Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

La CNIL durcit le ton en 2025, amendes record

En 2025, la CNIL a tranché 259 fois, avec 83 sanctions et près de 486,8 millions d’euros d’amendes. Derrière ces chiffres, une pression nette sur les traceurs, la surveillance au travail et la sécurité.

La CNIL dresse un bilan 2025 marqué par 259 décisions, dont 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Les sanctions totalisent 486 839 500 euros, réparties entre 78 amendes, des injonctions sous astreinte, trois liquidations d’astreinte et deux rappels à l’ordre, avec dix décisions rendues publiques. Les cookies et traceurs restent un front prioritaire, avec 21 sanctions et deux amendes majeures à 325 millions et 150 millions d’euros. La CNIL cible aussi la vidéosurveillance des salariés, les sous-traitants et, via les mises en demeure, l’aide sociale à l’enfance et les services en ligne utilisés par des mineurs.

Cookies, traceurs, et l’illusion du consentement

Le chiffre frappe d’emblée : 486 839 500 euros d’amendes cumulées pour 83 sanctions en 2025. Ce total n’est pas qu’un record comptable, il raconte une ligne de conduite. La CNIL veut faire comprendre qu’un bandeau de cookies mal conçu n’est plus une “erreur de paramétrage”, mais un dispositif qui peut priver l’internaute d’un choix réel. Sur l’année, 16 sanctions ont été rendues par la formation restreinte, dans la procédure dite ordinaire, tandis que 67 ont été décidées dans le cadre simplifié instauré en 2022, par le président de la CNIL ou un membre de cette formation. Le message est simple : l’arsenal existe, il est utilisé, et il va vite.

Dans le détail, le paquet de sanctions comprend 78 amendes, dont 27 assorties d’injonctions sous astreinte. À cela s’ajoutent trois décisions de liquidation d’astreinte, autrement dit le paiement exigé quand un organisme n’exécute pas l’ordre donné dans une sanction précédente, et deux rappels à l’ordre. Dix décisions ont été rendues publiques, un levier de réputation que l’autorité active quand l’exemplarité devient un outil de conformité.

La bataille la plus lisible reste celle des cookies et autres traceurs. Cinq ans après ses lignes directrices et ses recommandations, la CNIL a poursuivi son plan d’action et ses contrôles ont mis au jour des non-conformités. Vingt-et-un acteurs ont été sanctionnés pour des manquements variés : dépôt de traceurs sans consentement, informations trop pauvres pour permettre un accord éclairé, refus de l’utilisateur ignoré, ou retrait du consentement rendu inopérant. L’enjeu, souligné par les décisions, tient à l’asymétrie : des données peuvent être collectées et exploitées sans que la personne s’en rende compte, ou sans qu’elle puisse réellement s’y opposer.

Le durcissement s’incarne surtout dans deux amendes massives, à 325 millions et 150 millions d’euros. L’argument de l’autorité est frontal : les règles ne sont plus nouvelles, la CNIL dit avoir largement communiqué dessus depuis des années, et les acteurs concernés ne pouvaient pas prétendre les découvrir. Derrière la conformité juridique, c’est un sujet de renseignement économique et d’influence qui affleure : maîtriser les traceurs, c’est maîtriser les flux de données qui alimentent le profilage, la mesure d’audience, le ciblage et, parfois, des chaînes de sous-traitance difficiles à cartographier.

Surveillance au travail, sous-traitants et sécurité des données

Un autre terrain révèle la même tension entre sécurité et contrôle : la vidéosurveillance des salariés. En 2025, 16 organismes ont été sanctionnés pour non-respect du cadre applicable. La CNIL rappelle une limite : en dehors de circonstances exceptionnelles, par exemple liées à des exigences particulières de sûreté ou à la lutte contre le vol, une captation vidéo permanente constitue une atteinte aux données personnelles. Filmer en continu des caissiers ou des bureaux, c’est transformer l’outil de protection en instrument de suivi. Plus sensible encore, les caméras dissimulées ne peuvent être tolérées qu’à titre exceptionnel, et seulement si l’équilibre est respecté entre l’objectif poursuivi, protéger biens et personnes, et la vie privée des salariés.

La CNIL insiste aussi sur un point souvent sous-estimé dans les organisations : la responsabilité des sous-traitants. Au-delà des dossiers cookies et vidéosurveillance, la formation restreinte a sanctionné des manquements aux obligations liées aux données confiées. Le rappel est net : mettre en place des mesures techniques et organisationnelles adaptées au niveau de risque, n’agir que sur instruction du responsable de traitement, et effacer les données à la fin de la relation contractuelle. Ici, la dimension cyber est immédiate : une chaîne de sous-traitance mal gouvernée élargit la surface d’attaque, multiplie les comptes, les accès, les copies, et rend l’incident plus probable comme plus opaque.

La procédure simplifiée, elle, dessine une typologie des fautes répétées. Trois motifs dominent en 2025 : sécurité insuffisante, absence de coopération avec la CNIL, et non-respect des droits des personnes. Quatorze organismes ont été épinglés pour ne pas avoir déployé toutes les mesures nécessaires à la confidentialité, avec des exemples concrets comme des mots de passe trop faibles ou des comptes partagés entre utilisateurs. Quatorze autres ont été sanctionnés pour n’avoir pas répondu aux sollicitations de la CNIL. Enfin, quatorze décisions visent la mauvaise prise en compte de demandes d’effacement, d’opposition ou d’accès, là où le RGPD impose une mécanique de réponse traçable.

La prospection, commerciale comme politique, n’échappe pas au contrôle : dix sanctions concernent des opérations de démarchage. La CNIL rappelle que la prospection électronique requiert le consentement, qu’il s’agisse d’envoi direct ou de transmission des données à des partenaires. Elle a aussi sanctionné cinq candidats aux élections européennes et législatives de 2024, en soulignant l’obligation de pouvoir prouver la licéité des messages envoyés.

À côté des sanctions, 143 mises en demeure structurent la prévention sous contrainte. Plusieurs concernent l’aide sociale à l’enfance, avec des manques sur la conservation des dossiers de mineurs, l’information des personnes, la gestion des habilitations et des mots de passe, la tenue du registre des traitements, ou encore la réalisation d’une analyse d’impact. D’autres visent des sites qui déposaient des traceurs sans offrir un refus simple, ou sans respecter le retrait du consentement. Enfin, des applications mobiles et des jeux en ligne, dont une part importante des usagers sont mineurs, ont été mis en demeure de renforcer le contrôle de l’âge et d’améliorer la transparence.

Dans tous les cas, la CNIL verrouille un principe souvent oublié : les amendes, qu’elles touchent le public ou le privé, sont recouvrées par le Trésor public et versées au budget de l’État.

Au fond, ce bilan 2025 décrit une même logique de cyber-renseignement : réduire les angles morts de la donnée, là où se nichent à la fois le risque d’attaque et la tentation de surveiller.

Blanchiment crypto, la filière chinoise au cœur de 2025

En 2025, des réseaux de blanchiment sinophones ont déplacé 16,1 milliards de dollars de crypto illicite. Chainalysis décrit une industrie agile, dopée par Telegram et des places de marché, malgré sanctions et fermetures.

Ce rapport affirme que des réseaux chinois de blanchiment d’argent ont transféré 16,1 milliards $ (14,8 milliards d’euros) de cryptomonnaies illicites en 2025, soit 44 millions $ (40,5 millions d’euros) par jour. L’étude estime aussi que 82 milliards $ (75,4 milliards d’euros) ont été blanchis sur blockchain en 2025, contre 10 milliards $ (9,2 milliards d’euros) en 2020. Ces groupes, de plus en plus professionnalisés, recrutent via Telegram et utilisent des plateformes de « garantie » façon séquestre. Malgré des sanctions américaines visant Huione et la pression cambodgienne, l’offre se déplace, sans disparaître.

Une industrie du blanchiment devenue « service »

Les chiffres posent le décor, et ils racontent une bascule. Les réseaux chinois de blanchiment traitent désormais environ 20 % de l’ensemble des fonds illicites en cryptomonnaies. En 2025, ils auraient blanchi 44 millions $ (40,5 millions d’euros) par jour, totalisant 16,1 milliards $ (14,8 milliards d’euros). Sur l’année, l’entreprise d’analyse estime à 82 milliards $ (75,4 milliards d’euros) le volume de crypto blanchie sur la blockchain, quand 2020 n’en comptait « que » 10 milliards $ (9,2 milliards d’euros). Conversion indicative, calculée avec un taux arrondi de 1 $ = 0,92 € : le but est de donner un ordre de grandeur comparable, pas un cours exact.

Derrière ces montants, une mécanique qui ressemble de moins en moins à un bricolage criminel, et de plus en plus à une offre structurée. Ces groupes font la promotion de leurs services dans une multitude de canaux Telegram, où l’on trouve, au milieu du bruit, une promesse centrale : faire circuler vite, et à coût maîtrisé. Ils s’appuient aussi sur des plateformes de « garantie », des marchés qui offrent une protection type séquestre, et qui permettent à un client et à un blanchisseur de se connecter presque instantanément.

Le propos de Tom Keatinge, directeur du Centre pour la finance et la sécurité du Royal United Services Institute, résume l’angle renseignement : « Très rapidement, ces réseaux se sont transformés en opérations transfrontalières de plusieurs milliards de dollars offrant des services de blanchiment d’argent efficaces et rentables qui répondent aux besoins des groupes criminels transnationaux organisés en Europe et en Amérique du Nord ». Autrement dit, une chaîne logistique financière, pensée pour absorber les flux issus d’arnaques et de cyberattaques, puis les réinjecter ailleurs.

Sanctions, migrations et zones grises opérationnelles

La répression, elle, ne manque pas d’épisodes, mais elle ressemble à une course de vitesse. La pression exercée sur les services de « garantie » a provoqué des déplacements plutôt qu’un effondrement. L’entreprise cite notamment les sanctions du Trésor américain contre le groupe Huione basé au Cambodge, la suppression de certaines chaînes Telegram associées, puis la révocation de la licence par le gouvernement cambodgien. Effet observé : les vendeurs et intermédiaires migrent vers d’autres plateformes pour continuer à faire connaître leurs services.

Sur le plan des méthodes, un éventail qui recoupe la cybercriminalité moderne : des mules financières, et des services de blanchiment tels que Black U, présentés comme spécialisés dans le nettoyage de cryptomonnaies dérobées via piratages, exploitation de failles, escroqueries et autres délits numériques. Le rapport évoque aussi des services d’échange capables de convertir les cryptos en différents actifs, un schéma décrit comme courant chez des criminels d’Asie du Sud-Est et de Corée du Nord. Cette capacité de conversion est un point sensible : elle transforme un butin numérique, traçable par nature, en valeur plus difficile à suivre, donc plus utile pour financer d’autres opérations.

Les réseaux chinois de blanchiment traiteraient environ 10 % des fonds volés dans les escroqueries dites d’« abattage illégal de porcs », souvent menées par des groupes criminels transnationaux actifs en Asie du Sud-Est. Puis, la focale se resserre sur des dossiers judiciaires. En octobre, le Trésor américain a sanctionné le conglomérat cambodgien Prince Group, son président, le ressortissant chinois Chen Zhi, et des associés, pour une vaste escroquerie en ligne présumée, avec plus de 100 sociétés écrans dédiées au blanchiment. Le texte mentionne des avoirs en bitcoins évalués à 15 milliards $ (13,8 milliards d’euros), saisis par le département de la Justice, et une arrestation suivie d’une extradition vers la Chine en janvier.

Enfin, un signal judiciaire vient rappeler que la chaîne de blanchiment a des exécutants identifiables. Mardi, Jingliang Su, ressortissant chinois, a été condamné aux États-Unis à 46 mois de prison pour son rôle dans le blanchiment de fonds issus d’escroqueries financières opérées depuis le Cambodge. Il était le neuvième participant de ce dispositif à plaider coupable, un système ayant traité 36,9 millions $ (33,9 millions d’euros) volés à 174 Américains.

Dans la guerre des flux, l’enjeu cyber-renseignement est simple : suivre l’argent à la vitesse des plateformes, avant qu’il ne change de forme. (Étude)

La CNIL sanctionne une publicité ciblée sans consentement valable

Données de fidélité détournées, information défaillante et sécurité insuffisante, la CNIL inflige une lourde sanction financière pour rappeler les règles encadrant la publicité ciblée sur les réseaux sociaux.

En janvier 2023, la CNIL a mené plusieurs contrôles auprès d’une société utilisant les données de son programme de fidélité à des fins de publicité ciblée sur un réseau social. Depuis février 2018, les adresses électroniques et numéros de téléphone de plus de 10,5 millions de personnes avaient été transmis afin d’afficher des publicités personnalisées. À l’issue de l’enquête, la formation restreinte de la CNIL a prononcé une amende de 3,5 millions d’euros pour plusieurs manquements au RGPD et à la loi Informatique et Libertés. La décision, adoptée en coopération avec 16 autorités européennes, met en lumière les risques juridiques et cyber liés à l’exploitation des données marketing à grande échelle.

Une exploitation massive des données de fidélité

Les contrôles réalisés par la CNIL ont mis en évidence une pratique installée dans la durée. Depuis février 2018, la société concernée transmettait les coordonnées électroniques des membres de son programme de fidélité à un réseau social. Ces informations permettaient d’afficher des publicités ciblées visant à promouvoir les produits vendus par l’entreprise. Le traitement portait sur un volume très important de données, concernant plus de 10,5 millions de personnes.

À l’issue de l’enquête, la formation restreinte, organe chargé des sanctions, a estimé que plusieurs obligations essentielles n’étaient pas respectées. Elle a prononcé une amende de 3,5 millions d’euros, un montant justifié par la gravité des manquements et l’ampleur du public concerné. La décision a été prise en coopération avec 16 homologues européens, les données de résidents de ces pays étant impliquées.

La CNIL a également choisi de rendre publique sa délibération. Elle a considéré que la publicité ciblée sur les réseaux sociaux étant largement répandue, il était nécessaire de rappeler les règles applicables. L’autorité a toutefois estimé qu’il n’était pas utile de nommer la société, privilégiant une démarche pédagogique plutôt qu’exemplaire sur le plan réputationnel.

Consentement et information, des fondements fragilisés

Le premier manquement concerne l’absence de base légale au sens de l’article 6 du RGPD. La société invoquait le consentement recueilli lors de l’adhésion au programme de fidélité, lorsque les clients acceptaient de recevoir de la prospection par SMS ou par courrier électronique. Pour la CNIL, cet argument ne tient pas.

Le formulaire d’adhésion ne mentionnait pas la transmission des données à un réseau social à des fins de publicité ciblée. Les documents accessibles depuis le site web, notamment la politique de protection des données, étaient soit silencieux sur cette transmission, soit insuffisamment clairs quant à sa finalité. Le parcours d’accès à l’information était jugé complexe, empêchant toute compréhension réelle du traitement. Dans ces conditions, le consentement ne pouvait être ni explicite ni éclairé, contrairement aux exigences du RGPD.

L’autorité a également relevé un manquement aux obligations d’information prévues aux articles 12 et 13 du règlement. Les finalités des traitements n’étaient pas clairement associées à leurs bases légales. Certaines informations manquaient, comme la finalité précise de la publicité ciblée ou la durée de conservation des données. D’autres étaient erronées, notamment les mentions relatives aux transferts internationaux, encore fondées sur le Privacy Shield, pourtant invalidé.

Failles de sécurité et gouvernance défaillante

Au-delà des aspects juridiques, la CNIL a pointé des insuffisances techniques. Les règles de complexité des mots de passe des comptes utilisateurs ont été jugées trop faibles. L’autorité a rappelé que l’utilisation de la fonction de hachage SHA-256 ne garantit pas, à elle seule, un stockage sécurisé des mots de passe, exposant les comptes à des risques accrus en cas de compromission.

Un autre manquement majeur concerne l’absence d’analyse d’impact relative à la protection des données. Aucun AIPD n’avait été réalisée avant la mise en œuvre du ciblage publicitaire. Or, le traitement combinait un volume élevé de données et des opérations de croisement, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Une analyse préalable aurait dû être conduite.

L’AIPD est un outil clé de conformité RGPD, à la fois juridique, organisationnel et technique, indispensable pour sécuriser les traitements de données à risque élevé. Il comprend la description détaillée du traitement et de ses finalités ; Analyse de la nécessité et de la proportionnalité ; Évaluation des risques pour les personnes et des Mesures prévues pour réduire ces risques (sécurité, gouvernance, procédures). Testez notre outil en ligne GRATUIT qui vous explique l’AIPD.

Enfin, la CNIL a relevé des violations des règles encadrant les cookies. Lors de la visite du site, onze cookies soumis à consentement étaient déposés avant tout choix de l’utilisateur. Même en cas de refus explicite, ces traceurs n’étaient ni supprimés ni désactivés, continuant à être lus en violation de la loi Informatique et Libertés.

Cette décision illustre une réalité du renseignement cyber, la conformité juridique, la sécurité technique et la transparence constituent un tout indissociable face aux usages intensifs des données personnelles.

CNIL, Transmission de données à un réseau social à des fins publicitaires, 2026 : https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction

Journées de la Cyber 2026, la maturité numérique à l’épreuve

Face à l’intensification des cybermenaces, décideurs publics et privés d’Auvergne-Rhône-Alpes sont invités à deux journées pour évaluer leurs risques, tester leur maturité et préparer des réponses opérationnelles.

Les Journées de la Cyber 2026 se tiendront les jeudi 5 et vendredi 6 mars 2026 au Campus Région du numérique. Cinquième édition d’un événement devenu une référence en Auvergne-Rhône-Alpes, elles réuniront décideurs, cadres, acteurs de la transformation numérique et professionnels de la cybersécurité. Portée par Digital League, le Clusir, l’ADIRA, l’ENE, Minalogic et le Campus Région du numérique, cette rencontre vise à aider les organisations à comprendre les enjeux cyber, mesurer leur niveau de maturité et se préparer à l’action. Conférences, ateliers, tables rondes et temps de networking structureront deux journées centrées sur les risques numériques, les cyberattaques et les réponses concrètes à mettre en œuvre.

Un rendez-vous régional face à la pression cyber

En Auvergne-Rhône-Alpes comme ailleurs, la cybersécurité s’impose désormais au sommet des priorités stratégiques. Les Journées de la Cyber 2026 s’adressent explicitement aux décideurs, dirigeants et cadres du secteur public et privé, confrontés à une exposition croissante aux risques numériques. L’événement, organisé sur deux journées consécutives, se positionne comme un espace de prise de recul et d’évaluation. Il ne s’agit pas seulement de sensibiliser, mais de permettre aux participants de mesurer concrètement leur maturité cyber, d’identifier leurs fragilités et de comprendre les menaces qui pèsent sur leurs organisations.

La cinquième édition confirme l’ancrage régional de ce rendez-vous. Soutenu par un écosystème d’acteurs institutionnels et économiques reconnus, il reflète la structuration progressive d’une communauté cyber locale. Le choix du Campus Région du numérique comme lieu d’accueil souligne cette volonté de lier transformation numérique et sécurité des systèmes d’information. Dans un contexte où les cyberattaques, notamment les ransomwares, touchent indistinctement collectivités, hôpitaux, PME et grands groupes, la question n’est plus théorique. Elle devient opérationnelle et immédiate.

SERVICE DE VEILLE ZATAZ
Alerte piratage : savoir si vos données personnelles ont fuité.
Découvrir la veille
À partir de 0,06 € / jour
Activation rapide • Alertes prioritaires • Veille web, dark web et réseaux sociaux
Sans prestataire extérieur • 100 % souverain

 

Des formats pour passer de la prise de conscience à l’action

Le programme annoncé repose sur une alternance de formats destinés à favoriser l’échange et le retour d’expérience. Keynotes, plénières et tables rondes doivent apporter une vision d’ensemble des enjeux cyber, tandis que les ateliers thématiques visent un niveau plus opérationnel. L’objectif affiché est clair : permettre aux participants de poser leurs questions, confronter leurs pratiques et repartir avec des pistes concrètes.

Les organisateurs mettent en avant des témoignages et des échanges autour des bonnes pratiques et des solutions existantes en matière de cybersécurité. Cette approche collective traduit une réalité du terrain. La défense numérique ne repose plus uniquement sur des outils, mais sur des choix de gouvernance, des arbitrages budgétaires et une compréhension partagée des risques. Les temps de networking, déjeuners et cocktail de fin de journée inclus, participent de cette logique de mise en relation entre décideurs et experts.

En filigrane, les Journées de la Cyber 2026 interrogent la capacité des organisations à passer d’un discours sur la transition numérique à une maîtrise réelle de leurs risques. Cybersécurité, cyberattaques, gestion des risques et menaces comme les ransomwares constituent le socle des discussions. Pour les décideurs régionaux, l’enjeu dépasse l’événement lui-même. Il s’agit de transformer la prise de conscience en action durable, dans un environnement numérique devenu un terrain d’affrontement permanent.

La cybersécurité s’affirme ici comme un levier de souveraineté organisationnelle et de résilience face aux menaces informationnelles.

Journées de la Cyber, Journées de la Cyber 2026, 2025 : https://www.journees-cyber.com/

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.

Force technologique américaine, l’État recrute ses remplaçants

Après des coupes massives dans les équipes numériques fédérales, Washington lance une « Force technologique américaine ». L’initiative promet l’efficacité, mais déplace le risque cyber vers la dépendance, l’accès et les conflits d’intérêts.

Une note de l’Office américain de gestion du personnel (OPM) annonce la création de la « Force technologique américaine », après des réductions drastiques menées début 2025 par le DOGE d’Elon Musk. Selon le récit, des entités comme l’USDS, 18F et des équipes de la CISA ont été dissoutes ou amputées, dont une équipe « cyber » d’environ 100 personnes, tandis que l’IRS aurait perdu 2 000 professionnels IT et la SSA fermé son bureau de modernisation. Le nouveau programme recruterait des « chercheurs » pour deux ans, encadrés par des cadres issus du secteur privé, avec des partenaires cités comme Anduril, Palantir, OpenAI, Google, Microsoft et xAI. La bascule soulève des enjeux de gouvernance, d’audit et de souveraineté numérique.

Services numériques démantelés, sécurité fragilisée

Le fil rouge est celui d’une politique de rupture, puis d’un retour contraint à la réalité. Début 2025, le Département de l’efficacité gouvernementale (DOGE), dirigé à l’époque par Elon Musk, mène une campagne de réduction des effectifs dits « redondants » au sein du gouvernement fédéral. Le texte affirme que l’unité d’élite de transformation numérique, le Service numérique des États-Unis, a été particulièrement visée, avec la dissolution de l’USDS et de l’équipe 18F de la GSA. Même la CISA, pivot de la cybersécurité nationale, est touchée, avec le départ de centaines d’experts et la perte d’une équipe rouge (red team) de haut niveau composée d’environ 100 personnes.

L’impact décrit est celui d’une mécanique qui ne pardonne pas : licencier ne modernise pas un système, et renommer une structure ne maintient pas des serveurs. Le texte évoque des « données publiques » selon lesquelles l’IRS aurait perdu environ 2 000 professionnels IT durant cette période, tandis que la Social Security Administration aurait fermé son bureau de modernisation technologique, jugé comme un outil de « gaspillage« . La conséquence, telle qu’elle est racontée, est une inertie opérationnelle : projets stoppés, défenses affaiblies, et une capacité de simulation d’attaque réduite, précisément au moment où les systèmes fédéraux sont décrits comme obsolètes.

Un détail de gouvernance renforce ce constat : Elon Musk aurait reconnu que les actions de DOGE n’ont été que « partiellement fructueuses » et aurait indiqué qu’il y a des choses qu’il ne referait pas. Même sans chiffres supplémentaires, l’aveu vaut signal. Dans le renseignement cyber, la perte de compétences internes ne se mesure pas seulement en postes supprimés, mais en routines cassées : analyses, audits, exercices, et gestion fine des accès. Une « Red Team » n’est pas un luxe. C’est un dispositif de prévention, qui teste les angles morts avant qu’un adversaire ne les transforme en incident.

C’est dans ce contexte qu’intervient l’annonce de l’OPM sur la création de la « Force technologique américaine ». Le message implicite, presque ironique, est que l’administration a découvert un manque : après les coupes, « personne ne faisait le travail » (Sic!). La note attribuée à Scott Kupor, directeur de l’OPM, insiste sur une « qualité essentielle » qui aurait manqué aux structures précédentes. Vu de l’extérieur, la séquence ressemble à un effet boomerang : supprimer, rebaptiser, recruter.

Silicon Valley intégrée, dépendance et risque d’accès

La rupture la plus sensible n’est pas le retour du recrutement, mais la manière. Le programme décrit ne se contente pas de réembaucher des fonctionnaires. Il formalise une intégration profonde du secteur privé dans la conduite des projets. Les participants sont appelés « chercheurs« , pour un mandat de deux ans. Le texte précise que le recrutement s’affranchit d’exigences scolaires ou professionnelles traditionnelles, au profit d’une logique de « talent » plus large.

Surtout, la gouvernance projetée change de nature : l’équipe dirigeante serait composée de personnes issues du secteur technologique. Des partenaires sont cités, Anduril et Palantir, et des géants comme OpenAI, Google, Microsoft et xAI seraient appelés à détacher des employés auprès d’agences fédérales pour piloter des chantiers d’IA, de modernisation des données et de développement d’applications. Le mécanisme décrit crée deux effets. D’abord, un circuit de mobilité : après deux ans au gouvernement, les entreprises participantes seraient incitées à recruter en priorité ces chercheurs, transformant l’État en vivier. Ensuite, une dépendance technique : quand des cadres d’un fournisseur guident un projet, les choix d’outils et d’architectures ont tendance à suivre la trajectoire du fournisseur.

Les inquiétudes évoquées se concentrent sur deux axes. Le premier est le conflit d’intérêts, lorsque des décisions de réduction d’effectifs et des choix technologiques peuvent se répondre. Le second est la cybersécurité, plus structurelle : peut-on bâtir une défense durable en s’appuyant sur des détachements courts, renouvelés tous les deux ans, alors que les équipes licenciées étaient décrites comme chevronnées ? Dans une administration, la sécurité tient à la mémoire : qui a accès à quoi, pourquoi, depuis quand, et comment on le retire sans casser l’opérationnel. Une rotation rapide complique l’audit, l’imputabilité et la maîtrise des privilèges.

Bref, passer d’un modèle d’ »ADN numérique » interne, incarné par USDS et 18F, à une reliance assumée aux géants technologiques. Pour le cyber-renseignement, le point critique est simple : plus l’accès et la gouvernance se privatisent, plus l’État doit durcir ses garde-fous, sinon la modernisation devient une surface d’attaque.

La dérive des domaines parqués, nouvel angle mort cyber

Longtemps réduits à des pages de publicité sans enjeu, les domaines parqués basculent vers une fonction d’aiguillage massif vers l’arnaque, le malware et l’illégal.

Une étude d’Infoblox décrit un renversement net du risque associé aux domaines parqués. Alors qu’ils étaient surtout perçus comme des sites « oubliés » affichant des annonces, ces domaines serviraient désormais de relais d’attaque. Plus de 90 % des visites observées, soit plus de neuf cas sur dix, aboutissent à des redirections vers des arnaques, des logiciels malveillants, des contenus illicites ou des malwares. Le mécanisme central s’appuie sur des systèmes publicitaires dits de direct search, ou zero-click, qui peuvent réorienter l’internaute sans action. La complexité de l’écosystème rend l’abus difficile à signaler.

Quand le « parking » devient une infrastructure de redirection

Le domaine parqué appartient à l’archéologie vivante du Web. Un nom de domaine est enregistré, mais le site n’est pas développé. À la place, une page de parking s’affiche, typiquement alimentée par de la publicité. Cette pratique a longtemps été traitée comme un bruit de fond : une conséquence banale de la spéculation sur les noms, des projets abandonnés, ou de stratégies défensives autour de marques. L’étude soutient que ce décor a changé de nature. Ce qui comptait surtout comme un résidu numérique se transformerait en vecteur fiable pour des opérations malveillantes.

Le point de rupture, tel que présenté, se situe dans la manière dont les visiteurs sont monétisés. Plus de 90 % des visites dirigées vers des domaines parqués finissent désormais sur des pages à risque. Le chiffre, pris au pied de la lettre, signifie qu’au-delà de neuf visites sur dix se traduisent par une redirection vers des arnaques, des scarewares, des contenus illégaux ou des logiciels malveillants. L’intérêt de ce résultat, s’il se confirme dans la durée, est moins la surprise statistique que le signal opérationnel : l’utilisateur n’atterrit plus sur une page publicitaire statique, il est « emmené » ailleurs, souvent immédiatement.

Un basculement dû à l’exploitation d’un mécanisme publicitaire qualifié de direct search, aussi décrit comme zero-click. La promesse implicite est simple : un internaute arrive sur un domaine parqué, et la chaîne publicitaire choisit une destination finale supposée pertinente, sans exiger de clic. En pratique, cette absence d’action humaine est précisément ce qui intéresse un acteur malveillant. Elle réduit les frictions, accélère le parcours et complique l’enquête, car l’infection ou l’arnaque se déclenche après une redirection automatique, pas après un choix explicite de l’utilisateur.

Le rapport insiste aussi sur un paradoxe technique. Les plateformes de parking et les grands intermédiaires publicitaires déploient des protections antifraude. Ces garde-fous, conçus pour filtrer le trafic artificiel, les robots ou les campagnes trop visibles, peuvent produire un effet inattendu : offrir aux cybercriminels des moyens supplémentaires pour camoufler leurs manœuvres. Autrement dit, une logique de conformité publicitaire et de lutte contre la fraude pourrait, involontairement, améliorer la discrétion de campagnes abusives en leur permettant de se fondre dans des flux considérés comme « normaux » par l’écosystème.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

 
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Le direct search, ou comment capter l’attention sans clic

L’intérêt cyber du direct search ne se limite pas à la redirection. Il touche à la mesure, au ciblage et à l’attribution, trois piliers des systèmes publicitaires modernes. Un schéma où l’internaute, venu parfois par erreur ou par habitude, est pris en charge par une mécanique d’enchères et d’orientation. La page de parking devient un sas : elle ne présente pas un contenu, elle aiguillonne vers un autre domaine, choisi par un « annonceur ». Le mot compte, car l’étude affirme que ces annonceurs diffusent fréquemment, non pas des produits légitimes, mais des escroqueries et des malwares.

Le zéro clic a aussi un autre effet : il réduit la capacité de l’utilisateur à se rendre compte qu’il a « changé de site ». Dans une séquence rapide, surtout sur mobile, l’internaute peut ne retenir qu’un seul geste, entrer une adresse, puis se retrouver devant une interface agressive, une fausse alerte de sécurité, un service illégal, ou un téléchargement piégé. Pour le renseignement de sécurité, l’enjeu est la traçabilité. Plus la chaîne est courte et automatique, plus il est difficile de distinguer l’accident (mauvaise saisie, domaine expiré) de l’abus systémique.

Des évolutions récentes des politiques de Google « semblent » avoir accru l’exposition des utilisateurs. Le texte ne détaille pas ces changements, mais la formulation est importante : le risque ne viendrait pas uniquement des attaquants, il serait amplifié par des ajustements de règles, de filtrage ou d’acceptation, côté plateformes. Dans l’économie du Web, une modification de politique, même bien intentionnée, peut déplacer la pression d’un endroit à un autre. Pour les acteurs malveillants, il suffit souvent d’une fenêtre de compatibilité pour industrialiser une tactique.

« Il y a dix ans, les recherches montraient que les domaines parqués étaient majoritairement inoffensifs et représentaient tout au plus un bruit de fond numérique » explique Renée Burton, vice-présidente d’Infoblox.  Aujourd’hui, nos travaux démontrent qu’ils sont devenus presque exclusivement malveillants. La transformation est frappante : ce qui n’était qu’un bruit de fond sur Internet est désormais une menace persistante, omniprésente et largement sous-estimée. » Pour une lecture cyber, cette déclaration pose une hypothèse forte : l’espace publicitaire associé aux domaines parqués ne serait plus marginalement pollué, il serait structurellement retourné.

Ce type de bascule intéresse aussi le renseignement au sens large, parce qu’il indique une capacité d’adaptation. Les attaquants ne se contentent pas d’exploiter des failles logicielles, ils réinvestissent des mécanismes économiques. Quand l’accès à une victime potentielle passe par une chaîne publicitaire, la défense doit combiner des réflexes de lutte anti-fraude, des contrôles DNS et une compréhension fine des redirections. La menace se situe moins dans la page visible que dans l’orchestration qui suit.

Trois portefeuilles de domaines, des tactiques avancées, un signalement quasi impossible

L’étude met en avant trois grands détenteurs de portefeuilles de domaines, décrits comme des « domainers », associés à des tactiques évoluées. Ce point compte, car il déplace l’attention du domaine isolé vers la capacité industrielle. Un acteur qui contrôle un large inventaire de noms peut tester, segmenter, puis optimiser. Cela ressemble moins à une campagne opportuniste qu’à une chaîne d’approvisionnement, avec des variantes selon la géographie, le terminal, l’heure, ou le profil supposé du visiteur.

Dans un contexte de parking et de redirections, le profilage des internautes peut servir à choisir la charge utile : afficher une page publicitaire anodine à un enquêteur, mais envoyer un utilisateur « ordinaire » vers une arnaque plus agressive. Cette logique de double visage est un classique de l’évasion. Elle rend les reproductions difficiles : deux visites successives peuvent produire deux destinations différentes, ce qui complique l’établissement d’une preuve stable.

Le rapport cite aussi l’exploitation de lookalike/typo squatting domains. L’idée est d’utiliser des noms qui ressemblent à des marques ou à des services connus, sans être identiques. Dans la pratique, la ressemblance suffit parfois à capter une fraction du trafic, surtout quand l’utilisateur tape vite, sur un clavier mobile, ou suit un lien tronqué. La collecte de mails via des fautes de frappe. Là encore, la logique est d’extraire de la valeur d’un écart minuscule. Une adresse saisie avec une erreur peut envoyer un message vers un domaine contrôlé par un tiers, offrant une opportunité de collecte, de phishing secondaire, ou de revente.

L’étude mentionne aussi l’usage de techniques DNS rares comme le fast flux. Le fast flux consiste à faire bouger rapidement les adresses IP associées à un nom, afin de compliquer le blocage et l’attribution. Si ce mécanisme est réellement observé dans l’écosystème des domaines parqués, il indique une maturation. On n’est plus seulement sur de la publicité douteuse, mais sur des méthodes historiquement liées à la résilience d’infrastructures malveillantes.

Pour finir, une difficulté centrale apaprait clairement : chaque acteur viserait des marques et des publics différents, ce qui rend la menace diffuse. Cette dispersion a un effet de brouillard. Une entreprise qui surveille sa marque peut détecter certains typo squatting, mais pas l’ensemble. Un utilisateur peut être touché une fois, sans que cela produise une vague visible. Les équipes de réponse à incident, elles, risquent de voir des cas isolés, sans relier immédiatement le symptôme, une redirection depuis un domaine parqué, à une infrastructure plus large.

La phrase la plus opérationnelle, dans ce cadre, concerne le signalement. Selon l’étude, l’empilement d’intermédiaires et la sophistication des redirections rendent la dénonciation des abus « quasiment impossible ». Pour la cybersécurité, ce n’est pas qu’un problème administratif. C’est un indicateur de surface d’attaque durable. Si la boucle de remontée est lente, fragmentée, ou opaque, l’attaquant bénéficie d’un temps d’exploitation long. Et dans un système publicitaire, la vitesse joue pour celui qui sait itérer, mesurer et ajuster.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.

S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres

Caméras de vidéosurveillance : une base de plaques d’immatriculation ouverte à tous.

En Ouzbékistan, une base liée à la lecture automatique des plaques a été trouvée accessible sans protection. Derrière l’incident, un risque massif de traçage des déplacements et d’abus de données.

Le chercheur en sécurité Anurag Sen a identifié une exposition majeure : la base de données d’un système ouzbek de reconnaissance de plaques d’immatriculation était consultable en ligne sans contrôle d’accès. Selon TechCrunch, des centaines d’ensembles de caméras routières scannent en continu véhicules et occupants, enregistrant quotidiennement des milliers d’infractions. La base exposée donnerait accès à une interface web, aux coordonnées des caméras, ainsi qu’à des millions de photos et vidéos en 4K. Le dispositif est rattaché au ministère de l’Intérieur, via son Département de la sécurité publique, sans réponse officielle. Le système serait présenté comme une solution “intelligente” de trafic, fournie par Maxvision.

Une base ouverte, un pays cartographié

L’alerte part d’un constat simple, et glaçant : une base de données nationale, pensée pour surveiller la route, se retrouvait ouverte comme un dossier public. Le spécialiste en sécurité informatique Anurag Sen dit avoir découvert que le système ouzbek de reconnaissance des plaques d’immatriculation exposait librement ses informations en ligne. N’importe quel internaute pouvait, selon lui, consulter l’ensemble des données, sans authentification. Personne ne sait depuis quand l’accès était ainsi possible. En revanche, le calendrier du dispositif est connu : la base aurait été mise en service en septembre 2024, tandis que la surveillance du trafic aurait commencé au milieu de l’année 2024.

Selon TechCrunch, l’Ouzbékistan s’appuie sur une centaine de groupes de caméras de circulation, capables de scanner en continu plaques et occupants. L’infrastructure ne se contente pas de constater un excès de vitesse. Elle consignerait chaque jour des milliers d’infractions très diverses : feux rouges franchis, ceinture non bouclée, circulation de véhicules non immatriculés. L’industrialisation est visible dans le déploiement : une analyse évoque au moins une centaine d’ensembles installés dans les grandes villes, aux carrefours les plus fréquentés et près des nœuds de transport.

La géographie citée dessine un maillage précis. Des dispositifs seraient présents à Tachkent, mais aussi à Jizzakh et Karshi au sud, à Namangan à l’est. Certains se trouveraient hors des centres urbains, le long de routes proches de l’ancienne frontière contestée entre l’Ouzbékistan et le Tadjikistan. Ce détail compte : placer des lecteurs de plaques dans des zones rurales ou frontalières transforme un outil de “gestion du trafic” en instrument de suivi des flux, donc de repérage des itinéraires.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

 
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

L’autre élément aggravant tient à la qualité des preuves collectées. Ces équipements enregistreraient de la vidéo et prendraient des photos en 4K. Le système exposé donnerait accès à une interface web, avec tableau de bord, permettant à des opérateurs de consulter les dossiers d’infractions. Dans ce contexte, l’ouverture de la base ne signifie pas seulement fuite de texte. Elle implique l’accès à des images exploitables, à des séquences, à des plaques lisibles, et potentiellement à des scènes de vie saisies sur la voie publique.

Sen explique que cette exposition offrirait une occasion unique d’observer comment fonctionnent les systèmes nationaux de lecture de plaques, quels champs sont collectés, et comment ces données peuvent servir à suivre les déplacements de millions de personnes. Sur le plan cyber, l’argument est double : comprendre l’outil, mais aussi mesurer l’impact lorsqu’il tombe entre de mauvaises mains. Une base de plaques et de vidéos n’est pas une simple archive. C’est une mémoire des mouvements, des routines, des rencontres, et parfois des vulnérabilités.

Silence institutionnel et effet miroir international

L’administration responsable est identifiée : le système dépendrait du Département de la sécurité publique du ministère de l’Intérieur ouzbek. Pourtant, selon TechCrunch, aucune réponse n’aurait été apportée aux demandes de commentaire. Même scénario côté réponse aux incidents : l’UZCERT aurait seulement renvoyé un accusé de réception automatique. Dans les affaires d’exposition de données, ce silence a un coût opérationnel. Il prolonge l’incertitude sur la période d’ouverture, donc sur le nombre de consultations possibles, et il retarde la communication de mesures de réduction du risque pour les personnes potentiellement traquées.

Le dossier comporte aussi une dimension industrielle. La plateforme déployée en Ouzbékistan est présentée comme un “système intelligent de gestion du trafic” attribué à l’entreprise chinoise Maxvision. D’après des documents publics cités, Maxvision exporterait des solutions de sécurité et de surveillance vers plusieurs pays, dont le Burkina Faso, le Koweït, Oman, le Mexique, l’Arabie saoudite et l’Ouzbékistan. Cette circulation des technologies compte autant que la faille elle-même : quand une solution est déployée à grande échelle, une faiblesse de conception, une mauvaise configuration ou un défaut de durcissement peut se reproduire, d’un site à l’autre, avec des conséquences transfrontalières.

L’incident ouzbek n’est pas présenté comme isolé. Wired aurait révélé plus tôt dans l’année que plus de 150 caméras de lecture de plaques aux États-Unis étaient accessibles en ligne sans protection. 404 Media aurait, de son côté, décrit des caméras Flock exposées publiquement, permettant d’observer en temps réel des usages de traçage. Ces rappels ne servent pas à relativiser, mais à caractériser un phénomène : l’infrastructure de surveillance, quand elle est connectée, devient une surface d’attaque. Et lorsqu’elle est mal protégée, la surveillance bascule en fuite de renseignement sur la population.

Dans une logique de cyber-renseignement, l’enjeu n’est pas la caméra, mais l’index central qui transforme des images en trajectoires exploitables.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.

S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres

Sources :

Inside Uzbekistan’s nationwide license plate surveillance system


https://www.wired.com/story/license-plate-reader-live-video-data-exposed/
https://www.404media.co/flock-exposed-its-ai-powered-cameras-to-the-internet-we-tracked-ourselves/

La Corée du Sud impose la reconnaissance faciale pour les SIM

Après deux fuites massives en 2025, Séoul change de doctrine. Les opérateurs devront vérifier l’identité des acheteurs de cartes SIM par scan du visage, pour freiner le fléau des numéros frauduleux.

Le gouvernement sud-coréen lance un programme obligeant les opérateurs télécoms à vérifier l’identité des acheteurs de cartes SIM par reconnaissance faciale. La procédure s’appuiera sur l’application PASS, utilisée par SK Telecom, LG Uplus et Korea Telecom, qui stocke des données numériques des abonnés. Lors de l’activation d’un nouveau numéro, le visage du client sera comparé aux données biométriques disponibles dans PASS. L’objectif est de compliquer l’achat de lignes au nom de tiers, pratique alimentant des escroqueries comme le voice phishing. La mesure intervient après deux grandes fuites en 2025, touchant environ 52 millions de personnes.

Quand une carte SIM devient une arme de fraude

En Corée du Sud, la vente d’une carte SIM ne relève plus d’un simple acte commercial. Le gouvernement annonce une nouvelle étape : obliger les opérateurs à vérifier l’identité des acheteurs en scannant leur visage. La logique est assumée par le ministère des Sciences et des Télécommunications : trop de numéros sont enregistrés sur la base de données volées, puis utilisés dans des arnaques, notamment le voice phishing, cette fraude par appel où l’usurpation d’identité fait le reste.

Jusqu’ici, les vendeurs demandaient des documents. Désormais, ce ne sera « plus suffisant ». Le dispositif vise précisément la faille opérationnelle décrite par les autorités : des criminels parviennent à enregistrer en masse des SIM en utilisant les informations personnelles d’autrui. Une fois la ligne activée, elle devient un outil jetable, dissocié de la vraie identité du fraudeur, mais redoutablement efficace pour appeler, piéger, extorquer ou détourner des comptes.

Le programme s’appuie sur PASS, une application utilisée par les trois principaux opérateurs du pays, SK Telecom, LG Uplus et Korea Telecom. PASS centralise des données numériques des utilisateurs. Dans la nouvelle procédure, l’activation d’un numéro sera liée à ce canal : le visage de l’acheteur, capturé lors de la souscription, sera comparé aux données biométriques stockées dans PASS. L’objectif est clair : réduire l’écart entre l’identité affichée sur un contrat et la personne réelle qui repart avec une ligne active.

Pour le cyber et le renseignement, l’intérêt n’est pas seulement la biométrie. C’est l’idée d’un verrou ajouté au point le plus banal, l’achat d’une SIM, parce que ce geste alimente ensuite une chaîne entière d’abus. Les autorités parient qu’en liant l’activation à une vérification faciale, les fraudeurs auront plus de mal à « consommer » des identités volées, même s’ils disposent de documents ou de données complètes. C’est une réponse de type contrôle d’accès, appliquée non pas à un réseau, mais à l’attribution d’un numéro, c’est-à-dire à la capacité d’entrer en contact avec une victime.

Deux fuites en 2025, une pression politique immédiate

Ce durcissement se comprend à la lumière d’un contexte que le gouvernement décrit comme devenu explosif. En 2025, deux fuites majeures auraient touché plus de la moitié de la population, environ 52 millions de personnes. L’ampleur, citée par les autorités, joue ici le rôle de déclencheur : quand les bases d’identité se diffusent, la fraude à la SIM devient mécaniquement plus simple, parce qu’elle repose sur des pièces « valables » en apparence.

Un premier épisode concerne Coupang. Selon les éléments rapportés, l’enseigne de commerce en ligne aurait exposé plus de 30 millions d’enregistrements. Environ un mois après, le directeur général a perdu son poste. Le message implicite est brutal : l’incident n’est pas traité comme une simple panne de sécurité, mais comme un événement de gouvernance.

L’autre cas touche SK Telecom, déjà cité comme un pilier de l’écosystème PASS. Plus tôt dans l’année, l’opérateur a subi une attaque et des acteurs ont volé des informations concernant 23 millions d’abonnés. La réaction réglementaire a été lourde : une amende de 100 million $ (92,0 millions d’euros) et l’obligation de compenser les victimes. Les autorités justifient cette sanction par des manquements graves en sécurité, dont la divulgation d’identifiants d’infrastructure “en clair” et l’existence d’un serveur accessible depuis Internet.

SK Telecom a aussi été contraint d’indemniser l’ensemble des personnes affectées : 100 000 wons, annoncés comme environ 67 $ (61,6 €), par utilisateur, dont la moitié en crédits sur le compte et l’autre en points utilisables en magasin. Un dernier chiffre nuance la cible réelle de la réforme : près de 92 % des numéros frauduleux détectés en 2024 auraient été enregistrés via des opérateurs virtuels. Dit autrement, le front n’est pas uniquement chez les trois géants, mais dans les circuits de vente et d’activation où l’identité est la plus difficile à verrouiller.

Dans une approche de cyber-renseignement, la reconnaissance faciale n’est qu’un outil : la vraie bataille vise la chaîne d’enrôlement des identités, là où la fraude transforme une fuite de données en capacité d’action.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.

S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres

Rançongiciel en Roumanie, 1 000 systèmes d’eau chiffrés

Une attaque par rançongiciel a paralysé environ 1 000 systèmes informatiques de l’autorité roumaine des eaux. Les barrages et l’exploitation hydraulique ont tenu, grâce à des procédures manuelles.

La Direction nationale roumaine pour la cybersécurité (DNSC) a annoncé qu’une attaque par rançongiciel, survenue en décembre 2025, a compromis près de 1 000 systèmes IT de l’Administrația Națională Apele Române, l’autorité nationale de l’eau. Dix des onze administrations régionales de bassins, dont Oradea, Cluj, Iași, Siret et Buzău, ont été touchées. Les assaillants ont détourné BitLocker, un mécanisme légitime de chiffrement Windows, pour verrouiller les fichiers et déposer une note exigeant un contact sous sept jours.

Un choc IT, une continuité opérationnelle sous contrainte

La scène se joue d’abord côté bureaux et serveurs. La DNSC indique qu’une attaque de type rançongiciel a frappé l’infrastructure informatique de l’Administrația Națională Apele Române, avec environ 1 000 systèmes compromis. L’impact territorial est massif : dix administrations régionales de bassins sur onze seraient concernées, avec des sites cités comme Oradea, Cluj, Iași, Siret et Buzău. La liste, à elle seule, raconte la difficulté logistique : quand l’IT tombe en panne à cette échelle, la gestion de crise devient une affaire de synchronisation et de priorités, pas seulement de remédiation technique.

Le périmètre atteint, détaillé par les autorités, couvre des briques critiques du quotidien numérique. Sont mentionnés des serveurs applicatifs SIG (GIS), des serveurs de bases de données, des postes Windows, des environnements Windows Server, mais aussi des serveurs de messagerie et web, ainsi que des serveurs DNS. Autrement dit, de quoi casser la cartographie opérationnelle, gêner la circulation d’information, perturber la résolution de noms et compliquer toute orchestration de reprise.

Pourtant, l’essentiel, au sens hydrotechnique, n’a pas cédé. L’autorité de l’eau affirme que les technologies opérationnelles (OT) n’ont pas été touchées. Elle précise que l’exploitation des ouvrages hydrotechniques repose sur des centres de dispatching et des communications vocales. Les constructions hydrotechniques resteraient « sécurisées », opérées localement par du personnel spécialisé, coordonné par ces centres. La conséquence immédiate est un basculement vers une conduite dégradée : moins de confort numérique, plus de procédures, de réflexes et de voix au téléphone.

Ce choix d’architecture de crise n’est pas anodin. L’organisation insiste sur la continuité de fonctions sensibles, contrôle de barrages, gestion des crues, distribution d’eau, assurée via supervision manuelle et protocoles vocaux conçus pour ce type de contingence. C’est la logique classique de résilience : si l’IT est frappée, l’OT doit tenir, et si l’OT dépend de l’IT, alors des modes alternatifs doivent déjà exister. Ici, la narration officielle vise à rassurer sur ce point précis : la disponibilité opérationnelle n’a pas été brisée.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

 
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

BitLocker détourné, et un angle mort de protection nationale

Le détail technique central tient en un mot connu des administrateurs Windows : BitLocker. Selon une première évaluation, les attaquants ont utilisé ce mécanisme légitime de chiffrement pour produire un blocage par chiffrement sur les systèmes touchés. Le signal est fort sur le plan du renseignement de menace : au lieu d’introduire un malware « exotique », l’adversaire exploite un outil natif, déjà présent et souvent autorisé. Cela complique l’attribution technique, brouille les détections basées sur la présence d’un binaire malveillant, et déplace la bataille vers les droits, la gouvernance et l’audit des usages.

Les assaillants ont aussi déposé une note de rançon exigeant une prise de contact sous sept jours. La DNSC réitère sa doctrine : ne pas contacter ni négocier avec les cybercriminels, pour éviter d’alimenter leur économie. Dans cette logique, la variable critique devient le temps. Sept jours, c’est une pression psychologique, mais c’est aussi une fenêtre de reprise, de reconstitution d’inventaires, d’assainissement et de restauration. Quand des serveurs DNS, mail et web sont cités, la tentation de « raccourcir » la crise est forte. La recommandation publique vise à cadrer cette tension.

Un autre élément, plus politique, ressort de l’enquête : l’infrastructure de l’autorité des eaux n’était pas protégée par le système national de protection des infrastructures IT d’importance critique pour la sécurité nationale. Ce point ouvre un débat de surface, mais surtout un chantier immédiat. Des procédures ont été lancées pour intégrer ce périmètre aux dispositifs développés par le Centre national de cyber-renseignement, au sein du service de renseignement roumain, afin d’assurer la protection d’infrastructures publiques, et privées jugées critiques, via des technologies de cyber-intelligence. Le vocabulaire est important : on passe d’une défense locale à une logique de protection mutualisée, pilotée, et nourrie par le renseignement.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.

S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres

Aflac : 22,7 millions de personnes touchées après la fuite de juin

En juin, une intrusion informatique chez Aflac a exposé des données sensibles à grande échelle. L’assureur dit avoir stoppé l’attaque en quelques heures, mais confirme un vol de fichiers concernant 22,7 millions d’individus.

Le groupe d’assurance basé en Géorgie confirme qu’une cyberattaque survenue en juin a entraîné le vol d’informations personnelles concernant environ 22,7 millions de personnes, dont plus de 2 millions au Texas. Aflac affirme avoir contenu l’intrusion « en quelques heures » et ne pas avoir subi de rançongiciel, tout en reconnaissant que des documents ont été exfiltrés. Les fichiers dérobés portent sur des demandes d’indemnisation, des données de santé, des numéros de Sécurité sociale et d’autres éléments identifiants, touchant clients, bénéficiaires, salariés, agents et autres personnes liées aux activités américaines. L’enquête s’est achevée le 4 décembre, sept mois aprés la cyber attaque !

Ce que l’enquête interne révèle, et ce qu’elle ne dit pas

Aflac a publié une déclaration marquant la fin d’une enquête ouverte après l’incident annoncé plus tôt dans l’année. Le récit officiel suit une ligne claire : détection rapide, arrêt de l’intrusion « dans les heures », continuité des opérations, puis confirmation d’un vol de données. Autrement dit, la disponibilité des systèmes n’a pas vacillé, mais la confidentialité, elle, a cédé. Pour un assureur, c’est souvent le scénario le plus redouté : la machine continue de tourner, tandis que la fuite, silencieuse, produit ses effets longtemps après.

L’entreprise avait déjà alerté la Securities Exchange Commission (SEC) sur un point central : malgré l’endiguement, certains fichiers ont été emportés par les cybercriminels. Dans sa nouvelle communication, Aflac insiste sur l’absence de rançongiciel. Cette précision compte, parce qu’elle déplace la lecture du risque. Sans chiffrement généralisé ni extorsion affichée, l’attaque s’apparente davantage à une opération de collecte ciblant des dossiers à forte valeur : pièces de sinistres, éléments médicaux, identifiants administratifs, et tout ce qui permet, ensuite, de frauder, d’usurper ou de recouper.

Le périmètre humain est massif. Des responsables au Texas indiquent que plus de 2 millions de résidents ont été affectés. Au total, environ 22,7 millions de personnes voient leurs informations potentiellement compromises. Aflac précise que les documents exfiltrés contiennent des informations liées aux réclamations d’assurance, des données de santé, des numéros de Sécurité sociale et d’autres détails personnels. La liste des populations concernées dépasse les seuls clients : bénéficiaires, employés, agents, et « d’autres individus » associés aux activités américaines de l’assureur.

La chronologie est, elle aussi, un message. Les courriers envoyés aux victimes indiquent que l’enquête a été conclue le 4 décembre. L’entreprise a commencé à notifier les régulateurs d’États et à expédier des lettres de notification de violation de données. Dans ces lettres, Aflac propose deux ans de services de protection d’identité, avec une date limite d’inscription fixée au 18 avril 2026. Ce type de mesure sert autant à réduire l’impact immédiat, qu’à reconnaître implicitement la durée probable du risque : l’exploitation de données d’identité peut survenir des mois, parfois des années, après une fuite.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

 
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Dans l’ombre, un signal plus large : l’assurance comme terrain de chasse

L’incident ne survient pas en vase clos. Il s’inscrit dans une vague d’attaques ayant visé le secteur de l’assurance, attribuées à une organisation surnommée Scattered Spider. Le texte décrit un collectif « faiblement affilié », composé de cybercriminels anglophones, connu pour ses accès initiaux obtenus par usurpation, notamment en se faisant passer pour des employés IT. Ce détail est crucial du point de vue renseignement : l’entrée ne dépend pas forcément d’une faille technique sophistiquée, mais d’une capacité à manipuler les procédures internes, le support, l’urgence, la confiance. Quand l’adversaire sait parler le langage des tickets, des mots de passe et des « réinitialisations« , la surface d’attaque devient l’organisation elle-même. Bref, l’entreprise a été piratée par Scattered Spider.

Au même moment, Erie Insurance, Philadelphia Insurance Companies et Scania Financial Services ont également signalé des cyberattaques. Pris ensemble, ces cas dessinent une campagne opportuniste mais structurée : une industrie riche en données, habituée aux échanges documentaires, et contrainte par des obligations de notification, donc prévisible dans sa réponse. Pour les attaquants, c’est un avantage : chaque annonce publique valide que l’accès a eu lieu, et la nature des données laisse entrevoir des usages multiples, de la fraude au chantage individuel, sans qu’il soit nécessaire de bloquer la production par un rançongiciel.

La pression policière, elle, apparaît en filigrane. Après ces attaques, un site de fuite utilisé par le groupe a été démantelé, et deux membres ont été arrêtés puis inculpés au Royaume-Uni. Une plainte du Department of Justice, rendue publique en septembre, affirme que l’opération Scattered Spider a pu extorquer au moins 115 millions $ (105,8 millions €) à des dizaines de victimes en trois ans.

Aflac affirme avoir prévenu les forces de l’ordre fédérales et engagé des experts en cybersécurité. Reste une tension, typique des crises modernes : l’entreprise explique avoir évité l’arrêt opérationnel, mais doit maintenant gérer la seconde phase, la plus longue, celle où des millions de personnes deviennent des cibles potentielles de fraudes et d’arnaques alimentées par des données authentiques. La question n’est plus seulement « qui est entré« , mais « qui exploitera ce qui a été pris« , et à quel rythme.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.

S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres