Archives par mot-clé : renseignement

Cybersécurité, Espionnage Spy, IA, Justice, loi

Europol alerte sur le crime autonome à l’horizon 2035

Drones, robots sociaux, véhicules sans pilote : Europol décrit un futur où la machine sert autant à surveiller qu’à frapper. D’ici 2035, la criminalité pourrait devenir plus discrète, plus rapide, plus scalable.

Dans son rapport « L’avenir sans pilote : l’impact de la robotique et des systèmes autonomes sur les forces de l’ordre », Europol avertit que robots, drones et systèmes autonomes peuvent transformer la criminalité d’ici 2035. L’agence estime que l’usage criminel existe déjà et pourrait s’étendre à la contrebande, l’intimidation de masse, la fraude et l’exploitation sexuelle des enfants. Le document identifie quatre tendances motrices : convergence IA-technologies, essor industriel de la robotique, intégration sociale croissante et guerre comme accélérateur d’innovation. Europol envisage des scénarios incluant reconnaissance longue durée, attaques coordonnées contre infrastructures, manipulation via robots sociaux, et défis juridiques sur responsabilité et preuve.

Des machines pour voler, suivre, intimider

Europol ne parle pas d’un gadget de plus, mais d’un changement de décor. Dans « L’avenir sans pilote : l’impact de la robotique et des systèmes autonomes sur les forces de l’ordre », l’agence projette un monde où les machines se glissent partout, dans les rues, les entrepôts, les foyers, et deviennent des outils de crime aussi banals que le smartphone l’a été pour les escrocs. Catherine De Bolle, directrice exécutive d’Europol, pose le cadre : l’intégration des systèmes sans pilote dans des actes illégaux « est déjà une réalité », et la question n’est plus de savoir si ces technologies seront détournées, mais comment criminels et terroristes s’en empareront dans les prochaines années. Son parallèle avec Internet et les téléphones intelligents est un avertissement : les opportunités sont immenses, les angles morts aussi.

Le rapport attribue cette bascule à quatre forces. D’abord la convergence, l’IA mêlée au reste, capteurs, navigation, communications, fabrication. Ensuite l’expansion industrielle de la robotique, qui rend ces objets plus accessibles, plus variés, plus remplaçables. Puis l’intégration sociale, car la machine n’est plus cantonnée à l’usine, elle entre dans la vie quotidienne. Enfin la guerre, décrite comme moteur d’innovation, qui accélère la diffusion de méthodes et d’outils.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, veille web & dark web, alertes et priorisation des risques pour votre entreprise.

  
DÉCOUVRIR LA VEILLE
A PARTIR DE 0,06€ PAR JOUR

À partir de là, Europol déroule des scénarios. L’un imagine des centres-villes confrontés à davantage d’attaques impliquant des robots, tandis que des travailleurs déplacés manifestent devant des entrepôts automatisés. La tension est double : choc économique et montée de délits, cybercriminalité, vandalisme, vol organisé. Les autorités, elles, doivent concilier l’efficacité d’un monde automatisé avec une exigence qui ne s’automatise pas : la confiance du public.

Europol insiste aussi sur une criminalité plus « fonctionnelle« . Des drones employés pour des vols. Des véhicules autonomes provoquant des blessures à des piétons. Et surtout la reconnaissance longue durée, le renseignement patient, effectué par des systèmes sans pilote capables de surveiller, de suivre, de collecter, au service d’intentions malveillantes comme ce fût le cas pour une tentative d’enlévement d’une professionnelle de la cryptomonnaie. Le fil conducteur est clair : l’autonomie abaisse le coût de la présence. On n’a plus besoin d’un guetteur humain en bas d’un immeuble si une machine observe à sa place.

Le rapport convoque également l’exemple des « drones de garage » popularisés par la guerre menée par la Russie contre l’Ukraine, avec une référence à l’opération « Toile d’araignée« , décrite comme une frappe coordonnée contre cinq bases aériennes russes majeures. L’enseignement, côté criminalité, est inquiétant : si des plans circulent et que des chaînes d’approvisionnement se structurent, des capacités jadis militaires peuvent devenir « assemblables », adaptables, et donc imitables.

Quand la vie privée s’efface, la loi vacille

Le scénario le plus anxiogène est celui d’une quasi-disparition de la vie privée. Europol imagine des systèmes assez puissants pour observer presque tout le monde, presque partout, presque tout le temps. Selon leur configuration, ils pourraient collecter des données à l’insu des personnes, sans consentement explicite. Dans un monde déjà saturé de capteurs, l’autonomie n’ajoute pas seulement des yeux, elle ajoute de la persistance, et donc une mémoire exploitable.

Le rapport pousse la fiction opérationnelle plus loin : de petites cellules extrémistes dotées de quadricoptères de poche guidés par IA et de drones sous-marins chenillés, construits à partir de plans CAO disponibles mondialement, avec blindage composite imprimé en 3D. Il évoque aussi des liaisons, anciennes fibres optiques enroulées ou lasers à impulsions courtes, qui rendraient ces machines presque invisibles jusqu’aux dernières secondes, ouvrant la voie à des attaques coordonnées contre des infrastructures critiques. Le message sous-jacent est une convergence des domaines : innovations militaires, criminalité, maintien de l’ordre, tout se mélange.

Ce brouillage pose des questions que les forces de l’ordre se posent déjà et qui deviendront quotidiennes. Comment « interroger » un robot ? Comment évaluer l’intention d’un humanoïde, ou reconstituer la cause d’un incident impliquant une voiture autonome ? Le problème n’est pas philosophique, il est probatoire. La machine produit des logs, mais qui les détient, qui les altère, qui les comprend, et selon quelles règles ?

Vient alors la question de la responsabilité. Si un système autonome enfreint la loi, qui répond ? Le propriétaire, le fabricant, le développeur, ou le système lui-même ? Europol estime que le droit actuel ne permet pas de trancher avec certitude. Face à ces menaces, les chercheurs recommandent une approche conjointe pour renforcer les capacités des forces de l’ordre, au niveau national et européen. Et le rapport renvoie aussi les entreprises à une obligation simple, mais rarement anticipée : intégrer la sécurité dès l’adoption de l’IA ou de la robotique, identifier les risques avant le déploiement, et les traiter avant qu’ils ne deviennent des usages criminels.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, Mise à jour, Patch

Patch Tuesday de décembre : Windows en première ligne

Dernier Patch Tuesday de 2025, et Microsoft boucle l’année avec un lot de correctifs où une élévation de privilèges Windows exploitée activement impose l’ordre de priorité aux équipes sécurité.

Ce Patch Tuesday de décembre se distingue moins par le volume des correctifs que par leur profil de risque. Microsoft publie 56 CVE, dont seulement deux critiques sur le papier mais une faille d’élévation de privilèges déjà exploitée dans Cloud Files Mini Filter Driver, rendant la mise à jour Windows prioritaire. Deux vulnérabilités officiellement divulguées complètent le tableau, l’une dans PowerShell, l’autre dans GitHub Copilot pour JetBrains. En parallèle, Mozilla corrige 27 CVE dans Firefox, et Adobe traite à lui seul 142 failles, majoritairement via une mise à jour ColdFusion classée priorité un. Pour les équipes de défense, l’enjeu n’est plus de tout installer au plus vite, mais de hiérarchiser finement les risques.

Un Patch Tuesday dominé par Windows

Pour ce dernier rendez-vous correctif de 2025, Microsoft publie 56 vulnérabilités référencées, avec deux failles considérées comme critiques et 54 classées importantes. Pris isolément, ce volume pourrait presque sembler modéré par rapport à certains mois précédents. Mais l’angle cyber ne se mesure pas au compteur brut de CVE, plutôt à la combinaison entre criticité théorique, exploitabilité pratique et surface d’exposition.

Le point dur de ce mois-ci est clair : CVE-2025-62221, une vulnérabilité d’élévation de privilèges dans le pilote Cloud Files Mini Filter. Officiellement, Microsoft la classe comme « Important » avec un score CVSS v3.1 de 7,8. En pratique, le fait qu’elle soit déjà exploitée dans la nature change complètement la donne. Un attaquant capable d’en abuser peut obtenir des privilèges SYSTEM, soit le niveau de contrôle maximal sur une machine Windows. Dans un modèle de priorisation basé sur le risque, cette combinaison score élevé plus exploitation active suffit à la reclasser de facto au rang de faille critique, quelle que soit l’étiquette de l’éditeur.

Cette vulnérabilité affecte Windows 10 et les versions ultérieures. Autrement dit, elle recoupe une grande partie du parc encore en production dans les entreprises. Pour un attaquant déjà positionné sur un poste utilisateur, cette élévation de privilèges constitue un tremplin idéal vers un contrôle complet de la machine, puis une éventuelle progression latérale. C’est précisément ce type de maillon qui permet de passer d’un incident isolé à un compromis de domaine complet.

La mise à jour du système d’exploitation Windows de décembre corrige à la fois cette faille exploitée et l’une des vulnérabilités divulguées publiquement, CVE-2025-54100. C’est la raison pour laquelle le bulletin place explicitement Windows au sommet des priorités ce mois-ci. Pour les RSSI et responsables de configuration, le calcul est simple : une seule vague de déploiement du correctif OS réduit en même temps la surface d’attaque liée à une exploitation active et à une divulgation publique. Toutes choses égales par ailleurs, la fenêtre de tir laissée aux attaquants se mesure en jours.

Toutes les autres mises à jour Microsoft peuvent, selon les recommandations fournies, être intégrées dans les cycles de patch habituels, alignés sur les SLA internes. Cette hiérarchisation n’invite pas à la complaisance, mais elle reconnaît que le risque marginal supplémentaire lié à ces autres CVE est moindre que celui associé à une élévation de privilèges déjà utilisée sur le terrain.

PowerShell et Copilot, nouveaux angles d’attaque

Au-delà de l’élévation de privilèges dans Cloud Files, deux vulnérabilités divulguées publiquement attirent l’attention des équipes défense. La première, CVE-2025-54100, touche PowerShell et se traduit par un risque d’exécution de code à distance. Là encore, Microsoft la classe en « Important » avec un score CVSS v3.1 de 7,8. Le fait qu’elle soit déjà publique augmente mécaniquement le risque de voir apparaître des scripts d’exploitation reproductibles, même si aucune exploitation active n’est mentionnée dans le texte fourni.

Le correctif de Microsoft pour cette faille ne se limite pas à un patch technique, il s’accompagne d’un avertissement et de recommandations d’usage. Le cœur du problème vient de la commande Invoke-WebRequest. Lorsqu’elle analyse le contenu d’une page web, elle peut, dans certaines conditions, exécuter du code script lors de cette phase d’analyse. La recommandation fournie insiste sur l’utilisation du paramètre -UseBasicParsing pour éviter la prise en charge avancée susceptible de déclencher ce type de comportement.

Les auteurs du récapitulatif soulignent que la nature même de la vulnérabilité rend une correction totale peu probable. Dit autrement, même après application du correctif, la posture de sécurité dépendra en grande partie de la discipline opérationnelle des administrateurs et des scripts en production. Cette vulnérabilité affecte Windows Server 2008 et toutes les versions ultérieures, ce qui élargit encore la surface d’exposition, notamment dans les environnements où PowerShell est massivement utilisé pour l’automatisation.

La seconde vulnérabilité rendue publique, CVE-2025-64671, cible GitHub Copilot for JetBrains. Elle est également classée « Important » mais avec un score CVSS v3.1 plus élevé, à 8,4. On reste officiellement sous le seuil « critique », mais la proximité montre que le scénario d’attaque est loin d’être théorique. L’exploitation repose sur un concept qui parle directement aux spécialistes de l’IA générative : l’attaque « Cross Prompt Inject ».

Concrètement, un attaquant peut insérer du contenu malveillant dans des fichiers non fiables ou sur des serveurs MCP. Copilot, en traitant ces informations, se trouve alors amené à proposer ou exécuter des commandes supplémentaires, injectées dans le flux normal de travail. Le danger augmente fortement lorsque l’option d’approbation automatique du terminal utilisateur est activée. Dans ce cas, les commandes suggérées franchissent plus facilement la barrière entre assistance et exécution réelle.

Cette vulnérabilité ne se corrige pas par une simple mise à jour Windows. Elle impose aux équipes de développement de télécharger et mettre à jour le plugin GitHub Copilot utilisé dans les IDE JetBrains. Ce détail opérationnel est important : il déplace une partie de la responsabilité du côté des équipes dev, qui n’entrent pas toujours dans le périmètre direct des processus de patch management classiques. Pour les équipes de sécurité, l’alignement entre IT, Dev et Sec devient ici une condition de réduction effective du risque.

En termes de renseignement cyber, le cas Copilot illustre une tendance lourde : les outils d’assistance à la programmation et les extensions d’IDE deviennent de nouvelles surfaces d’attaque. Là où l’on regardait traditionnellement les chaînes CI/CD et les dépôts de code, il faut désormais intégrer les assistants IA comme maillons à part entière de la chaîne d’approvisionnement logicielle.

Mozilla, Adobe et la pression des dépendances tierces

Le Patch Tuesday de décembre ne se limite pas à l’écosystème Microsoft. Côté navigateurs, Mozilla publie plusieurs mises à jour pour Firefox 146 et les branches ESR 115.31 et 140.6. Au total, 27 CVE sont corrigées, avec des impacts jugés élevés pour l’ensemble des trois mises à jour. Même si le détail des failles n’est pas fourni ici, les équipes de défense savent par expérience qu’un navigateur exposé à Internet, combiné à des vulnérabilités CVE en nombre à impact élevé, constitue une cible logique pour les campagnes d’exploitation opportunistes.

Adobe, de son côté, alourdit considérablement le bilan chiffré du mois avec cinq mises à jour qui traitent à elles seules 142 CVE. Les produits concernés sont ColdFusion, Experience Manager, DNG SDK, Acrobat et Reader, ainsi que l’application Creative Cloud Desktop. Quatre de ces cinq mises à jour sont classées priorité trois, ce qui suggère un niveau de pression moindre, soit parce que les scénarios d’exploitation sont jugés difficiles, soit parce qu’aucun contexte opérationnel massivement exposé n’a été identifié.

La mise à jour ColdFusion fait figure d’exception. Classée priorité un, elle corrige la grande majorité des 142 vulnérabilités recensées par Adobe ce mois-ci. Aucune exploitation connue n’est signalée dans le texte fourni, mais la concentration de CVE sur un produit serveur côté applicatif suffit à justifier ce classement prioritaire. Dans un environnement où ColdFusion reste installé, un attaquant obtenant une seule chaîne d’exploit stable peut bénéficier d’une surface extrêmement large, depuis les serveurs de contenu jusqu’aux backends métiers.

Le contraste est frappant : côté Microsoft, une faille exploitée activement dans le cœur de Windows impose l’urgence ; côté Adobe, c’est la densité de vulnérabilités dans un produit serveur qui dicte la priorité, même sans exploit connu. Dans les deux cas, les décisions de patch se font par combinaison de trois paramètres : exploitabilité avérée ou probable, criticité fonctionnelle de l’actif exposé et volume de failles corrigées.

En termes de gestion du risque, le récapitulatif du mois propose une ligne directrice claire. Première étape, déployer en priorité les mises à jour du système d’exploitation Windows pour neutraliser CVE-2025-62221 et réduire en même temps le risque lié à CVE-2025-54100. Deuxième étape, organiser la mise à jour des chaînes de développement utilisant GitHub Copilot for JetBrains afin de traiter CVE-2025-64671, en impliquant clairement les équipes dev. Troisième étape, intégrer les mises à jour Mozilla et Adobe, notamment ColdFusion, dans les cycles de patch habituels, tout en vérifiant que les actifs les plus exposés ne restent pas plusieurs mois sans correction.

Pour les SOC et équipes de renseignement sur la menace, ce Patch Tuesday de décembre offre enfin un signal plus large : les vecteurs d’attaque se diversifient. Pilotes de fichiers cloud, frameworks d’automatisation comme PowerShell, assistants IA intégrés aux IDE, navigateurs et plateformes applicatives comme ColdFusion constituent autant de couches où un attaquant peut chercher l’entrée la plus rentable. L’exercice de priorisation devient un travail d’arbitrage permanent entre ces couches.

Ce Patch Tuesday de décembre 2025 illustre une évolution désormais bien installée du paysage des vulnérabilités : la criticité ne se lit plus seulement dans le score CVSS ou le label « critique », mais dans la combinaison entre exploitation active, divulgation publique et rôle de l’actif dans la chaîne de valeur numérique. Avec une élévation de privilèges Windows déjà armée, un PowerShell dont la correction passe autant par la configuration que par le patch, et un GitHub Copilot exposé aux attaques de type Cross Prompt Inject, les organisations doivent synchroniser sécurité système, sécurité des scripts et sécurité des outils d’IA de développement. À la lumière de ce dernier Patch Tuesday de l’année, les équipes cyber sauront-elles adapter leurs processus de veille et de priorisation pour suivre, en temps quasi réel, le déplacement des surfaces d’attaque vers ces nouveaux points de friction entre système, DevOps et IA générative ?

Cybersécurité, Justice, Mise à jour, Propriété Industrielle, RGPD

La faillite de Near relance le débat sur la revente des données de géolocalisation

La société Near, autrefois valorisée à un milliard de dollars, a fait faillite. Son immense base de données de géolocalisation suscite aujourd’hui de vives inquiétudes politiques et juridiques.

Near, courtier en données basé en Inde, s’était imposé en 2021 comme un acteur majeur de la collecte de données de localisation. Elle affirmait alors détenir des informations sur « 1,6 milliard de personnes dans 44 pays ». Introduite en bourse en 2023 via une SPAC, l’entreprise a pourtant déposé le bilan sept mois plus tard. Sa liquidation pose une question cruciale : que deviendront les données personnelles qu’elle détient, notamment celles liées à des lieux sensibles aux États-Unis ?

Des données de géolocalisation au cœur d’une tempête politique

La faillite de Near a rapidement attiré l’attention du Congrès américain. Le sénateur Ron Wyden a demandé à la Federal Trade Commission (FTC) d’empêcher toute revente des bases de données de géolocalisation, en particulier celles collectées autour des cliniques d’avortement. Son bureau avait ouvert une enquête après un article du Wall Street Journal de mai 2023 révélant que Near avait vendu des licences de données à l’organisation anti-avortement Veritas Society. Cette dernière aurait ciblé des publicités vers les visiteuses de 600 cliniques Planned Parenthood dans 48 États.

L’enquête a également montré que Near fournissait des données de géolocalisation au département de la Défense et à des services de renseignement américains. Dans sa lettre à la FTC, Wyden a dénoncé des pratiques « scandaleuses » et exigé la destruction ou l’anonymisation des données américaines sensibles.

Une ordonnance de faillite sous haute surveillance

Les demandes de Wyden ont été entendues. Un document judiciaire publié cette semaine impose de strictes restrictions sur la gestion et la revente des données collectées par Near. Toute entreprise reprenant ces actifs devra instaurer un « programme de gestion des données de géolocalisation sensibles », incluant une surveillance continue, des politiques de conformité et une liste de lieux interdits.

Parmi ces lieux figurent les établissements de santé reproductive, les cabinets médicaux, les églises, les prisons, les centres d’hébergement et les établissements psychiatriques. L’ordonnance interdit toute collecte, utilisation ou transfert de données sans le consentement explicite des personnes concernées.
Dans un communiqué transmis à The Markup, Ron Wyden a salué la décision de la FTC, estimant qu’elle « empêchera l’utilisation abusive du stock de données de géolocalisation des Américains ».

Les pratiques du marché de la donnée mises à nu

Les documents de faillite de Near offrent un rare aperçu du fonctionnement du marché des données de géolocalisation. Ils révèlent des accords de monétisation conclus avec plusieurs courtiers et annonceurs : X-Mode, Tamoco, Irys, Digital Origin, ainsi que des institutions universitaires et des administrations locales.

Un contrat de 2023 liait Near à Digital Origin (maison mère de X-Mode) pour 122 706 $ (112 000 euros). La FTC a depuis interdit à X-Mode de vendre des données de géolocalisation sensibles après un règlement amiable. D’autres contrats montrent que Tamoco et Irys, identifiés parmi 47 acteurs majeurs de ce marché évalué à plusieurs milliards de dollars, avaient conclu des partenariats similaires avec Near.

Selon la politique de confidentialité de l’entreprise, les données pouvaient être « transférées aux acheteurs potentiels » en cas de vente. Une clause devenue critique maintenant que Near cherche un repreneur.

Cybersécurité, Espionnage Spy, Justice

PowerSchool : un pirate de 19 ans condamné à quatre ans de prison

Un jeune Américain a été condamné à quatre ans de prison pour avoir piraté PowerSchool et tenté d’extorquer plusieurs millions de dollars à l’éditeur de logiciels éducatifs.

L’affaire PowerSchool marque l’une des plus vastes fuites de données du secteur éducatif américain. Un étudiant de 19 ans, originaire du Massachusetts, a compromis les informations personnelles de plus de 70 millions d’utilisateurs avant de réclamer une rançon de 2,9 millions $. Le tribunal fédéral l’a condamné à quatre ans d’emprisonnement, assortis d’une amende de 25 000 $ et d’une restitution de près de 14 millions $ (13 millions d’euros €). Ce piratage, d’une ampleur inédite, relance la question de la sécurité des données scolaires et des défaillances de la chaîne numérique éducative.

Une attaque d’ampleur contre l’écosystème éducatif

Matthew Lane, 19 ans, a reconnu avoir infiltré les serveurs de PowerSchool en décembre 2024 à l’aide d’identifiants volés auprès d’un prestataire de maintenance. Les enquêteurs fédéraux ont établi qu’il avait exfiltré des bases de données contenant des informations nominatives, des numéros de sécurité sociale et des dossiers médicaux concernant plus de 60 millions d’élèves et 9 millions d’enseignants. Ces données concernaient notamment le statut d’éducation spécialisée et certaines conditions médicales, rendant la fuite particulièrement sensible.

Lane a ensuite exigé le paiement de 2,9 millions $ (2,7 millions €) en cryptomonnaie pour ne pas divulguer les informations. L’entreprise a refusé de céder au chantage, mais a dû engager des frais considérables pour sécuriser ses systèmes et offrir des services de surveillance d’identité aux victimes. Selon les documents judiciaires, le coût total du piratage s’élève à plus de 14 millions $ (13 Millions €).

L’affaire a été rendue publique en janvier 2025, après la découverte de la fuite sur un forum fréquenté par des groupes de rançongiciel. Le FBI a rapidement identifié le pirate grâce aux traces laissées lors des transactions et à l’exploitation d’un portefeuille de cryptomonnaie lié à d’autres intrusions plus anciennes. Les procureurs ont décrit un individu « motivé par l’appât du gain » et disposant d’un « long historique d’activités informatiques illégales ».

Une sanction exemplaire mais mesurée

Le juge fédéral Margaret Guzman a prononcé une peine de quatre ans de prison et trois ans de surveillance d’aprés incarcération. Les procureurs demandaient sept ans d’emprisonnement, estimant que l’ampleur du préjudice justifiait une sanction plus sévère. Le tribunal a retenu la coopération de Lane et son absence de casier judiciaire comme circonstances atténuantes.

La condamnation comprend également une amende de 25 000 $ et une restitution de 14 millions $ (≈13 M €) correspondant au coût des réparations et aux compensations versées par PowerSchool. Ce montant, jugé symbolique par les victimes, illustre néanmoins la prise de conscience judiciaire face à la gravité croissante des attaques contre les infrastructures éducatives.

Du point de vue du renseignement, l’affaire met en lumière la vulnérabilité des systèmes d’information du secteur public et parapublic. Les établissements scolaires dépendent d’un écosystème de fournisseurs souvent sous-dimensionnés en matière de cybersécurité. L’exploitation d’un simple compte de prestataire a suffi à compromettre des millions de profils sensibles.

Un signal d’alerte pour la cybersécurité éducative

Le piratage PowerSchool agit comme un électrochoc pour le monde de l’ed-tech. Il démontre qu’un acteur isolé peut, avec des outils accessibles sur le web, compromettre un système national. Cet incident pourrait entraîner un renforcement des obligations de sécurité imposées aux éditeurs de logiciels éducatifs, notamment en matière de chiffrement, de segmentation réseau et de gestion des accès à privilèges.

Les données volées, très détaillées, possèdent une valeur durable sur les marchés clandestins. Contrairement à des identifiants bancaires, elles ne peuvent être facilement révoquées. Leur utilisation future à des fins de fraude ou de chantage individuel reste donc une menace. Certains États envisagent désormais de réduire la durée de conservation des dossiers scolaires et d’imposer des audits réguliers aux opérateurs privés.

Sur le plan stratégique, les services américains de renseignement économique s’inquiètent d’une possible revente de ces données à des acteurs étrangers intéressés par les profils médicaux et comportementaux d’élèves. Le lien entre espionnage de données civiles et collecte de renseignement de masse s’affirme chaque année davantage, notamment dans le champ éducatif où les plateformes concentrent une masse d’informations rarement protégée selon les standards militaires ou financiers.

Une faille révélatrice d’un écosystème fragile

Le cas PowerSchool rappelle que la chaîne d’approvisionnement logicielle demeure un point de vulnérabilité critique. Les fournisseurs intermédiaires, souvent peu surveillés, deviennent les cibles privilégiées des cybercriminels. L’incident a mis en évidence l’absence de supervision centralisée de la sécurité numérique dans l’enseignement primaire et secondaire aux États-Unis, où chaque district scolaire choisit ses propres prestataires.

Pour PowerSchool, coté en bourse et présent dans plus de 90 pays, la crise a également un coût réputationnel majeur. Le groupe a dû notifier l’ensemble de ses clients, renforcer ses protocoles d’accès et collaborer avec le FBI et la CISA (Cybersecurity and Infrastructure Security Agency). La société a déclaré avoir « pris toutes les mesures nécessaires pour prévenir toute récidive », mais l’impact sur la confiance des établissements reste considérable.

Les experts estiment que cette attaque pourrait accélérer la normalisation des pratiques de cybersécurité dans l’éducation, à l’image de ce qui existe déjà dans la santé ou la finance. Toutefois, le cas Lane démontre qu’une faille humaine — ici l’exploitation d’un compte de prestataire — peut suffire à anéantir des systèmes théoriquement conformes aux standards de sécurité.

L’affaire PowerSchool illustre une réalité inquiétante : le secteur éducatif, souvent sous-protégé, est devenu une cible stratégique pour les cybercriminels. Entre rançon, fuite de données et espionnage potentiel, les institutions scolaires devront désormais aborder la cybersécurité comme une composante essentielle de leur mission publique. Jusqu’où faudra-t-il aller pour que les données des élèves soient considérées avec la même rigueur que celles des contribuables ou des patients ?

Sources
– Reuters, Massachusetts man behind PowerSchool hacking gets 4 years in prison, 14 octobre 2025 : https://www.reuters.com/legal/government/massachusetts-man-behind-powerschool-hacking-gets-4-years-prison-2025-10-14/

Cyber-attaque, Cybersécurité, Entreprise, Piratage

Turla et Gamaredon, la collaboration inédite de deux APT russes

Deux cybergroupes affiliés au Kremlin ont été repérés collaborant en Ukraine, une première documentée par des chercheurs.

Pour la première fois, des chercheurs en cybersécurité observe une coopération directe entre Turla et Gamaredon, deux APT russes habituellement distincts. Selon les chercheurs, Gamaredon infecte massivement les machines en Ukraine tandis que Turla sélectionne ensuite les cibles d’intérêt, souvent riches en informations stratégiques. Cette combinaison illustre une coordination cyber offensive pilotée par le renseignement russe, avec des implications majeures pour la sécurité numérique européenne et militaire.

Une alliance inédite repérée en Ukraine

L’éditeur de solution de sécurité informatique ESET a découvert que des appareils de grande valeur en Ukraine présentaient des traces simultanées de malwares issus de Turla et Gamaredon. Dans plusieurs cas, Turla a exploité des machines déjà compromises par Gamaredon. Les chercheurs notent que cette synergie n’est pas fortuite : tous deux travaillent probablement sous l’égide du FSB, l’agence de renseignement russe.

Gamaredon est réputé pour ses attaques massives et peu discrètes. Son objectif consiste à aspirer rapidement un maximum de données sans s’embarrasser de techniques d’effacement. Turla, à l’inverse, est considéré comme l’un des groupes APT les plus sophistiqués au monde. Lié à des attaques contre le Pentagone en 2008, le ministère allemand des Affaires étrangères et l’armée française, il privilégie des cibles réduites mais hautement sensibles, en utilisant notamment l’internet par satellite pour brouiller son origine.

Des rôles complémentaires dans l’espionnage numérique

L’analyse montre que Turla a pu envoyer des commandes à des machines compromises grâce aux accès ouverts par Gamaredon. Ce scénario confirme une chaîne de collaboration où Gamaredon sert de porte d’entrée large et bruyante, tandis que Turla exploite ensuite une sélection restreinte de machines stratégiques. Cette répartition des tâches pourrait accroître l’efficacité globale des opérations du FSB dans la guerre cyber en cours contre l’Ukraine.

La stratégie de Turla repose sur la furtivité et le ciblage fin. Celle de Gamaredon repose sur la prolifération rapide et l’effet de masse. Ensemble, elles permettent à Moscou de combiner collecte massive et exploitation chirurgicale des données sensibles, un schéma rarement observé dans le cyberespace.

Il s’agit de la première preuve tangible d’une coopération directe entre les deux groupes. Ce constat éclaire un mode opératoire plus coordonné des opérations cyber russes. Les chercheurs estiment que Gamaredon compromet des centaines, voire des milliers, d’appareils en Ukraine, tandis que Turla ne s’intéresse qu’aux systèmes contenant des informations critiques.

Une telle collaboration pourrait transformer le rapport de force cyber, en rendant plus difficile la détection et la neutralisation de ces attaques. Pour l’Ukraine et ses alliés, l’enjeu devient d’identifier les passerelles créées par Gamaredon et exploitées par Turla avant qu’elles ne servent à des intrusions à haute valeur stratégique.

Cette alliance tactique entre Turla et Gamaredon illustre une industrialisation du renseignement cyber orchestrée par Moscou. La question centrale reste : jusqu’où cette coopération pourra-t-elle étendre la portée et l’efficacité des opérations russes contre les infrastructures ukrainiennes et occidentales ? (ESET Research)

Cybersécurité, Entreprise, Espionnage Spy

Réseau de faux cabinets : soupçons d’une opération de recrutement chinoise

Un réseau de sites vitrines aurait ciblé d’anciens fonctionnaires américains par de fausses offres d’emploi, selon une enquête du think tank Foundation for Defense of Democracies (FDD).

Des chercheurs du FDD ont mis au jour un ensemble de sites internet soupçonnés d’être liés à une opération de renseignement chinoise. Sous couvert de fausses sociétés de conseil et de think tanks fictifs, ce réseau baptisé « Foresight Network » aurait tenté de recruter d’anciens employés fédéraux et des experts en politiques publiques. Parmi les méthodes utilisées, des annonces proposant jusqu’à 8 500 $ (7 900 €) mensuels pour des postes d’analystes à distance. Si l’esthétique maladroite des sites intrigue, elle n’empêche pas leur efficacité potentielle, rappellent les analystes, citant des précédents judiciaires. Le FBI confirme surveiller ces tactiques de recrutement en ligne visant aussi bien les détenteurs d’habilitations que les spécialistes civils et académiques.

Un réseau de sites fictifs

Le site Foresight and Strategy a publié en mai une annonce offrant un poste d’analyste politique à distance, payé jusqu’à 8 500 $ (7 920 €) par mois. L’offre visait des profils issus d’organismes internationaux, d’agences publiques ou de think tanks. Derrière ce site se cacheraient deux autres vitrines, International Affairs Review et Institute of International Studies. Les trois partagent la même infrastructure numérique et un serveur de messagerie commun. Les recherches de Max Lesser et Maria Riofrio (FDD) indiquent que tous ont été enregistrés en Chine, Foresight en février 2022, les deux autres en décembre 2021. L’ensemble semble avoir profité de l’essor du télétravail post-COVID.

Deux autres plateformes, Asia Pacific Political Review et Global Strategic Outlook, aujourd’hui inaccessibles, pourraient également appartenir au même réseau. Si le lien direct avec les services de renseignement chinois reste non démontré, le schéma fait écho à d’autres opérations d’influence déjà documentées.

Méthodes simples, risques réels

Les pages incriminées présentent un anglais maladroit et des contenus visiblement factices. Témoignages signés de « John Doe », photos empruntées à des modèles WordPress ou coordonnées invalides illustrent ce bricolage. Pourtant, préviennent les analystes, ce type d’opération peut avoir des conséquences graves. La récente condamnation d’un haut fonctionnaire du département d’État américain à quatre ans de prison pour avoir transmis des documents classifiés à des agents chinois en est un exemple. Selon l’acte d’accusation, ces agents se présentaient comme membres de cabinets internationaux, exactement comme dans le scénario observé par le FDD.

Pour Lesser, même un camouflage minimal suffit à engager le premier contact. « Il n’est pas nécessaire de créer une société-écran : un site web rudimentaire suffit », résume-t-il.

Réactions officielles et alertes sécuritaires

Interrogée, l’ambassade de Chine à Washington a rejeté toute implication, dénonçant des accusations « sans fondement factuel ». De son côté, le FBI n’a pas commenté directement le réseau, mais a confirmé surveiller activement les tentatives de recrutement en ligne visant d’anciens agents, des experts techniques et des chercheurs. Le Bureau conseille de signaler toute offre suspecte aux services de sécurité compétents.

Le National Counterintelligence and Security Center avait déjà mis en garde, en avril, contre l’usage croissant de ces techniques par la Chine. En mars, CNN rapportait que Pékin et Moscou intensifiaient leurs efforts pour cibler des fonctionnaires américains frustrés ou en reconversion. Brian Harrell, ancien responsable du DHS, souligne que l’afflux de candidats après les récentes vagues de licenciements fédéraux rend le terrain encore plus propice à ces approches.

La faible sophistication technique de ces sites ne doit pas masquer leur potentiel opérationnel. Dans quelle mesure les services occidentaux sauront-ils anticiper ces approches numériques à bas coût, mais potentiellement dévastatrices ? (FWC)

Cybersécurité, Espionnage Spy, loi, Securite informatique

Sénateurs réclament un briefing sur la sécurité électorale avant les scrutins majeurs

Deux sénateurs redoutent que Tulsi Gabbard ait ralenti la transmission d’alertes sur les opérations d’influence étrangères visant le scrutin américain.

Les démocrates Mark Warner et Alex Padilla pressent la directrice du renseignement national d’expliquer ses choix. Ils craignent que le renseignement électoral soit restreint au moment où des acteurs étrangers affinent leurs campagnes de manipulation grâce à l’intelligence artificielle.

Un courrier d’alerte au renseignement

Les deux élus ont écrit à Gabbard pour obtenir, avant le 10 octobre, une réunion avec les sénateurs. Ils exigent une évaluation des mesures prévues pour protéger les élections locales de novembre et les législatives de l’an prochain. Leur lettre critique également les propos de la responsable sur la sécurité des machines à voter, jugés « infondés et nuisibles ». Des audits indépendants ont montré que les accusations de vulnérabilités sont surtout alimentées par des narratifs forgés par des puissances adverses.

L’administration actuelle cherche à relativiser les conclusions sur l’ingérence russe en 2016. Pourtant, un rapport bipartisan du Sénat avait confirmé que Vladimir Poutine voulait favoriser Donald Trump. Parallèlement, plusieurs structures fédérales de suivi des opérations d’influence ont été démantelées, au motif qu’elles censuraient des contenus en coopération avec les plateformes. La CISA, qui avait certifié la sécurité du scrutin de 2020, a vu ses responsables limogés. Selon Warner et Padilla, ces décisions créent un climat de peur au sein des agents.

Une menace technologique en constante évolution

Les services de renseignement disposent d’outils secrets pour suivre les campagnes de manipulation en ligne. Sous Joe Biden, ils ont régulièrement diffusé des analyses sur les opérations russes, chinoises et autres. Ces campagnes sont désormais dopées par l’IA. Des chercheurs américains ont documenté l’usage, par Pékin, d’entreprises spécialisées comme GoLaxy. Cette société a constitué des dossiers sur 117 parlementaires américains et plus de 2 000 personnalités politiques et intellectuelles.

L’IA renforce l’opacité et la crédibilité des campagnes d’influence étrangères. La question reste entière : les agences américaines ont-elles encore la liberté d’alerter le Congrès sans frein politique ? (NextGov)

backdoor, Cybersécurité, Espionnage Spy, Justice

Meta accusée de graves manquements en cybersécurité

Un ex-employé de WhatsApp accuse Meta d’avoir ignoré des failles critiques et d’avoir réprimé ses alertes. L’affaire implique Mark Zuckerberg et relance le débat sur la transparence des géants du numérique.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaullah Baig, ancien ingénieur de WhatsApp, affirme que des centaines de salariés pouvaient accéder sans restriction aux données sensibles des utilisateurs. Il accuse Meta d’avoir violé un accord conclu avec la FTC en 2020, de ne pas avoir signalé ces risques à la SEC et de l’avoir licencié après ses alertes. L’entreprise conteste, évoquant un collaborateur de faible niveau et mal noté. Mais le procès, qui met en cause directement Zuckerberg, soulève une question centrale : la gouvernance interne de Meta est-elle compatible avec la sécurité des données de milliards d’usagers ?

Des accusations directes contre la gouvernance de Meta

L’affaire débute par une série de découvertes que Baig dit avoir faites au sein de WhatsApp. Selon lui, des centaines d’ingénieurs disposaient d’un accès illimité aux informations personnelles des utilisateurs. Cet accès, décrit comme injustifié et incontrôlé, contreviendrait frontalement à l’engagement pris par Meta en 2020 devant la Federal Trade Commission (FTC). L’accord, conclu après plusieurs scandales liés à la vie privée, imposait un contrôle strict des accès internes et une responsabilisation accrue des dirigeants.

Baig soutient que non seulement ces obligations n’ont pas été respectées, mais que l’entreprise aurait sciemment fermé les yeux sur les vols de comptes. Les signalements de compromission d’identités numériques, fréquents sur WhatsApp, auraient été minimisés dans la communication interne et externe. L’ingénieur affirme aussi que Meta a manqué à ses devoirs de transparence envers la Securities and Exchange Commission (SEC) en omettant de déclarer ces risques dans les documents officiels remis aux investisseurs. Cette omission pourrait être assimilée à une fraude boursière.

Selon sa plainte, Baig a personnellement alerté Mark Zuckerberg, directeur général de Meta, et Will Cathcart, patron de WhatsApp. Plutôt que de traiter les failles, il décrit une réaction hostile : dénigrement de ses performances, microgestion intrusive et démantèlement des fonctionnalités de sécurité conçues par son équipe. Estimant avoir été victime de représailles, il a ensuite saisi la SEC. Peu après, il a été licencié.

Aujourd’hui, l’ancien ingénieur réclame sa réintégration, des compensations financières et un procès devant jury. Pour Meta, l’affaire ne repose sur rien : les représentants du groupe affirment que Baig n’était pas un responsable sécurité mais un simple manager de développement logiciel de niveau junior, dont les résultats jugés médiocres justifiaient le licenciement.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces qui vous visent avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Entre obligations réglementaires et enjeux stratégiques

L’aspect juridique de l’affaire repose sur deux points clés : le respect de l’accord FTC de 2020 et la communication à la SEC. L’accord imposait à Meta un dispositif de contrôle interne renforcé, notamment sur la gestion des accès aux données personnelles. Tout manquement à ces obligations pourrait exposer l’entreprise à de lourdes sanctions.

La SEC, de son côté, sanctionne toute dissimulation d’informations pouvant influencer les investisseurs. Si les accusations de Baig sont confirmées, Meta pourrait être poursuivie pour avoir présenté une image trompeuse de sa maîtrise des risques liés à la sécurité et à la confidentialité.

Au-delà du droit, le dossier révèle la tension permanente entre impératifs économiques et exigences de cybersécurité. WhatsApp, propriété de Meta depuis 2014, compte plus de deux milliards d’utilisateurs. Toute faille ou compromission massive aurait un impact mondial. L’accusation d’accès incontrôlé à grande échelle questionne directement la capacité du groupe à protéger les données sensibles, alors même que son modèle repose sur la confiance des utilisateurs et des annonceurs.

La défense de Meta s’appuie sur des éléments factuels : le département du Travail américain a déjà rejeté une plainte antérieure de Baig, estimant que son licenciement ne relevait pas de représailles. Pour l’entreprise, il s’agit donc d’un contentieux personnel monté en épingle. Mais le fait que l’affaire cite explicitement Mark Zuckerberg met sous tension la communication du groupe.

Cybersécurité et renseignement : une faille stratégique

L’accusation centrale, celle d’un accès illimité aux données utilisateurs par un trop grand nombre d’ingénieurs, mérite une lecture stratégique. Dans toute organisation numérique, la gestion des accès est l’un des piliers de la cybersécurité. Multiplier les accès sans justification augmente mécaniquement les risques d’abus, d’espionnage industriel ou d’ingérences étatiques.

Pour une plateforme mondiale comme WhatsApp, utilisée aussi bien par des particuliers que par des entreprises, des ONG ou des responsables politiques, la question prend une dimension de renseignement. L’hypothèse qu’un nombre élevé d’employés ait pu explorer les données personnelles ouvre la possibilité d’une exploitation malveillante interne ou externe.

Les services de renseignement, qui suivent de près les pratiques des grandes plateformes, s’intéressent à ce type de faille. Une infrastructure comptant des milliards d’utilisateurs représente une cible idéale pour l’espionnage, qu’il soit mené par des acteurs étatiques ou criminels. Les accusations de Baig, si elles se vérifient, signifieraient que Meta aurait facilité malgré elle la tâche de tout acteur souhaitant infiltrer ses systèmes.

La portée de l’affaire dépasse donc largement le cas d’un licenciement contesté. Elle interroge sur la gouvernance de la donnée au sein d’une entreprise devenue un nœud stratégique de communication mondiale.

Une crise de confiance pour Meta ?

Le groupe de Menlo Park se trouve à nouveau confronté à une crise de confiance. Depuis Cambridge Analytica, Meta traîne une réputation fragile en matière de protection des données. Chaque révélation ou accusation relance les doutes sur sa capacité à garantir la confidentialité.

Pour les régulateurs, cette affaire pourrait devenir un test. Si le procès confirme les accusations, la FTC et la SEC seraient contraintes de durcir encore leur contrôle. Si, au contraire, les arguments de Meta l’emportent, le cas illustrerait la difficulté pour un lanceur d’alerte interne de se faire entendre dans un groupe tentaculaire.

Dans les deux scénarios, l’impact est réel : la question de la sécurité des données chez Meta reste ouverte. La mention directe de Zuckerberg dans le dossier montre que la responsabilité personnelle des dirigeants est désormais au cœur des débats.

La cybersécurité, longtemps traitée comme une fonction technique, devient ici un enjeu de gouvernance et de confiance publique. Dans un monde où la donnée est ressource stratégique, chaque faille non traitée peut se transformer en crise globale.

Au-delà du conflit personnel entre un ex-ingénieur et son employeur, l’affaire Baig révèle les tensions profondes qui traversent les géants du numérique : comment concilier croissance, gouvernance et sécurité dans un environnement où la donnée est devenue cible de convoitises multiples ? La justice américaine devra déterminer si Meta a failli à ses obligations. Mais la question qui reste est plus large : si même un acteur central comme WhatsApp ne parvient pas à maîtriser ses accès internes, quels garde-fous restent aux utilisateurs et aux États face aux risques d’ingérence ?

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Sources

Cybersécurité, Entreprise

Nicholas Andersen prend la tête de la cybersécurité de la CISA

Nicholas Andersen succède à Chris Butera et devient directeur exécutif adjoint chargé de la cybersécurité de la CISA. Son arrivée marque une étape clé pour l’agence au moment où les menaces contre les infrastructures critiques se multiplient.

Reconnu dans les milieux de la défense et de la cybersécurité, Nicholas Andersen a pris ses fonctions le 2 septembre 2025. La CISA, bras armé de Washington pour la protection numérique et physique des infrastructures vitales, mise sur son profil hybride – militaire, gouvernemental et privé – pour renforcer son dispositif face aux cyberattaques. L’agence veut ainsi accroître la résilience nationale, affiner sa coopération avec les acteurs stratégiques et répondre à l’évolution rapide des menaces, qu’elles soient étatiques ou criminelles.

Un profil taillé pour la cybersécurité nationale

Ancien officier des Marines, décoré pour son engagement en renseignement, Andersen s’est imposé comme une figure de référence dans la cybersécurité. Sa carrière illustre un parcours mixte : il a dirigé la sécurité de grandes entreprises tout en occupant des postes stratégiques dans l’appareil fédéral. Washington Executive l’avait désigné parmi les dix responsables sécurité à suivre.

Au sein du privé, il a été président et directeur opérationnel d’Invictus, supervisant la cybersécurité et l’intégration de solutions technologiques pour des clients fédéraux et commerciaux. Chez Lumen Technologies, il a conçu une stratégie de cybersécurité globale et développé des offres sécurisées pour le secteur public, renforçant ainsi les partenariats critiques avec l’État.

Expérience fédérale et réponse aux crises

Entre 2019 et 2021, Andersen a piloté la cybersécurité énergétique au Département de l’Énergie. D’abord adjoint principal, puis secrétaire adjoint par intérim, il a coordonné la protection des infrastructures face aux menaces iraniennes, aux crises énergétiques et aux catastrophes naturelles. Son action a notamment été décisive lors de la reconstruction du réseau électrique de Porto Rico après les ouragans.

Ce parcours l’a amené à défendre la notion de résilience intégrée, combinant réponse opérationnelle rapide, anticipation stratégique et coopération étroite avec le secteur privé. Autant d’éléments que la CISA veut aujourd’hui systématiser.

Transition interne et continuité opérationnelle

Avec l’arrivée d’Andersen, Chris Butera, jusqu’ici directeur exécutif adjoint par intérim, devient directeur exécutif adjoint suppléant. Cette transition interne garantit la continuité des opérations de cybersécurité de l’agence, tout en préparant le terrain au leadership renforcé d’Andersen.

La CISA, qualifiée d’« agence de cyberdéfense nationale », reste en première ligne pour protéger les réseaux, systèmes et infrastructures essentiels. L’arrivée d’Andersen intervient dans un contexte de menaces accrues : attaques de groupes étatiques, campagnes de ransomware contre les services publics et exploitation des dépendances critiques.

Avec Nicholas Andersen, la CISA mise sur un stratège aguerri, à la croisée du renseignement, de l’industrie et de la défense nationale. Reste une question centrale : comment son expérience conjointe public-privé sera-t-elle exploitée pour contrer l’évolution des attaques hybrides sur les infrastructures critiques américaines ?

backdoor, Cybersécurité, Entreprise, Securite informatique

APT29 : la Russie piège le web avec des attaques « watering hole »

Une fausse page Cloudflare, un clic de routine, et l’espionnage commence. Les attaques de l’APT29 révèlent comment Moscou transforme les sites légitimes en armes numériques.

Le groupe APT29, lié au renseignement extérieur russe (SVR), a mis en place une nouvelle campagne d’attaques « watering hole » dévoilée par Amazon. En compromettant des sites populaires, ils ont piégé aléatoirement une partie des visiteurs avec de fausses pages de sécurité imitant Cloudflare. Derrière cette ruse, l’objectif n’était pas de voler des mots de passe mais d’exploiter l’authentification Microsoft pour obtenir un accès persistant aux comptes. L’opération illustre l’évolution constante des méthodes de l’APT29, déjà impliqué dans des campagnes contre universitaires, ONG et opposants russes. Elle met en évidence une stratégie de collecte de renseignement à grande échelle, jouant sur la confiance des internautes.

La patience des prédateurs

Le groupe APT29, aussi appelé Midnight Blizzard, n’agit pas comme un simple collectif cybercriminel. Ses opérations sont attribuées au Service de renseignement extérieur russe (SVR), héritier des réseaux d’espionnage de la guerre froide. Désormais, les agents ne déposent plus de messages secrets sous un banc public. Ils infiltrent des sites fréquentés chaque jour par des internautes ordinaires et attendent patiemment que leurs cibles idéales se présentent.

Amazon a révélé que cette opération récente reposait sur une stratégie de long terme. Plutôt que d’attaquer un seul organisme, les pirates ont compromis plusieurs sites de confiance, laissés en apparence intacts. Puis, ils ont installé un mécanisme sélectif : seuls 10 % des visiteurs étaient redirigés vers une fausse page Cloudflare, ce qui rendait la manœuvre difficile à détecter. Le reste du trafic continuait normalement, réduisant fortement les soupçons.

Ce choix tactique traduit la sophistication de l’APT29 : ils ne cherchent pas la masse mais la précision. L’approche aléatoire permet de collecter des profils variés, parmi lesquels certains deviennent de véritables cibles stratégiques.

L’art technique et psychologique

Le danger de l’APT29 ne réside pas uniquement dans ses liens présumés avec le SVR, mais dans sa maîtrise conjointe de la technique et de la psychologie des victimes. Le code malveillant, soigneusement analysé par Amazon, utilisait un encodage base64 pour échapper aux détections automatiques. Des cookies étaient placés pour éviter qu’un utilisateur redirigé une première fois le soit de nouveau, ce qui aurait éveillé les soupçons.

La copie des pages de vérification Cloudflare était parfaite : couleurs, logos, interface. Aux yeux d’un internaute pressé, tout semblait légitime. Mais le but n’était pas de capturer des identifiants saisis dans un formulaire. L’APT29 exploitait un mécanisme légal de Microsoft : le « device code authentication ». En incitant les victimes à autoriser un nouvel appareil, ils obtenaient un accès direct et durable aux comptes Microsoft des cibles, avec courriels, documents et données sensibles incluses.

Cette approche illustre une tendance croissante : détourner les fonctionnalités existantes plutôt que créer des malwares visibles. Le faux se mêle au vrai, et c’est l’utilisateur, confiant, qui ouvre lui-même la porte.

Un jeu du chat et de la souris permanent

Amazon a tenté de neutraliser l’opération en supprimant les domaines piégés. Mais l’APT29 a immédiatement rebondi, transférant ses infrastructures vers un autre fournisseur cloud et enregistrant de nouveaux noms de domaine, dont « cloudflare.redirectpartners.com ». Cette réactivité explique pourquoi ils figurent parmi les acteurs les plus persistants du cyberespionnage mondial.

Ce n’est pas une première. En octobre 2024, Amazon avait déjà interrompu une tentative d’usurpation de ses propres services par le groupe russe. En juin 2025, Google avait signalé des campagnes de phishing contre chercheurs et critiques du Kremlin. Chaque épisode montre une adaptation rapide, une volonté d’apprendre de ses échecs et une extension progressive du champ d’action.

L’APT29 ne vise pas une opération unique. Il perfectionne un modèle, teste ses armes numériques, observe les réactions adverses et prépare déjà la prochaine vague.

Le facteur humain au cœur de la manœuvre

Cette campagne ne se distingue pas par une complexité technique extrême. Elle se distingue par sa capacité à exploiter la confiance. Les sites étaient authentiques. Les pages de sécurité paraissaient ordinaires. Les demandes d’autorisation venaient de Microsoft.

Tout reposait sur un principe simple : inciter les gens à suivre ce qui semblait être la procédure normale. C’est pourquoi la formation en cybersécurité atteint vite ses limites. Expliquer qu’il faut « se méfier de tout » reste théorique. En pratique, un employé cherchant un document ou un particulier voulant lire ses courriels cliquera souvent sans réfléchir. C’est cette normalité apparente qui rend l’attaque redoutable.

Derrière, les conséquences dépassent la simple compromission d’un compte personnel. L’échantillon aléatoire de victimes peut contenir des fonctionnaires, des contractants de la défense, des journalistes ou des militants. Autant de profils qui intéressent directement Moscou dans une logique de renseignement.

Cette campagne montre que la guerre de l’information ne passe plus uniquement par les réseaux diplomatiques ou militaires. Elle s’insinue dans les gestes banals du numérique quotidien. La vraie question est donc la suivante : jusqu’où les acteurs étatiques comme l’APT29 peuvent-ils exploiter la routine des internautes avant que les systèmes de défense collectifs ne s’adaptent ?