Cybersécurité, Entreprise

Quand la Corée du Nord pirate jusqu’aux entretiens d’embauche

Kraken a déjoué une tentative d’infiltration orchestrée par un hacker nord-coréen se faisant passer pour un ingénieur. Une leçon de cybersécurité révélée par l’un des leaders américains de la crypto-monnaie.

Dans un monde où les cyberattaques sont devenues monnaie courante, certaines d’entre elles prennent des formes de plus en plus inattendues. Dernière illustration en date : la tentative d’un pirate nord-coréen de s’introduire chez Kraken, un géant américain de la crypto-monnaie, en se faisant passer pour un ingénieur informatique lors d’un processus de recrutement. Loin de se faire piéger, l’entreprise a profité de l’occasion pour retourner la situation à son avantage. Ce cas, emblématique d’une stratégie de plus en plus utilisée par des groupes étatiques, révèle une sophistication inquiétante dans l’art de l’espionnage numérique. Il souligne aussi la nécessité pour les entreprises de développer des stratégies de cybersécurité toujours plus intelligentes et proactives.

L’art de l’infiltration numérique

Le scénario aurait pu passer pour une série Netflix. Il commence par une candidature en apparence banale pour un poste d’ingénieur logiciel. Mais très vite, les signaux d’alerte s’accumulent. Le nom utilisé par le candidat diffère de celui affiché sur le CV, et sa voix change à plusieurs reprises lors de l’entretien, comme si plusieurs personnes participaient en coulisses. Pour les recruteurs de Kraken, cela ne fait bientôt plus aucun doute : quelque chose cloche sérieusement.

En creusant davantage, ils découvrent que l’adresse e-mail utilisée figure sur une base de données recensant des contacts liés à des cyberattaques nord-coréennes. Le profil GitHub du candidat, pourtant bien fourni, trahit une adresse déjà compromise dans une fuite de données antérieure. Des incohérences s’ajoutent : le candidat se connecte via un VPN, accède à l’entretien depuis un Mac distant, et ses justificatifs d’identité semblent manifestement falsifiés.

L’opération devient alors pour Kraken bien plus qu’une simple procédure d’embauche. Conscients de la portée de cette tentative, les responsables de la plateforme crypto décident de transformer ce faux recrutement en véritable mission de contre-espionnage.

Une chasse au hacker méthodique

Ce que Kraken met en œuvre ensuite est digne d’un manuel d’enquête numérique. L’entreprise décide de continuer à faire progresser le faux candidat dans le processus de recrutement, tout en documentant chaque interaction. L’objectif : comprendre les tactiques utilisées par ces pirates d’un genre nouveau, qui ne cherchent plus seulement à voler des données ou des crypto-actifs, mais à infiltrer de l’intérieur les structures mêmes de leurs cibles.

L’analyse révèle alors un réseau plus vaste, composé de multiples identités, probablement gérées par un seul individu. Selon Kraken, la même personne utilisait jusqu’à quatre identités différentes pour postuler dans le secteur technologique, une stratégie visant à maximiser ses chances d’infiltration. Derrière cette façade, les traces pointent vers une opération organisée, méthodique, et clairement commanditée par un État.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

« Nous avons compris que nous n’avions pas affaire à un candidat isolé, mais à une entité structurée avec des méthodes bien rodées« , confie Nick Percoco, directeur de la sécurité de Kraken.

Une cyberattaque à visage humain

Le point culminant de cette opération d’infiltration déguisée en recrutement est atteint lors d’un « entretien d’alchimie » avec Percoco et d’autres responsables de l’équipe de sécurité. L’objectif ? Piéger le candidat en le confrontant à des questions que seul un résident légitime de la ville qu’il prétend habiter pourrait maîtriser.

L’échange vire rapidement à l’absurde : le faux ingénieur se montre incapable de présenter une pièce d’identité valable, hésite lorsqu’on lui demande de nommer un restaurant local, et évite les questions précises sur sa localisation. Pour Kraken, cela ne fait plus de doute : l’imposteur est démasqué.

Mais au-delà de ce cas isolé, c’est un mode opératoire entier qui est mis en lumière. Car ce n’est pas la première fois que les États-Unis — et d’autres pays — signalent des tentatives d’infiltration de la part de la Corée du Nord dans des entreprises du secteur numérique et de la blockchain.

Selon Chainalysis, les hackers nord-coréens ont volé pour plus de 1,5 milliard d’euros en crypto-monnaie depuis 2017.

La crypto, terrain de jeu stratégique pour Pyongyang

Pour comprendre pourquoi des pirates nord-coréens s’attaquent aux entreprises de la blockchain, il faut revenir à la situation géopolitique du pays. Sous embargo international, asphyxié économiquement, le régime de Pyongyang voit dans la cybercriminalité une source de financement à la fois lucrative et difficile à tracer. Les crypto-monnaies, par leur nature décentralisée et pseudonyme, sont idéales pour contourner les sanctions.

Le groupe Lazarus, célèbre collectif de hackers affilié à la Corée du Nord, a déjà été identifié dans plusieurs attaques d’envergure visant des portefeuilles numériques, des plateformes d’échange ou des projets DeFi. En 2022, le piratage du jeu Axie Infinity aurait rapporté près de 620 millions de dollars (environ 580 millions d’euros) à ce groupe.

Ces opérations, parfois menées sous couvert de recrutements frauduleux ou d’ingénierie sociale, montrent à quel point les frontières entre guerre numérique, espionnage et cybercriminalité sont devenues floues.

Face à cette nouvelle forme de menace, les entreprises technologiques sont contraintes de revoir leurs protocoles de recrutement. Ce qui relevait autrefois du simple échange de CVs et d’entretiens vidéo devient désormais une zone à haut risque, où la vigilance doit être constante.

Kraken recommande, par exemple, de varier les méthodes de vérification, d’éviter les questions de contrôle classiques et répétées, et d’introduire des tests en temps réel. Car si les vrais candidats s’adaptent facilement, les imposteurs — surtout ceux opérant à distance sous de fausses identités — sont souvent déstabilisés par l’imprévu.

Un avant-goût de la cyberguerre du futur ?

L’histoire de Kraken est loin d’être un cas isolé. Elle illustre une tendance lourde, où les menaces ne viennent plus seulement des failles logicielles mais aussi des failles humaines. Dans un univers où les intelligences artificielles, les deepfakes et les identités numériques deviennent monnaie courante, il devient urgent pour les entreprises d’intégrer la cybersécurité à tous les niveaux, y compris dans les services les plus inattendus comme les ressources humaines.

Elle pose aussi une question plus large sur l’avenir des relations internationales. Si des États comme la Corée du Nord utilisent des moyens détournés pour contourner les sanctions, détourner des fonds et espionner des infrastructures critiques à l’échelle mondiale, comment garantir la souveraineté numérique des nations et la sécurité des entreprises dans un monde de plus en plus interconnecté ?

Au cœur de cette stratégie, on trouve la GenAI, l’intelligence artificielle générative, dont les avancées fulgurantes ont ouvert des possibilités presque illimitées en matière de création de contenus crédibles. Ce sont précisément ces outils, conçus à l’origine pour accélérer les processus créatifs, qui sont aujourd’hui détournés pour fabriquer des identités numériques fictives, rédiger des CV adaptés à chaque offre d’emploi, passer des entretiens en vidéo, et même interagir avec des collègues, le tout sans jamais révéler la véritable nature des « employés ». Derrière les écrans, c’est en réalité une armée coordonnée d’agents nord-coréens qui œuvre à distance, avec un objectif clair : contourner les sanctions économiques imposées par la communauté internationale et alimenter les finances de Pyongyang.

« Ferme de laptops » : le nouveau visage de l’espionnage numérique

Le terme peut sembler anodin, presque trivial. Pourtant, les « fermes de laptops » désignent des structures logistiques discrètes mais essentielles à l’efficacité de cette stratégie. Installées dans des pays tiers — parfois même aux États-Unis — ces plateformes sont dirigées par des facilitateurs : des individus chargés de réceptionner les ordinateurs envoyés par les entreprises, de configurer les machines, de créer les accès aux services internes et d’assurer la coordination entre les travailleurs fictifs et leurs employeurs.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

En 2024, un de ces facilitateurs a été identifié sur le sol américain. Il pilotait un centre dans lequel il aidait une équipe de faux travailleurs nord-coréens à maintenir leur couverture professionnelle, tout en leur garantissant un accès sécurisé aux infrastructures de leurs entreprises clientes. Et ce cas n’est pas isolé. En 2025, les autorités ont démantelé un réseau basé en Caroline du Nord, à l’origine de l’infiltration de dizaines de « collaborateurs » dans des entreprises américaines. Derrière chaque faux profil, il ne s’agissait pas d’un individu isolé, mais d’un maillon dans une organisation structurée, avec des tâches réparties, des comptes simulés, et une discipline inspirée des services secrets.

Grâce à l’IA, un faux développeur nord-coréen peut désormais passer un entretien en visioconférence avec un deepfake vocal et visuel, sans éveiller les soupçons.

Le rôle central de l’IA dans ces opérations dépasse la simple rédaction de documents. Les plateformes de génération de CV, dotées d’algorithmes d’apprentissage profond, permettent d’ajuster chaque document aux exigences des offres ciblées. Les candidats fictifs utilisent aussi des outils de suivi de candidature pour identifier les opportunités les plus accessibles, contourner les filtres automatiques et maximiser leurs chances de réussite. Plus inquiétant encore : certains facilitateurs publient eux-mêmes de fausses offres d’emploi, dans le seul but de comprendre les critères de sélection des recruteurs et de perfectionner leurs faux profils.

Les entretiens, étape souvent perçue comme décisive dans un processus de recrutement, ne constituent plus un frein pour ces acteurs malveillants. Grâce aux progrès du deepfake, un candidat peut aujourd’hui apparaître en visioconférence avec un visage généré par IA, synchronisé en temps réel avec une voix artificielle. Le tout est géré depuis les fermes de laptops, où plusieurs opérateurs se répartissent les tâches techniques et sociales, allant même jusqu’à interagir avec des collègues sur Slack ou GitHub pendant les heures de bureau.

En s’appuyant sur des plateformes RH factices, les espions nord-coréens retournent les algorithmes de recrutement contre les entreprises elles-mêmes.

Les conséquences sont multiples et préoccupantes. D’un point de vue économique, ces travailleurs infiltrés génèrent des devises étrangères — parfois plusieurs milliers de dollars par mois — qui échappent aux sanctions. À titre d’exemple, un développeur freelance employé sur des projets blockchain peut facturer entre 80 et 120 dollars de l’heure, soit environ 75 à 112 euros de l’heure. En travaillant simultanément sur plusieurs projets à distance, un seul individu peut engranger plus de 20 000 dollars (environ 18 700 euros) par mois. En réalité, ce n’est pas un individu, mais une équipe entière qui se partage les tâches et les revenus.

Sur le plan sécuritaire, ces intrusions fragilisent les systèmes d’information des entreprises. Même sans accès direct à des données sensibles, un faux collaborateur peut introduire des portes dérobées, siphonner des bases de données, ou compromettre l’intégrité des logiciels développés. Pour les entreprises visées, il devient alors presque impossible de retracer les actions malveillantes tant les identités ont été soigneusement élaborées.

Un défi pour les ressources humaines et la cybersécurité

Face à cette sophistication, les responsables RH et les équipes de cybersécurité se retrouvent démunis. Les procédures de vérification traditionnelles — entretiens, contrôles de références, tests techniques — ne suffisent plus. Certains experts recommandent désormais d’intégrer des audits réguliers des postes en télétravail, de renforcer la vérification biométrique ou de développer des systèmes d’authentification comportementale. Mais chaque avancée dans la détection semble aussitôt contournée par de nouveaux outils d’IA, toujours plus efficaces et difficilement traçables.

Paradoxalement, ce sont parfois les outils de sécurité eux-mêmes qui sont exploités à l’envers. En testant leurs faux profils contre des algorithmes de filtrage automatique, les agents nord-coréens affinent leur stratégie jusqu’à obtenir un taux de réussite optimal. Chaque échec devient une donnée d’apprentissage. Ce jeu du chat et de la souris algorithmique transforme les plateformes RH en véritables laboratoires de la désinformation.

Les États-Unis ne sont pas les seuls touchés. L’Europe, l’Asie du Sud-Est et le Moyen-Orient sont également ciblés. Des cas similaires ont été signalés en Allemagne, au Japon, et aux Émirats arabes unis, avec des modus operandi identiques. L’usage de VPN sophistiqués, l’obfuscation d’empreintes numériques et la segmentation géographique des connexions rendent l’attribution des faits extrêmement difficile. Les infrastructures de cloud sont utilisées pour dissimuler les mouvements de données et compartimenter les responsabilités.

Vers une militarisation numérique du télétravail

L’émergence des « Wagemoles », ces travailleurs clandestins manipulés par l’État nord-coréen, interroge la manière dont le monde du travail s’est transformé. Le télétravail, jadis perçu comme une libération des contraintes géographiques, devient une faille systémique. La promesse d’un recrutement mondial et diversifié se heurte à la réalité géopolitique : des régimes autoritaires exploitent les règles du jeu à leur avantage, tout en restant invisibles.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Le terme « Wagemole », contraction de wage (salaire) et mole (taupe), évoque à la fois l’avidité financière et l’infiltration silencieuse. Il cristallise les dérives d’un monde numérique sans frontières, où la confiance repose sur des pixels et des métadonnées. Dans ce théâtre d’ombres, l’intelligence artificielle n’est plus seulement un outil, mais un personnage à part entière — parfois allié, parfois ennemi.

Si l’on ignore encore combien d’entreprises ont été infiltrées avec succès, les premières estimations font état de centaines d’opérations en cours, réparties sur tous les continents. Certaines sociétés, souvent des startups en pleine croissance, n’ont tout simplement pas les moyens de détecter de telles menaces. D’autres choisissent de garder le silence pour éviter les conséquences en termes d’image ou de responsabilité légale.

Dans un monde de plus en plus interconnecté, comment s’assurer que derrière l’écran se cache bien la personne que l’on croit embaucher ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

cyberattaque, Entreprise

Cyberattaque chez Co-op : les révélations accablantes des pirates

Les pirates du groupe DragonForce affirment avoir volé les données de 20 millions de membres de la coopérative britannique Co-op, malgré les démentis initiaux de l’entreprise.

Alors que la cybersécurité est devenue un enjeu majeur pour les entreprises du monde entier, une nouvelle attaque d’envergure secoue le Royaume-Uni. Le géant britannique de la distribution, Co-op, a été victime d’un piratage informatique attribué au groupe DragonForce, un collectif notoire dans le milieu du rançongiciel. Ce dernier affirme avoir exfiltré d’importantes quantités de données sensibles, concernant à la fois des employés et des clients de l’entreprise. Malgré une communication initiale rassurante de la part de Co-op, les révélations faites à la BBC par les pirates eux-mêmes, accompagnées de preuves concrètes, jettent une lumière inquiétante sur l’ampleur réelle de la brèche.

DragonForce, connu pour ses opérations d’extorsion numérique, a contacté la BBC pour fournir des captures d’écran de son message initial envoyé au chef de la cybersécurité de Co-op. Ce message, daté du 25 avril, a été transmis via Microsoft Teams, une méthode de communication inhabituelle mais révélatrice du niveau d’infiltration atteint par le groupe. Dans un geste encore plus audacieux, les pirates ont ensuite tenté un appel direct au responsable de la sécurité de Co-op, cherchant vraisemblablement à forcer une négociation ou à démontrer leur contrôle sur les systèmes internes.

L’entreprise a dans un premier temps minimisé l’incident, déclarant qu’aucune donnée client ne semblait avoir été compromise. Mais quelques jours plus tard, face à l’accumulation de preuves, Co-op a dû reconnaître que des acteurs malveillants avaient bel et bien eu accès à des informations appartenant à des membres actuels et passés. Les pirates, quant à eux, affirment avoir mis la main sur les données de 20 millions de membres inscrits au programme de fidélité de Co-op — un chiffre que la société n’a pas confirmé, alimentant ainsi la confusion et les spéculations.

« Les pirates ont eu accès aux identifiants du personnel, à 10 000 dossiers clients, aux numéros de carte de membre, noms, adresses et coordonnées personnelles », rapporte la BBC.

Si l’on en croit les informations transmises par DragonForce, la portée de l’attaque dépasse de loin ce que l’on craignait. Les hackers disent avoir infiltré les équipes internes de l’entreprise, récupérant notamment les identifiants de connexion de plusieurs employés. Ils auraient aussi exfiltré au moins 10 000 dossiers clients contenant noms, adresses postales, adresses e-mail, numéros de téléphone et numéros de carte de membre Co-op. La BBC précise qu’elle a pu consulter un échantillon de ces données et qu’après vérification, celles-ci ont été détruites.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Co-op a toutefois tenu à rassurer ses membres : selon un porte-parole, les informations volées n’incluraient ni les mots de passe, ni les coordonnées bancaires, ni les données de carte de crédit. Les informations relatives aux transactions ou aux services souscrits par les clients seraient également épargnées. Un soulagement relatif pour les consommateurs, mais qui ne dissipe pas l’inquiétude sur la gestion de la crise par l’entreprise.

Cette affaire relance le débat sur la transparence des entreprises victimes de cyberattaques. Car si Co-op a fini par admettre l’intrusion, son refus de confirmer l’ampleur exacte du vol de données alimente les doutes. Pour les experts en cybersécurité, cette stratégie de communication minimaliste est risquée. Elle nuit à la confiance des clients et pourrait exposer l’entreprise à des sanctions réglementaires, notamment dans le cadre du RGPD européen, qui impose des délais stricts et des obligations de notification en cas de fuite de données personnelles.

DragonForce, qui a également revendiqué une attaque récente contre M&S et affirmé avoir tenté de pirater Harrods, fonctionne selon un modèle bien rodé. Le groupe diffuse ses outils via un réseau d’affiliés, en échange d’un pourcentage sur les rançons obtenues. Cette approche de la cybercriminalité, qui rappelle les logiques de start-up, lui permet de multiplier les attaques tout en diversifiant ses cibles. Les experts estiment que le groupe est constitué majoritairement d’adolescents anglophones, animés à la fois par des motivations financières et une forme de défi idéologique envers les grandes entreprises.

Les canaux de communication utilisés par DragonForce, notamment Telegram et Discord, jouent un rôle central dans leur stratégie. Ils y diffusent les preuves de leurs attaques, publient des listes de victimes et parfois même des données volées, exerçant ainsi une pression publique sur les organisations ciblées. Cette tactique s’avère redoutablement efficace : l’exposition médiatique incite certaines entreprises à céder au chantage pour éviter que leurs informations confidentielles ne soient divulguées sur Internet.

La question de savoir si Co-op a reçu une demande de rançon demeure floue. L’entreprise ne s’est pas exprimée sur ce point, mais le message envoyé via Microsoft Teams laisse penser que les pirates cherchaient à ouvrir un canal de négociation. Refuser de répondre publiquement à cette question pourrait s’expliquer par le souhait de ne pas encourager d’autres attaques similaires, ou par la simple volonté de limiter les retombées médiatiques.

Au-delà du cas Co-op, cette cyberattaque illustre une évolution préoccupante du paysage numérique. Les cybercriminels n’hésitent plus à cibler des structures de grande envergure, à compromettre leurs systèmes internes et à se servir des médias pour amplifier leur pouvoir de nuisance. Dans un contexte où les données personnelles constituent un actif stratégique, les entreprises doivent redoubler de vigilance, investir dans des dispositifs de protection plus robustes et surtout adopter une posture de transparence active dès qu’une faille est détectée.

D’un point de vue juridique, le vol présumé de données de millions de clients pourrait entraîner des poursuites et des sanctions. Si le chiffre de 20 millions de personnes concernées venait à être confirmé, il s’agirait d’une des violations de données les plus importantes qu’ait connues le Royaume-Uni ces dernières années. À l’échelle européenne, les conséquences seraient tout aussi significatives, notamment en matière de régulation et de cybersécurité.

Dans ce climat tendu, les entreprises sont appelées à repenser leurs protocoles de réponse aux incidents, à renforcer la formation de leurs employés et à mettre en place des dispositifs de surveillance avancés. La collaboration avec les autorités judiciaires et les experts en cybersécurité devient également essentielle pour contenir les dégâts, identifier les auteurs et prévenir de nouvelles intrusions.

La cyberattaque contre Co-op agit donc comme un électrochoc. Elle met en lumière les failles d’un système encore trop vulnérable face à des pirates toujours plus organisés, inventifs et audacieux. Elle rappelle également aux consommateurs l’importance de la vigilance numérique : changer régulièrement ses mots de passe, surveiller ses relevés bancaires et être attentif aux communications inhabituelles sont devenus des gestes de prudence élémentaires.

Alors que les menaces numériques s’intensifient et que les groupes comme DragonForce gagnent en influence, une question essentielle demeure : comment les entreprises peuvent-elles regagner la confiance du public et garantir la sécurité de nos données dans un monde de plus en plus connecté ?

Harrods a confirmé une cyberattaque

Après des incidents similaires subis par M&S et Co-op, ce qui en fait le troisième grand détaillant britannique ciblé en quelques jours. Le grand magasin de luxe Harrods a confirmé la cyberattaque. « Nous avons récemment été confrontés à des tentatives d’accès non autorisé à certains de nos systèmes », a pu lire DataSecuritybreach.fr dans un communiqué publié par l’entreprise. « Notre équipe de sécurité informatique expérimentée a immédiatement pris des mesures proactives pour assurer la sécurité des systèmes et, par conséquent, nous avons restreint l’accès à Internet sur nos sites aujourd’hui.« 

En réponse à l’attaque, l’entreprise a « restreint l’accès à Internet sur ses sites« , mais le site de Harrods est resté en ligne. Harrods n’a pas fourni de détails techniques sur les attaques, et il n’est pas clair s’il a subi une violation de données.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

backdoor, Cybersécurité, Patch

Une faille vieille de six ans compromet le commerce en ligne mondial

Un code malveillant enfoui depuis 2019 dans des extensions Magento vient d’être activé, affectant entre 500 et 1 000 boutiques en ligne, dont une entreprise pesant 40 milliards de dollars.

Depuis une semaine, la communauté de la cybersécurité est en alerte maximale. Une attaque sophistiquée de la chaîne d’approvisionnement, dissimulée depuis six ans dans des extensions Magento, a permis à des pirates de prendre le contrôle de centaines de boutiques en ligne. L’ampleur du piratage dépasse les frontières du simple incident technique : elle met en lumière les risques systémiques liés à l’économie numérique, notamment dans le secteur du commerce électronique. Selon le cabinet de cybersécurité Sansec, à l’origine de la découverte, des acteurs malveillants ont compromis des serveurs de téléchargement d’extensions utilisées par des centaines d’e-commerçants à travers le monde. Une faille dormante, activée seulement récemment, a permis une intrusion massive et coordonnée.

L’attaque, qui cible le cœur du fonctionnement des boutiques Magento, repose sur une technique redoutable : le piratage des extensions logicielles fournies par des développeurs tiers. Dans ce cas précis, 21 modules commercialisés ou distribués entre 2019 et 2022 ont été infectés par une porte dérobée, masquée dans une fausse vérification de licence. Cette dernière permet aux hackers de charger un fichier à distance, sans authentification pour les versions les plus anciennes, ou via une clé secrète dans les plus récentes. Grâce à cette faille, les attaquants pouvaient injecter du code arbitraire dans les serveurs des e-commerçants et potentiellement accéder aux données des clients, aux informations de paiement ou encore aux paramètres de configuration sensibles.

Les fournisseurs impliqués sont trois noms bien connus de l’écosystème Magento : Tigren, Meetanshi et Magesolution (MGS). Tous trois proposent depuis plusieurs années des modules d’optimisation pour les boutiques en ligne : ajouts au panier plus fluides, gestion des cookies, localisation des magasins ou encore intégration avec les réseaux sociaux. Autant d’outils précieux pour les commerçants, mais qui se sont révélés être, dans ce cas précis, des chevaux de Troie. Les backdoors ont été identifiées dans des extensions telles que Ajaxsuite, RGPD, Lookbook, ou encore Facebook Chat, avec une même signature : un fichier License.php ou LicenseApi.php détourné de sa fonction initiale.

« Une multinationale pesant 40 milliards de dollars est parmi les victimes« 

Le scénario découvert est d’autant plus inquiétant que la compromission initiale remonte à plusieurs années. Le code malveillant aurait été injecté dès 2019, voire plus tôt, mais n’a été activé qu’en avril 2025. Cette stratégie dite de « dormance » est particulièrement redoutée en cybersécurité : elle permet à l’attaquant de rester invisible pendant des années, jusqu’au jour où il décide d’agir. Le fait que l’abus réel n’ait commencé qu’en avril interroge les experts : s’agissait-il d’une phase de test, ou d’une attaque mûrement planifiée pour coïncider avec une période stratégique, comme la saison des ventes en ligne ? Les implications sont majeures.

La réaction des fournisseurs concernés jette une lumière crue sur la difficulté de gérer de telles crises. Tigren nie avoir été piraté, malgré les preuves techniques et le maintien en ligne de ses extensions compromises. Meetanshi, plus transparent, admet que son serveur a bien été compromis, sans pour autant reconnaître d’altération de ses packages. Quant à Magesolution, il n’avait toujours pas répondu aux sollicitations lors de l’écriture de l’article de DataSecurityBreach.fr. Un silence qui interroge, alors même que ses modules restent disponibles au téléchargement, porte dérobée incluse.

L’analyse révèle que chaque backdoor possède un nom, un chemin et une somme de contrôle uniques. Cela suggère une attaque particulièrement sophistiquée, menée avec minutie pour éviter toute détection automatisée. Cette personnalisation complique le travail des systèmes antivirus et des scanners de sécurité, qui peinent à identifier une menace qui ne se répète pas à l’identique. De plus, les hackers ont utilisé un fichier appelé registration.php pour activer la fausse vérification de licence, une méthode subtile permettant de ne pas éveiller les soupçons des développeurs ou des administrateurs de sites.

« Il est rare qu’une porte dérobée reste indétectée pendant six ans, mais il est encore plus étrange que les abus réels ne commencent que maintenant »

D’un point de vue technique, la faille repose sur une fonction appelée « adminLoadLicense », qui exécute en PHP le contenu d’une variable contrôlée par l’attaquant : $licenseFile. C’est cette porte d’entrée qui permet l’exécution de code à distance. Dans les versions anciennes des extensions, aucune authentification n’était requise pour charger un fichier, ce qui rendait l’attaque encore plus facile à mener. Les versions plus récentes imposent une clé secrète, mais celle-ci a manifestement été compromise, ou générée de manière prévisible.

Au-delà de l’aspect technique, cette attaque soulève des questions majeures sur la sécurité des chaînes d’approvisionnement logicielles. Dans un monde numérique où la majorité des entreprises s’appuient sur des composants tiers pour bâtir leurs infrastructures, la confiance dans les fournisseurs devient un enjeu vital. Lorsque cette confiance est trahie, les conséquences sont catastrophiques. Dans ce cas, non seulement les commerçants ont été exposés, mais également les consommateurs, dont les données personnelles et financières ont pu être compromises.

Le modèle économique des extensions Magento accentue ce risque. Bon nombre de ces modules sont gratuits ou à faible coût, développés par des petites entreprises ou des indépendants qui n’ont pas les moyens de mettre en place des processus de sécurité avancés. Et même lorsque des vérifications existent, elles se concentrent souvent sur les fonctionnalités visibles, non sur des fichiers apparemment anodins comme License.php. Cette attaque démontre qu’il est désormais impératif d’intégrer des audits de sécurité profonds, même pour les composants considérés comme mineurs.

À l’échelle globale, cette faille pourrait entraîner un regain de méfiance envers les plateformes open source comme Magento. Pourtant, le problème ne vient pas de la plateforme elle-même, mais de l’écosystème de modules tiers non suffisamment contrôlés. Des géants comme Adobe, propriétaire de Magento, devront sans doute revoir leurs processus de validation et encourager les utilisateurs à auditer les packages avant toute installation. La multiplication des attaques de ce type, SolarWinds, Log4j, et maintenant Magento, montre que la chaîne d’approvisionnement numérique est devenue le nouveau front du cybercrime.

Les conséquences économiques exactes de l’attaque restent à évaluer. Si une multinationale de 40 milliards de dollars est impliquée, les pertes potentielles pourraient se chiffrer en millions d’euros. Outre l’atteinte à la réputation, il faudra aussi compter avec les frais de mise à jour des systèmes, les audits de sécurité, les signalements aux régulateurs et, possiblement, des plaintes de clients. Le RGPD prévoit en effet des sanctions sévères en cas de fuite de données due à une négligence dans la chaîne de traitement.

Dans l’immédiat, il est recommandé aux commerçants en ligne utilisant les extensions concernées de les supprimer sans délai, de scanner leurs serveurs à la recherche de fichiers suspects et d’auditer les accès réseau. Il est également conseillé de mettre en place un suivi automatisé de l’intégrité des fichiers, pour détecter rapidement toute modification suspecte.

Cette attaque soulève une inquiétude légitime : combien d’autres portes dérobées dorment encore dans nos infrastructures numériques ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cyber-attaque, Cybersécurité, Piratage

Ukraine assiégée : l’autre front de la cyberguerre contre la Russie

Les cyberattaques contre l’Ukraine ont bondi de 48 % au second semestre 2024, mais derrière cette hausse se cache une guerre numérique où sabotage, désinformation et ciblage militaire redéfinissent les règles de la cybersécurité.

Depuis 2022, l’Ukraine ne mène pas seulement une guerre sur le terrain : elle affronte une guerre numérique sans précédent. Les cyberattaques, longtemps considérées comme un théâtre secondaire du conflit russo-ukrainien, se révèlent aujourd’hui être un front central, intégré aux opérations militaires et stratégiques. Le dernier rapport du CERT-UA, le centre ukrainien d’intervention d’urgence informatique, dresse un tableau inquiétant pour le second semestre 2024 : une augmentation vertigineuse du nombre d’incidents, des tactiques russes de plus en plus sophistiquées, et une perméabilité croissante entre les attaques numériques et les actions militaires sur le terrain. La cyberguerre n’est plus une menace en ligne : c’est une guerre totale, hybridée, aux conséquences bien réelles pour l’État et ses citoyens.

Une explosion des incidents, une baisse trompeuse de leur gravité apparente

Derrière les chiffres du dernier rapport du CERT-UA se dessine une mutation profonde des modes opératoires. Durant la seconde moitié de 2024, l’Ukraine a enregistré 2 576 incidents de cybersécurité, soit une hausse de 48 % par rapport au semestre précédent. Un pic qui, à première vue, pourrait suggérer une intensification brute des offensives. Pourtant, dans un paradoxe apparent, les incidents jugés critiques ou de haute sévérité ont chuté de 77 %. Ce recul ne traduit pas une accalmie, mais un changement de méthode. Les attaques ne sont pas moins dangereuses, elles sont simplement plus furtives. Mieux dissimulées, elles échappent aux radars classiques, brouillant les seuils de détection.

Les campagnes de diffusion de malwares ont doublé (+112 %), avec une industrialisation inquiétante du phishing. L’utilisation de plateformes légitimes comme Google Drive ou GitHub pour héberger des malwares marque un tournant : les attaquants se greffent sur des infrastructures de confiance pour franchir les défenses les plus robustes. En parallèle, les actions menées contre le réseau électrique ukrainien montrent une synergie inédite entre le cyber et le cinétique. Désormais, une attaque numérique peut précéder un tir de missile, dans un ballet destructeur où chaque faille informatique devient une brèche stratégique.

Les attaques cyber précèdent désormais les frappes de missiles, selon le CERT-UA, soulignant la fusion entre guerre numérique et militaire.

L’armée comme champ de bataille numérique

Le monde militaire, longtemps perçu comme un bastion sécurisé, devient aujourd’hui une cible prioritaire — et un terrain d’affrontement numérique. Le rapport du CERT-UA révèle que plusieurs outils malveillants, dont les implants FIRMACHAGENT et le malware historique SPECTR, ont été déployés pour infiltrer les communications militaires, intercepter des données GPS ou dérober des identifiants d’applications de messagerie comme Signal.

Les groupes d’attaque russes identifiés sous les appellations UAC-0020 (Vermin) ou UAC-0180 ont multiplié les campagnes contre les systèmes de partage de fichiers, les dispositifs de surveillance ou les communications tactiques. Dans un cas documenté, des malwares ont été diffusés sous la forme d’applications Android militaires factices, clones de logiciels authentiques, mais dotés de fonctionnalités d’espionnage poussées. Ces applications malveillantes, souvent partagées via Signal, injectaient du code Java malicieux et prenaient le contrôle des téléphones infectés. Il ne s’agissait plus seulement d’espionner, mais bien d’altérer le cours d’opérations sur le terrain.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

L’infrastructure civile, nouvelle cible stratégique

Les cyberattaques ne visent plus seulement les militaires : elles frappent aussi les civils au cœur de leur quotidien. En décembre 2024, le piratage des registres étatiques du ministère de la Justice ukrainien a provoqué une paralysie brutale : passeports bloqués, transactions immobilières suspendues, franchissements de frontières interrompus. Au-delà des désagréments administratifs, cet épisode a illustré avec force que les infrastructures numériques civiles sont devenues des instruments de guerre.

Cette nouvelle réalité modifie l’équation stratégique. Un serveur compromis peut désormais équivaloir à une route détruite ou à une centrale visée. Chaque attaque contre des services publics, des systèmes de santé ou des bases de données démographiques devient une manière de miner la résilience de l’État ukrainien — non plus par la violence, mais par la paralysie numérique.

Chaînes d’approvisionnement : la nouvelle porte d’entrée

Face au durcissement des systèmes critiques, les groupes de pirates changent de stratégie : ils s’attaquent aux maillons faibles, souvent négligés. Les prestataires, sous-traitants ou éditeurs de logiciels tiers deviennent les nouvelles cibles. CERT-UA souligne que plusieurs campagnes d’intrusion sont passées par des failles dans des outils comme GeoServer (CVE-2024-36401) ou WinRAR (CVE-2023-38831), infiltrant les organisations par des dépendances compromises.

Ce déplacement vers les chaînes d’approvisionnement n’est pas sans rappeler l’affaire SolarWinds, mais dans une version localisée, plus discrète et persistante. En exploitant la confiance accordée à certains fournisseurs, les attaquants parviennent à contourner les barrières de sécurité les plus robustes, instaurant une vulnérabilité systémique difficile à colmater.

Les intrusions par la chaîne d’approvisionnement deviennent la norme : un modèle d’attaque silencieuse mais redoutablement efficace.

Des groupes connus, mais toujours plus innovants

Les visages de la cyberguerre ne changent pas, mais leurs méthodes, oui. Des groupes comme UAC-0001 (plus connu sous le nom d’APT28) ou UAC-0050 ont modernisé leurs arsenaux. Finies les vieilles macros en Visual Basic. Place aux QR-codes piégés, aux faux CAPTCHAs et aux fichiers d’archives infectés. L’objectif reste le même : exfiltrer des données, compromettre des comptes, désorganiser les communications. Mais les moyens sont désormais calibrés au millimètre, ciblés, déguisés et adaptés à chaque profil.

Derrière ces attaques se cache un travail d’ingénierie sociale aussi poussé que leur codage. Les campagnes de spear phishing — très ciblées — exploitent la psychologie humaine autant que les vulnérabilités logicielles. Une simple invitation à une conférence peut se révéler être un cheval de Troie redoutable, délivrant un script PowerShell à l’insu de l’utilisateur.

Malgré les difficultés, les défenses ukrainiennes s’organisent. Le CERT-UA, avec l’appui d’alliés internationaux, déploie des réseaux de capteurs, des plateformes d’analyse comportementale et des outils de cartographie des menaces. Certaines attaques sont stoppées avant leur exécution complète — des « quasi-incidents » grâce à une meilleure anticipation.

Mais l’ampleur du défi reste vertigineuse. Les cybercriminels exploitent désormais des failles zéro-day dans les 12 à 24 heures suivant leur divulgation. Dans ce contexte, chaque retard de mise à jour peut ouvrir une brèche irréparable. Seule une stratégie proactive, axée sur la chasse aux menaces et le partage d’informations, peut offrir une chance de garder une longueur d’avance.

Guerre psychologique : la frontière invisible

Si les logiciels malveillants captent l’attention, l’autre volet de cette guerre est silencieux, insidieux : celui de la désinformation et de l’ingénierie sociale. Les opérations d’influence psychologique (IPSO), pilier de la stratégie russe, cherchent à semer le doute, la peur et la méfiance parmi la population. Même un piratage raté peut suffire à provoquer une panique ou à éroder la confiance dans les institutions.

Des campagnes de phishing ciblent directement les citoyens via Signal ou WhatsApp. Les données volées ne servent pas qu’à l’espionnage : elles alimentent des récits falsifiés, sont manipulées dans des campagnes de désinformation, et servent à intoxiquer le débat public.

La guerre en Ukraine montre que la cybersécurité ne peut plus être cantonnée à des pare-feu ou à des antivirus. Elle doit désormais intégrer des considérations géopolitiques, sociales et militaires. La cyberguerre ne se joue pas seulement sur des claviers, mais dans les centrales électriques, les casernes, les hôpitaux, et jusque dans la poche des citoyens.

À l’heure où la Russie perfectionne ses tactiques hybrides, la question n’est plus de savoir si les attaques vont continuer, mais si les défenseurs réussiront à évoluer plus vite que leurs adversaires. Cette course contre la montre est-elle tenable sur le long terme ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Entreprise, santé, Vie privée

Des patients abandonnés dans le flou après une cyberattaque

Presque un an après la fuite massive de données médicales au Royaume-Uni, des centaines de milliers de patients restent sans réponse sur la nature des informations exposées par les cybercriminels.

Le 3 juin 2024, une cyberattaque d’une ampleur inédite frappait Synnovis, prestataire majeur de services de pathologie pour le National Health Service (NHS) à Londres. Derrière cette opération, le groupe de ransomware Qilin, connu pour ses tactiques de chantage numérique, avait réussi à infiltrer les systèmes du laboratoire et à s’emparer de données médicales critiques. Près d’un an plus tard, le silence qui entoure encore l’incident révolte les experts et inquiète les patients. Car malgré l’ampleur de la fuite, potentiellement plus de 900 000 personnes concernées, une majorité d’entre elles n’a toujours reçu aucune notification. Et certaines informations, comme des diagnostics de cancer ou d’infections sexuellement transmissibles, ont déjà été publiées sur le dark web.

Un silence inquiétant

Le scénario est digne d’un thriller numérique, mais il est bien réel. L’attaque, qui a paralysé une partie des activités de diagnostic sanguin dans les hôpitaux londoniens, a mis en lumière une vulnérabilité structurelle dans la gestion informatique du système de santé britannique. Si, dès les premières heures de la crise, l’urgence était d’ordre logistique, assurer les transfusions malgré la perte des systèmes de compatibilité sanguine, la question de la protection des données personnelles a rapidement émergé comme une problématique tout aussi cruciale.

Synnovis, à l’époque, avait indiqué avoir immédiatement lancé une procédure d’eDiscovery, un processus numérique d’analyse de contenu destiné à identifier les fichiers compromis et les personnes concernées. En septembre, soit trois mois après l’attaque, l’entreprise annonçait que le processus était « avancé« . Pourtant, au mois de mai suivant, aucun patient n’a été officiellement averti que ses données avaient été exposées.

Selon les résultats d’une analyse indépendante menée par la société CaseMatrix, spécialiste des violations de données, les documents volés contiennent des informations personnelles particulièrement sensibles. Il ne s’agit pas seulement de noms, de dates de naissance ou de numéros NHS. Des rapports médicaux, des formulaires de pathologie et d’histologie, qui détaillent les symptômes, les antécédents et les suspicions de maladies graves, font partie de la fuite.

« Les formulaires incluent des descriptions explicites de diagnostics liés à des cancers, des IST ou d’autres affections graves. Ces informations ont été publiées sur des forums accessibles aux cybercriminels« , alerte un analyste de CaseMatrix.

Le caractère profondément intime de ces données fait peser un risque évident sur les libertés individuelles, notamment en cas d’usurpation d’identité ou de stigmatisation. Pourtant, le droit britannique en matière de protection des données, notamment encadré par le Règlement général sur la protection des données (RGPD) et ses déclinaisons nationales, est sans équivoque : les personnes dont les données sensibles ont été compromises doivent être informées « dans les plus brefs délais« , dès lors que la fuite présente un risque élevé pour leurs droits.

Des responsabilités diluées

Face à la pression médiatique et politique, Synnovis a maintenu une ligne défensive prudente. Dans ses rares déclarations, la société insiste sur la complexité de l’analyse des données volées et sur la nécessité de « confirmer avec certitude » les personnes concernées avant d’émettre toute notification. Mais cette prudence se heurte à l’impatience croissante des organisations partenaires et à l’incompréhension des patients.

Les NHS Trusts qui collaborent avec Synnovis, notamment Guy’s and St Thomas’ et King’s College Hospital, affirment qu’ils n’ont reçu aucune information concrète sur les fichiers les concernant. « Nous sommes toujours en attente des résultats du processus de découverte électronique« , explique l’un de leurs porte-parole, renvoyant systématiquement la responsabilité vers le prestataire de laboratoire.

Cette posture en cascade, où chacun renvoie la balle à l’autre, a pour effet direct une opacité préjudiciable pour les personnes concernées. Pour le régulateur britannique, l’Information Commissioner’s Office (ICO), il ne s’agit pas d’un simple retard administratif. Le non-respect de l’obligation d’information pourrait justifier des sanctions, notamment si la lenteur du processus d’analyse n’est pas jugée proportionnelle à la gravité de l’incident.

« Lorsqu’une violation entraîne la fuite de données médicales, les individus doivent être avertis sans attendre s’ils courent un risque important. Il en va de leur droit à la vie privée et à la sécurité », rappelle une directive de l’ICO.

Une crise sanitaire doublée d’une crise de confiance

La cyberattaque n’a pas seulement mis à mal la sécurité des données. Elle a également perturbé gravement les activités médicales quotidiennes du NHS. En juin et juillet 2024, plusieurs hôpitaux londoniens ont dû reporter des interventions chirurgicales en raison du manque de résultats de laboratoire disponibles. Le service de transfusion sanguine a dû, dans certains cas, recourir à des donneurs universels faute de pouvoir vérifier les groupes sanguins spécifiques. Cette gestion dans l’urgence a démontré à quel point l’écosystème médical dépend de ses infrastructures numériques.

Mais si la réponse opérationnelle semble avoir été progressivement restaurée, Synnovis affirme que ses systèmes critiques ont été reconstruits dès septembre, la question de la confiance dans les institutions médicales demeure. Le manque de communication proactive, le délai dans l’identification des victimes et l’absence d’accompagnement psychologique ou juridique renvoient à une crise éthique.

De nombreux patients, ayant appris l’existence de la fuite via les médias ou des forums spécialisés, vivent aujourd’hui dans l’angoisse. Certains craignent que des informations gênantes sur leur santé puissent être utilisées à des fins malveillantes. D’autres dénoncent un double standard : « Si c’étaient des données bancaires, tout le monde aurait été alerté en 48 heures« , déplore une patiente interrogée anonymement.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Le coût humain de la cybersécurité négligée

Il est encore difficile d’estimer le coût total de la cyberattaque. Les pertes financières pour Synnovis n’ont pas été rendues publiques, mais les coûts liés à la restauration des systèmes, aux audits de sécurité et aux potentielles poursuites judiciaires pourraient atteindre plusieurs millions de livres. À cela s’ajoutent les dommages d’image, ainsi qu’un éventuel encadrement réglementaire plus strict de la part des autorités sanitaires britanniques.

Mais au-delà des aspects économiques, c’est le coût humain de cette négligence numérique qui soulève des inquiétudes. La santé, domaine parmi les plus sensibles en matière de données personnelles, reste une cible privilégiée des cybercriminels. Dans un monde où les dossiers médicaux sont de plus en plus numérisés, l’attaque contre Synnovis agit comme un signal d’alarme.

Les experts en cybersécurité soulignent la nécessité de revoir en profondeur les protocoles de protection et de réaction des établissements de santé. Former le personnel, renforcer les pare-feu, crypter les données à plusieurs niveaux : les solutions existent, mais nécessitent des investissements souvent repoussés.

Une alerte mondiale

L’incident Synnovis dépasse les frontières britanniques. Il s’inscrit dans une tendance mondiale préoccupante : l’explosion des cyberattaques contre les hôpitaux, cliniques et laboratoires. En 2023, des établissements en France, en Allemagne et aux États-Unis ont été pris pour cible, souvent avec des méthodes similaires de rançongiciel. Et les motivations des pirates vont bien au-delà du simple gain financier : les données de santé, revendues sur le dark web, valent plus cher que les numéros de cartes bancaires.

Alors que Synnovis affirme aujourd’hui que son processus d’analyse est « presque terminé » et qu’il prépare les notifications aux patients et aux organisations concernées, beaucoup s’interrogent : pourquoi tant de lenteur ? Et surtout, comment éviter que de tels scandales ne se reproduisent ?

« Dans un secteur aussi sensible, l’opacité n’est pas une option. Il faut restaurer la confiance, non seulement par des mots, mais par des actes« , souligne un avocat spécialisé en droit du numérique.

Quelle responsabilité collective face aux cybermenaces ?

La cyberattaque contre Synnovis met en lumière un paradoxe majeur : à mesure que la médecine progresse grâce au numérique, elle devient aussi plus vulnérable. Comment garantir la confidentialité et la sécurité des données médicales dans un système de santé soumis à des tensions budgétaires et à des transformations rapides ? Et quelle part de responsabilité incombe aux prestataires privés, aux autorités sanitaires et aux patients eux-mêmes dans cette nouvelle donne numérique ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Justice, Piratage

Un Yéménite accusé d’avoir lancé Black Kingdom contre des hôpitaux

Un ressortissant yéménite est accusé d’avoir orchestré une vaste campagne de cyberattaques avec le rançongiciel Black Kingdom, ciblant écoles, cliniques et entreprises aux États-Unis, depuis le Yémen.

Le ministère américain de la Justice a levé le voile sur un nouvel épisode inquiétant de la cyberguerre mondiale. Le 2 mai 2025, les autorités américaines ont annoncé l’inculpation de Rami Khaled Ahmed, un Yéménite de 36 ans, accusé d’avoir dirigé une campagne d’attaques informatiques via le ransomware Black Kingdom entre mars 2021 et juin 2023. Depuis Sanaa, la capitale du Yémen, Ahmed aurait mené une série d’opérations visant à extorquer des sommes en cryptomonnaie en paralysant des réseaux informatiques critiques, notamment dans les domaines de la santé, de l’éducation et des services aux entreprises. Cette affaire, révélée dans un contexte de répression renforcée contre les cybercriminels à l’échelle internationale, soulève de nombreuses questions sur la coordination de la lutte contre la cybercriminalité, les failles persistantes dans les infrastructures numériques et les limites de la souveraineté judiciaire face à des menaces transnationales.

D’après l’acte d’accusation rendu public par le Département de la Justice américain (DoJ), Rami Khaled Ahmed aurait exploité une faille de sécurité critique baptisée ProxyLogon, découverte dans les serveurs Microsoft Exchange début 2021. Cette vulnérabilité, qui permet à un pirate de prendre le contrôle total d’un serveur sans authentification préalable, a été rapidement exploitée par de nombreux groupes malveillants à travers le monde. Dans le cas du Yéménite, elle aurait permis l’installation du ransomware Black Kingdom sur environ 1 500 systèmes informatiques, principalement aux États-Unis mais aussi dans d’autres pays.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Parmi les cibles confirmées figurent une entreprise de services de facturation médicale à Encino, une station de ski dans l’Oregon, un district scolaire en Pennsylvanie et une clinique de santé dans le Wisconsin. Après avoir pénétré les réseaux, le malware procédait au chiffrement des données sensibles, empêchant tout accès pour les utilisateurs légitimes. Une note de rançon apparaissait ensuite sur les écrans des victimes, les invitant à transférer 10 000 dollars (environ 9 300 euros) en bitcoins à une adresse contrôlée par un complice. Un canal de communication par e-mail permettait aux victimes de prouver le paiement et de recevoir, potentiellement, une clé de déchiffrement.

« Black Kingdom est l’une des premières familles de ransomwares à avoir exploité ProxyLogon. Elle a marqué une étape dans la sophistication des attaques contre les systèmes Exchange Server« , a expliqué Microsoft dans une analyse publiée fin mars 2021.

Connue également sous le nom de Pydomer, la famille de ransomwares Black Kingdom n’est pas nouvelle dans le paysage des menaces cyber. Elle avait déjà été repérée dans des attaques utilisant une autre faille de sécurité majeure : celle du VPN Pulse Secure, référencée CVE-2019-11510. Ces vulnérabilités, connues et documentées, n’en restent pas moins redoutables, notamment lorsque les correctifs ne sont pas appliqués à temps par les administrateurs système.

Si Rami Khaled Ahmed est reconnu coupable, il risque une peine pouvant aller jusqu’à 15 ans de prison fédérale aux États-Unis, soit cinq ans pour chacun des trois chefs d’accusation retenus contre lui : complot, dommage intentionnel à un ordinateur protégé, et menaces de dommage à un ordinateur protégé. Cependant, l’accusé réside toujours au Yémen, pays avec lequel les États-Unis n’ont pas de traité d’extradition en vigueur. Son arrestation dépendra donc de l’évolution des relations diplomatiques et sécuritaires dans la région.

Cette inculpation n’est pas un cas isolé. Elle s’inscrit dans une vague plus large d’actions coordonnées menées par les autorités américaines pour lutter contre la cybercriminalité transnationale. Ces derniers mois, plusieurs arrestations ont été annoncées, illustrant la diversité et l’internationalisation des menaces numériques.

Parmi elles, celle d’Artem Stryzhak, un Ukrainien arrêté en Espagne en juin 2024, affilié au ransomware Nefilim. Extradé vers les États-Unis le 30 avril 2025, il est accusé d’avoir mené des cyberattaques depuis 2021, avec à la clé des demandes de rançon similaires à celles de Black Kingdom. Son procès pourrait également se solder par une peine de cinq ans de prison fédérale.

Dans un autre dossier très médiatisé, Tyler Robert Buchanan, citoyen britannique soupçonné d’appartenir au groupe Scattered Spider, a également été extradé depuis l’Espagne. Il fait face à des accusations de fraude électronique et d’usurpation d’identité, deux infractions couramment associées aux campagnes de phishing et aux compromissions de comptes à grande échelle.

Plus troublant encore : certaines ramifications de ces affaires convergent vers des réseaux aux pratiques encore plus sinistres.

Les noms de Leonidas Varagiannis, alias War, et de Prasan Nepal, alias Trippy, tous deux âgés d’à peine 20 ans, ont fait surface dans un scandale d’envergure. Les deux hommes, décrits comme les chefs du groupe 764, sont accusés d’avoir organisé la diffusion de contenus pédopornographiques en exploitant au moins huit mineurs. Leur groupe, 764, est affilié à une constellation de collectifs criminels appelés The Com, dont ferait également partie Scattered Spider. L’un des membres, Richard Anthony Reyna Densmore, a déjà été condamné à 30 ans de réclusion aux États-Unis en novembre 2024 pour exploitation sexuelle d’enfants.

Ces accusations interviennent dans le contexte d’une série d’annonces des autorités gouvernementales américaines contre diverses activités criminelles.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Le ministère de la Justice a rendu public un acte d’accusation accusant le citoyen ukrainien Artem Stryzhak d’avoir attaqué des entreprises à l’aide du ransomware Nefilim depuis qu’il est devenu affilié en juin 2021. Il a été arrêté en Espagne en juin 2024 et extradé vers les États-Unis le 30 avril 2025. S’il est reconnu coupable de cette accusation, Stryzhak risque jusqu’à cinq ans d’emprisonnement.

Tyler Robert Buchanan, un ressortissant britannique soupçonné d’appartenir au célèbre groupe de cybercriminalité Scattered Spider, a été extradé d’Espagne vers les États-Unis pour répondre à des accusations de fraude électronique et d’usurpation d’identité aggravée. Buchanan a été arrêté en Espagne en juin 2024. Les accusations portées contre lui et d’autres membres de Scattered Spider ont été annoncées par les États-Unis en novembre 2024.

Leonidas Varagiannis (alias War), 21 ans, et Prasan Nepal (alias Trippy), 20 ans, les deux chefs présumés du groupe d’extorsion d’enfants 764, ont été arrêtés et accusés d’avoir dirigé et diffusé du matériel pédopornographique. Les deux hommes sont accusés d’avoir exploité au moins huit victimes mineures.

Richard Anthony Reyna Densmore, un autre membre du 764, a été condamné à 30 ans de prison aux États-Unis en novembre 2024 pour exploitation sexuelle d’un enfant. Les membres du 764 sont affiliés à The Com , un ensemble hétéroclite de groupes aux liens étroits qui commettent des crimes sexuels et violents à motivation financière. Scattered Spider fait également partie de ce groupe.

Le Réseau de lutte contre la criminalité financière (FinCEN) du Département du Trésor américain a désigné le conglomérat cambodgien HuiOne Group comme une « institution particulièrement préoccupante en matière de blanchiment d’argent » pour les réseaux transnationaux de cybercriminalité d’Asie du Sud-Est, car il facilite les escroqueries amoureuses et sert de plaque tournante essentielle au blanchiment des produits des cyberattaques perpétrées par la République populaire démocratique de Corée (RPDC). La licence bancaire de HuiOne Pay a été révoquée en mars 2025 par la Banque nationale du Cambodge.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Entreprise

Le grand bluff du SEO : comment des pirates manipulent Google pour créer de fausses marques influentes

Data Security Breach dévoile une méthode de manipulation SEO qui permet à des pirates de créer de toutes pièces des marques fictives et de les propulser artificiellement sur Google, générant ainsi revenus et fausse crédibilité.

Dans l’univers feutré mais redoutable du référencement en ligne, une méthode aux allures d’illusionnisme numérique fait parler d’elle. Baptisée MeatHead 2.0, cette stratégie revisitée d’un vieux procédé de spam marketing, permet à des cyber-entrepreneurs peu scrupuleux de construire de faux sites d’affiliation, puis d’imposer leur présence en tête des résultats Google. Le tout, sans backlinks coûteux ni campagnes publicitaires classiques. Grâce à un savant mélange de contenus postés sur des plateformes de confiance, de commentaires trompeurs et d’avis fictifs, ces pseudo-marques apparaissent comme légitimes aux yeux des internautes — et surtout de Google. Enquête sur une nouvelle frontière du black hat SEO où la crédibilité s’achète avec du vent.

L’illusion d’une notoriété : bâtir du vide qui rapporte

À première vue, le procédé pourrait sembler banal. Créer un site d’affiliation, inventer un produit fictif, publier quelques contenus… sauf que la stratégie est d’une redoutable efficacité car elle repose non pas sur le référencement traditionnel, mais sur la simulation d’un engouement viral. Le pirate, qui se cache derrière un pseudonyme, a choisi de nommer son produit imaginaire « 92829 », un prétendu complément cérébral. Aucun laboratoire, aucune étude, aucune existence légale ne le valide. Pourtant, lorsqu’un internaute tape ce nom dans Google, une avalanche de contenus rassurants et enthousiastes surgit.

Des articles Medium et Notion, des présentations sur SlideShare, des discussions Reddit et Quora, des avis Trustpilot truqués : tout converge vers un unique but — convaincre que 92829 est la dernière tendance en matière de musique. Et tout cela, en ne plaçant jamais le lien du site de vente dans les commentaires. Le génie de la méthode réside précisément là : faire croire à l’utilisateur qu’il découvre le produit par lui-même. L’effet est saisissant. Ce qui semble être une tendance authentique est en fait un décor de théâtre.

Le pirate n’essaie plus de référencer son site. Il transforme Google en complice d’un faux buzz savamment orchestré.

Le SEO artificiel : forcer l’autorité par la crédibilité feinte

Le cœur de la stratégie repose sur un concept que son concepteur appelle le « SEO artificiel ». Loin des techniques classiques qui nécessitent des mois de travail pour gagner la confiance des moteurs de recherche, cette méthode consiste à injecter directement des éléments de preuve sociale dans les zones les plus sensibles de l’algorithme : Reddit, Medium, YouTube, Quora, et autres sites très bien référencés. Les publications sont construites pour imiter un dialogue réel, un témoignage personnel, une anecdote sincère. À aucun moment, elles ne paraissent commerciales ou orientées.

En évoquant 92829 de façon subtile, sans lien ni appel à l’action évident, les pirates jouent sur le réflexe de curiosité naturelle des internautes. Et quand ces derniers lancent une recherche, ils tombent sur un écosystème entièrement artificiel, mais visuellement convaincant. Tous les chemins mènent alors à un unique site d’affiliation, déguisé en vitrine produit. Une fois sur place, le visiteur, rassuré par ce qu’il a vu, clique, achète, et se retrouve sans le savoir acteur d’une fraude informationnelle bien huilée.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Les outils de la supercherie : plateforme par plateforme

La réussite de cette méthode repose sur l’utilisation méthodique de plateformes populaires et bien référencées. Un site Google, simple à créer et rapidement indexé, sert de première accroche. Il donne un vernis « objectif » à l’analyse. Puis viennent les témoignages déguisés sur Notion, présentés comme des journaux intimes d’étudiants ou de jeunes actifs. Sur Medium, les articles se font passer pour des récits de transformation de vie, racontant le passage du Modafinil à 92829.

Sur Reddit, les conversations sont soigneusement scénarisées : un faux utilisateur pose une question anodine, un autre, souvent la même personne, y répond avec enthousiasme, d’autres comptes interviennent pour renforcer la crédibilité. Le ton est toujours mesuré, jamais trop enthousiaste pour éviter la suspicion. Enfin, sur Trustpilot, une avalanche d’avis 5 étoiles complète le tableau. Cette accumulation de signaux positifs force l’algorithme de Google à croire à la légitimité du produit.

En une recherche Google, l’internaute est confronté à un miroir déformant où chaque reflet confirme ce qu’il n’a pas encore décidé de croire.

Un écosystème de l’illusion, pensé pour durer

La force de la méthode MeatHead 2.0, dans sa version 2025, réside dans sa pérennité. Une fois les contenus publiés, ils demeurent souvent en ligne pendant des années, générant un flux régulier de trafic. L’auteur affirme avoir gagné plus de 21 000 $ (environ 19 500 €) en deux ans grâce à un seul de ces sites. Et ce, sans jamais le mettre à jour. Les commentaires laissés dans les vidéos TikTok, les forums Discord ou les chaînes YouTube alimentent un brouhaha constant qui entretient l’illusion d’un bouche-à-oreille naturel.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Dans le jargon des référenceurs, on parle de « marque blanche instantanée » : une entité sans substance réelle, mais dont la présence numérique suffit à lui créer un marché. L’internaute, perdu dans cette constellation de signaux positifs, ne soupçonne pas qu’il est en train de réagir à une mise en scène orchestrée de toutes pièces. Il achète, convaincu d’avoir fait un choix informé. Ce qu’il voit n’est pas un produit, c’est une fiction de produit, portée par une fiction de communauté.

Une stratégie à la frontière de la légalité

La méthode MeatHead 2.0 n’est pas simplement amorale : elle flirte dangereusement avec la légalité. Usurpation d’identité d’entreprise, manipulation de la preuve sociale, diffusion de fausses informations commerciales… les fondements juridiques de cette stratégie sont fragiles. Pourtant, dans les interstices du web, là où la régulation peine à suivre l’inventivité des pirates, ces pratiques prospèrent. Les plateformes concernées, bien qu’averties, n’ont pas les moyens de détecter chaque faux commentaire, chaque faux profil, chaque critique déguisée.

La lutte contre ce type de manipulation repose sur un équilibre délicat entre modération algorithmique et vérification humaine. Mais tant que le système repose sur la confiance dans les signaux communautaires, ces attaques réussiront à se faufiler. Le pirate n’attaque pas frontalement Google ; il le trompe, l’utilise, le rend complice involontaire de ses profits. Et ce faisant, il remet en question la capacité même du web à séparer le vrai du faux.

À l’heure où la confiance numérique devient un enjeu majeur, la méthode MeatHead 2.0 révèle une faille préoccupante dans l’architecture du référencement web. Si une marque peut être inventée et rendue crédible par quelques contenus habiles, quelle valeur accorder à ce que nous voyons en ligne ? Et demain, qui fabriquera notre réalité numérique ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Entreprise

Un malware dans la brèche : comment la faille BYOI a contourné la protection SentinelOne

Une faille critique dans un outil de cybersécurité de pointe a permis à des cybercriminels d’infiltrer des systèmes protégés. Et cette fois, ils n’ont même pas eu besoin d’un logiciel malveillant sophistiqué.

Début 2025, l’équipe Stroz Friedberg d’Aon, spécialisée dans l’investigation numérique post-incident, a révélé une technique d’intrusion particulièrement ingénieuse exploitant une faiblesse dans le processus de mise à jour du logiciel SentinelOne, un des leaders mondiaux des solutions EDR (Endpoint Detection and Response).

Baptisée BYOI (Bring Your Own Installer) cette méthode permet aux hackers malveillants de contourner la protection normalement très rigoureuse des agents de sécurité SentinelOne. Le plus troublant : ils utilisent l’installateur légitime du logiciel lui-même, sans injecter de code malveillant tiers ni manipuler de pilotes suspects.

Quand l’outil de défense devient une porte d’entrée

L’affaire débute lors de l’analyse d’un incident sur un réseau d’entreprise compromis. Les enquêteurs de Stroz Friedberg découvrent que les cybercriminels ont utilisé un installeur authentique de SentinelOne pour lancer leur attaque. En interrompant le processus d’installation au moment précis où les services système sont temporairement désactivés, les pirates ont pu désactiver brièvement la protection sans être détectés. C’est pendant cette fenêtre critique, avant la fin de l’installation, qu’ils ont activé un ransomware sur la machine cible.

Ce contournement ne nécessite ni élévation supplémentaire de privilèges ni l’injection d’éléments suspects. Tout repose sur l’exploitation minutieuse d’un comportement du logiciel de sécurité lui-même. La clé : des droits administratifs déjà obtenus, souvent grâce à une vulnérabilité préalable dans l’infrastructure du client.

Aucun composant malveillant détecté : un cauchemar pour les SOC

L’un des aspects les plus déconcertants de cette méthode est sa discrétion. Contrairement aux attaques habituelles contre les solutions EDR, elle ne laisse pas de trace évidente. Aucun composant externe, aucun fichier douteux à analyser, juste un installateur signé et une séquence bien orchestrée. C’est un cauchemar pour les centres opérationnels de sécurité (SOC) qui s’appuient sur des alertes comportementales ou la détection d’artefacts malveillants.

Selon leurs conclusions, la faille est présente dans de nombreuses versions du logiciel SentinelOne et ne dépend pas d’un patch ou d’une configuration spécifique. Cela signifie que sans mesure proactive, de nombreux systèmes restent vulnérables.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Un paramètre critique… désactivé par défaut

Informée de la situation, SentinelOne a réagi rapidement. Un correctif n’étant pas suffisant pour pallier une faille procédurale, l’éditeur a recommandé aux clients d’activer l’option « Online Authorization ». Cette fonctionnalité, désactivée par défaut, impose une validation depuis la console de gestion avant toute modification importante de l’agent : installation, désinstallation ou rétrogradation.

Mais malgré la diffusion de cette consigne de sécurité essentielle, les chercheurs de Stroz Friedberg ont constaté lors de leurs tests que nombre d’organisations n’avaient pas appliqué cette recommandation. Faute de cette protection, la brèche reste ouverte. Autrement dit, même après la médiatisation du risque, les attaquants peuvent toujours l’exploiter dans des infrastructures mal configurées.

Certaines entreprises n’ont toujours pas activé l’option de validation en ligne, maintenant ainsi une vulnérabilité connue dans leurs systèmes.

L’éditeur SentinelOne a également partagé les détails techniques de la faille avec d’autres acteurs majeurs du secteur EDR pour limiter les risques de reproduction du scénario dans d’autres environnements. Car si l’approche BYOI s’avère efficace contre un géant comme SentinelOne, elle pourrait potentiellement être adaptée à d’autres logiciels similaires, si ceux-ci ne vérifient pas rigoureusement l’intégrité des processus d’installation.

Des leçons amères pour la cybersécurité d’entreprise

Cette affaire illustre avec force un principe trop souvent négligé en cybersécurité : la confiance dans les composants « légitimes » ne suffit pas. Le simple fait qu’un logiciel soit signé, officiel et éprouvé ne garantit pas qu’il ne puisse pas être détourné à des fins malveillantes.

En l’occurrence, les attaquants ont su repérer un moment précis de vulnérabilité transitoire – un court instant où la protection est suspendue pour faciliter une mise à jour, et en tirer parti. Ce type d’attaque, qui repose plus sur l’ingéniosité que sur l’arsenal technique, s’inscrit dans une tendance croissante de détournement des processus systèmes ou applicatifs standard. On l’observe déjà dans les attaques de type living off the land (LOL), où les outils Windows natifs sont utilisés à des fins malveillantes.

Avec BYOI, cette logique franchit une nouvelle étape. Non seulement l’attaquant n’utilise pas d’outil externe, mais il détourne précisément le mécanisme censé renforcer la sécurité du système. Le fait que la faille soit indépendante de la version du logiciel amplifie le risque.

Un signal d’alarme pour les administrateurs IT

Si la réactivité de SentinelOne est à saluer, la véritable faiblesse mise en lumière ici est humaine. Une simple option à activer, une case à cocher, suffisait à bloquer l’attaque. Mais comme souvent, par manque d’information, de vigilance ou de priorisation, cette mesure n’a pas été mise en œuvre dans toutes les entreprises concernées.

Cela renvoie à un enjeu fondamental : la gestion de la configuration et la gouvernance de la sécurité. Dans un monde où les attaques deviennent de plus en plus furtives, les protections les plus efficaces ne sont rien sans une bonne hygiène de configuration.

D’autant plus que les campagnes de ransomwares continuent de cibler les entreprises de toute taille, avec des demandes de rançon atteignant parfois plusieurs millions de dollars (soit plusieurs millions d’euros), et des conséquences opérationnelles graves, voire paralysantes.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Un avenir où chaque installateur sera suspect ?

La technique BYOI s’ajoute à une liste déjà longue de stratégies sophistiquées de contournement des systèmes de défense. Si elle est aujourd’hui maîtrisée grâce aux mesures proposées par SentinelOne, elle pourrait bien inspirer d’autres cybercriminels, adaptant le concept à d’autres outils de sécurité.

En cybersécurité, l’innovation n’est pas l’apanage des défenseurs. Chaque faille exploitée rappelle l’importance de combiner rigueur opérationnelle, veille constante et collaboration sectorielle. Car si les outils deviennent la cible, alors les méthodes de sécurisation doivent aller au-delà de la simple détection d’anomalies.

Dans ce contexte, comment garantir la confiance dans les outils censés protéger les systèmes, lorsque ceux-ci peuvent eux-mêmes devenir des vecteurs d’attaque ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cyber-attaque, Fuite de données, Piratage

Dracula : une machine bien huilée siphonne les données de millions d’utilisateurs

Un clic, une carte volée. Derrière chaque lien frauduleux, une machine bien huilée siphonne les données de millions d’utilisateurs à travers le monde.

Depuis 2023, une opération de cyberfraude d’une ampleur inédite s’est déployée dans l’ombre, orchestrée à travers une plateforme méconnue du grand public : Darcula. En seulement sept mois, ce système automatisé et tentaculaire a permis à des cybercriminels de subtiliser les données de près de 884 000 cartes de paiement, en attirant plus de 13 millions d’internautes vers des pages frauduleuses. Son fonctionnement repose sur un service de phishing par abonnement, qui fournit à ses clients une panoplie complète d’outils pour escroquer à grande échelle. L’arme principale : des SMS déguisés en notifications administratives ou livraisons fictives. Ce nouveau visage du phishing, plus crédible et insidieux que jamais, expose les failles d’un monde numérique où la géographie ne protège plus personne.

Ce qui distingue Darcula des vagues de phishing classiques, c’est son degré d’industrialisation. La plateforme ne se contente pas de fournir un kit de base pour escrocs du dimanche. Elle propose une véritable infrastructure clé en main, avec interface utilisateur, tableau de bord centralisé, et une assistance technique digne des services professionnels. En clair, tout individu doté d’un minimum de compétences peut, contre un abonnement, devenir opérateur de cette fraude planétaire. Cette démocratisation de la cybercriminalité à grande échelle brouille les pistes et rend la lutte d’autant plus complexe pour les autorités.

L’étude conjointe réalisée par des médias spécialisés et la société norvégienne Mnemonic a révélé une cartographie saisissante de ce système globalisé. Actif dans plus de cent pays, Darcula exploite près de 20 000 domaines frauduleux qui usurpent les marques les plus connues, des opérateurs téléphoniques aux services postaux, en passant par les banques et plateformes de commerce en ligne. Ces domaines sont utilisés pour piéger les internautes via des messages bien ficelés, envoyés en masse grâce à des fermes SIM automatisées et des modems configurés pour inonder le monde de fausses alertes.

Darcula s’appuie sur un écosystème sophistiqué de 20 000 faux domaines actifs, capables d’imiter à la perfection les plus grandes marques mondiales.

L’un des éléments centraux de l’opération est un framework malveillant baptisé Magic Cat, une structure logicielle modulaire conçue pour générer automatiquement des pages de phishing personnalisées. Ce code, qui permet une mise en ligne rapide de faux sites imitant n’importe quel service légitime, serait l’œuvre d’un développeur chinois originaire du Henan. Bien que l’entreprise à laquelle il est affilié ait démenti toute implication, arguant qu’elle se contente de créer des outils de webdesign, la chronologie des événements suggère une autre réalité. Peu après ces déclarations publiques, une nouvelle version de Magic Cat a refait surface sur le darknet, dotée de fonctionnalités encore plus avancées.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

La force de Darcula réside également dans sa capacité à évoluer. En février 2025, la plateforme s’est enrichie de services inédits, tels que la création de cartes bancaires virtuelles ou encore l’intégration de modes furtifs. Mais c’est en avril de cette même année qu’un cap technologique a été franchi avec l’introduction d’un réseau neuronal génératif. Ce dernier permet de produire, en quelques secondes, des scénarios de fraude hautement personnalisés, dans n’importe quelle langue, adaptés à la culture, au contexte économique et aux habitudes numériques de la cible.

Ce raffinement des méthodes a pour conséquence directe un taux de conversion dramatique : les victimes ne se doutent de rien, même après avoir cliqué, tant l’illusion est parfaite. Ce n’est qu’une fois leur compte vidé ou leur carte bloquée qu’elles découvrent l’étendue du piège. Les escrocs, eux, disposent d’un canal de revente sécurisé et de circuits de blanchiment anonymes, rendus possibles par les crypto-monnaies et des places de marché fermées sur Telegram.

Le réseau Darcula s’appuie sur des IA génératives pour produire des campagnes de phishing localisées, parfaitement adaptées à chaque cible.

Sur ces forums clandestins, des échanges constants ont été observés : tutoriels pour novices, résultats financiers partagés en captures d’écran, ventes de lots de données bancaires, ou encore recommandations de fournisseurs pour le matériel logistique. Parmi les images récupérées par les chercheurs, on retrouve des photographies de véritables usines de fraude, avec rangées de modems, ordinateurs alignés, et cartes SIM empilées par centaines. Cette réalité, longtemps cantonnée à la fiction cyberpunk, est désormais bien tangible.

Les chercheurs ont pu identifier environ 600 opérateurs ayant utilisé les services de Darcula. Une grande partie d’entre eux opèrent par proxy, en sous-traitant certaines fonctions ou en revendant les accès à des tiers, ce qui complexifie encore le travail des enquêteurs. Malgré cela, tous les éléments collectés ont été transmis aux services de police internationaux, notamment Europol et Interpol, dans l’espoir de remonter la chaîne de responsabilités. Mais dans un monde où un simple clic peut franchir des frontières, où les attaques proviennent d’ordinateurs fantômes répartis sur cinq continents, la réponse judiciaire reste lente et inadaptée à la fluidité des cyberattaques.

Pour les entreprises et les particuliers, le principal levier de défense reste la vigilance. Aucun antivirus, aussi sophistiqué soit-il, ne peut empêcher un utilisateur de cliquer sur un lien s’il pense qu’il provient de sa banque ou d’un service de livraison. C’est là toute la perversité du système Darcula : il n’exploite pas une faille technique, mais humaine. Le doute, l’urgence, la peur de la sanction ou l’attente d’un colis sont des émotions que l’algorithme sait activer au bon moment, avec la bonne formulation.

À mesure que les frontières entre réalité et simulation s’estompent, il devient plus difficile de distinguer le vrai du faux. L’industrialisation du phishing, soutenue par des intelligences artificielles toujours plus persuasives, marque une rupture dans l’histoire de la cybersécurité. Elle démontre que la guerre numérique ne se joue plus entre des experts cachés dans l’ombre, mais entre chaque individu connecté et des systèmes conçus pour le tromper, jusqu’au moindre détail.

Reste à savoir comment les États, les entreprises et les citoyens parviendront à reprendre le contrôle de cet espace numérique devenu si vulnérable. La question est d’autant plus cruciale que des plateformes comme Darcula ne cessent de se perfectionner, chaque mois, dans une course à l’efficacité et à l’invisibilité. Dans un avenir proche, verrons-nous apparaître des campagnes de fraude totalement automatisées, adaptables en temps réel au profil psychologique de chaque cible ?

Et si la prochaine guerre mondiale ne se faisait plus sur terre, ni dans l’espace, mais par message interposé, à travers des clics silencieux et invisibles ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Entreprise, Particuliers

Microsoft enterre le mot de passe

Microsoft franchit une nouvelle étape dans la sécurité numérique : désormais, tous les nouveaux comptes seront créés sans mot de passe par défaut.

La firme de Redmond poursuit sa révolution en matière de cybersécurité. À l’heure où les cyberattaques deviennent de plus en plus sophistiquées, Microsoft entend bien se positionner à l’avant-garde d’une nouvelle ère sans mot de passe. Depuis mars, l’entreprise a commencé à déployer une interface de connexion repensée, pensée pour une authentification plus fluide, plus rapide, et surtout plus sûre. Désormais, tous les nouveaux comptes Microsoft seront créés sans mot de passe par défaut, une décision stratégique destinée à limiter drastiquement les attaques par hameçonnage, la force brute ou le bourrage d’identifiants. Une transformation majeure qui pourrait bien signer la fin du règne du mot de passe.

Dans les coulisses de cette évolution, un constat simple : les mots de passe ne sont plus adaptés à la menace. Ils sont oubliés, réutilisés, faibles ou partagés. Et, surtout, ils sont devenus une cible de choix pour les cybercriminels. En s’appuyant sur les clés d’accès – ces identifiants chiffrés et biométriques intégrés aux appareils modernes – Microsoft propose une alternative plus sécurisée, mais aussi plus intuitive. Grâce à cette technologie, l’utilisateur pourra se connecter avec son empreinte digitale, la reconnaissance faciale ou un code PIN local, sans jamais avoir à saisir un mot de passe classique. Ce changement, qui commence avec les nouveaux comptes, s’étendra aussi aux utilisateurs existants, qui pourront choisir de supprimer définitivement leur mot de passe depuis les paramètres de leur compte.

Dans une déclaration conjointe, Joy Chik, présidente de l’identité et de l’accès réseau chez Microsoft, et Vasu Jakkal, vice-président de la sécurité, expliquent que cette simplification de l’expérience utilisateur s’inscrit dans une vision à long terme. Microsoft veut encourager une adoption massive des passkeys, en les rendant non seulement plus sécurisées, mais également plus simples à utiliser au quotidien. Dès la première connexion, les utilisateurs seront incités à créer leur propre clé d’accès, qui leur permettra ensuite de se reconnecter rapidement et en toute sécurité, sans manipulation fastidieuse.

Les nouveaux utilisateurs disposeront de plusieurs options pour se connecter à leur compte sans mot de passe, et n’auront plus besoin d’en saisir un.

Ce changement de paradigme ne se limite pas à un simple ajustement ergonomique. Il répond à une problématique de fond : celle de la protection des données personnelles dans un environnement numérique où les menaces se multiplient. Le bourrage d’identifiants, technique consistant à tester en masse des combinaisons d’identifiants dérobés, représente à lui seul un des vecteurs d’attaque les plus fréquents. Supprimer les mots de passe, c’est donc aussi priver les hackers de leur outil principal.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Dans ce contexte, les passkeys apparaissent comme un standard d’avenir. Basées sur le protocole FIDO2, soutenu par des acteurs majeurs comme Apple, Google ou Microsoft, ces clés numériques lient l’identifiant à l’appareil de l’utilisateur et ne quittent jamais ce dernier. Ainsi, même en cas de compromission d’un serveur, aucune information exploitable ne peut être réutilisée ailleurs. Un bond en avant en termes de sécurité, mais aussi de praticité, puisque ces systèmes permettent une connexion quasi instantanée, sans effort cognitif.

Selon les données internes partagées par Microsoft, les premières phases de test ont déjà démontré une adoption prometteuse. En réduisant l’usage du mot de passe de plus de 20 %, la firme indique que les utilisateurs sont non seulement plus enclins à opter pour une clé d’accès, mais qu’ils apprécient également une expérience de connexion plus fluide. Un indicateur clé alors que l’entreprise prépare la disparition progressive du mot de passe traditionnel à moyen terme.

« À mesure que davantage de personnes utilisent Passkey, le nombre d’authentifications par mot de passe continuera de diminuer jusqu’à ce que nous puissions progressivement supprimer complètement la prise en charge des mots de passe.« 

Mais ce tournant pose aussi des questions essentielles. Quels sont les risques si l’appareil biométrique est volé ou compromis ? Que se passe-t-il en cas de perte d’accès physique à son téléphone ou à son ordinateur ? Microsoft, tout comme les autres membres de l’Alliance FIDO, assure avoir intégré des mécanismes de récupération robustes, via des sauvegardes chiffrées dans le cloud, des options secondaires d’authentification ou des dispositifs de secours. Toutefois, l’adhésion massive à ce modèle dépendra de la capacité des entreprises à convaincre le grand public que la sécurité est non seulement renforcée, mais aussi durable et résiliente face à de nouveaux types de menaces.

L’initiative de Microsoft intervient dans un contexte où la guerre contre les mots de passe s’intensifie. Apple, de son côté, a intégré les passkeys à ses systèmes iOS et macOS, permettant une synchronisation entre les appareils via le trousseau iCloud. Google a également activé par défaut la connexion par clé d’accès sur ses services phares, tels que Gmail et YouTube. Ensemble, ces géants du numérique tentent d’imposer une norme mondiale qui mettrait fin aux pratiques actuelles jugées obsolètes.

La dimension économique n’est pas à négliger. La cybersécurité représente un marché colossal, estimé à plus de 170 milliards d’euros en 2024. En s’engageant dans cette voie, Microsoft entend se positionner comme leader d’une nouvelle génération de solutions de sécurité intégrées. La suppression du mot de passe s’inscrit ainsi dans une stratégie plus large, qui mise sur l’intelligence artificielle, la protection proactive des identités numériques et une architecture « zero trust », où chaque connexion est vérifiée indépendamment du contexte.

Mais l’entreprise devra relever plusieurs défis : assurer la compatibilité avec l’ensemble de l’écosystème numérique, convaincre les utilisateurs réticents au changement, et garantir une continuité de service même en cas de perte ou de dysfonctionnement des dispositifs d’authentification biométrique. Autant de conditions indispensables pour que cette transition vers un monde sans mot de passe ne devienne pas une source de frustration, mais bien une avancée tangible vers un internet plus sûr.

Microsoft ouvre donc un nouveau chapitre de l’histoire numérique, dans lequel le mot de passe, pilier de la cybersécurité depuis plus d’un demi-siècle, pourrait devenir un vestige du passé. Une révolution discrète mais déterminante, qui pourrait redéfinir nos usages quotidiens et notre rapport à l’identité numérique.

Alors que les autres grands acteurs du numérique suivent la même trajectoire, une question demeure : les utilisateurs sont-ils prêts à abandonner définitivement le mot de passe au profit d’un futur biométrique ? Perdre un mot de passe est certes gênant, mais se remplace ! Se faire voler sa personne numérique, est une toute autre histoire.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile