Archives par mot-clé : renseignement

Cybersécurité, Entreprise

Nicholas Andersen prend la tête de la cybersécurité de la CISA

Nicholas Andersen succède à Chris Butera et devient directeur exécutif adjoint chargé de la cybersécurité de la CISA. Son arrivée marque une étape clé pour l’agence au moment où les menaces contre les infrastructures critiques se multiplient.

Reconnu dans les milieux de la défense et de la cybersécurité, Nicholas Andersen a pris ses fonctions le 2 septembre 2025. La CISA, bras armé de Washington pour la protection numérique et physique des infrastructures vitales, mise sur son profil hybride – militaire, gouvernemental et privé – pour renforcer son dispositif face aux cyberattaques. L’agence veut ainsi accroître la résilience nationale, affiner sa coopération avec les acteurs stratégiques et répondre à l’évolution rapide des menaces, qu’elles soient étatiques ou criminelles.

Un profil taillé pour la cybersécurité nationale

Ancien officier des Marines, décoré pour son engagement en renseignement, Andersen s’est imposé comme une figure de référence dans la cybersécurité. Sa carrière illustre un parcours mixte : il a dirigé la sécurité de grandes entreprises tout en occupant des postes stratégiques dans l’appareil fédéral. Washington Executive l’avait désigné parmi les dix responsables sécurité à suivre.

Au sein du privé, il a été président et directeur opérationnel d’Invictus, supervisant la cybersécurité et l’intégration de solutions technologiques pour des clients fédéraux et commerciaux. Chez Lumen Technologies, il a conçu une stratégie de cybersécurité globale et développé des offres sécurisées pour le secteur public, renforçant ainsi les partenariats critiques avec l’État.

Expérience fédérale et réponse aux crises

Entre 2019 et 2021, Andersen a piloté la cybersécurité énergétique au Département de l’Énergie. D’abord adjoint principal, puis secrétaire adjoint par intérim, il a coordonné la protection des infrastructures face aux menaces iraniennes, aux crises énergétiques et aux catastrophes naturelles. Son action a notamment été décisive lors de la reconstruction du réseau électrique de Porto Rico après les ouragans.

Ce parcours l’a amené à défendre la notion de résilience intégrée, combinant réponse opérationnelle rapide, anticipation stratégique et coopération étroite avec le secteur privé. Autant d’éléments que la CISA veut aujourd’hui systématiser.

Transition interne et continuité opérationnelle

Avec l’arrivée d’Andersen, Chris Butera, jusqu’ici directeur exécutif adjoint par intérim, devient directeur exécutif adjoint suppléant. Cette transition interne garantit la continuité des opérations de cybersécurité de l’agence, tout en préparant le terrain au leadership renforcé d’Andersen.

La CISA, qualifiée d’« agence de cyberdéfense nationale », reste en première ligne pour protéger les réseaux, systèmes et infrastructures essentiels. L’arrivée d’Andersen intervient dans un contexte de menaces accrues : attaques de groupes étatiques, campagnes de ransomware contre les services publics et exploitation des dépendances critiques.

Avec Nicholas Andersen, la CISA mise sur un stratège aguerri, à la croisée du renseignement, de l’industrie et de la défense nationale. Reste une question centrale : comment son expérience conjointe public-privé sera-t-elle exploitée pour contrer l’évolution des attaques hybrides sur les infrastructures critiques américaines ?

backdoor, Cybersécurité, Entreprise, Securite informatique

APT29 : la Russie piège le web avec des attaques « watering hole »

Une fausse page Cloudflare, un clic de routine, et l’espionnage commence. Les attaques de l’APT29 révèlent comment Moscou transforme les sites légitimes en armes numériques.

Le groupe APT29, lié au renseignement extérieur russe (SVR), a mis en place une nouvelle campagne d’attaques « watering hole » dévoilée par Amazon. En compromettant des sites populaires, ils ont piégé aléatoirement une partie des visiteurs avec de fausses pages de sécurité imitant Cloudflare. Derrière cette ruse, l’objectif n’était pas de voler des mots de passe mais d’exploiter l’authentification Microsoft pour obtenir un accès persistant aux comptes. L’opération illustre l’évolution constante des méthodes de l’APT29, déjà impliqué dans des campagnes contre universitaires, ONG et opposants russes. Elle met en évidence une stratégie de collecte de renseignement à grande échelle, jouant sur la confiance des internautes.

La patience des prédateurs

Le groupe APT29, aussi appelé Midnight Blizzard, n’agit pas comme un simple collectif cybercriminel. Ses opérations sont attribuées au Service de renseignement extérieur russe (SVR), héritier des réseaux d’espionnage de la guerre froide. Désormais, les agents ne déposent plus de messages secrets sous un banc public. Ils infiltrent des sites fréquentés chaque jour par des internautes ordinaires et attendent patiemment que leurs cibles idéales se présentent.

Amazon a révélé que cette opération récente reposait sur une stratégie de long terme. Plutôt que d’attaquer un seul organisme, les pirates ont compromis plusieurs sites de confiance, laissés en apparence intacts. Puis, ils ont installé un mécanisme sélectif : seuls 10 % des visiteurs étaient redirigés vers une fausse page Cloudflare, ce qui rendait la manœuvre difficile à détecter. Le reste du trafic continuait normalement, réduisant fortement les soupçons.

Ce choix tactique traduit la sophistication de l’APT29 : ils ne cherchent pas la masse mais la précision. L’approche aléatoire permet de collecter des profils variés, parmi lesquels certains deviennent de véritables cibles stratégiques.

L’art technique et psychologique

Le danger de l’APT29 ne réside pas uniquement dans ses liens présumés avec le SVR, mais dans sa maîtrise conjointe de la technique et de la psychologie des victimes. Le code malveillant, soigneusement analysé par Amazon, utilisait un encodage base64 pour échapper aux détections automatiques. Des cookies étaient placés pour éviter qu’un utilisateur redirigé une première fois le soit de nouveau, ce qui aurait éveillé les soupçons.

La copie des pages de vérification Cloudflare était parfaite : couleurs, logos, interface. Aux yeux d’un internaute pressé, tout semblait légitime. Mais le but n’était pas de capturer des identifiants saisis dans un formulaire. L’APT29 exploitait un mécanisme légal de Microsoft : le « device code authentication ». En incitant les victimes à autoriser un nouvel appareil, ils obtenaient un accès direct et durable aux comptes Microsoft des cibles, avec courriels, documents et données sensibles incluses.

Cette approche illustre une tendance croissante : détourner les fonctionnalités existantes plutôt que créer des malwares visibles. Le faux se mêle au vrai, et c’est l’utilisateur, confiant, qui ouvre lui-même la porte.

Un jeu du chat et de la souris permanent

Amazon a tenté de neutraliser l’opération en supprimant les domaines piégés. Mais l’APT29 a immédiatement rebondi, transférant ses infrastructures vers un autre fournisseur cloud et enregistrant de nouveaux noms de domaine, dont « cloudflare.redirectpartners.com ». Cette réactivité explique pourquoi ils figurent parmi les acteurs les plus persistants du cyberespionnage mondial.

Ce n’est pas une première. En octobre 2024, Amazon avait déjà interrompu une tentative d’usurpation de ses propres services par le groupe russe. En juin 2025, Google avait signalé des campagnes de phishing contre chercheurs et critiques du Kremlin. Chaque épisode montre une adaptation rapide, une volonté d’apprendre de ses échecs et une extension progressive du champ d’action.

L’APT29 ne vise pas une opération unique. Il perfectionne un modèle, teste ses armes numériques, observe les réactions adverses et prépare déjà la prochaine vague.

Le facteur humain au cœur de la manœuvre

Cette campagne ne se distingue pas par une complexité technique extrême. Elle se distingue par sa capacité à exploiter la confiance. Les sites étaient authentiques. Les pages de sécurité paraissaient ordinaires. Les demandes d’autorisation venaient de Microsoft.

Tout reposait sur un principe simple : inciter les gens à suivre ce qui semblait être la procédure normale. C’est pourquoi la formation en cybersécurité atteint vite ses limites. Expliquer qu’il faut « se méfier de tout » reste théorique. En pratique, un employé cherchant un document ou un particulier voulant lire ses courriels cliquera souvent sans réfléchir. C’est cette normalité apparente qui rend l’attaque redoutable.

Derrière, les conséquences dépassent la simple compromission d’un compte personnel. L’échantillon aléatoire de victimes peut contenir des fonctionnaires, des contractants de la défense, des journalistes ou des militants. Autant de profils qui intéressent directement Moscou dans une logique de renseignement.

Cette campagne montre que la guerre de l’information ne passe plus uniquement par les réseaux diplomatiques ou militaires. Elle s’insinue dans les gestes banals du numérique quotidien. La vraie question est donc la suivante : jusqu’où les acteurs étatiques comme l’APT29 peuvent-ils exploiter la routine des internautes avant que les systèmes de défense collectifs ne s’adaptent ?

Cybersécurité, Espionnage Spy, IA

ChatGPT accusé à Moscou de transmettre des données au Pentagone

OpenAI est accusée par un responsable russe de partager automatiquement avec les agences américaines les requêtes en russe envoyées via ChatGPT.

Selon le site Caliber, Alexander Asafov, premier vice-président de la commission de la Chambre publique de Moscou sur la société civile, affirme que les demandes en langue russe soumises à ChatGPT seraient transférées « proactivement et automatiquement » au FBI et au Pentagone. Il ajoute que des dirigeants d’entreprises d’intelligence artificielle auraient reçu cette année « des grades au Pentagone ». Aucune preuve n’a été apportée pour étayer ces accusations.

Une rhétorique géopolitique

Cette déclaration s’inscrit dans une série de prises de position russes qui présentent les grands acteurs occidentaux du numérique comme des instruments d’ingérence. En ciblant OpenAI, Moscou met l’accent sur l’usage de l’IA générative en Russie et sur les risques supposés d’espionnage. L’accusation d’un transfert automatique au FBI et au Pentagone relève davantage d’un discours politique que d’une information vérifiée.

L’angle cyber et renseignement

La Russie multiplie les alertes autour de la collecte de données par les plateformes étrangères, qu’elle considère comme un levier de surveillance occidentale. La référence à un lien direct entre OpenAI et le Pentagone illustre une stratégie classique : associer les outils numériques à une infrastructure de renseignement militaire. Cette rhétorique vise autant l’opinion publique russe que les utilisateurs potentiels de l’IA dans la région.

Ni OpenAI ni les autorités américaines n’ont réagi à cette déclaration au moment de la publication. La formulation employée par Asafov — « automatiquement » et « initiative » d’OpenAI — ne repose sur aucune documentation technique accessible. À ce stade, il s’agit d’une accusation politique relayée par la presse locale, sans élément de corroboration indépendant.

La question centrale reste donc : cette accusation relève-t-elle d’une alerte fondée sur des renseignements techniques, ou d’une construction géopolitique destinée à encadrer l’usage de l’IA en Russie ?

backdoor, Cybersécurité, Entreprise, Téléphonie

L’Espagne annule un contrat Huawei de 10 millions d’euros sur fond de pressions sécuritaires

Madrid a stoppé un contrat stratégique impliquant Huawei dans le réseau RedIRIS. Une décision dictée par la sécurité nationale et la crainte d’ingérences étrangères dans des infrastructures sensibles.

Le gouvernement espagnol a annulé un contrat de 9,8 millions € avec Telefónica, qui prévoyait l’installation d’équipements Huawei pour moderniser le réseau de recherche RedIRIS, utilisé par universités et Défense. Officiellement justifiée par l’autonomie stratégique, cette décision reflète aussi les pressions internationales concernant les risques liés aux fournisseurs chinois. L’annulation retarde le projet, augmente son coût et oblige à relancer la mise en concurrence. Si Madrid n’impose pas de veto explicite à Huawei, la décision marque un tournant dans la politique numérique espagnole. Elle interroge l’équilibre entre ouverture technologique et souveraineté cyber, dans un contexte de tensions croissantes entre Chine, États-Unis et Europe.

Sécurité nationale en ligne de mire

Le 29 août, le ministère espagnol de la Science et de l’Innovation a notifié à Telefónica l’annulation du contrat attribué pour équiper RedIRIS. Cette dorsale nationale relie plus de 500 institutions de recherche, dont le ministère de la Défense, et devait passer de 100 à 400 Gbps grâce à de nouveaux équipements fournis par Huawei. L’investissement prévu atteignait 9,8 millions €, financé par des fonds publics et européens.

Le gouvernement a invoqué la stratégie de « souveraineté numérique » et la nécessité de protéger les communications critiques. Cette justification masque à peine la pression exercée par les États-Unis, qui dénoncent depuis des années le risque d’espionnage inhérent aux technologies Huawei. Washington considère que la loi chinoise sur le renseignement oblige les entreprises locales à coopérer avec Pékin.

La décision espagnole ne constitue pas un bannissement officiel de Huawei. Contrairement à Londres ou Berlin, Madrid n’a pas établi de liste de fournisseurs à risque. Mais ce signal politique place Huawei dans une position défavorable pour tout futur appel d’offres public lié aux infrastructures sensibles.

Conséquences économiques et techniques

L’annulation ne reste pas sans coût. La procédure de relance entraîne des retards et oblige à revoir les budgets. Selon les projections, les offres alternatives de Nokia, Cisco ou Juniper dépasseront largement l’enveloppe initiale. Les experts évoquent une augmentation des coûts à plus de 12 millions €, en raison de la rareté des équipements et de l’urgence imposée.

Telefónica, qui avait remporté le marché en bonne et due forme, se retrouve dans une situation délicate. L’opérateur n’a pas commenté publiquement mais doit désormais renégocier avec de nouveaux fournisseurs, tout en absorbant les délais. Pour les chercheurs et le ministère de la Défense, cela signifie un report dans la modernisation de leurs communications stratégiques.

Ce surcoût illustre le dilemme auquel se confrontent de nombreux pays européens : privilégier la souveraineté technologique face à la dépendance chinoise implique souvent des dépenses supérieures. Or, l’Espagne n’avait pas anticipé ces surcoûts dans son budget initial.

Les États-Unis jouent un rôle clé dans cette affaire. Depuis l’administration Trump, Washington mène une campagne internationale pour restreindre Huawei, accusée de liens étroits avec Pékin. Les diplomates américains ont multiplié les avertissements auprès des alliés européens : intégrer des équipements chinois dans des réseaux stratégiques, c’est ouvrir une porte potentielle au renseignement chinois.

L’OTAN, dont l’Espagne est membre, a relayé ces inquiétudes. Les communications militaires et gouvernementales transitant par RedIRIS ne pouvaient, selon les experts américains, dépendre d’une technologie jugée « non fiable ». À Bruxelles, la Commission européenne a publié plusieurs recommandations encourageant les États membres à réduire leur exposition aux fournisseurs à haut risque, sans toutefois imposer de bannissement formel.

Certains pays ont choisi une approche radicale. Le Royaume-Uni a ordonné le retrait complet des équipements Huawei de son réseau 5G d’ici 2027. L’Allemagne a imposé un examen strict de sécurité pour chaque équipement critique, visant en pratique à exclure Huawei et ZTE. L’Espagne, en revanche, avait jusqu’ici adopté une ligne plus conciliante, préférant évaluer chaque projet au cas par cas. L’affaire RedIRIS démontre que cette position évolue.

Lois chinoises et soupçons d’espionnage

Le cœur des inquiétudes occidentales repose sur la loi chinoise sur le renseignement de 2017. Ce texte oblige toute entreprise enregistrée en Chine à collaborer avec les services de sécurité nationale, sur demande. Pour les agences occidentales, cela signifie que Huawei pourrait être contraint de fournir un accès à ses équipements, sans possibilité de refus ni de transparence.

Les risques évoqués ne concernent pas uniquement l’espionnage passif. Dans un scénario de conflit ou de crise diplomatique, l’insertion de portes dérobées pourrait permettre une interruption ciblée de réseaux stratégiques. Les experts parlent d’« armes dormantes » dissimulées dans le code ou les mises à jour logicielles.

Huawei réfute systématiquement ces accusations et souligne que jamais aucune preuve technique n’a démontré l’existence de telles portes dérobées. L’entreprise rappelle sa présence dans plus de 170 pays et affirme que son exclusion relève davantage de la rivalité technologique que de la cybersécurité objective. Néanmoins, la perception de risque suffit à influencer les choix politiques européens.

La décision espagnole a des répercussions bien au-delà de l’économie numérique. Elle s’inscrit dans un équilibre délicat entre deux pôles d’influence. D’un côté, la Chine est un partenaire commercial majeur pour l’Espagne, notamment dans les secteurs automobile et énergétique. De l’autre, Washington reste un allié stratégique incontournable en matière de défense et de renseignement.

Annuler un contrat Huawei, c’est envoyer un signal de proximité à l’OTAN et aux États-Unis, mais au prix d’une irritation probable à Pékin. La Chine pourrait réagir en freinant certains investissements ou en réduisant sa coopération économique. Dans un contexte où l’Espagne cherche à attirer des capitaux étrangers pour sa transition numérique, le calcul est risqué.

Sur le plan industriel, cette annulation renforce indirectement les positions de Nokia, Cisco et Juniper en Europe. Ces acteurs, souvent américains ou européens, apparaissent comme des alternatives plus sûres, bien qu’à un coût supérieur. Pour l’industrie espagnole des télécoms, cela signifie aussi une dépendance accrue à des fournisseurs occidentaux déjà fortement sollicités.

En annulant ce contrat, Madrid a fait le choix de la prudence stratégique, au détriment de la rapidité et de l’efficacité économique. La souveraineté numérique devient un axe central de la politique européenne, mais l’Espagne reste confrontée à une question cruciale : jusqu’où céder aux pressions de ses alliés sans rompre avec un partenaire commercial comme la Chine, qui détient des leviers économiques puissants ?

Base de données, Contrefaçon, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Les Services de Renseignements Danois se penchent sur la sécurité informatique

Dans son rapport baptisé « Intelligence Risk Assessment 2015 – An assessment of developments abroad impacting on Danish security« , le Danish Defense Intelligence Service, revient sur les problématiques rencontrés par les services secrets Danois.

Dans son dernier rapport en date, baptisé « Intelligence Risk Assessment 2015« , les Services de Renseignements Danois (DDIS) reviennent sur une année 2015 chargée. Le Danish Defense Intelligence Service s’inquiète de l’évolution des risques d’espionnage contre les institutions publiques et les entreprises privées danoises. « Le cybercrime constitue la plus grave des menaces au Danemark et pour les intérêts Danois » souligne le FE. « Ce type d’espionnage est principalement mené par des Etats et des groupes parrainés par des États« .

Au cours des dernières années, le cyber espionnage contre le Danemark a considérablement augmenté, et les méthodes et techniques employées par les auteurs sont devenues de plus en plus sophistiquée. « L’espionnage cybernétique contre les autorités danoises et les entreprises est très élevée » confirme DDIS. Pour le Danish Defense, il est fort probable que plusieurs États vont exploiter l’Internet à des fins offensives. DDIS cite d’ailleurs l’État islamique en Irak et le Levant (ISIL) et ses filiales régionales.

Le Service de Renseignement Danois termine son rapport sur le danger que peuvent être les prestataires de services. Un exemple, celui vécu par certains services de la police locale dont les serveurs avaient été attaqués par le biais d’un fournisseur de services. « Des dispositifs de faibles qualités constituent un risque que des acteurs malveillants savent exploiter, comme par exemple les routeurs qui sont exploités pour mener espionnage ou sabotage« .

Chiffrement, cryptage, Cybersécurité, Justice, loi

Le Sénat a adopté les conclusions de la commission mixte paritaire sur le projet de loi relatif au renseignement

Un commentaire

Au cours de la séance du 23 juin 2015, le Sénat a adopté les conclusions de la commission mixte paritaire (CMP) sur le projet de loi relatif au renseignement. La CMP avait adopté plusieurs dispositions dans la rédaction issue des travaux du Sénat.

Ainsi, les dispositions du Sénat visant à garantir les libertés publiques ont été maintenues. Il s’agit notamment de la définition du respect de la vie privée qui implique le secret des correspondances, protection des données personnelles et l’inviolabilité du domicile ; la possibilité pour toute personne souhaitant vérifier qu’aucune technique de renseignement n’est mise en oeuvre de manière irrégulière à son encontre de saisir la CNCTR (Commission nationale de contrôle des techniques de renseignement) sans avoir à démontrer un “intérêt direct et personnel” à agir ; – la limitation à deux mois de la durée d’autorisation de mise en oeuvre des techniques particulières de renseignement portant sur les données de connexion ; la possibilité pour le Conseil d’Etat de statuer en référé en premier et dernier ressort dans le cadre de contentieux sur la mise en oeuvre des techniques de renseignement.

En outre, l’administration pénitentiaire ne pourra pas utiliser les techniques de recueil de renseignement et la computation du délai de conservation des renseignements se fera à partir du recueil de la donnée et non de son exploitation. En commission mixte paritaire, sénateurs et députés se sont accordés sur le délai de conservation des données recueillies par les techniques de renseignement, fixé à 30 jours pour les interceptions de correspondances, à 120 jours pour les renseignements collectés dans le cadre de la captation d’images ou de données informatiques, à quatre ans pour les données de connexion et à six ans pour les données cryptées.

En séance, lors de la lecture des conclusions de CMP, le Sénat a adopté l’amendement n° 8 du Gouvernement qui supprime une disposition adoptée par la commission mixte paritaire et qui prévoyait que le Premier ministre pouvait autoriser le recours aux techniques de renseignement sans avis préalable de la CNCTR lorsque leur mise en œuvre ne concerne ni un Français, ni un résident habituel en France.

Ce texte sera adopté définitivement si l’Assemblée nationale adopte les conclusions de la commission mixte paritaire dans les mêmes termes le 24 juin 2015.