Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Cybersécurité, Entreprise, Securite informatique

YesWeHack rejoint les autorités CVE

YesWeHack devient autorité de numérotation CVE. L’entreprise française de Bug Bounty et de gestion des vulnérabilités obtient le statut CNA et peut désormais attribuer des identifiants CVE et publier les enregistrements associés.

YesWeHack, plateforme mondiale de Bug Bounty et de gestion des vulnérabilités, annonce son autorisation officielle par le programme CVE en tant qu’autorité de numérotation CVE (CNA). Cette nomination fait de YesWeHack la huitième organisation française à accéder à ce rôle. Elle confirme la place croissante de la France dans la gouvernance technique de la cybersécurité. En qualité de CNA, YesWeHack peut dorénavant assigner des identifiants CVE aux failles découvertes et publier les informations correspondantes dans les enregistrements CVE.

Cap sur la nomenclature des vulnérabilités

L’information est factuelle, l’enjeu est structurant. YesWeHack, plateforme fondée par des hackers éthiques en 2015, annonce à Paris, le 23 septembre 2025, son accréditation comme autorité de numérotation CVE. Devenir CNA, c’est obtenir le droit, et la responsabilité, d’assigner des identifiants CVE aux vulnérabilités identifiées dans le cadre de ses activités et de publier les enregistrements correspondant à ces failles. Cette avancée place YesWeHack à un point de jonction où la découverte, la normalisation et la diffusion se rejoignent.

Au cœur du dispositif, le programme CVE fédère la communauté autour d’un identifiant unique, le Common Vulnerabilities and Exposures. Cet identifiant est devenu la clé de voûte d’un écosystème où chercheurs, éditeurs, intégrateurs et équipes de sécurité doivent parler le même langage. La normalisation aide à corréler des indices dispersés dans les systèmes internes, à distinguer les doublons et à activer les bons leviers de correction.

YesWeHack revendique une approche complète de la gestion des vulnérabilités. Sa plateforme rassemble Bug Bounty, politique de divulgation (VDP), gestion des rapports de test d’intrusion, cartographie d’exposition (ASM) et formation au hacking éthique avec le Dojo. Cette offre, articulée autour d’API, vise la rapidité et la traçabilité, de la découverte à la remédiation. L’entreprise insiste sur des garanties de sécurité et de conformité, de la certification ISO aux choix d’hébergement privé en Europe, conforme au RGPD.

L’obtention du statut CNA ajoute une brique d’infrastructure. Elle rapproche la nomenclature CVE de la source primaire d’information : la découverte sur le terrain, souvent issue d’un programme de Bug Bounty. En intégrant l’attribution CVE au cœur du flux opérationnel, YesWeHack promet de limiter les frictions et de raccourcir les délais. Le message est expressément formulé par Guillaume Vassault-Houlière, CEO et co-fondateur : l’entreprise se dit « honorée » et met en avant des « processus éprouvés » pour sécuriser l’écosystème numérique. L’objectif affiché est d’accélérer coordination, remédiation et attribution.

Le registre CVE n’est pas un décor. Il est un outil de renseignement technique. En proposant une référence unique et mondiale, il permet aux équipes de sécurité d’aligner priorisation et communication. Pour les RSSI, un numéro CVE fait gagner du temps : il canalise la recherche d’indicateurs, déclenche les scénarios de patch management et encadre l’information à destination des métiers.

Une gouvernance au service de la remédiation

Le rôle de CNA n’est pas une simple délégation. C’est un cadre. Être autorité de numérotation suppose la capacité à vérifier la matérialité d’une vulnérabilité, à éviter les chevauchements, à produire un enregistrement clair et exploitable. Dans la pratique, cela signifie des processus rigoureux, une relation suivie avec les chercheurs, et une articulation fluide avec les éditeurs concernés. YesWeHack met en avant sa légitimité sur ce terrain : l’entreprise opère des programmes publics et privés qui exposent la plateforme à une diversité de cibles, de contextes et de modèles de divulgation.

La proximité avec les chercheurs éthiques constitue un avantage opérationnel. Sur un programme de Bug Bounty, la chaîne de valeur est courte : découverte, reproduction, qualification et correction se succèdent rapidement. L’attribution d’un CVE dans cette continuité augmente la clarté du signal. Elle évite des retards qui, ailleurs, peuvent transformer une découverte en incident mal géré. L’accès direct à la numérotation soutient aussi la transparence : il devient plus simple de publier un enregistrement utile, avec un niveau de détail proportionné et des informations synchronisées avec les échéances de correction.

La France consolidée dans la cartographie CVE est une donnée de souveraineté appliquée. Huit organisations y détiennent désormais une autorité de numérotation.

Le registre CVE, conçu pour être public et exploitable, se trouve au carrefour de la technique et du renseignement. Chaque enregistrement associe une description normalisée, des références, et nourrit des outils d’analyse. Dans les équipes de réponse à incident, il sert de pivot entre intelligence technique, détection et remédiation. Inscrire le geste de découverte dans ce cadre, au plus près du terrain, est stratégique : l’information circule vite, mieux, et avec moins d’ambiguïtés.

Le renseignement technique comme fil conducteur

Le CVE est une pièce de renseignement. Il ne suffit pas à lui seul, mais il organise la lecture des autres. Un numéro CVE permet d’agréger des indicateurs, de retrouver des signatures, de corréler des observations, puis de trier l’urgent du secondaire. Les SOC s’en servent pour structurer des alertes, les équipes de patch management pour planifier des déploiements, les auditeurs pour vérifier la complétude d’un cycle de correction.

La plateforme positionne le Bug Bounty comme un capteur de réalités. Les programmes publics, comme ceux conduits pour sa propre plateforme, tracent une ligne de conduite : exposer, tester, corriger. L’intégration CNA ajoute un point d’impact supplémentaire. Le chercheur soumis à un programme peut voir sa découverte entrer rapidement dans le référentiel mondial, sans détour inutile. Les organisations concernées disposent d’un identifiant commun pour orchestrer les étapes suivantes. Dans les cas sensibles, la disponibilité d’un enregistrement clair canalise la communication et réduit le risque de malentendus.

YesWeHack insiste sur la collaboration avec les institutions. Le rôle d’une CNA suppose des échanges réguliers avec le programme CVE et les autres parties prenantes. La standardisation ne vaut que si elle est partagée. La plateforme se présente comme un relais prudent et efficace, apte à traiter des signalements variés, à en vérifier la substance, et à publier des enregistrements exploitables, ni lacunaires ni bavards.

L’enjeu dépasse la seule technique. La capacité d’un écosystème à produire, à jour, des références publiques de vulnérabilités, exprime un niveau de maturité. La cohérence entre hébergement européen, conformité RGPD et certifications renforce cette lecture. La chaîne, de la découverte à la publication, se construit sur des garanties vérifiables.

Cybersécurité, Entreprise, Espionnage Spy

Réseau de faux cabinets : soupçons d’une opération de recrutement chinoise

Un réseau de sites vitrines aurait ciblé d’anciens fonctionnaires américains par de fausses offres d’emploi, selon une enquête du think tank Foundation for Defense of Democracies (FDD).

Des chercheurs du FDD ont mis au jour un ensemble de sites internet soupçonnés d’être liés à une opération de renseignement chinoise. Sous couvert de fausses sociétés de conseil et de think tanks fictifs, ce réseau baptisé « Foresight Network » aurait tenté de recruter d’anciens employés fédéraux et des experts en politiques publiques. Parmi les méthodes utilisées, des annonces proposant jusqu’à 8 500 $ (7 900 €) mensuels pour des postes d’analystes à distance. Si l’esthétique maladroite des sites intrigue, elle n’empêche pas leur efficacité potentielle, rappellent les analystes, citant des précédents judiciaires. Le FBI confirme surveiller ces tactiques de recrutement en ligne visant aussi bien les détenteurs d’habilitations que les spécialistes civils et académiques.

Un réseau de sites fictifs

Le site Foresight and Strategy a publié en mai une annonce offrant un poste d’analyste politique à distance, payé jusqu’à 8 500 $ (7 920 €) par mois. L’offre visait des profils issus d’organismes internationaux, d’agences publiques ou de think tanks. Derrière ce site se cacheraient deux autres vitrines, International Affairs Review et Institute of International Studies. Les trois partagent la même infrastructure numérique et un serveur de messagerie commun. Les recherches de Max Lesser et Maria Riofrio (FDD) indiquent que tous ont été enregistrés en Chine, Foresight en février 2022, les deux autres en décembre 2021. L’ensemble semble avoir profité de l’essor du télétravail post-COVID.

Deux autres plateformes, Asia Pacific Political Review et Global Strategic Outlook, aujourd’hui inaccessibles, pourraient également appartenir au même réseau. Si le lien direct avec les services de renseignement chinois reste non démontré, le schéma fait écho à d’autres opérations d’influence déjà documentées.

Méthodes simples, risques réels

Les pages incriminées présentent un anglais maladroit et des contenus visiblement factices. Témoignages signés de « John Doe », photos empruntées à des modèles WordPress ou coordonnées invalides illustrent ce bricolage. Pourtant, préviennent les analystes, ce type d’opération peut avoir des conséquences graves. La récente condamnation d’un haut fonctionnaire du département d’État américain à quatre ans de prison pour avoir transmis des documents classifiés à des agents chinois en est un exemple. Selon l’acte d’accusation, ces agents se présentaient comme membres de cabinets internationaux, exactement comme dans le scénario observé par le FDD.

Pour Lesser, même un camouflage minimal suffit à engager le premier contact. « Il n’est pas nécessaire de créer une société-écran : un site web rudimentaire suffit », résume-t-il.

Réactions officielles et alertes sécuritaires

Interrogée, l’ambassade de Chine à Washington a rejeté toute implication, dénonçant des accusations « sans fondement factuel ». De son côté, le FBI n’a pas commenté directement le réseau, mais a confirmé surveiller activement les tentatives de recrutement en ligne visant d’anciens agents, des experts techniques et des chercheurs. Le Bureau conseille de signaler toute offre suspecte aux services de sécurité compétents.

Le National Counterintelligence and Security Center avait déjà mis en garde, en avril, contre l’usage croissant de ces techniques par la Chine. En mars, CNN rapportait que Pékin et Moscou intensifiaient leurs efforts pour cibler des fonctionnaires américains frustrés ou en reconversion. Brian Harrell, ancien responsable du DHS, souligne que l’afflux de candidats après les récentes vagues de licenciements fédéraux rend le terrain encore plus propice à ces approches.

La faible sophistication technique de ces sites ne doit pas masquer leur potentiel opérationnel. Dans quelle mesure les services occidentaux sauront-ils anticiper ces approches numériques à bas coût, mais potentiellement dévastatrices ? (FWC)

Cybersécurité, Entreprise, loi, Securite informatique

Chine : signalement en urgence des cyberattaque

La Chine impose dès novembre 2025 un délai d’une heure pour déclarer les incidents de cybersécurité graves, renforçant ainsi son contrôle sur les réseaux et infrastructures critiques.

Pékin introduit une réglementation stricte obligeant les opérateurs à signaler sous une heure tout incident « particulièrement grave » de cybersécurité. L’Administration chinoise du cyberespace (CAC) supervise cette mesure, qui reflète une intensification de la surveillance étatique après plusieurs affaires sensibles, dont une sanction contre Dior à Shanghai pour transfert illégal de données. Le dispositif, applicable dès le 1er novembre 2025, définit des seuils précis pour classer la gravité des attaques ou pannes et prévoit des sanctions financières lourdes en cas de manquement.

Signalement accéléré des cyberincidents

Les nouvelles règles imposent un signalement d’urgence en cas d’attaque majeure. Les opérateurs de réseau doivent informer les autorités en une heure. Celles-ci transmettent ensuite l’alerte à l’Administration nationale du cyberespace et au Conseil d’État dans un délai de trente minutes. Les incidents sont classés en quatre niveaux, « particulièrement grave » étant le plus critique. Cette catégorie inclut des cyberattaques ou pannes affectant les portails gouvernementaux, les infrastructures vitales ou les sites d’information nationaux pendant plus de 24 heures, ou encore une panne de six heures touchant l’ensemble d’une infrastructure.

La réglementation couvre aussi les atteintes à grande échelle aux services publics, de transport ou de santé. Sont concernés les cas où plus de 50 % d’une province ou plus de 10 millions de citoyens voient leur quotidien perturbé. Les violations massives de données entrent également dans ce champ, dès lors qu’elles affectent plus de 100 millions de personnes ou causent un préjudice financier supérieur à 100 millions de yuans (13 millions d’euros).

Critères renforcés pour les attaques

Les cyberattaques massives affichant du contenu interdit sur un site gouvernemental ou un portail d’information majeur constituent une menace prioritaire si elles persistent plus de six heures ou atteignent une audience d’un million de vues. Elles sont aussi considérées critiques si le contenu est partagé plus de 100 000 fois sur les réseaux sociaux.

Le niveau « grave » concerne les attaques perturbant les sites d’administrations locales ou provinciales plus de six heures, ou les infrastructures essentielles pendant plus de trois heures. Des fuites de données touchant plus de 10 millions de personnes, ou un million dans une grande ville, relèvent aussi de cette catégorie.

Chaque opérateur doit remettre sous 30 jours un rapport détaillé décrivant causes, réponses et enseignements après un incident. Cette exigence prolonge la loi chinoise sur la cybersécurité de 2017 et les textes complémentaires de 2016 et 2021 sur la protection des infrastructures critiques.

Vers des sanctions plus lourdes

En parallèle, le Comité permanent de l’Assemblée populaire nationale étudie un durcissement des sanctions. Les opérateurs d’infrastructures critiques négligents pourraient être sanctionnés de 500 000 à 10 millions de yuans (66 000 à 1,32 millions €). Les responsables directs encourraient jusqu’à 1 million de yuans (132 000 €).

Les opérateurs de réseau qui omettent d’empêcher la diffusion de contenus interdits s’exposeraient à des amendes de 50 000 à 500 000 yuans (≈ 6 600 à 66 000 €). Ce projet de loi traduit une volonté de responsabiliser les acteurs du numérique tout en consolidant le contrôle centralisé de la cybersécurité.

La Chine fait de la rapidité de réaction un enjeu national de cybersécurité. Reste à savoir si cette obligation de signalement instantané renforce réellement la résilience technique, ou surtout le contrôle étatique sur les flux numériques.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.

Base de données, Cybersécurité, Entreprise, Securite informatique

Data Act : nouvelles règles européennes dès le 12 septembre 2025

À partir du 12 septembre 2025, le Data Act entre en application. Ce règlement européen bouleverse l’accès, le partage et la portabilité des données, avec des enjeux clés en cybersécurité.

Le Data Act, règlement européen adopté en 2023, deviendra pleinement applicable le 12 septembre 2025. Son objectif : redonner aux utilisateurs, particuliers comme professionnels, le contrôle des données générées par les objets connectés et services numériques. Le texte impose aux entreprises de garantir un accès simple, gratuit et lisible aux données, d’assurer la portabilité entre prestataires de cloud et de revoir leurs contrats selon des clauses équitables (FRAND). En cas d’urgence publique, les autorités pourront exiger certains accès, tandis que les demandes étrangères seront strictement encadrées. Les sanctions atteignent 20 M€ ou 4 % du chiffre d’affaires mondial. Les acteurs du numérique doivent adapter leurs systèmes, contrats et produits sans délai.

Accès et partage des données

Le principe fondateur du Data Act repose sur l’accès généralisé aux données issues des objets connectés. Les utilisateurs, qu’ils soient particuliers ou entreprises, pourront consulter et réutiliser les données qu’ils produisent. Les fabricants et fournisseurs de services associés auront l’obligation de les mettre à disposition gratuitement, dans des formats structurés et interopérables. L’utilisateur pourra également décider de partager ces informations avec un tiers de son choix, sans restriction contractuelle. Cette évolution vise à rééquilibrer les rapports de force dans l’économie des données, où les détenteurs d’infrastructures ont jusqu’ici concentré l’essentiel de la valeur et du contrôle. Pour la cybersécurité, la multiplication des flux de données soulève toutefois des défis : garantir un accès sécurisé, tracer les transmissions et prévenir les usages abusifs.

Les relations contractuelles entre entreprises devront s’aligner sur une grille équitable. Le règlement impose des conditions dites FRAND (Fair, Reasonable and Non-Discriminatory). Les clauses jugées abusives sont interdites, et une présomption de non-discrimination s’applique désormais. L’objectif est d’empêcher qu’un acteur dominant n’impose unilatéralement des conditions défavorables à ses partenaires. Cela concerne directement les licences de données, les CGV et les accords de prestation liés au cloud. La Commission prévoit de publier des modèles contractuels types pour guider les entreprises. Pour les directions juridiques, c’est un chantier majeur : sécuriser les engagements, anticiper les litiges, et intégrer dès aujourd’hui une logique de partage contrôlé. En arrière-plan, cette normalisation contractuelle vise aussi à limiter les risques d’exploitation économique des données sensibles.

Portabilité et changement de prestataire

Le Data Act introduit un droit effectif à la portabilité des données. Les utilisateurs pourront changer de fournisseur de cloud, SaaS ou IaaS sans supporter de coûts supplémentaires. La migration devra être techniquement possible en 30 jours maximum. À partir de janvier 2027, les frais liés à cette opération seront totalement interdits. Cette mesure ouvre le marché et renforce la concurrence entre prestataires, souvent critiqués pour leurs pratiques de verrouillage. Elle oblige les acteurs à développer des interfaces standardisées et documentées pour faciliter le transfert. Sur le plan cyber, la portabilité massive accroît l’exposition : plus de mouvements de données signifient plus de vecteurs potentiels pour les attaques. Les équipes techniques devront intégrer chiffrement, journalisation et protocoles robustes pour limiter les risques.

Le Data Act impose aux entreprises une refonte de leurs systèmes et contrats. Les obligations techniques, juridiques et organisationnelles exigent une adaptation rapide. La question centrale reste : les mécanismes de portabilité et de partage seront-ils compatibles avec un niveau élevé de cybersécurité ?

Le Data Act s’applique dès septembre 2025. Accès, portabilité et contrats : un tournant européen majeur aux forts enjeux cyber et économiques.

Cybersécurité, Entreprise

Nicholas Andersen prend la tête de la cybersécurité de la CISA

Nicholas Andersen succède à Chris Butera et devient directeur exécutif adjoint chargé de la cybersécurité de la CISA. Son arrivée marque une étape clé pour l’agence au moment où les menaces contre les infrastructures critiques se multiplient.

Reconnu dans les milieux de la défense et de la cybersécurité, Nicholas Andersen a pris ses fonctions le 2 septembre 2025. La CISA, bras armé de Washington pour la protection numérique et physique des infrastructures vitales, mise sur son profil hybride – militaire, gouvernemental et privé – pour renforcer son dispositif face aux cyberattaques. L’agence veut ainsi accroître la résilience nationale, affiner sa coopération avec les acteurs stratégiques et répondre à l’évolution rapide des menaces, qu’elles soient étatiques ou criminelles.

Un profil taillé pour la cybersécurité nationale

Ancien officier des Marines, décoré pour son engagement en renseignement, Andersen s’est imposé comme une figure de référence dans la cybersécurité. Sa carrière illustre un parcours mixte : il a dirigé la sécurité de grandes entreprises tout en occupant des postes stratégiques dans l’appareil fédéral. Washington Executive l’avait désigné parmi les dix responsables sécurité à suivre.

Au sein du privé, il a été président et directeur opérationnel d’Invictus, supervisant la cybersécurité et l’intégration de solutions technologiques pour des clients fédéraux et commerciaux. Chez Lumen Technologies, il a conçu une stratégie de cybersécurité globale et développé des offres sécurisées pour le secteur public, renforçant ainsi les partenariats critiques avec l’État.

Expérience fédérale et réponse aux crises

Entre 2019 et 2021, Andersen a piloté la cybersécurité énergétique au Département de l’Énergie. D’abord adjoint principal, puis secrétaire adjoint par intérim, il a coordonné la protection des infrastructures face aux menaces iraniennes, aux crises énergétiques et aux catastrophes naturelles. Son action a notamment été décisive lors de la reconstruction du réseau électrique de Porto Rico après les ouragans.

Ce parcours l’a amené à défendre la notion de résilience intégrée, combinant réponse opérationnelle rapide, anticipation stratégique et coopération étroite avec le secteur privé. Autant d’éléments que la CISA veut aujourd’hui systématiser.

Transition interne et continuité opérationnelle

Avec l’arrivée d’Andersen, Chris Butera, jusqu’ici directeur exécutif adjoint par intérim, devient directeur exécutif adjoint suppléant. Cette transition interne garantit la continuité des opérations de cybersécurité de l’agence, tout en préparant le terrain au leadership renforcé d’Andersen.

La CISA, qualifiée d’« agence de cyberdéfense nationale », reste en première ligne pour protéger les réseaux, systèmes et infrastructures essentiels. L’arrivée d’Andersen intervient dans un contexte de menaces accrues : attaques de groupes étatiques, campagnes de ransomware contre les services publics et exploitation des dépendances critiques.

Avec Nicholas Andersen, la CISA mise sur un stratège aguerri, à la croisée du renseignement, de l’industrie et de la défense nationale. Reste une question centrale : comment son expérience conjointe public-privé sera-t-elle exploitée pour contrer l’évolution des attaques hybrides sur les infrastructures critiques américaines ?

backdoor, Cybersécurité, Entreprise, Securite informatique

APT29 : la Russie piège le web avec des attaques « watering hole »

Une fausse page Cloudflare, un clic de routine, et l’espionnage commence. Les attaques de l’APT29 révèlent comment Moscou transforme les sites légitimes en armes numériques.

Le groupe APT29, lié au renseignement extérieur russe (SVR), a mis en place une nouvelle campagne d’attaques « watering hole » dévoilée par Amazon. En compromettant des sites populaires, ils ont piégé aléatoirement une partie des visiteurs avec de fausses pages de sécurité imitant Cloudflare. Derrière cette ruse, l’objectif n’était pas de voler des mots de passe mais d’exploiter l’authentification Microsoft pour obtenir un accès persistant aux comptes. L’opération illustre l’évolution constante des méthodes de l’APT29, déjà impliqué dans des campagnes contre universitaires, ONG et opposants russes. Elle met en évidence une stratégie de collecte de renseignement à grande échelle, jouant sur la confiance des internautes.

La patience des prédateurs

Le groupe APT29, aussi appelé Midnight Blizzard, n’agit pas comme un simple collectif cybercriminel. Ses opérations sont attribuées au Service de renseignement extérieur russe (SVR), héritier des réseaux d’espionnage de la guerre froide. Désormais, les agents ne déposent plus de messages secrets sous un banc public. Ils infiltrent des sites fréquentés chaque jour par des internautes ordinaires et attendent patiemment que leurs cibles idéales se présentent.

Amazon a révélé que cette opération récente reposait sur une stratégie de long terme. Plutôt que d’attaquer un seul organisme, les pirates ont compromis plusieurs sites de confiance, laissés en apparence intacts. Puis, ils ont installé un mécanisme sélectif : seuls 10 % des visiteurs étaient redirigés vers une fausse page Cloudflare, ce qui rendait la manœuvre difficile à détecter. Le reste du trafic continuait normalement, réduisant fortement les soupçons.

Ce choix tactique traduit la sophistication de l’APT29 : ils ne cherchent pas la masse mais la précision. L’approche aléatoire permet de collecter des profils variés, parmi lesquels certains deviennent de véritables cibles stratégiques.

L’art technique et psychologique

Le danger de l’APT29 ne réside pas uniquement dans ses liens présumés avec le SVR, mais dans sa maîtrise conjointe de la technique et de la psychologie des victimes. Le code malveillant, soigneusement analysé par Amazon, utilisait un encodage base64 pour échapper aux détections automatiques. Des cookies étaient placés pour éviter qu’un utilisateur redirigé une première fois le soit de nouveau, ce qui aurait éveillé les soupçons.

La copie des pages de vérification Cloudflare était parfaite : couleurs, logos, interface. Aux yeux d’un internaute pressé, tout semblait légitime. Mais le but n’était pas de capturer des identifiants saisis dans un formulaire. L’APT29 exploitait un mécanisme légal de Microsoft : le « device code authentication ». En incitant les victimes à autoriser un nouvel appareil, ils obtenaient un accès direct et durable aux comptes Microsoft des cibles, avec courriels, documents et données sensibles incluses.

Cette approche illustre une tendance croissante : détourner les fonctionnalités existantes plutôt que créer des malwares visibles. Le faux se mêle au vrai, et c’est l’utilisateur, confiant, qui ouvre lui-même la porte.

Un jeu du chat et de la souris permanent

Amazon a tenté de neutraliser l’opération en supprimant les domaines piégés. Mais l’APT29 a immédiatement rebondi, transférant ses infrastructures vers un autre fournisseur cloud et enregistrant de nouveaux noms de domaine, dont « cloudflare.redirectpartners.com ». Cette réactivité explique pourquoi ils figurent parmi les acteurs les plus persistants du cyberespionnage mondial.

Ce n’est pas une première. En octobre 2024, Amazon avait déjà interrompu une tentative d’usurpation de ses propres services par le groupe russe. En juin 2025, Google avait signalé des campagnes de phishing contre chercheurs et critiques du Kremlin. Chaque épisode montre une adaptation rapide, une volonté d’apprendre de ses échecs et une extension progressive du champ d’action.

L’APT29 ne vise pas une opération unique. Il perfectionne un modèle, teste ses armes numériques, observe les réactions adverses et prépare déjà la prochaine vague.

Le facteur humain au cœur de la manœuvre

Cette campagne ne se distingue pas par une complexité technique extrême. Elle se distingue par sa capacité à exploiter la confiance. Les sites étaient authentiques. Les pages de sécurité paraissaient ordinaires. Les demandes d’autorisation venaient de Microsoft.

Tout reposait sur un principe simple : inciter les gens à suivre ce qui semblait être la procédure normale. C’est pourquoi la formation en cybersécurité atteint vite ses limites. Expliquer qu’il faut « se méfier de tout » reste théorique. En pratique, un employé cherchant un document ou un particulier voulant lire ses courriels cliquera souvent sans réfléchir. C’est cette normalité apparente qui rend l’attaque redoutable.

Derrière, les conséquences dépassent la simple compromission d’un compte personnel. L’échantillon aléatoire de victimes peut contenir des fonctionnaires, des contractants de la défense, des journalistes ou des militants. Autant de profils qui intéressent directement Moscou dans une logique de renseignement.

Cette campagne montre que la guerre de l’information ne passe plus uniquement par les réseaux diplomatiques ou militaires. Elle s’insinue dans les gestes banals du numérique quotidien. La vraie question est donc la suivante : jusqu’où les acteurs étatiques comme l’APT29 peuvent-ils exploiter la routine des internautes avant que les systèmes de défense collectifs ne s’adaptent ?

backdoor, Cybersécurité, Entreprise, Téléphonie

L’Espagne annule un contrat Huawei de 10 millions d’euros sur fond de pressions sécuritaires

Madrid a stoppé un contrat stratégique impliquant Huawei dans le réseau RedIRIS. Une décision dictée par la sécurité nationale et la crainte d’ingérences étrangères dans des infrastructures sensibles.

Le gouvernement espagnol a annulé un contrat de 9,8 millions € avec Telefónica, qui prévoyait l’installation d’équipements Huawei pour moderniser le réseau de recherche RedIRIS, utilisé par universités et Défense. Officiellement justifiée par l’autonomie stratégique, cette décision reflète aussi les pressions internationales concernant les risques liés aux fournisseurs chinois. L’annulation retarde le projet, augmente son coût et oblige à relancer la mise en concurrence. Si Madrid n’impose pas de veto explicite à Huawei, la décision marque un tournant dans la politique numérique espagnole. Elle interroge l’équilibre entre ouverture technologique et souveraineté cyber, dans un contexte de tensions croissantes entre Chine, États-Unis et Europe.

Sécurité nationale en ligne de mire

Le 29 août, le ministère espagnol de la Science et de l’Innovation a notifié à Telefónica l’annulation du contrat attribué pour équiper RedIRIS. Cette dorsale nationale relie plus de 500 institutions de recherche, dont le ministère de la Défense, et devait passer de 100 à 400 Gbps grâce à de nouveaux équipements fournis par Huawei. L’investissement prévu atteignait 9,8 millions €, financé par des fonds publics et européens.

Le gouvernement a invoqué la stratégie de « souveraineté numérique » et la nécessité de protéger les communications critiques. Cette justification masque à peine la pression exercée par les États-Unis, qui dénoncent depuis des années le risque d’espionnage inhérent aux technologies Huawei. Washington considère que la loi chinoise sur le renseignement oblige les entreprises locales à coopérer avec Pékin.

La décision espagnole ne constitue pas un bannissement officiel de Huawei. Contrairement à Londres ou Berlin, Madrid n’a pas établi de liste de fournisseurs à risque. Mais ce signal politique place Huawei dans une position défavorable pour tout futur appel d’offres public lié aux infrastructures sensibles.

Conséquences économiques et techniques

L’annulation ne reste pas sans coût. La procédure de relance entraîne des retards et oblige à revoir les budgets. Selon les projections, les offres alternatives de Nokia, Cisco ou Juniper dépasseront largement l’enveloppe initiale. Les experts évoquent une augmentation des coûts à plus de 12 millions €, en raison de la rareté des équipements et de l’urgence imposée.

Telefónica, qui avait remporté le marché en bonne et due forme, se retrouve dans une situation délicate. L’opérateur n’a pas commenté publiquement mais doit désormais renégocier avec de nouveaux fournisseurs, tout en absorbant les délais. Pour les chercheurs et le ministère de la Défense, cela signifie un report dans la modernisation de leurs communications stratégiques.

Ce surcoût illustre le dilemme auquel se confrontent de nombreux pays européens : privilégier la souveraineté technologique face à la dépendance chinoise implique souvent des dépenses supérieures. Or, l’Espagne n’avait pas anticipé ces surcoûts dans son budget initial.

Les États-Unis jouent un rôle clé dans cette affaire. Depuis l’administration Trump, Washington mène une campagne internationale pour restreindre Huawei, accusée de liens étroits avec Pékin. Les diplomates américains ont multiplié les avertissements auprès des alliés européens : intégrer des équipements chinois dans des réseaux stratégiques, c’est ouvrir une porte potentielle au renseignement chinois.

L’OTAN, dont l’Espagne est membre, a relayé ces inquiétudes. Les communications militaires et gouvernementales transitant par RedIRIS ne pouvaient, selon les experts américains, dépendre d’une technologie jugée « non fiable ». À Bruxelles, la Commission européenne a publié plusieurs recommandations encourageant les États membres à réduire leur exposition aux fournisseurs à haut risque, sans toutefois imposer de bannissement formel.

Certains pays ont choisi une approche radicale. Le Royaume-Uni a ordonné le retrait complet des équipements Huawei de son réseau 5G d’ici 2027. L’Allemagne a imposé un examen strict de sécurité pour chaque équipement critique, visant en pratique à exclure Huawei et ZTE. L’Espagne, en revanche, avait jusqu’ici adopté une ligne plus conciliante, préférant évaluer chaque projet au cas par cas. L’affaire RedIRIS démontre que cette position évolue.

Lois chinoises et soupçons d’espionnage

Le cœur des inquiétudes occidentales repose sur la loi chinoise sur le renseignement de 2017. Ce texte oblige toute entreprise enregistrée en Chine à collaborer avec les services de sécurité nationale, sur demande. Pour les agences occidentales, cela signifie que Huawei pourrait être contraint de fournir un accès à ses équipements, sans possibilité de refus ni de transparence.

Les risques évoqués ne concernent pas uniquement l’espionnage passif. Dans un scénario de conflit ou de crise diplomatique, l’insertion de portes dérobées pourrait permettre une interruption ciblée de réseaux stratégiques. Les experts parlent d’« armes dormantes » dissimulées dans le code ou les mises à jour logicielles.

Huawei réfute systématiquement ces accusations et souligne que jamais aucune preuve technique n’a démontré l’existence de telles portes dérobées. L’entreprise rappelle sa présence dans plus de 170 pays et affirme que son exclusion relève davantage de la rivalité technologique que de la cybersécurité objective. Néanmoins, la perception de risque suffit à influencer les choix politiques européens.

La décision espagnole a des répercussions bien au-delà de l’économie numérique. Elle s’inscrit dans un équilibre délicat entre deux pôles d’influence. D’un côté, la Chine est un partenaire commercial majeur pour l’Espagne, notamment dans les secteurs automobile et énergétique. De l’autre, Washington reste un allié stratégique incontournable en matière de défense et de renseignement.

Annuler un contrat Huawei, c’est envoyer un signal de proximité à l’OTAN et aux États-Unis, mais au prix d’une irritation probable à Pékin. La Chine pourrait réagir en freinant certains investissements ou en réduisant sa coopération économique. Dans un contexte où l’Espagne cherche à attirer des capitaux étrangers pour sa transition numérique, le calcul est risqué.

Sur le plan industriel, cette annulation renforce indirectement les positions de Nokia, Cisco et Juniper en Europe. Ces acteurs, souvent américains ou européens, apparaissent comme des alternatives plus sûres, bien qu’à un coût supérieur. Pour l’industrie espagnole des télécoms, cela signifie aussi une dépendance accrue à des fournisseurs occidentaux déjà fortement sollicités.

En annulant ce contrat, Madrid a fait le choix de la prudence stratégique, au détriment de la rapidité et de l’efficacité économique. La souveraineté numérique devient un axe central de la politique européenne, mais l’Espagne reste confrontée à une question cruciale : jusqu’où céder aux pressions de ses alliés sans rompre avec un partenaire commercial comme la Chine, qui détient des leviers économiques puissants ?

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Espionnage Spy, Piratage

Amazon déjoue une attaque sophistiquée d’APT29

Amazon a bloqué une opération de watering-hole d’APT29, visant à subtiliser des identifiants Microsoft grâce à des sites compromis, du JavaScript obfusqué et des redirections sélectives.

Amazon a neutralisé une campagne d’APT29, groupe lié au renseignement russe, qui exploitait des sites web compromis pour piéger des connexions Microsoft. Les assaillants utilisaient du JavaScript obfusqué et des mécanismes de redirection conditionnelle afin de tromper une partie des visiteurs. Près de 10 % du trafic était renvoyé vers des domaines contrôlés par l’attaquant, imitant Cloudflare pour capter les identifiants via le flux d’authentification par code d’appareil de Microsoft. Amazon a isolé les instances malveillantes et collaboré avec Microsoft et Cloudflare pour interrompre les infrastructures frauduleuses. Aucun système AWS n’a été compromis. Cette opération illustre le raffinement technique d’APT29 et la réponse coordonnée nécessaire pour contrer ces campagnes.

Attaque sur des sites légitimes

En août, plusieurs sites web authentiques ont été piégés par l’ajout d’un script JavaScript malveillant. Ce code, fortement obfusqué, recourait à l’encodage base64 pour masquer ses fonctions et compliquer l’analyse. Sa mission : déterminer si l’utilisateur devait être redirigé vers une infrastructure contrôlée par APT29. Seule une minorité de visiteurs, environ 10 %, était ciblée, réduisant le risque de détection. Les victimes aboutissaient sur un domaine imitant une vérification Cloudflare, notamment findcloudflare[.]com. Cette fausse étape permettait d’exploiter le flux d’authentification par code de périphérique de Microsoft et d’intercepter les tentatives de connexion.

L’activité a été repérée sur des instances EC2 utilisées à des fins malveillantes. Amazon a immédiatement isolé ces serveurs, bloqué leurs communications et engagé une coopération avec Cloudflare et Microsoft. Ensemble, ils ont procédé à la désactivation rapide des domaines frauduleux. Chaque fois qu’APT29 tentait de rétablir son infrastructure avec de nouveaux serveurs ou domaines, l’alliance technique permettait une coupure immédiate. Amazon a assuré qu’aucun système interne n’avait été touché par la campagne.

Tactiques techniques et sophistication

Les techniques employées confirment le niveau avancé d’APT29. Le JavaScript obfusqué rendait son contenu difficile à déchiffrer, dissimulant les instructions de redirection. Des redirections côté serveur permettaient d’alterner les comportements selon l’adresse IP, l’agent utilisateur ou le fuseau horaire du visiteur. L’usage de cookies servait à limiter la fréquence des redirections, empêchant un analyste de reproduire facilement le scénario d’attaque. Cette approche réduisait fortement les traces visibles et rendait l’infection plus persistante. Enfin, la rotation d’infrastructures, avec migration rapide entre domaines et serveurs compromis, ajoutait une résilience opérationnelle. Ces choix tactiques révèlent un objectif clair : espionner durablement sans attirer l’attention des défenses automatisées.

APT29, affilié au SVR russe, multiplie les campagnes contre les cibles stratégiques. Après des tentatives de phishing imitant AWS en 2024 et une campagne contre chercheurs et universitaires en 2025, le groupe renforce ses méthodes. Le recours à l’obfuscation avancée et aux redirections sélectives montre une stratégie d’ingénierie discrète, adaptée aux environnements cloud et aux services massivement utilisés. L’objectif reste constant : collecter des identifiants pour pénétrer des réseaux sensibles.

Les autorités américaines ont saisi deux domaines utilisés par le service de renseignement russe SVR (APT29/Cozy Bear) dans une vaste campagne de piratage. En mai 2021, les attaquants ont compromis un compte de l’USAID sur Constant Contact pour envoyer près de 3 000 e-mails piégés à plus de 150 organisations dans 24 pays. Les liens redirigeaient vers theyardservice[.]com, qui distribuait un malware installant Cobalt Strike. Les communications passaient aussi par worldhomeoutlet[.]com. Déjà en mai 2018, les États-Unis avaient saisi des domaines liés au botnet VPNFilter d’APT28. Microsoft a mené des actions similaires en 2018 et 2021.

L’affaire démontre la capacité d’APT29 à développer des outils furtifs et l’importance d’une veille proactive pour détecter l’obfuscation et les redirections conditionnelles. Jusqu’où ces techniques d’évasion, à la frontière entre espionnage discret et attaques massives, peuvent-elles encore progresser face aux systèmes de défense automatisés ?

backdoor, Base de données, Cybersécurité, Entreprise, RGPD, Securite informatique

Breach Salesloft Drift : Cloudflare, Zscaler et Palo Alto touchés

Un piratage via l’intégration Salesloft Drift-Salesforce a compromis plusieurs géants de la cybersécurité. Des tokens OAuth volés ont ouvert l’accès à des données sensibles.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Un acteur malveillant a exploité une faille dans l’intégration Salesloft Drift-Salesforce pour siphonner des tokens OAuth et refresh. L’attaque, détectée en août 2025, a touché des entreprises majeures, dont Cloudflare, Zscaler et Palo Alto Networks. Les données volées incluent identités, contacts, contenus de support et même des identifiants de services critiques. L’incident interroge sur la sécurité des intégrations SaaS et l’exposition croissante des chaînes logicielles.

Un piratage sophistiqué ciblant les intégrations Salesforce

Entre le 8 et le 18 août 2025, un groupe baptisé UNC6395 a exploité l’intégration entre Salesloft Drift et Salesforce pour dérober massivement des tokens OAuth. Ces jetons permettaient d’accéder directement à des environnements Salesforce, ouvrant un accès sans authentification supplémentaire à de multiples données.

Les tokens, une fois volés, ont servi à exfiltrer des informations sensibles de plusieurs clients Salesforce. Parmi les organisations ciblées figurent des acteurs critiques du secteur cyber, dont Zscaler, Cloudflare et Palo Alto Networks. D’autres éditeurs comme Tanium et SpyCloud figurent aussi sur la liste des victimes confirmées.

Les attaquants ont ciblé les champs de support et les données clients stockées dans Salesforce. Selon les premières analyses, l’accès concernait à la fois des informations personnelles (noms, emails, numéros de téléphone) et des données techniques ou organisationnelles (clés AWS, tokens Snowflake, identifiants internes). Google Threat Intelligence Group (GTIG) attribue cette campagne à UNC6395, tout en soulignant l’absence de preuves solides reliant l’opération au collectif ShinyHunters, pourtant prompt à revendiquer la responsabilité.

 

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Des données sensibles exposées chez les leaders de la cybersécurité

Chez Cloudflare, les assaillants ont pu consulter des tickets de support, comprenant noms, coordonnées de clients et contenus des échanges. Certaines informations techniques soumises par des utilisateurs, comme des logins, ont également été exposées.

Zscaler a confirmé le vol de données relatives aux licences produits, aux postes occupés par ses clients et aux numéros de téléphone professionnels. Les échanges de support, parfois détaillés, faisaient partie du lot.

Chez Palo Alto Networks, les intrusions ont permis d’accéder aux données de comptes de vente internes, ainsi qu’à certains cas de support contenant des informations sensibles.

L’ampleur exacte du volume exfiltré n’a pas été chiffrée publiquement, mais plusieurs entreprises reconnaissent la possibilité que des credentials techniques aient été compromis. Salesforce a de son côté averti que les attaquants pouvaient avoir récupéré des clés AWS et des identifiants de services cloud critiques.

Si ces informations étaient exploitées pour une intrusion secondaire, les conséquences pourraient être majeures. La compromission d’intégrations SaaS utilisées par des milliers d’entreprises illustre la difficulté croissante à protéger les chaînes de confiance logicielles.

Réponses d’urgence et interrogations persistantes

Face à l’attaque, Salesforce et Salesloft ont immédiatement désactivé l’application Drift, révoqué les tokens associés et retiré Drift de l’AppExchange. Les entreprises touchées ont lancé des investigations internes, notifié leurs clients et enclenché des rotations massives de clés et tokens.

Cloudflare, Zscaler et Palo Alto Networks affirment que les systèmes centraux de leurs infrastructures n’ont pas été atteints. Les exfiltrations se limiteraient aux données Salesforce accessibles via Drift. Cependant, la confiance des clients reste mise à l’épreuve, d’autant que l’exploitation de tokens OAuth confère aux assaillants une persistance difficile à détecter.

Google GTIG rappelle que les campagnes d’UNC6395 se caractérisent par une exploitation rapide des intégrations SaaS et par un usage intensif de tokens volés. Leur mode opératoire témoigne d’une compréhension fine des environnements cloud modernes.

L’affaire soulève une question centrale : comment contrôler la prolifération d’applications tierces connectées aux environnements critiques, quand chacune d’elles peut devenir une porte d’entrée invisible ? Le piratage Salesloft Drift rappelle la fragilité des chaînes SaaS : une seule application compromise peut entraîner la fuite de données sensibles chez des acteurs mondiaux de la cybersécurité. L’enjeu stratégique devient clair : comment redéfinir la gestion des intégrations cloud pour éviter que le maillon faible ne compromette tout un écosystème ?

Selon 6Sens, environ 110 entreprises en France utilisent Salesloft (contre 390 au Royaume-Uni, 286 au Canada) .

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée