🔎 Cyberveille

...

Pour contourner ce problème, pas mal d’utilisateurs utilisent Flyoobe, un petit outil devenu super populaire. Ce programme, qui s’appelait avant Flyby11, permet d’installer Windows 11 même sur des machines qui ne respectent pas les exigences de Microsoft. En gros, il enlève les blocages et laisse faire l’installation comme si de rien n’était.

Le logiciel est gratuit et dispo sur GitHub, avec son code source ouvert, donc tout le monde peut vérifier ce qu’il fait. Ce succès attire aussi des gens malintentionnés, certains ont créé un faux site qui ressemble à l’officiel pour piéger les internautes et leur faire télécharger une version trafiquée. Ce faux site propose une version modifiée du logiciel, qui peut contenir des programmes malveillants.

Une campagne d’espionnage d’envergure a exploité une vulnérabilité critique sur les Galaxy S22, S23 et S24 pendant près d’un an. Le pire ? L’infection pouvait se faire sans que vous cliquiez sur quoi que ce soit.

Les chercheurs de Palo Alto Networks viennent de parler publiquement l’existence de « Landfall », un logiciel espion Android qui a ciblé spécifiquement les téléphones Samsung Galaxy entre juillet 2024 et février 2025.

04.11.2025 - L’OFCS a reçu plusieurs signalements de personnes qui ont tout à coup reçu un SMS plusieurs mois après le vol ou la perte de leur iPhone pour les informer que leur appareil avait été localisé à l’étranger. Ces messages font croire aux victimes qu’elles vont récupérer leur téléphone, mais il s’agit en réalité d’une tentative pour obtenir l’accès aux données de l’identifiant Apple. Notre rétrospective hebdomadaire examine ces cas de plus près.

La Suisse prise en étau dans une guerre avec des dommages catastrophiques. Des cyberattaques massives contre les infrastructures ferroviaires et hospitalières. C'est le scénario imaginé par la Confédération pour un exercice de sécurité nationale mené sur deux jours. Cet exercice de simulation de cyberattaques, d'ampleur inédite et gardé secret, s'est achevé vendredi soir et visait à évaluer la capacité du pays à résister à des menaces hybrides.

Toutes les couches politiques ont été concernées: le Conseil fédéral, le Parlement, les 26 cantons et 5 villes ont ainsi participé. C'est la première fois que la collaboration de crise est testée avec les cantons mais aussi des organisations scientifiques, la Migros, les CFF et plusieurs hôpitaux, avec un scénario jugé plausible face à la menace de cyberattaques en Suisse.

Le Washington Post a déclaré qu'il faisait partie des victimes d'une vaste atteinte à la sécurité informatique liée au logiciel Oracle ORCL.N .

Dans un communiqué publié jeudi, le journal a déclaré qu'il était l'un de ceux qui ont été touchés "par la violation de la plate-forme Oracle E-Business Suite". Le journal n'a pas fourni d'autres détails, mais sa déclaration intervient après que CL0P, le célèbre groupe de ransomware, a déclaré sur son site web que le Washington Post faisait partie de ses victimes. CL0P n'a pas répondu aux demandes de commentaires. Oracle a renvoyé Reuters à une paire d' avis de sécurité publiés le mois dernier. Les pirates informatiques à la recherche de rançons font généralement connaître leurs victimes afin de leur faire honte et de les obliger à payer l'extorsion, et CL0P est l'un des plus prolifiques au monde. L'équipe de pirates serait au centre d'une vaste campagne cybercriminelle visant la suite d'applications E-Business d'Oracle , que les clients d'Oracle utilisent pour gérer les clients, les fournisseurs, la fabrication, la logistique et d'autres processus d'entreprise.

Le Bureau du budget du Congrès, organisme non partisan chargé de la comptabilité des législateurs américains, a été piraté par un « acteur étranger ». L’attaque laisse craindre une fuite des projections à long terme du budget américain à des puissances étrangères. L’incident de sécurité serait toujours « en cours » et les membres du Congrès américain ont été appelés à la plus grande vigilance.

C’est une menace silencieuse, mais de plus en plus pressante, qui plane sur nos données personnelles. Depuis plusieurs mois, les fuites d’informations ne sont plus uniquement le fruit de cyberattaques dirigées contre des plateformes : elles naissent désormais au cœur même de nos ordinateurs, sous l’effet des infostealers, ces logiciels espions qui subtilisent identifiants et mots de passe dans l’ombre.

Fin octobre, des experts en cybersécurité révélaient que 183 millions d’adresses emails avaient été compromises lors d’une fuite massive survenue au printemps. Quelques jours plus tard, l’opérateur français France Travail confirmait l’exposition de données sensibles concernant 31.000 demandeurs d’emploi. En août, un cybercriminel affirmait avoir mis la main sur une base contenant 15 millions de comptes PayPal, issue d’une nouvelle fuite. Deux mois auparavant, des chercheurs dévoilaient la compromission de 16 milliards d’identifiants provenant des services en ligne les plus fréquentés. En février 2024 encore, des milliers de comptes d’allocataires de la CAF étaient piratés.

Europol tire la sonnette d’alarme face à l’explosion des arnaques au faux numéro. L’agence européenne de police met en garde contre la montée fulgurante du « spoofing » d’identifiant d’appelant, une technique qui permet aux escrocs de faire apparaître un numéro de confiance sur le téléphone de leurs victimes. Cette fraude coûte déjà plus de 850 millions d’euros par an en Europe.

Europol alerte sur l’explosion des escroqueries liées au « spoofing » d’identifiant d’appelant. Cette tactique criminelle permet aux fraudeurs de faire apparaître un faux numéro sur le téléphone de leurs victimes. En règle générale, les pirates usurpent le numéro de téléphone d’une banque, d’un proche, d’un service de police ou encore d’une entreprise connue, comme un opérateur télécom ou un service public. Le procédé permet d’endormir la méfiance de la cible.

• Le groupe de hackers russe Clop a donné un ultimatum de vingt-quatre heures à Logitech.
• Contacté ce vendredi en début d’après-midi, le siège du groupe à Lausanne «ne souhaite pas faire de commentaire à ce stade».
• L’attaque vise une dizaine de grandes entreprises et institutions, dont le «Washington Post».

D’après des estimations internes, les publicités frauduleuses rapportent beaucoup d’argent à Meta. Le géant technologique a par conséquent ‘hésité’ à les combattre.

Ces estimations ont été examinées par l’agence de presse Reuters. Dans un rapport de ce genre publié l’année dernière, Meta estimait que 10 pour cent de son chiffre d’affaires annuel total (16 milliards de dollars environ) proviendraient de fausses publicités.

Depuis bientôt deux semaines, plusieurs groupes de pirates de type APT (Advanced Persistent Threat), le plus souvent étatiques, sont à pied d’œuvre pour exploiter deux failles de sécurité dans Windows.

La première, CVE-2025-9491, a été découverte en mars dernier par Trend Micro et réside dans le format binaire Windows Shortcut (les fichiers .LNK). Affichant un score CVSS de 7,8 sur 10, elle peut être exploitée depuis une page web malveillante pour provoquer l’exécution d’un code arbitraire à distance, avec les droits de l’utilisateur en cours.

La seconde, CVE-2025-59287, est beaucoup plus dangereuse. Affichant un score CVSS de 9,8, elle affiche le niveau presque maximal de dangerosité. Elle réside dans le Windows Server Update Service (WSUS) de Windows Server et permet la désérialisation de données non approuvées, avec à la clé la possibilité d’exécuter du code arbitraire.

PROMPTFLUX, c'est le nom d'un nouveau logiciel malveillant codé en VBScript qui a une particularité : il se connecte à l'API de Google Gemini pour réécrire son code source automatiquement. L'objectif : être plus difficilement détectable et identifiable.

Les chercheurs en sécurité de chez Google ont fait la découverte de PROMPTFLUX, un nouveau logiciel malveillant codé en VBScript et toujours en phase de développement. Il est donc important de préciser dès maintenant que ce malware serait avant tout expérimental, notamment parce qu'il n'a pas de fonctionnalités pour compromettre la machine des victimes ou le réseau sous-jacent. Mais, comme vous le savez, la situation peut rapidement évoluer.

"Bien qu'ils ne soient pas attribués à un acteur malveillant spécifique, les noms de fichiers associés à PROMPTFLUX mettent en évidence des comportements généralement associés à des acteurs motivés par des intérêts financiers.", précise Google.

Le groupe de cybercriminels connu sous le nom de Curly COMrades a été observé en train d’exploiter les technologies de virtualisation pour contourner les solutions de sécurité et exécuter des logiciels malveillants personnalisés.

D’après un nouveau rapport de Bitdefender, l’attaquant aurait activé le rôle Hyper-V sur certains systèmes victimes afin de déployer une machine virtuelle minimaliste basée sur Alpine Linux.

« Cet environnement caché, avec son empreinte légère (seulement 120 Mo d’espace disque et 256 Mo de mémoire), hébergeait leur shell inversé personnalisé, CurlyShell, et un proxy inversé, CurlCat », ont déclaré le chercheur en sécurité Victor Vrabie, en collaboration avec Adrian Schipor et Martin Zugec, dans un rapport technique.

Source: Fenrisk — Article technique décrivant une vulnérabilité d’exécution de code à distance dans CentOS Web Panel (CWP), ses conditions d’exploitation, une preuve de concept et la disponibilité d’un correctif.

• La vulnérabilité (CVE-2025-48703) combine un contournement d’authentification et une injection de commande dans le paramètre t_total du module « filemanager » (action changePerm). Le backend exécute un chmod via sh -c, rendant l’instruction injectable. Un attaquant non authentifié, connaissant un nom d’utilisateur non-root valide, peut ainsi exécuter des commandes arbitraires.

• Contexte produit: CentOS Web Panel (CWP) est un panneau d’administration pour serveurs Linux (CentOS/AlmaLinux/Rocky) exposant une interface admin (HTTPS, ports 2087/2031) et une interface utilisateur (port 2083), plus Roundcube sur 2096. Le code est protégé par ionCube, ce qui limite les méthodes classiques d’audit. En mai 2025, plus de 200 000 instances CWP étaient référencées sur Shodan (recherche « Server: cwpsrv »).

• Détails techniques: le point d’entrée vulnérable est l’URL du File Manager (module filemanager, action acc=changePerm) où l’authentification est insuffisamment vérifiée et le paramètre t_total (mode de permissions) est injecté dans une commande système. Des traces strace montrent l’appel sh -c "chmod ...", permettant l’injection via une substitution de commande. Une preuve de concept démontre l’obtention d’un shell avec les privilèges de l’utilisateur ciblé (ex. uid=1001(myuser)).

• Impact et périmètre: l’attaque permet une exécution de code arbitraire pré-authentification avec les droits de l’utilisateur Linux visé (non-root), sous réserve de connaître un identifiant utilisateur valide. Les versions testées vulnérables: 0.9.8.1188 et 0.9.8.1204 sur CentOS 7. Le correctif est disponible en 0.9.8.1205 (18/06/2025).

• Chronologie: 13/05/2025 notification éditeur → 23/05/2025 attribution CVE → 18/06/2025 patch publié.

"Les Russes sont un ouragan, les Chinois sont le changement climatique"

L'expert belge en cybersécurité NVISO a repéré un logiciel malveillant baptisé VShell sur de très nombreux serveurs. Un outil dont les liens avec la Chine sont avérés.

Une infection mondiale. Près de 1 500 serveurs ont été impliqués dans l'utilisation et la distribution du logiciel malveillant "VShell", révèle ce mercredi l'expert belge en cybersécurité NVISO.

À l’aide de stratagèmes bien rodés, des criminels parviennent à pousser des personnes honnêtes à ouvrir des comptes bancaires et à participer à des opérations de blanchiment d’argent sans le savoir. La manœuvre est d’autant plus sournoise que les victimes de telles arnaques finissent souvent par avoir de gros ennuis.

...

La supercherie est parfaite: Lisa croyait tester le processus de vérification des applications bancaires, ces étapes numériques nécessaires pour ouvrir un compte en ligne. En réalité, elle ouvrait à chaque fois un véritable compte à son nom. Les criminels disposaient de ses données personnelles et d’une copie de sa pièce d’identité, obtenues par le biais de son dossier de candidature.

Trop facile de tirer sur l’ambulance? Après les révélations de Libération sur l’audit de l’Anssi mené au Louvre en 2014, quelques voix dans la cyber française plaident pour de l’indulgence et du recul sur la sécurité informatique du célèbre musée parisien.

« Ne jetons pas la pierre », signale par exemple sur LinkedIn Mounir Chaabane. « Surfer sur l'actualité pour taper à coup d'audit vieux de 10 ans, ce n'est pas fair-play (...), toutes nos institutions font face à des défis sous-estimés », assure ce conseiller sécurité numérique à la direction de la protection judiciaire de la jeunesse.

Dans un rapport qui vient d'être publié ce jour, la Cour des comptes a déploré un sous-investissement chronique du Louvre en matière de systèmes d’information et une sécurisation insuffisante des systèmes informatiques. Et ce alors que le risque principal identifié en 2024 dans une cartographie concernait la sûreté informatique.

Mise à jour du 6 novembre 2025: La firme genevoise Proton a récemment annoncé le lancement du Data Breach Observatory, un outil public et gratuit destiné à surveiller la circulation de données d’entreprise sur le dark web (lire ci-dessous). La première liste de fuites rendues public par l’éditeur de Proton Mail listait par erreur l'opérateur suisse Sunrise parmi les victimes. L’entrée apparaissait clairement sous «sunrise.ch». Elle a depuis été corrigée en «sunrisecbd.com».

Dans un échange avec ICTjournal, Edward Shone, le responsable communication de Proton, reconnaît «une erreur regrettable». Il explique que celle-ci provient d’une confusion dans les marquages appliqués par les acteurs malveillants eux-mêmes: «Dans ce cas, les cybercriminels n’ont pas étiqueté correctement les données. Ils auraient dû marquer Sunrise CBD, mais ont indiqué Sunrise.ch.»

Sekoia.io (société française de cybersécurité) vient de réaliser un rapport sur une campagne de phishing ciblant l’industrie touristique.

Le nouveau rapport de Sekoia TDR, l’équipe de chercheurs en sécurité de Sekoia.io, s’intitule “Phishing Campaigns « I Paid Twice » Targeting Booking.com Hotels and Customers”. Cette investigation, réalisée par les chercheurs Quentin Bourgue et Jeremy Scion, analyse une campagne de phishing persistante et sophistiquée ciblant l’industrie hôtelière mondiale.

Seules 42% des PME se sentent bien préparées contre les cybermenaces, contre 55% l’an dernier. Or une entreprise sur cinq subit chaque année une attaque, un chantage ou une fraude.

Depuis quelques mois, des dizaines de sites d’actualité locale fleurissent sur la toile, de Direct Normandie à Actu Bretagne. En apparence anodins, ces portails diffusent pourtant de faux contenus produits par intelligence artificielle… et orientés politiquement.

Selon une étude de l’IRSEM (Institut de Recherche Stratégique de l’Ecole Militaire) sur l’influence pro-chinoise, et un rapport de Recorded Future, la Russie et la Chine seraient derrière cette nouvelle forme de guerre de l’information…

Il fut un temps où le VPN était le Saint Graal pour sécuriser l’accès à nos infrastructures et nos serveurs. Tout semblait parfait : connexion chiffrée, authentification forte requise… Malheureusement, une fois entré dans la forteresse, toute personne pouvait faire ce que bon lui semblait dans le royaume sans contrôle ni traçabilité.

Avec l’avènement du Bring Your Own Device et du télétravail, il était nécessaire de changer de paradigme : ne plus faire confiance à personne, vérifier les actions faites. C’est la philosophie du “Zero Trust” : chaque accès doit être authentifié, autorisé et audité. Mais comment implémenter cette solution au quotidien sans complexifier la vie de nos collaborateurs ?

Le plus simple à mettre en œuvre est d’ajouter un point unique dans notre infrastructure qui servira de gardien du pont tel un Gandalf devant le Balrog. C’est ce que nous appelons un bastion (également appelé jump host). Ce gardien filtre les accès à notre infrastructure en fonction des droits accordés à l’utilisateur authentifié.

Plusieurs solutions existent sur le marché pour implémenter cette philosophie comme Boundary d’Hashicorp, Teleport mais une solution plus simple, écrite en Rust, existe. Voilà que rentre en scène notre mage : Warpgate.

Les autorités helvétiques utilisent déjà les échanges avec l’IA comme preuves dans leurs enquêtes. Aux États-Unis, un jeune s’est auto-incriminé en avouant 17 vandalismes à ChatGPT.

La police suisse exploite déjà activement les conversations avec ChatGPT dans ses enquêtes criminelles. Le Canton d’Argovie se distingue par son utilisation avancée de ces nouvelles sources de preuves numériques, selon «20 Minutes».

La police cantonale argovienne a déjà analysé plusieurs conversations ChatGPT dans des affaires de délits graves, selon son porte-parole, Bernhard Graser. Ces analyses, toujours coordonnées avec le Ministère public, ont permis d’obtenir des informations jugées précieuses pour les enquêtes, sans que la nature exacte des affaires puisse être révélée.

Des experts en cybersécurité viennent de révéler que plus de 200 applications disponibles sur le Google Play Store totalisaient 42 millions de téléchargements. Le rapport fait état des dernières tendances en matière de malware et rappelle comment s’en protéger.

Pour protéger ses utilisateurs, Google a mis en place diverses mesures de sécurité visant à lutter contre les applications malveillantes. La firme de Mountain View va même bientôt les muscler davantage grâce à un nouveau système de vérification des développeurs Android – annonce qui suscite plusieurs craintes chez les utilisateurs et les développeurs.

Malgré cela, certaines applications malveillantes parviennent à passer sous les radars de Google et s’il en supprime régulièrement de son magasin officiel, le mal est parfois déjà fait : selon la société de cybersécurité cloud Zscaler, pour la période 2024-2025, 239 applications Android malveillantes disponibles sur le Play Store cumulent 42 millions de téléchargements.

Selon le dernier rapport de l'équipe de cybersécurité de Google, l'année 2026 marquera un tournant pour la sécurité informatique des entreprises : l'intelligence artificielle sera utilisée à grande échelle par les attaquants, le cybercrime atteindra une dimension industrielle et la virtualisation deviendra une nouvelle cible stratégique.

2026 s'annonce comme une année charnière pour la cybersécurité des entreprises. D'après Google Cloud et Mandiant (entreprise rachetée en 2022), l'intelligence artificielle s'impose désormais comme un outil offensif à part entière, le cybercrime s'organise en véritable industrie mondiale et la virtualisation, longtemps considérée comme un rempart, devient une nouvelle vulnérabilité.

Le Cybersecurity Forecast Report, publié ce 4 novembre 2025, s'appuie sur les données recueillies par les équipes de Google Threat Intelligence, Google Cloud Security et de Mandiant Consulting. Il a pour ambition de dresser un état des lieux réaliste des tendances déjà observées sur le terrain.