Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Accès firewall root à vendre !

Cinq accès root à des pare-feu Linux sont proposés par un pirate informatique, visant des secteurs sensibles.

Un courtier d’accès initial annonce cinq accès distincts à des organisations situées dans quatre pays. Chaque offre promet le même niveau de compromission : exécution de code à distance avec droits root et shell sur un pare-feu Linux. Les cibles ne sont décrites que par secteur et pays : énergie aux Émirats arabes unis, pharmacie de détail aux États-Unis, électronique en Corée du Sud, logistique en Arabie saoudite, centre d’appels aux États-Unis. Aucun accès n’est confirmé. Un signal faible malveillant qui doit faire tendre l’oreille.

Une série d’annonces au profil identique

Le signal tient d’abord à sa répétition. Cinq annonces, publiées le même jour et rattachées au même alias, décrivent une compromission supposée d’équipements de sécurité placés au bord des réseaux. L’acteur se présente comme un courtier d’accès initial, une catégorie d’intermédiaires qui revend des portes d’entrée plutôt que des données déjà exfiltrées.

Dans ce cas, le pirate informatique miyako affirme disposer d’un accès root, avec exécution de code à distance et shell, sur des appliances firewall fonctionnant sous Linux. Cette combinaison, si elle était réelle, donnerait à un acheteur un contrôle profond sur un point de passage stratégique. Un pare-feu n’est pas un simple serveur annexe : il observe, filtre et sépare les flux entre l’extérieur et les environnements internes. Le placer sous contrôle hostile reviendrait à transformer un rempart en tête de pont.

Le prix intrigue autant que la promesse technique. Chaque accès est affiché à 400 $ (368,6 euros), sans discussion possible. La conversion en euros repose sur le taux implicite fourni dans la consigne, soit 250 millions de dollars convertis en 230,4 millions d’euros, ce qui donne environ 0,9216 euro pour 1 dollar. Appliqué à 400 dollars, le montant atteint 368,64 euros, arrondi ici à 368,6 euros. Ce tarif uniforme, très bas au regard du niveau d’accès annoncé, ne suffit pas à évaluer la réalité opérationnelle des offres. Il peut signaler une tentative de vente rapide, une faible qualité des accès, une absence de validation ou une simple opération d’appât.

Les revenus des organisations visées sont tous indiqués comme inconnus. Aucun nom d’entreprise n’apparaît. Les captures mentionnées sont des aperçus expurgés, associés à cinq intitulés : prestataire de services pétroliers aux Émirats arabes unis, chaîne de pharmacies aux États-Unis, entreprise d’électronique en Corée du Sud, société saoudienne de logistique et de chaîne d’approvisionnement, opération américaine de centre d’appels. Le canal de contact Session est mentionné comme retenu et n’est pas reproduit.

Cette sobriété forcée limite l’analyse. Les annonces ne permettent pas d’identifier une victime, de vérifier un périmètre technique, ni de confirmer l’existence d’un accès actif. Elles documentent une revendication commerciale, pas une compromission démontrée.

Un risque élevé, malgré un statut non vérifié

Le niveau de gravité est évalué comme élevé, non parce que les accès sont prouvés, plutôt en raison de ce qu’ils prétendent offrir. Un accès root avec shell sur un pare-feu Linux donnerait potentiellement un contrôle administratif complet. Dans un scénario réaliste, un tel point d’entrée pourrait faciliter la reconnaissance interne, le rebond vers d’autres systèmes, la capture de flux, l’ouverture de tunnels clandestins ou la préparation d’une intrusion plus destructrice.

L’intérêt cyber et renseignement se situe dans la nature des secteurs évoqués. L’énergie, la santé de proximité, le commerce de détail pharmaceutique, la fabrication électronique, la logistique et les centres d’appels forment des environnements riches en données, en dépendances opérationnelles et en connexions avec des tiers. Même sans nommer les entreprises, la distribution géographique indique une sélection internationale : deux cibles aux États-Unis, une aux Émirats arabes unis, une en Corée du Sud et une en Arabie saoudite.

Le cas du prestataire pétrolier émirien renvoie à un secteur où l’accès réseau peut avoir une valeur stratégique. La pharmacie de détail américaine combine données personnelles, flux de paiement et continuité de service. L’électronique sud-coréenne suggère un intérêt possible pour la propriété intellectuelle ou les chaînes industrielles. La logistique saoudienne touche aux échanges physiques et aux dépendances de transport. Le centre d’appels américain peut exposer des données clients, des identifiants internes ou des accès applicatifs utilisés par les opérateurs.

Rien, toutefois, ne permet d’affirmer que ces organisations ont été compromises. Le statut reste explicitement non vérifié. Les annonces relèvent du marché de l’accès initial, non d’une fuite de données confirmée. Cette distinction est essentielle : l’acteur ne publie pas de base volée, ne cite pas de victime identifiable et ne fournit pas, dans les éléments disponibles, de preuve technique exploitable par un tiers indépendant.

Le caractère groupé des cinq publications mérite néanmoins attention. Le même profil d’accès, le même tarif, le même type d’équipement et le même contact suggèrent un lot unique attribué à un seul vendeur. Cela peut indiquer l’exploitation d’une même faiblesse sur plusieurs pare-feu, une collecte opportuniste d’accès disparates, ou une mise en scène commerciale recyclant un modèle d’annonce. Sans éléments supplémentaires, ces hypothèses restent ouvertes.

Pour les défenseurs, l’enseignement principal se trouve dans le périmètre : le pare-feu, souvent perçu comme un outil de protection, devient une cible de premier rang. La surveillance des comptes administratifs, des shells inhabituels, des modifications de règles, des connexions sortantes anormales et des accès distants non attendus demeure centrale. Un équipement exposé, lorsqu’il est compromis, peut masquer l’intrusion derrière l’apparence du trafic légitime.

Cette affaire illustre la logique froide du courtage d’accès : vendre une position au seuil du réseau, sans bruit public, avant qu’un autre acteur ne transforme cette ouverture en opération plus lourde.

YesWeHack automatise le pentest par agents IA

YesWeHack lance un pentest piloté par IA agentique, capable de tester des actifs exposés et de livrer des résultats dans la journée.

L’IA agentique désigne des systèmes capables d’agir par étapes, avec un objectif, des outils et une part d’autonomie opérationnelle. Dans le cas de YesWeHack, ces agents ne se contentent pas de signaler une faiblesse théorique. Ils examinent des actifs accessibles, cherchent des vulnérabilités, évaluent leur exploitabilité et reconstituent des chemins d’attaque. Cette approche traduit une évolution majeure de la sécurité offensive : le test d’intrusion devient plus continu, plus rapide et plus industrialisé. L’humain reste toutefois nécessaire pour valider les alertes, traiter les cas complexes et guider la remédiation.

Une sécurité offensive à vitesse machine

YesWeHack a annoncé, le 25 juin 2026, le lancement de son Pentest Agentique, une offre qui mobilise des agents d’intelligence artificielle autonomes à la demande. L’objectif affiché est clair : tester les actifs exposés d’une organisation et fournir des résultats le jour même, à mesure que les vérifications avancent dans la plateforme.

Le terme IA agentique mérite d’être clarifié, car il est central dans cette annonce. Il ne s’agit pas d’une intelligence artificielle argentique, liée à l’image ou à la photographie, mais d’une IA agentique, c’est-à-dire orientée vers l’action. Un agent reçoit un but, suit des consignes, utilise des outils, observe les résultats, ajuste sa démarche et poursuit ses tests dans un cadre défini. Dans un contexte cyber, cela signifie qu’il peut enchaîner reconnaissance, détection, vérification et qualification d’une faille, sans attendre une instruction humaine à chaque étape.

La plateforme française applique cette logique aux applications web et mobiles, aux API et aux autres actifs visibles depuis Internet. Les tests peuvent être menés en boîte noire, grise ou blanche. En boîte noire, l’agent agit sans information interne. En boîte grise, il dispose d’éléments partiels. En boîte blanche, il travaille avec une connaissance plus complète du système. Ces trois modes couvrent différents niveaux de réalisme et de profondeur, selon les objectifs de sécurité.

YesWeHack indique que son offre cible les vulnérabilités à fort impact, dont le Top 10 de l’OWASP, ainsi qu’un ensemble plus large de vecteurs d’attaque. Les agents s’appuient sur les modèles les plus avancés disponibles pour les tests offensifs, y compris des modèles à poids ouverts. Cette précision compte pour les organisations soumises à des contraintes de souveraineté, d’hébergement ou de gouvernance. L’éditeur évoque ainsi la possibilité de recourir à des modèles développés ou hébergés en Union européenne ou en Asie-Pacifique, selon les besoins.

Cette automatisation répond à une pression croissante. Les attaquants utilisent eux aussi l’intelligence artificielle pour accélérer leurs recherches, adapter leurs scénarios et réduire le délai entre la divulgation d’une faille et son exploitation. La sécurité offensive suit donc le même mouvement que la défense : passer d’un rythme humain, souvent périodique, à un rythme machine, plus proche de l’exposition réelle.

Un complément, pas un remplacement de l’expert

Le Pentest Agentique fonctionne dans un cadre de règles fixé par YesWeHack, afin de préserver la confidentialité, l’intégrité et la disponibilité des systèmes testés. Cette limite est essentielle. Un test offensif automatisé doit produire du renseignement exploitable sans déstabiliser les environnements visés. La promesse porte sur la vitesse, la couverture et la capacité de passage à l’échelle, pas sur une liberté totale d’action.

L’éditeur maintient d’ailleurs ses Pentests Continus en parallèle. Cette distinction éclaire le positionnement du produit. Les agents traitent le volume, accélèrent le criblage et priorisent les failles exploitables. Les experts humains conservent leur rôle sur les vulnérabilités difficiles, les logiques métier subtiles et les chaînes d’exploitation sophistiquées. Autrement dit, l’IA agentique peut élargir le champ de détection, sans absorber toute la finesse de l’analyse offensive.

Les résultats sont intégrés dans la plateforme YesWeHack, aux côtés des autres services de l’éditeur : programmes de prime aux bogues, Pentests Continus, politiques de divulgation des vulnérabilités et points de contrôle liés aux CVE activement exploitées. Les équipes de sécurité peuvent aussi solliciter le triage de YesWeHack, disponible en continu, pour vérifier, reproduire et enrichir les rapports. L’éditeur présente cette validation humaine comme le moyen d’éviter les faux positifs.

Guillaume Vassault-Houlière, PDG et cofondateur de YesWeHack, inscrit ce lancement dans une stratégie élargie. Selon lui, « Le Pentest Agentique est plus rapide et plus simple à mettre en place et à exécuter que les pentests traditionnels menés par des humains, tout en offrant une couverture plus large, la capacité de passer à l’échelle et des coûts réduits« . Il ajoute sur Linkedin qu’une stratégie offensive doit rester diversifiée, avec les programmes de prime aux bogues et l’expertise de la communauté comme piliers d’une posture proactive.

Pour un RSSI, l’enjeu dépasse l’ajout d’un outil. Un agent qui classe les vulnérabilités selon leur exploitabilité réelle participe à la priorisation du risque. Cette délégation change le pilotage opérationnel : la machine produit une lecture du danger, que l’équipe doit comprendre, contester ou transformer en plan d’action. Le responsable sécurité gagne en fréquence de contrôle, avec une visibilité plus rapide sur les actifs exposés, mais il doit aussi surveiller la dépendance à une plateforme et à ses modèles.

Le modèle économique évolue lui aussi. Le pentest n’est plus seulement une mission ponctuelle, encadrée dans le temps, facturée comme une prestation isolée. Il devient une fonction permanente de gestion de l’exposition. Cette continuité apporte une réponse aux équipes saturées par l’élargissement de leur surface d’attaque. Elle ne remplace toutefois pas l’audit indépendant, encore requis dans plusieurs démarches de conformité.

Ransomware : que faire quand vos fichiers sont chiffrés ?

Lundi matin, 8h47. Vous allumez votre ordinateur et un message s’affiche à l’écran, vos fichiers sont chiffrés, une somme en cryptomonnaie est exigée sous 48 heures. Le logo de votre entreprise ne répond plus. Le serveur de fichiers est inaccessible. Vos collègues commencent à arriver.

Ce scénario n’est pas une fiction. En France, une entreprise est victime d’une cyberattaque toutes les 4 secondes. Les ransomwares, ou rançongiciels, représentent aujourd’hui la menace la plus dévastatrice pour les organisations de toutes tailles. Et contrairement à ce qu’on pourrait croire, les PME sont des cibles privilégiées : moins protégées que les grands groupes, elles restent suffisamment rentables pour les cybercriminels.

Les premières minutes : stopper la propagation

Quand un ransomware frappe, chaque minute compte. Le logiciel malveillant se propage activement sur votre réseau, il cherche d’autres machines à infecter, d’autres fichiers à chiffrer. Votre priorité absolue : l’isoler avant qu’il n’atteigne l’ensemble de votre infrastructure.

Débranchez immédiatement les machines infectées du réseau

Coupez le câble ethernet, désactivez le Wi-Fi, déconnectez les partages réseau. Ne vous contentez pas d’éteindre le Wi-Fi depuis Windows, débranchez physiquement. Chaque seconde de connexion laisse le ransomware progresser vers d’autres postes et serveurs.

Ne pas éteindre les serveurs

C’est contre-intuitif, mais éteignez le moins possible. La mémoire vive des machines infectées contient des informations précieuses pour les experts en forensique, clés de chiffrement partielles, traces d’activité malveillante. Éteindre efface ces indices définitivement.

Alerter toute l’équipe immédiatement

Personne ne doit ouvrir un fichier, cliquer sur un lien ou brancher une clé USB tant que l’étendue de l’infection n’est pas connue. Une seule action non coordonnée peut relancer la propagation.

Documenter ce que vous voyez

Prenez des captures d’écran du message de rançon, notez l’heure exacte de découverte, les machines visiblement touchées, les dernières actions effectuées avant l’incident. Ces informations seront essentielles pour les autorités et les experts qui interviendront.

Ne jamais payer la rançon

Le réflexe est compréhensible, récupérer ses données au plus vite, reprendre l’activité. Mais payer est une erreur dans la quasi-totalité des cas.
D’abord, rien ne garantit que vous récupérerez vos fichiers. Selon le rapport Veeam 2023, 21% des entreprises qui paient ne récupèrent jamais leurs données. Les cybercriminels ne sont pas des partenaires fiables.

Ensuite, payer vous expose à de futures attaques. Vous êtes désormais identifié comme une cible qui cède, votre nom circule sur les forums criminels.
Enfin, dans certains cas, payer est illégal. Si le groupe ransomware est sous sanctions internationales, OFAC aux États-Unis, règlements européens, le paiement peut engager votre responsabilité pénale.

La règle est simple : ne payez pas, signalez, faites appel à des experts.

Identifier le ransomware

Savoir à quelle souche vous avez affaire conditionne la suite. Certains ransomwares anciens ont des failles connues, des déchiffreurs gratuits existent et peuvent vous éviter toute perte de données.

Rendez-vous sur NoMoreRansom.org, la plateforme collaborative d’Europol, d’Interpol et des éditeurs de sécurité. Uploadez un fichier chiffré ou copiez le texte du message de rançon. Le site identifie la souche et vous indique si un déchiffreur est disponible. Vous pouvez également utiliser ID Ransomware, nomvirus.id, pour une identification rapide.

Si aucun déchiffreur n’existe pour votre souche, ne supprimez pas les fichiers chiffrés. Les clés de déchiffrement finissent parfois par être publiées des mois plus tard, suite au démantèlement de groupes criminels par les autorités.

Évaluer l’étendue des dégâts

Une fois la propagation stoppée, cartographiez rapidement ce qui a été touché.
Quels systèmes sont infectés ? Postes de travail, serveurs de fichiers, serveurs applicatifs, NAS, faites l’inventaire précis des machines compromises avant toute action de restauration.

Vos sauvegardes sont-elles intactes ? C’est la question critique. Si vos sauvegardes sont connectées en permanence au réseau, le ransomware les a probablement chiffrées aussi. Vérifiez en priorité vos sauvegardes hors ligne ou externalisées.

Y a-t-il eu exfiltration de données ? Les groupes ransomware modernes pratiquent la double extorsion, ils volent vos données avant de les chiffrer et menacent de les publier si vous ne payez pas. Consultez les journaux réseau pour détecter des transferts inhabituels dans les jours précédant l’attaque.

Cette évaluation conditionne tout, le temps de reprise estimé, les obligations légales de notification, et la stratégie de restauration.

Contacter les autorités et déclarer l’incident

Une cyberattaque par ransomware n’est pas un incident informatique interne, c’est un crime. Plusieurs démarches sont obligatoires ou fortement recommandées.

Déposer plainte auprès de la police ou de la gendarmerie. Conservez toutes les preuves, captures d’écran, logs, message de rançon. Sans plainte, aucune enquête n’est possible.
Signaler sur cybermalveillance.gouv.fr, la plateforme nationale d’assistance aux victimes de cyberattaques, référencée par l’État. Elle oriente vers des prestataires qualifiés et fournit des guides de remédiation adaptés à votre situation.

Notifier la CNIL sous 72 heures si des données personnelles ont été compromises, c’est une obligation légale RGPD. Le non-respect expose à des sanctions significatives.
Contacter votre assureur cyber si vous disposez d’une couverture, certaines polices couvrent les frais de remédiation, la perte d’exploitation et les frais juridiques.
Face à une attaque active, être accompagné par cette entreprise de cybersécurité en Île-de-France permet d’accélérer le diagnostic, de contenir l’incident et d’orchestrer la reprise, sans improviser sous pression.

Restaurer depuis les sauvegardes

Si vos sauvegardes sont intactes, c’est ici que la reprise commence. Mais attention, restaurer trop vite sur un système encore compromis revient à remettre vos données dans une machine infectée.

Nettoyer avant de restaurer. Reformatez les machines infectées, réinstallez les systèmes d’exploitation depuis zéro. Ne réutilisez jamais un système compromis sans l’avoir entièrement reconstruit.

Appliquez la règle 3-2-1. Trois copies de vos données, sur deux supports différents, dont une hors ligne ou externalisée. C’est le standard minimum pour résister à un ransomware. Si vous n’étiez pas à ce niveau avant l’attaque, c’est le moment de l’implémenter.

Testez avant de reprendre. Une sauvegarde non testée n’est pas une sauvegarde. Vérifiez l’intégrité des données restaurées avant de remettre vos équipes en production.

Priorisez les systèmes critiques. Identifiez ce dont vous avez absolument besoin pour reprendre une activité minimale, messagerie, facturation, outils métier, et restaurez dans cet ordre.

Après la crise : éviter la récidive

La reprise d’activité ne signifie pas la fin du travail. La question la plus importante est : comment le ransomware est-il entré ?

Identifiez le vecteur d’entrée. Les trois causes les plus fréquentes sont un email de phishing ouvert par un collaborateur, un accès RDP exposé sur Internet sans authentification renforcée, et une vulnérabilité logicielle non patchée. Sans identifier la porte d’entrée, vous restez exposé.

Formez vos équipes. 85% des cyberattaques exploitent une erreur humaine. Une session de sensibilisation régulière réduit drastiquement le risque d’un prochain incident.
Auditez votre infrastructure. Un audit post-incident permet d’identifier toutes les failles résiduelles, pas seulement celle exploitée lors de l’attaque.

Les failles prennent l’accès initial

L’exploitation des vulnérabilités devant les identifiants volés ! Un signale fort pour une accélération offensive qui réduit brutalement le temps utile aux défenseurs.

Le Data Breach Investigations Report 2026 de Verizon décrit une rupture majeure dans les violations de données. Pour la première fois depuis 19 ans, l’exploitation de vulnérabilités devient le premier vecteur d’accès initial, devant les identifiants compromis. Un basculement lié à l’intelligence artificielle. L’IA qui permettrait d’exploiter des failles connues en quelques heures au lieu de plusieurs mois. 72 % des organisations ne détectent pas en temps réel les abus d’identifiants. Le risque se déplace vers une guerre de vitesse.

Un basculement dans l’accès initial

Le signal est net. Selon le DBIR 2026 de Verizon, l’exploitation des vulnérabilités a dépassé le vol d’identifiants comme porte d’entrée dominante dans les violations de données. Ce changement intervient après près de deux décennies où l’identité compromise structurait une large part des scénarios d’intrusion.

Le rapport confirme une transformation profonde dans la conduite des attaques. Les groupes offensifs ne se contentent plus d’attendre qu’un mot de passe réutilisé ou volé ouvre une session. Ils exploitent plus vite les failles déjà connues, avec une automatisation renforcée par l’IA.

Le calcul implicite est simple. Quand une vulnérabilité demandait plusieurs mois pour être industrialisée par des attaquants, les équipes sécurité disposaient d’un espace de correction. Si ce délai tombe à quelques heures, la marge de détection, de priorisation et de remédiation disparaît presque. Dans de nombreuses organisations, selon Guccione, la fenêtre défensive se ferme avant que les contrôles puissent agir.

Ce déplacement ne signifie pas que les identifiants volés perdent leur importance. Il indique plutôt que les attaquants combinent désormais deux dynamiques : la faille technique pour entrer, puis l’identité pour circuler. Une fois l’accès obtenu, les mouvements latéraux, l’élévation de privilèges et la persistance continuent de dépendre des droits disponibles dans l’environnement ciblé.

Des données de Keeper Security donnent la mesure du problème. Près de trois quarts des organisations déclarent ne pas repérer en temps réel les abus d’identifiants ou les accès privilégiés non autorisés. Le rapport précise que 72 % des répondants ne détectent pas les mauvais usages d’identifiants immédiatement, et que la plupart identifient les accès privilégiés illégitimes en heures plutôt qu’en minutes .

Cette latence est stratégique. Chaque minute non observée peut permettre à un acteur hostile de cartographier un réseau, d’identifier les comptes utiles, puis de viser les systèmes les plus sensibles. La compromission n’est plus seulement un événement. Elle devient une séquence courte, dense, parfois achevée avant la première alerte exploitable.

L’identité sous pression de l’IA fantôme

Le DBIR 2026 pointe aussi l’IA fantôme, c’est-à-dire l’usage d’outils d’intelligence artificielle non validés par l’organisation. Leur utilisation fréquente par les salariés aurait triplé en un an et concernerait désormais 45 % des effectifs. Le risque n’est pas théorique : des informations sensibles peuvent être copiées dans des services externes sans supervision, journalisation ni politique claire de conservation.

Les recherches convergent. Elles indiquent que 56 % des organisations considèrent l’exposition involontaire des données par les employés via l’IA comme leur principale faille de sécurité liée à cette technologie. La fuite d’informations provoquée par l’usage d’outils d’IA arrive également au troisième rang des préoccupations cyber associées à l’IA, avec 35 % des réponses.

Le risque dépasse pourtant l’erreur humaine. Les systèmes d’IA, les copilotes génératifs, les moteurs d’orchestration et les agents automatisés s’appuient eux aussi sur des permissions, des secrets, des comptes de service et des appels applicatifs. L’identité est devenue une infrastructure opérationnelle, utilisée par les humains comme par les identités non humaines.

Cette extension fragilise les modèles classiques. Le rapport indique que 89 % des responsables IT jugent difficile de gérer la croissance du nombre d’identités. Il ajoute que 96 % citent des outils de sécurité déconnectés ou mal intégrés comme source de failles exploitables. Autrement dit, la défense ne manque pas toujours de produits. Elle manque souvent de cohérence.

La chaîne d’approvisionnement élargit encore cette surface. D’après le DBIR 2026, les violations impliquant un tiers représenteraient désormais 48 % de l’ensemble des incidents, avec une hausse annuelle de 60 %. Là encore, la prise de conscience progresse sans garantir la maîtrise. Près d’un quart des organisations interrogées par Keeper désignent la supervision limitée des accès tiers et fournisseurs comme une lacune de cybersécurité.

Le privilège devient alors le point critique. 36 % seulement des organisations déclarent avoir pleinement déployé la gestion des accès privilégiés, tandis que 31 % parlent d’un déploiement partiel et 16 % d’une mise en œuvre en cours. Le calcul donne 64 % d’organisations sans gouvernance entièrement consolidée des accès à privilèges.

Le renseignement cyber devra désormais mesurer moins le nombre d’alertes que le délai réel entre faille exploitable, usage d’identité et action défensive.

Cyberespionnage : les PME, PMI et TPE aussi dans le viseur des pirates

Les cyberattaques ne se limitent plus au blocage brutal des ordinateurs. De plus en plus souvent, les pirates cherchent d’abord à voler discrètement les données utiles de l’entreprise. Pour une PME, une PMI ou une TPE, le danger est clair : perdre ses fichiers clients, ses devis, ses contrats, ses plans techniques, ses accès fournisseurs ou ses informations financières peut coûter bien plus cher qu’une simple panne informatique.

Le vol de données devient plus rentable que le blocage

Pendant longtemps, les entreprises ont surtout associé les cyberattaques aux rançongiciels. Le scénario était connu : un pirate entre dans le réseau, chiffre les fichiers, bloque l’activité, puis réclame une rançon.

Ce risque existe toujours. Mais une autre menace prend de l’ampleur : le vol discret d’informations. Les attaquants cherchent à rester invisibles le plus longtemps possible. Ils observent, fouillent les dossiers, repèrent les données sensibles, puis les copient avant parfois de lancer une extorsion.

Pour une petite ou moyenne entreprise, les données ciblées peuvent être nombreuses : fichiers clients, factures, RIB, contrats, mots de passe, échanges avec les fournisseurs, plans de production, dossiers RH, documents comptables, secrets de fabrication, codes sources, fichiers de prospection ou informations commerciales. Le Service de veille et d’investigation de ZATAZ en croise malheureusement des centaines de milliers par mois !

La logique des pirates est simple. Un système bloqué peut être restauré avec des sauvegardes. Une donnée volée, elle, continue de circuler. Elle peut être revendue, utilisée pour du chantage, exploitée pour frauder des clients ou servir à attaquer un partenaire.

Les petites structures ne sont pas épargnées

Beaucoup de dirigeants de TPE ou de PME pensent encore ne pas intéresser les cybercriminels. C’est une erreur dangereuse. Une petite entreprise peut représenter une cible facile, un point d’entrée vers un grand donneur d’ordre ou une source de données exploitables rapidement.

Les pirates n’ont pas toujours besoin de techniques complexes. Un courriel piégé, un mot de passe faible, un accès distant mal protégé, une faille non corrigée, un faux site de connexion ou un prestataire compromis peuvent suffire.

Une fois dans le système, ils cherchent les accès importants : messagerie, dossiers partagés, CRM, ERP, logiciels de comptabilité, outils de facturation, espaces cloud, serveurs internes et comptes administrateurs.

Les secteurs les plus exposés ne sont pas uniquement les grands groupes. Une PME industrielle peut détenir des plans ou des procédés de fabrication. Une PMI peut posséder des informations de production ou de sous-traitance. Une agence, un cabinet ou une TPE de service peut stocker des données clients, des documents confidentiels ou des accès à des plateformes sensibles.

Le risque fournisseur est aussi majeur. Une petite structure connectée au système d’un client plus important peut devenir une porte d’entrée. Dans une chaîne économique très connectée, la sécurité d’un seul maillon faible peut fragiliser tout l’ensemble.

Protéger ses informations comme un actif vital

Face au cyberespionnage, aucune solution magique ne suffit. La première étape consiste à savoir ce qui doit être protégé. Une entreprise doit identifier ses données critiques : fichiers clients, contrats, informations bancaires, documents techniques, données RH, accès administrateurs, secrets commerciaux, dossiers de production et archives sensibles.

Ensuite, il faut limiter les accès. Tout le monde ne doit pas pouvoir consulter tous les fichiers. Les comptes à privilèges doivent être surveillés et protégés par une authentification multifacteur. Les anciens comptes, les accès inutiles et les mots de passe partagés doivent disparaître.

Les sauvegardes restent indispensables, mais elles ne protègent pas contre la fuite d’informations. Il faut aussi surveiller les comportements suspects : connexions inhabituelles, transferts massifs de fichiers, accès à des dossiers sensibles, utilisation anormale d’outils d’administration ou connexion depuis un pays inattendu.

Les PME et TPE doivent également corriger régulièrement leurs logiciels, sécuriser les accès à distance, segmenter les postes les plus sensibles et encadrer les accès des prestataires. Un fournisseur ne doit accéder qu’aux outils nécessaires, pendant une durée limitée, avec une traçabilité claire.

La formation des salariés reste un point clé. Un clic sur une fausse facture, un mot de passe saisi sur une page imitée ou un document envoyé au mauvais destinataire peut ouvrir la porte à une attaque. La sensibilisation doit être régulière, courte et concrète.

Pour les PME, PMI et TPE, la cybersécurité n’est plus seulement une affaire de pare-feu et d’antivirus. Elle touche directement la valeur de l’entreprise. Protéger ses données, c’est protéger ses clients, ses contrats, son savoir-faire, sa réputation et sa capacité à travailler demain.

Dans un contexte où les attaques deviennent plus discrètes, la veille cyber devient un outil stratégique. Elle permet d’anticiper les menaces, de repérer les signaux faibles et d’éviter que l’entreprise découvre trop tard que ses informations circulent déjà ailleurs.

Palo Alto corrige en urgence un zero-day PAN-OS

Une faille critique non corrigée expose des pare-feu Palo Alto à une prise de contrôle distante, avec accès root et exploitation déjà observée.

Palo Alto Networks alerte ses clients sur CVE-2026-0300, une vulnérabilité critique de PAN-OS exploitée contre des pare-feu exposés à Internet. Cette faille de type buffer overflow touche le portail d’authentification User-ID, aussi appelé Captive Portal, sur les gammes PA-Series et VM-Series. Un attaquant non authentifié peut envoyer des paquets spécialement conçus, sans identifiants ni interaction utilisateur, afin d’exécuter du code arbitraire avec les privilèges root. Aucun correctif n’est encore disponible. Les premiers hotfixes sont annoncés autour du 13 mai 2026, puis une seconde vague vers le 28 mai. Les contournements deviennent donc prioritaires.

Une porte d’entrée critique sur le périmètre réseau

Dans une infrastructure d’entreprise, le pare-feu marque souvent la frontière entre le réseau interne, les partenaires et Internet. C’est précisément ce rôle stratégique qui rend CVE-2026-0300 aussi sensible. La vulnérabilité se situe dans le service User-ID Authentication Portal de PAN-OS. Ce composant intervient lorsque le pare-feu ne parvient pas à associer automatiquement une adresse IP à une identité utilisateur. Il présente alors un portail d’authentification, destiné à collecter des identifiants.

Le problème repose sur une écriture hors limites en mémoire, classée CWE-787. En pratique, la logique de traitement des paquets accepte une séquence réseau spécialement forgée, capable de déclencher un débordement de tampon. Comme le chemin d’exécution vulnérable intervient avant toute authentification, l’attaquant n’a pas besoin de compte, de mot de passe, d’accès préalable ou d’action de la victime.

Le scénario d’attaque est donc direct. Un système exposé reçoit le paquet malveillant. La mémoire est corrompue. Le flux d’exécution peut être détourné. Le code choisi par l’attaquant s’exécute ensuite sur la plateforme PAN-OS. L’élément le plus préoccupant tient au niveau de privilèges : le service fonctionne avec les droits root. Une exploitation réussie donne donc un contrôle total sur le pare-feu.

Palo Alto Networks indique que l’exploitation est automatisable. L’entreprise confirme aussi des attaques limitées contre des portails d’authentification accessibles depuis des adresses IP non fiables ou directement depuis Internet. Le score CVSS atteint 9,3 lorsque le portail est exposé à un réseau non maîtrisé. Il descend à 8,7 lorsque l’accès est limité à des adresses internes de confiance, conformément aux bonnes pratiques de l’éditeur.

La surface d’exposition reste importante. Shadowserver suit plus de 5 800 pare-feu PAN-OS VM-Series visibles en ligne. La majorité se trouve en Asie, avec 2 466 systèmes recensés, puis en Amérique du Nord, avec 1 998 équipements. Ces chiffres ne prouvent pas que tous les systèmes soient exploitables, car la vulnérabilité dépend de l’activation du portail concerné. Ils donnent toutefois une mesure du risque sur des équipements de bordure.

Les produits touchés sont les pare-feu PA-Series et VM-Series. Prisma Access, Cloud NGFW et Panorama ne sont pas affectés, selon les informations fournies. Les versions vulnérables couvrent plusieurs branches de PAN-OS : 12.1, 11.2, 11.1 et 10.2, dès lors que le portail User-ID Authentication Portal est activé. La configuration se vérifie dans Device, User Identification, Authentication Portal Settings, Enable Authentication Portal.

Identifiez vos angles morts informatiques avant que les pirates ne le fassent !

Un zero-day sans patch, avec contournements immédiats

Le caractère zero-day de CVE-2026-0300 place les équipes de sécurité dans une fenêtre de risque contrainte. Aucun correctif n’est disponible au moment de l’alerte. Palo Alto Networks prévoit une première série de hotfixes autour du 13 mai 2026, puis une seconde vers le 28 mai. Jusqu’à leur publication, la réduction de surface d’attaque constitue la mesure centrale.

La première action consiste à restreindre immédiatement l’accès au portail d’authentification. Les règles de filtrage doivent limiter le service User-ID Authentication Portal aux seules adresses IP et zones internes jugées fiables. Un portail exposé à Internet, ou à un réseau non approuvé, crée une cible directe pour une attaque distante sans authentification.

La deuxième mesure consiste à désactiver le portail lorsqu’il n’est pas nécessaire. Les organisations qui n’utilisent pas activement cette fonction peuvent la couper depuis Device, User Identification, Authentication Portal Settings, Disable Authentication Portal. Cette décision réduit le risque à la source, car le composant vulnérable n’est alors plus accessible.

Pour les environnements sous PAN-OS 11.1 et versions supérieures, Palo Alto Networks a publié une signature Threat Prevention d’urgence. Elle vise à bloquer les schémas d’exploitation connus, sous réserve d’un abonnement actif. Cette protection ne remplace pas un correctif, car les signatures peuvent être contournées ou rester incomplètes face à des variantes. Elle ajoute cependant une couche utile pendant la période d’attente.

La surveillance doit aussi être renforcée. Les journaux du pare-feu doivent être examinés pour repérer des accès inhabituels au portail d’authentification, des exécutions de processus inattendues ou des communications vers des infrastructures externes inconnues. Un pare-feu compromis avec droits root représente bien plus qu’un équipement isolé. Il peut offrir une visibilité sur les flux, faciliter la reconnaissance interne et ouvrir des chemins de mouvement latéral.

Cette vulnérabilité correspond au profil recherché par des groupes persistants avancés et des opérateurs de rançongiciels : un équipement de bordure, une exécution de code avant authentification et un accès complet aux flux réseau. Tenable attribue à CVE-2026-0300 un score de base de 10,0, soit le maximum possible. Le catalogue CISA Known Exploited Vulnerabilities répertorie déjà 13 vulnérabilités touchant des produits Palo Alto, même si CVE-2026-0300 n’y figure pas encore dans les informations fournies.

L’équation défensive est claire : réduire l’exposition avant la publication des hotfixes, appliquer les signatures disponibles, puis installer les correctifs dès leur diffusion.

Cyberattaques en France : les comptes compromis deviennent la porte d’entrée préférée des attaquants

Le rapport d’incidentologie 2026 d’InterCERT France dresse un constat net : les cyberattaques ne relèvent plus de l’accident isolé. Elles sont devenues une pression continue sur les entreprises françaises, avec des méthodes souvent connues, mais toujours efficaces.

Une étude sortie voilà quelques semaines mérite un détour. L’étude s’appuie sur 366 incidents cyber recensés en 2025 par 66 CERT français. L’échantillon montre une hausse du nombre d’incidents documentés par rapport au précédent rapport. Cette progression ne signifie pas forcément une explosion mécanique de la menace, mais plutôt une meilleure remontée des informations par les équipes de réponse à incident.

Un point ressort clairement : les attaques opportunistes restent majoritaires. Les cybercriminels cherchent d’abord les failles simples, les accès exposés, les identifiants déjà compromis et les systèmes mal protégés. L’objectif principal reste financier. Mais le rapport souligne aussi la présence persistante d’attaques non lucratives, liées à l’espionnage, au pré-positionnement, à l’influence ou à la déstabilisation.

Les identifiants au cœur de la menace

Le rapport met en avant une tendance devenue centrale : l’exploitation de comptes légitimes. Les attaquants cherchent moins à « casser la porte » qu’à entrer avec la bonne clé. Comptes utilisateurs, messageries, comptes administrateurs ou comptes de service deviennent des cibles prioritaires.

Cette évolution explique la place prise par les infostealers, ces logiciels malveillants conçus pour voler discrètement des mots de passe, cookies de session, jetons d’accès ou autres secrets d’authentification. En 2025, leur usage augmente fortement dans les incidents observés.

Leur rôle ne se limite plus au vol de données. Dans plusieurs cas, ils servent de première étape avant une attaque plus lourde. Le rapport indique que les infostealers sont associés à des fuites ou pertes de données dans une part importante des incidents, mais aussi à des arrêts d’activité et à des campagnes de phishing ultérieures. Autrement dit : un poste infecté aujourd’hui peut devenir le point de départ d’une crise majeure demain.

Les grandes entreprises sont particulièrement exposées aux compromissions de comptes, en raison du volume d’identités à gérer et de la complexité des droits. Mais les PME restent des cibles très attractives, notamment lorsqu’elles servent de passerelles vers d’autres organisations.

Rançongiciel : moins de bruit, toujours autant de casse

Le rançongiciel reste l’un des phénomènes les plus destructeurs. Le rapport rappelle que les attaques par ransomware ne se limitent plus au chiffrement des données. L’exfiltration est devenue un levier de pression majeur : les attaquants volent, menacent de publier, puis chiffrent.

Selon les données citées dans le rapport, l’OFAC recense 266 attaques par rançongiciel en 2025, en baisse par rapport à 2024 et 2023. Cette diminution ne doit pas faire baisser la garde. Les attaques restantes sont souvent mieux préparées, plus ciblées dans leurs effets et plus difficiles à traiter.

Les PME apparaissent comme des victimes privilégiées. Elles offrent un bon rapport coût/bénéfice pour les groupes cybercriminels : des moyens de défense souvent plus limités que ceux des grands groupes, mais des enjeux financiers et opérationnels suffisamment importants pour rendre l’extorsion rentable.

Le rapport souligne un chiffre lourd : dans 85 % des incidents avec rançongiciel, une reconstruction partielle ou totale du système d’information est nécessaire. Cela confirme que le ransomware n’est pas seulement un problème de chiffrement. C’est une crise d’exploitation, de continuité d’activité, de communication, de juridique et de confiance.

Les bons réflexes : identité, logs, EDR, sauvegardes

Les recommandations d’InterCERT France vont droit au but. La première priorité est la sécurisation des identités. L’authentification multifacteur doit être généralisée, les privilèges limités au strict nécessaire et les comportements anormaux surveillés.

Deuxième pilier : la détection. L’EDR reste présenté comme un outil de première ligne, à condition d’être largement déployé et connecté aux autres sources de logs. L’enjeu n’est pas seulement de bloquer une attaque, mais aussi de comprendre ce qui s’est passé après l’incident.

Troisième axe : séparer strictement les usages personnels et professionnels. L’utilisation de comptes professionnels sur des services personnels, la réutilisation de mots de passe ou l’usage d’appareils personnels dans un contexte professionnel augmentent fortement le risque de compromission.

Enfin, les sauvegardes restent vitales. Elles doivent être fiables, testées, isolées et suffisamment récentes pour permettre une reconstruction sans dépendre des cybercriminels. Dans les attaques modernes, elles servent aussi à comparer les données réellement compromises avec les revendications des attaquants.

Le message du rapport est limpide : la cyberrésilience ne peut plus être un slogan. Elle doit devenir une méthode. Inventaire des actifs, MFA, moindre privilège, logs exploitables, EDR, sauvegardes testées, formation continue. Rien de spectaculaire. Juste les fondamentaux. Mais en cybersécurité, ce sont souvent les fondamentaux oubliés qui coûtent le plus cher.

G7 2026 : Paris au centre des données

La CNIL réunira à Paris les autorités du G7 pour aligner protection des données, intelligence artificielle et coopération face aux risques numériques mondiaux.

La France présidera le G7 en 2026 et confiera à la CNIL l’organisation, à Paris, de la Table ronde des autorités de protection des données et de la vie privée. Du 23 au 26 juin 2026, les régulateurs du G7 échangeront sur les transformations numériques, l’intelligence artificielle et les conditions d’une protection robuste des informations personnelles. Cette rencontre annuelle, créée en 2021, vise à rapprocher les pratiques, renforcer l’application du droit et chercher des convergences opérationnelles. Son enjeu dépasse la conformité : il touche à la confiance, à la souveraineté numérique et au renseignement économique.

Paris accueille un rendez-vous stratégique

Du 23 au 26 juin 2026, Paris deviendra un point de passage obligé pour les régulateurs mondiaux de la donnée. Sous la présidence de la CNIL, les autorités de protection des données des pays du G7 se retrouveront pour leur réunion annuelle. L’événement s’inscrit dans la présidence française du G7, qui donnera à la France une visibilité particulière sur les grands dossiers numériques.

Ce rendez-vous arrive dans un moment sensible. Les technologies se diffusent vite, les usages de l’intelligence artificielle s’élargissent, et les attentes autour des données personnelles se renforcent. Chaque administration, chaque entreprise et chaque plateforme doit désormais composer avec une contrainte majeure : exploiter l’information sans fragiliser les droits fondamentaux. Dans cet équilibre, les autorités de contrôle jouent un rôle de vigie.

La Table ronde des autorités de protection des données et de la vie privée du G7 existe depuis 2021. Elle rassemble, sous l’impulsion de la présidence annuelle, les régulateurs compétents d’Allemagne, du Canada, des États-Unis, de France, d’Italie, du Japon, du Royaume-Uni, ainsi que l’Union européenne. Cette composition reflète un espace politique et économique où circulent d’immenses volumes de données, parfois au cœur de chaînes technologiques critiques.

L’objectif n’est pas de produire un affichage diplomatique. La Table ronde sert d’abord à comparer les évolutions juridiques, techniques et opérationnelles observées dans chaque juridiction. Elle permet aussi aux responsables des autorités de se parler directement, sans intermédiaire, sur des sujets qui dépassent les frontières. Enfin, elle cherche, lorsque cela reste possible, à dégager des positions communes sur des thèmes d’intérêt partagé.

Dans une lecture cyber et renseignement, cette mécanique compte. Les données personnelles ne sont pas seulement des éléments administratifs ou commerciaux. Elles peuvent révéler des habitudes, des déplacements, des opinions, des vulnérabilités, voire des liens professionnels sensibles. Lorsqu’elles sont croisées avec des outils d’analyse avancée, elles deviennent une matière stratégique. Leur protection relève donc aussi de la résilience démocratique et de la sécurité informationnelle.

Trois chantiers pour une gouvernance opérationnelle

La présidence française a prévu plusieurs axes de travail pour 2026. Le premier porte sur les technologies émergentes. Cette catégorie inclut notamment les systèmes d’intelligence artificielle, dont le développement rapide oblige les régulateurs à suivre des usages mouvants. Le sujet est central, car l’IA repose souvent sur des volumes massifs de données, parfois difficiles à tracer, à expliquer ou à maîtriser.

Le deuxième chantier concerne la coopération dans l’application du droit. C’est un point décisif. Les atteintes à la vie privée, les traitements illicites ou les transferts contestés ne s’arrêtent pas aux frontières nationales. Une autorité isolée peut sanctionner, enquêter ou alerter, pourtant son efficacité dépend souvent de la capacité à échanger avec ses homologues. Dans un environnement numérique globalisé, la coordination devient un instrument de puissance publique.

Le troisième axe traite de la libre circulation des données. La formule peut sembler technique, elle se trouve pourtant au centre des tensions numériques contemporaines. Les États, les entreprises et les citoyens attendent des flux de données efficaces. En parallèle, ces flux doivent respecter les garanties prévues pour les personnes. La difficulté consiste à éviter deux impasses : un blocage stérile des échanges ou une circulation sans garde-fous.

La CNIL place cette présidence sous le signe du dialogue, de l’expertise partagée et du pragmatisme. Le mot est important. Dans le domaine numérique, les principes généraux ne suffisent pas toujours. Les autorités doivent aussi confronter leurs méthodes, leurs outils d’enquête, leurs interprétations et leurs priorités. La convergence recherchée n’efface pas les différences entre systèmes juridiques, elle tente de construire un terrain d’action commun.

Ce travail aura une portée particulière en 2026. L’intelligence artificielle, les architectures cloud, les plateformes transnationales et les services fondés sur l’analyse comportementale transforment la notion même de donnée personnelle. Une information isolée peut paraître anodine. Agrégée, enrichie et analysée, elle peut devenir sensible. Pour les autorités, l’enjeu consiste à maintenir une protection élevée dans un espace technique qui change plus vite que les cadres institutionnels.

La réunion de Paris servira donc de test politique. Elle montrera jusqu’où les autorités du G7 peuvent rapprocher leurs approches sans renoncer à leurs spécificités nationales ou régionales. Elle dira aussi si la protection des données peut devenir un véritable langage commun entre démocraties industrialisées, face à des acteurs privés puissants et à des technologies de plus en plus opaques.

Pour la France, l’accueil de cette Table ronde offre un levier d’influence. La CNIL pourra mettre en avant une approche fondée sur les droits et libertés, tout en insistant sur la nécessité d’outils concrets. La promesse n’est pas seulement normative. Elle vise une coopération capable de répondre à des risques réels : collecte excessive, usages détournés, décisions automatisées mal contrôlées, circulation internationale mal encadrée.

En matière de cyber intelligence, la donnée personnelle reste un capteur de pouvoir : protéger son usage revient aussi à défendre l’autonomie numérique des sociétés démocratiques.

Trafic de puces IA, trois hommes inculpés

Une commande géante, des serveurs bardés de GPU sous contrôle et une route via la Thaïlande : l’affaire révèle une tentative présumée de contourner un verrou stratégique majeur de Washington.

La justice américaine accuse trois hommes d’avoir monté un circuit destiné à expédier vers la Chine des technologies d’intelligence artificielle soumises à de strictes restrictions. Au cœur du dossier, une commande d’environ 170 millions de dollars (156,7 millions d’euros), 750 serveurs et 600 puces Nvidia concernées par les contrôles à l’exportation. Selon les procureurs fédéraux, Stanley Yi Zheng, Matthew Kelly et Tommy Shad English auraient utilisé une société présentée comme thaïlandaise pour masquer la destination finale réelle du matériel. L’affaire dépasse le simple contentieux commercial : elle touche à la rivalité technologique, au contrôle des flux de semi-conducteurs avancés et à la protection de capacités à usage militaire et de renseignement.

Une filière présumée construite pour masquer la Chine

Le ministère américain de la Justice a inculpé mercredi Stanley Yi Zheng, 56 ans, de Hong Kong, Matthew Kelly, 49 ans, de Hopewell Junction, dans l’État de New York, et Tommy Shad English, 53 ans, d’Atlanta, en Géorgie. Ils sont poursuivis pour complot en vue de commettre un trafic illicite et pour violations des règles américaines sur les exportations. D’après l’acte d’accusation, les trois hommes auraient cherché à acheter, auprès d’une entreprise californienne de matériel informatique, des puces valant plusieurs millions de dollars afin de les faire partir vers la Chine par l’intermédiaire de la Thaïlande.

Stanley Zheng a été arrêté le 22 mars. Matthew Kelly et Tommy Shad English se sont rendus aux autorités fédérales le 25 mars. Les procureurs décrivent un dispositif commencé en mai 2023. À cette date, les trois suspects auraient commencé à coordonner l’acquisition de serveurs informatiques auprès d’un fabricant californien avant leur expédition vers la Thaïlande, avec, selon l’accusation, la Chine comme destination finale réelle. Des sociétés thaïlandaises auraient servi de façade commerciale pour donner une apparence régulière à l’opération.

Le dossier insiste sur la nature du matériel recherché. Il s’agit notamment de puces Nvidia A100 et H100, des processeurs graphiques de très haut niveau utilisés pour l’entraînement et l’inférence de modèles d’intelligence artificielle à grande échelle. Une première tranche visait des serveurs intégrant du matériel Supermicro conçu pour supporter les GPU Nvidia H100 et H200, pour un montant proche de 62 millions de dollars (57,1 millions d’euros). Plus largement, l’une des commandes évoquées porte sur 750 serveurs pour environ 170 millions de dollars (156,7 millions d’euros). Sur cet ensemble, 600 machines embarquaient une puce figurant sur la liste de contrôle du département du Commerce des États-Unis et nécessitant une licence d’exportation vers la Chine.

Le signal d’alerte est venu de la chaîne commerciale elle-même. En janvier 2024, lors d’un échange sur un contrôle de conformité lié à la commande d’octobre 2023, English aurait demandé qu’on ajoute Zheng et Kelly à la conversation. Le fabricant aurait alors relevé un point jugé anormal : la société de Zheng était basée en Chine, alors qu’aucun représentant de l’entreprise thaïlandaise supposée cliente ne figurait parmi les destinataires. L’entreprise aurait aussi rappelé que la Chine est visée par des restrictions américaines et que des sociétés américaines ne peuvent pas vendre à des entreprises ou utilisateurs finaux installés dans ce pays dans ce cadre réglementaire. Quelques semaines plus tard, le schéma présumé commençait à se fissurer.

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

 

Export controls, renseignement économique et enjeu militaire

Un informateur a alerté les enquêteurs fédéraux en janvier 2024. Puis, en février 2026, des agents fédéraux ont saisi le téléphone et l’ordinateur portable de Matthew Kelly à son retour d’Italie. Cette saisie a donné accès aux messages WhatsApp échangés entre les trois suspects, selon les autorités. En parallèle, des employés de Nvidia et de Supermicro ont eux aussi identifié des irrégularités dans les demandes de commande, conduisant à leur annulation au début de 2024.

Au-delà de la procédure pénale, l’affaire éclaire un mode opératoire classique du contournement des contrôles à l’exportation : le transbordement via un pays tiers. Ici, la Thaïlande est décrite comme une plaque de transit destinée à masquer la destination finale du matériel. Cette technique est présentée comme bien documentée et en forte progression depuis l’élargissement, par l’administration Biden, des restrictions sur les puces avancées en octobre 2022 puis en octobre 2023. Dans une logique de renseignement économique et technologique, le choix d’un intermédiaire étranger permet de brouiller la lecture des flux, de complexifier les vérifications de conformité et de tester la vigilance des fabricants américains.

L’enjeu dépasse largement la seule fraude documentaire. Les procureurs soulignent que les puces visées ont des applications militaires et stratégiques. Les A100 et H100 permettent d’entraîner des modèles d’IA à une échelle compatible avec des usages sensibles, notamment le ciblage d’armes avancées, l’analyse du renseignement électromagnétique et les systèmes autonomes. C’est précisément pour limiter l’accès à ces capacités que Washington a renforcé ses contrôles. Dans cette lecture, chaque tentative de contrebande de semi-conducteurs avancés devient un épisode de la compétition de puissance autour de l’intelligence artificielle.

Le dossier surgit dans un climat de confrontation technologique croissante entre Washington et Pékin. Les autorités américaines considèrent le trafic de puces comme l’un des moyens les plus directs pour réduire l’écart que les restrictions cherchent justement à maintenir. La réponse judiciaire traduit donc une logique plus large : protéger un avantage industriel, préserver un avantage militaire et verrouiller les briques matérielles qui soutiennent les futurs systèmes d’IA.

L’enquête est menée conjointement par le Bureau of Industry and Security du département du Commerce, le Defence Criminal Investigative Service et Homeland Security Investigations. Chaque accusé est poursuivi pour association de malfaiteurs en vue de commettre un trafic illicite et pour association de malfaiteurs en vue de violer la loi sur la réforme du contrôle des exportations. Les peines cumulées encourues peuvent dépasser 20 ans de prison. Dans cette affaire, la bataille des puces apparaît aussi comme une guerre discrète de traçabilité, de conformité et de contre-ingérence technologique.

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

 

Un soldat américain au cœur d’un réseau nord-coréen

L’affaire éclaire une faille critique du recrutement à distance américain, où l’usurpation d’identité a ouvert à des informaticiens nord-coréens un accès discret à des entreprises sensibles.

La condamnation d’Alexander Paul Travis, militaire américain en service actif, met en lumière un dispositif clandestin mêlant fraude à l’identité, télétravail et accès distant à des systèmes d’entreprise. Entre 2019 et 2022, cet homme a permis à des informaticiens nord-coréens d’utiliser son nom pour décrocher des postes dans huit sociétés américaines. Deux autres Américains, Jason Salazar et Audricus Phagnasay, ont participé au même schéma. Selon l’accusation, l’opération a généré environ 1,3 million $.

Une fraude d’emploi devenue faille de sécurité

Le dossier jugé en Géorgie raconte moins une simple escroquerie financière qu’un contournement méthodique des contrôles de confiance. Alexander Paul Travis, 35 ans, militaire en service actif stationné à Fort Gordon, a participé au système entre septembre 2019 et novembre 2022. Il a reconnu avoir laissé des informaticiens nord-coréens usurper son identité sur des CV et au cours de procédures de recrutement comprenant des entretiens, des tests antidrogue et des prises d’empreintes digitales.

Ce point est central. Dans un environnement professionnel largement numérisé, l’identité n’est pas seulement un nom sur un contrat. Elle ouvre l’accès aux réseaux, aux outils internes, aux messageries et parfois à des données stratégiques. En laissant son profil servir de façade, Travis a créé un sas d’entrée crédible pour des opérateurs installés à distance. Huit entreprises ont ainsi envoyé des ordinateurs portables à ce faux salarié. Ces machines étaient configurées avec des logiciels permettant un accès distant par les travailleurs nord-coréens.

L’affaire prend alors une dimension cyber nette. Chaque terminal expédié à un employé supposé légitime devient une extension potentielle du système d’information d’une entreprise. Une fois la relation contractuelle établie, la confiance technique suit souvent la confiance administrative. Les postes reçus, les accès fournis et les paiements versés ne relèvent plus seulement d’une tromperie RH. Ils deviennent des vecteurs possibles d’intrusion discrète, d’exfiltration ou de persistance.

Pour sa participation, Travis a touché 47 357 euros. Le tribunal l’a condamné à un an de prison, à trois ans de liberté surveillée et à la restitution de 193 265 $, somme perçue par des Nord-Coréens en son nom. L’écart entre ce qu’il a personnellement gagné et ce qui a circulé via son identité montre que le prête-nom n’était qu’un maillon. La valeur réelle du dispositif se trouvait dans l’accès durable à des emplois américains, à leurs revenus et, potentiellement, à leurs environnements techniques.

 

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

 

Un modèle clandestin structuré et rentable

Travis n’était pas seul. Jason Salazar, 30 ans, de Clovis, et Audricus Phagnasay, 25 ans, de Fresno, ont été condamnés en même temps que lui. Tous trois ont plaidé coupable de complot en vue de commettre une fraude par voie électronique. Eux aussi ont laissé des Nord-Coréens exploiter leur identité et recevoir des ordinateurs portables d’entreprise.

Selon l’accusation, Phagnasay a perçu au moins 3 450 $ et son nom a servi à faire embaucher des informaticiens nord-coréens dans dix entreprises américaines entre 2019 et 2021. Les revenus générés par ces emplois atteignent collectivement 680 000 $. Salazar, de son côté, a reçu 4 500 $ et son identité a permis de produire plus de 400 000 $ entre septembre 2020 et octobre 2022. Les deux hommes ont été condamnés à trois ans de probation et devront restituer les sommes encaissées en leur nom.

L’ensemble du système a rapporté environ 1,3 million $. Le calcul, ici, ne décrit pas seulement l’ampleur financière. Il donne la mesure d’un modèle industriel. Des identités américaines sont prêtées ou louées. Des entretiens sont franchis. Des postes sont obtenus. Des machines sont livrées. Puis le travail est réalisé, ou simulé, à distance depuis l’étranger. À chaque étape, la chaîne repose sur la fragmentation des contrôles entre recruteurs, services de conformité, équipes IT et banques.

Margaret Heap, procureure américaine du district sud de la Géorgie, résume l’enjeu en des termes explicites. Le programme de travailleurs informatiques nord-coréens représente un « défi important pour notre sécurité nationale ». Elle ajoute : « Ces hommes ont pratiquement donné les clés du royaume en ligne à des travailleurs nord-coréens expatriés, probablement des techniciens cherchant à générer des revenus illicites pour le gouvernement nord-coréen – le tout en échange de ce qui leur apparaissait comme de l’argent facile ».

La formule est forte, et le dossier lui donne du poids. Depuis cinq ans, les autorités américaines démantèlent progressivement cette main-d’œuvre informatique clandestine, en perturbant des fermes d’ordinateurs portables et en arrêtant les Américains impliqués. Selon le texte fourni, le régime nord-coréen a ainsi engrangé des centaines de millions de dollars grâce à l’embauche illégale de ses ressortissants par des entreprises américaines et européennes.

Les travaux de chercheurs de Flare et d’IBM renforcent cette lecture. Ils ont mis au jour de nombreux messages et documents internes attribués à ces travailleurs, révélant l’organisation du système et ses hiérarchies. Les informaticiens concernés seraient recrutés dans des universités prestigieuses, soumis à une sélection rigoureuse, puis intégrés à un dispositif présenté comme stratégique pour le pouvoir nord-coréen. Le rapport souligne aussi que de nombreux complices aux États-Unis et en Europe sont approchés via LinkedIn et GitHub. Certains, « volontairement ou non, communiquent leur identité pour être utilisée dans le cadre d’une escroquerie visant à se faire passer pour des travailleurs du secteur informatique ».

 

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.