🔎 Cyberveille

La Ville de Brest indique qu’une intrusion malveillante a été détectée sur sa plateforme informatique consacrée à la délivrance des cartes d’identité et des passeports.

Un passionné de tir sportif a été victime jeudi à Nice d’un vol d’armes commis par un individu se faisant passer pour un policier, quelques jours après un épisode similaire à Paris et la révélation d’un piratage au sein de la Fédération française de tir.

Jeudi à Nice, un pratiquant de tir a reçu l’appel d’un homme affirmant appartenir aux forces de l’ordre et disant attendre le renouvellement de son autorisation de détention. Dans l’après-midi, un autre individu s’est présenté à son domicile avec un faux document de mise en sécurité et a obtenu les cinq armes ainsi que les munitions du propriétaire.

À la suite d’une cyberattaque d’ampleur survenue le 10 novembre, le logiciel médical Weda, permettant l’accès aux dossiers médicaux des patients, était à l’arrêt. Il a repris un fonctionnement en mode dégradé depuis ce vendredi 14 novembre.

• Le Centre national chinois de réponse d'urgence aux virus informatiques (CVERC) a accusé le gouvernement américain de saisir 127 000 bitcoins volés (d'une valeur de 13 milliards de dollars) qui avaient été initialement piratés en 2020 depuis un pool minier chinois.
• CVERC a affirmé que le piratage avait été perpétré par une « organisation de hackers de niveau étatique » et a suggéré que la saisie par les États-Unis faisait partie d’une opération plus vaste impliquant les mêmes attaquants.
• Le gouvernement américain a contesté les affirmations de CVERC, soutenant que la saisie constituait une action légitime des forces de l'ordre visant les produits criminels, tandis que la Chine la considère comme un acte provocateur exacerbant les tensions entre les deux nations.

Selon watchTowr Labs, une vulnérabilité non nommée et sans identifiant public affecte Fortinet FortiWeb et serait exploitée activement, signalée initialement par l’équipe Defused; des tests internes de watchTowr indiquent qu’un correctif “silencieux” semble présent en version 8.0.2, bien que les notes de version n’en fassent pas mention.

L’analyse détaille une combinaison de deux failles: traversée de chemin dans l’URI de l’API FortiWeb permettant d’atteindre l’exécutable CGI interne fwbcgi, puis contournement d’authentification via l’en-tête HTTP_CGIINFO. Le composant fwbcgi effectue un contrôle d’entrée minimal (JSON valide) et une phase d’“authentification” qui, en réalité, impersonne l’utilisateur fourni par le client via un JSON Base64 (champs username, profname, vdom, loginname), conférant ensuite les privilèges correspondants dans cgi_process().

Selon la SRF (Radio-Télévision suisse), la police de Bâle-Campagne a obtenu un résultat peu courant en Suisse en interpellant un homme soupçonné d’être à l’origine d’escroqueries par SMS, après avoir trouvé un « SMS-Blaster » dans son véhicule.

🚓 L’appareil de type «SMS‑Blaster» se fait passer pour une antenne d’opérateurs (p. ex. Swisscom, Sunrise). Les téléphones des victimes s’y connectent brièvement, permettant l’envoi de SMS frauduleux sans que les destinataires ne s’en aperçoivent. Les messages incluent des scénarios tels que «Hallo Mami, j’ai un nouveau numéro…» ou des fausses notifications de colis.

🔗 Source originale : https://www.srf.ch/news/schweiz/seltener-fahndungserfolg-baselbieter-polizei-schnappt-mutmasslichen-sms-betrueger

Comme l’ont indiqué les chercheurs de Veracode dans un blog, « le paquet malveillant a été téléchargé plus de 206 000 fois avant d'être détecté, et six versions au total ont été mises en ligne, aucune n'étant décelé par les produits antivirus courants ». Github affirme que les paquets ont été téléchargés en interne dans le cadre de ses efforts de red teaming. « Les paquets mentionnés dans le blog de Veracode faisaient partie d'un exercice étroitement contrôlé mené par la red team de GitHub », a déclaré un porte-parole du spécialiste du partage de code.

Google a déployé une nouvelle version de Chrome pour corriger une vulnérabilité jugée sérieuse dans V8, le moteur chargé d’exécuter tout le JavaScript du web. Le problème, identifié sous la référence CVE-2025-13042, a été signalé début novembre par un chercheur indépendant, vite pris en charge par l’équipe de sécurité de Chrome. Le patch (142.0.7444.162/.163) est désormais disponible pour Windows, macOS et Linux, et vous devriez ne pas trop attendre avant de l’installer.

Une menace russophone à l’origine d’une campagne de phishing massive en cours a enregistré plus de 4 300 noms de domaine depuis le début de l’année.

D’après Andrew Brandt, chercheur en sécurité chez Netcraft, cette activité vise les clients du secteur de l’hôtellerie, et plus particulièrement les clients d’hôtels ayant effectué des réservations, en leur envoyant des courriels indésirables. La campagne aurait véritablement débuté vers février 2025.

Parmi les 4 344 domaines liés à l’attaque, 685 contiennent le nom « Booking », suivis de 18 avec « Expedia », 13 avec « Agoda » et 12 avec « Airbnb », ce qui indique une tentative de cibler toutes les plateformes de réservation et de location populaires.

La saison 3 de l’opération Endgame vient d’être officialisée. Dans un communiqué publié ce jeudi 13 novembre, Europol indique que « entre le 10 et le 14 [sic] novembre 2025, la dernière phase de l’opération Endgame a été coordonnée depuis le siège d’Europol à La Haye ».

Comme attendu, les actions de cette saison 3 ont visé le cleptogiciel Rhadamanthys, mais également « le cheval de Troie VenomRAT, et le botnet Elysium, qui ont tous joué un rôle clé dans la cybercriminalité internationale ».

Concrètement, 1025 serveurs ont été démantelés et 20 noms de domaine saisis : « l’infrastructure malveillante démantelée comprenait des centaines de milliers d’ordinateurs infectés contenant plusieurs millions d’identifiants volés ».

Europol rappelle que « bon nombre des victimes [d’infostealer] n’avaient pas conscience que leur système était infecté. Le principal suspect derrière ce vol d’informations avait accès à plus de 100 000 portefeuilles cryptographiques appartenant à ces victimes, pour une valeur potentielle de plusieurs millions d’euros ».

«Avec cet exercice, nous offrons aux participants une occasion précieuse de simuler ensemble des scénarios de crise réalistes et de renforcer leur capacité de réaction immédiate», explique Alexandra Arni. L'association Swiss Financial Sector Cyber Security Center (Swiss FS-CSC) a organisé hier, mercredi 12 novembre 2025 à Zurich un exercice opérationnel de grande envergure pour la place financière suisse et liechtensteinoise. Cet exercice contribue de manière significative à renforcer la cyberrésilience des établissements membres ainsi que de la place financière dans son ensemble.

On a tous ce collègue (ou ce client) qui parle de “crypter un fichier” avec assurance. Et, avouons-le, on l’a tous dit au moins une fois sans trop se poser de questions. Pourtant, derrière ce petit mot se cache une vraie querelle de langage entre puristes, techos et dictionnaires. Heureusement, chiffrer.info est là pour remettre un peu d’ordre — et beaucoup d’ironie — dans tout ça.

Un mot qui a hacké la langue française Le verbe “crypter” fait grincer des dents depuis des décennies. Jugé longtemps comme un anglicisme mal déguisé (issu de to encrypt), il a pourtant infiltré peu à peu notre vocabulaire, au point de finir… dans le dictionnaire.

Petit retour en arrière :

🧮 Avant 2000 : “Crypter” est un mot banni par les linguistes et les informaticiens puristes. Le mot correct est “chiffrer”. Point.

💻 Années 2000 : avec la TNT et les fameuses “chaînes cryptées”, le mot explose dans les médias. Il devient familier, voire incontournable.

📚 2013–2014 : le mot entre dans Le Petit Larousse illustré puis dans Le Petit Robert. Consécration officielle.

🏛️ Aujourd’hui : l’Académie française le tolère... du bout des lèvres. Elle continue de recommander l’usage du verbe chiffrer, plus précis techniquement et historiquement.

💡 À retenir

Crypter signifie étymologiquement “rendre secret” (comme dans cryptographie), mais dans le domaine technique français, chiffrer est le terme approprié pour désigner l’action de transformer une information en une donnée illisible sans clé.

...

ette campagne malveillante vise des infrastructures critiques dédiées à la gestion des identités et des accès. Amazon Integrated Security a révélé, le 10 novembre 2025, qu’un acteur malveillant sophistiqué exploitait des failles zero-day dans des produits de Citrix et de Cisco. La campagne, en cours depuis au moins mai 2025, s’appuie sur deux vulnérabilités :

• CVE-2025-5777, surnommée « Citrix Bleed Two », rendue publique en juillet 2025 ;
• CVE-2025-20337, une faille affectant Cisco Identity Services Engine (ISE), découverte en juin 2025.

Selon CJ Moses, responsable de la sécurité informatique chez Amazon Integrated Security, cette campagne illustre une tendance croissante chez les cybercriminels : cibler les infrastructures critiques de gestion des identités et des accès, comme Cisco ISE.

La société de cybersécurité n’a pas précisé l’origine, les motivations ou les cibles de l’attaquant. CJ Moses estime toutefois que « l’identification de plusieurs exploits zero-day non publiés suppose un acteur malveillant disposant de ressources considérables, de capacités avancées en matière de recherche de vulnérabilités ou d’un accès à des informations non publiques sur les failles ».

Dans le cadre de l'opération de coopération judiciaire internationale ENDGAME lancée en mai 2024, de nouvelles actions de démantèlement ont été menées contre les infrastructures liées à des codes cybercriminels depuis la semaine du 3 novembre 2025.

Ces opérations ont impliqué les autorités allemandes, danoises, françaises, néerlandaises, américaines, australiennes et britanniques. Davantage d'informations sur l'opération sont disponibles dans les communiqués de l'OFAC, Europol et Eurojust. Dans le cadre de cette opération, l'ANSSI apporte son soutien pour l'identification et la notification des victimes et partage des recommandations de sécurité.

Les codes malveillants concernés (VenomRAT, Rhadamanthys et Elysium) peuvent servir de point d'entrée sur le système d'information des victimes pour exfiltrer des données et déployer d'autres codes malveillants comme des outils génériques offensifs et des rançongiciels. Pour cette raison, il est particulièrement important de procéder à des investigations complémentaires sur les SI dont une machine a été infectée, à la recherche de traces de latéralisation ou d'autres outils malveillants.

Le service en ligne d’auto-école Stych a annoncé ce 7 novembre avoir subi une cyberattaque. Certaines données personnelles de ses utilisateurs ont été dérobées : on vous explique tout.

Stych affirme être victime d’une cyberattaque Dans un mail envoyé ce vendredi 7 novembre à tous ses utilisateurs, Stych a informé « d’une récente violation de données qui a compromis certaines de vos informations personnelles. » La plateforme ne va pas plus loin dans ses explications, si ce n’est que « vos données bancaires, vos documents personnels et votre mot de passe n’ont pas été compromis lors de cet incident. » Stych précise avoir pris ses dispositions, renforcé ses mesures de sécurité et informé la CNIL.

L'opération Endgame d'Europol, à laquelle participe notamment la France, a encore frappé avec plus de 1 025 serveurs cybercriminels qui ont été démantelés ces derniers jours. Des centaines de milliers d'ordinateurs infectés étaient concernés à l'échelle mondiale.

Le fondateur de la messagerie chiffrée, mis en examen pour des infractions relevant du crime organisé, pourrait à nouveau voyager sans restrictions. Les mesures qui l’obligeaient à pointer régulièrement en France auraient été levées le 10 novembre dernier, selon un article de Bloomberg.

Après avoir fustigé une arrestation « absurde et sans fondement », ainsi qu’une « erreur de la police française », Pavel Durov a obtenu gain de cause. L’homme à la tête de la messagerie chiffrée Telegram serait désormais libre de ses mouvements. Les restrictions de voyages à l’étranger, et l’obligation de pointage deux fois par mois au commissariat de Nice, imposées par les autorités françaises, auraient été levées, selon un article de Bloomberg, ce jeudi 13 novembre.

Google intensifie sa lutte contre les cybercriminels chinois spécialisés dans le phishing. Le géant américain vient de saisir la justice afin de mettre un terme définitif aux activités de Lighthouse, une puissante plateforme chinoise ayant permis d’orchestrer des campagnes mondiales de phishing. Elle a notamment été utilisée pour pirater plus de 100 millions de cartes de crédit.

Google vient de lancer l’assaut à l’encontre de Lighthouse, une plateforme chinoise de phishing. Cette plateforme vend des outils très efficaces pour lancer des arnaques par SMS et par email. L’infrastructure de Lighthouse a notamment été utilisée dans des attaques d’envergures usurpant l’identité des systèmes de péages américains ou d’USPS, le service postal des États-Unis. La plateforme est surtout spécialisée dans le smishing, c’est-à-dire le phishing par SMS.

Palo Alto Networks alerte sur une vulnérabilité émergente appelée «Agent Session Smuggling», permettant à des attaquants d’intercepter les échanges entre agents IA et de détourner leurs sessions d’authentification.

...

Une menace propre aux systèmes d’agents IA Les systèmes A2A reposent sur des échanges automatisés entre agents qui exécutent des tâches pour le compte d’un utilisateur ou d’une application. Ces interactions, qui impliquent la gestion d’identités, de sessions et de permissions, sont encore peu encadrées sur le plan de la sécurité. Selon Unit 42, «l’Agent Session Smuggling permet à un acteur malveillant d’utiliser un agent compromis pour infiltrer la session d’un autre agent et exécuter des actions au nom de celui-ci».

Depuis le 10 octobre, le fonctionnement informatique des 269 lycées de la région est fortement perturbé suite à une importante cyberattaque. Ce mardi 11 novembre, un nouvel appel à la vigilance a été lancé aux parents d’élèves car des données personnelles ont fuité. ...

Même si les élèves ne sont pas en cours en ce jour férié, les suites de la cyberattaque visant la Région Hauts-de-France et ses 269 lycées continuent d’agiter le milieu scolaire.

Ce mardi 11 novembre, des parents d’élèves ont reçu via ProNote une communication du Président de Région et des recteurs des académies de Lille et Amiens pour appeler à la vigilance. En effet, suite à la cyberattaque lancée le 10 octobre, et revendiquée par le gang Qiling qui exigeait le paiement d’une rançon sous forme de cryptomonnaies, le fonctionnement informatique des lycées a été perturbé.

E. Les géants américains de la technologie multiplient les investissements massifs sur le continent. Ils ne cessent de mettre en avant leur apport à la souveraineté numérique. Mais il n’en est rien

Il devient compliqué de suivre le rythme, tant les annonces s’enchaînent à un rythme effréné. Jour après jour, les géants américains de la technologie multiplient les promesses d’investissements en Europe. A coups de dizaines de milliards de dollars, ils empilent les annonces pour les créations de nouveaux centres de données sur le continent. Ils ne se contentent pas de cela: souvent, ils les saupoudrent de déclarations enflammées pour le continent, assurant contribuer à sa souveraineté numérique. On va le voir, il s’agit d’un écran de fumée.

Une cyberattaque sur le logiciel Weda, très utilisé par les médecins, survenue dans la nuit du 10 au 11 novembre, ralentit le travail des professionnels de santé, notamment dans l’Eure et en Seine-Maritime. Une situation qui interpelle sur la dépendance numérique dans le domaine médical.

La saison 3 de l’opération Endgame est attendue pour ce jeudi 13 novembre 2025. Elle devrait s’inscrire dans la continuité des saisons précédentes qui avaient frappé plusieurs botnets dont l’activité était très fortement liée aux cyberattaques débouchant sur le déclenchement de rançongiciels. ... Les chercheurs Gi7w0rm et g0njxa ont fait état de nombreuses allégations de prise de contrôle des infrastructures de Rhadamanthys par des tiers – vraisemblablement des forces de l’ordre, notamment allemandes.

Selon g0njxa, un message a été adressé aux clients du cleptogiciel selon lequel « les agences internationales chargées de l'application de la loi ont désigné Rhadamanthys comme cible dans le cadre de l'opération Endgame

Berne, 13.11.2025 — Dès à présent, la population et les entreprises peuvent être alertées de graves cybermenaces via Alertswiss. L’Office fédéral de la cybersécurité (OFCS) et l’Office fédéral de la protection de la population (OFPP) ont renforcé leur collaboration. Des alertes relatives aux cybermenaces sont intégrées dans l’application et la plateforme web Alertswiss. Cela permet de disposer d’un canal supplémentaire pour informer et alerter la population le plus rapidement possible en cas de cyberattaques à grande échelle ou d’un genre nouveau, et pour la protéger en lui fournissant des conseils concrets sur les mesures à prendre.

Lors d’une cyberattaque à grande échelle, les premières heures et les mesures de protection préventives peuvent se révéler décisives. C’est pourquoi l’Office fédéral de la cybersécurité (OFCS) et l’Office fédéral de la protection de la population (OFPP) ont intensifié leur collaboration en matière d’alerte face aux cybermenaces. À l’avenir, l’OFCS utilisera Alterswiss, en plus de ses canaux établis, pour alerter la population et les entreprises en cas de cyberattaques de grande ampleur ou d’un genre nouveau. L’OFCS continuera de communiquer les cybermenaces du quotidien, comme les campagnes d’hameçonnage, sur ses canaux habituels pour sensibiliser et protéger continuellement la population.

La circulaire du 25 juillet 2025 consacre le déploiement de Tchap comme messagerie instantanée sécurisée de l’État. La Direction interministérielle du numérique (DINUM) franchit une nouvelle étape : elle officialise son soutien à la (Ouvre une nouvelle fenêtre)Fondation Matrix.org. La France devient le premier État à conclure un partenariat de ce niveau avec l’organisation.

Cette décision traduit la volonté de sécuriser l’avenir du protocole Matrix et de consolider un commun numérique européen sur lequel administrations et entreprises pourront s’appuyer dans la durée.

Cette annonce a été officialisée lors de la (Ouvre une nouvelle fenêtre)conférence Matrix, organisée du 15 au 18 octobre 2025 à Strasbourg. La DINUM y est intervenue aux côtés de la Fondation et d’acteurs internationaux.