelle, les fichiers infectés dans les portefeuilles restent actifs. En d’autres termes, le logiciel reste compromis à moins d’être complètement réinstallé depuis des sources officielles. Cette persistance pose un défi majeur pour la remédiation : de nombreux utilisateurs n’imaginent pas qu’une simple dépendance de développement puisse infecter leur portefeuille crypto, et continuent à utiliser leur logiciel sans se douter du détournement.
Les versions officielles d’Atomic Wallet et Exodus, disponibles sur les sites des éditeurs, n’ont pas été affectées. Seules les installations locales ayant incorporé ce paquet via une chaîne de dépendances contaminée sont concernées. Cela n’empêche pas de tirer une sonnette d’alarme : une fois de plus, c’est l’intégrité de la chaîne d’approvisionnement logicielle qui est en jeu. Une menace devenue récurrente, après des scandales retentissants comme celui de SolarWinds ou de l’attaque contre 3CX.
Les tentatives de fraude utilisant des deepfakes ont explosé de 2137 % en trois ans, selon une étude. Cette évolution inquiète le secteur financier, contraint de renforcer ses mesures de cybersécurité pour contrer ces usurpations d’identité sophistiquées.
Les deepfakes, ces faux contenus générés par intelligence artificielle, ne sont plus seulement une curiosité technologique. Leur utilisation à des fins frauduleuses explose, particulièrement dans le secteur financier, où les tentatives de fraude par usurpation d’identité ont bondi de 2137 % depuis trois ans. L’étude de Signicat révèle une augmentation alarmante des attaques visant à prendre le contrôle des comptes bancaires ou à manipuler les procédures d’authentification. Pourtant, seulement 22 % des institutions financières se sont équipées d’outils de détection basés sur l’IA. Face à cette menace grandissante, les entreprises doivent repenser leurs stratégies et adopter des solutions multicouches alliant biométrie, intelligence artificielle et surveillance continue pour sécuriser leurs clients et leurs opérations.
La montée en puissance des deepfakes dans la fraude financière
Les deepfakes, ces falsifications numériques ultraréalistes générées par intelligence artificielle, ont bouleversé le paysage de la fraude financière. Autrefois peu répandus, ils sont aujourd’hui l’un des types d’usurpation d’identité les plus courants. Selon l’étude, 42,5 % des tentatives de fraude détectées dans le secteur financier reposent sur l’IA. En trois ans, les deepfakes sont passés de l’ombre à la lumière, devenant une arme redoutable pour les cybercriminels. L’un des cas les plus retentissants (et publics) : cette visioconférence où seule la comptable était humaine.
Cette technologie est exploitée principalement à travers deux types d’attaques. Les attaques par présentation consistent à manipuler les systèmes de reconnaissance en utilisant des vidéos en temps réel ou des images truquées. Elles sont souvent utilisées pour tromper les processus d’authentification faciale. L’un des cas les plus connu, avec masque en silicone et visioconférence trouble, l’affaire de l’ex Ministre de la Défense Le Drian.
Les attaques par injection, plus sophistiquées, visent à insérer directement des deepfakes dans des systèmes bancaires via des logiciels malveillants, contournant ainsi les vérifications biométriques et les processus KYC (Know Your Customer).
L’évolution rapide de ces techniques met en difficulté les systèmes traditionnels de détection des fraudes, qui peinent à différencier un deepfake d’une véritable interaction humaine.
Des institutions financières en retard face à la menace
Malgré la montée en flèche des fraudes basées sur l’IA, une grande majorité des institutions financières ne disposent toujours pas d’outils de prévention adaptés. L’étude de Signicat révèle qu’à peine 22 % des entreprises du secteur financier ont intégré des solutions de détection basées sur l’intelligence artificielle. Ce retard expose les banques, fintechs et entreprises de paiement à des risques accrus, alors même que les cybercriminels perfectionnent leurs méthodes.
Le Chief Product & Marketing Officer de Signicat, Pinar Alpay, met en garde : « Il y a trois ans, les attaques par deepfake ne représentaient que 0,1 % des tentatives de fraude détectées. Aujourd’hui, elles représentent 6,5 %, soit 1 cas sur 15. Les fraudeurs exploitent des techniques que les systèmes classiques ne peuvent plus identifier. […] En combinant intelligence artificielle, biométrie et authentification renforcée, les entreprises peuvent mieux protéger leurs clients et leurs opérations« , souligne-t-elle.
L’enjeu dépasse la simple mise à jour des technologies. Il s’agit également d’éduquer les employés et les clients pour qu’ils puissent identifier les signaux d’alerte d’une fraude par deepfake et éviter d’être piégés par ces usurpations d’identité avancées.
Vers une protection multicouche face aux deepfakes
Face à cette explosion des fraudes par deepfake, une seule solution s’impose : adopter une protection multicouche. L’étude insiste sur la nécessité d’une approche combinée, intégrant plusieurs niveaux de défense pour anticiper et bloquer ces attaques sophistiquées.
DataSecuritybreach.fr recommande une approche en quatre étapes :
Une évaluation précoce des risques : identifier rapidement les comportements suspects grâce à l’intelligence artificielle.
Une authentification renforcée : utiliser la biométrie faciale et des méthodes de vérification d’identité avancées.
Une surveillance continue : mettre en place un contrôle en temps réel pour détecter toute tentative de fraude en cours.
La formation et la veille : former ses équipes et mettre en place une veille des fuites de données impactant l’entreprise, les salariés, Etc. peuvent permettre la prise de conscience active face à du Social Engineering via deepfake.
L’adoption de ces nouvelles pratiques devient urgente. Sans une réaction rapide, les entreprises risquent de devenir les victimes privilégiées d’une cybercriminalité dopée à l’IA.
L’essor des deepfakes dans la fraude financière démontre une chose : les cybercriminels ont toujours un temps d’avance sur les systèmes de protection traditionnels. Face à une augmentation vertigineuse des tentatives d’usurpation d’identité, les entreprises doivent accélérer l’intégration de solutions de cybersécurité avancées. Mais seront-elles capables d’adapter leurs systèmes assez vite pour contenir cette menace ?
En 2024, près de 2 millions de comptes bancaires ont été identifiés comme mules financières, révélant l’ampleur croissante du blanchiment d’argent à l’échelle mondiale.
Le blanchiment d’argent demeure une menace persistante pour le système financier international. Selon un rapport de BioCatch, spécialiste en détection de fraude numérique, environ 2 millions de comptes mules ont été signalés en 2024 par 257 institutions financières réparties dans 21 pays sur cinq continents. Ces comptes, utilisés pour dissimuler l’origine de fonds illicites, illustrent les méthodes sophistiquées employées par le crime organisé. Les jeunes adultes, notamment ceux âgés de 25 à 35 ans, sont particulièrement ciblés pour servir de passeurs d’argent, souvent attirés par la promesse de gains faciles. Cette situation souligne l’urgence de renforcer les mesures de prévention et de sensibilisation pour contrer cette forme de criminalité financière.
Les comptes mules : un maillon essentiel du blanchiment d’argent
Les comptes mules sont des comptes bancaires utilisés par des criminels pour transférer des fonds d’origine frauduleuse, rendant ainsi plus difficile la traçabilité de l’argent sale. Les titulaires de ces comptes, appelés « mules financières », sont souvent recrutés par le biais d’annonces promettant des gains rapides et faciles. Selon la société, les 2 millions de comptes mules signalés en 2024 ne représentent probablement qu’une fraction des comptes utilisés ou dormants au sein des 44 000 institutions financières dans le monde.
Les jeunes adultes : une cible privilégiée
Les criminels ciblent principalement les jeunes adultes pour servir de mules financières. Au Royaume-Uni, près des deux tiers des passeurs de fonds ont moins de 30 ans. Aux États-Unis, la tranche d’âge la plus vulnérable se situe entre 25 et 35 ans. Ces jeunes sont souvent attirés par la perspective d’une rémunération facile et peu risquée, sans être pleinement conscients des conséquences légales de leurs actions.
Sanctions sévères et risques encourus
Participer au blanchiment d’argent en tant que mule financière expose à des sanctions pénales sévères. Aux États-Unis, la peine moyenne pour blanchiment d’argent est de 71 mois d’emprisonnement. En France, cette infraction est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende. De plus, les mules financières peuvent également être tenues responsables des dettes contractées sur les comptes utilisés pour les transactions illicites.
L’essor des réseaux de blanchiment d’argent
Le rapport intitulé « Réseaux mondiaux de passeurs d’argent : l’utilisation de l’intelligence comportementale et des appareils pour faire la lumière sur le blanchiment d’argent » met en lumière la complexité des réseaux de blanchiment d’argent. Ces réseaux utilisent divers types de mules pour transférer des fonds illicites, rendant la détection et la prévention du blanchiment d’argent de plus en plus difficiles.
Augmentation des cas de blanchiment d’argent
Entre 2019 et 2023, les cas de blanchiment d’argent aux États-Unis ont augmenté de 14%. Cette hausse peut être attribuée à une attention accrue portée à ce phénomène, à une amélioration des techniques de détection, ou à une augmentation réelle de l’activité criminelle. Quoi qu’il en soit, cette tendance souligne la nécessité de renforcer les efforts de lutte contre le blanchiment d’argent à l’échelle mondiale.
2025 marquera une étape majeure dans l’évolution des réglementations européennes sur la criminalité financière, l’identité numérique et la résilience opérationnelle. Ces changements exigeront une planification minutieuse de la part des institutions financières, tant au sein de l’Union européenne qu’ailleurs, pour se conformer aux nouvelles exigences.
L’Union européenne se prépare à instaurer en 2025 des réformes de grande ampleur visant à moderniser son cadre réglementaire en matière de lutte contre la criminalité financière et de renforcement des pratiques de sécurité. Parmi les évolutions notables, on trouve la mise en place de l’Autorité de lutte contre le blanchiment d’argent (AMLA), l’entrée en vigueur de nouvelles directives comme la 6AMLD, ainsi que des révisions du cadre d’identification électronique et de résilience numérique. Ces modifications visent à harmoniser les pratiques entre les États membres, à combler les lacunes existantes et à anticiper les risques émergents. L’impact de ces mesures s’étendra également aux entreprises basées hors UE, qui devront s’adapter pour rester compétitives dans un environnement international de plus en plus exigeant.
Une réforme structurelle pour combattre la criminalité financière
La mise en place de l’AMLA et la directive 6AMLD
La création de l’Autorité de lutte contre le blanchiment d’argent (AMLA) représente une étape décisive pour centraliser les efforts dans la lutte contre la criminalité financière. Prévue pour entrer en fonction le 1er juillet 2025, cette agence supervisera directement une quarantaine d’institutions financières (IF) jugées à haut risque, principalement celles ayant des opérations transfrontalières. Elle harmonisera les règles de lutte contre le blanchiment d’argent (AML) et le financement du terrorisme (CFT) à travers l’UE en introduisant un cadre unique de régulation (AMLR).
Parallèlement, la sixième directive sur le blanchiment d’argent (6AMLD) viendra renforcer les mécanismes de diligence raisonnable (KYC) et étendra la liste des entités concernées aux secteurs émergents, tels que les cryptoactifs, les clubs de football professionnels et les marchands de biens de luxe. De plus, elle limitera les paiements en espèces à 10 000 euros et imposera une meilleure transparence sur les propriétés bénéficiaires.
Les implications pour les entreprises financières
Les entreprises financières devront revoir leurs procédures de diligence raisonnable pour inclure des exigences renforcées, notamment pour les transactions impliquant des pays tiers à haut risque ou des clients fortunés. En outre, l’utilisation de processus automatisés, bien que permise, devra inclure une supervision humaine significative afin de garantir la conformité. Ces changements demanderont des investissements technologiques substantiels pour intégrer de nouveaux outils de surveillance et de reporting.
Bénéfices attendus
La création d’un cadre réglementaire harmonisé réduira les disparités entre les États membres, facilitant ainsi la coopération transfrontalière. Cela permettra non seulement de combler les lacunes juridiques qui ont longtemps été exploitées par les criminels, mais également de renforcer la confiance des consommateurs dans le système financier européen.
La numérisation au service de la résilience et de la transparence
eIDAS2 : vers une identité numérique européenne
La révision du cadre eIDAS (Electronic Identification, Authentication and Trust Services) est une étape majeure pour répondre aux besoins croissants en matière d’identité numérique. L’eIDAS2 introduit un portefeuille européen d’identité numérique (EUDI Wallet), qui permettra aux citoyens et aux entreprises de stocker et de partager leurs attributs d’identité de manière sécurisée. Ce portefeuille pourra inclure des documents tels que les cartes d’identité, les permis de conduire et les informations bancaires.
Dès 2025, les premiers portefeuilles devraient être disponibles, et les institutions financières devront s’adapter pour accepter ce moyen d’authentification d’ici 2027. En intégrant ces portefeuilles dans leurs processus d’intégration (onboarding), les institutions pourront simplifier leurs procédures tout en réduisant les risques de fraude.
Les limites et opportunités
Malgré ses avantages, l’eIDAS2 présente certaines limites, notamment l’absence d’éléments de preuve physique, comme les selfies ou les informations sur les appareils, qui sont souvent exigés par les régulateurs. Les entreprises devront combiner cette nouvelle solution avec leurs outils existants pour garantir une conformité complète aux exigences AML.
DORA : un cadre pour la résilience numérique
Adopté en 2022, le Digital Operational Resilience Act (DORA) vise à renforcer la résilience numérique des institutions financières. Ce règlement impose des exigences strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC). Les entreprises devront non seulement évaluer leurs fournisseurs de services TIC, mais également mettre en place des plans de continuité et réaliser des tests réguliers.
En cas de non-conformité, les sanctions seront élevées, ce qui incitera les entreprises à investir dans des infrastructures robustes et sécurisées. Cela inclut l’évaluation des fournisseurs critiques, tels que les services de vérification d’identité, les outils de détection des fraudes et les fournisseurs de cloud.
Face à ces réformes ambitieuses, les institutions financières doivent adopter une approche proactive pour identifier les écarts dans leurs pratiques actuelles, former leurs équipes et revoir leurs processus technologiques. Ces efforts permettront de répondre efficacement aux défis réglementaires, tout en restant compétitives dans un environnement en mutation rapide.
Des pirates ont infiltré la Banque centrale ougandaise, dérobant 16,8 millions de dollars. L’enquête en cours soulève des questions sur la cybersécurité et une possible collusion interne.
La Banque centrale ougandaise a été victime d’une cyberattaque qui a conduit au vol de 16,8 millions de dollars (62 milliards de shillings ougandais). Le groupe de pirates, se faisant appeler « Waste », a transféré les fonds vers des comptes à l’étranger, notamment au Japon. Si plus de la moitié des fonds volés ont été récupérés, l’incident met en lumière des failles critiques dans les systèmes financiers ougandais.
Selon New Vision, les autorités enquêtent également sur une possible collusion interne impliquant des employés de la Banque centrale et du ministère des Finances. L’enquête, menée par le département de police criminelle et le commissaire aux comptes, vise à établir les responsabilités et à renforcer la sécurité des infrastructures bancaires.
L’attaque a été revendiquée par un groupe de cybercriminels connu sous le nom de « Waste », qui aurait exploité des failles dans le système informatique de la Banque centrale pour effectuer des transferts frauduleux. Les fonds volés, en partie envoyés vers le Japon, témoignent de la portée internationale de l’attaque. Bien que la Banque centrale ait récupéré plus de la moitié du montant, la perte initiale reste une atteinte grave à sa crédibilité.
Des informations de sources locales indiquent que les pirates pourraient être basés en Asie du Sud-Est, une région où des groupes organisés exploitent régulièrement les systèmes financiers mondiaux. Cependant, une autre piste est également étudiée : celle d’une complicité interne. Plusieurs employés de la Banque centrale et du ministère des Finances ont été interrogés, renforçant l’idée que l’attaque aurait pu être facilitée de l’intérieur.
L’enquête en cours, dirigée par le département de police criminelle et le commissaire aux comptes, bénéficie également d’une collaboration internationale pour retracer les fonds et identifier les responsables. Une coopération avec les autorités japonaises.
La cyberattaque contre la Banque centrale ougandaise illustre les menaces grandissantes auxquelles sont confrontées les infrastructures financières dans un monde hyperconnecté. Les failles techniques et humaines (par le social engineering par exemple) doivent être comblées pour éviter de nouvelles attaques.
Les banques africaines, cibles de choix pour hacker ?
1. Bank of Africa (BOA) Mali – Février 2023
En février 2023, la filiale malienne de la Bank of Africa a subi une cyberattaque majeure. Le groupe de hackers nommé « Medusa » a revendiqué l’attaque, affirmant avoir extrait environ 2 téraoctets de données internes, incluant des informations sensibles sur les clients. Les cybercriminels ont exigé une rançon de 10 millions de dollars en échange de la non-divulgation des données. Malgré les dénégations initiales de la banque, des échantillons de données ont été publiés sur le dark web, confirmant l’ampleur de l’attaque.
La même année, la « Banco Sol » en Angola a été contrainte de suspendre temporairement certains services en raison d’une cyberattaque. Bien que les détails précis de l’attaque n’aient pas été entièrement divulgués, cet incident illustre la menace croissante des cyberattaques contre les institutions financières africaines.
2. State Bank of Mauritius (SBM) – Octobre 2018
En octobre 2018, la State Bank of Mauritius a été victime d’un piratage informatique ayant entraîné la perte de 2,3 millions d’euros. Les attaquants ont infiltré le système de la filiale indienne de la banque, transférant illicitement des fonds vers des comptes à l’étranger. La banque a rapidement détecté l’anomalie et a pu récupérer une partie des fonds, tout en renforçant ses mesures de sécurité par la suite.
Toujours en 2018, NSIA Banque en Côte d’Ivoire a subi un détournement de fonds par piratage informatique, entraînant une perte estimée à près de 1,2 milliard de francs CFA. Les détails spécifiques de l’attaque n’ont pas été largement divulgués, mais cet incident souligne la vulnérabilité des institutions financières face aux cybermenaces.
4. Ecobank Sénégal – Mars 2019
En mars 2019, la filiale sénégalaise d’Ecobank a déclaré avoir été victime d’une fraude informatique, avec un montant détourné s’élevant à 323 millions de francs CFA. Les cybercriminels ont exploité des failles dans le système de la banque pour effectuer des transferts frauduleux. La banque a pris des mesures pour renforcer sa cybersécurité à la suite de cet incident.
Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.
Petites entreprises, grandes menaces : restez informés, restez protégés
