Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Piratage, Securite informatique

Fuites massives via Salesforce : l’effet domino des applis tierces

Une série d’attaques de phishing exploitant l’intégration entre Salesforce et l’appli Drift expose de grandes entreprises mondiales à des fuites massives de données clients et à des poursuites judiciaires.

Ces derniers mois, Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont signalé des violations de données liées à l’usage d’une application tierce connectée à Salesforce. Le gang ShinyHunters est accusé d’avoir détourné des jetons OAuth de la plateforme Drift Salesloft pour siphonner des informations sensibles de bases CRM. Noms, emails et numéros de téléphone ont circulé, exposant clients et employés à un risque élevé de phishing. Plusieurs victimes poursuivent Salesforce en Californie, estimant que l’éditeur n’a pas garanti une protection suffisante. Cette affaire illustre les failles critiques de la cybersécurité dans la chaîne d’approvisionnement logicielle.

Une faille exploitée dans l’écosystème Salesforce

Au printemps, une vague d’attaques a visé l’intégration entre Salesforce, leader mondial du CRM, et Drift Salesloft, une plateforme d’automatisation marketing. Ce connecteur permet aux entreprises de synchroniser conversations clients et données commerciales. Les cybercriminels du groupe ShinyHunters ont exploité les jetons OAuth de Drift, normalement destinés à authentifier des applications, pour interroger les bases Salesforce de leurs cibles. Ils ont ainsi accédé à des objets tels que Cases, Accounts, Users et Opportunities. Ces requêtes leur ont permis de récupérer des informations identifiantes comme adresses mail, numéros de téléphone et identifiants internes.

Selon Google Threat Intelligence Group (GTIG), il ne s’agissait pas d’une faille structurelle de Salesforce mais bien d’un abus des droits accordés par l’appli tierce. Une fois alerté, Salesforce a retiré Drift de son AppExchange et conseillé de désactiver l’intégration. L’entreprise insiste sur le fait que ses clients non-utilisateurs de Drift ne sont pas concernés.

Des multinationales contraintes de notifier des fuites

La liste des victimes reflète l’ampleur du problème. Constructeur automobile, compagnies aériennes, assureurs, groupes de luxe et distributeurs de mode ont été touchés. Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont confirmé des incidents. Tous ont dû notifier des clients exposés à la perte de données. Le Service Veille de ZATAZ a d’ailleurs remarqué que le compte Telegram de ceux qui s’annonçaient comme les auteurs de ces infiltrations a été fermé. L’espace affiche un message laconique « fermé pour non respect des règles« .  La justice est-elle passée par là ?

Les informations volées n’ont pas l’ampleur de numéros de cartes bancaires ou de mots de passe, mais elles suffisent à alimenter des campagnes de phishing ciblé. Les cybercriminels peuvent désormais usurper des identités, exploiter des mails professionnels crédibles ou orchestrer des fraudes au président. Cette réutilisation des données accentue le risque de compromission secondaire, souvent plus destructeur que la fuite initiale.

Le gang ShinyHunters, actif depuis plusieurs années, a revendiqué de nombreuses campagnes similaires. Entre mai et août, il aurait lancé des centaines d’attaques contre des organisations connectées à Salesforce par Drift, industrialisant l’usage frauduleux de jetons OAuth.

Procès en Californie et question de responsabilité

Au-delà du volet technique, le scandale devient juridique. Une quinzaine de plaintes ont été déposées en Californie contre Salesforce. Plusieurs cherchent à obtenir le statut de recours collectif. Les plaignants accusent l’éditeur de n’avoir pas pris les mesures suffisantes pour sécuriser l’accès aux données, malgré sa position dominante sur le marché du CRM.

Salesforce réfute ces accusations et insiste sur l’absence de vulnérabilité directe dans sa plateforme. L’entreprise renvoie la responsabilité vers la connexion tierce. Les victimes rétorquent que l’éditeur aurait dû mieux contrôler les applications autorisées sur son marketplace et sécuriser les processus d’intégration.

Cette affaire illustre la zone grise de la cybersécurité en chaîne d’approvisionnement. Lorsqu’un maillon externe est compromis, la responsabilité du fournisseur principal reste floue. Or, pour des entreprises dont la valeur repose sur la confiance client, l’impact réputationnel est immédiat.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google muscle Drive avec une IA anti-ransomware

Google ajoute une nouvelle barrière dans Drive : une IA dédiée à stopper le ransomware avant la restauration. Objectif : limiter les dégâts une fois l’antivirus contourné.

Google lance une nouvelle protection dans Drive pour Windows et macOS, destinée à bloquer les attaques de ransomware avant qu’elles ne paralysent tout un réseau. Contrairement aux solutions classiques centrées sur le malware, l’outil repose sur une IA entraînée à détecter les comportements suspects, comme le chiffrement massif de fichiers. Dès alerte, la synchronisation cloud s’interrompt et les données passent en quarantaine. Présentée comme une « nouvelle couche » par Luke Camery, responsable produit chez Google Workspace, la solution complète antivirus et restauration, sans les remplacer. Disponible en bêta ouverte, elle sera intégrée sans surcoût dans la majorité des abonnements Workspace.

Une nouvelle couche face aux rançongiciels

Les ransomwares ont démontré les limites des protections classiques. Les antivirus stoppent une partie des menaces, mais les attaquants réussissent régulièrement à franchir cette barrière. Les solutions de restauration existent, mais elles restent coûteuses et lourdes pour les équipes IT. C’est dans cet interstice que Google place sa nouvelle défense.

« Nous ne remettons pas en cause l’efficacité des acteurs traditionnels, mais force est de constater que l’approche actuelle ne suffit pas », résume Luke Camery. Selon lui, l’erreur du statu quo consiste à ne pas intégrer de détection comportementale en amont de la restauration. L’outil Drive se veut donc une couche distincte, un filet de sécurité supplémentaire, destiné à stopper une attaque en cours avant que le chiffrement ne devienne irréversible.

Le principe est simple : supposer que l’antivirus a échoué, puis intervenir. Google compare cela à une maison protégée par des serrures et des assurances, mais dépourvue d’alarme. Avec ce dispositif, l’alarme se déclenche dès qu’un intrus tente de verrouiller toutes les portes.

Une IA entraînée sur des millions d’exemples

Le cœur de la solution est un modèle d’intelligence artificielle personnalisé. Entraîné sur des millions de cas de ransomware, il ne cherche pas à identifier un code malveillant précis mais à reconnaître des schémas de comportement. L’exemple type : un processus qui tente de chiffrer brutalement de nombreux fichiers.

Dès qu’un tel comportement est repéré, Drive suspend immédiatement la synchronisation avec le cloud. Les fichiers potentiellement compromis sont alors isolés, placés dans une forme de quarantaine. L’objectif est d’empêcher la propagation et de préserver des copies saines.

Cette logique de surveillance permanente et réactive place la solution au-dessus d’un antivirus classique et en dessous d’un outil de restauration. Elle se veut complémentaire : non pas un remplacement, mais une barrière intermédiaire.

En cas d’attaque détectée, l’utilisateur reçoit une alerte sur son poste ainsi qu’un e-mail détaillant les étapes à suivre. Un assistant permet ensuite de restaurer facilement une version non contaminée des fichiers. La démonstration fournie par Google montre un processus aussi simple que de récupérer un document effacé dans la corbeille Windows, sans recours à des outils externes ni réinstallation complexe.

Côté administrateurs, les informations remontent dans la console Admin. Ils disposent d’un journal d’audit et peuvent ajuster la configuration. La fonctionnalité sera activée par défaut, mais les responsables IT gardent la possibilité de désactiver la détection ou la restauration si nécessaire.

L’outil est dès aujourd’hui accessible en bêta ouverte. Il sera intégré sans frais supplémentaires dans la plupart des abonnements Google Workspace commerciaux. Google espère ainsi réduire l’impact des ransomwares qui, malgré les efforts combinés des solutions antivirus et des services de sauvegarde, continuent de frapper organisations publiques et privées.

Cybersécurité, Entreprise, Securite informatique

Cyberattaque contre Co-op : un manque à gagner de 200 millions d’euros !

Une attaque informatique au printemps a privé Co-op de 274 millions € de revenus, perturbé ses approvisionnements et exposé les données personnelles de 6,5 millions de membres.

Le distributeur britannique Co-op a révélé que la cyberattaque d’avril lui a coûté 206 M£ (274 M€) de revenus, touchant principalement son activité alimentaire. L’incident a entraîné des rayons vides, des systèmes mis hors ligne et la compromission des données de ses 6,5 millions de membres. Selon l’entreprise, les pertes directes de profit se chiffrent à 80 M£ (107 M€). L’enquête a conduit à l’arrestation de quatre personnes, dont un mineur, soupçonnés d’être liés au groupe criminel Scattered Spider. Co-op affirme avoir évité le verrouillage complet de ses systèmes grâce à une déconnexion préventive de ses réseaux, mais reste marqué par un affaiblissement de sa compétitivité face à ses rivaux.

Un réseau fragilisé par l’attaque

L’attaque a été détectée en avril. Pour limiter sa propagation, Co-op a choisi de couper volontairement ses systèmes centraux, ce qui a réduit immédiatement la disponibilité des produits en magasin. Les semaines suivantes, les clients ont constaté des rayons vides et des promotions suspendues. Le rapport semestriel précise que l’activité alimentaire a été la plus affectée. La direction a reconnu que la concurrence a profité de la situation pour capter une partie de la clientèle. Malgré la poursuite des ventes, la rentabilité a plongé, avec un manque à gagner de 80 millions de £ (107 millions €) rien que sur le premier semestre.

 

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Un mode opératoire attribué à Scattered Spider

Les enquêteurs soupçonnent que les attaques visant Co-op, M&S et Harrods soient reliées au groupe Scattered Spider, une constellation de jeunes pirates actifs dans l’intrusion de réseaux d’entreprises. Quatre suspects ont été arrêtés en juillet, dont un adolescent. Cette proximité entre acteurs très jeunes et attaques de grande ampleur illustre la difficulté à anticiper l’origine des menaces. Le mode opératoire évoqué s’inscrit dans la tendance des assaillants à viser simultanément plusieurs cibles commerciales, exploitant les dépendances technologiques de la distribution moderne.

Des données massivement compromises

Bien que Co-op ait évité un verrouillage complet par rançongiciel, la fuite de données a touché l’ensemble de ses 6,5 millions de membres. Les informations personnelles compromises alimentent désormais la crainte d’un usage ultérieur par des groupes criminels pour de l’usurpation d’identité ou du chantage. La direction a insisté sur le fait que les équipes ont travaillé sans relâche pour restaurer les opérations et protéger les infrastructures. Mais la perte de confiance reste un enjeu majeur. Dans un secteur où la fidélisation repose sur la sécurité perçue des systèmes de paiement et des données clients, l’atteinte est autant réputationnelle que financière.

L’affaire Co-op souligne la vulnérabilité des chaînes de distribution aux attaques coordonnées et la porosité croissante entre cybercriminalité juvénile et opérations structurées. La question demeure : jusqu’où les enseignes britanniques sont-elles capables d’anticiper de telles menaces et de protéger durablement leurs données sensibles ?

 

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

Cyber-attaque, Cybersécurité, Entreprise, Piratage

Turla et Gamaredon, la collaboration inédite de deux APT russes

Deux cybergroupes affiliés au Kremlin ont été repérés collaborant en Ukraine, une première documentée par des chercheurs.

Pour la première fois, des chercheurs en cybersécurité observe une coopération directe entre Turla et Gamaredon, deux APT russes habituellement distincts. Selon les chercheurs, Gamaredon infecte massivement les machines en Ukraine tandis que Turla sélectionne ensuite les cibles d’intérêt, souvent riches en informations stratégiques. Cette combinaison illustre une coordination cyber offensive pilotée par le renseignement russe, avec des implications majeures pour la sécurité numérique européenne et militaire.

Une alliance inédite repérée en Ukraine

L’éditeur de solution de sécurité informatique ESET a découvert que des appareils de grande valeur en Ukraine présentaient des traces simultanées de malwares issus de Turla et Gamaredon. Dans plusieurs cas, Turla a exploité des machines déjà compromises par Gamaredon. Les chercheurs notent que cette synergie n’est pas fortuite : tous deux travaillent probablement sous l’égide du FSB, l’agence de renseignement russe.

Gamaredon est réputé pour ses attaques massives et peu discrètes. Son objectif consiste à aspirer rapidement un maximum de données sans s’embarrasser de techniques d’effacement. Turla, à l’inverse, est considéré comme l’un des groupes APT les plus sophistiqués au monde. Lié à des attaques contre le Pentagone en 2008, le ministère allemand des Affaires étrangères et l’armée française, il privilégie des cibles réduites mais hautement sensibles, en utilisant notamment l’internet par satellite pour brouiller son origine.

Des rôles complémentaires dans l’espionnage numérique

L’analyse montre que Turla a pu envoyer des commandes à des machines compromises grâce aux accès ouverts par Gamaredon. Ce scénario confirme une chaîne de collaboration où Gamaredon sert de porte d’entrée large et bruyante, tandis que Turla exploite ensuite une sélection restreinte de machines stratégiques. Cette répartition des tâches pourrait accroître l’efficacité globale des opérations du FSB dans la guerre cyber en cours contre l’Ukraine.

La stratégie de Turla repose sur la furtivité et le ciblage fin. Celle de Gamaredon repose sur la prolifération rapide et l’effet de masse. Ensemble, elles permettent à Moscou de combiner collecte massive et exploitation chirurgicale des données sensibles, un schéma rarement observé dans le cyberespace.

Il s’agit de la première preuve tangible d’une coopération directe entre les deux groupes. Ce constat éclaire un mode opératoire plus coordonné des opérations cyber russes. Les chercheurs estiment que Gamaredon compromet des centaines, voire des milliers, d’appareils en Ukraine, tandis que Turla ne s’intéresse qu’aux systèmes contenant des informations critiques.

Une telle collaboration pourrait transformer le rapport de force cyber, en rendant plus difficile la détection et la neutralisation de ces attaques. Pour l’Ukraine et ses alliés, l’enjeu devient d’identifier les passerelles créées par Gamaredon et exploitées par Turla avant qu’elles ne servent à des intrusions à haute valeur stratégique.

Cette alliance tactique entre Turla et Gamaredon illustre une industrialisation du renseignement cyber orchestrée par Moscou. La question centrale reste : jusqu’où cette coopération pourra-t-elle étendre la portée et l’efficacité des opérations russes contre les infrastructures ukrainiennes et occidentales ? (ESET Research)

Cybersécurité, Entreprise

Barracuda Networks nomme Rohit Ghai comme nouveau CEO

Barracuda Networks choisit Rohit Ghai pour succéder à Hatem Naguib, ouvrant une nouvelle étape stratégique pour le spécialiste mondial de la cybersécurité et des solutions cloud.

Le fournisseur de cybersécurité Barracuda Networks annonce la nomination de Rohit Ghai au poste de CEO. Dirigeant expérimenté, il a occupé des responsabilités majeures chez RSA, EMC, Symantec et CA Technologies. Il succède à Hatem Naguib, en poste depuis 2021, qui a marqué son mandat par le lancement de BarracudaONE, une plateforme de cybersécurité pilotée par intelligence artificielle. En plus de ses nouvelles fonctions, Ghai intègre le conseil d’administration de Barracuda et siège déjà dans plusieurs autres organisations technologiques. Sa nomination illustre la volonté de l’entreprise d’accélérer sa croissance et de renforcer son rôle dans la protection numérique face aux menaces émergentes.

Un virage stratégique pour Barracuda

Barracuda Networks confie sa direction à Rohit Ghai. Fort de plus de vingt ans de carrière dans la cybersécurité et les technologies SaaS, il a occupé des postes de direction dans des sociétés de premier plan. Son expérience chez RSA, où il fut également CEO, ainsi que son passage par EMC, Symantec et CA Technologies, confère à son profil une légitimité reconnue dans le secteur. Sa nomination s’inscrit dans un contexte où Barracuda veut consolider sa position sur un marché marqué par une intensification des menaces numériques et une concurrence accrue.

En prenant la direction de Barracuda, Ghai rejoint aussi son conseil d’administration. Il occupe déjà plusieurs sièges stratégiques, notamment chez Pegasystems, D-Wave Systems et MHC Software, et a précédemment été membre du conseil d’Everbridge. Cette implication multiforme illustre sa connaissance des écosystèmes technologiques et de l’innovation numérique. Le communiqué de l’entreprise le décrit comme un dirigeant reconnu pour « sa vision stratégique et son expertise sectorielle ». L’objectif affiché est de tirer parti de son expérience pour engager Barracuda dans une nouvelle phase de croissance et d’innovation.

L’héritage de Hatem Naguib

Le départ d’Hatem Naguib clôt une période de quatre ans à la tête de l’entreprise. Entré chez Barracuda à des postes de direction, il fut notamment COO, puis vice-président senior et directeur général de la division sécurité, avant de devenir CEO en 2021. Sous sa direction, Barracuda lança BarracudaONE, une plateforme intégrant intelligence artificielle et cybersécurité, considérée comme une avancée majeure dans l’offre de l’entreprise. Avant de quitter ses fonctions, il a salué son successeur : « Je transmets le flambeau à Rohit, car j’ai pleinement confiance en sa capacité à faire entrer Barracuda dans une nouvelle ère ».

Cybersécurité, Entreprise, Securite informatique

YesWeHack rejoint les autorités CVE

YesWeHack devient autorité de numérotation CVE. L’entreprise française de Bug Bounty et de gestion des vulnérabilités obtient le statut CNA et peut désormais attribuer des identifiants CVE et publier les enregistrements associés.

YesWeHack, plateforme mondiale de Bug Bounty et de gestion des vulnérabilités, annonce son autorisation officielle par le programme CVE en tant qu’autorité de numérotation CVE (CNA). Cette nomination fait de YesWeHack la huitième organisation française à accéder à ce rôle. Elle confirme la place croissante de la France dans la gouvernance technique de la cybersécurité. En qualité de CNA, YesWeHack peut dorénavant assigner des identifiants CVE aux failles découvertes et publier les informations correspondantes dans les enregistrements CVE.

Cap sur la nomenclature des vulnérabilités

L’information est factuelle, l’enjeu est structurant. YesWeHack, plateforme fondée par des hackers éthiques en 2015, annonce à Paris, le 23 septembre 2025, son accréditation comme autorité de numérotation CVE. Devenir CNA, c’est obtenir le droit, et la responsabilité, d’assigner des identifiants CVE aux vulnérabilités identifiées dans le cadre de ses activités et de publier les enregistrements correspondant à ces failles. Cette avancée place YesWeHack à un point de jonction où la découverte, la normalisation et la diffusion se rejoignent.

Au cœur du dispositif, le programme CVE fédère la communauté autour d’un identifiant unique, le Common Vulnerabilities and Exposures. Cet identifiant est devenu la clé de voûte d’un écosystème où chercheurs, éditeurs, intégrateurs et équipes de sécurité doivent parler le même langage. La normalisation aide à corréler des indices dispersés dans les systèmes internes, à distinguer les doublons et à activer les bons leviers de correction.

YesWeHack revendique une approche complète de la gestion des vulnérabilités. Sa plateforme rassemble Bug Bounty, politique de divulgation (VDP), gestion des rapports de test d’intrusion, cartographie d’exposition (ASM) et formation au hacking éthique avec le Dojo. Cette offre, articulée autour d’API, vise la rapidité et la traçabilité, de la découverte à la remédiation. L’entreprise insiste sur des garanties de sécurité et de conformité, de la certification ISO aux choix d’hébergement privé en Europe, conforme au RGPD.

L’obtention du statut CNA ajoute une brique d’infrastructure. Elle rapproche la nomenclature CVE de la source primaire d’information : la découverte sur le terrain, souvent issue d’un programme de Bug Bounty. En intégrant l’attribution CVE au cœur du flux opérationnel, YesWeHack promet de limiter les frictions et de raccourcir les délais. Le message est expressément formulé par Guillaume Vassault-Houlière, CEO et co-fondateur : l’entreprise se dit « honorée » et met en avant des « processus éprouvés » pour sécuriser l’écosystème numérique. L’objectif affiché est d’accélérer coordination, remédiation et attribution.

Le registre CVE n’est pas un décor. Il est un outil de renseignement technique. En proposant une référence unique et mondiale, il permet aux équipes de sécurité d’aligner priorisation et communication. Pour les RSSI, un numéro CVE fait gagner du temps : il canalise la recherche d’indicateurs, déclenche les scénarios de patch management et encadre l’information à destination des métiers.

Une gouvernance au service de la remédiation

Le rôle de CNA n’est pas une simple délégation. C’est un cadre. Être autorité de numérotation suppose la capacité à vérifier la matérialité d’une vulnérabilité, à éviter les chevauchements, à produire un enregistrement clair et exploitable. Dans la pratique, cela signifie des processus rigoureux, une relation suivie avec les chercheurs, et une articulation fluide avec les éditeurs concernés. YesWeHack met en avant sa légitimité sur ce terrain : l’entreprise opère des programmes publics et privés qui exposent la plateforme à une diversité de cibles, de contextes et de modèles de divulgation.

La proximité avec les chercheurs éthiques constitue un avantage opérationnel. Sur un programme de Bug Bounty, la chaîne de valeur est courte : découverte, reproduction, qualification et correction se succèdent rapidement. L’attribution d’un CVE dans cette continuité augmente la clarté du signal. Elle évite des retards qui, ailleurs, peuvent transformer une découverte en incident mal géré. L’accès direct à la numérotation soutient aussi la transparence : il devient plus simple de publier un enregistrement utile, avec un niveau de détail proportionné et des informations synchronisées avec les échéances de correction.

La France consolidée dans la cartographie CVE est une donnée de souveraineté appliquée. Huit organisations y détiennent désormais une autorité de numérotation.

Le registre CVE, conçu pour être public et exploitable, se trouve au carrefour de la technique et du renseignement. Chaque enregistrement associe une description normalisée, des références, et nourrit des outils d’analyse. Dans les équipes de réponse à incident, il sert de pivot entre intelligence technique, détection et remédiation. Inscrire le geste de découverte dans ce cadre, au plus près du terrain, est stratégique : l’information circule vite, mieux, et avec moins d’ambiguïtés.

Le renseignement technique comme fil conducteur

Le CVE est une pièce de renseignement. Il ne suffit pas à lui seul, mais il organise la lecture des autres. Un numéro CVE permet d’agréger des indicateurs, de retrouver des signatures, de corréler des observations, puis de trier l’urgent du secondaire. Les SOC s’en servent pour structurer des alertes, les équipes de patch management pour planifier des déploiements, les auditeurs pour vérifier la complétude d’un cycle de correction.

La plateforme positionne le Bug Bounty comme un capteur de réalités. Les programmes publics, comme ceux conduits pour sa propre plateforme, tracent une ligne de conduite : exposer, tester, corriger. L’intégration CNA ajoute un point d’impact supplémentaire. Le chercheur soumis à un programme peut voir sa découverte entrer rapidement dans le référentiel mondial, sans détour inutile. Les organisations concernées disposent d’un identifiant commun pour orchestrer les étapes suivantes. Dans les cas sensibles, la disponibilité d’un enregistrement clair canalise la communication et réduit le risque de malentendus.

YesWeHack insiste sur la collaboration avec les institutions. Le rôle d’une CNA suppose des échanges réguliers avec le programme CVE et les autres parties prenantes. La standardisation ne vaut que si elle est partagée. La plateforme se présente comme un relais prudent et efficace, apte à traiter des signalements variés, à en vérifier la substance, et à publier des enregistrements exploitables, ni lacunaires ni bavards.

L’enjeu dépasse la seule technique. La capacité d’un écosystème à produire, à jour, des références publiques de vulnérabilités, exprime un niveau de maturité. La cohérence entre hébergement européen, conformité RGPD et certifications renforce cette lecture. La chaîne, de la découverte à la publication, se construit sur des garanties vérifiables.

Cybersécurité, Entreprise, Espionnage Spy

Réseau de faux cabinets : soupçons d’une opération de recrutement chinoise

Un réseau de sites vitrines aurait ciblé d’anciens fonctionnaires américains par de fausses offres d’emploi, selon une enquête du think tank Foundation for Defense of Democracies (FDD).

Des chercheurs du FDD ont mis au jour un ensemble de sites internet soupçonnés d’être liés à une opération de renseignement chinoise. Sous couvert de fausses sociétés de conseil et de think tanks fictifs, ce réseau baptisé « Foresight Network » aurait tenté de recruter d’anciens employés fédéraux et des experts en politiques publiques. Parmi les méthodes utilisées, des annonces proposant jusqu’à 8 500 $ (7 900 €) mensuels pour des postes d’analystes à distance. Si l’esthétique maladroite des sites intrigue, elle n’empêche pas leur efficacité potentielle, rappellent les analystes, citant des précédents judiciaires. Le FBI confirme surveiller ces tactiques de recrutement en ligne visant aussi bien les détenteurs d’habilitations que les spécialistes civils et académiques.

Un réseau de sites fictifs

Le site Foresight and Strategy a publié en mai une annonce offrant un poste d’analyste politique à distance, payé jusqu’à 8 500 $ (7 920 €) par mois. L’offre visait des profils issus d’organismes internationaux, d’agences publiques ou de think tanks. Derrière ce site se cacheraient deux autres vitrines, International Affairs Review et Institute of International Studies. Les trois partagent la même infrastructure numérique et un serveur de messagerie commun. Les recherches de Max Lesser et Maria Riofrio (FDD) indiquent que tous ont été enregistrés en Chine, Foresight en février 2022, les deux autres en décembre 2021. L’ensemble semble avoir profité de l’essor du télétravail post-COVID.

Deux autres plateformes, Asia Pacific Political Review et Global Strategic Outlook, aujourd’hui inaccessibles, pourraient également appartenir au même réseau. Si le lien direct avec les services de renseignement chinois reste non démontré, le schéma fait écho à d’autres opérations d’influence déjà documentées.

Méthodes simples, risques réels

Les pages incriminées présentent un anglais maladroit et des contenus visiblement factices. Témoignages signés de « John Doe », photos empruntées à des modèles WordPress ou coordonnées invalides illustrent ce bricolage. Pourtant, préviennent les analystes, ce type d’opération peut avoir des conséquences graves. La récente condamnation d’un haut fonctionnaire du département d’État américain à quatre ans de prison pour avoir transmis des documents classifiés à des agents chinois en est un exemple. Selon l’acte d’accusation, ces agents se présentaient comme membres de cabinets internationaux, exactement comme dans le scénario observé par le FDD.

Pour Lesser, même un camouflage minimal suffit à engager le premier contact. « Il n’est pas nécessaire de créer une société-écran : un site web rudimentaire suffit », résume-t-il.

Réactions officielles et alertes sécuritaires

Interrogée, l’ambassade de Chine à Washington a rejeté toute implication, dénonçant des accusations « sans fondement factuel ». De son côté, le FBI n’a pas commenté directement le réseau, mais a confirmé surveiller activement les tentatives de recrutement en ligne visant d’anciens agents, des experts techniques et des chercheurs. Le Bureau conseille de signaler toute offre suspecte aux services de sécurité compétents.

Le National Counterintelligence and Security Center avait déjà mis en garde, en avril, contre l’usage croissant de ces techniques par la Chine. En mars, CNN rapportait que Pékin et Moscou intensifiaient leurs efforts pour cibler des fonctionnaires américains frustrés ou en reconversion. Brian Harrell, ancien responsable du DHS, souligne que l’afflux de candidats après les récentes vagues de licenciements fédéraux rend le terrain encore plus propice à ces approches.

La faible sophistication technique de ces sites ne doit pas masquer leur potentiel opérationnel. Dans quelle mesure les services occidentaux sauront-ils anticiper ces approches numériques à bas coût, mais potentiellement dévastatrices ? (FWC)

Cybersécurité, Entreprise, loi, Securite informatique

Chine : signalement en urgence des cyberattaque

La Chine impose dès novembre 2025 un délai d’une heure pour déclarer les incidents de cybersécurité graves, renforçant ainsi son contrôle sur les réseaux et infrastructures critiques.

Pékin introduit une réglementation stricte obligeant les opérateurs à signaler sous une heure tout incident « particulièrement grave » de cybersécurité. L’Administration chinoise du cyberespace (CAC) supervise cette mesure, qui reflète une intensification de la surveillance étatique après plusieurs affaires sensibles, dont une sanction contre Dior à Shanghai pour transfert illégal de données. Le dispositif, applicable dès le 1er novembre 2025, définit des seuils précis pour classer la gravité des attaques ou pannes et prévoit des sanctions financières lourdes en cas de manquement.

Signalement accéléré des cyberincidents

Les nouvelles règles imposent un signalement d’urgence en cas d’attaque majeure. Les opérateurs de réseau doivent informer les autorités en une heure. Celles-ci transmettent ensuite l’alerte à l’Administration nationale du cyberespace et au Conseil d’État dans un délai de trente minutes. Les incidents sont classés en quatre niveaux, « particulièrement grave » étant le plus critique. Cette catégorie inclut des cyberattaques ou pannes affectant les portails gouvernementaux, les infrastructures vitales ou les sites d’information nationaux pendant plus de 24 heures, ou encore une panne de six heures touchant l’ensemble d’une infrastructure.

La réglementation couvre aussi les atteintes à grande échelle aux services publics, de transport ou de santé. Sont concernés les cas où plus de 50 % d’une province ou plus de 10 millions de citoyens voient leur quotidien perturbé. Les violations massives de données entrent également dans ce champ, dès lors qu’elles affectent plus de 100 millions de personnes ou causent un préjudice financier supérieur à 100 millions de yuans (13 millions d’euros).

Critères renforcés pour les attaques

Les cyberattaques massives affichant du contenu interdit sur un site gouvernemental ou un portail d’information majeur constituent une menace prioritaire si elles persistent plus de six heures ou atteignent une audience d’un million de vues. Elles sont aussi considérées critiques si le contenu est partagé plus de 100 000 fois sur les réseaux sociaux.

Le niveau « grave » concerne les attaques perturbant les sites d’administrations locales ou provinciales plus de six heures, ou les infrastructures essentielles pendant plus de trois heures. Des fuites de données touchant plus de 10 millions de personnes, ou un million dans une grande ville, relèvent aussi de cette catégorie.

Chaque opérateur doit remettre sous 30 jours un rapport détaillé décrivant causes, réponses et enseignements après un incident. Cette exigence prolonge la loi chinoise sur la cybersécurité de 2017 et les textes complémentaires de 2016 et 2021 sur la protection des infrastructures critiques.

Vers des sanctions plus lourdes

En parallèle, le Comité permanent de l’Assemblée populaire nationale étudie un durcissement des sanctions. Les opérateurs d’infrastructures critiques négligents pourraient être sanctionnés de 500 000 à 10 millions de yuans (66 000 à 1,32 millions €). Les responsables directs encourraient jusqu’à 1 million de yuans (132 000 €).

Les opérateurs de réseau qui omettent d’empêcher la diffusion de contenus interdits s’exposeraient à des amendes de 50 000 à 500 000 yuans (≈ 6 600 à 66 000 €). Ce projet de loi traduit une volonté de responsabiliser les acteurs du numérique tout en consolidant le contrôle centralisé de la cybersécurité.

La Chine fait de la rapidité de réaction un enjeu national de cybersécurité. Reste à savoir si cette obligation de signalement instantané renforce réellement la résilience technique, ou surtout le contrôle étatique sur les flux numériques.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.

Base de données, Cybersécurité, Entreprise, Securite informatique

Data Act : nouvelles règles européennes dès le 12 septembre 2025

À partir du 12 septembre 2025, le Data Act entre en application. Ce règlement européen bouleverse l’accès, le partage et la portabilité des données, avec des enjeux clés en cybersécurité.

Le Data Act, règlement européen adopté en 2023, deviendra pleinement applicable le 12 septembre 2025. Son objectif : redonner aux utilisateurs, particuliers comme professionnels, le contrôle des données générées par les objets connectés et services numériques. Le texte impose aux entreprises de garantir un accès simple, gratuit et lisible aux données, d’assurer la portabilité entre prestataires de cloud et de revoir leurs contrats selon des clauses équitables (FRAND). En cas d’urgence publique, les autorités pourront exiger certains accès, tandis que les demandes étrangères seront strictement encadrées. Les sanctions atteignent 20 M€ ou 4 % du chiffre d’affaires mondial. Les acteurs du numérique doivent adapter leurs systèmes, contrats et produits sans délai.

Accès et partage des données

Le principe fondateur du Data Act repose sur l’accès généralisé aux données issues des objets connectés. Les utilisateurs, qu’ils soient particuliers ou entreprises, pourront consulter et réutiliser les données qu’ils produisent. Les fabricants et fournisseurs de services associés auront l’obligation de les mettre à disposition gratuitement, dans des formats structurés et interopérables. L’utilisateur pourra également décider de partager ces informations avec un tiers de son choix, sans restriction contractuelle. Cette évolution vise à rééquilibrer les rapports de force dans l’économie des données, où les détenteurs d’infrastructures ont jusqu’ici concentré l’essentiel de la valeur et du contrôle. Pour la cybersécurité, la multiplication des flux de données soulève toutefois des défis : garantir un accès sécurisé, tracer les transmissions et prévenir les usages abusifs.

Les relations contractuelles entre entreprises devront s’aligner sur une grille équitable. Le règlement impose des conditions dites FRAND (Fair, Reasonable and Non-Discriminatory). Les clauses jugées abusives sont interdites, et une présomption de non-discrimination s’applique désormais. L’objectif est d’empêcher qu’un acteur dominant n’impose unilatéralement des conditions défavorables à ses partenaires. Cela concerne directement les licences de données, les CGV et les accords de prestation liés au cloud. La Commission prévoit de publier des modèles contractuels types pour guider les entreprises. Pour les directions juridiques, c’est un chantier majeur : sécuriser les engagements, anticiper les litiges, et intégrer dès aujourd’hui une logique de partage contrôlé. En arrière-plan, cette normalisation contractuelle vise aussi à limiter les risques d’exploitation économique des données sensibles.

Portabilité et changement de prestataire

Le Data Act introduit un droit effectif à la portabilité des données. Les utilisateurs pourront changer de fournisseur de cloud, SaaS ou IaaS sans supporter de coûts supplémentaires. La migration devra être techniquement possible en 30 jours maximum. À partir de janvier 2027, les frais liés à cette opération seront totalement interdits. Cette mesure ouvre le marché et renforce la concurrence entre prestataires, souvent critiqués pour leurs pratiques de verrouillage. Elle oblige les acteurs à développer des interfaces standardisées et documentées pour faciliter le transfert. Sur le plan cyber, la portabilité massive accroît l’exposition : plus de mouvements de données signifient plus de vecteurs potentiels pour les attaques. Les équipes techniques devront intégrer chiffrement, journalisation et protocoles robustes pour limiter les risques.

Le Data Act impose aux entreprises une refonte de leurs systèmes et contrats. Les obligations techniques, juridiques et organisationnelles exigent une adaptation rapide. La question centrale reste : les mécanismes de portabilité et de partage seront-ils compatibles avec un niveau élevé de cybersécurité ?

Le Data Act s’applique dès septembre 2025. Accès, portabilité et contrats : un tournant européen majeur aux forts enjeux cyber et économiques.