Un paquet malveillant déguisé en convertisseur PDF a été utilisé pour pirater les portefeuilles de cryptomonnaies Atomic Wallet et Exodus, exposant des milliers d’utilisateurs à une fraude invisible.
Un paquet open source diffusé via le gestionnaire npm, baptisé pdf-to-office, prétendait offrir une fonction anodine de conversion de fichiers PDF vers des formats Microsoft Office. En réalité, il s’agissait d’un cheval de Troie sophistiqué, conçu pour infiltrer deux des portefeuilles de cryptomonnaies les plus populaires — Atomic Wallet et Exodus — et rediriger subrepticement les transactions vers des adresses contrôlées par les cybercriminels. Cette attaque ciblée souligne à nouveau les failles béantes de la chaîne d’approvisionnement logicielle dans l’univers de la blockchain, où la confiance peut être compromise par une simple ligne de code.
Ce n’est pas la première fois que des paquets npm sont détournés à des fins malveillantes, mais l’attaque révélée se distingue par sa précision chirurgicale et son camouflage élaboré. Le paquet pdf-to-office ne suscitait a priori aucun soupçon : ses métadonnées semblaient légitimes, sa description technique cohérente, et il remplissait même partiellement sa promesse en convertissant certains fichiers PDF. Mais une fois installé sur la machine d’un développeur ou d’un utilisateur peu méfiant, le vrai travail du code malveillant commençait.
Dès l’exécution, le script inspectait le système local pour détecter la présence des portefeuilles Atomic Wallet ou Exodus. En fonction de la version installée, il allait modifier directement certains fichiers critiques au sein de leurs répertoires. Le plus inquiétant : les applications continuaient à fonctionner normalement, sans éveiller la moindre alerte de la part de l’utilisateur. L’interface restait identique, les soldes n’étaient pas altérés, les fonctions paraissaient intactes. Pourtant, à l’envoi de fonds, l’adresse du destinataire était discrètement remplacée par une adresse appartenant à l’attaquant.
« Même supprimé, le virus continue d’agir dans l’ombre : seul un reformatage complet des portefeuilles permet d’en venir à bout. »
Cette technique d’injection silencieuse est particulièrement dangereuse, car elle détourne des fonds en toute discrétion, souvent sans que les victimes ne s’en rendent compte avant que le mal ne soit fait. Ce type d’attaque est difficile à détecter à l’œil nu, car elle ne repose pas sur un simple keylogger ou une interception réseau, mais sur la modification interne des composants de logiciels de confiance.
Le script malveillant effectuait un archivage de fichiers provenant de la configuration d’AnyDesk, un logiciel populaire de prise de contrôle à distance. Ces archives étaient ensuite exfiltrées vers un serveur externe, ce qui pourrait indiquer soit une tentative de nettoyage de traces, soit la préparation d’une attaque plus vaste ciblant des environnements professionnels ou des infrastructures critiques. Ce volet secondaire de l’attaque suggère un niveau de sophistication élevé, digne de groupes de cybercriminalité organisés.
L’attaque met en lumière les faiblesses structurelles de l’écosystème npm, qui repose sur la confiance entre développeurs.
À l’heure actuelle, le paquet pdf-to-office a été retiré de la plateforme npm. Mais les conséquences persistent. Car même après la suppression du paquet et son désinstallation manuelle, les fichiers infectés dans les portefeuilles restent actifs. En d’autres termes, le logiciel reste compromis à moins d’être complètement réinstallé depuis des sources officielles. Cette persistance pose un défi majeur pour la remédiation : de nombreux utilisateurs n’imaginent pas qu’une simple dépendance de développement puisse infecter leur portefeuille crypto, et continuent à utiliser leur logiciel sans se douter du détournement.
Les versions officielles d’Atomic Wallet et Exodus, disponibles sur les sites des éditeurs, n’ont pas été affectées. Seules les installations locales ayant incorporé ce paquet via une chaîne de dépendances contaminée sont concernées. Cela n’empêche pas de tirer une sonnette d’alarme : une fois de plus, c’est l’intégrité de la chaîne d’approvisionnement logicielle qui est en jeu. Une menace devenue récurrente, après des scandales retentissants comme celui de SolarWinds ou de l’attaque contre 3CX.
Le gouvernement américain a mis fin au financement de la base de données CVE, pilier mondial de la cybersécurité, provoquant sa fermeture immédiate et laissant un vide critique dans la détection des vulnérabilités… pour faire marche arrière ensuite !
C’est un tournant inquiétant pour l’écosystème de la cybersécurité mondiale. Ce mercredi, la célèbre base de données CVE (Common Vulnerabilities and Exposures), référence universelle en matière d’identification des failles informatiques, s’éteint. En cause : la fin du contrat entre la MITRE Corporation, organisme à but non lucratif gestionnaire du projet, et la CISA, l’agence fédérale américaine chargée de la cybersécurité. Un non-renouvellement abrupt, inscrit dans une politique budgétaire restrictive menée par l’administration Trump, qui provoque l’interruption immédiate de cette infrastructure pourtant essentielle. Depuis 1999, le système CVE permettait une classification claire et standardisée des failles de sécurité. Sa disparition temporaire bouleverse le fonctionnement quotidien de milliers de professionnels à travers le monde.
La scène se passe presque dans le silence. Pas de conférence de presse ni de communiqué tapageur. Pourtant, l’arrêt de la base de données CVE constitue l’un des événements les plus marquants de ces dernières années pour la cybersécurité internationale. Des millions de professionnels s’appuyaient sur cette base pour identifier, référencer et corriger les vulnérabilités affectant les logiciels, les systèmes d’exploitation ou les composants matériels. L’arrêt de sa mise à jour signifie que les vulnérabilités découvertes à partir d’aujourd’hui ne seront plus répertoriées de manière centralisée, unique et accessible à tous.
Depuis plus de deux décennies, le CVE a été l’épine dorsale de la coordination dans la réponse aux menaces. À l’origine, le projet avait été lancé pour mettre fin au chaos régnant dans les années 1990, où chaque entreprise utilisait ses propres référentiels, rendant les échanges sur les failles complexes et peu efficaces. Grâce au CVE, une faille se voyait attribuer un identifiant unique – une sorte de matricule – permettant à toutes les équipes de cybersécurité, quels que soient leurs outils ou leur pays, de parler le même langage.
« La fin du CVE n’est pas seulement symbolique, elle est structurelle : c’est la disparition d’un standard global sans équivalent immédiat. »
Mais le contrat entre la MITRE Corporation et le ministère de la Sécurité intérieure américain, via la CISA, prend fin ce mercredi, sans reconduction. Cette décision, confirmée par le gouvernement, s’inscrit dans une logique de réduction budgétaire engagée par l’exécutif, au détriment de certains outils considérés comme coûteux ou non prioritaires. Et c’est là que le bât blesse : le coût de fonctionnement du programme CVE, pourtant relativement modeste à l’échelle des budgets fédéraux, est jugé superflu dans le cadre de cette politique d’austérité numérique.
Ce choix soulève l’incompréhension chez de nombreux acteurs du secteur, tant publics que privés. Car si la base de données CVE était officiellement américaine, sa portée, elle, était universelle. Des centaines de chercheurs, de laboratoires, de grandes entreprises de cybersécurité, mais aussi d’organisations gouvernementales et non gouvernementales du monde entier y contribuaient. Le modèle collaboratif du CVE en faisait un bien commun numérique, sans équivalent dans sa structuration et sa portée.
La fermeture brutale du système a pris de court nombre de professionnels. Si les anciennes données restent disponibles via des archives sur GitHub, elles ne seront plus mises à jour tant qu’aucune solution alternative n’aura été trouvée. Et c’est bien là que se situe le danger : selon les chiffres récents, plus de 25 000 nouvelles vulnérabilités ont été enregistrées dans la base CVE rien qu’en 2023. Leur absence de référencement officiel risque d’entraver sérieusement les réponses coordonnées à venir.
L’impact pourrait être particulièrement sévère pour les petites et moyennes entreprises, ainsi que pour les institutions publiques ne disposant pas de moyens pour accéder à des services commerciaux de suivi de vulnérabilités. De nombreuses solutions logicielles de gestion des risques ou de patching automatisé s’appuient directement sur les identifiants CVE pour détecter et corriger les failles. Sans ces repères, les délais de réaction risquent de s’allonger, laissant la porte ouverte à des cyberattaques d’envergure.
« Sans CVE, chaque organisation devra réinventer sa propre méthode de suivi des failles, avec les risques d’erreurs et de lenteurs que cela implique. »
Dans l’urgence, plusieurs pistes sont envisagées pour pallier ce vide. Certains évoquent la création d’un consortium international qui prendrait en charge la continuité du projet, sur un modèle similaire à celui de l’ICANN pour la gouvernance des noms de domaine. D’autres misent sur une reprise du flambeau par des entreprises majeures du secteur, comme Google, Microsoft ou encore IBM, qui disposent des moyens techniques et humains pour maintenir une base à jour. Mais ces options posent aussi des questions éthiques et politiques. Une base gérée par une entreprise privée pourrait perdre sa neutralité, tandis qu’une gouvernance internationale impliquerait des négociations complexes, longues et souvent ralenties par des logiques géopolitiques divergentes.
Dans l’intervalle, certains acteurs, notamment européens, pourraient saisir l’opportunité pour développer une alternative ouverte et souveraine. La question d’une autonomie stratégique en cybersécurité est de plus en plus discutée sur le Vieux Continent, et la fin de la base CVE pourrait accélérer cette dynamique. Un projet européen, financé par des institutions comme l’ENISA ou la Commission européenne, aurait le mérite de réduire la dépendance aux infrastructures américaines et de redonner une impulsion aux politiques de cybersécurité européennes.
Mais rien de tout cela ne sera immédiat. La construction d’une base de données fiable, exhaustive et reconnue prend du temps. Il faudra recréer des réseaux de contributeurs, des protocoles d’évaluation et des processus d’attribution normalisés. En attendant, le secteur devra composer avec une zone grise, où l’identification et la diffusion des vulnérabilités se feront de manière fragmentée.
Certains experts alertent d’ailleurs sur le risque d’une recrudescence de failles non signalées ou mal documentées dans les semaines à venir. Dans ce contexte d’instabilité, les cybercriminels pourraient profiter de cette désorganisation pour exploiter des brèches non encore corrigées. Une situation que les gouvernements comme les entreprises redoutent particulièrement.
Alors que le numérique structure aujourd’hui tous les pans de notre société – santé, finance, énergie, transports – la cybersécurité n’a jamais été aussi stratégique. Or, l’arrêt d’un outil aussi fondamental que le CVE fragilise un édifice déjà sous pression constante. Cette décision marque aussi un signal politique inquiétant : la cybersécurité ne semble plus figurer parmi les priorités stratégiques immédiates des États-Unis, du moins dans sa dimension coopérative et ouverte.
Le CVE n’est pas qu’une base de données. Il est le socle invisible sur lequel repose la coordination mondiale en matière de sécurité informatique. Sa disparition, même temporaire, doit alerter sur la fragilité des infrastructures numériques essentielles lorsqu’elles dépendent d’un unique acteur public ou privé. C’est l’un des paradoxes de notre ère numérique : à l’heure où tout est interconnecté, les outils critiques reposent encore sur des fondations institutionnelles trop peu résilientes.
Alors que le monde cherche une solution de remplacement à la base CVE, une question persiste : la cybersécurité mondiale peut-elle continuer de reposer sur des initiatives isolées, ou est-il temps d’envisager une gouvernance réellement collective et pérenne de la sécurité numérique ?
Mise à jour : La CISA (Cybersecurity and Infrastructure Security Agency) a finalement prolongé mardi soir son contrat avec le programme CVE (Common Vulnerabilities and Exposures), géré par le MITRE.
Le programme CVE, utilisé depuis 25 ans pour identifier et cataloguer les failles de cybersécurité à l’échelle mondiale, risquait de perdre ses financements dès mercredi. Heureusement, un prolongement de 11 mois a été acté in extremis pour éviter une interruption des services critiques.
Cependant, des tensions apparaissent : une partie du conseil du programme CVE envisage de créer une nouvelle entité indépendante, la CVE Foundation, pour garantir la neutralité et la pérennité du programme, actuellement trop lié à un financement gouvernemental unique.
Ce rebondissement intervient alors que la CISA fait face à des réductions budgétaires, des résiliations de contrats et des critiques politiques, notamment sur son rôle durant les élections de 2020. La secrétaire à la Sécurité intérieure Kristi Noem souhaite une réduction de taille et de dépenses pour rendre l’agence « plus efficace et agile« .
Mise à jour : des rebondissements qui ont permis à l’Europe de sortir de la cave https://euvd.enisa.europa.eu/– au moment de cette mise à jour, le site attend de passer en … 2025 !
New York vit une série de piratages informatiques qui met à mal des millions d’habitants et étudiants de la Grosse Pomme. Nouveau cas aprés l’Université de New-York, une faille de sécurité dans le système de devis de Root. Une cyber attaque vieille de plusieurs mois qui a permis à des pirates d’accéder aux informations personnelles de 45 000 New-Yorkais. L’entreprise vient d’être condamnée à une forte amende.
L’entreprise d’assurance automobile Root, qui ne propose pas de services à New York, a néanmoins permis à des cybercriminels d’exploiter une faille dans son système de devis en ligne, entraînant la fuite de numéros de permis de conduire et d’autres informations sensibles. Cette attaque s’inscrit dans une série d’incidents similaires ayant ciblé le secteur de l’assurance, exposant des milliers de clients à des risques de vol d’identité.
Une faille de sécurité massive exploitée par des cybercriminels
Root permettait aux consommateurs d’obtenir une estimation de prix pour une assurance automobile via son site internet. Le système de devis utilisait une fonction de pré remplissage qui complétait automatiquement certains champs avec des informations sensibles, y compris les numéros de permis de conduire. Une fois le devis généré, le système créait un fichier PDF contenant les informations du client, y compris le numéro de permis de conduire en texte brut. Cette faille a permis à des cybercriminels d’automatiser le processus de collecte de données en utilisant des bots.
En janvier 2021, Root a découvert que des acteurs malveillants exploitaient cette vulnérabilité pour collecter massivement des informations personnelles. Les pirates ont utilisé ces données pour déposer des demandes frauduleuses de prestations de chômage pendant la pandémie de COVID-19. L’enquête du Bureau de la procureure générale (OAG) a révélé que Root n’avait pas mis en place de mesures de sécurité adéquates pour empêcher l’accès automatisé par des bots. L’entreprise n’a pas non plus identifié la vulnérabilité de son système de préremplissage ni sécurisé les fichiers PDF générés par le système.
La procureure générale Letitia James a déclaré que l’incapacité de Root à protéger ces informations sensibles représentait une violation grave des normes de sécurité des données. Elle a souligné que cette négligence avait directement exposé des milliers de New-Yorkais à des risques de vol d’identité. Selon l’enquête, Root n’avait pas effectué de contrôles de sécurité réguliers sur son système, ni mis en place de protocoles pour détecter et bloquer les attaques automatisées.
Une sanction financière et des mesures de sécurité renforcées
En plus de l’amende de 975 000 dollars, Root a accepté de mettre en place une série de mesures pour renforcer la sécurité de ses systèmes. L’entreprise devra mettre en place un programme de sécurité complet pour garantir la protection des informations sensibles de ses clients. Elle devra également surveiller en permanence les accès à ses systèmes et mettre en place un protocole d’alerte pour signaler toute activité suspecte. Root s’est engagée à renforcer ses procédures d’authentification et à effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.
Il aura fallu une condamnation pour que l’entreprise se penche sur la base de sa cybersécurité ? Les compagnies d’assurance collectent une quantité massive de données sensibles et doivent assumer la responsabilité de protéger ces informations contre les cybermenaces.
Une série de mesures contre le secteur de l’assurance
Cette amende s’inscrit dans une série d’actions menées par le bureau de la procureure générale contre le secteur de l’assurance. En novembre 2024, GEICO et Travelers avaient accepté de payer 5,1 millions de dollars après avoir été accusées d’avoir laissé des failles dans leurs systèmes de sécurité, facilitant le vol d’informations personnelles de milliers de New-Yorkais. En décembre 2024, Noblr a conclu un accord de 500 000 dollars avec le bureau de la procureure générale après avoir été accusée de pratiques de sécurité insuffisantes. En mars 2025, Letitia James a également engagé des poursuites contre Allstate Insurance, accusée d’avoir compromis les informations de plus de 165 000 clients à cause de failles de sécurité dans son système en ligne.
Letitia James s’est imposée comme une figure clé dans la protection de la vie privée des New-Yorkais face aux cybermenaces. Son bureau a également pris des mesures dans d’autres secteurs. En octobre 2024, un accord de 2,25 millions de dollars a été obtenu auprès d’un prestataire de soins de santé pour une fuite de données médicales. En août 2024, une coalition multirégionale dirigée par Letitia James a obtenu 4,5 millions de dollars d’une société de biotechnologie pour avoir échoué à protéger les données sensibles des patients. En juillet 2024, le bureau de la procureure générale a lancé deux guides sur la protection de la vie privée en ligne pour aider les entreprises et les consommateurs à mieux gérer la confidentialité de leurs données.
La Pennsylvania State Education Association (PSEA) a été victime d’une violation de données qui a exposé les informations personnelles de plus de 500 000 personnes. Cette attaque, revendiquée par le groupe de rançongiciels Rhysida, soulève de graves préoccupations concernant la sécurité des données dans le secteur de l’éducation publique.
La PSEA, un syndicat influent représentant les enseignants, les professionnels du soutien à l’éducation et le personnel scolaire de Pennsylvanie, a confirmé qu’une attaque informatique avait compromis les données de 517 487 personnes. L’incident, survenu aux alentours du 6 juillet 2024, a été détecté après qu’un acteur malveillant a réussi à s’introduire dans le réseau informatique de l’association. Après plusieurs mois d’enquête, la PSEA a officiellement révélé la nature et l’étendue de la faille le 18 février 2025, confirmant que des informations sensibles avaient été compromises. Un mois plus tard, ils alertaient les personnes potentiellement impactées. Soit 8 mois aprés l’attaque !
Une attaque d’envergure visant des informations critiques
Le mode opératoire des cybercriminels suggère une attaque soigneusement préparée, ciblant des informations personnelles sensibles. Les données compromises incluent les noms complets des membres de la PSEA, associés à une ou plusieurs informations sensibles : numéro de sécurité sociale, date de naissance, numéro de permis de conduire, numéros de comptes bancaires, identifiants de connexion, informations de paiement (y compris le code PIN et la date d’expiration), numéros de passeport, informations d’assurance maladie et données médicales.
La sophistication de cette attaque repose sur la diversité des données compromises, donnant aux cybercriminels une marge d’exploitation importante. La capacité à combiner ces informations pourrait permettre la mise en place de fraudes bancaires, d’usurpations d’identité ou encore d’attaques ciblées contre les personnes concernées. La PSEA a rapidement pris des mesures pour sécuriser son réseau et renforcer ses protocoles de sécurité. Cependant, le caractère massif de la fuite souligne une vulnérabilité structurelle dans la protection des données au sein du secteur de l’éducation publique.
« PSEA a connu un incident de sécurité le 6 juillet 2024 ou aux alentours de cette date, qui a impacté notre environnement réseau. Après une enquête approfondie et un examen minutieux des données concernées, achevés le 18 février 2025, nous avons déterminé que les données acquises par l’acteur non autorisé contenaient des informations personnelles appartenant à des personnes dont les informations étaient contenues dans certains fichiers de notre réseau« , précise la notification officielle publiée par la PSEA. L’enquête, c’est surtout l’accès aux données diffusées par les pirates ?
Le communiqué ajoute que l’association a « pris les mesures nécessaires, au mieux de nos capacités et de nos connaissances, pour garantir la suppression des données volées par l’acteur non autorisé« . Cette formulation laisse entendre que la PSEA a pu négocier avec le groupe de rançongiciels Rhysida, une hypothèse renforcée par le retrait ultérieur de la PSEA du site de fuite du groupe criminel sur le dark web.
Rhysida : un groupe de rançongiciels redouté
Le groupe Rhysida est apparu sur la scène cybercriminelle en 2023 et s’est rapidement imposé comme l’un des collectifs de ransomware les plus actifs au monde. Rhysida cible principalement les institutions publiques, les établissements de santé, les services éducatifs et les infrastructures critiques. Le mode opératoire du groupe consiste à infiltrer les réseaux informatiques par des techniques d’ingénierie sociale, souvent via des attaques de type hameçonnage (phishing) ou par l’exploitation de vulnérabilités dans des logiciels non mis à jour.
Une fois le réseau compromis, Rhysida utilise un logiciel de cryptage pour bloquer l’accès aux fichiers sensibles. Les attaquants réclament alors une rançon, souvent en cryptomonnaie, en échange de la clé de déchiffrement. Si la victime refuse de payer ou tarde à répondre, le groupe menace de publier les données volées sur son site de fuite hébergé sur le dark web. Cette double menace — paralysie des systèmes et publication des données — place les victimes dans une situation délicate, poussant souvent les institutions à négocier discrètement avec les attaquants.
Dans le cas de la PSEA, Rhysida a revendiqué l’attaque le 9 septembre 2024, exigeant une rançon de 20 bitcoins (environ 720 000 euros au taux de change de septembre 2024). Peu après, le nom de la PSEA a disparu du site de fuite du groupe, laissant penser qu’un accord financier a été trouvé. Bien que la PSEA n’ait pas confirmé avoir payé la rançon, la suppression des données du site de Rhysida renforce cette hypothèse.
Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.
Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.
Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.
Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.
« Une sophistication rare, digne d’acteurs étatiques »
L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.
« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).
L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.
Un correctif publié, mais l’enquête se poursuit
L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.
Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.
L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.
Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.
Un jeu d’échecs numérique aux ramifications géopolitiques
Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.
Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.
Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?
Le parquet néerlandais a requis une peine de quatre ans de prison à l’encontre d’une femme de 28 ans, originaire de Den Bosch, accusée d’avoir vendu des téléphones EncroChat destinés à des criminels. Ces appareils permettaient d’envoyer des messages cryptés et d’assurer une communication totalement anonyme, facilitant ainsi l’organisation d’activités illégales.
Entre avril 2019 et juin 2020, la suspecte aurait vendu ces téléphones sécurisés à une clientèle bien particulière : des trafiquants de drogue et des criminels organisés. Si la vente de téléphones chiffrés n’est pas illégale en soi, le parquet affirme que les appareils fournis par la suspecte étaient utilisés exclusivement à des fins criminelles.
« En vendant ces téléphones, la prévenue a contribué à rendre plus difficile la détection de crimes graves, comme le trafic de drogue à grande échelle. Son seul objectif était de faire de l’argent rapidement, » a déclaré le procureur dans un communiqué.
La femme est également accusée d’avoir effacé à distance les données des téléphones de ses clients lorsque ceux-ci étaient arrêtés, supprimant ainsi les messages échangés et entravant le travail des enquêteurs.
La suspecte a été arrêtée en septembre 2021 après avoir été identifiée comme revendeuse dans le cadre d’une autre enquête criminelle. Lors de son interrogatoire, elle a affirmé ne pas connaître ses clients. Une version que le parquet juge peu crédible, compte tenu des montants en espèces reçus et de la nature criminelle de sa clientèle.
Une activité très rentable
Selon les calculs du parquet, la vente de ces téléphones EncroChat aurait rapporté à la suspecte environ 630 840 € en un peu plus d’un an. Elle agissait en tant que sous-revendeuse, travaillant pour un autre suspect qui gérait un réseau d’environ 30 autres distributeurs de téléphones EncroChat.
Ce modèle de distribution a permis de créer un marché clandestin de téléphones cryptés spécifiquement conçu pour contourner les systèmes de surveillance et de détection des forces de l’ordre. Les criminels pouvaient ainsi organiser leurs activités en toute discrétion, échappant à la surveillance des autorités.
« La vente de ces téléphones cryptés a permis aux organisations criminelles de se structurer et de coordonner leurs opérations en toute impunité, » a souligné le parquet.
Le tournant décisif de juillet 2020
L’histoire d’EncroChat a connu un tournant majeur en juillet 2020, lorsque les autorités néerlandaises et françaises sont parvenues à percer le système de chiffrement. Pendant plusieurs mois, les forces de l’ordre ont pu intercepter et surveiller les échanges entre criminels. Plus de 20 millions de messages ont été récupérés, mettant en lumière un vaste réseau de trafic de drogue, de trafic d’armes et de blanchiment d’argent.
Dans les semaines suivant la découverte, la police néerlandaise a procédé à une série de coups de filet spectaculaires : 100 suspects arrêtés ; 19 laboratoires de drogue démantelés ; Des dizaines d’armes à feu saisies ; Près de 10 000 kg de drogues confisqués et un trésor de guerre d’environ 20 millions d’euros en liquide récupérés.
De nombreuses informations clés – noms, photos et messages – ont été extraites des téléphones EncroChat, permettant d’identifier et de poursuivre de nombreux criminels. Cette percée technologique a été qualifiée de « game-changer » par le directeur du service national d’enquête criminelle des Pays-Bas.
Une peine exemplaire pour marquer les esprits
Le parquet néerlandais considère que la prévenue n’était pas une simple revendeuse, mais une actrice clé dans la facilitation des activités criminelles. En effaçant les données des téléphones et en protégeant ses clients, elle aurait sciemment participé à la stratégie d’évasion des trafiquants.
« Ce type de complicité technologique constitue une menace directe pour la sécurité publique. La peine de prison requise doit servir d’exemple pour dissuader d’autres individus de participer à ce type d’activités, » a déclaré le procureur.
La chute d’EncroChat a eu des répercussions majeures sur le crime organisé en Europe. De nombreux réseaux de trafic de drogue et d’armes ont été perturbés, et la capacité des criminels à communiquer en toute sécurité a été fortement réduite. D’autres systèmes de communication cryptés, comme Sky ECC ou Anom, prendront la main… avant d’être démantelés.
Le jugement de la cour, prévu pour le 15 avril 2025, pourrait établir un précédent important dans la lutte contre les technologies facilitant le crime organisé. Si la peine de quatre ans est confirmée, elle pourrait envoyer un signal fort aux acteurs du marché des téléphones cryptés… ou pas !
La répression judiciaire suffira-t-elle à endiguer l’usage des technologies cryptées par le crime organisé, ou les criminels parviendront-ils à contourner une fois de plus les systèmes de surveillance ? Une des questions auxquelles les députés français ont tenté de répondre, il y a peu, avec la loi sur le narcotrafic.
Un nouvel appareil développé par des ingénieurs chinois, capable de sectionner les câbles de communication sous-marins les plus « fortifiés », vient d’être dévoilé par Pékin. Cette révélation pourrait redessiner les rapports de force maritimes mondiaux et fragiliser les réseaux de communication internationaux.
Le dispositif, conçu pour fonctionner à des profondeurs atteignant 4 000 mètres – soit le double de la portée opérationnelle maximale des infrastructures de communication sous-marines existantes – pourrait conférer à la Chine un levier stratégique majeur en cas de crise géopolitique.
Une technologie (et une annonce) avancée à portée stratégique
Développé par le Centre de recherche scientifique de la marine chinoise (CSSRC) et le laboratoire d’État clé des véhicules habités en eaux profondes, ce coupe-câble est intégré aux submersibles avancés de la Chine, tels que le Fendouzhe (ou Striver) et la série Haidou. Conçu pour couper des câbles blindés, protégés par des couches d’acier, de caoutchouc et de polymères, ce dispositif cible directement l’infrastructure qui soutient 95 % des communications mondiales.
En théorie, le coupe-câble a été développé pour des opérations de sauvetage en mer et des missions de récupération de ressources dans les grands fonds marins. Toutefois, son potentiel d’utilisation militaire est évident, soulevant des préoccupations majeures au sein de la communauté internationale. Alors que la Russie a été longtemps montré de la pince coupante, la capacité de la Chine à interrompre ou perturber les communications mondiales en cas de conflit stratégique pourrait transformer le paysage géopolitique mondial.
Un outil de défense ou une arme géopolitique ?
Les câbles sous-marins constituent le cœur invisible mais essentiel de l’économie mondiale. Ils acheminent quotidiennement des téraoctets de données, y compris des transactions financières, des communications diplomatiques et des opérations militaires. Si un État acquiert la capacité de sectionner ces câbles à grande profondeur, il pourrait non seulement paralyser l’économie numérique mondiale, mais aussi perturber gravement les opérations militaires et stratégiques de ses adversaires. Les derniers cas vécus en mer Baltique a remis cette potentialité au goût du jour (même si le risque n’a jamais disparu). Souvenez-vous, en 2014, des « requins » avaient coupé des câbles sous-marins !!
Le monde surveille depuis longtemps les capacités de la Chine dans le domaine de la guerre sous-marine. La divulgation publique de cet appareil confirme les soupçons de nombreux analystes : Pékin investit massivement dans des technologies capables de cibler les infrastructures critiques. Un câble sectionné dans l’Atlantique ou le Pacifique pourrait, en quelques minutes, interrompre des communications transcontinentales vitales et déclencher une réaction en chaîne économique et politique.
Le caractère « dual-use » (civil et militaire) du coupe-câble ne fait qu’amplifier les inquiétudes. Si la Chine affirme que le dispositif est destiné à des applications civiles, comme la récupération d’objets en haute mer ou la réparation de câbles endommagés, sa capacité à être utilisé comme arme de déstabilisation stratégique est indéniable. Cette ambivalence rend la situation particulièrement délicate sur le plan diplomatique.
Une capacité sans précédent dans les grands fonds
La profondeur opérationnelle du coupe-câble chinois dépasse largement celle des dispositifs existants. Les câbles de communication actuels sont généralement posés à des profondeurs allant jusqu’à 2 000 mètres. En atteignant 4 000 mètres, la Chine se dote d’une capacité inédite pour accéder et manipuler les infrastructures sous-marines les plus protégées.
Le submersible Fendouzhe, qui a déjà atteint une profondeur record de 10 909 mètres dans la fosse des Mariannes en 2020, constitue une plateforme idéale pour transporter et déployer ce type de technologie. Associé à des systèmes de navigation avancés et une précision robotique accrue, ce coupe-câble pourrait être utilisé avec une redoutable efficacité pour des opérations ciblées.
Le dispositif fonctionne grâce à un mécanisme de coupe renforcé, capable de traverser plusieurs couches de protection métallique et de matériaux composites. Il utilise des lames de carbure de tungstène, connues pour leur extrême résistance, et un système hydraulique à haute pression qui garantit une coupe nette même dans des conditions de pression extrême.
Une menace pour la sécurité mondiale ?
Les implications stratégiques sont considérables. Les câbles sous-marins transportent environ 10 000 milliards de dollars de transactions financières par jour. Une rupture coordonnée de ces câbles pourrait plonger les marchés financiers dans le chaos, interrompre les communications militaires sensibles et paralyser les réseaux internet régionaux.
Les câbles sous-marins, qui transportent 99 % du trafic Internet mondial, sont essentiels pour les communications quotidiennes, les transactions financières et la recherche scientifique. Environ 95 % des données utilisées par la population américaine et 75 % de celles utilisées en Chine transitent par ces infrastructures.
En 2022, le sabotage des gazoducs Nord Stream en mer Baltique avait déjà démontré la vulnérabilité des infrastructures sous-marines. La capacité de la Chine à répliquer ce type d’attaque sur les réseaux de communication pourrait constituer une arme de dissuasion redoutable, modifiant profondément les rapports de force entre grandes puissances.
Les experts en sécurité maritime redoutent que la Chine n’utilise ce coupe-câble pour exercer une pression stratégique sur Taïwan, le Japon ou les États-Unis en cas de tensions accrues en mer de Chine méridionale. En coupant sélectivement certains câbles, Pékin pourrait isoler des régions entières du réseau mondial et semer le chaos économique et militaire.
Les submersibles chinois, comme le Fendouzhe, sont capables de manœuvrer discrètement dans les grands fonds marins, échappant à la détection des radars et des systèmes de surveillance traditionnels.
Vers une nouvelle ère de la guerre sous-marine ?
La révélation de ce coupe-câble chinois marque une étape majeure dans la militarisation des grands fonds marins. Alors que la cybersécurité et la guerre de l’information dominent le paysage stratégique moderne, la capacité à contrôler et manipuler les infrastructures physiques du réseau mondial confère un avantage stratégique décisif.
La Chine vient d’ouvrir une nouvelle brèche dans la guerre sous-marine. Les puissances occidentales sauront-elles s’adapter à ce nouvel environnement stratégique, ou devront-elles accepter une vulnérabilité structurelle face à la montée en puissance technologique de Pékin ?
Une alerte renouvelée de l’administration de la défense US
Fin 2024, datasecuritybreach.fr vous avait relaté l’action de huit sénateurs américains. Ces politiques avaient demandé à Joe Biden de lancer une revue de sécurité sur les câbles sous-marins de communication, citant une menace de sabotage par la Russie et la Chine.
Cette demande reflètait les inquiétudes croissantes des États-Unis concernant l’espionnage potentiel de la Chine sur le trafic de données, une accusation que Pékin rejette fermement.
Pendant la Première Guerre mondiale, la Grande-Bretagne a coupé les câbles sous-marins allemands, et durant la Guerre froide, la marine américaine a intercepté les communications soviétiques par câbles sous-marins. Contrôler ces infrastructures permet d’influencer la circulation des données, ce qui en fait un enjeu stratégique majeur.
La Chine et les États-Unis rivalisent pour le contrôle de ces infrastructures. Historiquement dominée par des entreprises occidentales comme SubCom (États-Unis), NEC (Japon) et Alcatel (France), l’industrie des câbles sous-marins a vu l’entrée de Huawei Marine en 2008, une coentreprise entre Huawei (place sur la liste noire US depuis 2019) et Global Marine Systems. Huawei Marine est rapidement devenue un acteur majeur du secteur avant d’être vendue à Hengtong Group et rebaptisée HMN Tech. La Chine a intensifié ses investissements dans cette technologie dans le cadre de son objectif de devenir une puissance maritime.
La rivalité sino-américaine s’est intensifiée lorsque les États-Unis ont bloqué Huawei Marine bloquant son projet « Pacific Light Cable Network », un projet de câble sous-marin entre Los Angeles et Hong Kong. Le gouvernement américain a également lancé l’initiative Clean Network pour empêcher le raccordement direct entre les États-Unis et la Chine. En 2023, la part de marché de HMN Tech dans la pose de nouveaux câbles est tombée à 4 %, contre 10 % entre 2010 et 2023.
Tornado Cash, une plateforme controversée de mixage de cryptomonnaies, a été retirée vendredi de la liste noire des sanctions américaines après une décision de justice favorable en novembre. Ce revirement met en lumière les tensions croissantes entre innovation technologique et sécurité nationale.
Depuis 2022, Tornado Cash figurait sur la liste des personnes nationales spécialement désignées (SDN) du département du Trésor américain. Accusée d’avoir facilité le blanchiment de centaines de millions de dollars volés par des hackers nord-coréens, la plateforme faisait l’objet de mesures strictes. La décision de la cour d’appel fédérale en novembre a toutefois bouleversé ce cadre juridique en invalidant les sanctions, estimant que le Trésor avait dépassé ses prérogatives légales.
Une victoire juridique décisive ?
La décision de la cour d’appel fédérale repose sur une interprétation clé de la loi de 1977 sur les pouvoirs économiques d’urgence internationaux (IEEPA). Le juge Don Willett de la 5e Cour d’appel des États-Unis a estimé que les contrats intelligents immuables de Tornado Cash ne peuvent pas être considérés comme des « biens » au sens de la loi. Cette distinction a été décisive dans l’annulation des sanctions. Les contrats intelligents sont des lignes de code autonomes sur la blockchain, conçues pour préserver l’anonymat des transactions. En d’autres termes, ces protocoles décentralisés échappent au contrôle direct de leurs créateurs et ne sont donc pas assimilables à des actifs traditionnels.
La plateforme de trading Coinbase, qui a soutenu financièrement la bataille juridique, a rapidement salué cette décision comme une « victoire historique pour la crypto« . Un responsable de Coinbase a déclaré que « personne ne veut que des criminels utilisent des protocoles cryptographiques, mais bloquer entièrement la technologie open source parce qu’une petite partie des utilisateurs sont de mauvais acteurs n’est pas ce que le Congrès a autorisé« . Cette déclaration illustre le débat persistant autour de la régulation des cryptomonnaies : faut-il sanctionner la technologie elle-même ou les acteurs qui en abusent ?
Une plateforme au cœur de scandales majeurs
Tornado Cash est une plateforme de mixage de cryptomonnaies lancée en 2019. Son fonctionnement repose sur un principe simple mais controversé : elle permet aux utilisateurs de combiner plusieurs transactions de cryptomonnaies afin d’en masquer l’origine. Ce processus complique considérablement la traçabilité des fonds, ce qui en fait un outil prisé des cybercriminels.
Le département du Trésor américain avait précédemment accusé Tornado Cash d’avoir blanchi plus de 7 milliards de dollars depuis sa création. Parmi les opérations de blanchiment les plus retentissantes figure le vol de plus de 600 millions de dollars du jeu Axie Infinity en mars 2022, attribué au groupe de hackers nord-coréen Lazarus. Tornado Cash aurait également été utilisé pour blanchir 275 millions de dollars dérobés sur la plateforme de trading KuCoin.
En août 2023, le cofondateur Roman Storm a été arrêté dans l’État de Washington pour blanchiment d’argent. Son associé Roman Semenov, de nationalité russe, est en fuite et reste sous le coup des sanctions américaines. Un autre développeur clé de Tornado Cash, Alexey Pertsev, a été condamné en mai 2023 à cinq ans et quatre mois de prison par un tribunal néerlandais pour blanchiment d’argent. La levée des sanctions contre Tornado Cash ne remet donc pas en cause la responsabilité pénale de ses dirigeants.
Un revirement stratégique du Trésor américain
Le département du Trésor a expliqué sa décision en évoquant un « examen des nouvelles questions juridiques et politiques soulevées par l’utilisation de sanctions financières contre l’activité financière et commerciale se produisant dans des environnements technologiques et juridiques en évolution ». Cette déclaration souligne la complexité croissante de la régulation des cryptomonnaies dans un contexte de développement technologique rapide.
Le secrétaire au Trésor, Scott Bessent, a toutefois insisté sur la nécessité de protéger le secteur des actifs numériques contre les abus. « Protéger le secteur des actifs numériques contre les abus de la Corée du Nord et d’autres acteurs illicites est essentiel pour établir le leadership des États-Unis et garantir que le peuple américain puisse bénéficier de l’innovation et de l’inclusion financières », a-t-il déclaré. Cette position reflète une volonté de concilier développement technologique et sécurité nationale, deux objectifs souvent perçus comme contradictoires.
Des tensions politiques et réglementaires persistantes
La levée des sanctions contre Tornado Cash s’inscrit dans un contexte politique plus large. L’administration Trump a adopté une posture plus favorable à l’égard des cryptomonnaies et des actifs numériques. Plusieurs défenseurs de la blockchain ont été nommés à des postes stratégiques, influençant la politique du gouvernement en matière de régulation financière.
Cependant, cette approche divise profondément le paysage politique américain. Si certains considèrent les cryptomonnaies comme une opportunité d’innovation et de croissance économique, d’autres y voient un risque majeur pour la sécurité nationale. Les cyberattaques nord-coréennes visant les plateformes de cryptomonnaie et le financement du programme nucléaire de Pyongyang exacerbent ces tensions.
Le Trésor a d’ailleurs précisé que la surveillance des transactions suspectes se poursuivra. « Le Trésor continuera de surveiller de près toute transaction susceptible de profiter à des cyber acteurs malveillants ou à la RPDC, et les citoyens américains doivent faire preuve de prudence avant de s’engager dans des transactions qui présentent de tels risques », a averti le département.
Une décision qui pourrait redéfinir la régulation des cryptomonnaies
La levée des sanctions contre Tornado Cash pourrait créer un précédent juridique majeur. La décision de la cour d’appel limite la capacité du gouvernement à imposer des sanctions sur des protocoles décentralisés et soulève la question de la responsabilité des développeurs de technologies open source. Cette situation pourrait encourager le développement de nouvelles plateformes de mixage et d’anonymisation, tout en compliquant la tâche des régulateurs.
Les partisans de la décentralisation y voient une avancée majeure pour la protection de la vie privée et la souveraineté numérique. Les autorités, en revanche, redoutent une augmentation des activités illicites, facilitée par l’opacité des transactions cryptographiques.
Le cas de Tornado Cash illustre ainsi le dilemme fondamental auquel sont confrontés les gouvernements face à la révolution des cryptomonnaies : comment protéger l’innovation sans ouvrir la porte à des dérives criminelles ? La réponse à cette question façonnera sans doute l’avenir de la régulation financière dans l’économie numérique globale.
Depuis 2016, une campagne de piratage sophistiquée baptisée DollyWay sévit dans l’univers de WordPress, ayant déjà compromis plus de 20 000 sites à travers le monde. Cette opération malveillante, qui a récemment atteint une phase critique avec la version DollyWay v3, repose sur une mécanique redoutable de redirections frauduleuses et de réinfections automatiques.
Depuis son apparition il y a près d’une décennie, DollyWay n’a cessé d’évoluer. Initialement détectée comme une simple campagne de redirections malveillantes, elle s’est transformée en un véritable écosystème criminel. Selon Denis Sinegubko, chercheur en sécurité chez GoDaddy, DollyWay a récemment franchi un nouveau cap avec le déploiement de sa version v3. Ce stade marque une sophistication accrue des méthodes utilisées par les pirates, qui s’appuient désormais sur une infrastructure centralisée et des modèles de code récurrents, signes caractéristiques d’une organisation criminelle structurée.
Le nom de la campagne provient d’une ligne de code spécifique détectée par les chercheurs : define(‘DOLLY_WAY’, ‘World Domination’).
Cette signature, presque ironique, laisse entendre une intention claire de prise de contrôle à grande échelle. DollyWay ne se contente pas de détourner le trafic : elle s’infiltre profondément dans le code des sites WordPress en exploitant des failles dans les plugins et les thèmes. Cette stratégie permet aux attaquants de maintenir une présence persistante sur les sites compromis, rendant la suppression du malware particulièrement complexe.
Un mécanisme de redirection massif
La version DollyWay v3 s’appuie sur une technique de redirection particulièrement agressive. Une fois qu’un site WordPress est compromis, le trafic légitime est détourné vers des plateformes frauduleuses. Les visiteurs sont ainsi dirigés vers des sites de rencontres factices, des casinos en ligne ou des plateformes de cryptomonnaies douteuses. Ce trafic est ensuite monétisé grâce à des programmes d’affiliation hébergés par des réseaux partenaires comme VexTrio et LosPollos.
Le système de redirection repose sur une Traffic Distribution System (TDS), une plateforme sophistiquée qui filtre le trafic en fonction de plusieurs critères (localisation géographique, type d’appareil, comportement utilisateur). Cette technologie permet aux hackers d’optimiser leurs gains en envoyant les utilisateurs vers les sites partenaires les plus susceptibles de générer des revenus.
En février 2025, DollyWay v3 générait déjà près de 10 millions de redirections mensuelles. Ce volume impressionnant témoigne de la capacité des pirates à exploiter en continu les failles des sites WordPress et à s’adapter aux mesures de sécurité mises en place par les administrateurs.
« Notre recherche montre que ces attaques utilisent une infrastructure et des modèles de code communs, ce qui indique l’implication d’un groupe de hackers très organisé » — Rapport de GoDaddy
Une capacité de réinfection automatique
L’un des aspects les plus inquiétants de DollyWay réside dans sa capacité à se réinstaller automatiquement après avoir été supprimé. Les pirates ont développé une méthode d’infection qui leur permet de masquer le code malveillant au sein des fichiers WordPress critiques, rendant la détection extrêmement difficile.
DollyWay v3 exploite des failles zero-day dans les plugins et les thèmes WordPress populaires, introduisant du code malveillant dans le cœur du système. Même si un administrateur parvient à supprimer le malware, une nouvelle tentative d’infection est automatiquement déclenchée via une porte dérobée laissée dans le code. Cette capacité d’auto-régénération rend DollyWay exceptionnellement difficile à éradiquer.
Une monétisation structurée et lucrative
La finalité de DollyWay est avant tout économique. La campagne est directement liée à des programmes d’affiliation gérés par VexTrio et LosPollos, deux réseaux connus pour leur implication dans des activités à la limite de la légalité. Grâce à la TDS, les hackers peuvent diriger le trafic vers des offres spécifiques, maximisant ainsi le taux de conversion et donc les revenus.
Le processus est méticuleusement orchestré : Une redirection initiale oriente l’utilisateur vers un site de transition. La TDS analyse les caractéristiques du trafic (localisation, appareil, historique). L’utilisateur est ensuite redirigé vers une offre spécifique (site de rencontres, casino, investissement crypto). En cas de conversion (inscription, dépôt d’argent), les hackers perçoivent une commission via le réseau d’affiliation.
Ce modèle économique basé sur des commissions par performance garantit une rentabilité élevée, incitant ainsi les pirates à maintenir et à faire évoluer en permanence leur infrastructure.
Une réponse complexe des acteurs de la cybersécurité
Face à la montée en puissance de DollyWay, la communauté de la cybersécurité s’organise pour contrer cette menace. GoDaddy, l’un des principaux hébergeurs de sites WordPress, travaille activement à identifier les vulnérabilités exploitées par DollyWay v3 et à renforcer les mesures de sécurité.
Les recommandations de sécurité incluent : La mise à jour régulière des plugins et des thèmes. La suppression des plugins obsolètes ou non maintenus. L’installation de pare-feu dédiés aux applications web (WAF). L’activation de la double authentification pour l’accès à l’administration WordPress.
Toutefois, la nature adaptative de DollyWay complique la tâche. Les hackers ont montré une capacité impressionnante à contourner les nouvelles mesures de sécurité et à adapter leur code en temps réel.
Une menace persistante à l’horizon 2025
DollyWay incarne l’évolution des cyberattaques modernes : sophistiquée, automatisée et axée sur la rentabilité. La capacité de cette campagne à exploiter les failles des sites WordPress, à réinfecter automatiquement les systèmes et à générer des millions de redirections mensuelles témoigne de la maturité du groupe de hackers à l’origine de cette opération.
« DollyWay représente une menace persistante pour l’ensemble de l’écosystème WordPress. L’ampleur des attaques et la sophistication des méthodes utilisées montrent qu’il s’agit d’un acteur criminel organisé, capable d’évoluer rapidement pour contourner les mesures de sécurité. » — Denis Sinegubko, chercheur chez GoDaddy
Alors que la cybersécurité progresse et que les solutions de protection s’améliorent, une question demeure : jusqu’où DollyWay est-il prêt à aller pour maintenir sa domination dans le paysage du piratage en ligne ?
Une cour d’appel fédérale a annulé cette semaine la peine de cinq ans de probation infligée à Paige Thompson pour le piratage de Capital One. La cour a jugé cette peine « substantiellement déraisonnable » compte tenu des dommages causés.
Paige Thompson, ancienne ingénieure chez Amazon Web Services, avait exploité une faille dans le pare-feu du système de cloud computing de Capital One, accédant ainsi aux données sensibles de 106 millions de clients. Deux des trois juges de la cour d’appel du 9e circuit ont estimé que la sanction initiale était trop clémente par rapport à la gravité des faits.
Un piratage d’une ampleur exceptionnelle
Le piratage orchestré par Paige Thompson en 2019 est considéré comme la deuxième plus grande violation de données de l’histoire des États-Unis à l’époque. En exploitant une mauvaise configuration du pare-feu de Capital One, Thompson a volé des données bancaires, des numéros de sécurité sociale et des informations personnelles appartenant à 106 millions de clients.
L’enquête a révélé que Thompson ne s’était pas arrêtée à Capital One. Les autorités ont découvert plusieurs téraoctets de données supplémentaires volées à plus de 30 autres organisations. Les dommages financiers et réputationnels causés par cette fuite massive sont estimés à des dizaines de millions de dollars.
Le piratage a provoqué des préjudices financiers et émotionnels considérables pour les victimes.
Lors du procès initial en 2022, le juge de district Robert Lasnik avait néanmoins décidé de ne pas infliger une peine d’emprisonnement à Thompson. Il avait pris en compte son parcours personnel, soulignant qu’elle était transgenre, autiste et qu’elle avait été confrontée à des traumatismes importants dans son passé. Le juge Lasnik avait également considéré que le piratage n’avait pas été commis dans une intention malveillante, mais plutôt comme une forme de « tourmente personnelle ».
Cette interprétation a été remise en cause par la cour d’appel, qui a considéré que Thompson avait clairement agi avec préméditation. L’ancienne ingénieure avait en effet revendiqué ses actes sur des forums en ligne et encouragé d’autres hackers à en faire de même.
Une peine jugée trop clémente
Les procureurs fédéraux ont rapidement contesté la peine de probation décidée par le juge Lasnik. Nick Brown, le procureur américain de l’époque, avait déclaré que cette décision ne représentait pas une sanction appropriée face à la gravité des faits.
La juge Danielle Forrest, soutenue par le juge Johnnie Rawlinson, a estimé que le juge de district avait accordé une importance excessive aux circonstances personnelles de Thompson.
« Les parcours personnels doivent être pris en compte dans la détermination d’une peine, mais ils ne peuvent pas constituer l’unique base d’une condamnation aussi clémente dans un dossier de cette gravité », a écrit la juge Forrest dans la décision.
La cour a également contesté l’idée selon laquelle le piratage n’était pas malveillant. La décision précise que Thompson a montré peu de remords après son acte et a plutôt cherché à mettre en avant l’incompétence de Capital One. Elle aurait même encouragé d’autres hackers à exploiter des failles similaires.
Cependant, la juge Jennifer Sung, qui a exprimé une opinion dissidente, a estimé que la peine initiale n’était pas entachée d’une erreur de procédure. Selon elle, le juge Lasnik avait légitimement pris en compte la situation personnelle de Thompson et les potentielles difficultés qu’elle pourrait rencontrer en prison en tant que personne transgenre.
Une décision aux implications plus larges
L’affaire Thompson dépasse le cadre du simple jugement individuel. Le Centre pour la politique et le droit de la cybersécurité a déposé un mémoire en soutien à l’appel du gouvernement, soulignant les risques pour la recherche en cybersécurité.
Le Centre a insisté sur la nécessité de maintenir une distinction claire entre la recherche éthique en cybersécurité et les actes criminels comme ceux de Thompson. Il a averti que l’assimilation des deux pourrait fragiliser la confiance entre les chercheurs en sécurité, le secteur privé et les institutions gouvernementales. La cour d’appel n’a pas directement abordé cette question dans sa décision. Toutefois, la reconnaissance explicite par le tribunal que le comportement de Thompson ne relevait pas de la recherche en sécurité de bonne foi pourrait influencer les futures affaires de cybersécurité.
L’affaire est désormais renvoyée devant le tribunal de district pour une nouvelle détermination de la peine. La question centrale sera de savoir si la reconnaissance des circonstances personnelles de Thompson doit continuer à influencer la sentence ou si la gravité des actes justifie une peine plus lourde.
Petites entreprises, grandes menaces : restez informés, restez protégés
