🔎 Cyberveille

The Shadowserver Foundation a effectué un scan d’Internet pour identifier les serveurs vulnérables à la vulnérabilité React2Shell (CVE-2025-55182). Les résultats sont alarmants : plus de 77 000 adresses IP vulnérables à l’échelle mondiale, dont 4 710 en France.

C’est l’histoire d’un naufrage numérique qui laisse les contribuables et les enquêteurs sans voix. Avec une facture astronomique de 257,4 millions d’euros pour un outil toujours inutilisable dix ans après son lancement, le projet de logiciel de rédaction de procédures de la police nationale se transforme en scandale d’État. Entre guerre des services, incompétence technique et lourdeurs administratives, l’heure est au fiasco : l’administration a accouché d’une coûteuse coquille vide.

Face aux risques croissants d’espionnage numérique, l’armée de défense d’Israël interdit désormais les terminaux Android pour ses gradés au profit exclusif d’Apple. À partir du grade de lieutenant-colonel, l’iPhone devient donc obligatoire pour toutes les communications officielles.

Une voix familière au téléphone, un visage connu en visioconférence… et pourtant, rien d’humain derrière. Avec les deepfakes, les cyberattaques ne visent plus seulement les pare-feu mais manipulent réflexes, émotions et automatismes pour forcer l’accès aux systèmes les mieux protégés.

Une récente étude de Sophos dévoile que, dans le domaine de la cybersécurité, le « burnout » représente un facteur de risque majeur pour les entreprises et leurs équipes.

Les Européens perdent-ils des marchés parce qu’ils nourrissent un complexe d’infériorité envers les États-Unis ? Ce pourrait être le cas dans le secteur de la cybersécurité. Pourtant, les entreprises européennes n’ont pas à rougir face à leurs concurrents américains, et seraient même aussi performantes et compétitives. Mais pourquoi les entreprises de cybersécurité se font-elles doubler par les géants américains ?

Google développe, pour Android, une fonctionnalité contre les arnaques qui utilisent la fonction de partage d’écran pour voler des informations sensibles sur les applications financières. Il s’agit aujourd’hui d’un type d’arnaque “populaire” et WhatsApp a déjà lancé une fonctionnalité intégrée à son app pour protéger les utilisateurs contre celle-ci.

L’agence américaine de cybersécurité CISA a publié, le 4 décembre 2025, un rapport alarmant sur le logiciel malveillant BRICKSTORM. Cette porte dérobée, attribuée à des cyberacteurs parrainés par l’État chinois, aurait permis l’infiltration et le maintien d’un accès persistant au sein de plusieurs organisations gouvernementales.

Les autorités judiciaires suisses ont mené des perquisitions en raison de soupçons de délit d’initié, dans le cadre d’une enquête visant cinq collaborateurs actuels ou anciens du revendeur de licences SoftwareOne.

Comment les cyberattaques, l’intelligence artificielle et les entreprises parrainées par l’État façonnent le nouveau champ de bataille géopolitique en Europe. La guerre du XXIe siècle ne se déroule pas seulement sur les champs de bataille, mais aussi sur les serveurs, les réseaux électriques, les applications de réseaux sociaux, les systèmes satellitaires et les plateformes numériques. Le conflit entre l’Ouest et l’Est s’est déplacé dans un domaine sombre et hybride où les cyberattaques, la désinformation et l’espionnage numérique agissent comme des armes qui ne laissent pas de traces visibles mais qui peuvent provoquer d’énormes bouleversements géopolitiques.

La juge a rejeté les objections d’OpenAI relatives à la confidentialité concernant une ordonnance antérieure exigeant que la start-up spécialisée dans l’intelligence artificielle soumette les enregistrements comme preuves. OpenAI doit donc produire des millions de journaux de discussion anonymisés provenant d’utilisateurs de ChatGPT dans le cadre de son litige très médiatisé avec le New York Times et d’autres organes de presse, a statué un juge fédéral de Manhattan.

Les autorités thaïlandaises affichent leur détermination à lutter contre les activités des centres de cyberarnaque qui pullulent dans les zones frontalières avec le Cambodge. À cet effet, la police a mené des perquisitions dans une cinquantaine de localités, décrit le quotidien “Khaosod”.

Asus confirme avoir été touché par une cyberattaque visant l’un de ses fournisseurs. Une partie du code source des caméras de ses smartphones a été compromise par les cybercriminels russe.

Orange Cyberdefense, l’un des leaders européens des services de cybersécurité, dévoile aujourd’hui les conclusions de son enquête internationale annuelle Security Navigator. Fruits, entre autres, de l’analyse de plus de 139 000 incidents de sécurité entre octobre 2024 et septembre 2025 et de divers travaux de recherches reposant sur sa base de données de renseignement cyber propriétaire et des sources OSINT, Open Source Intelligence, il compte parmi ses enseignements :

Utilisation d’Internet dans les ménages en 2025

La société genevoise Proton annonce Sheets, un nouveau tableur qui vient agrémenter Proton Drive. Cet outil intégrant un chiffrement de bout en bout se présente comme une alternative plus confidentielle aux solutions de Microsoft ou Google.

La vignette autoroutière électronique gagne en popularité en Suisse. Mais pendant la période de forte activité commerciale liée à la fin de l’année, des escrocs tentent d’extorquer de l’argent aux acheteurs: voici comment vous protéger.

MédecinDirect, géant français de la téléconsultation, a subi une cyberattaque. Des pirates ont consulté des données personnelles et des informations médicales sensibles. Les informations que vous avez données pendant l’examen médicale ont été compromises…

Dans le Patch Tuesday de novembre, Microsoft a corrigé une faille exploitée depuis des années. Non-critique, l’entreprise ne la considérait d’ailleurs même pas comme une vulnérabilité. Elle a pourtant été utilisée très activement dans plusieurs campagnes.

Les fuites de données se multiplient, mais l’information reste éparpillée. BonjourLaFuite change la donne en proposant une timeline factuelle et structurée des incidents en France.

Un gigantesque botnet appelé Aisuru enchaine les cyberattaques. Au 3ᵉ trimestre 2025, il a orchestré plus de 1 300 attaques DDoS. Il a aussi et surtout déployé une attaque record. Déjouée par Cloudflare, l’offensive provenait de millions d’appareils piratés…

Selon react.dev, une vulnérabilité critique permettant une exécution de code à distance non authentifiée a été découverte dans React Server Components et divulgée sous CVE-2025-55182 (score CVSS 10.0). Le défaut provient d’un problème dans la façon dont React décode les charges utiles envoyées aux endpoints de React Server Functions, permettant à un attaquant de provoquer une RCE via une requête HTTP malveillante.

Chrome 143 arrive sur votre ordinateur. La mise à jour corrige un total de 13 vulnérabilités dans le code du navigateur web, dont quatre failles de haute gravité.

Dans le paysage en constante évolution de la cybersécurité , la croissance des attaques de type adversaire au milieu (AitM pour adversary-in-the-middle) représente une menace importante pour les organisations. L’hameçonnage de type AitM est de plus en plus employé par les auteurs de menace depuis la migration des organisations vers le nuage, obligeant la ligne de défense principale à migrer de la protection traditionnelle des périmètres réseau vers la protection de l’identité comme priorité.

Et de trois. A la mi-novembre, l’agence de police européenne Europol signalait la dernière édition de son opération Endgame, cette action internationale visant à déstabiliser l’écosystème cybercriminel en s’attaquant à leurs infrastructures. Cette fois-ci, c’est l’infostealer Rhadamanthys ainsi que le cheval de Troie VenomRAT et le botnet Elysium qui ont été ciblés.

Après avoir été au coeur d’une fuite de données massive le mois dernier, une nouvelle vaste opération de piratage secoue l’écosystème Salesforce.

Nouvelle cyberattaque en France, avec Leroy Merlin qui annonce avoir été piraté, entraînant le vol des données des clients. Cela intervient le lendemain de l’annonce d’un piratage visant France Travail.

Plus de 4,3 millions d’utilisateurs de Chrome et Edge ont été espionnés via des extensions piégées. Une vaste opération, baptisée ShadyPanda, a détourné des modules pourtant disponibles sur les stores officiels des navigateurs.

Si les écrans de mise à jour Windows se veulent toujours rassurants, c’est précisément cette confiance que la nouvelle variante du malware ClickFix détourne avec une efficacité redoutable.

Berne, 02.12.2025 — L’Office fédéral de l’armement armasuisse et l’U.S. Air Force Research Laboratory (AFRL) ont lancé le projet de recherche « A-VIPER ». Il est basé sur l’accord-cadre actuel entre le Département fédéral de la défense, de la protection de la population et des sports (DDPS) et le Département de la Défense des États-Unis (DoD) et vise à développer de manière décisive l’identification, l’analyse et la priorisation automatisées des vulnérabilités logicielles dans les systèmes critiques pour la sécurité.

Les services secrets peuvent surveiller toutes les personnes en Suisse sans motif ni soupçon grâce à la surveillance des communications radio et câblées. Dans un arrêt historique, le Tribunal administratif fédéral a désormais établi que l’exploration des réseaux câblés et radio n’était ni conforme à la Constitution fédérale ni à la Convention européenne des droits de l’homme. Il s’agit d’une victoire importante pour la liberté et la vie privée sur Internet.

La communication transfrontalière est surveillée par le Service de renseignement de la Confédération dans le cadre de l’exploration radio et du réseau câblé. Dans son arrêt, le Tribunal administratif fédéral constate que ce système de collecte d’informations dans sa conception actuelle n’est pas conforme à la Constitution fédérale et à la CEDH. Le législateur a la possibilité de remédier aux lacunes dans le cadre de la révision législative en cours.

Le 20 novembre 2025, la CNIL a sanctionné la société française LES PUBLICATIONS CONDE NAST d’une amende de 750 000 euros pour le non-respect des règles applicables en matière de traceurs (cookies), déposés sur le terminal des utilisateurs se rendant sur le site « vanityfair.fr ».

02.12.2025 - Une campagne d’hameçonnage utilise actuellement abusivement le nom de SERAFE. Les cybercriminels, sous prétexte de vérifier la situation du ménage, cherchent à obtenir toute une série d’informations. Outre des données personnelles telles que nom et date de naissance, ils réclament également l’adresse électronique, le numéro AVS, la date d’un éventuel déménagement et des données de carte de crédit. La rétrospective de cette semaine montre pourquoi cette combinaison de données leur est particulièrement utile et comment se protéger.

La police européenne continue de s’en prendre aux plateformes de mixage de cryptomonnaies. Les forces de l’ordre viennent en effet de démanteler Cryptomixer, un important service de mixage de bitcoins. La plateforme aurait permis de blanchir plus de 1,3 milliard d’euros avant que les enquêteurs ne saisissent ses serveurs.

Après Salesforce, un groupe de cybercriminels a décidé de s’attaquer aux clients de Zendesk, éditeur d’une plateforme de support client. La découverte a été faite par les experts de l’entreprise de sécurité ReliaQuest. Dans cette campagne, les pirates se sont appuyés sur des faux noms de domaines déposés au cours des six derniers mois.Pas moins d’une quarantaine de faux domaines ont ainsi vu le jour. Selon ReliaQuest, certains domaines, comme znedesk[.]com et vpn-zendesk[.]com, hébergeaient de fausses pages de connexion imitant à la perfection les écrans de connexion de Zendesk. D’autres intégraient des noms d’entreprise dans leur adresse web afin de leur conférer une apparence de légitimité.

L’application SmartTube, chouchou des utilisateurs d’Android TV et Fire TV pour son interface épurée et sa suppression automatique des pubs sur YouTube, fait les gros titres pour de mauvaises raisons. Fin novembre 2025, des versions officielles de l’app ont été contaminées par un malware discret, capable d’exfiltrer des données sensibles comme le modèle de l’appareil, l’adresse IP locale ou la version d’Android.

Le géant sud-coréen du e-commerce a confirmé qu’un incident a exposé les données personnelles de 33,7 millions de comptes clients. Un ancien employé d’origine chinoise est accusé d’avoir utilisé une clé d’authentification restée active après la fin de son contrat pour accéder aux données.

Le Swiss FS-CSC a déjà mené à plusieurs reprises des exercices de simulation de cyberattaque. Le 26 novembre, un cyberexercice a été organisé pour la première fois en Suisse romande. Une soixantaine de participantes et participants issus du secteur financier ont simulé une cyberattaque complexe et en plusieurs étapes.

France Travail a indiqué lundi 1er décembre avoir été victime d’un acte de cyber malveillance ayant entraîné une fuite de données personnelles. En l’occurrence, ce sont les informations relatives à environ 1,6 million de jeunes suivis par le réseau des Missions Locales (antennes dédiées à l’insertion faisant partie du service public de l’emploi) qui sont concernées, soit parce qu’ils étaient inscrits à France Travail, soit parce qu’ils s’étaient vus prescrire une formation via l’outil Ouiform opéré par France Travail.

Selon GBHackers, un nouvel outil open source nommé KawaiiGPT est apparu sur GitHub, se présentant comme une version « kawaii » et non filtrée d’une IA, et comme un clone gratuit de « WormGPT ».

Lors d’un exercice de crise cette année, le système informatique central de la Confédération a connu une défaillance, révèle la NZZ am Sonntag. Celui-ci regroupe toutes les informations pour fournir aux cellules de crise cantonales une vue d’ensemble de la situation dans toute la Suisse. Pendant l’exercice de début novembre, simulant une attaque hybride contre notre pays, les cantons n’ont, à plusieurs reprises, pas pu accéder au système informatique central de la Confédération ou seulement avec un certain retard. Les états-majors cantonaux n’ont donc pu suivre la situation que de manière fragmentaire.

De nouvelles recherches révèlent qu’au cours de la période 2023-2025, plus de 237 opérations cyber ont ciblé les infrastructures spatiales. Les satellites et les systèmes de communication spatiaux sont menacés par la cyberguerre, met en garde un nouveau rapport, qui fait état de 237 opérations cyber ayant visé le secteur spatial entre janvier 2023 et juillet 2025, pendant le conflit à Gaza.

Pour la première fois, des groupes de hackers russes et nord-coréens unissent leurs forces. Des chercheurs ont en effet découvert que les gangs Gamaredon et Lazarus ont mis leurs ressources en commun… et ça n’augure rien de bon.

GreyNoise Labs a annoncé « GreyNoise IP Check », un outil gratuit permettant de vérifier si une adresse IP a été vue dans des opérations de scan malveillant, notamment issues de botnets et de réseaux de proxies résidentiels.

Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h.

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Si les SSD dominent l’informatique active, ils présentent un risque important pour le stockage d’archives à long terme. Cette analyse approfondie explore la physique des fuites d’électrons dans la mémoire flash NAND, en analysant les normes JEDEC et les contraintes techniques qui font que les SSD hors tension perdent des données au fil du temps, en les comparant à la stabilité des supports magnétiques.

À la suite d’un incident survenu fin octobre aux États-Unis, Airbus a découvert une faille de sécurité sur un logiciel de commande. Le groupe européen s’est lancé dans une vaste entreprise de mise à jour.

Il ne se passe pas une semaine quasiment sans qu’une fuite de données ne soit rendue publique. C’est désormais au tour de la Fédération Française de Cardiologie de prévenir ses adhérents : « À la suite d’une faille, un tiers non autorisé a accédé à notre système et dérobé certaines de vos données personnelles ». Contactée par Next, la Fédération nous confirme l’envoi des messages aux adhérents et le contenu du message.

Des services d’alertes automatisées de la firme québécoise GardaWorld utilisés par plusieurs municipalités canadiennes et américaines pour communiquer avec les citoyens en cas d’urgence ont été suspendus en raison d’une cyberattaque et d’une fuite de données personnelles.

Les téléphones mobiles font aujourd’hui partie du quotidien. L’augmentation croissante des usages, aussi bien liés à la vie personnelle que professionnelle, en font une cible de choix pour les attaquants. Comme tout équipement informatique, et bien que de nouvelles mesures de protections soient régulièrement mises en œuvre par les constructeurs, les équipements mobiles sont exposés à des opportunités spécifiques associés à leur usage et à leur fonctionnement. Des vulnérabilités pouvant cibler les réseaux (mobile, Wi-Fi, Bluetooth), le système d’exploitation ou les applications sont ainsi régulièrement exploitées par des attaquants aux capacités et motivations diverses. Parmi ces menaces, l’ANSSI observe notamment des opérations d’espionnage et de surveillance menées par des acteurs étatiques grâce à des capacités développées en interne ou acquises auprès d’entreprises privées spécialisées dans la lutte informatique offensive (LIOP). Ces dernières facilitent l’accès à des technologies sophistiquées, entrainant l’émergence de nouveaux acteurs offensifs, et augmentant ainsi le niveau de menace associé. Au-delà de l’espionnage, les téléphones mobiles sont aussi une cible de choix pour les cybercriminels, qui, en les compromettant, parviennent notamment à détourner de l’argent de leurs victimes. Dans une moindre mesure, les téléphones mobiles sont aussi détournés pour de la surveillance privée ou des opérations de déstabilisation. Ce document a pour objectif de présenter les différents vecteurs techniques exploités par les attaquants pour compromettre des téléphones mobiles, ainsi que dresser une vue d’ensemble sur les menaces pesant sur les utilisateurs en fournissant des exemples concrets d’attaques conduites en France ou à l’étranger. Des recommandations de sécurité à destination des utilisateurs accompagnent cet état de la menace.

Certes, le volume d’attaques dans les environnements OT/IoT est largement inférieur à celui lié à l’IT, ces réseaux OT n’étant pas aussi nombreux, mais ils sont bien plus vulnérables. En effet, ils ne sont pas autant sécurisés, qui plus est, les équipements qui y sont connectés ne le sont pas non plus. Dans ces conditions, ils deviennent une cible de choix pour les cybercriminels qui profitent des failles pour saboter ou stopper un outil de production et même bloquer les réseaux d’entreprises étant donné le manque d’étanchéité entre les environnements. Les différentes autorités mondiales s’alarment de cette situation à l’heure où les relations entre certains pays se dégradent. Dans ce dossier, les spécialistes interviewés nous donnent à la fois leurs points de vue mais aussi leurs solutions et des bonnes pratiques à prendre en compte. (Crédit photo S.L.)

Le Conseil et le Parlement européen ont trouvé un accord sur de nouvelles règles à propos de la fraude en ligne et l’utilisation abusive des données. Notamment, les plateformes devront faire face à leurs responsabilités si elles n’ont pas supprimé des contenus frauduleux signalés qui ont atteint des victimes.

Bisbilles entre la France et le Canada, après qu’une juridiction de l’Ontario a ordonné à l’hébergeur OVH d’accéder à des données stockées sur des serveurs en Europe et en Australie. Ce dernier refuse et l’affaire prend une tournure politique.

Les équipes de Cato Networks ont découvert une technique baptisée HashJack qui ajoute un prompt malveillant à la suite d’une URL. Cette méthode piège les navigateurs basés sur l’IA pour mener différentes campagnes, phishing, vol de données, installation de malwares,…

Privatim, la Conférence suisse des préposés à la protection des données, a adopté une résolution critiquant l’usage de solutions internationales de cloud pour les données sensibles des autorités. Cette position est toutefois contestée.

De nos jours, les pirates informatiques qui sondent l’infrastructure d’une organisation ont rarement la chance de trouver un poste de travail sans agent EDR. Ils se concentrent donc sur la compromission des serveurs ou de divers appareils spécialisés connectés au réseau, qui disposent de privilèges d’accès assez étendus, mais manquent de protection EDR et souvent même de fonctions de journalisation. Dans un précédent article, nous avons décrit en détail les types d’appareils de bureau vulnérables. Les attaques du monde réel en 2025 se concentrent sur les appareils réseau (comme les passerelles VPN, les pare-feu et les routeurs), les systèmes de vidéosurveillance et les serveurs eux-mêmes. Il ne faut toutefois pas perdre de vue les imprimantes, comme l’a rappelé Peter Geissler, chercheur indépendant, lors du Security Analyst Summit 2025. Il a décrit une vulnérabilité qu’il avait découverte dans les imprimantes Canon (CVE-2024-12649, CVSS 9.8), qui permet d’exécuter du code malveillant sur ces appareils. Et l’aspect le plus intéressant de cette vulnérabilité est que son exploitation se limite à envoyer un fichier anodin à imprimer.

La FFF informe que le logiciel utilisé par les clubs pour leur gestion administrative et notamment celle de leurs licenciés a été victime d’un acte de cybermalveillance et d’un vol de données.

Ce jeudi, la plus grande plateforme d’échange d’actifs numériques de Corée du Sud, Upbit, a suspendu les dépôts et les retraits après avoir détecté une activité inhabituelle sur les jetons du réseau Solana.

Le gestionnaire de mots de passe KeePassXC est une version open source et multiplateforme de l’application KeePass Password Safe pour Windows. Les moutures se sont faites plus rares, mais elles comportent toujours autant de nouveautés.

Plusieurs jours après qu’elles ont constaté l’incident, les administrations du Royal Borough of Kensington and Chelsea, de l’arrondissement de Westminster et du quartier de Hammersmith et Fulham peinent encore à rendre accessibles l’intégralité de leurs services. A elles seules, elles s’occupent de plus d’un demi-million de Londoniens.

Le CERT-FR a connaissance d’une vague de compromission de paquets NPM ayant débuté le 23 novembre 2025. En date du 26 novembre 2025, plus de 700 paquets ont été affectés. Ce nombre important est dû à l’auto-réplication du logiciel malveillant. Seules quelques versions de ces paquets, les plus récentes, ont été compromises. Plusieurs d’entre elles ont été supprimées par les développeurs par la suite.

KrebsOnSecurity dévoile l’identité de « Rey », administrateur de Scattered LAPSUS$ Hunters, en retraçant ses erreurs d’OPSEC et en détaillant les campagnes de vishing Salesforce, le RaaS ShinySp1d3r et le recrutement d’initiés.

Aujourd’hui, l’honorable David McGuinty, ministre de la Défense nationale, et l’honorable Gary Anandasangaree, ministre de la Sécurité publique, ont fait la déclaration suivante :

25.11.2025 - Les journées raccourcissent, les températures chutent et les offres alléchantes se multiplient. Avec le Black Friday et le Cyber Monday, le chiffre d’affaires du commerce en ligne va exploser ces prochains jours. Mais tandis que les consommateurs sont à l’affût des meilleures offres, les cybercriminels flairent le filon et tissent leur toile.

Un mystérieux nouveau botnet a profité de la panne mondiale d’Internet, provoquée par Amazon, pour infecter en douce des objets connectés à travers le monde. Les cybercriminels se sont servis de la panne comme terrain d’essai.

Les attaques des pirates de Corée du Nord continuent de proliférer. Ils concentrent actuellement leurs efforts dans une campagne qui visent les utilisateurs de Mac, avec des méthodes de filous très bien rodées.

Le géant japonais de la bière Asahi a indiqué jeudi qu’il refusait de négocier pour mettre fin à une cyberattaque “sophistiquée” en cours depuis fin septembre, qui perturbe toujours son activité et l’a obligé à ajourner ses résultats financiers.

(Halifax) Le président et chef de la direction de Nova Scotia Power affirme qu’un acteur basé en Russie est probablement à l’origine de la cyberattaque qui a ciblé les clients de la compagnie en avril.

Une extension Chrome prise en flagrant délit d’injection de frais de transfert Solana cachés dans les swaps Raydium.

Berne, 26.11.2025 — Lors de sa séance du 26 novembre 2025, le Conseil fédéral a approuvé le rapport en réponse au postulat 22.4411 Z’graggen intitulé « Souveraineté numérique de la Suisse », qui définit la souveraineté numérique pour la Suisse. Le rapport explique comment celle-ci doit être envisagée pour que l’État puisse continuer à jouer son rôle dans l’espace numérique et propose des mesures pour la renforcer encore. Le Conseil fédéral crée un groupe de travail interdépartemental pour anticiper les évolutions de la politique de sécurité et de la politique extérieure et leurs effets sur les ressources numériques. Ce groupe sera également chargé d’actualiser en permanence la vue d’ensemble présentée dans le rapport et de coordonner les mesures.