Archives de catégorie : Securite informatique

backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Piratage, Securite informatique

Fuites massives via Salesforce : l’effet domino des applis tierces

Une série d’attaques de phishing exploitant l’intégration entre Salesforce et l’appli Drift expose de grandes entreprises mondiales à des fuites massives de données clients et à des poursuites judiciaires.

Ces derniers mois, Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont signalé des violations de données liées à l’usage d’une application tierce connectée à Salesforce. Le gang ShinyHunters est accusé d’avoir détourné des jetons OAuth de la plateforme Drift Salesloft pour siphonner des informations sensibles de bases CRM. Noms, emails et numéros de téléphone ont circulé, exposant clients et employés à un risque élevé de phishing. Plusieurs victimes poursuivent Salesforce en Californie, estimant que l’éditeur n’a pas garanti une protection suffisante. Cette affaire illustre les failles critiques de la cybersécurité dans la chaîne d’approvisionnement logicielle.

Une faille exploitée dans l’écosystème Salesforce

Au printemps, une vague d’attaques a visé l’intégration entre Salesforce, leader mondial du CRM, et Drift Salesloft, une plateforme d’automatisation marketing. Ce connecteur permet aux entreprises de synchroniser conversations clients et données commerciales. Les cybercriminels du groupe ShinyHunters ont exploité les jetons OAuth de Drift, normalement destinés à authentifier des applications, pour interroger les bases Salesforce de leurs cibles. Ils ont ainsi accédé à des objets tels que Cases, Accounts, Users et Opportunities. Ces requêtes leur ont permis de récupérer des informations identifiantes comme adresses mail, numéros de téléphone et identifiants internes.

Selon Google Threat Intelligence Group (GTIG), il ne s’agissait pas d’une faille structurelle de Salesforce mais bien d’un abus des droits accordés par l’appli tierce. Une fois alerté, Salesforce a retiré Drift de son AppExchange et conseillé de désactiver l’intégration. L’entreprise insiste sur le fait que ses clients non-utilisateurs de Drift ne sont pas concernés.

Des multinationales contraintes de notifier des fuites

La liste des victimes reflète l’ampleur du problème. Constructeur automobile, compagnies aériennes, assureurs, groupes de luxe et distributeurs de mode ont été touchés. Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont confirmé des incidents. Tous ont dû notifier des clients exposés à la perte de données. Le Service Veille de ZATAZ a d’ailleurs remarqué que le compte Telegram de ceux qui s’annonçaient comme les auteurs de ces infiltrations a été fermé. L’espace affiche un message laconique « fermé pour non respect des règles« .  La justice est-elle passée par là ?

Les informations volées n’ont pas l’ampleur de numéros de cartes bancaires ou de mots de passe, mais elles suffisent à alimenter des campagnes de phishing ciblé. Les cybercriminels peuvent désormais usurper des identités, exploiter des mails professionnels crédibles ou orchestrer des fraudes au président. Cette réutilisation des données accentue le risque de compromission secondaire, souvent plus destructeur que la fuite initiale.

Le gang ShinyHunters, actif depuis plusieurs années, a revendiqué de nombreuses campagnes similaires. Entre mai et août, il aurait lancé des centaines d’attaques contre des organisations connectées à Salesforce par Drift, industrialisant l’usage frauduleux de jetons OAuth.

Procès en Californie et question de responsabilité

Au-delà du volet technique, le scandale devient juridique. Une quinzaine de plaintes ont été déposées en Californie contre Salesforce. Plusieurs cherchent à obtenir le statut de recours collectif. Les plaignants accusent l’éditeur de n’avoir pas pris les mesures suffisantes pour sécuriser l’accès aux données, malgré sa position dominante sur le marché du CRM.

Salesforce réfute ces accusations et insiste sur l’absence de vulnérabilité directe dans sa plateforme. L’entreprise renvoie la responsabilité vers la connexion tierce. Les victimes rétorquent que l’éditeur aurait dû mieux contrôler les applications autorisées sur son marketplace et sécuriser les processus d’intégration.

Cette affaire illustre la zone grise de la cybersécurité en chaîne d’approvisionnement. Lorsqu’un maillon externe est compromis, la responsabilité du fournisseur principal reste floue. Or, pour des entreprises dont la valeur repose sur la confiance client, l’impact réputationnel est immédiat.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google muscle Drive avec une IA anti-ransomware

Google ajoute une nouvelle barrière dans Drive : une IA dédiée à stopper le ransomware avant la restauration. Objectif : limiter les dégâts une fois l’antivirus contourné.

Google lance une nouvelle protection dans Drive pour Windows et macOS, destinée à bloquer les attaques de ransomware avant qu’elles ne paralysent tout un réseau. Contrairement aux solutions classiques centrées sur le malware, l’outil repose sur une IA entraînée à détecter les comportements suspects, comme le chiffrement massif de fichiers. Dès alerte, la synchronisation cloud s’interrompt et les données passent en quarantaine. Présentée comme une « nouvelle couche » par Luke Camery, responsable produit chez Google Workspace, la solution complète antivirus et restauration, sans les remplacer. Disponible en bêta ouverte, elle sera intégrée sans surcoût dans la majorité des abonnements Workspace.

Une nouvelle couche face aux rançongiciels

Les ransomwares ont démontré les limites des protections classiques. Les antivirus stoppent une partie des menaces, mais les attaquants réussissent régulièrement à franchir cette barrière. Les solutions de restauration existent, mais elles restent coûteuses et lourdes pour les équipes IT. C’est dans cet interstice que Google place sa nouvelle défense.

« Nous ne remettons pas en cause l’efficacité des acteurs traditionnels, mais force est de constater que l’approche actuelle ne suffit pas », résume Luke Camery. Selon lui, l’erreur du statu quo consiste à ne pas intégrer de détection comportementale en amont de la restauration. L’outil Drive se veut donc une couche distincte, un filet de sécurité supplémentaire, destiné à stopper une attaque en cours avant que le chiffrement ne devienne irréversible.

Le principe est simple : supposer que l’antivirus a échoué, puis intervenir. Google compare cela à une maison protégée par des serrures et des assurances, mais dépourvue d’alarme. Avec ce dispositif, l’alarme se déclenche dès qu’un intrus tente de verrouiller toutes les portes.

Une IA entraînée sur des millions d’exemples

Le cœur de la solution est un modèle d’intelligence artificielle personnalisé. Entraîné sur des millions de cas de ransomware, il ne cherche pas à identifier un code malveillant précis mais à reconnaître des schémas de comportement. L’exemple type : un processus qui tente de chiffrer brutalement de nombreux fichiers.

Dès qu’un tel comportement est repéré, Drive suspend immédiatement la synchronisation avec le cloud. Les fichiers potentiellement compromis sont alors isolés, placés dans une forme de quarantaine. L’objectif est d’empêcher la propagation et de préserver des copies saines.

Cette logique de surveillance permanente et réactive place la solution au-dessus d’un antivirus classique et en dessous d’un outil de restauration. Elle se veut complémentaire : non pas un remplacement, mais une barrière intermédiaire.

En cas d’attaque détectée, l’utilisateur reçoit une alerte sur son poste ainsi qu’un e-mail détaillant les étapes à suivre. Un assistant permet ensuite de restaurer facilement une version non contaminée des fichiers. La démonstration fournie par Google montre un processus aussi simple que de récupérer un document effacé dans la corbeille Windows, sans recours à des outils externes ni réinstallation complexe.

Côté administrateurs, les informations remontent dans la console Admin. Ils disposent d’un journal d’audit et peuvent ajuster la configuration. La fonctionnalité sera activée par défaut, mais les responsables IT gardent la possibilité de désactiver la détection ou la restauration si nécessaire.

L’outil est dès aujourd’hui accessible en bêta ouverte. Il sera intégré sans frais supplémentaires dans la plupart des abonnements Google Workspace commerciaux. Google espère ainsi réduire l’impact des ransomwares qui, malgré les efforts combinés des solutions antivirus et des services de sauvegarde, continuent de frapper organisations publiques et privées.

Cybersécurité, Entreprise, Securite informatique

Cyberattaque contre Co-op : un manque à gagner de 200 millions d’euros !

Une attaque informatique au printemps a privé Co-op de 274 millions € de revenus, perturbé ses approvisionnements et exposé les données personnelles de 6,5 millions de membres.

Le distributeur britannique Co-op a révélé que la cyberattaque d’avril lui a coûté 206 M£ (274 M€) de revenus, touchant principalement son activité alimentaire. L’incident a entraîné des rayons vides, des systèmes mis hors ligne et la compromission des données de ses 6,5 millions de membres. Selon l’entreprise, les pertes directes de profit se chiffrent à 80 M£ (107 M€). L’enquête a conduit à l’arrestation de quatre personnes, dont un mineur, soupçonnés d’être liés au groupe criminel Scattered Spider. Co-op affirme avoir évité le verrouillage complet de ses systèmes grâce à une déconnexion préventive de ses réseaux, mais reste marqué par un affaiblissement de sa compétitivité face à ses rivaux.

Un réseau fragilisé par l’attaque

L’attaque a été détectée en avril. Pour limiter sa propagation, Co-op a choisi de couper volontairement ses systèmes centraux, ce qui a réduit immédiatement la disponibilité des produits en magasin. Les semaines suivantes, les clients ont constaté des rayons vides et des promotions suspendues. Le rapport semestriel précise que l’activité alimentaire a été la plus affectée. La direction a reconnu que la concurrence a profité de la situation pour capter une partie de la clientèle. Malgré la poursuite des ventes, la rentabilité a plongé, avec un manque à gagner de 80 millions de £ (107 millions €) rien que sur le premier semestre.

 

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Un mode opératoire attribué à Scattered Spider

Les enquêteurs soupçonnent que les attaques visant Co-op, M&S et Harrods soient reliées au groupe Scattered Spider, une constellation de jeunes pirates actifs dans l’intrusion de réseaux d’entreprises. Quatre suspects ont été arrêtés en juillet, dont un adolescent. Cette proximité entre acteurs très jeunes et attaques de grande ampleur illustre la difficulté à anticiper l’origine des menaces. Le mode opératoire évoqué s’inscrit dans la tendance des assaillants à viser simultanément plusieurs cibles commerciales, exploitant les dépendances technologiques de la distribution moderne.

Des données massivement compromises

Bien que Co-op ait évité un verrouillage complet par rançongiciel, la fuite de données a touché l’ensemble de ses 6,5 millions de membres. Les informations personnelles compromises alimentent désormais la crainte d’un usage ultérieur par des groupes criminels pour de l’usurpation d’identité ou du chantage. La direction a insisté sur le fait que les équipes ont travaillé sans relâche pour restaurer les opérations et protéger les infrastructures. Mais la perte de confiance reste un enjeu majeur. Dans un secteur où la fidélisation repose sur la sécurité perçue des systèmes de paiement et des données clients, l’atteinte est autant réputationnelle que financière.

L’affaire Co-op souligne la vulnérabilité des chaînes de distribution aux attaques coordonnées et la porosité croissante entre cybercriminalité juvénile et opérations structurées. La question demeure : jusqu’où les enseignes britanniques sont-elles capables d’anticiper de telles menaces et de protéger durablement leurs données sensibles ?

 

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Entreprise, Securite informatique

YesWeHack rejoint les autorités CVE

YesWeHack devient autorité de numérotation CVE. L’entreprise française de Bug Bounty et de gestion des vulnérabilités obtient le statut CNA et peut désormais attribuer des identifiants CVE et publier les enregistrements associés.

YesWeHack, plateforme mondiale de Bug Bounty et de gestion des vulnérabilités, annonce son autorisation officielle par le programme CVE en tant qu’autorité de numérotation CVE (CNA). Cette nomination fait de YesWeHack la huitième organisation française à accéder à ce rôle. Elle confirme la place croissante de la France dans la gouvernance technique de la cybersécurité. En qualité de CNA, YesWeHack peut dorénavant assigner des identifiants CVE aux failles découvertes et publier les informations correspondantes dans les enregistrements CVE.

Cap sur la nomenclature des vulnérabilités

L’information est factuelle, l’enjeu est structurant. YesWeHack, plateforme fondée par des hackers éthiques en 2015, annonce à Paris, le 23 septembre 2025, son accréditation comme autorité de numérotation CVE. Devenir CNA, c’est obtenir le droit, et la responsabilité, d’assigner des identifiants CVE aux vulnérabilités identifiées dans le cadre de ses activités et de publier les enregistrements correspondant à ces failles. Cette avancée place YesWeHack à un point de jonction où la découverte, la normalisation et la diffusion se rejoignent.

Au cœur du dispositif, le programme CVE fédère la communauté autour d’un identifiant unique, le Common Vulnerabilities and Exposures. Cet identifiant est devenu la clé de voûte d’un écosystème où chercheurs, éditeurs, intégrateurs et équipes de sécurité doivent parler le même langage. La normalisation aide à corréler des indices dispersés dans les systèmes internes, à distinguer les doublons et à activer les bons leviers de correction.

YesWeHack revendique une approche complète de la gestion des vulnérabilités. Sa plateforme rassemble Bug Bounty, politique de divulgation (VDP), gestion des rapports de test d’intrusion, cartographie d’exposition (ASM) et formation au hacking éthique avec le Dojo. Cette offre, articulée autour d’API, vise la rapidité et la traçabilité, de la découverte à la remédiation. L’entreprise insiste sur des garanties de sécurité et de conformité, de la certification ISO aux choix d’hébergement privé en Europe, conforme au RGPD.

L’obtention du statut CNA ajoute une brique d’infrastructure. Elle rapproche la nomenclature CVE de la source primaire d’information : la découverte sur le terrain, souvent issue d’un programme de Bug Bounty. En intégrant l’attribution CVE au cœur du flux opérationnel, YesWeHack promet de limiter les frictions et de raccourcir les délais. Le message est expressément formulé par Guillaume Vassault-Houlière, CEO et co-fondateur : l’entreprise se dit « honorée » et met en avant des « processus éprouvés » pour sécuriser l’écosystème numérique. L’objectif affiché est d’accélérer coordination, remédiation et attribution.

Le registre CVE n’est pas un décor. Il est un outil de renseignement technique. En proposant une référence unique et mondiale, il permet aux équipes de sécurité d’aligner priorisation et communication. Pour les RSSI, un numéro CVE fait gagner du temps : il canalise la recherche d’indicateurs, déclenche les scénarios de patch management et encadre l’information à destination des métiers.

Une gouvernance au service de la remédiation

Le rôle de CNA n’est pas une simple délégation. C’est un cadre. Être autorité de numérotation suppose la capacité à vérifier la matérialité d’une vulnérabilité, à éviter les chevauchements, à produire un enregistrement clair et exploitable. Dans la pratique, cela signifie des processus rigoureux, une relation suivie avec les chercheurs, et une articulation fluide avec les éditeurs concernés. YesWeHack met en avant sa légitimité sur ce terrain : l’entreprise opère des programmes publics et privés qui exposent la plateforme à une diversité de cibles, de contextes et de modèles de divulgation.

La proximité avec les chercheurs éthiques constitue un avantage opérationnel. Sur un programme de Bug Bounty, la chaîne de valeur est courte : découverte, reproduction, qualification et correction se succèdent rapidement. L’attribution d’un CVE dans cette continuité augmente la clarté du signal. Elle évite des retards qui, ailleurs, peuvent transformer une découverte en incident mal géré. L’accès direct à la numérotation soutient aussi la transparence : il devient plus simple de publier un enregistrement utile, avec un niveau de détail proportionné et des informations synchronisées avec les échéances de correction.

La France consolidée dans la cartographie CVE est une donnée de souveraineté appliquée. Huit organisations y détiennent désormais une autorité de numérotation.

Le registre CVE, conçu pour être public et exploitable, se trouve au carrefour de la technique et du renseignement. Chaque enregistrement associe une description normalisée, des références, et nourrit des outils d’analyse. Dans les équipes de réponse à incident, il sert de pivot entre intelligence technique, détection et remédiation. Inscrire le geste de découverte dans ce cadre, au plus près du terrain, est stratégique : l’information circule vite, mieux, et avec moins d’ambiguïtés.

Le renseignement technique comme fil conducteur

Le CVE est une pièce de renseignement. Il ne suffit pas à lui seul, mais il organise la lecture des autres. Un numéro CVE permet d’agréger des indicateurs, de retrouver des signatures, de corréler des observations, puis de trier l’urgent du secondaire. Les SOC s’en servent pour structurer des alertes, les équipes de patch management pour planifier des déploiements, les auditeurs pour vérifier la complétude d’un cycle de correction.

La plateforme positionne le Bug Bounty comme un capteur de réalités. Les programmes publics, comme ceux conduits pour sa propre plateforme, tracent une ligne de conduite : exposer, tester, corriger. L’intégration CNA ajoute un point d’impact supplémentaire. Le chercheur soumis à un programme peut voir sa découverte entrer rapidement dans le référentiel mondial, sans détour inutile. Les organisations concernées disposent d’un identifiant commun pour orchestrer les étapes suivantes. Dans les cas sensibles, la disponibilité d’un enregistrement clair canalise la communication et réduit le risque de malentendus.

YesWeHack insiste sur la collaboration avec les institutions. Le rôle d’une CNA suppose des échanges réguliers avec le programme CVE et les autres parties prenantes. La standardisation ne vaut que si elle est partagée. La plateforme se présente comme un relais prudent et efficace, apte à traiter des signalements variés, à en vérifier la substance, et à publier des enregistrements exploitables, ni lacunaires ni bavards.

L’enjeu dépasse la seule technique. La capacité d’un écosystème à produire, à jour, des références publiques de vulnérabilités, exprime un niveau de maturité. La cohérence entre hébergement européen, conformité RGPD et certifications renforce cette lecture. La chaîne, de la découverte à la publication, se construit sur des garanties vérifiables.

Cybersécurité, Espionnage Spy, loi, Securite informatique

Sénateurs réclament un briefing sur la sécurité électorale avant les scrutins majeurs

Deux sénateurs redoutent que Tulsi Gabbard ait ralenti la transmission d’alertes sur les opérations d’influence étrangères visant le scrutin américain.

Les démocrates Mark Warner et Alex Padilla pressent la directrice du renseignement national d’expliquer ses choix. Ils craignent que le renseignement électoral soit restreint au moment où des acteurs étrangers affinent leurs campagnes de manipulation grâce à l’intelligence artificielle.

Un courrier d’alerte au renseignement

Les deux élus ont écrit à Gabbard pour obtenir, avant le 10 octobre, une réunion avec les sénateurs. Ils exigent une évaluation des mesures prévues pour protéger les élections locales de novembre et les législatives de l’an prochain. Leur lettre critique également les propos de la responsable sur la sécurité des machines à voter, jugés « infondés et nuisibles ». Des audits indépendants ont montré que les accusations de vulnérabilités sont surtout alimentées par des narratifs forgés par des puissances adverses.

L’administration actuelle cherche à relativiser les conclusions sur l’ingérence russe en 2016. Pourtant, un rapport bipartisan du Sénat avait confirmé que Vladimir Poutine voulait favoriser Donald Trump. Parallèlement, plusieurs structures fédérales de suivi des opérations d’influence ont été démantelées, au motif qu’elles censuraient des contenus en coopération avec les plateformes. La CISA, qui avait certifié la sécurité du scrutin de 2020, a vu ses responsables limogés. Selon Warner et Padilla, ces décisions créent un climat de peur au sein des agents.

Une menace technologique en constante évolution

Les services de renseignement disposent d’outils secrets pour suivre les campagnes de manipulation en ligne. Sous Joe Biden, ils ont régulièrement diffusé des analyses sur les opérations russes, chinoises et autres. Ces campagnes sont désormais dopées par l’IA. Des chercheurs américains ont documenté l’usage, par Pékin, d’entreprises spécialisées comme GoLaxy. Cette société a constitué des dossiers sur 117 parlementaires américains et plus de 2 000 personnalités politiques et intellectuelles.

L’IA renforce l’opacité et la crédibilité des campagnes d’influence étrangères. La question reste entière : les agences américaines ont-elles encore la liberté d’alerter le Congrès sans frein politique ? (NextGov)

Adobe, Cybersécurité, Mise à jour, Patch, Securite informatique

Faille critique SessionReaper : Adobe Commerce sous haute menace

Adobe alerte sur la faille SessionReaper (CVE-2025-54236) qui menace Adobe Commerce et Magento. Exploitable via l’API REST, elle expose directement les comptes clients à une prise de contrôle.

Aprés Apple et Microsoft, Adobe a publié un avis de sécurité concernant CVE-2025-54236, surnommée SessionReaper. La vulnérabilité, notée 9,1/10 au CVSS, touche Adobe Commerce, Magento Open Source et Adobe Commerce B2B. Exploitable via l’API REST, elle permet à un attaquant de s’emparer de comptes clients. Aucun cas d’exploitation n’a été détecté pour l’instant, mais l’éditeur insiste sur l’urgence d’appliquer le correctif VULN-32437-2-4-X. Les environnements cloud bénéficient de règles WAF temporaires, mais seul le patch garantit une protection durable. Découverte par le chercheur blaklis, la faille illustre la fragilité des plateformes e-commerce face aux attaques ciblant directement les données utilisateurs et leurs parcours transactionnels.

SessionReaper, une faille critique révélée

SessionReaper, identifiée sous CVE-2025-54236, résulte d’une validation insuffisante des entrées dans l’API REST d’Adobe Commerce. Selon Adobe, un acteur malveillant pourrait détourner cette faiblesse pour prendre la main sur des comptes clients. L’éditeur a publié son avertissement sous la référence APSB25-88 et attribue à la faille une sévérité de 9,1 sur 10 dans l’échelle CVSS.

Le risque principal réside dans la compromission directe des données clients, un scénario particulièrement dangereux pour des plateformes marchandes. La faille affecte les versions 2.4.9-alpha2 et antérieures d’Adobe Commerce et de Magento Open Source, ainsi que la branche 1.5.3-alpha2 et antérieures d’Adobe Commerce B2B. Le module Custom Attributes Serializable, utilisé entre les versions 0.1.0 et 0.4.0, est également concerné.

Pour Adobe, il s’agit d’une vulnérabilité critique, non exploitée pour l’heure, mais dont le potentiel destructeur impose une réaction rapide des administrateurs. L’entreprise prévient que son assistance sera limitée en cas de retard dans l’application des correctifs.

Le correctif et ses conditions de déploiement

Le correctif officiel est publié sous l’identifiant VULN-32437-2-4-X. Il doit être appliqué sans délai sur toutes les instances vulnérables. Les utilisateurs du module Custom Attributes Serializable doivent quant à eux migrer vers la version 0.4.0 ou supérieure, via la commande Composer appropriée.

Adobe propose un outil de vérification, le Quality Patches Tool, qui permet de confirmer l’application effective du patch. La commande de contrôle fournit un statut « Applied » une fois le correctif installé, apportant aux administrateurs la certitude de disposer d’une protection active.

Pour les clients hébergés dans l’environnement Commerce Cloud, Adobe a mis en place des règles de Web Application Firewall destinées à bloquer les tentatives d’exploitation connues. Ces mesures sont toutefois qualifiées de temporaires et ne dispensent pas du déploiement du correctif officiel. Les clients de services managés sont invités à contacter leur Customer Success Engineer afin d’obtenir un accompagnement spécifique.

Un signal fort pour l’écosystème e-commerce

La faille a été signalée par le chercheur indépendant blaklis, qui a révélé à Adobe le fonctionnement de SessionReaper. L’éditeur souligne qu’aucun cas d’exploitation active n’est documenté. Cependant, le scénario théorique reste préoccupant : un assaillant qui obtiendrait le contrôle de comptes clients pourrait accéder à des informations sensibles, détourner des transactions ou lancer des fraudes massives.

Ce type de vulnérabilité démontre la valeur stratégique des données clients pour les cyberattaquants. Les plateformes de commerce électronique constituent des cibles privilégiées en raison des volumes financiers et des informations personnelles qu’elles centralisent.

L’urgence de la mise à jour découle autant du niveau de criticité technique que de l’attrait économique de telles données sur le marché noir. La diffusion rapide du correctif vise à réduire la fenêtre de tir potentielle avant que des groupes malveillants ne développent un code d’exploitation opérationnel.

Cybersécurité, Entreprise, loi, Securite informatique

Chine : signalement en urgence des cyberattaque

La Chine impose dès novembre 2025 un délai d’une heure pour déclarer les incidents de cybersécurité graves, renforçant ainsi son contrôle sur les réseaux et infrastructures critiques.

Pékin introduit une réglementation stricte obligeant les opérateurs à signaler sous une heure tout incident « particulièrement grave » de cybersécurité. L’Administration chinoise du cyberespace (CAC) supervise cette mesure, qui reflète une intensification de la surveillance étatique après plusieurs affaires sensibles, dont une sanction contre Dior à Shanghai pour transfert illégal de données. Le dispositif, applicable dès le 1er novembre 2025, définit des seuils précis pour classer la gravité des attaques ou pannes et prévoit des sanctions financières lourdes en cas de manquement.

Signalement accéléré des cyberincidents

Les nouvelles règles imposent un signalement d’urgence en cas d’attaque majeure. Les opérateurs de réseau doivent informer les autorités en une heure. Celles-ci transmettent ensuite l’alerte à l’Administration nationale du cyberespace et au Conseil d’État dans un délai de trente minutes. Les incidents sont classés en quatre niveaux, « particulièrement grave » étant le plus critique. Cette catégorie inclut des cyberattaques ou pannes affectant les portails gouvernementaux, les infrastructures vitales ou les sites d’information nationaux pendant plus de 24 heures, ou encore une panne de six heures touchant l’ensemble d’une infrastructure.

La réglementation couvre aussi les atteintes à grande échelle aux services publics, de transport ou de santé. Sont concernés les cas où plus de 50 % d’une province ou plus de 10 millions de citoyens voient leur quotidien perturbé. Les violations massives de données entrent également dans ce champ, dès lors qu’elles affectent plus de 100 millions de personnes ou causent un préjudice financier supérieur à 100 millions de yuans (13 millions d’euros).

Critères renforcés pour les attaques

Les cyberattaques massives affichant du contenu interdit sur un site gouvernemental ou un portail d’information majeur constituent une menace prioritaire si elles persistent plus de six heures ou atteignent une audience d’un million de vues. Elles sont aussi considérées critiques si le contenu est partagé plus de 100 000 fois sur les réseaux sociaux.

Le niveau « grave » concerne les attaques perturbant les sites d’administrations locales ou provinciales plus de six heures, ou les infrastructures essentielles pendant plus de trois heures. Des fuites de données touchant plus de 10 millions de personnes, ou un million dans une grande ville, relèvent aussi de cette catégorie.

Chaque opérateur doit remettre sous 30 jours un rapport détaillé décrivant causes, réponses et enseignements après un incident. Cette exigence prolonge la loi chinoise sur la cybersécurité de 2017 et les textes complémentaires de 2016 et 2021 sur la protection des infrastructures critiques.

Vers des sanctions plus lourdes

En parallèle, le Comité permanent de l’Assemblée populaire nationale étudie un durcissement des sanctions. Les opérateurs d’infrastructures critiques négligents pourraient être sanctionnés de 500 000 à 10 millions de yuans (66 000 à 1,32 millions €). Les responsables directs encourraient jusqu’à 1 million de yuans (132 000 €).

Les opérateurs de réseau qui omettent d’empêcher la diffusion de contenus interdits s’exposeraient à des amendes de 50 000 à 500 000 yuans (≈ 6 600 à 66 000 €). Ce projet de loi traduit une volonté de responsabiliser les acteurs du numérique tout en consolidant le contrôle centralisé de la cybersécurité.

La Chine fait de la rapidité de réaction un enjeu national de cybersécurité. Reste à savoir si cette obligation de signalement instantané renforce réellement la résilience technique, ou surtout le contrôle étatique sur les flux numériques.

Apple, Cybersécurité, Logiciels, Mise à jour, OS X, Patch, Securite informatique

Apple colmate 77 failles dans macOS et 27 dans iOS

Apple publie ses nouveaux systèmes iOS, iPadOS et macOS, corrigeant plus de cent vulnérabilités. Mais l’entreprise reste discrète sur leur gravité et sur tout signe d’exploitation active.

Apple vient de déployer iOS 26, iPadOS 26 et macOS 26, corrigeant 27 failles sur mobiles et 77 sur ordinateurs. Les correctifs couvrent aussi Safari, watchOS, visionOS et Xcode. Contrairement à son intervention d’août face à une attaque sophistiquée, Apple n’évoque cette fois aucun cas d’exploitation en cours. Des failles critiques, notamment dans PackageKit et StorageKit, pourraient pourtant permettre l’obtention de privilèges root sur macOS. L’entreprise reste fidèle à sa ligne de communication minimaliste, sans détail de sévérité. En parallèle, les appareils plus anciens restent bloqués sur iOS 18.7 ou macOS 15.7, recevant uniquement des correctifs de sécurité majeurs.

Nouveaux correctifs, anciennes inquiétudes

Apple a diffusé lundi ses nouveaux systèmes d’exploitation numérotés selon l’année de sortie, une nouveauté présentée comme une simplification. iOS 26 et iPadOS 26 corrigent 27 vulnérabilités, tandis que macOS 26 en traite 77. Certaines failles touchaient l’ensemble des plateformes, confirmant la proximité croissante entre les architectures mobiles et ordinateurs.

La nouvelle interface dite « liquid glass » attire l’attention côté design, mais l’enjeu principal demeure la cybersécurité. Les utilisateurs d’appareils lancés avant 2019, non compatibles avec ces versions, doivent se tourner vers iOS 18.7, iPadOS 18.7 ou macOS 15.7, mises à jour de maintenance centrées sur les vulnérabilités critiques.

Un contraste avec les correctifs d’urgence

Le mois dernier, Apple avait dû réagir en urgence face à une attaque qualifiée d’« extrêmement sophistiquée », exploitant la faille CVE-2025-43300 contre des cibles précises. Depuis janvier, cinq vulnérabilités zero-day activement exploitées ont été corrigées, preuve de l’intérêt constant des attaquants pour l’écosystème Apple. Sept de ces failles ont même été intégrées au catalogue des vulnérabilités exploitées tenu par la CISA, soulignant leur criticité pour les infrastructures sensibles.
Cette fois, aucun signe d’attaque en cours n’a été rapporté.

L’absence d’indicateur de sévérité dans les bulletins Apple est classique pour la Grosse Pomme. Contrairement à d’autres éditeurs, la firme se contente d’énumérer les failles, sans notation selon le CVSS, limitant la visibilité des responsables sécurité.

Failles critiques sur macOS

Deux vulnérabilités corrigées dans macOS attirent particulièrement l’attention des chercheurs : CVE-2025-43298 (PackageKit) et CVE-2025-43304 (StorageKit). Leur exploitation pourrait offrir à un attaquant un accès root, ouvrant la voie à une compromission totale du système.

Côté iOS, le volume de corrections reste notable, mais aucune faille n’inspire de crainte immédiate, selon Childs. Le contraste est frappant : si le risque d’exploitation n’est pas confirmé, la surface d’attaque reste considérable. En complément, Apple a publié sept correctifs pour Safari 26, 19 pour watchOS 26, 18 pour visionOS 26 et cinq pour Xcode 26, preuve de l’ampleur des vulnérabilités touchant tout l’écosystème.

Avec plus de cent vulnérabilités corrigées mais sans alerte d’exploitation active, Apple continue de pratiquer une communication minimaliste. La question reste entière : comment évaluer la criticité des failles Apple en l’absence de notation officielle ?

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.

Base de données, Cybersécurité, Entreprise, Securite informatique

Data Act : nouvelles règles européennes dès le 12 septembre 2025

À partir du 12 septembre 2025, le Data Act entre en application. Ce règlement européen bouleverse l’accès, le partage et la portabilité des données, avec des enjeux clés en cybersécurité.

Le Data Act, règlement européen adopté en 2023, deviendra pleinement applicable le 12 septembre 2025. Son objectif : redonner aux utilisateurs, particuliers comme professionnels, le contrôle des données générées par les objets connectés et services numériques. Le texte impose aux entreprises de garantir un accès simple, gratuit et lisible aux données, d’assurer la portabilité entre prestataires de cloud et de revoir leurs contrats selon des clauses équitables (FRAND). En cas d’urgence publique, les autorités pourront exiger certains accès, tandis que les demandes étrangères seront strictement encadrées. Les sanctions atteignent 20 M€ ou 4 % du chiffre d’affaires mondial. Les acteurs du numérique doivent adapter leurs systèmes, contrats et produits sans délai.

Accès et partage des données

Le principe fondateur du Data Act repose sur l’accès généralisé aux données issues des objets connectés. Les utilisateurs, qu’ils soient particuliers ou entreprises, pourront consulter et réutiliser les données qu’ils produisent. Les fabricants et fournisseurs de services associés auront l’obligation de les mettre à disposition gratuitement, dans des formats structurés et interopérables. L’utilisateur pourra également décider de partager ces informations avec un tiers de son choix, sans restriction contractuelle. Cette évolution vise à rééquilibrer les rapports de force dans l’économie des données, où les détenteurs d’infrastructures ont jusqu’ici concentré l’essentiel de la valeur et du contrôle. Pour la cybersécurité, la multiplication des flux de données soulève toutefois des défis : garantir un accès sécurisé, tracer les transmissions et prévenir les usages abusifs.

Les relations contractuelles entre entreprises devront s’aligner sur une grille équitable. Le règlement impose des conditions dites FRAND (Fair, Reasonable and Non-Discriminatory). Les clauses jugées abusives sont interdites, et une présomption de non-discrimination s’applique désormais. L’objectif est d’empêcher qu’un acteur dominant n’impose unilatéralement des conditions défavorables à ses partenaires. Cela concerne directement les licences de données, les CGV et les accords de prestation liés au cloud. La Commission prévoit de publier des modèles contractuels types pour guider les entreprises. Pour les directions juridiques, c’est un chantier majeur : sécuriser les engagements, anticiper les litiges, et intégrer dès aujourd’hui une logique de partage contrôlé. En arrière-plan, cette normalisation contractuelle vise aussi à limiter les risques d’exploitation économique des données sensibles.

Portabilité et changement de prestataire

Le Data Act introduit un droit effectif à la portabilité des données. Les utilisateurs pourront changer de fournisseur de cloud, SaaS ou IaaS sans supporter de coûts supplémentaires. La migration devra être techniquement possible en 30 jours maximum. À partir de janvier 2027, les frais liés à cette opération seront totalement interdits. Cette mesure ouvre le marché et renforce la concurrence entre prestataires, souvent critiqués pour leurs pratiques de verrouillage. Elle oblige les acteurs à développer des interfaces standardisées et documentées pour faciliter le transfert. Sur le plan cyber, la portabilité massive accroît l’exposition : plus de mouvements de données signifient plus de vecteurs potentiels pour les attaques. Les équipes techniques devront intégrer chiffrement, journalisation et protocoles robustes pour limiter les risques.

Le Data Act impose aux entreprises une refonte de leurs systèmes et contrats. Les obligations techniques, juridiques et organisationnelles exigent une adaptation rapide. La question centrale reste : les mécanismes de portabilité et de partage seront-ils compatibles avec un niveau élevé de cybersécurité ?

Le Data Act s’applique dès septembre 2025. Accès, portabilité et contrats : un tournant européen majeur aux forts enjeux cyber et économiques.