Archives de catégorie : Fuite de données

backdoor, Cybersécurité, Entreprise, escroquerie, Fuite de données, IOT, Particuliers, Smartphone, Social engineering

Fraude WhatsApp : comment un écran partagé peut vous dérober vos données

Un appel WhatsApp trompeur, une image partagée et voilà vos mots de passe et OTP livrés aux escrocs : une intrigue cyber‑criminelle qui soulève la question de la confiance numérique.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Une nouvelle escroquerie baptisée « WhatsApp Screen Mirroring Fraud », que DataSecurityBreach.fr traduit par « Arnaque par duplication d’écran WhatsApp« , se propage, où des fraudeurs se font passer pour des agents bancaires et usent de l’écran partagé via WhatsApp pour accéder en temps réel aux OTP, mots de passe, données bancaires et documents personnels.

Comment se déploie cette fraude cyber‑criminelle ?

L’histoire commence souvent avec un message d’un prétendu conseiller bancaire ou d’un service client. Sous couvert d’assistance, l’escroc invite la victime à partager son écran via WhatsApp. Manipulé par la confiance et la pression, l’utilisateur active la fonction de partage d’écran pendant un appel vidéo : l’écran devient alors une fenêtre ouverte aux escrocs, qui lisent en temps réel les OTP reçus, mots de passe et autres informations sensibles. Plus rare, un cheval de Troie tel qu’un keylogger est glissé dans l’appareil, capturant tout ce que frappe l’utilisateur. C’est une scène digne d’un film noir, où technologie rime avec espionnage.

Cet incident révèle une faille terriblement exploitée : l’entrée insidieuse de l’escroc dans l’espace personnel numérique, grâce à une technologie pourtant légitime. Ce champ d’action devient un terrain d’espionnage instantané : les fraudeurs peuvent effectuer des transactions frauduleuses dès que l’OTP s’affiche, récupérer des mots de passe, intercepter des communications privées et même usurper l’identité de la victime. En coulisse, le cyber‑renseignement nous rappelle à quel point les interfaces vulnérables peuvent devenir des portes d’entrée.

Se prémunir : une stratégie de sécurité technique et psychologique

Face à cette menace qui n’est pourtant pas nouvelle, adoptez des mesures de défense à la fois techniques et comportementales. Vérifiez systématiquement l’identité de vos interlocuteurs via des canaux officiels ; refusez toute demande de partage d’écran non sollicitée. Activez l’authentification à deux facteurs, maintenez vos systèmes et applications à jour et refusez les installations d’applications provenant de sources inconnues. Ne jamais utiliser vos applications bancaires pendant un partage d’écran. Apprenez à vos proches, surtout les plus vulnérables, à repérer cette menace redoutable.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Chiffrement, Cybersécurité, Entreprise, Fuite de données, Securite informatique

Cyberattaque chez FranceLink : le combat pour la reconstruction

En juillet 2025, FranceLink s’effondre sous une cyberattaque massive. Ce choc marque le début d’un combat acharné pour la survie d’une infrastructure cruciale.

À l’été 2025, FranceLink, prestataire IT français, subit une cyberattaque d’une violence inédite. Contraints de couper tous leurs services pour préserver l’intégrité de ce qui reste, les dirigeants révèlent que des données critiques ont été chiffrées par un groupe malveillant. Si certaines fonctions reviennent peu à peu (comme les emails Office365 ou les sites hébergés en externe), les serveurs internes restent hors d’accès. Face à la gravité de la situation, FranceLink engage des experts en récupération de données et reconstruit son infrastructure dans l’urgence, tout en alertant ses clients sur une faille zero-day liée aux équipements VPN SonicWall. Retour sur une crise cyber aux ramifications techniques et humaines profondes.

L’attaque de l’été : choc initial et premières réponses

Tout commence à la fin du mois de juillet 2025. FranceLink, prestataire de services numériques pour de nombreuses entreprises françaises, est brutalement frappée par une cyberattaque. Le choc est brutal : en quelques heures, l’équipe dirigeante prend une décision radicale mais nécessaire : couper tous les services afin d’éviter une propagation incontrôlée. À ce stade, aucune estimation sur la durée de l’interruption n’est possible. Le mot d’ordre est clair : préserver l’intégrité de ce qui peut encore l’être.

L’attaque s’avère particulièrement sophistiquée. Très vite, l’origine de l’agression est attribuée à un groupe nommé « Akira », dont la spécialité est le chiffrement de données critiques pour ensuite extorquer leurs victimes. Les serveurs de FranceLink sont totalement inaccessibles, et les informations qu’ils contiennent semblent irrémédiablement chiffrées.

La direction communique dès les premiers jours avec une transparence rare dans ce type de crise. Elle annonce avoir restauré une partie de l’infrastructure DNS, permettant ainsi la remise en service des emails (hébergés sur Office365 ou sur d’autres plateformes) ainsi que des sites web externalisés. Toutefois, tout ce qui dépend des serveurs internes reste inaccessible. Il est impossible, à cette étape, de savoir si les données pourront être récupérées.

C’est alors que commence une course contre la montre. FranceLink mobilise une première entreprise spécialisée en récupération de données. Pendant deux semaines, ses experts collaborent avec les équipes internes, jour et nuit, week-end compris. Le résultat, livré le 6 août, est amer : seules quelques données ont pu être restaurées, très insuffisantes pour répondre aux besoins des clients.

La situation est critique. Le 13 août, le standard téléphonique est suspendu pour concentrer toutes les ressources humaines sur la reconstruction. La communication se fait exclusivement via des mises à jour publiques. Une stratégie assumée, à la fois pour maintenir le lien avec les clients et éviter la désinformation.

Reconstruction technique et traque de la vulnérabilité

Dès le 6 août, une nouvelle entreprise est sollicitée pour tenter de récupérer davantage de données. Cette démarche implique des coûts importants (plusieurs dizaines de milliers d’euros), mais FranceLink ne recule devant aucun effort. L’objectif est double : récupérer ce qui peut l’être et, en parallèle, reconstruire rapidement une infrastructure viable.

Les équipes de l’entreprise identifient une possible piste technique sur l’origine de la faille : une vulnérabilité zero-day dans les équipements VPN SSL SonicWall, utilisée dans l’environnement réseau de FranceLink. Cette faille pourrait avoir été exploitée par les assaillants pour pénétrer le système. Bien que SonicWall indique encore être en phase d’investigation, le lien est suffisamment préoccupant pour que FranceLink alerte officiellement ses clients. Ceux-ci sont invités à consulter les alertes de sécurité et à appliquer immédiatement les mesures de protection recommandées.

En parallèle, le chantier de la reconstruction bat son plein. L’enjeu est énorme : rétablir les plateformes clients, mais surtout leur offrir un environnement sain, sécurisé et stable. FranceLink décide alors de créer de nouveaux espaces, entièrement refondus, même s’ils sont, dans un premier temps, dépourvus de données historiques.

Cette décision est stratégique. Elle permet aux clients de reprendre leurs activités, même partiellement, et de se projeter dans une reprise. En parallèle, un formulaire est mis en ligne pour que chaque client puisse indiquer les données les plus critiques à ses yeux. Cette démarche participative permet de prioriser les efforts de restauration, tout en impliquant les victimes dans la résolution.

Au fil des jours, les services reviennent. Les messageries Office365, les sites en développement ou encore les noms de domaine fonctionnent de nouveau. FranceLink documente chaque étape, publie un rapport d’incident détaillé, et tente de rassurer en maintenant une communication factuelle.

Date Événement
29/07/2025 Coupure totale des services de FranceLink suite à une cyberattaque. Standard téléphonique également suspendu.
31/07/2025 Première communication officielle sur la messagerie : deux solutions proposées pour restaurer les emails.
01/08/2025 FranceLink confirme avoir été visée par le groupe de ransomware Akira. Mise en ligne d’un formulaire pour prioriser la restauration.
04/08/2025 Premiers bilans techniques : difficultés majeures à récupérer les données chiffrées malgré le travail des experts.
06/08/2025 Fin de la mission du premier spécialiste de récupération. Quelques données récupérées, mais insuffisantes. Engagement d’un second expert.
Alerte sur une faille zero-day dans les équipements VPN SSL SonicWall, potentiellement à l’origine de l’intrusion.
11/08/2025 Publication d’un rapport d’incident détaillé. FranceLink invite ses clients à en prendre connaissance.
13/08/2025 Mise à jour : standard téléphonique toujours suspendu. FranceLink détaille ses priorités : reconstruction et récupération.
À ce jour Services DNS restaurés. Emails et sites web externalisés refonctionnent. Les serveurs internes restent inaccessibles.

Une crise révélatrice des fragilités systémiques

Au-delà des aspects techniques, cette cyberattaque met en lumière une réalité trop souvent ignorée : la dépendance des entreprises, même modestes, à des infrastructures numériques vulnérables. FranceLink, comme beaucoup d’acteurs du numérique, héberge non seulement des services mais aussi des identités numériques, des archives, des outils métiers critiques. Lorsqu’un acteur de cette chaîne tombe, c’est tout un écosystème qui vacille.

L’attaque d’Akira n’est pas un cas isolé. En 2025, les cyberattaques visant les prestataires IT se multiplient. Elles visent les maillons techniques de la chaîne de confiance, là où la sécurité est supposée être la plus solide, mais où les failles humaines, techniques ou organisationnelles peuvent provoquer des catastrophes systémiques. Le cas FranceLink en est une parfaite illustration. L’alerte autour des équipements SonicWall ajoute une couche d’inquiétude. Si la faille zero-day est confirmée, elle remettrait en question la sécurité de milliers d’infrastructures utilisant cette technologie à travers l’Europe. Dans ce contexte, la proactivité de FranceLink dans l’identification et la diffusion de l’alerte est saluée par une partie de la communauté cyber.

Mais au-delà des conséquences techniques, cette crise a aussi des implications humaines. Les équipes de FranceLink, en première ligne, ont dû affronter l’impossible : gérer la pression de centaines de clients inquiets, reconstruire en urgence, communiquer dans l’incertitude, tout en vivant le deuil numérique d’une infrastructure effondrée. Le silence du standard téléphonique, pendant plusieurs semaines, est un symbole de cette tension. La suite reste encore incertaine. Les tentatives de récupération se poursuivent. Le soutien des clients semble, en partie, tenir. Mais les dégâts sont là : pertes de données, arrêts d’activité, crédibilité ébranlée. Le Service Veille de ZATAZ confirme la menace d’Akira de diffuser d’ici peu 20 Go de données qui auraient été dérobées pendant la cyber attaque !

Cybersécurité, Espionnage Spy, Fuite de données, Justice

Pékin accuse Nvidia : soupçons de backdoors dans les puces IA H20

Nvidia dans le viseur de la Chine : Pékin suspecte ses puces IA H20 d’abriter des backdoors, ravivant la guerre technologique sur fond de cybersurveillance mondiale.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

La Chine vient d’interpeller Nvidia, géant américain des semi-conducteurs, au sujet de présumés backdoors dans ses puces H20 destinées à l’intelligence artificielle locale. Pékin s’appuie sur de nouvelles lois sur la cybersécurité pour exiger transparence et garanties techniques, tandis que Washington impose, de son côté, des restrictions et des mécanismes de contrôle dans les puces exportées. Cet épisode cristallise la montée en puissance des tensions entre les deux superpuissances numériques, où la sécurité, la souveraineté et la capacité de renseignement s’entremêlent. Retour sur les dessous d’un affrontement qui redéfinit les équilibres du cyberespace mondial.

L’ombre du renseignement : Pékin convoque Nvidia

Au matin du 31 juillet 2025, une rumeur parcourt les couloirs feutrés des grandes universités technologiques de Pékin. Dans un communiqué solennel, la Cyberspace Administration of China (CAC), autorité suprême du cyberespace, annonce avoir convoqué l’un des plus puissants fabricants mondiaux de puces d’intelligence artificielle : Nvidia.

La raison officielle ? La présence de « vulnérabilités de sécurité sérieuses » – des backdoors selon l’administration – dans les puces H20, version modifiée et bridée, spécialement conçue pour satisfaire aux exigences américaines en matière d’exportation vers la Chine.

Derrière la formule administrative, la réalité est bien plus explosive. Car depuis 2023, le secteur mondial des semi-conducteurs est l’objet de toutes les tensions, chaque acteur jouant une partie d’échecs à très haut risque, où chaque mouvement peut avoir des conséquences stratégiques majeures.

Washington, dans une course effrénée à la suprématie technologique, a multiplié les restrictions à l’exportation, craignant que ses technologies ne viennent renforcer la puissance militaire et cybernétique chinoise. Mais la diplomatie du silicium ne se limite pas à un simple jeu de barrières douanières. Depuis quelques mois, la législation américaine va plus loin : avec le Chip Security Act, toute puce IA exportée doit embarquer des fonctions de traçage GPS, de localisation et de coupure à distance.

Pour Pékin, c’est une déclaration de guerre numérique à peine voilée.

La cyberguerre dans le silicium : l’art du soupçon et de la riposte

La convocation de Nvidia par les autorités chinoises n’est pas un geste isolé. Elle s’inscrit dans une stratégie globale, où la souveraineté numérique est devenue une priorité nationale. La Chine, qui ne cesse de rappeler son attachement à la « cybersécurité et à la protection des données des utilisateurs », applique strictement ses lois : Cybersecurity Law, Data Security Law et Personal Information Protection Law.

Au centre de l’enquête, une question : les puces H20, qui font tourner nombre d’algorithmes d’intelligence artificielle en Chine, sont-elles vraiment sûres ?

En creux, la peur d’un sabotage à distance. Si les puces américaines comportent effectivement des modules de tracking ou de télécommande, Washington pourrait, en cas de crise, désactiver à volonté une partie de l’infrastructure numérique chinoise. Un scénario digne de la cyberguerre froide, mais qui devient, à la lumière des technologies actuelles, de plus en plus crédible.

La réponse de Nvidia ne s’est pas fait attendre. L’entreprise, par la voix d’un de ses porte-paroles, nie toute présence de backdoor : « La cybersécurité est essentielle pour nous. Nvidia ne place aucune porte dérobée dans ses puces permettant un accès ou un contrôle à distance par un tiers. »

Mais la défiance est tenace, et pour cause : dans le même temps, le marché noir s’empare du sujet. Selon les estimations, pour plus d’un milliard de dollars (environ 920 millions d’euros) de puces Nvidia, parfois des modèles officiellement bannis comme les B200, H10 ou H200, auraient trouvé leur chemin vers la Chine via des circuits parallèles. Kits complets, racks prêts à l’emploi, tout s’arrache sous le manteau – preuve que le besoin de puissance de calcul reste insatiable, quelles que soient les réglementations.

Sécurité nationale, souveraineté et rivalité : le vrai visage de la crise

Ce bras de fer n’est pas qu’une affaire de technique : il symbolise la nouvelle géopolitique du renseignement à l’ère de l’IA. En exigeant de Nvidia la remise de « preuves », de « documents techniques » et d’« explications détaillées », Pékin affiche sa volonté de contrôler la chaîne technologique, mais aussi de démontrer à ses propres acteurs économiques la nécessité d’une indépendance stratégique.

Les failles supposées des puces H20 ne sont en réalité que l’arbre qui cache la forêt. Car malgré les efforts de géants nationaux comme Huawei ou SMIC, la Chine reste encore dépendante, pour les applications de pointe, des technologies américaines. Le lancement du dernier notebook Huawei, salué comme une avancée nationale, a aussi révélé le retard technologique du pays – des générations entières de retard, difficilement comblables sans coopération internationale.

La bataille se joue également sur le terrain du renseignement : dans le cyberespace, tout composant étranger est désormais considéré comme une menace potentielle. L’incertitude est totale. Qui détient vraiment la clé du contrôle de ces puces ? Les circuits imprimés sont-ils de simples outils, ou des armes silencieuses, prêtes à être activées à distance ?

Pour Pékin, la réponse est claire : seule une maîtrise totale de la chaîne technologique, du design à la production, en passant par le contrôle des codes sources, permettra de garantir la sécurité nationale. En attendant, la Chine redouble d’efforts pour stimuler son industrie, investir massivement dans la recherche et l’innovation, et limiter sa dépendance à l’Occident.

Mais la tâche est titanesque. Face à une Silicon Valley toujours à la pointe, les ambitions chinoises se heurtent à des décennies de domination américaine. Le feuilleton des puces Nvidia H20 n’est qu’un épisode de plus dans une série au long cours : celle de la conquête, puis de la sécurisation, du cyberespace mondial.

Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Securite informatique

Dell sous pression : le cyberchantage d’un groupe rebaptisé WorldLeaks tourne court

Dell fait face à une nouvelle tentative de cyberchantage, orchestrée par WorldLeaks, mais assure que les informations volées sont inexploitables. Le climat cyber reste cependant sous haute tension.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Dell Technologies a confirmé une tentative de cyberchantage orchestrée par le groupe WorldLeaks, exfiltrant 1,3 To de données issues de leur environnement de démonstration « Solution Center ». Selon Dell, ces fichiers n’ont aucune valeur, ne contenant ni données sensibles ni informations sur les clients. Cet incident survient dans un contexte de recrudescence des attaques par extorsion de données, un phénomène accentué par le récent « rebranding » de groupes cybercriminels. L’affaire rappelle également une fuite majeure survenue en 2023 ayant impliqué de véritables données clients. Analyse d’un incident révélateur des mutations actuelles dans la cybercriminalité.

Une attaque orchestrée par WorldLeaks : un coup d’épée dans l’eau ?

Le 22 juillet, la scène cybercriminelle bruisse d’une annonce : WorldLeaks, nouvelle appellation d’une ancienne équipe de rançongiciels, revendique l’infiltration du réseau Dell. Les chiffres avancés impressionnent : 1,3 To de données, soit plus de 416 000 fichiers, exfiltrés depuis les serveurs du géant informatique. Leur objectif ? L’extorsion, en menaçant de publier ces informations à moins d’obtenir un paiement.

Dell réagit rapidement, en coupant court à tout vent de panique. Selon l’entreprise, il ne s’agit là que d’ensembles de données synthétiques, stockés dans une zone de test entièrement isolée, sans aucun lien ni avec les clients, ni avec les partenaires, ni avec les opérations en production. La valeur de ces fichiers serait donc nulle, rendant toute tentative de chantage inopérante.

L’enjeu des environnements isolés et la réponse de Dell

Dans un contexte de multiplication des cyberattaques, Dell insiste sur la ségrégation stricte de son « Solution Center », laboratoire conçu pour les démonstrations produits. Cette séparation physique et logique vise à limiter l’impact des brèches potentielles. Les fichiers concernés par l’attaque seraient destinés uniquement à des scénarios de tests, totalement dépourvus d’informations sensibles ou d’identifiants clients.

Contactée par la presse spécialisée, la direction de Dell refuse d’évoquer le montant éventuel des rançons demandées. La seule certitude affichée : aucune information confidentielle n’a filtré. « Comme beaucoup d’autres entreprises, nous travaillons en continu à renforcer nos défenses. La sécurité de nos clients reste notre priorité absolue », martèle le groupe.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

 

L’incident intervient sur fond de souvenirs douloureux : en 2023, Dell avait reconnu le vol de données réelles concernant près de 49 millions de commandes clients, incluant noms, adresses et détails techniques sur les équipements. En mai 2024, une notification officielle avait confirmé la compromission, illustrant la réalité des risques cyber même pour les géants du secteur.

Plus inquiétant encore, cette attaque survient après la dissolution annoncée du groupe Hunters International, qui a profité de sa sortie pour « offrir » aux victimes les clés de déchiffrement de leurs données. Mais, selon les experts, ce départ ne serait qu’un écran de fumée destiné à permettre un repositionnement stratégique. Les cybercriminels, confrontés à la baisse de rentabilité des ransomwares traditionnels, semblent désormais privilégier l’exfiltration et la menace de publication des données.

Analyse : La cyber-extorsion, nouvelle norme ou impasse ?

Le cas Dell illustre la transition du paysage cybercriminel : face à des défenses mieux préparées et des ransomwares de moins en moins rentables, la menace s’oriente vers le vol d’informations et le chantage à la publication. Pourtant, cette tactique n’est pas sans risque pour les attaquants, qui peinent parfois à monétiser des données peu exploitables d’autant plus que certains pays, comme le Royaume-Unis font interdire le moindre paiement lors d’une demande de rançon.

Dell, pour sa part, semble avoir tiré les leçons du passé en compartimentant ses systèmes critiques. Mais l’affaire rappelle que la vigilance reste de mise et que chaque brèche, même anodine, peut devenir une vitrine pour les groupes malveillants en quête de légitimité. Sans parler du risque de fermer boutique comme ce fût le cas, il y a peu, pour un important transporteur de fret.

La tentative de chantage contre Dell, si elle s’avère sans effet immédiat, montre à quel point la cyber-extorsion s’est ancrée dans les pratiques des groupes criminels. L’évolution des méthodes — passage du rançongiciel à la pure exfiltration — témoigne d’une professionnalisation du secteur, mais aussi de la nécessité, pour les entreprises, d’investir en continu dans la cybersécurité et la gestion de crise. La question n’est plus de savoir « si » une attaque aura lieu, mais « quand » — et surtout comment y répondre sans céder à la panique ni à la pression.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Entreprise, Fuite de données

Le casse des capteurs militaires au cœur de la Silicon Valley

Un ingénieur modèle, deux passeports, et un sacré culot. À la clef : un braquage discret mais colossal de secrets militaires américains, orchestré depuis un banal bureau californien.

Un ingénieur à double nationalité, passé par Stanford et la Silicon Valley, a orchestré le vol de plus de 3 600 fichiers confidentiels sur des capteurs et caméras militaires de pointe, destinés à protéger les avions contre les missiles et à surveiller l’espace. Recruté par des programmes chinois visant à rapatrier l’innovation, il a exploité les failles internes de son employeur américain avant d’être démasqué par une enquête numérique. Retour sur un crime aux répercussions internationales, révélateur des enjeux de la guerre technologique et du pillage de la propriété intellectuelle, où un seul individu a mis en péril la sécurité nationale.

Un voleur aux deux passeports : le profil d’un ingénieur discret

Chengguan Gong, 59 ans, incarne la réussite de l’immigration dans la Silicon Valley. Entré aux États-Unis en 1993, formé à Clemson puis à Stanford, il devient citoyen américain en 2011 – tout en conservant sa nationalité chinoise. C’est un spécialiste reconnu des capteurs CMOS et des technologies sensibles, courtisé par des entreprises du secteur militaire.

Derrière cette success story, une ambition plus trouble émerge : dès 2014, Gong commence à postuler aux « programmes de rapatriement de talents » chinois, ces concours subventionnés à coup de centaines de milliers de dollars, destinés à drainer vers Pékin compétences… et secrets industriels.

Entre fin mars et avril 2023, Gong opère à la vitesse de l’éclair. Il copie méthodiquement plus de 3 600 fichiers – plans, schémas, documentation technique – de son poste de travail vers un simple clé USB et deux disques durs. Le timing n’a rien d’anodin : le 5 avril, il signe chez un concurrent direct dans le domaine des capteurs infrarouges. Il intensifie alors les copies, double les sauvegardes sur son ordinateur personnel, et prépare sa fuite numérique.

Son butin ? Des technologies critiques : capteurs capables de protéger des avions contre les missiles à guidage thermique, caméras résistant aux radiations pour l’observation spatiale, et circuits intégrés conçus pour repérer les lancements de missiles et d’objets hypersoniques. Le tout estimé à plusieurs centaines de millions de dollars par la société lésée.

L’affaire Gong révèle un angle mort inquiétant : la porosité entre recherche militaire américaine et programmes étatiques chinois. Entre 2014 et 2022, Gong multiplie les candidatures aux “talent programs” chinois, propose les mêmes technologies que celles développées dans ses fonctions américaines, et finit même demi-finaliste d’un concours… en présentant des photos du matériel de son entreprise.

Ce système de chasse aux cerveaux, installé dès les années 1990 en Chine, offre primes et financements massifs aux ingénieurs expatriés prêts à ramener “leur” expertise. Pour Gong, la récompense : près de 2 800 dollars pour une simple participation, et la promesse de sommes bien plus importantes à la clef.

Les failles internes et la riposte numérique

Gong pensait son stratagème à l’abri derrière la routine du télétravail et un départ “pour raisons familiales”. Mais les équipes IT de son employeur veillent au grain. En mars, un audit interne met au jour des mouvements de fichiers anormaux. L’alerte est donnée, le FBI entre en scène, commence sa surveillance, saisit les supports physiques et découvre l’ampleur de la fuite.

Les preuves sont accablantes. Gong reconnaît les faits, expliquant avoir commencé à copier des documents dès son arrivée aux États-Unis – preuve d’un projet de longue haleine plus qu’un simple “coup d’opportunité”. Accusé d’avoir mis en péril la sécurité nationale, il encourt jusqu’à dix ans de prison.

Analyse : le crime d’un homme seul ou le symptôme d’une guerre invisible ?

Au-delà de l’affaire, c’est tout l’écosystème de la recherche technologique qui tremble. Une simple négligence interne, un employé sous le radar, et la propriété intellectuelle la plus sensible se retrouve potentiellement à disposition d’États concurrents. L’affaire Gong rappelle que la guerre de l’innovation ne se joue plus seulement dans les laboratoires, mais aussi dans les back-offices des entreprises les plus prestigieuses.

La conclusion s’impose : à l’heure de la guerre économique mondiale, la vigilance doit être maximale, la cybersécurité renforcée, et la protection du “capital humain” aussi stratégique que celle des data centers.

Cybersécurité, Entreprise, Fuite de données, Justice

Vodafone sanctionné de 45 millions d’euros pour violations graves de la protection des données

L’autorité allemande de protection des données inflige une amende historique à Vodafone pour des manquements graves liés à des pratiques commerciales frauduleuses et des failles de sécurité.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, l’Union européenne a multiplié les sanctions contre les entreprises ne respectant pas les règles strictes imposées en matière de confidentialité et de sécurité. L’Allemagne, particulièrement vigilante sur ce terrain, vient de frapper fort en sanctionnant Vodafone à hauteur de 45 millions d’euros. En cause, des pratiques commerciales trompeuses menées par des agences partenaires de l’opérateur et des failles importantes dans ses systèmes d’authentification, qui ont exposé les données de ses clients. Une décision qui s’inscrit dans une tendance croissante de surveillance renforcée par les régulateurs européens, soucieux de garantir la confiance numérique des citoyens.

Un double manquement pointé par le régulateur

Le 3 juin 2024, le Bureau fédéral de la protection des données (BfDI), autorité allemande indépendante chargée de veiller au respect du RGPD, a annoncé avoir infligé à Vodafone une amende totale de 45 millions d’euros (51,2 millions de dollars). Cette décision découle de deux types d’infractions distinctes. D’abord, le régulateur a reproché à l’entreprise son absence de contrôle sur les agences de vente partenaires, responsables de pratiques qualifiées de « malveillantes ». Ensuite, il a dénoncé des « failles critiques » dans les procédures d’authentification de Vodafone, qui ont permis à des tiers non autorisés d’accéder à des profils de clients, notamment à travers le système eSIM.

Selon le communiqué publié par le BfDI, l’enquête a révélé que certaines agences partenaires, mandatées pour vendre des services au nom de Vodafone, ont abusé de leur position. Elles auraient manipulé les contrats, falsifié des données clients ou modifié les termes sans consentement, dans le but d’atteindre des objectifs commerciaux.

La seconde infraction, bien plus lourde sur le plan financier, concerne les mécanismes d’authentification utilisés par Vodafone dans son portail en ligne et via sa hotline. Le BfDI estime que ces systèmes présentaient des vulnérabilités importantes qui ont facilité l’accès non autorisé à des données personnelles sensibles.

« Les failles découvertes permettaient notamment à des tiers d’accéder illégalement aux profils eSIM des utilisateurs« , a précisé l’autorité dans son communiqué.

Cette deuxième série de manquements a justifié une sanction de 30 millions d’euros (34 millions de dollars), les services de l’État considérant que Vodafone n’avait pas pris les mesures minimales nécessaires pour garantir la confidentialité des informations. Or, le RGPD exige des entreprises qu’elles mettent en œuvre des technologies et des protocoles de sécurité rigoureux, dès la conception de leurs produits et services.

Réactions et mesures correctives

Face à ces accusations, Vodafone a reconnu des insuffisances dans ses systèmes de protection des données. Dans un communiqué publié le jour même de la sanction, l’entreprise a exprimé ses regrets et a indiqué avoir revu en profondeur ses procédures internes.

« Les actions des agences partenaires ont révélé des lacunes dans nos contrôles de protection des données« , a déclaré un porte-parole de Vodafone. « Nous regrettons que des clients aient été impactés négativement« .

« Les systèmes et les mesures en place à l’époque se sont révélés insuffisants« , ajoute l’entreprise, affirmant que la nouvelle direction a fait de la protection des données une priorité absolue.

Depuis le début de l’enquête menée par le BfDI, Vodafone affirme avoir renforcé de manière significative ses mesures de sécurité. Des audits internes ont été menés et des mécanismes d’authentification plus robustes ont été déployés sur ses plateformes. Le régulateur a confirmé que des « progrès notables » ont été constatés dans les mois ayant suivi le début de la procédure.

Cette sanction contre Vodafone s’inscrit dans un contexte européen marqué par une augmentation significative des sanctions liées à la protection des données personnelles. Les autorités européennes, coordonnées par le Comité européen de la protection des données (EDPB), appliquent désormais avec rigueur les dispositions du RGPD.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

En mai 2023, Meta avait été condamnée à une amende record de 1,2 milliard d’euros (1,37 milliard de dollars) pour des transferts de données jugés non conformes entre l’Union européenne et les États-Unis. Uber, de son côté, a écopé d’une sanction de 290 millions d’euros (330 millions de dollars) pour avoir transféré des données de conducteurs sans garanties suffisantes.

Pour Louisa Specht-Riemenschneider, la commissaire fédérale allemande à la protection des données, cette vigilance accrue est essentielle pour préserver la confiance du public. « La protection des données est un facteur de confiance pour les utilisateurs de services numériques et peut devenir un avantage concurrentiel », a-t-elle souligné dans un communiqué.

La responsable insiste également sur l’importance de la prévention, affirmant que « les entreprises doivent être en mesure de respecter la législation en matière de protection des données avant même que les violations ne surviennent ».

Une surveillance qui s’intensifie

L’affaire Vodafone illustre clairement les attentes grandissantes des régulateurs à l’égard des multinationales. Si la répression devient plus visible, c’est aussi parce que la société numérique génère des volumes de données toujours plus importants, augmentant ainsi les risques d’exploitation abusive ou de compromission.

En Allemagne, le BfDI multiplie depuis deux ans les contrôles sectoriels, notamment dans les télécommunications et les services bancaires. Ces secteurs traitent quotidiennement des données hautement sensibles, allant des informations d’identification jusqu’aux transactions financières. Toute faille ou dérive dans la gestion de ces données expose les entreprises à des sanctions sévères.

Vodafone, présent dans plus de 20 pays, n’est pas à sa première controverse en matière de gestion des données. En 2019, l’opérateur avait déjà été interpellé en Italie pour avoir laissé des agents commerciaux sous-traitants démarcher illégalement des clients, ce qui avait entraîné une sanction de 12 millions d’euros par le Garante per la protezione dei dati personali.

La répétition de ces incidents montre que la gestion des partenaires externes représente un maillon faible pour les grandes entreprises opérant dans plusieurs juridictions. C’est d’ailleurs un point d’attention majeur dans les audits RGPD, qui insistent sur la nécessité de responsabiliser l’ensemble de la chaîne de traitement des données, sous-traitants compris.

Un avertissement pour l’ensemble du secteur

Avec cette nouvelle sanction, le message du BfDI est clair : les entreprises qui ne surveillent pas leurs partenaires ou qui négligent la sécurité des données encourent des conséquences financières lourdes. Au-delà du montant de l’amende, c’est aussi l’image de l’entreprise qui en sort écornée, dans un contexte où la protection des données est devenue un critère de différenciation pour les consommateurs.

Les prochains mois diront si Vodafone parvient à restaurer la confiance et à faire oublier cet épisode. Pour l’heure, l’entreprise affirme avoir « fondamentalement revu ses systèmes et processus« , tout en assurant que la protection des données est désormais « une priorité de la direction« . Reste à savoir si ces mesures suffiront à prévenir de nouveaux incidents.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Cyber-attaque, Fuite de données, Piratage

Dracula : une machine bien huilée siphonne les données de millions d’utilisateurs

Un clic, une carte volée. Derrière chaque lien frauduleux, une machine bien huilée siphonne les données de millions d’utilisateurs à travers le monde.

Depuis 2023, une opération de cyberfraude d’une ampleur inédite s’est déployée dans l’ombre, orchestrée à travers une plateforme méconnue du grand public : Darcula. En seulement sept mois, ce système automatisé et tentaculaire a permis à des cybercriminels de subtiliser les données de près de 884 000 cartes de paiement, en attirant plus de 13 millions d’internautes vers des pages frauduleuses. Son fonctionnement repose sur un service de phishing par abonnement, qui fournit à ses clients une panoplie complète d’outils pour escroquer à grande échelle. L’arme principale : des SMS déguisés en notifications administratives ou livraisons fictives. Ce nouveau visage du phishing, plus crédible et insidieux que jamais, expose les failles d’un monde numérique où la géographie ne protège plus personne.

Ce qui distingue Darcula des vagues de phishing classiques, c’est son degré d’industrialisation. La plateforme ne se contente pas de fournir un kit de base pour escrocs du dimanche. Elle propose une véritable infrastructure clé en main, avec interface utilisateur, tableau de bord centralisé, et une assistance technique digne des services professionnels. En clair, tout individu doté d’un minimum de compétences peut, contre un abonnement, devenir opérateur de cette fraude planétaire. Cette démocratisation de la cybercriminalité à grande échelle brouille les pistes et rend la lutte d’autant plus complexe pour les autorités.

L’étude conjointe réalisée par des médias spécialisés et la société norvégienne Mnemonic a révélé une cartographie saisissante de ce système globalisé. Actif dans plus de cent pays, Darcula exploite près de 20 000 domaines frauduleux qui usurpent les marques les plus connues, des opérateurs téléphoniques aux services postaux, en passant par les banques et plateformes de commerce en ligne. Ces domaines sont utilisés pour piéger les internautes via des messages bien ficelés, envoyés en masse grâce à des fermes SIM automatisées et des modems configurés pour inonder le monde de fausses alertes.

Darcula s’appuie sur un écosystème sophistiqué de 20 000 faux domaines actifs, capables d’imiter à la perfection les plus grandes marques mondiales.

L’un des éléments centraux de l’opération est un framework malveillant baptisé Magic Cat, une structure logicielle modulaire conçue pour générer automatiquement des pages de phishing personnalisées. Ce code, qui permet une mise en ligne rapide de faux sites imitant n’importe quel service légitime, serait l’œuvre d’un développeur chinois originaire du Henan. Bien que l’entreprise à laquelle il est affilié ait démenti toute implication, arguant qu’elle se contente de créer des outils de webdesign, la chronologie des événements suggère une autre réalité. Peu après ces déclarations publiques, une nouvelle version de Magic Cat a refait surface sur le darknet, dotée de fonctionnalités encore plus avancées.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

La force de Darcula réside également dans sa capacité à évoluer. En février 2025, la plateforme s’est enrichie de services inédits, tels que la création de cartes bancaires virtuelles ou encore l’intégration de modes furtifs. Mais c’est en avril de cette même année qu’un cap technologique a été franchi avec l’introduction d’un réseau neuronal génératif. Ce dernier permet de produire, en quelques secondes, des scénarios de fraude hautement personnalisés, dans n’importe quelle langue, adaptés à la culture, au contexte économique et aux habitudes numériques de la cible.

Ce raffinement des méthodes a pour conséquence directe un taux de conversion dramatique : les victimes ne se doutent de rien, même après avoir cliqué, tant l’illusion est parfaite. Ce n’est qu’une fois leur compte vidé ou leur carte bloquée qu’elles découvrent l’étendue du piège. Les escrocs, eux, disposent d’un canal de revente sécurisé et de circuits de blanchiment anonymes, rendus possibles par les crypto-monnaies et des places de marché fermées sur Telegram.

Le réseau Darcula s’appuie sur des IA génératives pour produire des campagnes de phishing localisées, parfaitement adaptées à chaque cible.

Sur ces forums clandestins, des échanges constants ont été observés : tutoriels pour novices, résultats financiers partagés en captures d’écran, ventes de lots de données bancaires, ou encore recommandations de fournisseurs pour le matériel logistique. Parmi les images récupérées par les chercheurs, on retrouve des photographies de véritables usines de fraude, avec rangées de modems, ordinateurs alignés, et cartes SIM empilées par centaines. Cette réalité, longtemps cantonnée à la fiction cyberpunk, est désormais bien tangible.

Les chercheurs ont pu identifier environ 600 opérateurs ayant utilisé les services de Darcula. Une grande partie d’entre eux opèrent par proxy, en sous-traitant certaines fonctions ou en revendant les accès à des tiers, ce qui complexifie encore le travail des enquêteurs. Malgré cela, tous les éléments collectés ont été transmis aux services de police internationaux, notamment Europol et Interpol, dans l’espoir de remonter la chaîne de responsabilités. Mais dans un monde où un simple clic peut franchir des frontières, où les attaques proviennent d’ordinateurs fantômes répartis sur cinq continents, la réponse judiciaire reste lente et inadaptée à la fluidité des cyberattaques.

Pour les entreprises et les particuliers, le principal levier de défense reste la vigilance. Aucun antivirus, aussi sophistiqué soit-il, ne peut empêcher un utilisateur de cliquer sur un lien s’il pense qu’il provient de sa banque ou d’un service de livraison. C’est là toute la perversité du système Darcula : il n’exploite pas une faille technique, mais humaine. Le doute, l’urgence, la peur de la sanction ou l’attente d’un colis sont des émotions que l’algorithme sait activer au bon moment, avec la bonne formulation.

À mesure que les frontières entre réalité et simulation s’estompent, il devient plus difficile de distinguer le vrai du faux. L’industrialisation du phishing, soutenue par des intelligences artificielles toujours plus persuasives, marque une rupture dans l’histoire de la cybersécurité. Elle démontre que la guerre numérique ne se joue plus entre des experts cachés dans l’ombre, mais entre chaque individu connecté et des systèmes conçus pour le tromper, jusqu’au moindre détail.

Reste à savoir comment les États, les entreprises et les citoyens parviendront à reprendre le contrôle de cet espace numérique devenu si vulnérable. La question est d’autant plus cruciale que des plateformes comme Darcula ne cessent de se perfectionner, chaque mois, dans une course à l’efficacité et à l’invisibilité. Dans un avenir proche, verrons-nous apparaître des campagnes de fraude totalement automatisées, adaptables en temps réel au profil psychologique de chaque cible ?

Et si la prochaine guerre mondiale ne se faisait plus sur terre, ni dans l’espace, mais par message interposé, à travers des clics silencieux et invisibles ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Fuite de données

Piratage et fuite de données pour Sourcegraph

Un incident de sécurité majeur a secoué récemment Sourcegraph, la plateforme de développement utilisée par d’importantes entreprises telles qu’Uber, Reddit, Dropbox, et bien d’autres. Un hacker inconnu a réussi à obtenir un accès administratif à Sourcegraph AI, provoquant un véritable remue-ménage.

Diego Comas, le responsable de la sécurité de Sourcegraph, a révélé que le pirate informatique avait exploité un incident malheureux survenu le 14 juillet de cette année, même si l’attaque elle-même a été exécutée plus tard, le 28 août. La faille découle de la diffusion accidentelle d’un jeton d’accès administrateur dans une pull request. En utilisant ce jeton, le hacker a pu élever son propre compte au rang d’administrateur, ouvrant ainsi les portes du système Sourcegraph.

L’attaquant, ou un collaborateur potentiel, a ensuite développé une application proxy ingénieuse, permettant aux utilisateurs d’accéder directement à l’API Sourcegraph et d’utiliser le puissant modèle de langage Large Language Model (LLM). L’idée était de pousser les utilisateurs à créer des comptes gratuits sur Sourcegraph.com, de générer des jetons d’accès, puis de solliciter l’attaquant pour augmenter leurs privilèges.

L’incident a été repéré rapidement, dès le jour de l’attaque, grâce à une augmentation soudaine de l’utilisation de l’API. L’attrait d’un accès gratuit à l’API Sourcegraph a attiré de nombreuses personnes, conduisant à une croissance exponentielle des utilisateurs de l’application proxy.

Diego Comas explique : « L’application et les instructions d’utilisation se sont rapidement répandues sur Internet, collectant environ 2 millions de vues. Au fur et à mesure que de plus en plus d’utilisateurs découvraient l’application proxy, ils créaient des comptes gratuits sur Sourcegraph.com, ajoutaient leurs jetons d’accès et accédaient illégalement à l’API Sourcegraph. »

Il a également été révélé que, pendant l’attaque, le pirate informatique a eu accès à certaines informations client de Sourcegraph, telles que leurs clés de licence, noms et adresses e-mail (pour les utilisateurs de la version gratuite, uniquement les adresses e-mail).

Cependant, il est crucial de noter que cette attaque n’a pas exposé de données sensibles des clients, comme des informations personnelles, des mots de passe ou des noms d’utilisateur. Sourcegraph a affirmé que ces données étaient « isolées » dans des environnements sécurisés.

Dès la découverte de l’attaque, l’équipe de Sourcegraph a pris des mesures immédiates pour contenir la menace. Ils ont désactivé le compte de l’attaquant, temporairement restreint l’utilisation de l’API pour les utilisateurs de la version gratuite, et modifié les clés de licence potentiellement compromises lors de l’incident.

backdoor, Cybersécurité, Fuite de données

Fuite de données : le gouvernement Suisse s’inquiète !

Le gouvernement suisse a récemment averti la population que des données opérationnelles gouvernementales pourraient avoir été compromises lors d’une attaque visant une société informatique. Cette attaque, revendiquée par le groupe de rançongiciels Play, a visé Xplain, une société suisse fournissant des services à plusieurs agences fédérales du pays.

Selon le gouvernement suisse, les données opérationnelles de l’administration fédérale pourraient également avoir été affectées par cette attaque de rançongiciels. Des données volées ont été publiées sur le darknet, suscitant des inquiétudes quant à la sécurité des informations sensibles. Les agences gouvernementales concernées sont actuellement en train de déterminer l’ampleur de l’impact et les unités spécifiques touchées. Bien que des détails plus précis sur les types de données volées et leur contenu n’aient pas été divulgués, il est crucial de comprendre si des informations personnelles de citoyens ou d’employés gouvernementaux ont été compromises.

Suite à cette attaque de rançongiciels, Xplain a immédiatement informé le Centre national de cybersécurité (NCSC) et a signalé l’infraction pénale à la police cantonale de Berne. Le NCSC travaille en étroite collaboration avec Xplain et les procureurs pour résoudre cette affaire et assurer la sécurité des données gouvernementales. Jusqu’à présent, aucune preuve n’indique que les pirates ont tenté d’accéder aux systèmes fédéraux pendant leur attaque contre Xplain.

Concentration des risques et leçons à tirer

Les autorités suisses ont critiqué la décision d’autoriser plusieurs agences gouvernementales à utiliser le même fournisseur informatique, soulignant qu’une certaine concentration des risques est compensée par une meilleure rentabilité. Cependant, ils soulignent également que le nombre limité d’entreprises capables de fournir les services requis rend difficile l’adoption d’une approche plus diversifiée. Il est crucial de noter que l’utilisation de plusieurs fournisseurs entraîne des interfaces et des échanges de données supplémentaires, augmentant potentiellement le risque d’incidents de sécurité. Cette situation souligne l’importance de mettre en place des mesures de sécurité robustes et de revoir les politiques de gestion des fournisseurs pour réduire les vulnérabilités potentielles.

L’attaque de rançongiciels en Suisse non liée à une récente attaque DDoS contre le parlement

En plus de l’attaque de rançongiciels qui a compromis des données gouvernementales en Suisse, le gouvernement a également tenu à clarifier que cette attaque n’était pas liée à une récente attaque par déni de service distribué (DDoS) contre le parlement du pays. Les autorités suisses ont attribué cette attaque DDoS au groupe de piratage NoName, qui a émergé après l’invasion de l’Ukraine par la Russie et a ciblé les gouvernements de plusieurs pays européens avec des centaines d’attaques DDoS.

Confirmation de l’attaque DDoS contre les sites web gouvernementaux

Dans une déclaration distincte, le gouvernement suisse a confirmé que plusieurs sites web de l’administration fédérale ont été mis hors ligne en raison de l’attaque DDoS. Cependant, les spécialistes de l’administration fédérale ont rapidement détecté cette attaque et sont en train de prendre des mesures pour rétablir l’accessibilité des sites web et des applications affectés dans les plus brefs délais. Il est crucial de garantir la disponibilité et la sécurité des systèmes gouvernementaux pour maintenir les services essentiels et préserver la confiance des citoyens.

Cybersécurité, Fuite de données

Exploitation d’une faille zero-day dans MOVEit Transfer

Des hackers exploitent une nouvelle vulnérabilité zero-day affectant un outil populaire de transfert de fichiers, MOVEit Transfer, utilisé par des milliers de grandes entreprises.

MOVEit Transfer, un outil a été créé par Progress Software, a publié un avis sur une faille 0Day utilisé contre son logiciel et les usagers. « Il a été découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement. Si vous êtes un client de MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates telles que décrites afin de protéger votre environnement MOVEit Transfer, en attendant que notre équipe publie un correctif », a déclaré l’entreprise.

La société a exhorté les clients à désactiver tout le trafic HTTP et HTTPS vers leur environnement MOVEit Transfer. Elle a également indiqué que les clients devraient être vigilants quant aux téléchargements de fichiers inattendus et volumineux, ainsi qu’à la création de fichiers inattendus dans certains dossiers sur toutes leurs instances MOVEit Transfer, y compris les sauvegardes.
La société a déclaré que des correctifs pour la faille sont actuellement en cours de test et seront publiés dès que possible.

Caitlin Condon, directrice principale de la recherche sur les vulnérabilités chez Rapid7, a déclaré qu’au 31 mai 2023, il y avait environ 2 500 instances de MOVEit Transfer exposées sur Internet public, la majorité étant aux États-Unis.

Le chercheur en cybersécurité Kevin Beaumont a partagé des images d’au moins une instance connectée au Département de la Sécurité Intérieure des États-Unis. « Chaque instance en ligne est toujours vulnérable. Cela inclut certaines grandes banques, etc. – Les webshells ont commencé à être implantés il y a quelques semaines, plusieurs incidents se sont produits dans différentes organisations pendant cette période où des activités ont été détectées.« 

Condon a expliqué qu’il y avait des preuves que les hackers avaient déjà automatisé l’exploitation de la faille, et BleepingComputer a rapporté que les hackers ont déjà commencé à télécharger en masse des données provenant des entreprises affectées. L’attaque contre MOVEit serait la dernière en date visant un outil populaire de transfert de fichiers utilisé par de grandes organisations cette année.

En février 2023, des groupes de ransomwares, dont Cl0p, ont exploité une vulnérabilité affectant le produit de transfert de fichiers GoAnywhere MFT de Fortra. Les gouvernements de Toronto et de Tasmanie avaient été touchés par cet incident, aux côtés de géants de l’entreprise tels que Proctor & Gamble, Virgin et Hitachi. Une faille pourtant corrigée 1 an auparavant.

Le groupe de ransomwares derrière cette exploitation, Cl0p, était déjà responsable d’une attaque généralisée contre un autre outil de transfert de fichiers en 2021, Accellion. A l’époque, l’Université du Colorado, Kroger, Morgan Stanley et Shell avaient été impactés.