Archives par mot-clé : renseignement

Cyber-attaque, Cybersécurité, Entreprise, Piratage

Turla et Gamaredon, la collaboration inédite de deux APT russes

Deux cybergroupes affiliés au Kremlin ont été repérés collaborant en Ukraine, une première documentée par des chercheurs.

Pour la première fois, des chercheurs en cybersécurité observe une coopération directe entre Turla et Gamaredon, deux APT russes habituellement distincts. Selon les chercheurs, Gamaredon infecte massivement les machines en Ukraine tandis que Turla sélectionne ensuite les cibles d’intérêt, souvent riches en informations stratégiques. Cette combinaison illustre une coordination cyber offensive pilotée par le renseignement russe, avec des implications majeures pour la sécurité numérique européenne et militaire.

Une alliance inédite repérée en Ukraine

L’éditeur de solution de sécurité informatique ESET a découvert que des appareils de grande valeur en Ukraine présentaient des traces simultanées de malwares issus de Turla et Gamaredon. Dans plusieurs cas, Turla a exploité des machines déjà compromises par Gamaredon. Les chercheurs notent que cette synergie n’est pas fortuite : tous deux travaillent probablement sous l’égide du FSB, l’agence de renseignement russe.

Gamaredon est réputé pour ses attaques massives et peu discrètes. Son objectif consiste à aspirer rapidement un maximum de données sans s’embarrasser de techniques d’effacement. Turla, à l’inverse, est considéré comme l’un des groupes APT les plus sophistiqués au monde. Lié à des attaques contre le Pentagone en 2008, le ministère allemand des Affaires étrangères et l’armée française, il privilégie des cibles réduites mais hautement sensibles, en utilisant notamment l’internet par satellite pour brouiller son origine.

Des rôles complémentaires dans l’espionnage numérique

L’analyse montre que Turla a pu envoyer des commandes à des machines compromises grâce aux accès ouverts par Gamaredon. Ce scénario confirme une chaîne de collaboration où Gamaredon sert de porte d’entrée large et bruyante, tandis que Turla exploite ensuite une sélection restreinte de machines stratégiques. Cette répartition des tâches pourrait accroître l’efficacité globale des opérations du FSB dans la guerre cyber en cours contre l’Ukraine.

La stratégie de Turla repose sur la furtivité et le ciblage fin. Celle de Gamaredon repose sur la prolifération rapide et l’effet de masse. Ensemble, elles permettent à Moscou de combiner collecte massive et exploitation chirurgicale des données sensibles, un schéma rarement observé dans le cyberespace.

Il s’agit de la première preuve tangible d’une coopération directe entre les deux groupes. Ce constat éclaire un mode opératoire plus coordonné des opérations cyber russes. Les chercheurs estiment que Gamaredon compromet des centaines, voire des milliers, d’appareils en Ukraine, tandis que Turla ne s’intéresse qu’aux systèmes contenant des informations critiques.

Une telle collaboration pourrait transformer le rapport de force cyber, en rendant plus difficile la détection et la neutralisation de ces attaques. Pour l’Ukraine et ses alliés, l’enjeu devient d’identifier les passerelles créées par Gamaredon et exploitées par Turla avant qu’elles ne servent à des intrusions à haute valeur stratégique.

Cette alliance tactique entre Turla et Gamaredon illustre une industrialisation du renseignement cyber orchestrée par Moscou. La question centrale reste : jusqu’où cette coopération pourra-t-elle étendre la portée et l’efficacité des opérations russes contre les infrastructures ukrainiennes et occidentales ? (ESET Research)

Cybersécurité, Entreprise, Espionnage Spy

Réseau de faux cabinets : soupçons d’une opération de recrutement chinoise

Un réseau de sites vitrines aurait ciblé d’anciens fonctionnaires américains par de fausses offres d’emploi, selon une enquête du think tank Foundation for Defense of Democracies (FDD).

Des chercheurs du FDD ont mis au jour un ensemble de sites internet soupçonnés d’être liés à une opération de renseignement chinoise. Sous couvert de fausses sociétés de conseil et de think tanks fictifs, ce réseau baptisé « Foresight Network » aurait tenté de recruter d’anciens employés fédéraux et des experts en politiques publiques. Parmi les méthodes utilisées, des annonces proposant jusqu’à 8 500 $ (7 900 €) mensuels pour des postes d’analystes à distance. Si l’esthétique maladroite des sites intrigue, elle n’empêche pas leur efficacité potentielle, rappellent les analystes, citant des précédents judiciaires. Le FBI confirme surveiller ces tactiques de recrutement en ligne visant aussi bien les détenteurs d’habilitations que les spécialistes civils et académiques.

Un réseau de sites fictifs

Le site Foresight and Strategy a publié en mai une annonce offrant un poste d’analyste politique à distance, payé jusqu’à 8 500 $ (7 920 €) par mois. L’offre visait des profils issus d’organismes internationaux, d’agences publiques ou de think tanks. Derrière ce site se cacheraient deux autres vitrines, International Affairs Review et Institute of International Studies. Les trois partagent la même infrastructure numérique et un serveur de messagerie commun. Les recherches de Max Lesser et Maria Riofrio (FDD) indiquent que tous ont été enregistrés en Chine, Foresight en février 2022, les deux autres en décembre 2021. L’ensemble semble avoir profité de l’essor du télétravail post-COVID.

Deux autres plateformes, Asia Pacific Political Review et Global Strategic Outlook, aujourd’hui inaccessibles, pourraient également appartenir au même réseau. Si le lien direct avec les services de renseignement chinois reste non démontré, le schéma fait écho à d’autres opérations d’influence déjà documentées.

Méthodes simples, risques réels

Les pages incriminées présentent un anglais maladroit et des contenus visiblement factices. Témoignages signés de « John Doe », photos empruntées à des modèles WordPress ou coordonnées invalides illustrent ce bricolage. Pourtant, préviennent les analystes, ce type d’opération peut avoir des conséquences graves. La récente condamnation d’un haut fonctionnaire du département d’État américain à quatre ans de prison pour avoir transmis des documents classifiés à des agents chinois en est un exemple. Selon l’acte d’accusation, ces agents se présentaient comme membres de cabinets internationaux, exactement comme dans le scénario observé par le FDD.

Pour Lesser, même un camouflage minimal suffit à engager le premier contact. « Il n’est pas nécessaire de créer une société-écran : un site web rudimentaire suffit », résume-t-il.

Réactions officielles et alertes sécuritaires

Interrogée, l’ambassade de Chine à Washington a rejeté toute implication, dénonçant des accusations « sans fondement factuel ». De son côté, le FBI n’a pas commenté directement le réseau, mais a confirmé surveiller activement les tentatives de recrutement en ligne visant d’anciens agents, des experts techniques et des chercheurs. Le Bureau conseille de signaler toute offre suspecte aux services de sécurité compétents.

Le National Counterintelligence and Security Center avait déjà mis en garde, en avril, contre l’usage croissant de ces techniques par la Chine. En mars, CNN rapportait que Pékin et Moscou intensifiaient leurs efforts pour cibler des fonctionnaires américains frustrés ou en reconversion. Brian Harrell, ancien responsable du DHS, souligne que l’afflux de candidats après les récentes vagues de licenciements fédéraux rend le terrain encore plus propice à ces approches.

La faible sophistication technique de ces sites ne doit pas masquer leur potentiel opérationnel. Dans quelle mesure les services occidentaux sauront-ils anticiper ces approches numériques à bas coût, mais potentiellement dévastatrices ? (FWC)

Cybersécurité, Espionnage Spy, loi, Securite informatique

Sénateurs réclament un briefing sur la sécurité électorale avant les scrutins majeurs

Deux sénateurs redoutent que Tulsi Gabbard ait ralenti la transmission d’alertes sur les opérations d’influence étrangères visant le scrutin américain.

Les démocrates Mark Warner et Alex Padilla pressent la directrice du renseignement national d’expliquer ses choix. Ils craignent que le renseignement électoral soit restreint au moment où des acteurs étrangers affinent leurs campagnes de manipulation grâce à l’intelligence artificielle.

Un courrier d’alerte au renseignement

Les deux élus ont écrit à Gabbard pour obtenir, avant le 10 octobre, une réunion avec les sénateurs. Ils exigent une évaluation des mesures prévues pour protéger les élections locales de novembre et les législatives de l’an prochain. Leur lettre critique également les propos de la responsable sur la sécurité des machines à voter, jugés « infondés et nuisibles ». Des audits indépendants ont montré que les accusations de vulnérabilités sont surtout alimentées par des narratifs forgés par des puissances adverses.

L’administration actuelle cherche à relativiser les conclusions sur l’ingérence russe en 2016. Pourtant, un rapport bipartisan du Sénat avait confirmé que Vladimir Poutine voulait favoriser Donald Trump. Parallèlement, plusieurs structures fédérales de suivi des opérations d’influence ont été démantelées, au motif qu’elles censuraient des contenus en coopération avec les plateformes. La CISA, qui avait certifié la sécurité du scrutin de 2020, a vu ses responsables limogés. Selon Warner et Padilla, ces décisions créent un climat de peur au sein des agents.

Une menace technologique en constante évolution

Les services de renseignement disposent d’outils secrets pour suivre les campagnes de manipulation en ligne. Sous Joe Biden, ils ont régulièrement diffusé des analyses sur les opérations russes, chinoises et autres. Ces campagnes sont désormais dopées par l’IA. Des chercheurs américains ont documenté l’usage, par Pékin, d’entreprises spécialisées comme GoLaxy. Cette société a constitué des dossiers sur 117 parlementaires américains et plus de 2 000 personnalités politiques et intellectuelles.

L’IA renforce l’opacité et la crédibilité des campagnes d’influence étrangères. La question reste entière : les agences américaines ont-elles encore la liberté d’alerter le Congrès sans frein politique ? (NextGov)

backdoor, Cybersécurité, Espionnage Spy, Justice

Meta accusée de graves manquements en cybersécurité

Un ex-employé de WhatsApp accuse Meta d’avoir ignoré des failles critiques et d’avoir réprimé ses alertes. L’affaire implique Mark Zuckerberg et relance le débat sur la transparence des géants du numérique.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaullah Baig, ancien ingénieur de WhatsApp, affirme que des centaines de salariés pouvaient accéder sans restriction aux données sensibles des utilisateurs. Il accuse Meta d’avoir violé un accord conclu avec la FTC en 2020, de ne pas avoir signalé ces risques à la SEC et de l’avoir licencié après ses alertes. L’entreprise conteste, évoquant un collaborateur de faible niveau et mal noté. Mais le procès, qui met en cause directement Zuckerberg, soulève une question centrale : la gouvernance interne de Meta est-elle compatible avec la sécurité des données de milliards d’usagers ?

Des accusations directes contre la gouvernance de Meta

L’affaire débute par une série de découvertes que Baig dit avoir faites au sein de WhatsApp. Selon lui, des centaines d’ingénieurs disposaient d’un accès illimité aux informations personnelles des utilisateurs. Cet accès, décrit comme injustifié et incontrôlé, contreviendrait frontalement à l’engagement pris par Meta en 2020 devant la Federal Trade Commission (FTC). L’accord, conclu après plusieurs scandales liés à la vie privée, imposait un contrôle strict des accès internes et une responsabilisation accrue des dirigeants.

Baig soutient que non seulement ces obligations n’ont pas été respectées, mais que l’entreprise aurait sciemment fermé les yeux sur les vols de comptes. Les signalements de compromission d’identités numériques, fréquents sur WhatsApp, auraient été minimisés dans la communication interne et externe. L’ingénieur affirme aussi que Meta a manqué à ses devoirs de transparence envers la Securities and Exchange Commission (SEC) en omettant de déclarer ces risques dans les documents officiels remis aux investisseurs. Cette omission pourrait être assimilée à une fraude boursière.

Selon sa plainte, Baig a personnellement alerté Mark Zuckerberg, directeur général de Meta, et Will Cathcart, patron de WhatsApp. Plutôt que de traiter les failles, il décrit une réaction hostile : dénigrement de ses performances, microgestion intrusive et démantèlement des fonctionnalités de sécurité conçues par son équipe. Estimant avoir été victime de représailles, il a ensuite saisi la SEC. Peu après, il a été licencié.

Aujourd’hui, l’ancien ingénieur réclame sa réintégration, des compensations financières et un procès devant jury. Pour Meta, l’affaire ne repose sur rien : les représentants du groupe affirment que Baig n’était pas un responsable sécurité mais un simple manager de développement logiciel de niveau junior, dont les résultats jugés médiocres justifiaient le licenciement.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces qui vous visent avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Entre obligations réglementaires et enjeux stratégiques

L’aspect juridique de l’affaire repose sur deux points clés : le respect de l’accord FTC de 2020 et la communication à la SEC. L’accord imposait à Meta un dispositif de contrôle interne renforcé, notamment sur la gestion des accès aux données personnelles. Tout manquement à ces obligations pourrait exposer l’entreprise à de lourdes sanctions.

La SEC, de son côté, sanctionne toute dissimulation d’informations pouvant influencer les investisseurs. Si les accusations de Baig sont confirmées, Meta pourrait être poursuivie pour avoir présenté une image trompeuse de sa maîtrise des risques liés à la sécurité et à la confidentialité.

Au-delà du droit, le dossier révèle la tension permanente entre impératifs économiques et exigences de cybersécurité. WhatsApp, propriété de Meta depuis 2014, compte plus de deux milliards d’utilisateurs. Toute faille ou compromission massive aurait un impact mondial. L’accusation d’accès incontrôlé à grande échelle questionne directement la capacité du groupe à protéger les données sensibles, alors même que son modèle repose sur la confiance des utilisateurs et des annonceurs.

La défense de Meta s’appuie sur des éléments factuels : le département du Travail américain a déjà rejeté une plainte antérieure de Baig, estimant que son licenciement ne relevait pas de représailles. Pour l’entreprise, il s’agit donc d’un contentieux personnel monté en épingle. Mais le fait que l’affaire cite explicitement Mark Zuckerberg met sous tension la communication du groupe.

Cybersécurité et renseignement : une faille stratégique

L’accusation centrale, celle d’un accès illimité aux données utilisateurs par un trop grand nombre d’ingénieurs, mérite une lecture stratégique. Dans toute organisation numérique, la gestion des accès est l’un des piliers de la cybersécurité. Multiplier les accès sans justification augmente mécaniquement les risques d’abus, d’espionnage industriel ou d’ingérences étatiques.

Pour une plateforme mondiale comme WhatsApp, utilisée aussi bien par des particuliers que par des entreprises, des ONG ou des responsables politiques, la question prend une dimension de renseignement. L’hypothèse qu’un nombre élevé d’employés ait pu explorer les données personnelles ouvre la possibilité d’une exploitation malveillante interne ou externe.

Les services de renseignement, qui suivent de près les pratiques des grandes plateformes, s’intéressent à ce type de faille. Une infrastructure comptant des milliards d’utilisateurs représente une cible idéale pour l’espionnage, qu’il soit mené par des acteurs étatiques ou criminels. Les accusations de Baig, si elles se vérifient, signifieraient que Meta aurait facilité malgré elle la tâche de tout acteur souhaitant infiltrer ses systèmes.

La portée de l’affaire dépasse donc largement le cas d’un licenciement contesté. Elle interroge sur la gouvernance de la donnée au sein d’une entreprise devenue un nœud stratégique de communication mondiale.

Une crise de confiance pour Meta ?

Le groupe de Menlo Park se trouve à nouveau confronté à une crise de confiance. Depuis Cambridge Analytica, Meta traîne une réputation fragile en matière de protection des données. Chaque révélation ou accusation relance les doutes sur sa capacité à garantir la confidentialité.

Pour les régulateurs, cette affaire pourrait devenir un test. Si le procès confirme les accusations, la FTC et la SEC seraient contraintes de durcir encore leur contrôle. Si, au contraire, les arguments de Meta l’emportent, le cas illustrerait la difficulté pour un lanceur d’alerte interne de se faire entendre dans un groupe tentaculaire.

Dans les deux scénarios, l’impact est réel : la question de la sécurité des données chez Meta reste ouverte. La mention directe de Zuckerberg dans le dossier montre que la responsabilité personnelle des dirigeants est désormais au cœur des débats.

La cybersécurité, longtemps traitée comme une fonction technique, devient ici un enjeu de gouvernance et de confiance publique. Dans un monde où la donnée est ressource stratégique, chaque faille non traitée peut se transformer en crise globale.

Au-delà du conflit personnel entre un ex-ingénieur et son employeur, l’affaire Baig révèle les tensions profondes qui traversent les géants du numérique : comment concilier croissance, gouvernance et sécurité dans un environnement où la donnée est devenue cible de convoitises multiples ? La justice américaine devra déterminer si Meta a failli à ses obligations. Mais la question qui reste est plus large : si même un acteur central comme WhatsApp ne parvient pas à maîtriser ses accès internes, quels garde-fous restent aux utilisateurs et aux États face aux risques d’ingérence ?

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Sources

Cybersécurité, Entreprise

Nicholas Andersen prend la tête de la cybersécurité de la CISA

Nicholas Andersen succède à Chris Butera et devient directeur exécutif adjoint chargé de la cybersécurité de la CISA. Son arrivée marque une étape clé pour l’agence au moment où les menaces contre les infrastructures critiques se multiplient.

Reconnu dans les milieux de la défense et de la cybersécurité, Nicholas Andersen a pris ses fonctions le 2 septembre 2025. La CISA, bras armé de Washington pour la protection numérique et physique des infrastructures vitales, mise sur son profil hybride – militaire, gouvernemental et privé – pour renforcer son dispositif face aux cyberattaques. L’agence veut ainsi accroître la résilience nationale, affiner sa coopération avec les acteurs stratégiques et répondre à l’évolution rapide des menaces, qu’elles soient étatiques ou criminelles.

Un profil taillé pour la cybersécurité nationale

Ancien officier des Marines, décoré pour son engagement en renseignement, Andersen s’est imposé comme une figure de référence dans la cybersécurité. Sa carrière illustre un parcours mixte : il a dirigé la sécurité de grandes entreprises tout en occupant des postes stratégiques dans l’appareil fédéral. Washington Executive l’avait désigné parmi les dix responsables sécurité à suivre.

Au sein du privé, il a été président et directeur opérationnel d’Invictus, supervisant la cybersécurité et l’intégration de solutions technologiques pour des clients fédéraux et commerciaux. Chez Lumen Technologies, il a conçu une stratégie de cybersécurité globale et développé des offres sécurisées pour le secteur public, renforçant ainsi les partenariats critiques avec l’État.

Expérience fédérale et réponse aux crises

Entre 2019 et 2021, Andersen a piloté la cybersécurité énergétique au Département de l’Énergie. D’abord adjoint principal, puis secrétaire adjoint par intérim, il a coordonné la protection des infrastructures face aux menaces iraniennes, aux crises énergétiques et aux catastrophes naturelles. Son action a notamment été décisive lors de la reconstruction du réseau électrique de Porto Rico après les ouragans.

Ce parcours l’a amené à défendre la notion de résilience intégrée, combinant réponse opérationnelle rapide, anticipation stratégique et coopération étroite avec le secteur privé. Autant d’éléments que la CISA veut aujourd’hui systématiser.

Transition interne et continuité opérationnelle

Avec l’arrivée d’Andersen, Chris Butera, jusqu’ici directeur exécutif adjoint par intérim, devient directeur exécutif adjoint suppléant. Cette transition interne garantit la continuité des opérations de cybersécurité de l’agence, tout en préparant le terrain au leadership renforcé d’Andersen.

La CISA, qualifiée d’« agence de cyberdéfense nationale », reste en première ligne pour protéger les réseaux, systèmes et infrastructures essentiels. L’arrivée d’Andersen intervient dans un contexte de menaces accrues : attaques de groupes étatiques, campagnes de ransomware contre les services publics et exploitation des dépendances critiques.

Avec Nicholas Andersen, la CISA mise sur un stratège aguerri, à la croisée du renseignement, de l’industrie et de la défense nationale. Reste une question centrale : comment son expérience conjointe public-privé sera-t-elle exploitée pour contrer l’évolution des attaques hybrides sur les infrastructures critiques américaines ?

backdoor, Cybersécurité, Entreprise, Securite informatique

APT29 : la Russie piège le web avec des attaques « watering hole »

Une fausse page Cloudflare, un clic de routine, et l’espionnage commence. Les attaques de l’APT29 révèlent comment Moscou transforme les sites légitimes en armes numériques.

Le groupe APT29, lié au renseignement extérieur russe (SVR), a mis en place une nouvelle campagne d’attaques « watering hole » dévoilée par Amazon. En compromettant des sites populaires, ils ont piégé aléatoirement une partie des visiteurs avec de fausses pages de sécurité imitant Cloudflare. Derrière cette ruse, l’objectif n’était pas de voler des mots de passe mais d’exploiter l’authentification Microsoft pour obtenir un accès persistant aux comptes. L’opération illustre l’évolution constante des méthodes de l’APT29, déjà impliqué dans des campagnes contre universitaires, ONG et opposants russes. Elle met en évidence une stratégie de collecte de renseignement à grande échelle, jouant sur la confiance des internautes.

La patience des prédateurs

Le groupe APT29, aussi appelé Midnight Blizzard, n’agit pas comme un simple collectif cybercriminel. Ses opérations sont attribuées au Service de renseignement extérieur russe (SVR), héritier des réseaux d’espionnage de la guerre froide. Désormais, les agents ne déposent plus de messages secrets sous un banc public. Ils infiltrent des sites fréquentés chaque jour par des internautes ordinaires et attendent patiemment que leurs cibles idéales se présentent.

Amazon a révélé que cette opération récente reposait sur une stratégie de long terme. Plutôt que d’attaquer un seul organisme, les pirates ont compromis plusieurs sites de confiance, laissés en apparence intacts. Puis, ils ont installé un mécanisme sélectif : seuls 10 % des visiteurs étaient redirigés vers une fausse page Cloudflare, ce qui rendait la manœuvre difficile à détecter. Le reste du trafic continuait normalement, réduisant fortement les soupçons.

Ce choix tactique traduit la sophistication de l’APT29 : ils ne cherchent pas la masse mais la précision. L’approche aléatoire permet de collecter des profils variés, parmi lesquels certains deviennent de véritables cibles stratégiques.

L’art technique et psychologique

Le danger de l’APT29 ne réside pas uniquement dans ses liens présumés avec le SVR, mais dans sa maîtrise conjointe de la technique et de la psychologie des victimes. Le code malveillant, soigneusement analysé par Amazon, utilisait un encodage base64 pour échapper aux détections automatiques. Des cookies étaient placés pour éviter qu’un utilisateur redirigé une première fois le soit de nouveau, ce qui aurait éveillé les soupçons.

La copie des pages de vérification Cloudflare était parfaite : couleurs, logos, interface. Aux yeux d’un internaute pressé, tout semblait légitime. Mais le but n’était pas de capturer des identifiants saisis dans un formulaire. L’APT29 exploitait un mécanisme légal de Microsoft : le « device code authentication ». En incitant les victimes à autoriser un nouvel appareil, ils obtenaient un accès direct et durable aux comptes Microsoft des cibles, avec courriels, documents et données sensibles incluses.

Cette approche illustre une tendance croissante : détourner les fonctionnalités existantes plutôt que créer des malwares visibles. Le faux se mêle au vrai, et c’est l’utilisateur, confiant, qui ouvre lui-même la porte.

Un jeu du chat et de la souris permanent

Amazon a tenté de neutraliser l’opération en supprimant les domaines piégés. Mais l’APT29 a immédiatement rebondi, transférant ses infrastructures vers un autre fournisseur cloud et enregistrant de nouveaux noms de domaine, dont « cloudflare.redirectpartners.com ». Cette réactivité explique pourquoi ils figurent parmi les acteurs les plus persistants du cyberespionnage mondial.

Ce n’est pas une première. En octobre 2024, Amazon avait déjà interrompu une tentative d’usurpation de ses propres services par le groupe russe. En juin 2025, Google avait signalé des campagnes de phishing contre chercheurs et critiques du Kremlin. Chaque épisode montre une adaptation rapide, une volonté d’apprendre de ses échecs et une extension progressive du champ d’action.

L’APT29 ne vise pas une opération unique. Il perfectionne un modèle, teste ses armes numériques, observe les réactions adverses et prépare déjà la prochaine vague.

Le facteur humain au cœur de la manœuvre

Cette campagne ne se distingue pas par une complexité technique extrême. Elle se distingue par sa capacité à exploiter la confiance. Les sites étaient authentiques. Les pages de sécurité paraissaient ordinaires. Les demandes d’autorisation venaient de Microsoft.

Tout reposait sur un principe simple : inciter les gens à suivre ce qui semblait être la procédure normale. C’est pourquoi la formation en cybersécurité atteint vite ses limites. Expliquer qu’il faut « se méfier de tout » reste théorique. En pratique, un employé cherchant un document ou un particulier voulant lire ses courriels cliquera souvent sans réfléchir. C’est cette normalité apparente qui rend l’attaque redoutable.

Derrière, les conséquences dépassent la simple compromission d’un compte personnel. L’échantillon aléatoire de victimes peut contenir des fonctionnaires, des contractants de la défense, des journalistes ou des militants. Autant de profils qui intéressent directement Moscou dans une logique de renseignement.

Cette campagne montre que la guerre de l’information ne passe plus uniquement par les réseaux diplomatiques ou militaires. Elle s’insinue dans les gestes banals du numérique quotidien. La vraie question est donc la suivante : jusqu’où les acteurs étatiques comme l’APT29 peuvent-ils exploiter la routine des internautes avant que les systèmes de défense collectifs ne s’adaptent ?

Cybersécurité, Espionnage Spy, IA

ChatGPT accusé à Moscou de transmettre des données au Pentagone

OpenAI est accusée par un responsable russe de partager automatiquement avec les agences américaines les requêtes en russe envoyées via ChatGPT.

Selon le site Caliber, Alexander Asafov, premier vice-président de la commission de la Chambre publique de Moscou sur la société civile, affirme que les demandes en langue russe soumises à ChatGPT seraient transférées « proactivement et automatiquement » au FBI et au Pentagone. Il ajoute que des dirigeants d’entreprises d’intelligence artificielle auraient reçu cette année « des grades au Pentagone ». Aucune preuve n’a été apportée pour étayer ces accusations.

Une rhétorique géopolitique

Cette déclaration s’inscrit dans une série de prises de position russes qui présentent les grands acteurs occidentaux du numérique comme des instruments d’ingérence. En ciblant OpenAI, Moscou met l’accent sur l’usage de l’IA générative en Russie et sur les risques supposés d’espionnage. L’accusation d’un transfert automatique au FBI et au Pentagone relève davantage d’un discours politique que d’une information vérifiée.

L’angle cyber et renseignement

La Russie multiplie les alertes autour de la collecte de données par les plateformes étrangères, qu’elle considère comme un levier de surveillance occidentale. La référence à un lien direct entre OpenAI et le Pentagone illustre une stratégie classique : associer les outils numériques à une infrastructure de renseignement militaire. Cette rhétorique vise autant l’opinion publique russe que les utilisateurs potentiels de l’IA dans la région.

Ni OpenAI ni les autorités américaines n’ont réagi à cette déclaration au moment de la publication. La formulation employée par Asafov — « automatiquement » et « initiative » d’OpenAI — ne repose sur aucune documentation technique accessible. À ce stade, il s’agit d’une accusation politique relayée par la presse locale, sans élément de corroboration indépendant.

La question centrale reste donc : cette accusation relève-t-elle d’une alerte fondée sur des renseignements techniques, ou d’une construction géopolitique destinée à encadrer l’usage de l’IA en Russie ?

backdoor, Cybersécurité, Entreprise, Téléphonie

L’Espagne annule un contrat Huawei de 10 millions d’euros sur fond de pressions sécuritaires

Madrid a stoppé un contrat stratégique impliquant Huawei dans le réseau RedIRIS. Une décision dictée par la sécurité nationale et la crainte d’ingérences étrangères dans des infrastructures sensibles.

Le gouvernement espagnol a annulé un contrat de 9,8 millions € avec Telefónica, qui prévoyait l’installation d’équipements Huawei pour moderniser le réseau de recherche RedIRIS, utilisé par universités et Défense. Officiellement justifiée par l’autonomie stratégique, cette décision reflète aussi les pressions internationales concernant les risques liés aux fournisseurs chinois. L’annulation retarde le projet, augmente son coût et oblige à relancer la mise en concurrence. Si Madrid n’impose pas de veto explicite à Huawei, la décision marque un tournant dans la politique numérique espagnole. Elle interroge l’équilibre entre ouverture technologique et souveraineté cyber, dans un contexte de tensions croissantes entre Chine, États-Unis et Europe.

Sécurité nationale en ligne de mire

Le 29 août, le ministère espagnol de la Science et de l’Innovation a notifié à Telefónica l’annulation du contrat attribué pour équiper RedIRIS. Cette dorsale nationale relie plus de 500 institutions de recherche, dont le ministère de la Défense, et devait passer de 100 à 400 Gbps grâce à de nouveaux équipements fournis par Huawei. L’investissement prévu atteignait 9,8 millions €, financé par des fonds publics et européens.

Le gouvernement a invoqué la stratégie de « souveraineté numérique » et la nécessité de protéger les communications critiques. Cette justification masque à peine la pression exercée par les États-Unis, qui dénoncent depuis des années le risque d’espionnage inhérent aux technologies Huawei. Washington considère que la loi chinoise sur le renseignement oblige les entreprises locales à coopérer avec Pékin.

La décision espagnole ne constitue pas un bannissement officiel de Huawei. Contrairement à Londres ou Berlin, Madrid n’a pas établi de liste de fournisseurs à risque. Mais ce signal politique place Huawei dans une position défavorable pour tout futur appel d’offres public lié aux infrastructures sensibles.

Conséquences économiques et techniques

L’annulation ne reste pas sans coût. La procédure de relance entraîne des retards et oblige à revoir les budgets. Selon les projections, les offres alternatives de Nokia, Cisco ou Juniper dépasseront largement l’enveloppe initiale. Les experts évoquent une augmentation des coûts à plus de 12 millions €, en raison de la rareté des équipements et de l’urgence imposée.

Telefónica, qui avait remporté le marché en bonne et due forme, se retrouve dans une situation délicate. L’opérateur n’a pas commenté publiquement mais doit désormais renégocier avec de nouveaux fournisseurs, tout en absorbant les délais. Pour les chercheurs et le ministère de la Défense, cela signifie un report dans la modernisation de leurs communications stratégiques.

Ce surcoût illustre le dilemme auquel se confrontent de nombreux pays européens : privilégier la souveraineté technologique face à la dépendance chinoise implique souvent des dépenses supérieures. Or, l’Espagne n’avait pas anticipé ces surcoûts dans son budget initial.

Les États-Unis jouent un rôle clé dans cette affaire. Depuis l’administration Trump, Washington mène une campagne internationale pour restreindre Huawei, accusée de liens étroits avec Pékin. Les diplomates américains ont multiplié les avertissements auprès des alliés européens : intégrer des équipements chinois dans des réseaux stratégiques, c’est ouvrir une porte potentielle au renseignement chinois.

L’OTAN, dont l’Espagne est membre, a relayé ces inquiétudes. Les communications militaires et gouvernementales transitant par RedIRIS ne pouvaient, selon les experts américains, dépendre d’une technologie jugée « non fiable ». À Bruxelles, la Commission européenne a publié plusieurs recommandations encourageant les États membres à réduire leur exposition aux fournisseurs à haut risque, sans toutefois imposer de bannissement formel.

Certains pays ont choisi une approche radicale. Le Royaume-Uni a ordonné le retrait complet des équipements Huawei de son réseau 5G d’ici 2027. L’Allemagne a imposé un examen strict de sécurité pour chaque équipement critique, visant en pratique à exclure Huawei et ZTE. L’Espagne, en revanche, avait jusqu’ici adopté une ligne plus conciliante, préférant évaluer chaque projet au cas par cas. L’affaire RedIRIS démontre que cette position évolue.

Lois chinoises et soupçons d’espionnage

Le cœur des inquiétudes occidentales repose sur la loi chinoise sur le renseignement de 2017. Ce texte oblige toute entreprise enregistrée en Chine à collaborer avec les services de sécurité nationale, sur demande. Pour les agences occidentales, cela signifie que Huawei pourrait être contraint de fournir un accès à ses équipements, sans possibilité de refus ni de transparence.

Les risques évoqués ne concernent pas uniquement l’espionnage passif. Dans un scénario de conflit ou de crise diplomatique, l’insertion de portes dérobées pourrait permettre une interruption ciblée de réseaux stratégiques. Les experts parlent d’« armes dormantes » dissimulées dans le code ou les mises à jour logicielles.

Huawei réfute systématiquement ces accusations et souligne que jamais aucune preuve technique n’a démontré l’existence de telles portes dérobées. L’entreprise rappelle sa présence dans plus de 170 pays et affirme que son exclusion relève davantage de la rivalité technologique que de la cybersécurité objective. Néanmoins, la perception de risque suffit à influencer les choix politiques européens.

La décision espagnole a des répercussions bien au-delà de l’économie numérique. Elle s’inscrit dans un équilibre délicat entre deux pôles d’influence. D’un côté, la Chine est un partenaire commercial majeur pour l’Espagne, notamment dans les secteurs automobile et énergétique. De l’autre, Washington reste un allié stratégique incontournable en matière de défense et de renseignement.

Annuler un contrat Huawei, c’est envoyer un signal de proximité à l’OTAN et aux États-Unis, mais au prix d’une irritation probable à Pékin. La Chine pourrait réagir en freinant certains investissements ou en réduisant sa coopération économique. Dans un contexte où l’Espagne cherche à attirer des capitaux étrangers pour sa transition numérique, le calcul est risqué.

Sur le plan industriel, cette annulation renforce indirectement les positions de Nokia, Cisco et Juniper en Europe. Ces acteurs, souvent américains ou européens, apparaissent comme des alternatives plus sûres, bien qu’à un coût supérieur. Pour l’industrie espagnole des télécoms, cela signifie aussi une dépendance accrue à des fournisseurs occidentaux déjà fortement sollicités.

En annulant ce contrat, Madrid a fait le choix de la prudence stratégique, au détriment de la rapidité et de l’efficacité économique. La souveraineté numérique devient un axe central de la politique européenne, mais l’Espagne reste confrontée à une question cruciale : jusqu’où céder aux pressions de ses alliés sans rompre avec un partenaire commercial comme la Chine, qui détient des leviers économiques puissants ?

Base de données, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Les Services de Renseignements Danois se penchent sur la sécurité informatique

Dans son rapport baptisé « Intelligence Risk Assessment 2015 – An assessment of developments abroad impacting on Danish security« , le Danish Defense Intelligence Service, revient sur les problématiques rencontrés par les services secrets Danois.

Dans son dernier rapport en date, baptisé « Intelligence Risk Assessment 2015« , les Services de Renseignements Danois (DDIS) reviennent sur une année 2015 chargée. Le Danish Defense Intelligence Service s’inquiète de l’évolution des risques d’espionnage contre les institutions publiques et les entreprises privées danoises. « Le cybercrime constitue la plus grave des menaces au Danemark et pour les intérêts Danois » souligne le FE. « Ce type d’espionnage est principalement mené par des Etats et des groupes parrainés par des États« .

Au cours des dernières années, le cyber espionnage contre le Danemark a considérablement augmenté, et les méthodes et techniques employées par les auteurs sont devenues de plus en plus sophistiquée. « L’espionnage cybernétique contre les autorités danoises et les entreprises est très élevée » confirme DDIS. Pour le Danish Defense, il est fort probable que plusieurs États vont exploiter l’Internet à des fins offensives. DDIS cite d’ailleurs l’État islamique en Irak et le Levant (ISIL) et ses filiales régionales.

Le Service de Renseignement Danois termine son rapport sur le danger que peuvent être les prestataires de services. Un exemple, celui vécu par certains services de la police locale dont les serveurs avaient été attaqués par le biais d’un fournisseur de services. « Des dispositifs de faibles qualités constituent un risque que des acteurs malveillants savent exploiter, comme par exemple les routeurs qui sont exploités pour mener espionnage ou sabotage« .

Chiffrement, cryptage, Cybersécurité, Justice, loi

Le Sénat a adopté les conclusions de la commission mixte paritaire sur le projet de loi relatif au renseignement

Un commentaire

Au cours de la séance du 23 juin 2015, le Sénat a adopté les conclusions de la commission mixte paritaire (CMP) sur le projet de loi relatif au renseignement. La CMP avait adopté plusieurs dispositions dans la rédaction issue des travaux du Sénat.

Ainsi, les dispositions du Sénat visant à garantir les libertés publiques ont été maintenues. Il s’agit notamment de la définition du respect de la vie privée qui implique le secret des correspondances, protection des données personnelles et l’inviolabilité du domicile ; la possibilité pour toute personne souhaitant vérifier qu’aucune technique de renseignement n’est mise en oeuvre de manière irrégulière à son encontre de saisir la CNCTR (Commission nationale de contrôle des techniques de renseignement) sans avoir à démontrer un “intérêt direct et personnel” à agir ; – la limitation à deux mois de la durée d’autorisation de mise en oeuvre des techniques particulières de renseignement portant sur les données de connexion ; la possibilité pour le Conseil d’Etat de statuer en référé en premier et dernier ressort dans le cadre de contentieux sur la mise en oeuvre des techniques de renseignement.

En outre, l’administration pénitentiaire ne pourra pas utiliser les techniques de recueil de renseignement et la computation du délai de conservation des renseignements se fera à partir du recueil de la donnée et non de son exploitation. En commission mixte paritaire, sénateurs et députés se sont accordés sur le délai de conservation des données recueillies par les techniques de renseignement, fixé à 30 jours pour les interceptions de correspondances, à 120 jours pour les renseignements collectés dans le cadre de la captation d’images ou de données informatiques, à quatre ans pour les données de connexion et à six ans pour les données cryptées.

En séance, lors de la lecture des conclusions de CMP, le Sénat a adopté l’amendement n° 8 du Gouvernement qui supprime une disposition adoptée par la commission mixte paritaire et qui prévoyait que le Premier ministre pouvait autoriser le recours aux techniques de renseignement sans avis préalable de la CNCTR lorsque leur mise en œuvre ne concerne ni un Français, ni un résident habituel en France.

Ce texte sera adopté définitivement si l’Assemblée nationale adopte les conclusions de la commission mixte paritaire dans les mêmes termes le 24 juin 2015.