🔎 Cyberveille

Aujourd’hui, l’honorable David McGuinty, ministre de la Défense nationale, et l’honorable Gary Anandasangaree, ministre de la Sécurité publique, ont fait la déclaration suivante :

« Les cyberactivités malveillantes qui ciblent les infrastructures essentielles du Canada – comme le secteur de l’énergie, de la gestion de l’eau, de la santé, des finances, des transports – sont en hausse et il s’agit d’une menace réelle et urgente. Ces cyberactivités malveillantes sont menées par des auteurs de menace qui ont des liens avec des États-nations et des auteurs de menace non étatiques, et elles pourraient perturber les services essentiels sur lesquels les Canadiennes et Canadiens comptent chaque jour. Toute perturbation des infrastructures essentielles constitue non seulement une menace pour la santé et la sécurité publiques, mais aussi une menace pour la confiance du public, l’environnement et l’économie. ...

25.11.2025 - Les journées raccourcissent, les températures chutent et les offres alléchantes se multiplient. Avec le Black Friday et le Cyber Monday, le chiffre d’affaires du commerce en ligne va exploser ces prochains jours. Mais tandis que les consommateurs sont à l’affût des meilleures offres, les cybercriminels flairent le filon et tissent leur toile.

Ces derniers jours, l’Office fédéral de la cybersécurité (OFCS) a d’ores et déjà observé une augmentation des signalements de fausses boutiques en ligne (fakeshops), de jeux-concours frauduleux et de campagnes d’hameçonnage très sophistiquées. Les escrocs peaufinent leur manière de procéder pour exploiter au mieux l’effervescence de la chasse aux bonnes affaires et tromper le plus de victimes possible.

Un mystérieux nouveau botnet a profité de la panne mondiale d’Internet, provoquée par Amazon, pour infecter en douce des objets connectés à travers le monde. Les cybercriminels se sont servis de la panne comme terrain d’essai.

Les attaques des pirates de Corée du Nord continuent de proliférer. Ils concentrent actuellement leurs efforts dans une campagne qui visent les utilisateurs de Mac, avec des méthodes de filous très bien rodées.

...

Le mode opératoire est le suivant : attiré par une offre d’emploi, la victime se rend sur un faux site d’évaluation de recrutement. Après avoir rempli un formulaire d’embauche, la personne est invitée à enregistrer une vidéo de présentation ; problème : la caméra de son Mac ne fonctionne pas — soit disant. On lui propose alors de lancer une commande dans le Terminal pour débloquer la situation.

Le géant japonais de la bière Asahi a indiqué jeudi qu'il refusait de négocier pour mettre fin à une cyberattaque "sophistiquée" en cours depuis fin septembre, qui perturbe toujours son activité et l'a obligé à ajourner ses résultats financiers.

(Halifax) Le président et chef de la direction de Nova Scotia Power affirme qu’un acteur basé en Russie est probablement à l’origine de la cyberattaque qui a ciblé les clients de la compagnie en avril.

Une extension Chrome prise en flagrant délit d’injection de frais de transfert Solana cachés dans les swaps Raydium.

Des chercheurs en cybersécurité ont identifié l’extension Crypto Copilot comme étant à l’origine de cette activité malveillante.

...

Selon le chercheur en sécurité Kush Pandya, Crypto Copilot injecte un transfert Solana supplémentaire dans chaque transaction réalisée via Raydium. L’extension siphonne ainsi un minimum de 0,0013 SOL ou 0,05 % du montant de l’échange, automatiquement redirigés vers un portefeuille codé en dur, contrôlé par l’attaquant.

OpenAI a annoncé avoir été indirectement affecté par un incident de sécurité touchant Mixpanel, un prestataire tiers utilisé pour le suivi analytique des événements liés aux API.
Selon l'entreprise, aucune donnée sensible n’a été compromise, et l’impact reste très limité.

Mixpanel a également confirmé l'incident dans un communiqué officiel.

Communiqué OpenAI : https://openai.com/index/mixpanel-incident/
Communiqué Mixpanel : https://mixpanel.com/blog/sms-security-incident/

Cet épisode suscite un intérêt particulier : Mixpanel est l’un des outils d’analyse comportementale les plus utilisés dans l’écosystème numérique.
➡️ Liste des sites utilisant Mixpanel (BuiltWith) : https://trends.builtwith.com/websitelist/Mixpanel

Impact pour OpenAI

OpenAI précise que l’incident a un impact restreint.
Aucun accès aux systèmes internes n'a eu lieu et aucune donnée sensible n’est concernée.

Données potentiellement concernées

Seules des données analytiques non sensibles auraient pu être exposées :

• Métadonnées techniques
• Types et fréquence des requêtes API
• Événements de navigation
• Signaux techniques liés à l’utilisation

👉 Aucune clé API, aucun contenu utilisateur, aucune donnée confidentielle n’est collectée par Mixpanel.

Données pouvant concerner certains utilisateurs (selon OpenAI)

OpenAI indique que certaines informations de profil, associées à platform.openai.com, peuvent avoir été incluses dans des exports Mixpanel :

• Nom associé au compte API
• Adresse email du compte API
• Localisation approximative (ville, région, pays), basée sur le navigateur
• Système d'exploitation et navigateur utilisés
• Référents web (referrers)
• Identifiants organisationnels ou utilisateur liés au compte

Ce que dit Mixpanel : déroulement de l’incident

Mixpanel a subi une attaque de smishing détectée le 8 novembre 2025, permettant un accès non autorisé à un nombre limité de comptes clients.

L’entreprise affirme avoir réagi rapidement via ses procédures internes et mobilisé des experts tiers en cybersécurité.

Nature de l’incident

• Campagne de smishing ciblée
• Compromission de quelques comptes seulement
• Containment rapide
• Communication transparente auprès des clients touchés

Mixpanel précise clairement :

Si vous n’avez pas reçu de communication directe de notre part, vous n’êtes pas impacté.

❓ Faut-il agir ?

Vous avez reçu un message de Mixpanel ?

✔️ Suivez leurs instructions et vérifiez la sécurité de votre compte.

Vous n’avez rien reçu ?

✔️ Aucune action n’est requise, selon Mixpanel.

Berne, 26.11.2025 — Lors de sa séance du 26 novembre 2025, le Conseil fédéral a approuvé le rapport en réponse au postulat 22.4411 Z’graggen intitulé « Souveraineté numérique de la Suisse », qui définit la souveraineté numérique pour la Suisse. Le rapport explique comment celle-ci doit être envisagée pour que l’État puisse continuer à jouer son rôle dans l’espace numérique et propose des mesures pour la renforcer encore. Le Conseil fédéral crée un groupe de travail interdépartemental pour anticiper les évolutions de la politique de sécurité et de la politique extérieure et leurs effets sur les ressources numériques. Ce groupe sera également chargé d’actualiser en permanence la vue d’ensemble présentée dans le rapport et de coordonner les mesures.

Après Colis Privé en fin de semaine dernière, une nouvelle « information importante concernant la sécurité de vos données » vient d’être envoyée par Axa. L’assureur contacte des clients pour les informer qu’Itelis, « réseau de soins partenaire d'optique, a récemment été victime d'une cyberattaque ».

La conséquence : « certaines de vos données personnelles utilisées pour une prise en charge optique entre 2020 et le premier trimestre 2022 ont pu être exposées ». Cela concerne « vos nom et prénom, date de naissance, numéro de sécurité sociale, numéro de dossier, remboursement de santé optique, données de correction visuelle, et potentiellement numéro de téléphone ».

Fail2ban est souvent le réflexe par défaut pour protéger SSH contre les attaques bruteforce. Pourtant, SSHGuard offre une approche plus légère et tout aussi efficace. Découvrez le « set & forget » de la protection SSH.

Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie.

Principales découvertes:

• Types de secrets exposés: identifiants Active Directory, clés d’API, tokens GitHub, clés cloud AWS (préfixe AKIA), identifiants Docker/JFrog/Grafana, mots de passe (dont défauts), clés privées, JWT admin, configurations LDAP/CI/CD/RTSP, enregistrements SSH, et PII (jusqu’aux données KYC complètes et liens vers des vidéos d’entretien).
• Secteurs touchés: Infrastructures critiques, gouvernement, finance/banque/assurance, cybersécurité, technologie, santé, éducation, télécoms, retail, aérospatial, voyage, etc.
• Ampleur: environ 350 000 liens sauvegardés rien que sur JSONFormatter.org depuis l’origine; extraction facilitée par une page Recent Links et un endpoint public permettant de récupérer les contenus.

🔗 Source originale : https://labs.watchtowr.com/stop-putting-your-passwords-into-random-websites-yes-seriously-you-are-the-problem/

La FINMA observe une hausse nette des vulnérabilités technologiques dans la finance suisse. La dépendance accrue aux prestataires externes et aux services cloud fait désormais peser un risque majeur sur la stabilité du secteur.

Cette procédure volontaire doit permettre aux organisations concernées d’avancer sur cette nouvelle réglementation toujours à l’examen au Parlement.

Le contrat prévoit la construction d'un cloud privé basé sur Google Distributed Cloud. L'environnement est destiné au Jatec, une agence créée dans le cadre du conflit Ukrainien.

Une découverte exclusive émanant de JFrog Security Research concernant une importante attaque de chaîne d’approvisionnement logicielle provenant de packages npm déclenche une alerte. Avec 181 nouveaux packages compromis identifiés par JFrog à ce jour, le risque est généralisé. Une remédiation immédiate exige la rotation de tous les jetons d’environnement compromis.

Des chercheurs en sécurité ont identifié une nouvelle campagne d'attaques ClickFix basée sur des pages Web imitant l'installation d'une mise à jour Windows, tout en dissimulant le malware dans une image au format PNG. Faisons le point sur les dernières tendances de cette fraude au copier-coller.

Une mère célibataire du canton de Zoug, a été victime d'une arnaque via Twint impliquant une fausse quittance postale. En scannant un code QR truqué, elle a perdu 3000 francs. Elle souhaite désormais alerter le public sur cette fraude des plus sournoises.

L'agence américaine de cybersécurité (CISA) vient de publier une alerte à destination des utilisateurs d'applications de messagerie populaires. Plusieurs campagnes de spywares exploitent actuellement des failles dans Signal, WhatsApp ou encore Telegram pour compromettre les appareils de personnalités ciblées.

Des utilisateurs anonymes ont collecté les messages de Mina sur une plateforme de vente d'objets d'occasion, ont créé de faux profils et ont échangé des informations à son sujet dans des forums. Son cas montre à quel point il est facile de détourner des images privées - pendant des années.

Lancé l’été dernier, le «Réseau SDS», créé par la Confédération, la Ville de Zurich, la Poste et la Haute école spécialisée bernoise, poursuit son expansion. Plus de 100 organisations, dont de nombreuses autorités, y ont aujourd'hui adhéré.

Google tire la sonnette d’alarme au sujet d’une grande fuite de données. Plus de 200 entreprises ont en effet vu leurs informations siphonnées durant une attaque ciblant des applications tierces connectées à Salesforce. L’opération, orchestrée par le gang ShinyHunters, vise à extorquer de l’argent aux victimes.

La semaine dernière, Salesforce révélait avoir été victime d’une fuite de données. L’entreprise américaine, spécialisée dans le développement de logiciels de gestion de la relation client, indiquait que les informations de « certains clients » ont été compromises. Pour s’emparer des données, les attaquants sont passés par « des applications publiées par Gainsight et connectées à Salesforce, qui sont installées et gérées directement par les clients ».

Vous recrutez sur LinkedIn. Vous prospectez des clients. Vous échangez avec des partenaires. Les pirates le savent et ont adapté leurs techniques. Check Point Research recense LinkedIn comme la quatrième marque la plus imitée en Q4 2024, avec 5% des attaques de phishing mondiales. Les faux profils se multiplient. Les messages semblent authentiques. Un recruteur qui vous contacte peut être un piège.

LinkedIn a bloqué ou supprimé 121 millions de faux comptes en 2023, soit 2,5 fois la base d'utilisateurs de la plateforme dans l'Union européenne. En 2024, ce chiffre a bondi à 156 millions de comptes factices détectés, une hausse de 29 % en un an. Le FBI a enregistré 193 407 plaintes pour phishing en 2024, causant plus de 70 milliards de dollars de pertes aux États-Unis.

Les attaques basées sur l'ingénierie sociale ont progressé de 141 % dans les six derniers mois de 2024. Concrètement, vous utilisez LinkedIn pour développer votre activité. Les attaquants aussi.

Oligo Security a mis en garde contre des attaques en cours exploitant une faille de sécurité vieille de deux ans dans le framework d’intelligence artificielle (IA) open-source Ray pour transformer des clusters infectés avec des GPU NVIDIA en un botnet de minage de cryptomonnaie auto-réplicatif.

L’activité, nommée ShadowRay 2.0 , est une évolution d’une vague précédente observée entre septembre 2023 et mars 2024. L’attaque, à la base, exploite un bug d’authentification critique manquant (CVE-2023-48022, score CVSS : 9,8) pour prendre le contrôle d’instances vulnérables et détourner leur puissance de calcul pour le minage illicite de cryptomonnaie à l’aide de XMRig.

• L’infection inclut au moins 10 grands forfaits crypto liés à l’écosystème ENS.
• Une précédente attaque NPM début septembre avait entraîné 50 millions de dollars de cryptomonnaies volées.
• Les chercheurs ont trouvé plus de 25 000 dépôts affectés au cours de l’étude.

Une nouvelle vague d’infections NPM a suscité des inquiétudes au sein de la communauté JavaScript, alors que le malware Shai Hulud continue de se propager dans des centaines de bibliothèques logicielles.