Assurance cyber sécurité, Cybersécurité, Entreprise, Justice

Root écope de 900 000 € d’amende pour avoir exposé les données de 45 000 clients

New York vit une série de piratages informatiques qui met à mal des millions d’habitants et étudiants de la Grosse Pomme. Nouveau cas aprés l’Université de New-York, une faille de sécurité dans le système de devis de Root. Une cyber attaque vieille de plusieurs mois qui a permis à des pirates d’accéder aux informations personnelles de 45 000 New-Yorkais. L’entreprise vient d’être condamnée à une forte amende.

L’entreprise d’assurance automobile Root, qui ne propose pas de services à New York, a néanmoins permis à des cybercriminels d’exploiter une faille dans son système de devis en ligne, entraînant la fuite de numéros de permis de conduire et d’autres informations sensibles. Cette attaque s’inscrit dans une série d’incidents similaires ayant ciblé le secteur de l’assurance, exposant des milliers de clients à des risques de vol d’identité.

Une faille de sécurité massive exploitée par des cybercriminels

Root permettait aux consommateurs d’obtenir une estimation de prix pour une assurance automobile via son site internet. Le système de devis utilisait une fonction de pré remplissage qui complétait automatiquement certains champs avec des informations sensibles, y compris les numéros de permis de conduire. Une fois le devis généré, le système créait un fichier PDF contenant les informations du client, y compris le numéro de permis de conduire en texte brut. Cette faille a permis à des cybercriminels d’automatiser le processus de collecte de données en utilisant des bots.

En janvier 2021, Root a découvert que des acteurs malveillants exploitaient cette vulnérabilité pour collecter massivement des informations personnelles. Les pirates ont utilisé ces données pour déposer des demandes frauduleuses de prestations de chômage pendant la pandémie de COVID-19. L’enquête du Bureau de la procureure générale (OAG) a révélé que Root n’avait pas mis en place de mesures de sécurité adéquates pour empêcher l’accès automatisé par des bots. L’entreprise n’a pas non plus identifié la vulnérabilité de son système de préremplissage ni sécurisé les fichiers PDF générés par le système.

La procureure générale Letitia James a déclaré que l’incapacité de Root à protéger ces informations sensibles représentait une violation grave des normes de sécurité des données. Elle a souligné que cette négligence avait directement exposé des milliers de New-Yorkais à des risques de vol d’identité. Selon l’enquête, Root n’avait pas effectué de contrôles de sécurité réguliers sur son système, ni mis en place de protocoles pour détecter et bloquer les attaques automatisées.

Une sanction financière et des mesures de sécurité renforcées

En plus de l’amende de 975 000 dollars, Root a accepté de mettre en place une série de mesures pour renforcer la sécurité de ses systèmes. L’entreprise devra mettre en place un programme de sécurité complet pour garantir la protection des informations sensibles de ses clients. Elle devra également surveiller en permanence les accès à ses systèmes et mettre en place un protocole d’alerte pour signaler toute activité suspecte. Root s’est engagée à renforcer ses procédures d’authentification et à effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.

Il aura fallu une condamnation pour que l’entreprise se penche sur la base de sa cybersécurité ? Les compagnies d’assurance collectent une quantité massive de données sensibles et doivent assumer la responsabilité de protéger ces informations contre les cybermenaces.

Une série de mesures contre le secteur de l’assurance

Cette amende s’inscrit dans une série d’actions menées par le bureau de la procureure générale contre le secteur de l’assurance. En novembre 2024, GEICO et Travelers avaient accepté de payer 5,1 millions de dollars après avoir été accusées d’avoir laissé des failles dans leurs systèmes de sécurité, facilitant le vol d’informations personnelles de milliers de New-Yorkais. En décembre 2024, Noblr a conclu un accord de 500 000 dollars avec le bureau de la procureure générale après avoir été accusée de pratiques de sécurité insuffisantes. En mars 2025, Letitia James a également engagé des poursuites contre Allstate Insurance, accusée d’avoir compromis les informations de plus de 165 000 clients à cause de failles de sécurité dans son système en ligne.

Letitia James s’est imposée comme une figure clé dans la protection de la vie privée des New-Yorkais face aux cybermenaces. Son bureau a également pris des mesures dans d’autres secteurs. En octobre 2024, un accord de 2,25 millions de dollars a été obtenu auprès d’un prestataire de soins de santé pour une fuite de données médicales. En août 2024, une coalition multirégionale dirigée par Letitia James a obtenu 4,5 millions de dollars d’une société de biotechnologie pour avoir échoué à protéger les données sensibles des patients. En juillet 2024, le bureau de la procureure générale a lancé deux guides sur la protection de la vie privée en ligne pour aider les entreprises et les consommateurs à mieux gérer la confidentialité de leurs données.

Chiffrement, Cybersécurité, Entreprise

Violation massive de données à la Pennsylvania State Education Association : plus de 500 000 personnes affectées

La Pennsylvania State Education Association (PSEA) a été victime d’une violation de données qui a exposé les informations personnelles de plus de 500 000 personnes. Cette attaque, revendiquée par le groupe de rançongiciels Rhysida, soulève de graves préoccupations concernant la sécurité des données dans le secteur de l’éducation publique.

La PSEA, un syndicat influent représentant les enseignants, les professionnels du soutien à l’éducation et le personnel scolaire de Pennsylvanie, a confirmé qu’une attaque informatique avait compromis les données de 517 487 personnes. L’incident, survenu aux alentours du 6 juillet 2024, a été détecté après qu’un acteur malveillant a réussi à s’introduire dans le réseau informatique de l’association. Après plusieurs mois d’enquête, la PSEA a officiellement révélé la nature et l’étendue de la faille le 18 février 2025, confirmant que des informations sensibles avaient été compromises. Un mois plus tard, ils alertaient les personnes potentiellement impactées. Soit 8 mois aprés l’attaque !

Une attaque d’envergure visant des informations critiques

Le mode opératoire des cybercriminels suggère une attaque soigneusement préparée, ciblant des informations personnelles sensibles. Les données compromises incluent les noms complets des membres de la PSEA, associés à une ou plusieurs informations sensibles : numéro de sécurité sociale, date de naissance, numéro de permis de conduire, numéros de comptes bancaires, identifiants de connexion, informations de paiement (y compris le code PIN et la date d’expiration), numéros de passeport, informations d’assurance maladie et données médicales.

La sophistication de cette attaque repose sur la diversité des données compromises, donnant aux cybercriminels une marge d’exploitation importante. La capacité à combiner ces informations pourrait permettre la mise en place de fraudes bancaires, d’usurpations d’identité ou encore d’attaques ciblées contre les personnes concernées. La PSEA a rapidement pris des mesures pour sécuriser son réseau et renforcer ses protocoles de sécurité. Cependant, le caractère massif de la fuite souligne une vulnérabilité structurelle dans la protection des données au sein du secteur de l’éducation publique.

« PSEA a connu un incident de sécurité le 6 juillet 2024 ou aux alentours de cette date, qui a impacté notre environnement réseau. Après une enquête approfondie et un examen minutieux des données concernées, achevés le 18 février 2025, nous avons déterminé que les données acquises par l’acteur non autorisé contenaient des informations personnelles appartenant à des personnes dont les informations étaient contenues dans certains fichiers de notre réseau« , précise la notification officielle publiée par la PSEA. L’enquête, c’est surtout l’accès aux données diffusées par les pirates ?

Le communiqué ajoute que l’association a « pris les mesures nécessaires, au mieux de nos capacités et de nos connaissances, pour garantir la suppression des données volées par l’acteur non autorisé« . Cette formulation laisse entendre que la PSEA a pu négocier avec le groupe de rançongiciels Rhysida, une hypothèse renforcée par le retrait ultérieur de la PSEA du site de fuite du groupe criminel sur le dark web.

Rhysida : un groupe de rançongiciels redouté

Le groupe Rhysida est apparu sur la scène cybercriminelle en 2023 et s’est rapidement imposé comme l’un des collectifs de ransomware les plus actifs au monde. Rhysida cible principalement les institutions publiques, les établissements de santé, les services éducatifs et les infrastructures critiques. Le mode opératoire du groupe consiste à infiltrer les réseaux informatiques par des techniques d’ingénierie sociale, souvent via des attaques de type hameçonnage (phishing) ou par l’exploitation de vulnérabilités dans des logiciels non mis à jour.

Une fois le réseau compromis, Rhysida utilise un logiciel de cryptage pour bloquer l’accès aux fichiers sensibles. Les attaquants réclament alors une rançon, souvent en cryptomonnaie, en échange de la clé de déchiffrement. Si la victime refuse de payer ou tarde à répondre, le groupe menace de publier les données volées sur son site de fuite hébergé sur le dark web. Cette double menace — paralysie des systèmes et publication des données — place les victimes dans une situation délicate, poussant souvent les institutions à négocier discrètement avec les attaquants.

Dans le cas de la PSEA, Rhysida a revendiqué l’attaque le 9 septembre 2024, exigeant une rançon de 20 bitcoins (environ 720 000 euros au taux de change de septembre 2024). Peu après, le nom de la PSEA a disparu du site de fuite du groupe, laissant penser qu’un accord financier a été trouvé. Bien que la PSEA n’ait pas confirmé avoir payé la rançon, la suppression des données du site de Rhysida renforce cette hypothèse.

cyberattaque, Entreprise

Cyberattaque sur le bureau du procureur général de Virginie : le groupe Cloak revendique la responsabilité

Le groupe de ransomware Cloak a revendiqué la responsabilité de la cyberattaque qui a frappé le bureau du procureur général de Virginie en février dernier. L’attaque a forcé les autorités à désactiver les systèmes informatiques, perturbant le fonctionnement de l’institution et exposant potentiellement des données sensibles.

En février 2025, une cyberattaque sophistiquée a été détectée au sein du bureau du procureur général de Virginie, provoquant l’arrêt immédiat des systèmes informatiques internes, y compris les services de messagerie et de VPN. Face à l’ampleur de la faille, les responsables ont dû revenir temporairement à des procédures manuelles, utilisant des documents papier pour assurer la continuité du service. Steven Popps, procureur général adjoint en chef, a décrit l’attaque comme « particulièrement complexe », soulignant le niveau de sophistication des techniques employées par les assaillants. L’incident a été immédiatement signalé au FBI, à la police d’État de Virginie et à l’Agence des technologies de l’information de Virginie (VITA), qui ont ouvert une enquête pour évaluer l’ampleur des dégâts et identifier la source de l’attaque.

Le bureau du procureur général de Virginie est resté très discret sur la nature exacte de la brèche, refusant de divulguer des détails précis sur les systèmes compromis ou les types de données potentiellement volées. Cependant, le 20 mars 2025, le groupe Cloak a ajouté le bureau du procureur général de Virginie à la liste de ses victimes sur son site de fuite hébergé sur le dark web. Le groupe a déclaré que le délai de négociation avec les autorités avait expiré et a affirmé avoir volé 134 Go de données sensibles lors de l’attaque.

Des captures d’écran de certains fichiers volés avaient été publiées comme preuve initiale du piratage. Désormais, l’ensemble des 134 Go de données est accessible en téléchargement sur la plateforme de fuite du groupe. La divulgation de ces fichiers fait craindre une potentielle exposition de documents juridiques sensibles, de communications internes, et d’informations confidentielles concernant des enquêtes en cours. Cette fuite massive pourrait avoir des conséquences majeures sur le fonctionnement du bureau du procureur général, tout en compromettant la sécurité des affaires traitées par l’institution.

Cloak : un groupe de ransomware organisé et expérimenté

Le groupe Cloak est actif depuis au moins 2023. Selon un rapport de la société de cybersécurité Halcyon, le groupe aurait déjà ciblé plus d’une centaine d’organisations, principalement en Europe et en Asie. L’Allemagne figure parmi les cibles privilégiées du groupe, mais les attaques se sont également étendues à d’autres pays, touchant divers secteurs économiques, notamment la santé, l’immobilier, la construction, l’informatique, l’agroalimentaire et la production industrielle. Cette diversification des cibles témoigne de la capacité d’adaptation du groupe et de la sophistication de ses méthodes d’attaque.

Le mode opératoire de Cloak repose en grande partie sur l’acquisition d’accès réseau par l’intermédiaire de courtiers d’accès initiaux (Initial Access Brokers, IAB) ou par des techniques d’ingénierie sociale. Les méthodes employées incluent le hameçonnage (phishing), les publicités malveillantes (malvertising), les kits d’exploitation de vulnérabilités et les téléchargements furtifs (drive-by downloads) déguisés en mises à jour légitimes de logiciels, comme les installateurs de Microsoft Windows. Cette capacité à manipuler le comportement des utilisateurs par des techniques psychologiques et technologiques rend les attaques particulièrement difficiles à détecter avant qu’elles ne soient en cours d’exécution.

Cloak utilise une variante du ransomware ARCrypter, dérivée du code source du ransomware Babuk, qui avait fuité en 2021. Une fois le réseau infiltré, le ransomware chiffre les fichiers sensibles, rendant leur accès impossible sans une clé de déchiffrement. Les attaquants exigent ensuite une rançon, souvent en cryptomonnaie, en échange de cette clé. Si la victime refuse de payer ou tarde à réagir, Cloak menace de divulguer publiquement les données volées sur le dark web, comme ce fut le cas dans l’attaque contre le bureau du procureur général de Virginie.

Une attaque qui soulève des questions sur la sécurité des institutions publiques

L’attaque contre le bureau du procureur général de Virginie met en lumière la vulnérabilité des infrastructures informatiques des institutions publiques face à des menaces cyber de plus en plus agressives. Les institutions gouvernementales, souvent dotées de systèmes informatiques vieillissants et de protocoles de sécurité obsolètes, sans parler de la mise à la porte de milliers de fonctionnaires aux USA par l’administration TRUMP, constituent des cibles privilégiées pour les groupes de ransomware. La capacité des attaquants à paralyser les opérations critiques du bureau du procureur général démontre le niveau de préparation et de sophistication de Cloak.

Les conséquences potentielles de cette attaque sont multiples. Outre la compromission des dossiers juridiques en cours, le vol de données pourrait entraîner une manipulation de certaines affaires sensibles. Les communications internes du bureau, y compris les stratégies de défense et les éléments à charge dans des procédures judiciaires, pourraient également être utilisées comme levier par des acteurs malveillants.

Steven Popps, procureur général adjoint, a déclaré que le bureau s’efforce de restaurer ses systèmes et de renforcer ses mesures de sécurité. Les autorités de Virginie collaborent étroitement avec le FBI et la police d’État pour identifier les auteurs de l’attaque et évaluer l’ampleur des dommages causés. Cependant, dans la mesure où Cloak opère depuis des juridictions étrangères, les possibilités d’arrestation ou de sanction directe restent limitées.

Arnaque, cyberattaque

Rakuten face à une vague d’escroqueries par hameçonnage : les clients appelés à renforcer leur sécurité

Rakuten Securities a récemment alerté ses clients sur une augmentation inquiétante des escroqueries par hameçonnage ayant entraîné des connexions et des transactions non autorisées. L’entreprise exhorte ses clients à renforcer la sécurité de leurs comptes pour faire face à cette menace croissante.

Depuis la fin de l’année dernière, les cyberattaques ciblant le secteur financier se sont intensifiées, exposant les investisseurs à des risques accrus. Rakuten Securities, l’un des plus grands courtiers en ligne, a constaté une augmentation spectaculaire des cas d’hameçonnage (phishing) conduisant à des transactions boursières non autorisées. Les victimes se retrouvent souvent piégées après avoir reçu des messages frauduleux ressemblant à des communications officielles. Cette situation met en lumière les vulnérabilités du système financier numérique et la nécessité de renforcer les mesures de sécurité pour protéger les investisseurs.

Une montée en puissance des attaques ciblées

Le 21 mars 2025, Rakuten Securities a publié une déclaration officielle sur sa page d’accueil, attirant l’attention de ses clients sur la gravité de la situation. L’entreprise a signalé une hausse significative des demandes de renseignements concernant des connexions suspectes à des comptes de trading et des transactions effectuées sans l’autorisation des titulaires.

« Depuis la fin de l’année dernière, nous avons reçu de nombreuses demandes de renseignements de la part de clients concernant des connexions non autorisées« . Cette augmentation des signalements reflète une tendance inquiétante dans le secteur financier, où les attaques informatiques se professionnalisent et ciblent des comptes à fort potentiel de rendement.

Parmi les cas signalés, certains clients ont découvert que des actions chinoises avaient été achetées à leur insu. Cette situation laisse supposer une tentative de manipulation des cours boursiers par des criminels cherchant à exploiter les fluctuations de titres peu liquides. Ce type de fraude est particulièrement difficile à détecter, car il repose sur des transactions en apparence légitimes, dissimulées au sein de volumes de trading importants.

La stratégie des criminels : sophistication et adaptation

Les escroqueries par hameçonnage sont devenues de plus en plus sophistiquées. Les cybercriminels utilisent des méthodes avancées pour inciter les investisseurs à divulguer leurs identifiants de connexion. Des faux emails, des messages texte et des appels téléphoniques imitant les communications officielles de Rakuten Securities sont employés pour tromper les victimes.

Ces techniques d’hameçonnage ne se contentent plus de demander des identifiants de connexion. Elles exploitent également des méthodes d’ingénierie sociale pour obtenir des informations sensibles supplémentaires, comme les codes de vérification envoyés par SMS.

Les criminels s’adaptent rapidement aux nouvelles mesures de sécurité. Ils exploitent les failles comportementales des utilisateurs et utilisent l’intelligence artificielle pour personnaliser leurs attaques.

L’une des stratégies les plus fréquentes consiste à pousser la victime à télécharger une application ou un fichier infecté. Une fois installé, le logiciel malveillant permet aux attaquants d’intercepter les données de connexion en temps réel et de contourner les dispositifs de sécurité tels que l’authentification à deux facteurs (2FA).

Des transactions boursières suspectes : la menace d’une manipulation du marché

Le rapport de Rakuten Securities met en évidence une tendance inquiétante : les attaques ciblent non seulement des comptes individuels, mais également des portefeuilles d’actions spécifiques. Les actions chinoises semblent être une cible privilégiée des criminels.

En achetant des titres peu liquides à l’insu des investisseurs, les attaquants parviennent à influencer temporairement le cours de ces actions. En gonflant artificiellement la demande, ils provoquent une hausse des prix, leur permettant de vendre ensuite ces titres à profit avant que le marché ne corrige l’anomalie.

Cette tactique, connue sous le nom de « pump and dump« , est particulièrement redoutable dans un contexte de marché volatil. Les actions chinoises, souvent cotées à la fois sur les bourses asiatiques et internationales, offrent un terrain propice à ce type de manipulation. Les criminels peuvent ainsi exploiter les écarts de cotation entre différentes places boursières pour maximiser leurs profits.

Le fait que des actions chinoises soient spécifiquement ciblées suggère une coordination entre plusieurs acteurs criminels. Cela pourrait être le signe d’une tentative de manipulation de grande ampleur.

Une menace persistante dans le secteur financier

Les incidents signalés s’inscrivent dans une tendance plus large de cybercriminalité ciblant les institutions financières. Les services de courtage en ligne sont particulièrement vulnérables en raison du volume élevé de transactions et de la valeur des portefeuilles détenus par leurs clients.

Les plateformes de trading sont devenues une cible de choix pour les cybercriminels, attirés par la perspective de gains rapides et la possibilité de blanchir des fonds par le biais de transactions complexes. Les cryptomonnaies jouent également un rôle clé dans ces opérations, offrant aux criminels un moyen d’échapper aux contrôles traditionnels.

Dans un contexte de marché de plus en plus interconnecté, la question demeure : les plateformes de trading seront-elles capables de combler le fossé technologique face à des attaquants toujours plus sophistiqués ?

backdoor, cyberattaque

Chrome sous attaque : une faille critique exploitée dans une campagne de cyber espionnage

Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.

Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.

Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.

Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.

« Une sophistication rare, digne d’acteurs étatiques »

L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).

L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.

Un correctif publié, mais l’enquête se poursuit

L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.

Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.

L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.

Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.

Un jeu d’échecs numérique aux ramifications géopolitiques

Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.

Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.

Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?

backdoor, Cybersécurité, Justice

Prison ferme requise contre une vendeuse de téléphones Encrochat

Le parquet néerlandais a requis une peine de quatre ans de prison à l’encontre d’une femme de 28 ans, originaire de Den Bosch, accusée d’avoir vendu des téléphones EncroChat destinés à des criminels. Ces appareils permettaient d’envoyer des messages cryptés et d’assurer une communication totalement anonyme, facilitant ainsi l’organisation d’activités illégales.

Entre avril 2019 et juin 2020, la suspecte aurait vendu ces téléphones sécurisés à une clientèle bien particulière : des trafiquants de drogue et des criminels organisés. Si la vente de téléphones chiffrés n’est pas illégale en soi, le parquet affirme que les appareils fournis par la suspecte étaient utilisés exclusivement à des fins criminelles.

« En vendant ces téléphones, la prévenue a contribué à rendre plus difficile la détection de crimes graves, comme le trafic de drogue à grande échelle. Son seul objectif était de faire de l’argent rapidement, » a déclaré le procureur dans un communiqué.

La femme est également accusée d’avoir effacé à distance les données des téléphones de ses clients lorsque ceux-ci étaient arrêtés, supprimant ainsi les messages échangés et entravant le travail des enquêteurs.

La suspecte a été arrêtée en septembre 2021 après avoir été identifiée comme revendeuse dans le cadre d’une autre enquête criminelle. Lors de son interrogatoire, elle a affirmé ne pas connaître ses clients. Une version que le parquet juge peu crédible, compte tenu des montants en espèces reçus et de la nature criminelle de sa clientèle.

Une activité très rentable

Selon les calculs du parquet, la vente de ces téléphones EncroChat aurait rapporté à la suspecte environ 630 840 € en un peu plus d’un an. Elle agissait en tant que sous-revendeuse, travaillant pour un autre suspect qui gérait un réseau d’environ 30 autres distributeurs de téléphones EncroChat.

Ce modèle de distribution a permis de créer un marché clandestin de téléphones cryptés spécifiquement conçu pour contourner les systèmes de surveillance et de détection des forces de l’ordre. Les criminels pouvaient ainsi organiser leurs activités en toute discrétion, échappant à la surveillance des autorités.

« La vente de ces téléphones cryptés a permis aux organisations criminelles de se structurer et de coordonner leurs opérations en toute impunité, » a souligné le parquet.

Le tournant décisif de juillet 2020

L’histoire d’EncroChat a connu un tournant majeur en juillet 2020, lorsque les autorités néerlandaises et françaises sont parvenues à percer le système de chiffrement. Pendant plusieurs mois, les forces de l’ordre ont pu intercepter et surveiller les échanges entre criminels. Plus de 20 millions de messages ont été récupérés, mettant en lumière un vaste réseau de trafic de drogue, de trafic d’armes et de blanchiment d’argent.

Dans les semaines suivant la découverte, la police néerlandaise a procédé à une série de coups de filet spectaculaires : 100 suspects arrêtés ; 19 laboratoires de drogue démantelés ; Des dizaines d’armes à feu saisies ; Près de 10 000 kg de drogues confisqués et un trésor de guerre d’environ 20 millions d’euros en liquide récupérés.

De nombreuses informations clés – noms, photos et messages – ont été extraites des téléphones EncroChat, permettant d’identifier et de poursuivre de nombreux criminels. Cette percée technologique a été qualifiée de « game-changer » par le directeur du service national d’enquête criminelle des Pays-Bas.

Une peine exemplaire pour marquer les esprits

Le parquet néerlandais considère que la prévenue n’était pas une simple revendeuse, mais une actrice clé dans la facilitation des activités criminelles. En effaçant les données des téléphones et en protégeant ses clients, elle aurait sciemment participé à la stratégie d’évasion des trafiquants.

« Ce type de complicité technologique constitue une menace directe pour la sécurité publique. La peine de prison requise doit servir d’exemple pour dissuader d’autres individus de participer à ce type d’activités, » a déclaré le procureur.

La chute d’EncroChat a eu des répercussions majeures sur le crime organisé en Europe. De nombreux réseaux de trafic de drogue et d’armes ont été perturbés, et la capacité des criminels à communiquer en toute sécurité a été fortement réduite. D’autres systèmes de communication cryptés, comme Sky ECC ou Anom, prendront la main… avant d’être démantelés.

Le jugement de la cour, prévu pour le 15 avril 2025, pourrait établir un précédent important dans la lutte contre les technologies facilitant le crime organisé. Si la peine de quatre ans est confirmée, elle pourrait envoyer un signal fort aux acteurs du marché des téléphones cryptés… ou pas !

La répression judiciaire suffira-t-elle à endiguer l’usage des technologies cryptées par le crime organisé, ou les criminels parviendront-ils à contourner une fois de plus les systèmes de surveillance ? Une des questions auxquelles les députés français ont tenté de répondre, il y a peu, avec la loi sur le narcotrafic.

backdoor, Cybersécurité

La Chine dévoile un puissant coupe-câble sous-marin : un bouleversement potentiel de l’ordre mondial

Un nouvel appareil développé par des ingénieurs chinois, capable de sectionner les câbles de communication sous-marins les plus « fortifiés », vient d’être dévoilé par Pékin. Cette révélation pourrait redessiner les rapports de force maritimes mondiaux et fragiliser les réseaux de communication internationaux.

Le dispositif, conçu pour fonctionner à des profondeurs atteignant 4 000 mètres – soit le double de la portée opérationnelle maximale des infrastructures de communication sous-marines existantes – pourrait conférer à la Chine un levier stratégique majeur en cas de crise géopolitique.

Une technologie (et une annonce) avancée à portée stratégique

Développé par le Centre de recherche scientifique de la marine chinoise (CSSRC) et le laboratoire d’État clé des véhicules habités en eaux profondes, ce coupe-câble est intégré aux submersibles avancés de la Chine, tels que le Fendouzhe (ou Striver) et la série Haidou. Conçu pour couper des câbles blindés, protégés par des couches d’acier, de caoutchouc et de polymères, ce dispositif cible directement l’infrastructure qui soutient 95 % des communications mondiales.

En théorie, le coupe-câble a été développé pour des opérations de sauvetage en mer et des missions de récupération de ressources dans les grands fonds marins. Toutefois, son potentiel d’utilisation militaire est évident, soulevant des préoccupations majeures au sein de la communauté internationale. Alors que la Russie a été longtemps montré de la pince coupante, la capacité de la Chine à interrompre ou perturber les communications mondiales en cas de conflit stratégique pourrait transformer le paysage géopolitique mondial.

Un outil de défense ou une arme géopolitique ?

Les câbles sous-marins constituent le cœur invisible mais essentiel de l’économie mondiale. Ils acheminent quotidiennement des téraoctets de données, y compris des transactions financières, des communications diplomatiques et des opérations militaires. Si un État acquiert la capacité de sectionner ces câbles à grande profondeur, il pourrait non seulement paralyser l’économie numérique mondiale, mais aussi perturber gravement les opérations militaires et stratégiques de ses adversaires. Les derniers cas vécus en mer Baltique a remis cette potentialité au goût du jour (même si le risque n’a jamais disparu). Souvenez-vous, en 2014, des « requins » avaient coupé des câbles sous-marins !!

Le monde surveille depuis longtemps les capacités de la Chine dans le domaine de la guerre sous-marine. La divulgation publique de cet appareil confirme les soupçons de nombreux analystes : Pékin investit massivement dans des technologies capables de cibler les infrastructures critiques. Un câble sectionné dans l’Atlantique ou le Pacifique pourrait, en quelques minutes, interrompre des communications transcontinentales vitales et déclencher une réaction en chaîne économique et politique.

Le caractère « dual-use » (civil et militaire) du coupe-câble ne fait qu’amplifier les inquiétudes. Si la Chine affirme que le dispositif est destiné à des applications civiles, comme la récupération d’objets en haute mer ou la réparation de câbles endommagés, sa capacité à être utilisé comme arme de déstabilisation stratégique est indéniable. Cette ambivalence rend la situation particulièrement délicate sur le plan diplomatique.

Une capacité sans précédent dans les grands fonds

La profondeur opérationnelle du coupe-câble chinois dépasse largement celle des dispositifs existants. Les câbles de communication actuels sont généralement posés à des profondeurs allant jusqu’à 2 000 mètres. En atteignant 4 000 mètres, la Chine se dote d’une capacité inédite pour accéder et manipuler les infrastructures sous-marines les plus protégées.

Le submersible Fendouzhe, qui a déjà atteint une profondeur record de 10 909 mètres dans la fosse des Mariannes en 2020, constitue une plateforme idéale pour transporter et déployer ce type de technologie. Associé à des systèmes de navigation avancés et une précision robotique accrue, ce coupe-câble pourrait être utilisé avec une redoutable efficacité pour des opérations ciblées.

Le dispositif fonctionne grâce à un mécanisme de coupe renforcé, capable de traverser plusieurs couches de protection métallique et de matériaux composites. Il utilise des lames de carbure de tungstène, connues pour leur extrême résistance, et un système hydraulique à haute pression qui garantit une coupe nette même dans des conditions de pression extrême.

Une menace pour la sécurité mondiale ?

Les implications stratégiques sont considérables. Les câbles sous-marins transportent environ 10 000 milliards de dollars de transactions financières par jour. Une rupture coordonnée de ces câbles pourrait plonger les marchés financiers dans le chaos, interrompre les communications militaires sensibles et paralyser les réseaux internet régionaux.

Les câbles sous-marins, qui transportent 99 % du trafic Internet mondial, sont essentiels pour les communications quotidiennes, les transactions financières et la recherche scientifique. Environ 95 % des données utilisées par la population américaine et 75 % de celles utilisées en Chine transitent par ces infrastructures.

En 2022, le sabotage des gazoducs Nord Stream en mer Baltique avait déjà démontré la vulnérabilité des infrastructures sous-marines. La capacité de la Chine à répliquer ce type d’attaque sur les réseaux de communication pourrait constituer une arme de dissuasion redoutable, modifiant profondément les rapports de force entre grandes puissances.

Les experts en sécurité maritime redoutent que la Chine n’utilise ce coupe-câble pour exercer une pression stratégique sur Taïwan, le Japon ou les États-Unis en cas de tensions accrues en mer de Chine méridionale. En coupant sélectivement certains câbles, Pékin pourrait isoler des régions entières du réseau mondial et semer le chaos économique et militaire.

Les submersibles chinois, comme le Fendouzhe, sont capables de manœuvrer discrètement dans les grands fonds marins, échappant à la détection des radars et des systèmes de surveillance traditionnels.

Vers une nouvelle ère de la guerre sous-marine ?

La révélation de ce coupe-câble chinois marque une étape majeure dans la militarisation des grands fonds marins. Alors que la cybersécurité et la guerre de l’information dominent le paysage stratégique moderne, la capacité à contrôler et manipuler les infrastructures physiques du réseau mondial confère un avantage stratégique décisif.

La Chine vient d’ouvrir une nouvelle brèche dans la guerre sous-marine. Les puissances occidentales sauront-elles s’adapter à ce nouvel environnement stratégique, ou devront-elles accepter une vulnérabilité structurelle face à la montée en puissance technologique de Pékin ?

Une alerte renouvelée de l’administration de la défense US

Fin 2024, datasecuritybreach.fr vous avait relaté l’action de huit sénateurs américains. Ces politiques avaient demandé à Joe Biden de lancer une revue de sécurité sur les câbles sous-marins de communication, citant une menace de sabotage par la Russie et la Chine.

Cette demande reflètait les inquiétudes croissantes des États-Unis concernant l’espionnage potentiel de la Chine sur le trafic de données, une accusation que Pékin rejette fermement.

Pendant la Première Guerre mondiale, la Grande-Bretagne a coupé les câbles sous-marins allemands, et durant la Guerre froide, la marine américaine a intercepté les communications soviétiques par câbles sous-marins. Contrôler ces infrastructures permet d’influencer la circulation des données, ce qui en fait un enjeu stratégique majeur.

La Chine et les États-Unis rivalisent pour le contrôle de ces infrastructures. Historiquement dominée par des entreprises occidentales comme SubCom (États-Unis), NEC (Japon) et Alcatel (France), l’industrie des câbles sous-marins a vu l’entrée de Huawei Marine en 2008, une coentreprise entre Huawei (place sur la liste noire US depuis 2019) et Global Marine Systems. Huawei Marine est rapidement devenue un acteur majeur du secteur avant d’être vendue à Hengtong Group et rebaptisée HMN Tech. La Chine a intensifié ses investissements dans cette technologie dans le cadre de son objectif de devenir une puissance maritime.

La rivalité sino-américaine s’est intensifiée lorsque les États-Unis ont bloqué Huawei Marine bloquant son projet « Pacific Light Cable Network », un projet de câble sous-marin entre Los Angeles et Hong Kong. Le gouvernement américain a également lancé l’initiative Clean Network pour empêcher le raccordement direct entre les États-Unis et la Chine. En 2023, la part de marché de HMN Tech dans la pose de nouveaux câbles est tombée à 4 %, contre 10 % entre 2010 et 2023.

Bitcoin, cryptomonnaie

Le Trésor américain lève les sanctions contre Tornado Cash

Tornado Cash, une plateforme controversée de mixage de cryptomonnaies, a été retirée vendredi de la liste noire des sanctions américaines après une décision de justice favorable en novembre. Ce revirement met en lumière les tensions croissantes entre innovation technologique et sécurité nationale.

Depuis 2022, Tornado Cash figurait sur la liste des personnes nationales spécialement désignées (SDN) du département du Trésor américain. Accusée d’avoir facilité le blanchiment de centaines de millions de dollars volés par des hackers nord-coréens, la plateforme faisait l’objet de mesures strictes. La décision de la cour d’appel fédérale en novembre a toutefois bouleversé ce cadre juridique en invalidant les sanctions, estimant que le Trésor avait dépassé ses prérogatives légales.

Une victoire juridique décisive ?

La décision de la cour d’appel fédérale repose sur une interprétation clé de la loi de 1977 sur les pouvoirs économiques d’urgence internationaux (IEEPA). Le juge Don Willett de la 5e Cour d’appel des États-Unis a estimé que les contrats intelligents immuables de Tornado Cash ne peuvent pas être considérés comme des « biens » au sens de la loi. Cette distinction a été décisive dans l’annulation des sanctions. Les contrats intelligents sont des lignes de code autonomes sur la blockchain, conçues pour préserver l’anonymat des transactions. En d’autres termes, ces protocoles décentralisés échappent au contrôle direct de leurs créateurs et ne sont donc pas assimilables à des actifs traditionnels.

La plateforme de trading Coinbase, qui a soutenu financièrement la bataille juridique, a rapidement salué cette décision comme une « victoire historique pour la crypto« . Un responsable de Coinbase a déclaré que « personne ne veut que des criminels utilisent des protocoles cryptographiques, mais bloquer entièrement la technologie open source parce qu’une petite partie des utilisateurs sont de mauvais acteurs n’est pas ce que le Congrès a autorisé« . Cette déclaration illustre le débat persistant autour de la régulation des cryptomonnaies : faut-il sanctionner la technologie elle-même ou les acteurs qui en abusent ?

Une plateforme au cœur de scandales majeurs

Tornado Cash est une plateforme de mixage de cryptomonnaies lancée en 2019. Son fonctionnement repose sur un principe simple mais controversé : elle permet aux utilisateurs de combiner plusieurs transactions de cryptomonnaies afin d’en masquer l’origine. Ce processus complique considérablement la traçabilité des fonds, ce qui en fait un outil prisé des cybercriminels.

Le département du Trésor américain avait précédemment accusé Tornado Cash d’avoir blanchi plus de 7 milliards de dollars depuis sa création. Parmi les opérations de blanchiment les plus retentissantes figure le vol de plus de 600 millions de dollars du jeu Axie Infinity en mars 2022, attribué au groupe de hackers nord-coréen Lazarus. Tornado Cash aurait également été utilisé pour blanchir 275 millions de dollars dérobés sur la plateforme de trading KuCoin.

En août 2023, le cofondateur Roman Storm a été arrêté dans l’État de Washington pour blanchiment d’argent. Son associé Roman Semenov, de nationalité russe, est en fuite et reste sous le coup des sanctions américaines. Un autre développeur clé de Tornado Cash, Alexey Pertsev, a été condamné en mai 2023 à cinq ans et quatre mois de prison par un tribunal néerlandais pour blanchiment d’argent. La levée des sanctions contre Tornado Cash ne remet donc pas en cause la responsabilité pénale de ses dirigeants.

Un revirement stratégique du Trésor américain

Le département du Trésor a expliqué sa décision en évoquant un « examen des nouvelles questions juridiques et politiques soulevées par l’utilisation de sanctions financières contre l’activité financière et commerciale se produisant dans des environnements technologiques et juridiques en évolution ». Cette déclaration souligne la complexité croissante de la régulation des cryptomonnaies dans un contexte de développement technologique rapide.

Le secrétaire au Trésor, Scott Bessent, a toutefois insisté sur la nécessité de protéger le secteur des actifs numériques contre les abus. « Protéger le secteur des actifs numériques contre les abus de la Corée du Nord et d’autres acteurs illicites est essentiel pour établir le leadership des États-Unis et garantir que le peuple américain puisse bénéficier de l’innovation et de l’inclusion financières », a-t-il déclaré. Cette position reflète une volonté de concilier développement technologique et sécurité nationale, deux objectifs souvent perçus comme contradictoires.

Des tensions politiques et réglementaires persistantes

La levée des sanctions contre Tornado Cash s’inscrit dans un contexte politique plus large. L’administration Trump a adopté une posture plus favorable à l’égard des cryptomonnaies et des actifs numériques. Plusieurs défenseurs de la blockchain ont été nommés à des postes stratégiques, influençant la politique du gouvernement en matière de régulation financière.

Cependant, cette approche divise profondément le paysage politique américain. Si certains considèrent les cryptomonnaies comme une opportunité d’innovation et de croissance économique, d’autres y voient un risque majeur pour la sécurité nationale. Les cyberattaques nord-coréennes visant les plateformes de cryptomonnaie et le financement du programme nucléaire de Pyongyang exacerbent ces tensions.

Le Trésor a d’ailleurs précisé que la surveillance des transactions suspectes se poursuivra. « Le Trésor continuera de surveiller de près toute transaction susceptible de profiter à des cyber acteurs malveillants ou à la RPDC, et les citoyens américains doivent faire preuve de prudence avant de s’engager dans des transactions qui présentent de tels risques », a averti le département.

Une décision qui pourrait redéfinir la régulation des cryptomonnaies

La levée des sanctions contre Tornado Cash pourrait créer un précédent juridique majeur. La décision de la cour d’appel limite la capacité du gouvernement à imposer des sanctions sur des protocoles décentralisés et soulève la question de la responsabilité des développeurs de technologies open source. Cette situation pourrait encourager le développement de nouvelles plateformes de mixage et d’anonymisation, tout en compliquant la tâche des régulateurs.

Les partisans de la décentralisation y voient une avancée majeure pour la protection de la vie privée et la souveraineté numérique. Les autorités, en revanche, redoutent une augmentation des activités illicites, facilitée par l’opacité des transactions cryptographiques.

Le cas de Tornado Cash illustre ainsi le dilemme fondamental auquel sont confrontés les gouvernements face à la révolution des cryptomonnaies : comment protéger l’innovation sans ouvrir la porte à des dérives criminelles ? La réponse à cette question façonnera sans doute l’avenir de la régulation financière dans l’économie numérique globale.

backdoor, Cybersécurité

DollyWay : la menace invisible qui frappe WordPress depuis 2016

Depuis 2016, une campagne de piratage sophistiquée baptisée DollyWay sévit dans l’univers de WordPress, ayant déjà compromis plus de 20 000 sites à travers le monde. Cette opération malveillante, qui a récemment atteint une phase critique avec la version DollyWay v3, repose sur une mécanique redoutable de redirections frauduleuses et de réinfections automatiques.

Depuis son apparition il y a près d’une décennie, DollyWay n’a cessé d’évoluer. Initialement détectée comme une simple campagne de redirections malveillantes, elle s’est transformée en un véritable écosystème criminel. Selon Denis Sinegubko, chercheur en sécurité chez GoDaddy, DollyWay a récemment franchi un nouveau cap avec le déploiement de sa version v3. Ce stade marque une sophistication accrue des méthodes utilisées par les pirates, qui s’appuient désormais sur une infrastructure centralisée et des modèles de code récurrents, signes caractéristiques d’une organisation criminelle structurée.

Le nom de la campagne provient d’une ligne de code spécifique détectée par les chercheurs :
define(‘DOLLY_WAY’, ‘World Domination’).

Cette signature, presque ironique, laisse entendre une intention claire de prise de contrôle à grande échelle. DollyWay ne se contente pas de détourner le trafic : elle s’infiltre profondément dans le code des sites WordPress en exploitant des failles dans les plugins et les thèmes. Cette stratégie permet aux attaquants de maintenir une présence persistante sur les sites compromis, rendant la suppression du malware particulièrement complexe.

Un mécanisme de redirection massif

La version DollyWay v3 s’appuie sur une technique de redirection particulièrement agressive. Une fois qu’un site WordPress est compromis, le trafic légitime est détourné vers des plateformes frauduleuses. Les visiteurs sont ainsi dirigés vers des sites de rencontres factices, des casinos en ligne ou des plateformes de cryptomonnaies douteuses. Ce trafic est ensuite monétisé grâce à des programmes d’affiliation hébergés par des réseaux partenaires comme VexTrio et LosPollos.

Le système de redirection repose sur une Traffic Distribution System (TDS), une plateforme sophistiquée qui filtre le trafic en fonction de plusieurs critères (localisation géographique, type d’appareil, comportement utilisateur). Cette technologie permet aux hackers d’optimiser leurs gains en envoyant les utilisateurs vers les sites partenaires les plus susceptibles de générer des revenus.

En février 2025, DollyWay v3 générait déjà près de 10 millions de redirections mensuelles. Ce volume impressionnant témoigne de la capacité des pirates à exploiter en continu les failles des sites WordPress et à s’adapter aux mesures de sécurité mises en place par les administrateurs.

« Notre recherche montre que ces attaques utilisent une infrastructure et des modèles de code communs, ce qui indique l’implication d’un groupe de hackers très organisé » — Rapport de GoDaddy

Une capacité de réinfection automatique

L’un des aspects les plus inquiétants de DollyWay réside dans sa capacité à se réinstaller automatiquement après avoir été supprimé. Les pirates ont développé une méthode d’infection qui leur permet de masquer le code malveillant au sein des fichiers WordPress critiques, rendant la détection extrêmement difficile.

DollyWay v3 exploite des failles zero-day dans les plugins et les thèmes WordPress populaires, introduisant du code malveillant dans le cœur du système. Même si un administrateur parvient à supprimer le malware, une nouvelle tentative d’infection est automatiquement déclenchée via une porte dérobée laissée dans le code. Cette capacité d’auto-régénération rend DollyWay exceptionnellement difficile à éradiquer.

Une monétisation structurée et lucrative

La finalité de DollyWay est avant tout économique. La campagne est directement liée à des programmes d’affiliation gérés par VexTrio et LosPollos, deux réseaux connus pour leur implication dans des activités à la limite de la légalité. Grâce à la TDS, les hackers peuvent diriger le trafic vers des offres spécifiques, maximisant ainsi le taux de conversion et donc les revenus.

Le processus est méticuleusement orchestré : Une redirection initiale oriente l’utilisateur vers un site de transition. La TDS analyse les caractéristiques du trafic (localisation, appareil, historique). L’utilisateur est ensuite redirigé vers une offre spécifique (site de rencontres, casino, investissement crypto). En cas de conversion (inscription, dépôt d’argent), les hackers perçoivent une commission via le réseau d’affiliation.

Ce modèle économique basé sur des commissions par performance garantit une rentabilité élevée, incitant ainsi les pirates à maintenir et à faire évoluer en permanence leur infrastructure.

Une réponse complexe des acteurs de la cybersécurité

Face à la montée en puissance de DollyWay, la communauté de la cybersécurité s’organise pour contrer cette menace. GoDaddy, l’un des principaux hébergeurs de sites WordPress, travaille activement à identifier les vulnérabilités exploitées par DollyWay v3 et à renforcer les mesures de sécurité.

Les recommandations de sécurité incluent : La mise à jour régulière des plugins et des thèmes. La suppression des plugins obsolètes ou non maintenus. L’installation de pare-feu dédiés aux applications web (WAF). L’activation de la double authentification pour l’accès à l’administration WordPress.

Toutefois, la nature adaptative de DollyWay complique la tâche. Les hackers ont montré une capacité impressionnante à contourner les nouvelles mesures de sécurité et à adapter leur code en temps réel.

Une menace persistante à l’horizon 2025

DollyWay incarne l’évolution des cyberattaques modernes : sophistiquée, automatisée et axée sur la rentabilité. La capacité de cette campagne à exploiter les failles des sites WordPress, à réinfecter automatiquement les systèmes et à générer des millions de redirections mensuelles témoigne de la maturité du groupe de hackers à l’origine de cette opération.

« DollyWay représente une menace persistante pour l’ensemble de l’écosystème WordPress. L’ampleur des attaques et la sophistication des méthodes utilisées montrent qu’il s’agit d’un acteur criminel organisé, capable d’évoluer rapidement pour contourner les mesures de sécurité. » — Denis Sinegubko, chercheur chez GoDaddy

Alors que la cybersécurité progresse et que les solutions de protection s’améliorent, une question demeure : jusqu’où DollyWay est-il prêt à aller pour maintenir sa domination dans le paysage du piratage en ligne ?

Cybersécurité, Justice

La justice annule la condamnation de Paige Thompson pour le piratage de Capital One

Une cour d’appel fédérale a annulé cette semaine la peine de cinq ans de probation infligée à Paige Thompson pour le piratage de Capital One. La cour a jugé cette peine « substantiellement déraisonnable » compte tenu des dommages causés.

Paige Thompson, ancienne ingénieure chez Amazon Web Services, avait exploité une faille dans le pare-feu du système de cloud computing de Capital One, accédant ainsi aux données sensibles de 106 millions de clients. Deux des trois juges de la cour d’appel du 9e circuit ont estimé que la sanction initiale était trop clémente par rapport à la gravité des faits.

Un piratage d’une ampleur exceptionnelle

Le piratage orchestré par Paige Thompson en 2019 est considéré comme la deuxième plus grande violation de données de l’histoire des États-Unis à l’époque. En exploitant une mauvaise configuration du pare-feu de Capital One, Thompson a volé des données bancaires, des numéros de sécurité sociale et des informations personnelles appartenant à 106 millions de clients.

L’enquête a révélé que Thompson ne s’était pas arrêtée à Capital One. Les autorités ont découvert plusieurs téraoctets de données supplémentaires volées à plus de 30 autres organisations. Les dommages financiers et réputationnels causés par cette fuite massive sont estimés à des dizaines de millions de dollars.

Le piratage a provoqué des préjudices financiers et émotionnels considérables pour les victimes.

Lors du procès initial en 2022, le juge de district Robert Lasnik avait néanmoins décidé de ne pas infliger une peine d’emprisonnement à Thompson. Il avait pris en compte son parcours personnel, soulignant qu’elle était transgenre, autiste et qu’elle avait été confrontée à des traumatismes importants dans son passé. Le juge Lasnik avait également considéré que le piratage n’avait pas été commis dans une intention malveillante, mais plutôt comme une forme de « tourmente personnelle ».

Cette interprétation a été remise en cause par la cour d’appel, qui a considéré que Thompson avait clairement agi avec préméditation. L’ancienne ingénieure avait en effet revendiqué ses actes sur des forums en ligne et encouragé d’autres hackers à en faire de même.

Une peine jugée trop clémente

Les procureurs fédéraux ont rapidement contesté la peine de probation décidée par le juge Lasnik. Nick Brown, le procureur américain de l’époque, avait déclaré que cette décision ne représentait pas une sanction appropriée face à la gravité des faits.

La juge Danielle Forrest, soutenue par le juge Johnnie Rawlinson, a estimé que le juge de district avait accordé une importance excessive aux circonstances personnelles de Thompson.

« Les parcours personnels doivent être pris en compte dans la détermination d’une peine, mais ils ne peuvent pas constituer l’unique base d’une condamnation aussi clémente dans un dossier de cette gravité », a écrit la juge Forrest dans la décision.

La cour a également contesté l’idée selon laquelle le piratage n’était pas malveillant. La décision précise que Thompson a montré peu de remords après son acte et a plutôt cherché à mettre en avant l’incompétence de Capital One. Elle aurait même encouragé d’autres hackers à exploiter des failles similaires.

Cependant, la juge Jennifer Sung, qui a exprimé une opinion dissidente, a estimé que la peine initiale n’était pas entachée d’une erreur de procédure. Selon elle, le juge Lasnik avait légitimement pris en compte la situation personnelle de Thompson et les potentielles difficultés qu’elle pourrait rencontrer en prison en tant que personne transgenre.

Une décision aux implications plus larges

L’affaire Thompson dépasse le cadre du simple jugement individuel. Le Centre pour la politique et le droit de la cybersécurité a déposé un mémoire en soutien à l’appel du gouvernement, soulignant les risques pour la recherche en cybersécurité.

Le Centre a insisté sur la nécessité de maintenir une distinction claire entre la recherche éthique en cybersécurité et les actes criminels comme ceux de Thompson. Il a averti que l’assimilation des deux pourrait fragiliser la confiance entre les chercheurs en sécurité, le secteur privé et les institutions gouvernementales. La cour d’appel n’a pas directement abordé cette question dans sa décision. Toutefois, la reconnaissance explicite par le tribunal que le comportement de Thompson ne relevait pas de la recherche en sécurité de bonne foi pourrait influencer les futures affaires de cybersécurité.

L’affaire est désormais renvoyée devant le tribunal de district pour une nouvelle détermination de la peine. La question centrale sera de savoir si la reconnaissance des circonstances personnelles de Thompson doit continuer à influencer la sentence ou si la gravité des actes justifie une peine plus lourde.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile