Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, loi

Royaume-Uni : un projet de loi pour une cybersécurité nationale renforcée

Le Royaume-Uni lance le Cyber Security and Resilience Bill, une réforme majeure pour protéger ses infrastructures critiques face à l’escalade des cyberattaques qui fragilisent l’économie nationale.

Le gouvernement britannique vient de présenter le Cyber Security and Resilience Bill, une législation ambitieuse destinée à protéger les services essentiels — santé, énergie, eau, transport — contre la montée des cybermenaces. Face à un coût annuel estimé à 15 milliards de livres sterling, cette réforme impose des normes de sécurité accrues aux fournisseurs informatiques et renforce les pouvoirs des régulateurs. Dans un contexte où l’Europe a recensé plus de 2 700 cyberincidents en 2025.

Un texte centré sur la résilience des infrastructures critiques

Le Cyber Security and Resilience Bill vise avant tout la protection des infrastructures vitales du Royaume-Uni. Les hôpitaux, réseaux d’eau et de transport devront renforcer leurs dispositifs de défense numérique afin d’éviter toute interruption de service. Pour la première fois, les prestataires informatiques de taille moyenne et grande, notamment ceux du NHS, seront soumis à des obligations strictes : déclaration rapide des incidents majeurs, plan de continuité et contrôles réguliers de sécurité.

Les régulateurs disposeront de pouvoirs élargis pour désigner les fournisseurs critiques, tels que les laboratoires de diagnostic ou les opérateurs énergétiques, et leur imposer des standards de sécurité minimaux. Ces exigences visent à combler les failles de la chaîne d’approvisionnement, souvent exploitées par les cybercriminels.
Des amendes calculées sur le chiffre d’affaires sanctionneront les manquements graves. Le ministre de la Technologie pourra, en cas d’urgence nationale, ordonner des actions correctives immédiates aux organismes publics et privés concernés.

Une économie sous pression croissante des cyberattaques

Les chiffres confirment la gravité de la situation. Le coût moyen d’une cyberattaque majeure au Royaume-Uni dépasse désormais 190 000 £, soit environ 14,7 milliards £ (17,2 milliards d’euros) de pertes annuelles. Selon l’Office for Budget Responsibility, une attaque d’envergure sur les infrastructures critiques pourrait creuser la dette publique de 30 milliards £ (35 milliards d’euros), soit 1,1 % du PIB.

Pour le directeur du NCSC, Dr Richard Horne, cette dynamique impose une réponse coordonnée : « Les impacts concrets des cyberattaques n’ont jamais été aussi visibles. Ce texte est essentiel pour protéger nos services vitaux. »

Vers une cyberdéfense collective et proactive

Le projet de loi marque une transformation structurelle de la cybersécurité britannique. Il établit un cadre de régulation modernisé, tourné vers la prévention et la résilience. Les entreprises technologiques saluent cette évolution.

Entreprise, Justice

New York encadre la tarification algorithmique

New York devient le premier État américain à réglementer l’usage des algorithmes dans la fixation des prix.

Depuis lundi, la loi new-yorkaise sur la tarification algorithmique impose aux entreprises de déclarer si elles exploitent les données personnelles des consommateurs pour ajuster leurs tarifs. Cette obligation marque une première nationale, la loi californienne équivalente n’étant pas encore entrée en vigueur.

Des prix calculés à partir des données personnelles

La tarification algorithmique repose sur des modèles capables de modifier automatiquement les prix en fonction de variables comme le revenu, l’historique d’achats ou la géolocalisation. Cette pratique, utilisée dans le commerce en ligne ou les services de transport, permet d’optimiser les marges, mais soulève de fortes inquiétudes éthiques.

Selon les défenseurs de la vie privée, cette « tarification de la surveillance » risque d’amplifier les discriminations économiques, en facturant davantage certaines catégories de consommateurs jugées plus solvables. La Federal Trade Commission (FTC) a d’ailleurs publié en janvier un rapport analysant ces risques et les dérives possibles de l’IA dans la fixation des prix.

La procureure générale durcit le ton

La procureure générale Letitia James a publié une alerte aux consommateurs, appelant les New-Yorkais à signaler tout cas d’utilisation non divulguée de données personnelles dans la tarification.
Elle a rappelé dans un communiqué : « Les New-Yorkais méritent de savoir si leurs informations personnelles servent à fixer les prix qu’ils paient. Je n’hésiterai pas à agir contre ceux qui tentent d’induire les consommateurs en erreur. »

Le bureau de la procureure entend renforcer la transparence et la responsabilité des entreprises, notamment celles qui emploient des outils d’intelligence artificielle ou d’apprentissage automatique pour personnaliser les prix.

Vers une régulation nationale de la tarification automatisée ?

L’entrée en vigueur de la loi new-yorkaise pourrait faire école. En Californie, le texte équivalent, encore en attente d’application, devrait s’inspirer du modèle new-yorkais pour encadrer la collecte, le traitement et l’usage des données de consommation dans la tarification.

Cette régulation s’inscrit dans un mouvement plus large aux États-Unis visant à limiter les effets opaques de l’IA dans la sphère économique. La question centrale demeure : comment concilier innovation algorithmique et respect des droits des consommateurs ?

L’ère des algorithmes régissant les prix touche à sa première grande régulation. Entre transparence et surveillance, New York teste le futur du commerce automatisé. La loi suffira-t-elle à freiner les dérives de l’intelligence économique ?

Android, backdoor, Cybersécurité, Espionnage Spy, Smartphone

Smartphone : un technique d’espionnage des Galaxy découverte

Un logiciel espion Android nommé Landfall a infecté discrètement des Galaxy depuis juillet 2024 via une faille zero-click. Samsung a corrigé la vulnérabilité en avril 2025.

Unit 42 de Palo Alto Networks a analysé Landfall, un implant Android capable d’infecter des Samsung Galaxy sans interaction utilisateur, en exploitant la CVE-2025-21042. Les attaques, actives depuis juillet 2024 et colmatées par Samsung en avril 2025, ciblent des individus précis plutôt qu’un déploiement massif. Landfall exfiltre photos, messages, contacts et appels, peut activer le micro et suivre la géolocalisation. Des échantillons soumis à VirusTotal proviennent du Maroc, d’Iran, d’Irak et de Turquie. L’infrastructure présente des similarités avec le projet Stealth Falcon, sans preuve d’attribution formelle. Les modèles S22, S23, S24 et certains Z sont explicitement référencés; Android 13 à 15 sont concernés potentiellement.

Une attaque zero-click et des victimes ciblées

Unit 42 décrit Landfall comme un implant exploiting une vulnérabilité zero-day dans le composant Galaxy, identifié sous la référence CVE-2025-21042. L’exploit repose sur l’envoi d’une image spécialement conçue. La victime n’a pas besoin d’ouvrir le fichier ni de cliquer sur un lien. L’exécution se produit de manière silencieuse à la réception du contenu. Selon les éléments partagés, Samsung n’avait pas conscience de cette exploitation avant d’appliquer un correctif en avril 2025. Les traces d’opérations remontent à juillet 2024, ce qui indique une fenêtre d’exploitation prolongée. Itai Cohen, chercheur cité par Unit 42, précise que la campagne semble axée sur des objectifs particuliers. Le mode opératoire, la sélection restreinte des cibles et la dispersion géographique des échantillons laissent penser à une logique de cyber-reconnaissance plutôt qu’à une opération de masse.

Landfall, à l’instar d’autres outils d’espionnage gouvernementaux, offre un large accès aux données du terminal. Les capacités rapportées comprennent la collecte de photos, de messages, de contacts et d’historique d’appels. L’implant peut également activer le microphone pour écouter l’environnement et suivre la position GPS. Ces fonctionnalités autorisent une observation prolongée et discrète d’une cible et la collecte de preuves audio, photo et de trafic téléphonique. Unit 42 précise que le code contient des références explicites à cinq modèles Galaxy, incluant les gammes S22, S23, S24 et certains modèles Z. Les versions d’Android mentionnées comme potentiellement affectées s’échelonnent d’Android 13 à Android 15, ce qui élargit la population de terminaux vulnérables avant la correction.

Pistes d’infrastructure et rapprochements opérationnels

L’analyse de l’infrastructure utilisée par les opérateurs révèle des recoupements notables. Certains éléments d’architecture et des patterns de déploiement présentent des similarités avec Stealth Falcon, un projet d’espionnage connu pour cibler journalistes et militants aux Émirats arabes unis. Toutefois, Unit 42 souligne l’absence de preuve formelle reliant Landfall à cet acteur spécifique. Des échantillons de l’implant ont été envoyés à VirusTotal par des utilisateurs situés au Maroc, en Iran, en Irak et en Turquie. L’équipe d’intervention turque USOM a identifié une adresse IP associée à Landfall comme malveillante, corroborant des infections probables en Turquie. Ces éléments géographiques et techniques permettent d’établir des hypothèses de ciblage régional mais n’autorisent pas une attribution définitive sans davantage de preuves opérationnelles et d’améliorations de la traçabilité des infrastructures.

Landfall illustre la menace majeure que représentent les exploits zero-click sur mobiles. L’absence d’action de l’utilisateur comme condition d’infection abaisse significativement la barrière d’entrée pour un espionnage discret et durable. Les caractéristiques de ciblage rapportées orientent l’analyse vers des opérations de renseignement numérique plutôt que vers du cybercrime opportuniste. Samsung a corrigé la faille en avril 2025 ; néanmoins, la fenêtre d’exploitation entre juillet 2024 et la mise à jour souligne l’importance d’une détection proactive, d’un durcissement des composants sensibles et d’une réponse coordonnée entre fabricants, CERT et communautés de chercheurs. À noter, selon les éléments fournis, aucune déclaration publique officielle de Samsung sur ces résultats n’a été rapportée au moment de la rédaction.

Une histoire diffusée sur Zataz signale qu’une faille zero-click dans WhatsApp a été exploitée pour installer un autre spyware appelé Graphite. Cette autre affaire illustre une tendance : l’exploitation de vecteurs zero-click dans des applications et composants de masse pour implanter des outils d’espionnage. La cooccurrence de vulnérabilités zero-click ciblant à la fois la couche système (Galaxy) et des applications de messagerie montre que les acteurs malveillants privilégient des vecteurs silencieux et à fort potentiel d’accès aux données. Cette convergence justifie une vigilance accrue autour des correctifs, des mécanismes de détection et de la sensibilisation des opérateurs nationaux de réponse aux incidents.

La persistance de campagnes zero-click soulève une question cruciale : comment renforcer, au-delà des correctifs ponctuels, la résilience des écosystèmes mobiles face à des implantations invisibles et ciblées ?

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Microsoft corrige 63 failles, dont une exploitée activement

Le Patch Tuesday de novembre a comblé 63 vulnérabilités, dont une faille zéro-day déjà exploitée. Quatre d’entre elles sont jugées critiques.

Microsoft a publié ses correctifs mensuels de sécurité, colmatant 63 vulnérabilités réparties entre élévation de privilèges, exécution de code à distance, divulgation d’informations et déni de service. Parmi elles, une faille de type zero-day dans le noyau Windows, identifiée sous le numéro CVE-2025-62215, est activement exploitée. Elle découle d’une condition de course permettant à un attaquant d’obtenir les privilèges SYSTEM et donc le contrôle complet d’un poste. Découverte par les équipes MSTIC et MSRC, cette brèche représente le risque le plus critique du mois.

Quatre vulnérabilités sont classées « critiques » : deux autorisent l’exécution de code à distance (dans Microsoft Office et Visual Studio), une entraîne une élévation de privilèges (DirectX Graphics Kernel), et une dernière cause une fuite d’informations (Nuance PowerScribe 360). Les autres sont qualifiées d’« importantes ». Microsoft souligne que les correctifs appliqués à Edge et à Mariner ne figurent pas dans ce bilan, ce qui explique d’éventuelles différences de chiffres par rapport aux rapports cumulés de novembre.

Répartition par type :
29 élévations de privilèges ; 2 contournements de mécanismes de sécurité ; 16 exécutions de code à distance ; 11 divulgations d’informations ; 3 dénis de service ; 2 attaques par usurpation (spoofing).

En parallèle, l’entreprise a lancé le premier Extended Security Update (ESU) pour Windows 10. Les utilisateurs encore sous cette version sont invités à migrer vers Windows 11 ou à souscrire au programme ESU afin de continuer à recevoir les correctifs. Un correctif d’urgence a également été diffusé pour résoudre un bug affectant l’enregistrement au programme ESU.

Ce Patch Tuesday illustre la persistance des attaques ciblant les composants centraux du système, notamment les services de gestion des privilèges et les modules graphiques. La faille CVE-2025-62215, exploitée avant publication, démontre une fois de plus l’importance des mises à jour rapides dans la défense en profondeur des environnements Windows.

Microsoft n’a pas divulgué les vecteurs d’attaque exacts, mais la nature du bogue (condition de course dans le noyau) laisse penser à une exploitation locale après compromission initiale. Pour les administrateurs, la priorité consiste à appliquer sans délai le lot de correctifs, en particulier sur les postes sensibles et les serveurs exposés.

L’ensemble des correctifs peut être consulté via le Microsoft Security Update Guide.

Ce Patch Tuesday rappelle que, même avec un cycle mensuel régulier, les menaces évoluent plus vite que les correctifs. La faille zero-day CVE-2025-62215 relance la question : combien de vulnérabilités du noyau Windows restent encore inconnues ?

Sources

Cybersécurité, Justice, Mise à jour, Propriété Industrielle, RGPD

La faillite de Near relance le débat sur la revente des données de géolocalisation

La société Near, autrefois valorisée à un milliard de dollars, a fait faillite. Son immense base de données de géolocalisation suscite aujourd’hui de vives inquiétudes politiques et juridiques.

Near, courtier en données basé en Inde, s’était imposé en 2021 comme un acteur majeur de la collecte de données de localisation. Elle affirmait alors détenir des informations sur « 1,6 milliard de personnes dans 44 pays ». Introduite en bourse en 2023 via une SPAC, l’entreprise a pourtant déposé le bilan sept mois plus tard. Sa liquidation pose une question cruciale : que deviendront les données personnelles qu’elle détient, notamment celles liées à des lieux sensibles aux États-Unis ?

Des données de géolocalisation au cœur d’une tempête politique

La faillite de Near a rapidement attiré l’attention du Congrès américain. Le sénateur Ron Wyden a demandé à la Federal Trade Commission (FTC) d’empêcher toute revente des bases de données de géolocalisation, en particulier celles collectées autour des cliniques d’avortement. Son bureau avait ouvert une enquête après un article du Wall Street Journal de mai 2023 révélant que Near avait vendu des licences de données à l’organisation anti-avortement Veritas Society. Cette dernière aurait ciblé des publicités vers les visiteuses de 600 cliniques Planned Parenthood dans 48 États.

L’enquête a également montré que Near fournissait des données de géolocalisation au département de la Défense et à des services de renseignement américains. Dans sa lettre à la FTC, Wyden a dénoncé des pratiques « scandaleuses » et exigé la destruction ou l’anonymisation des données américaines sensibles.

Une ordonnance de faillite sous haute surveillance

Les demandes de Wyden ont été entendues. Un document judiciaire publié cette semaine impose de strictes restrictions sur la gestion et la revente des données collectées par Near. Toute entreprise reprenant ces actifs devra instaurer un « programme de gestion des données de géolocalisation sensibles », incluant une surveillance continue, des politiques de conformité et une liste de lieux interdits.

Parmi ces lieux figurent les établissements de santé reproductive, les cabinets médicaux, les églises, les prisons, les centres d’hébergement et les établissements psychiatriques. L’ordonnance interdit toute collecte, utilisation ou transfert de données sans le consentement explicite des personnes concernées.
Dans un communiqué transmis à The Markup, Ron Wyden a salué la décision de la FTC, estimant qu’elle « empêchera l’utilisation abusive du stock de données de géolocalisation des Américains ».

Les pratiques du marché de la donnée mises à nu

Les documents de faillite de Near offrent un rare aperçu du fonctionnement du marché des données de géolocalisation. Ils révèlent des accords de monétisation conclus avec plusieurs courtiers et annonceurs : X-Mode, Tamoco, Irys, Digital Origin, ainsi que des institutions universitaires et des administrations locales.

Un contrat de 2023 liait Near à Digital Origin (maison mère de X-Mode) pour 122 706 $ (112 000 euros). La FTC a depuis interdit à X-Mode de vendre des données de géolocalisation sensibles après un règlement amiable. D’autres contrats montrent que Tamoco et Irys, identifiés parmi 47 acteurs majeurs de ce marché évalué à plusieurs milliards de dollars, avaient conclu des partenariats similaires avec Near.

Selon la politique de confidentialité de l’entreprise, les données pouvaient être « transférées aux acheteurs potentiels » en cas de vente. Une clause devenue critique maintenant que Near cherche un repreneur.

Cybersécurité, Entreprise

OpenAI lance Aardvark, un agent IA dédié à la chasse aux failles

OpenAI dévoile Aardvark, un agent GPT-5 autonome capable d’analyser le code, détecter les failles et suggérer des correctifs, marquant son entrée dans la cybersécurité.

OpenAI a lancé Aardvark, un agent d’intelligence artificielle fondé sur GPT-5 et destiné aux équipes de sécurité. L’outil scanne les dépôts de code, identifie les vulnérabilités, reproduit les exploitations en environnement isolé et propose des correctifs vérifiés. Intégré à GitHub, il fonctionne sur les projets open source comme en entreprise. D’après les tests internes, Aardvark détecte 92 % des vulnérabilités connues. OpenAI prévoit aussi des analyses gratuites pour certains dépôts publics afin de renforcer la sécurité de la chaîne logicielle. Le programme reste en bêta fermée, accessible sur demande via un formulaire d’inscription disponible sur le site d’OpenAI.

Un nouvel acteur dans la cybersécurité

Jusqu’ici concentrée sur les modèles de langage, OpenAI s’ouvre à la cybersécurité avec Aardvark, présenté comme une « avancée majeure dans la recherche en IA et en sécurité ». Cet agent agit comme un chercheur automatisé capable d’examiner des dépôts entiers et de construire un modèle de menace contextuel. Il s’intègre nativement à GitHub et s’adapte aux environnements d’entreprise comme aux projets open source.

Aardvark fonctionne en quatre étapes : cartographie des risques, analyse des commits, reproduction d’exploitations en sandbox et élaboration de correctifs via le moteur Codex d’OpenAI. Chaque rapport est soumis à validation humaine avant tout déploiement. Ce modèle hybride garantit rapidité et fiabilité, tout en maintenant la supervision humaine au cœur du processus de correction.

Résultats prometteurs et concurrence émergente

Les tests internes d’OpenAI indiquent une détection de 92 % des vulnérabilités connues et synthétiques. En pratique, Aardvark a découvert plusieurs failles inédites dans des projets open source, certaines déjà enregistrées sous identifiant CVE. Ce positionnement s’inscrit dans une stratégie de contribution à la sécurité numérique mondiale. L’entreprise offrira gratuitement des analyses à des dépôts non commerciaux pour renforcer la sécurité de la chaîne logicielle libre. Ce que propose OpenAI avec Aardvark rappelle CodeMender de Google, un outil concurrent capable de détecter et corriger automatiquement des vulnérabilités dans le code. Aucune date de sortie officielle n’a été communiquée, mais l’accès à la version bêta peut être demandé via le formulaire disponible sur le site d’OpenAI.

Android, backdoor, Banque, Cybersécurité, Securite informatique, Smartphone

Les applications Android exploitent le NFC pour voler des données bancaires

Des centaines d’applications malveillantes utilisent la technologie NFC et l’émulation de carte hôte pour intercepter des paiements et dérober des identifiants financiers sur Android.

Les experts de Zimperium Labs alertent sur une hausse massive de la fraude par relais NFC depuis avril 2024. Plus de 760 applications Android exploitent la communication en champ proche (NFC) et l’émulation de carte hôte (HCE) pour intercepter des données EMV, usurper des institutions financières et relayer des transactions bancaires frauduleuses. Ces campagnes illustrent la sophistication croissante des attaques contre les paiements sans contact.

NE MANQUEZ PAS NOTRE NEWS LETTER (CHAQUE SAMEDI). INSCRIPTION

Des campagnes coordonnées de vol de données

Les chercheurs ont observé que ces applications ciblent des banques, services de paiement et portails gouvernementaux dans le monde entier, avec un accent particulier sur les institutions russes, européennes (PKO, ČSOB, NBS), brésiliennes et sur Google Pay. Elles se font passer pour des applications officielles, incitant les victimes à les définir comme gestionnaires de paiement NFC par défaut. Une fois installées, elles interceptent les échanges APDU entre le terminal et l’appareil, exfiltrant les données EMV, les numéros de carte et les dates d’expiration vers des chaînes Telegram contrôlées par les opérateurs.

Certaines variantes fonctionnent comme des couples d’outils : un « scanner/piéger » chargé d’intercepter les transactions et un collecteur autonome pour exfiltrer les informations. Ces applications communiquent avec un serveur de commande et de contrôle (C2) capable d’enregistrer les appareils, relayer les requêtes de terminal, vérifier l’état du bot, envoyer des mises à jour ou des alertes Telegram, et exécuter des transactions à distance. L’automatisation et la modularité rendent la détection complexe.

Une infrastructure mondiale de commande et de contrôle

Zimperium a identifié plus de 70 serveurs C2 et plusieurs dizaines de bots Telegram actifs dans cette campagne. Ces infrastructures pilotent à distance les applications infectées, enregistrant en continu les appareils compromis et adaptant les commandes selon la réponse du terminal. Les opérateurs peuvent ainsi simuler des paiements sans contact réels, sans nécessiter l’intervention directe de l’utilisateur.

Les échanges APDU, cœur du protocole de communication entre carte et lecteur, sont intégralement interceptés, analysés puis répliqués. Les fraudeurs peuvent rejouer des transactions à partir des données volées, utilisant les identifiants des appareils pour personnaliser les sessions et contourner les vérifications comportementales des banques.

Cette architecture distribuée repose sur des serveurs hébergés dans plusieurs juridictions, compliquant le démantèlement. Les flux de commandes dynamiques et l’enregistrement continu des terminaux rendent l’analyse forensique difficile et retardent les réponses de sécurité.

Une menace liée à l’essor du sans contact

Le rapport de Zimperium souligne que la croissance des paiements NFC a ouvert de nouvelles opportunités aux cybercriminels. « Avec la croissance rapide des transactions sans contact, la technologie NFC est devenue une cible de plus en plus prisée », indiquent les chercheurs. Android autorise les applications à gérer les paiements NFC via l’émulation de carte hôte, fonction que les pirates détournent pour capturer les données avant qu’elles ne soient chiffrées ou transmises au processeur de paiement.

L’exploitation de ces autorisations légitimes rend les attaques particulièrement efficaces. En usurpant l’identité d’applications de confiance et en exploitant des interfaces natives, les malwares évitent les alertes de sécurité traditionnelles. Les auteurs diffusent leurs applications via des magasins non officiels ou des liens directs dans des messages Telegram et des forums de piratage.

Les chercheurs estiment que ces attaques reposent sur une combinaison d’ingénierie sociale et d’abus de fonctions système. Elles ciblent principalement les utilisateurs de terminaux Android ne disposant pas de correctifs récents ou utilisant des versions fragmentées du système d’exploitation.

VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR

Une réponse encore limitée

Zimperium recommande aux institutions financières et aux utilisateurs de considérer comme à haut risque toute application demandant l’autorisation de paiement NFC sans justification claire. Les experts préconisent également une surveillance renforcée des flux APDU et des connexions sortantes vers Telegram et d’autres messageries chiffrées.

L’écosystème Android reste vulnérable à ce type d’abus structurel, car la gestion des autorisations NFC repose sur la confiance de l’utilisateur final. Tant que les systèmes de vérification d’identité des applications ne seront pas centralisés, les campagnes de fraude par relais devraient continuer à croître.

Cette multiplication d’applications malveillantes utilisant le NFC et le HCE illustre un basculement des menaces : les cybercriminels délaissent le phishing traditionnel pour des attaques logicielles sophistiquées ciblant l’infrastructure même des paiements mobiles.

L’exploitation frauduleuse du NFC par des centaines d’applications Android démontre la vulnérabilité des paiements mobiles face à la manipulation logicielle. La question centrale reste ouverte : les éditeurs et autorités financières parviendront-ils à sécuriser le protocole NFC avant qu’il ne devienne le principal vecteur de vol de données bancaires ?

Cybersécurité, Justice, loi, Securite informatique

Les rançons échouent : 41 % des paiements de ransomware inutiles

Payer ne suffit plus : selon Hiscox, 41 % des entreprises victimes de ransomware restent paralysées malgré le versement d’une rançon et la réception d’une clé de déchiffrement.

Le rapport « Cyber Readiness Report 2025 » de l’assureur Hiscox révèle une réalité préoccupante : payer une rançon ne garantit pas la récupération des données. Sur 5 750 organisations interrogées dans sept pays, 27 % ont subi une attaque par ransomware, et 41 % des payeurs n’ont pas pu restaurer leurs systèmes malgré une clé reçue. Pire, 31 % des victimes ayant payé ont subi une nouvelle extorsion et 27 % d’entre elles ont été attaquées à nouveau. Les objets connectés (IoT) sont identifiés comme premier vecteur d’intrusion. En dépit de ce constat, 83 % des entreprises déclarent une meilleure cyber-résilience sur l’année écoulée.

Rançons inefficaces et attaques répétées

Le rapport montre que céder aux exigences des cybercriminels ne garantit pas le retour à la normale. Parmi les entreprises touchées, 60 % disent avoir récupéré une partie ou la totalité de leurs données, mais 41 % ont dû reconstruire leurs systèmes. Hiscox observe également une aggravation du phénomène : près d’un tiers des victimes ayant payé ont subi une nouvelle demande d’argent, souvent par les mêmes acteurs, et plus d’un quart ont connu une autre attaque dans les mois suivants. Le rapport conclut que « le paiement d’une rançon ne résout pas toujours le problème », rappelant la fragilité des stratégies de négociation directe avec les groupes de ransomware.

IoT, chaîne d’approvisionnement et cloud en première ligne

Les vulnérabilités des objets connectés constituent le principal point d’entrée des cyberattaques (33 %), devant celles liées à la chaîne d’approvisionnement (28 %) et aux serveurs hébergés dans le cloud (27 %). Les outils d’intelligence artificielle, utilisés sans protection suffisante, deviennent également un vecteur d’attaque initial pour 15 % des entreprises. Cette cartographie des risques confirme que l’interconnexion des systèmes multiplie les surfaces d’exposition. Les cybercriminels exploitent les failles de configuration ou de mise à jour pour obtenir un premier accès, avant de déployer des charges malveillantes chiffrant les données critiques.

Multiplication des incidents selon la taille de l’entreprise

Parmi les 5 750 organisations interrogées, 59 % ont subi au moins une cyberattaque au cours des douze derniers mois. Les grandes entreprises et celles générant plus d’un million de dollars (921 000 euros) de chiffre d’affaires sont les plus ciblées, avec une moyenne de six attaques par an, contre quatre pour les plus petites structures. Les sociétés de 50 à 249 employés enregistrent en moyenne sept incidents, contre cinq pour les structures comptant de 11 à 49 salariés. Le secteur non lucratif reste le plus exposé, avec huit attaques en moyenne par organisation, tandis que les entreprises des secteurs chimique, immobilier et médiatique signalent trois incidents par an.

Vers plus de transparence dans les paiements

Le rapport cite la nouvelle loi australienne imposant la divulgation des montants versés aux cybercriminels. Cette obligation recueille un soutien majoritaire : 71 % des répondants y sont favorables. Toutefois, 53 % estiment que les entreprises privées devraient pouvoir conserver la confidentialité de ces paiements. Ce débat illustre la tension entre transparence publique et gestion de crise opérationnelle. En dépit de la recrudescence des attaques, 83 % des organisations déclarent avoir renforcé leur posture de cybersécurité, notamment via la formation du personnel, la segmentation des réseaux et la mise en place de sauvegardes hors ligne.

cyberattaque, Cybersécurité, Entreprise

Les hacktivistes intensifient leurs attaques contre les infrastructures canadiennes

Le Canada alerte sur la hausse des cyberattaques ciblant ses infrastructures critiques, orchestrées par des hacktivistes exploitant des systèmes industriels connectés et mal sécurisés.

Le Centre canadien pour la cybersécurité a publié une alerte le 29 octobre sur une série d’attaques contre des systèmes de contrôle industriels (ICS) exposés à Internet. Les incidents ont visé des secteurs essentiels comme l’eau, l’énergie et l’agriculture, confirmant une tendance mondiale d’ingérence hacktiviste. Bien que non attribuées à un groupe précis, ces opérations s’inscrivent dans la continuité des campagnes menées par des collectifs liés à la Russie, tels que Z-Pentest. Un groupe que le site de référence sur la cyber sécurité et la cyber intelligence ZATAZ.COM affichait comme des opportunistes communicants.

NE MANQUEZ PAS NOTRE NEWS LETTER (CHAQUE SAMEDI). INSCRIPTION

L’agence appelle à renforcer la protection des dispositifs ICS, souvent négligés ou mal isolés, et recommande une coordination accrue entre gouvernements, fournisseurs et opérateurs d’infrastructures critiques.

Attaques ciblant les systèmes de contrôle industriels

Le Centre canadien pour la cybersécurité a identifié trois attaques récentes contre des dispositifs industriels connectés. Dans un réseau de traitement de l’eau, les pirates ont modifié les valeurs de pression, provoquant une dégradation du service local. Une autre intrusion, sur un site pétrolier et gazier, a altéré les capteurs d’une jauge automatisée de réservoir, déclenchant de fausses alarmes. Enfin, une exploitation agricole a vu ses paramètres de température et d’humidité trafiqués dans un silo à grains, générant un risque d’incident technique majeur.

L’agence souligne que ces manipulations illustrent une stratégie hacktiviste visant la visibilité médiatique plutôt que la destruction. Les infrastructures exposées sur Internet constituent des cibles faciles pour ces acteurs opportunistes.

Une menace soutenue par des groupes pro-russes

Aucune attribution formelle n’a été faite, mais plusieurs signaux convergent vers la mouvance hacktiviste russe, dominante dans la manipulation d’ICS depuis 2024. Le groupe Z-Pentest, apparu à l’automne dernier, a popularisé la diffusion de captures d’écran de panneaux de contrôle industriels pour revendiquer ses intrusions. Ces campagnes visent à déstabiliser les États occidentaux et à saper la confiance dans la résilience de leurs infrastructures.

L’Agence américaine de cybersécurité (CISA) a également observé une recrudescence d’attaques similaires. Elle évoque une stratégie d’influence numérique où la perturbation technique se double d’une guerre informationnelle. Les campagnes visent la réputation des institutions plutôt que des gains économiques.

Les dispositifs les plus vulnérables restent les automates programmables, les unités terminales distantes, les interfaces homme-machine, les systèmes SCADA ou les équipements IIoT. Leur exposition directe à Internet, souvent pour des raisons de maintenance à distance, facilite l’accès des intrus.

VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR

Renforcer la résilience et la coordination


Le Centre recommande aux gouvernements provinciaux et territoriaux de coopérer avec les municipalités pour établir un inventaire complet des systèmes critiques. Les secteurs de l’eau, de l’alimentation et de la fabrication, moins encadrés sur le plan cyber, nécessitent une attention particulière.

Les opérateurs doivent vérifier la configuration de leurs équipements et s’assurer que les connexions distantes utilisent des réseaux privés virtuels avec authentification à deux facteurs. En l’absence d’isolation possible, la surveillance doit être accrue à l’aide d’outils de détection et de prévention d’intrusion, de tests réguliers et d’une gestion active des vulnérabilités.

L’agence recommande également des exercices de simulation pour clarifier les responsabilités et évaluer la capacité de réponse. Le manque de coordination interne demeure un point faible majeur : « Une répartition floue des rôles crée souvent des lacunes laissant les systèmes sans protection », a rappelé le Centre.

Cybersécurité, Espionnage Spy, IA, IOT, Securite informatique

L’Inde accélère sa stratégie cyber autour du CERT-In

Porté par le CERT-In, le secteur indien de la cybersécurité devient un pilier économique majeur, combinant innovation, coopération internationale et défense numérique proactive.

L’Inde affirme sa position mondiale en cybersécurité grâce au CERT-In, l’agence nationale de réponse aux incidents informatiques. Selon son directeur, le Dr Sanjay Bahl, l’écosystème indien pèse désormais 20 milliards de dollars (18,5 milliards d’euros), soutenu par 400 start-ups et 650 000 professionnels. Face à la hausse des ransomwares et des menaces alimentées par l’intelligence artificielle, l’agence mise sur l’automatisation, la formation et la coopération internationale. Le ministère de l’Électronique et des Technologies de l’information (MeitY) voit dans cette approche une clé pour bâtir une Inde numérique sûre et résiliente.

NE MANQUEZ PAS NOTRE NEWS LETTER (CHAQUE SAMEDI). INSCRIPTION

Start-ups et compétences : le moteur de la croissance

L’écosystème cyber indien s’impose comme un acteur mondial, stimulé par un réseau dense de jeunes entreprises. Plus de 400 start-ups développent aujourd’hui des solutions d’analyse forensique, de détection des menaces et de surveillance assistée par IA. Leur croissance reflète l’essor d’un marché estimé à 20 milliards de dollars (18,5 milliards d’euros).

Près de 650 000 professionnels travaillent dans la sécurité numérique, couvrant des domaines allant de l’audit à la réponse aux incidents. Selon le Dr Bahl, cette main-d’œuvre qualifiée contribue à la résilience nationale face aux cyberattaques. L’Inde, longtemps concentrée sur l’externalisation informatique, se repositionne désormais comme un fournisseur de technologies de défense numérique à haute valeur ajoutée.

Ce développement repose sur la convergence entre innovation locale et expertise publique. Les start-ups bénéficient d’un environnement réglementaire favorable et de partenariats stratégiques avec les ministères techniques. Cette synergie accélère la modernisation des infrastructures critiques et renforce la sécurité des réseaux publics et privés.

Le CERT-In, pivot de la cyberdéfense nationale

Créé sous l’autorité du ministère de l’Électronique et des Technologies de l’information, le CERT-In joue un rôle central dans la détection et la gestion des incidents. Il coordonne les réponses entre secteurs publics et privés, évalue les vulnérabilités et assure la diffusion rapide d’alertes. Le Dr Bahl décrit l’intelligence artificielle comme une « arme à double tranchant », capable d’améliorer la défense tout en offrant de nouveaux outils aux cybercriminels. Pour contrer cet effet miroir, le CERT-In intègre des algorithmes d’apprentissage automatique dans ses systèmes de surveillance afin de détecter les anomalies et d’automatiser les contre-mesures.

En 2024, l’agence a recensé 147 attaques par ransomware. Nombre d’entre elles ont été contenues grâce à la coordination et au partage d’informations en temps réel. Le CERT-In organise également des exercices de simulation de crise et soutient les enquêtes forensiques menées par les forces de l’ordre.

Cette stratégie s’appuie sur un modèle de résilience active : anticipation, réponse rapide et apprentissage post-incident. Elle positionne le CERT-In comme un point de convergence entre cybersécurité opérationnelle et diplomatie technologique.

Un modèle collaboratif au service de la résilience nationale

L’approche du CERT-In illustre une politique cyber fondée sur la coopération. Le modèle réunit agences publiques, entreprises privées, universités et partenaires étrangers. Ce maillage institutionnel, piloté par le MeitY, renforce la souveraineté numérique indienne tout en facilitant les échanges d’expertise avec les pays alliés.

La cybersécurité n’est plus perçue comme un simple enjeu technique mais comme une composante essentielle de la politique de sécurité nationale. La sensibilisation des utilisateurs, la formation des ingénieurs et l’innovation locale sont intégrées dans la stratégie globale de développement.

VEILLE ZATAZ : NOUS RECHERCHONS VOS DONNÉES PIRATÉES. DÉCOUVRIR

Toutefois, les menaces évoluent plus vite que les défenses. Les attaquants exploitent l’IA, les deepfakes et les outils automatisés pour cibler entreprises et administrations. Le CERT-In constate une augmentation des identifiants falsifiés et des campagnes d’hameçonnage sophistiquées. Le Dr Bahl insiste sur le facteur humain : la technologie seule ne suffit pas. Les capacités humaines, la veille et la coopération internationale restent indispensables pour maintenir la résilience du pays. Le MeitY continue de miser sur la régulation agile et la montée en compétence pour contrer des adversaires toujours plus inventifs.

L’Inde consolide son statut d’acteur majeur de la cybersécurité mondiale, alliant puissance technologique et coordination stratégique. Reste à savoir si cette dynamique permettra au pays d’anticiper les menaces émergentes dans un cyberespace de plus en plus instable.