Actualités Cyber

Des experts en sécurité de LayerX ont identifié des extensions Chrome malveillantes qui se font passer pour des outils de productivité alors qu'elles n'ont qu'un seul but : voler vos accès.

Le piège : de faux outils pour de vrais problèmes

Ces extensions se trouvaient directement sur le Chrome Web Store. Elles promettent des fonctions pratiques comme :

• L'organisation de vos conversations dans des dossiers.

• Le téléchargement de vos chats en version audio.

• Une meilleure gestion de vos "prompts" (requêtes).

• Une recherche facilitée dans votre historique.

La réalité : une fois installées, elles agissent comme des "pickpockets numériques". Elles interceptent vos jetons d'authentification (vos clés de connexion) pour les envoyer à des pirates.

Pourquoi est-ce dangereux ?

Contrairement à un virus classique qui attaque votre ordinateur, ces extensions se contentent de "lire" ce qui passe par votre navigateur.

Le risque est simple : si un pirate récupère votre jeton de session, il peut se connecter à votre place sans avoir besoin de votre mot de passe.

Une fois dans votre compte, il peut accéder à :

1. Tout votre historique de conversations (et les données sensibles que vous y avez partagées).

2. Vos services connectés.

3. Vos informations personnelles liées à votre compte OpenAI.

La liste noire : Les extensions à bannir

Si vous avez installé l'un des outils suivants récemment, supprimez-le immédiatement :

• ChatGPT Folder, Voice Download, Prompt Manager (Modules ChatGPT)

• ChatGPT Voice Download, Text-to-Speech (Modifications ChatGPT)

• ChatGPT Pin Conversation, Bookmark (Modérateurs ChatGPT)

• ChatGPT Message Browser, History Scroll (Mods ChatGPT)

• ChatGPT Model Switcher (Modules ChatGPT)

• ChatGPT Export (Modifications ChatGPT)

• ChatGPT Timestamp Display (Modérateurs ChatGPT)

• ChatGPT Bulk Delete, Chat Manager (Modifications ChatGPT)

• ChatGPT Search History (Modérateurs ChatGPT)

• ChatGPT Prompt Optimization (Modérateurs ChatGPT)

• Collapsed Message (Modérateurs de ChatGPT)

• Multi-Profile Management & Switching (Mods ChatGPT)

• Search with ChatGPT (Mods ChatGPT)

• ChatGPT Token Counter (Modérateurs ChatGPT)

Que faire si vous êtes concerné ?

Si vous reconnaissez l'une de ces extensions dans votre navigateur :

1. Supprimez l'extension : Allez dans vos réglages Chrome et retirez le module suspect.

2. Changez votre mot de passe : Modifiez immédiatement le mot de passe de votre compte OpenAI/ChatGPT.

3. Déconnectez les sessions : Si l'option est disponible, choisissez "Se déconnecter de tous les appareils".

4. Soyez sélectif : À l'avenir, vérifiez toujours les avis et l'identité du développeur avant d'ajouter une extension. Si c'est trop beau pour être vrai, c'est souvent un piège !

Netyans

Le scénario : L'acheteur trop beau pour être vrai

Tout commence par une mise en vente classique. Un acheteur vous contacte rapidement. Il est poli, pressé, et surtout, il ne négocie pas le prix. Pour vous rassurer, il propose d'utiliser le système de paiement sécurisé du site.

Sur le papier, c'est l'option idéale : l'argent est bloqué par LeBonCoin jusqu'à la réception du colis. Mais c'est précisément ici que le piège se referme.

La mécanique du piège : Le faux e-mail de confirmation

Une fois "l'accord" conclu, l'escroc vous informe qu'il a effectué le paiement. Quelques instants plus tard, vous recevez un e-mail qui semble tout à fait officiel :

• Identité visuelle parfaite : Logos, couleurs et police de caractère de LeBonCoin.

• Données précises : Votre nom, le titre de votre annonce, le montant exact et l'adresse de livraison.

• L'appel à l'action : L'e-mail vous confirme que l'argent est "bloqué" et vous invite à expédier le colis immédiatement pour débloquer les fonds.

Le problème ? Cet e-mail ne provient pas de LeBonCoin. C'est un faux (phishing). Si vous envoyez l'objet, l'acheteur disparaît avec votre bien, et vous ne verrez jamais la couleur de l'argent, car aucune transaction réelle n'a eu lieu sur la plateforme.

Comment repérer l'arnaque en un coup d'œil ?

Pour ne pas devenir la prochaine victime, gardez ces trois réflexes en tête :

1. La règle d'or : L'application fait foi

Le seul et unique endroit où vous devez vérifier un paiement est votre messagerie sécurisée sur l'application ou le site LeBonCoin. Si vous recevez un e-mail de confirmation mais que rien n'apparaît dans votre interface de vente sur le site : C'est une arnaque.

2. Ne sortez jamais de la plateforme

Les escrocs essaieront souvent de vous attirer sur WhatsApp, par SMS ou via votre adresse e-mail personnelle.

Conseil d'expert : En restant sur la messagerie interne, vous bénéficiez des filtres de sécurité du site. Une fois que vous communiquez "en dehors", vous êtes seul face au pirate.

3. Analysez l'expéditeur

Même si le mail ressemble à s'y méprendre à l'original, vérifiez l'adresse de l'expéditeur (le champ "De"). Les services officiels n'utilisent jamais d'adresses génériques type Gmail, Outlook ou des domaines complexes qui ne finissent pas strictement par @leboncoin.fr.

Si l'offre semble trop simple ou la procédure trop pressante, faites une pause et vérifiez vos notifications officielles.

Netyans

L'Urssaf vient de confirmer un accès frauduleux à ses services via le compte d'un prestataire dont les identifiants ont été dérobés.

Ce qu'il faut retenir

• La cible : Environ 12 millions de salariés embauchés au cours des 3 dernières années.

• Données compromises : Nom, prénom, date de naissance, date d'embauche et identité de l'employeur (SIRET).

• Données sécurisées : Vos coordonnées bancaires, numéros de Sécurité sociale, e-mails et téléphones ne sont pas concernés.

Le risque majeur : Le "Phishing" ciblé

Même sans vos données bancaires, les pirates possèdent assez d'informations pour rendre leurs attaques crédibles.
Le scénario à craindre : Vous recevez un faux e-mail de votre employeur ou de l'administration citant votre date d'embauche exacte pour vous mettre en confiance et vous demander de cliquer sur un lien frauduleux.

Vos réflexes de sécurité

• Ne donnez rien : L'Urssaf ne vous demandera jamais de mot de passe ou d'IBAN par e-mail ou SMS.

• Vérifiez l'expéditeur : Ne vous fiez pas à l'objet du mail ou aux informations personnelles qu'il contient. Vérifiez scrupuleusement l'adresse e-mail de l'envoi.

• Leçon à tirer : Cette fuite a réussi car le prestataire n'avait pas activé la double authentification. Activez-la immédiatement sur tous vos comptes (banque, mails, réseaux) pour éviter qu'un simple vol de mot de passe ne vous compromette.

Netyans

Le portail officiel de l'administration française, Service-public.gouv.fr, vient de confirmer une violation de données affectant ses utilisateurs. En cause ? Un incident de sécurité chez l'un de ses prestataires. Voici le détail de l'incident et des conseils pour vous protéger.

C’est le passage obligé pour la plupart de nos démarches administratives (carte grise, état civil, impôts...) : le site Service-public.gouv.fr est au cœur d'une nouvelle affaire de cybersécurité. L'administration a commencé à informer les utilisateurs concernés qu'une fuite de données avait eu lieu, suite à la compromission d'un sous-traitant.

Que s'est-il passé ?

L'incident s'est déroulé sur une fenêtre de quelques jours, précisément entre le 4 et le 9 janvier 2026.

Les pirates ont visé ce qu'on appelle la "supply chain" (la chaîne logistique), c'est-à-dire un sous-traitant dont les défenses étaient moins robustes. C'est ce maillon faible qui a permis l'accès aux informations.

Quelles données ont été volées ?

C'est le point le plus critique de cette fuite. Selon les notifications envoyées par l'administration, la compromission ne concerne pas uniquement des adresses emails. Les pirates ont pu accéder à :

1. Des données d'identification : Cela inclut vos identifiants de connexion et mots de passe.

2. Des pièces justificatives : Ce sont les documents que vous téléchargez pour prouver votre identité ou votre domicile lors de vos démarches. Bien que la liste exacte ne soit pas détaillée, cela concerne potentiellement des scans de cartes d'identité, de passeports, des justificatifs de domicile, voire des RIB.

Quels sont les risques pour vous ?

La nature des documents dérobés expose les victimes à deux risques majeurs :

• L'usurpation d'identité : Avec une copie de votre pièce d'identité et un justificatif de domicile, des malfaiteurs peuvent tenter de souscrire des crédits en votre nom ou d'ouvrir des comptes bancaires frauduleux.

• Le Phishing (Hameçonnage) ciblé : Les pirates possèdent désormais des informations contextuelles sur vous. Ils peuvent vous envoyer des emails très réalistes, se faisant passer pour l'administration, afin de vous soutirer encore plus d'informations ou de l'argent.

Les mesures prises et la réaction des autorités

Le sous-traitant incriminé a déclaré avoir corrigé la faille, renforcé ses mesures techniques de sécurité et revu ses protocoles d'authentification. Conformément à la législation (RGPD), cet incident a été signalé à la CNIL (Commission Nationale de l’Informatique et des Libertés).

Que devez-vous faire maintenant ?

Si vous avez effectué des démarches récemment sur le portail ou si vous avez reçu le mail d'avertissement, la vigilance est de mise. Voici les réflexes à adopter immédiatement :

1. Méfiez-vous des communications entrantes : Soyez extrêmement sceptique si vous recevez un appel, un SMS ou un email se réclamant de l'administration, surtout s'il y a un caractère d'urgence. L'administration ne vous demandera jamais vos mots de passe ou coordonnées bancaires par téléphone.

2. Surveillez vos comptes : Gardez un œil sur vos relevés bancaires. Au moindre mouvement suspect, contactez votre banque.

3. Signalez tout comportement louche : Si vous détectez une tentative d'arnaque ou une sollicitation anormale, signalez-le sur la plateforme Pharos ou auprès de la gendarmerie/police.

4. Changez vos mots de passe : Par précaution, modifiez le mot de passe de votre compte Service-public.gouv.fr et de tout autre site où vous utiliseriez le même mot de passe.

Netyans

C’est une décision qui fera date dans le paysage numérique français. Suite au piratage massif survenu en octobre 2024, la CNIL (le gendarme des données personnelles) a condamné le groupe Free à une amende globale de 42 millions d’euros. En cause ? De graves négligences ayant conduit à la fuite des données de millions d'abonnés.

Le contexte : Un vol de données hors norme

Tout commence le 17 octobre 2024. Sur un forum bien connu des cybercriminels (BreachForums), un pirate agissant sous le pseudonyme de « drussellx » met en vente un fichier colossal : 43,6 Go de données volées.

Pour prouver ses dires, il diffuse des échantillons. Le contenu est alarmant et concerne les abonnés Freebox et Free Mobile. On y trouve :

• Des informations d'identité (noms, prénoms).

• Des identifiants abonnés.

• Des coordonnées bancaires sensibles (IBAN et BIC).

Si le pirate revendiquait plus de 19 millions de victimes, l'enquête a révélé que la faille a en réalité exposé les données de 24 millions d’abonnés. Face à l'ampleur de la fuite et aux 2 500 plaintes reçues, la CNIL a mené une investigation approfondie qui a mis en lumière de sérieuses failles de sécurité.

Pourquoi une telle sanction ?

La facture est lourde : 27 millions d'euros pour Free Mobile et 15 millions pour la maison mère, Free SAS. Selon la CNIL, ce montant se justifie par la sensibilité des données bancaires exposées, le nombre de victimes et la capacité financière du groupe.

Le rapport pointe du doigt trois manquements majeurs au Règlement Général sur la Protection des Données (RGPD) :

1. Une sécurité informatique défaillante ("Portes ouvertes")

C'est le point critique. Les enquêteurs ont découvert que les accès à distance des employés (via VPN) étaient mal protégés. Les mécanismes d'authentification étaient trop faibles pour empêcher une intrusion. Pire encore, une fois l'attaquant dans la place, les systèmes de surveillance interne n'ont pas réussi à détecter ses mouvements suspects. En résumé : l'alarme n'a pas sonné.

2. Une communication "service minimum"

Lorsqu'une fuite survient, la loi oblige l'entreprise à informer clairement ses clients. Free a bien envoyé des emails, mais la CNIL a jugé ces avertissements insuffisants. Les messages n'expliquaient pas assez clairement les risques encourus (comme le phishing ou les prélèvements frauduleux) et ne donnaient pas de conseils pratiques pour se protéger. Les abonnés se sont retrouvés exposés sans comprendre réellement la menace.

3. La conservation abusive des données

L'enquête a révélé que Free Mobile gardait dans ses serveurs des informations concernant d'anciens clients, partis depuis des années. Or, le RGPD impose de ne pas conserver les données indéfiniment sans raison valable. La CNIL a donné six mois à l'opérateur pour faire le ménage dans ses bases de données.

Quelle leçon en tirer ?

Bien que Free ait renforcé sa sécurité et durci ses audits internes pendant l'enquête, la CNIL a estimé que ces réactions étaient tardives face à des problèmes structurels.

Cet incident rappelle une règle d'or en cybersécurité : la protection des données ne doit pas être réactive, mais préventive. Pour les 24 millions de clients concernés, la vigilance reste de mise, notamment face aux tentatives d'escroquerie utilisant leurs coordonnées bancaires fuitées.

Netyans

Cette semaine, Malwarebytes a découvert que des pirates informatiques avaient dérobé les informations sensibles de 17,5 millions de comptes Instagram. Ces données, comprenant noms d'utilisateur, adresses postales, numéros de téléphone, adresses électroniques et autres, peuvent être exploitées par des cybercriminels pour usurper l'identité de marques de confiance, tromper les utilisateurs et voler leurs mots de passe.

Plus important encore, ces données sont déjà disponibles sur le dark web, et certains utilisateurs reçoivent même des notifications légitimes de réinitialisation de mot de passe de la part d'Instagram.

Ce que vous devez faire : 

• Changez vos mots de passe Instagram immédiatement.

• Activez l'authentification à deux facteurs dans les paramètres de votre compte Instagram.

Capture d'écran du mail légitime de réinitialisation du mot de passe Instagram suite à la faille de sécurité :

Netyans

Une nouvelle vague de cyberattaques, particulièrement vicieuse, cible actuellement les ordinateurs Windows en Europe. Selon les chercheurs en sécurité de Securonix, les pirates visent spécifiquement le secteur de l'hôtellerie (hôtels, chambres d'hôtes, agences de voyage).

Leur méthode ? Une manipulation psychologique redoutable qui combine une fausse réservation Booking et un faux plantage de votre ordinateur. Voici comment repérer ce piège avant qu'il ne soit trop tard.

1. L'appât : une annulation coûteuse

Tout commence par un e-mail qui semble provenir officiellement de Booking.com. Le message est alarmant : il signale l'annulation de dernière minute d'un séjour et évoque un remboursement important (souvent supérieur à 1000 euros).

Le design, les logos et les couleurs sont imités à la perfection pour tromper la vigilance. Sous la pression du montant et de l'urgence, la victime clique sur le lien pour gérer le dossier. Elle atterrit alors sur une copie quasi parfaite du site de Booking.

2. La panique : le faux "Écran Bleu de la Mort"

C'est ici que l'attaque se distingue par son originalité. Soudainement, le faux site internet simule un plantage complet de l'ordinateur. Un faux "Écran Bleu de la Mort" (le fameux écran d'erreur critique de Windows) apparaît en plein écran.

Le but est simple : créer la panique. L'utilisateur croit que son PC vient réellement de tomber en panne à cause d'une erreur système grave, alors qu'il s'agit simplement d'une image affichée par le navigateur web.

3. Le piège : la fausse réparation

Profitant du désarroi de la victime qui souhaite relancer sa machine au plus vite, le faux écran d'erreur propose une "solution" étape par étape. Il demande à l'utilisateur d'effectuer une manipulation manuelle :

• Ouvrir l'exécuteur de commande (touches Win + R).

• Coller une commande spécifique (CTRL + V).

• Valider avec Entrée.

C'est ce qu'on appelle une attaque "ClickFix". Les pirates ne piratent pas la machine eux-mêmes via une faille complexe ; ils manipulent l'utilisateur pour qu'il ouvre lui-même la porte.

4. Les conséquences : un espion dans l'hôtel

En suivant ces instructions, la victime télécharge et installe à son insu un virus (un cheval de Troie nommé AsyncRAT). Une fois actif, ce logiciel malveillant donne aux pirates un contrôle total sur l'ordinateur.

Ils peuvent alors :

• Voir tout ce qui s'affiche à l'écran.

• Enregistrer tout ce qui est tapé au clavier (y compris les mots de passe bancaires).

• Voler les données sensibles des clients.

• Se propager aux autres ordinateurs du réseau de l'hôtel.

Comment se protéger ?

Pour éviter ce scénario catastrophe, voici quelques réflexes simples à adopter :

• Méfiez-vous de l'urgence : Si un e-mail vous met la pression (gros remboursement, annulation immédiate), prenez une pause avant de cliquer.

• Vérifiez l'URL : Même si le site ressemble à Booking, regardez l'adresse dans la barre du navigateur.

• La règle d'or du "Win + R" : Un site web ou un support technique légitime ne vous demandera jamais d'ouvrir la fenêtre "Exécuter" (Win + R) pour copier-coller une commande obscure. C'est le signe immédiat d'une arnaque.

• Gardez votre calme : Si un écran bleu apparaît uniquement dans votre navigateur web, appuyez sur la touche "Echap" ou fermez simplement le navigateur. Un vrai plantage Windows ne se comporte pas ainsi.

Netyans

Fin décembre 2025, le groupe de pirates informatiques connu sous le nom de Lapsus$ (déjà célèbre pour avoir attaqué des géants comme Samsung ou Microsoft par le passé) a revendiqué le vol d'une base de données appartenant à ENI.

Pour prouver leur méfait, les hackers ont publié un fichier sur un forum clandestin (le dark web). Ce fichier contient près de 90 000 lignes d'informations, touchant potentiellement entre 40 000 et 50 000 clients français.

Quelles sont les données volées ?

La fuite concerne principalement des clients professionnels (restaurants, syndics de copropriété, paroisses, PME, etc.).

Selon les premières analyses et les échantillons vus en ligne, les pirates ont mis la main sur :

• Les raisons sociales (noms des entreprises).

• Les références clients.

• Les adresses e-mail professionnelles.

• Les numéros de téléphone professionnels.

• Les dates de dernière connexion aux services ENI.

La bonne nouvelle : ENI assure qu'aucune donnée bancaire (IBAN, numéros de carte), aucun historique de consommation, ni aucun mot de passe n'a été compromis lors de cette attaque.

Quels sont les risques pour les clients ?

Même si vos coordonnées bancaires sont sauves, cette fuite n'est pas sans danger. Le risque principal est le Phishing ciblé (ou hameçonnage).

Puisque les pirates connaissent votre nom, votre statut de client ENI, votre e-mail et votre numéro de téléphone, ils peuvent fabriquer de faux e-mails ou SMS très crédibles. Ils pourraient se faire passer pour ENI (ou votre banque) afin de vous inciter à cliquer sur un lien malveillant ou à donner votre mot de passe.

La réaction d'ENI

L'entreprise italienne a brisé le silence le 6 janvier 2026 via un e-mail adressé aux victimes. Elle y confirme "une diffusion non autorisée" de données, tout en se voulant rassurante sur l'absence de fuite de données bancaires.

ENI a annoncé porter plainte et devrait notifier la CNIL (le gendarme des données personnelles), comme la loi l'exige.

Conseils de sécurité

Si vous êtes client professionnel chez ENI, ou simplement par précaution :

1. Méfiez-vous des e-mails et SMS : Soyez extrêmement vigilant si vous recevez un message d'ENI vous demandant de payer une facture en retard ou de mettre à jour vos infos. Vérifiez toujours l'adresse de l'expéditeur.

2. Changez votre mot de passe : Bien qu'ENI affirme que les mots de passe ne sont pas touchés, il est recommandé par prudence de le modifier sur votre espace client.

3. Ne communiquez jamais vos infos sensibles : ENI ne vous demandera jamais votre mot de passe ou vos codes bancaires par e-mail ou téléphone.

4. Utilisez les canaux officiels : En cas de doute, ne cliquez sur aucun lien. Connectez-vous directement sur le site officiel d'ENI via votre navigateur.

Netyans

Une nouvelle brèche de sécurité vient d'être découverte ce 4 janvier 2026. Des données appartenant à plus de 150 000 patients français circulent actuellement sur internet. Voici ce qu'il faut savoir pour comprendre l'incident et vous protéger.

L'incident en bref 

Un cybercriminel a publié une base de données contenant les fiches de patients de l'Hôpital privé de la Miotte (Belfort) et d'un cabinet d'ophtalmologie de Sallanches. Bien que ces données soient issues de rendez-vous pris via Doctolib, c'est la sécurité informatique de ces deux établissements qui semble avoir été prise en défaut, et non la plateforme nationale elle-même.

Les risques pour les patients 

Les informations dérobées (identité, contacts, historique de rendez-vous) sont du "pain béni" pour les escrocs. Le risque principal est le phishing ciblé (hameçonnage).

Exemple de risque : Vous pourriez recevoir un faux email ou SMS semblant provenir de votre hôpital ou de l'Assurance Maladie, utilisant vos vraies informations pour vous mettre en confiance et vous soutirer de l'argent.

L'avis de l'expert 

Baptiste Robert, spécialiste reconnu de la cybersécurité, a vérifié la fuite. Il appelle les établissements concernés à auditer leurs systèmes d'urgence. Contrairement à de simples rumeurs passées, cette fuite apparaît comme sérieuse et avérée.

Netyans

Le Groupe La Poste commence l'année 2026 dans la tourmente. Dans la nuit du 31 décembre au 1er janvier, à 3h30 précises, une nouvelle cyberattaque d'envergure a frappé l'infrastructure du groupe, provoquant une indisponibilité majeure de ses services critiques.

Ce qu'il faut retenir :

• Services impactés : La Banque Postale (app et site web HS), Colissimo (suivi et affranchissement en mode dégradé) et la messagerie Laposte.net (connexion impossible).

• Continuité d'activité : Malgré la panne, les paiements par carte bancaire (TPE) et les virements WERO restent fonctionnels.

• Contexte de menace élevée : Il s'agit de la seconde attaque majeure en moins de 10 jours, après celle du 22 décembre 2025 qui avait visé un datacenter du groupe.

• Vecteur suspecté : Si l'attaque n'est pas encore revendiquée, le mode opératoire rappelle l'attaque DDoS (Déni de Service) de fin décembre, attribuée au groupe pro-russe NoName057.

Netyans

Des cybercriminels ont découvert une faille leur permettant d'envoyer des emails frauduleux qui semblent vraiment provenir de Google. Des milliers d'entreprises ont déjà été piégées.

Le problème en quelques mots

Imaginez recevoir un email de noreply-application-integration@google.com ; une adresse Google 100% authentique. Vous vous dites que c'est sûr, n'est-ce pas ? Eh bien, pas forcément.

Des escrocs ont trouvé un moyen détourné d'utiliser les outils professionnels de Google pour envoyer de faux emails qui passent tous les contrôles de sécurité. En seulement deux semaines, près de 10 000 messages frauduleux ont été envoyés à plus de 3 200 entreprises.

Comment ça marche ?

Les pirates utilisent une fonction légitime de Google Cloud, normalement destinée aux entreprises pour envoyer des notifications automatiques (alertes système, rapports, etc.). En détournant cet outil, ils peuvent expédier des emails depuis les serveurs officiels de Google, sans avoir piraté Google lui-même.

Leurs emails imitent parfaitement les vraies notifications Google :

• Message vocal en attente

• Quelqu'un souhaite partager un document avec vous

• Paiement en suspens

• Demande d'accès à un fichier

Le piège en plusieurs étapes

Voici comment les escrocs procèdent pour tromper même les plus vigilants :

Étape 1 : Vous recevez un email qui semble parfaitement légitime, avec le bon expéditeur et la bonne apparence.

Étape 2 : Vous cliquez sur un lien qui vous amène d'abord sur une vraie page Google Cloud - jusque-là, tout semble normal.

Étape 3 : Vous êtes ensuite redirigé vers une page de vérification CAPTCHA (ces images où il faut cocher "Je ne suis pas un robot"). Cette étape bloque les logiciels de sécurité automatiques tout en laissant passer les vraies personnes.

Étape 4 : Après la vérification, vous atterrissez finalement sur un faux site qui ressemble à une page de connexion Microsoft, conçu pour voler vos identifiants.

Que fait Google ?

Google a confirmé être au courant du problème et a bloqué plusieurs campagnes frauduleuses. L'entreprise précise que ses systèmes n'ont pas été piratés, c'est simplement un détournement de fonctionnalité.

L'entreprise a également renforcé ses protections, mais encourage chacun à rester vigilant car les pirates cherchent constamment de nouvelles façons d'imiter des marques de confiance.

Comment vous protéger ?

Restez méfiant, même avec des emails qui semblent légitimes :

Vérifiez toujours l'adresse de destination finale avant d'entrer vos identifiants. Survolez les liens avec votre souris pour voir où ils mènent réellement, sans cliquer. Si un email vous demande de vous connecter quelque part de manière urgente, allez directement sur le site officiel plutôt que de cliquer sur le lien. Activez l'authentification à deux facteurs sur tous vos comptes importants - même si un pirate obtient votre mot de passe, il ne pourra pas se connecter.

La leçon à retenir

Cette attaque montre que les règles traditionnelles de sécurité ne suffisent plus. Un email peut avoir le bon expéditeur, le bon domaine, passer par une infrastructure légitime... et être quand même une arnaque.

Dans le doute, mieux vaut prendre quelques secondes supplémentaires pour vérifier que de se faire piéger. La prudence reste votre meilleure défense.

Netyans

Ce n'est pas un vol de données classique : des « hacktivistes » ont réussi à copier près de 99 % de la musique présente sur Spotify. Le groupe « Anna's Archive », connu pour ses actions de préservation numérique (souvent à la limite de la légalité), affirme avoir réalisé l'impensable : télécharger et rendre public via BitTorrent la quasi-totalité du catalogue musical de Spotify.

Ce qui s'est passé

Imaginez une armée de robots numériques qui écouteraient chaque chanson sur Spotify, une par une, et l'enregistreraient sur un disque dur géant. C'est essentiellement ce qu'a fait Anna's Archive, mais à une échelle industrielle.

• Le butin : Environ 86 millions de chansons et les informations (métadonnées) de 256 millions de titres.

• Le volume : Cela représente près de 300 Téraoctets (To) de données.

• La méthode : Le groupe a exploité des failles dans la manière dont Spotify diffuse sa musique (via des API) et a réussi à contourner les verrous numériques (DRM) censés empêcher la copie.

Selon les hacktivistes, il ne s'agit pas de revendre la musique, mais de créer une « archive de préservation » pour l'histoire, au cas où la plateforme disparaîtrait un jour.

Spotify a confirmé que les pirates n'ont pas accédé aux bases de données des utilisateurs. L'attaque visait le contenu (la musique), pas les clients. Vos playlists privées, vos historiques d'écoute et vos informations de paiement ne font pas partie de ce vol massif.

Pourquoi cet incident est important pour la cybersécurité ?

Même si vos données sont sûres, cet événement est une leçon importante. Il montre que les géants du web, malgré leurs moyens colossaux, ont du mal à se protéger contre le « scraping » à grande échelle.

Le scraping consiste à extraire automatiquement des données d'un site web. Ici, les attaquants ont réussi à faire passer leurs robots pour des millions d'utilisateurs légitimes, trompant les systèmes de sécurité de Spotify pendant suffisamment longtemps pour tout copier. 

Ce que vous devez faire (Mesures de précaution)

Bien que vos données ne soient pas directement compromises, ce genre d'événement crée un climat propice aux arnaques. Voici comment rester vigilant :

• Méfiez-vous des faux emails (Phishing) : Des escrocs pourraient profiter de l'actualité pour vous envoyer des emails prétendant être Spotify : « Votre compte a été piraté suite à l'attaque, cliquez ici pour le sécuriser ». Ne cliquez pas. Spotify ne vous demandera jamais votre mot de passe par email.

• Évitez les applications tierces douteuses : Ne donnez jamais vos identifiants Spotify à des sites ou logiciels promettant de télécharger de la musique gratuitement ou de « booster » votre compte. Ces outils utilisent souvent les mêmes techniques que les pirates et pourraient, eux, voler vos vrais mots de passe.

• Hygiène de mots de passe : Si vous utilisez le même mot de passe pour Spotify et pour votre email ou votre banque (ce qu'il ne faut jamais faire !), profitez de cette occasion pour le changer.

Netyans

Une vaste cyberattaque par déni de service (DDoS) frappe le groupe La Poste et sa filiale bancaire depuis ce lundi matin 6h30, entraînant une indisponibilité quasi totale des services.

Ce qu'il faut retenir :

• Vecteur d'attaque : Il s'agit d'une attaque DDoS (Distributed Denial of Service) confirmée, visant à saturer l'interconnexion entre les datacenters du groupe et le réseau Internet.

• Impact opérationnel : L'incident paralyse les services en ligne de La Banque Postale, l'outil Digiposte, ainsi que les services logistiques de La Poste (Colissimo, affranchissement, étiquetage). La direction a autorisé la fermeture de certains bureaux physiques face à l'ampleur de la panne.

• Résilience des paiements : Point positif dans cette gestion de crise, les flux de paiement par carte bancaire restent fonctionnels, ces derniers transitant par un réseau distinct de l'infrastructure touchée.

Contexte et récidive 

Cet incident fait suite à une première vague offensive survenue samedi 20 décembre, ayant déjà causé une interruption de quatre heures. Parallèlement, le groupe BPCE (Banque Populaire et Caisse d'Épargne) rapporte également des difficultés d'accès, bien que ces établissements évoquent pour l'heure un simple "dysfonctionnement" interne.

Netyans

Une nouvelle campagne de phishing sophistiquée a récemment utilisé l'infrastructure même de PayPal pour tromper la vigilance des internautes. Bien que PayPal ait depuis corrigé le tir, il est crucial de comprendre cette méthode pour ne pas se faire piéger à l'avenir. 

Le mécanisme de l'attaque 

L'alerte a été donnée lorsque plusieurs utilisateurs ont reçu des notifications authentiques de PayPal indiquant l'annulation d'un paiement automatique. L'enquête a révélé que les escrocs détournaient une fonctionnalité destinée aux commerçants : la suspension d'abonnement. En créant de faux comptes commerçants et en utilisant probablement des listes de diffusion, les attaquants généraient des abonnements qu'ils suspendaient immédiatement. Cette action déclenchait l'envoi automatique par PayPal d'un courriel officiel : « Votre paiement automatique n'est plus actif ».

Le piège du faux support technique 

Puisque le courriel provenait réellement des serveurs de PayPal, il contournait aisément les filtres anti-spam. À l'intérieur du message, les escrocs inséraient une note personnalisée mentionnant un faux achat coûteux (souvent du matériel Sony) et un numéro de téléphone frauduleux pour "contester" le débit. Les victimes, paniquées, appelaient ce numéro et tombaient sur une fausse hotline. Le mode opératoire est alors classique : prise de contrôle à distance de l'ordinateur, fausse détection de virus, et extorsion d'argent pour de prétendus services de nettoyage ou vol de données bancaires.

Les bons réflexes pour vous protéger

• Vérifiez à la source : Ne vous fiez jamais aux numéros de téléphone dans les courriels. Ouvrez votre application PayPal ou allez sur le site officiel pour vérifier vos transactions.

• Refusez l'accès à distance : Aucun service client légitime (PayPal, Banque, Microsoft) ne vous demandera de prendre le contrôle de votre ordinateur.

• En cas d'infection : Si vous avez donné accès à votre machine, déconnectez-la d'Internet, changez vos mots de passe depuis un autre appareil et effectuez une analyse complète avec un outil comme Malwarebytes.

Netyans

Nous avons l'habitude de faire confiance à Google pour nos recherches et à l'IA pour nos réponses. Malheureusement, des cybercriminels ont trouvé le moyen de retourner cette confiance contre les utilisateurs de Mac.

Une découverte récente de chercheurs en cybersécurité met en lumière une nouvelle technique d'attaque ingénieuse : utiliser des publicités Google pour rediriger les internautes vers de fausses conversations d'IA (ChatGPT), conçues pour installer le redoutable logiciel espion AMOS (Atomic macOS Stealer).

Voici comment fonctionne ce piège sophistiqué et comment vous en prémunir.

Le scénario du piège : Une recherche banale

Tout commence par une intention innocente. L'utilisateur tape une requête classique sur Google, comme « libérer de l'espace disque sur macOS ».

Au lieu de tomber sur un article de blog classique, il clique sur un résultat sponsorisé (une publicité) qui semble légitime. Ce lien le redirige vers une page qui ressemble à s'y méprendre à une conversation partagée issue de ChatGPT.

La conversation affichée est claire, rassurante et semble très utile. L'IA y donne un tutoriel étape par étape pour résoudre le problème de l'utilisateur. Mais il y a un loup.

Le point critique : L'une des étapes demande à l'utilisateur d'ouvrir son Terminal (la ligne de commande du Mac) et de copier-coller une commande spécifique.

Ce qui se passe en coulisses

Dès que l'utilisateur exécute cette commande :

1. L'infection démarre : La commande contient un script caché (encodé pour ne pas être lisible par un humain) qui télécharge un fichier malveillant.

2. L'installation d'AMOS : Le logiciel espion s'installe, élève ses privilèges d'administrateur et s'ancre profondément dans le système.

3. Le vol de données : AMOS commence sa mission : voler des mots de passe, des cookies de navigation et des portefeuilles de cryptomonnaies, le tout sans déclencher d'alerte immédiate.

Ce n'est pas la première fois que cela arrive. Une campagne similaire avait déjà utilisé de fausses pages GitHub imitant des logiciels légitimes. Cette fois, les pirates utilisent l'aura de confiance de l'Intelligence Artificielle.

Pourquoi l'attaque est-elle si efficace ?

C'est une leçon magistrale d'ingénierie sociale. Les pirates manipulent l'IA pour créer le leurre parfait :

• L'apparence de la légitimité : Ils demandent à ChatGPT de générer un guide technique valide, puis modifient la conversation pour y insérer la commande infectée.

• La fonction de partage : En utilisant la fonction officielle de « partage de conversation » d'OpenAI ou de X (Twitter), le lien généré est authentique. Il ne semble pas suspect aux yeux des filtres de sécurité.

• La visibilité : En payant pour des publicités Google (Sponsorisées) ou en manipulant le référencement (SEO), ils placent ce piège tout en haut des résultats de recherche.

Des chercheurs ont même trouvé de faux guides pour installer « Atlas », un prétendu nouveau navigateur d'OpenAI, qui n'était en réalité qu'une porte d'entrée pour le virus.

Comment rester en sécurité ?

Ces attaques sont conçues pour tromper même les utilisateurs vigilants, car elles utilisent des plateformes que nous utilisons tous les jours. Voici les réflexes à adopter dès maintenant :

• Méfiez-vous des résultats « Sponsorisés » : Les premiers liens sur Google sont souvent des publicités. Les pirates s'en servent fréquemment. Prenez l'habitude de faire défiler la page pour cliquer sur les résultats naturels (non payants).

• Vérifiez l'annonceur : Si vous devez cliquer sur une pub, cliquez sur les trois petits points à côté de l'annonce pour voir qui la paie. Si le nom ne correspond pas au service attendu, fuyez.

• La Règle d'Or du Terminal : N'exécutez jamais une commande copiée-collée depuis internet (surtout celles commençant par curl ... | bash) à moins de comprendre exactement ce qu'elle fait. C'est l'équivalent numérique d'accepter un bonbon d'un inconnu.

• Protégez votre Mac : Utilisez un logiciel de sécurité capable de filtrer le trafic web malveillant en temps réel. (Comme Bitdefender Premium Security)

Que faire si vous pensez être infecté ?

Si vous avez exécuté une commande douteuse récemment :

1. Nettoyage immédiat : Supprimez les éléments suspects dans les dossiers de démarrage (LaunchAgents/LaunchDaemons).

2. Réinstallation propre : Si le malware AMOS est confirmé, la solution la plus sûre est souvent une réinstallation complète de macOS. Restaurez vos fichiers, mais évitez de restaurer les réglages système depuis une sauvegarde Time Machine qui pourrait être contaminée.

3. Changez vos mots de passe : Une fois le Mac propre, modifiez tous vos mots de passe et activez la double authentification (MFA) partout où c'est possible.

Netyans

Une nouvelle vulnérabilité, exploitant simplement votre numéro de téléphone, permet à n'importe qui de suivre vos faits et gestes via WhatsApp et Signal. Révélé le 11 décembre 2025, un outil de démonstration gratuit mis en ligne sur GitHub prouve qu'il est possible d'espionner plus de 3 milliards d'utilisateurs tout en restant invisible.

Comment ça marche ? L'attaque "Silent Whisper"

Pas besoin d'installer de logiciel espion sur votre téléphone. L'attaquant utilise une méthode ingénieuse basée sur le temps de latence :

1. Le Ping invisible : L'outil envoie des "réactions" à des messages inexistants vers votre numéro.

2. La réponse automatique : Votre application (WhatsApp ou Signal) rejette ces réactions silencieusement, mais envoie techniquement un accusé de réception.

3. L'analyse : En mesurant le temps précis que met votre téléphone à répondre, l'attaquant peut déduire votre état.

Le danger : Ces requêtes sont invisibles. Aucune notification n'apparaît, aucune fenêtre ne s'ouvre. Tout se passe en arrière-plan.

Ce que les pirates peuvent savoir sur vous

En envoyant plusieurs "pings" par seconde, l'outil analyse les variations de temps de réponse pour créer un profil précis de votre activité :

• Votre connexion : Il sait si vous êtes en Wi-Fi (chez vous/au bureau) ou en données mobiles (en déplacement).

• Votre activité : Il détecte si votre écran est allumé (vous utilisez le téléphone) ou éteint (en veille).

• Vos habitudes : En accumulant ces données, on peut déduire vos heures de sommeil, vos horaires de travail et vos déplacements.

• Votre statut : Il sait si vous êtes en mode avion ou si le téléphone est éteint.

Un impact physique : La batterie drainée

Au-delà de l'espionnage, cette attaque est une véritable nuisance technique. Pour répondre à ces sollicitations incessantes, votre téléphone ne peut jamais passer en mode veille profonde.

• WhatsApp : L'impact est sévère. Les tests montrent une perte de batterie allant de 14 % à 18 % par heure sur des iPhones récents.

• Signal : L'application s'en sort mieux grâce à une limitation du nombre de requêtes, ne perdant qu'environ 1 % par heure.

• Données mobiles : Cette activité consomme votre forfait data et peut ralentir vos autres applications.

Comment vous protéger ?

Bien qu'il soit difficile de bloquer totalement cette attaque sans correctif officiel des éditeurs, vous pouvez limiter la casse dès maintenant :

Sur WhatsApp : Activez le blocage des inconnus

1. Allez dans Paramètres > Confidentialité.

2. Appuyez sur Paramètres Avancés.

3. Activez l'option "Bloquer les messages des comptes inconnus".

Note : Cela réduit la capacité de l'attaquant à vous "spammer", car WhatsApp bloquera les volumes élevés venant de numéros non enregistrés.

Sur Signal et autres messageries Il est recommandé de réduire les informations que votre téléphone renvoie automatiquement :

• Désactivez les accusés de réception (lecture).

• Masquez votre statut "En ligne" ou "Vu pour la dernière fois".

Le mot de la fin

Cet outil, bien que publié à des fins de recherche, souligne une faille structurelle des protocoles de messagerie modernes. En attendant une mise à jour de sécurité de Meta (WhatsApp) et Signal, la vigilance et le paramétrage strict de vos options de confidentialité restent vos meilleures défenses.

Netyans

Ce qui semblait être de simples outils de personnalisation pour Visual Studio Code (le célèbre éditeur de code de Microsoft) s'est avéré être un piège. Des chercheurs de l'entreprise de cybersécurité Koi ont identifié plusieurs extensions malveillantes disponibles directement sur le magasin officiel (le Microsoft Marketplace).

Le piège : un déguisement parfait

Pour tromper la vigilance des utilisateurs, les cybercriminels ont misé sur deux tendances populaires :

• L'esthétique : Un thème sombre « premium » inspiré de l'univers du Bitcoin.

• L'intelligence artificielle : Un assistant de codage censé aider les développeurs.

Le subterfuge était particulièrement sophistiqué pour l'assistant IA. Pour gagner la confiance des victimes, l'extension fonctionnait réellement : elle permettait aux utilisateurs de discuter avec des chatbots (comme ChatGPT). Mais en arrière-plan, le logiciel malveillant s'activait.

Ce que les pirates ont dérobé

Une fois l'extension installée, elle déployait discrètement un outil de capture d'écran modifié (Lightshot) accompagné d'un fichier corrompu. Le but ? Aspirer un maximum de données sensibles.

Selon les chercheurs de Koi, l'ampleur du vol est massive :

« Votre code, vos e-mails, vos messages privés... Tout ce qui s'affiche sur votre écran, ils le voient aussi. »

Concrètement, le logiciel espion récupérait :

• Le contenu du presse-papiers (ce que vous avez copié-collé).

• Les mots de passe Wi-Fi enregistrés.

• Des captures d'écran de votre bureau.

• Les cookies de navigation de Google Chrome et Edge (permettant de pirater vos sessions et comptes en ligne).

Comment ont-ils été repérés ?

Les experts en sécurité ont été alertés par un comportement anormal. Techniquement, un « thème » graphique pour VS Code est un fichier très simple qui ne nécessite pas d'exécuter des actions complexes. Or, celui-ci lançait des commandes à chaque action de l'utilisateur.

De plus, une erreur d'inattention des pirates a facilité l'analyse : ils avaient laissé des commentaires dans leur propre code pour signaler la partie malveillante, probablement pour éviter de la supprimer par erreur lors de leurs propres mises à jour.

Situation actuelle

Microsoft a réagi en supprimant ces extensions de sa boutique officielle entre le 5 et le 8 décembre.

Si vous utilisez VS Code, vérifiez que vous n'avez pas installé l'une des extensions suivantes :

1. BigBlack.bitcoin-noir

2. BigBlack.codo-ai

3. BigBlack.mrbigblacktheme

Note rassurante : La troisième extension de la liste a été supprimée si rapidement qu'elle n'a pas eu le temps de faire de victimes.

Source : Cybernews 

Netyans

Nous avons tous appris cette règle d'or : activez l'authentification à multifacteur (MFA). C'est ce code reçu par SMS ou via une application qui sécurise l'accès à vos comptes même si votre mot de passe est volé.

Mais voilà, les pirates s'adaptent. Une nouvelle tendance inquiétante montre que les attaquants utilisent un outil redoutable appelé Evilginx pour contourner cette sécurité. Comment ? En volant non pas seulement votre mot de passe, mais votre "laissez-passer" numérique : le cookie de session.

Note importante : Des chercheurs ont observé une augmentation drastique de cette technique ciblant particulièrement les établissements d'enseignement, mais aussi les banques et les services en ligne.

Evilginx : L'homme invisible au milieu de la conversation

Imaginez Evilginx comme un traducteur malhonnête placé entre vous et votre banque.

C'est ce qu'on appelle une attaque de type « Attaquant du milieu » (Attacker-in-the-Middle).

1. Le pirate crée un site qui ressemble à s'y méprendre au site officiel.

2. Lorsque vous vous connectez, Evilginx transmet vos informations au vrai site web en temps réel.

3. Pour vous, tout semble normal : le site réagit comme d'habitude car Evilginx fait le relais.

4. Le problème ? En passant par lui, il note tout : votre identifiant, votre mot de passe, et surtout... votre cookie de session.

Le "Cookie de session" : Votre badge d'accès VIP

Pour comprendre l'attaque, il faut comprendre ce qu'est un cookie de session.

Lorsque vous vous connectez à un site (comme Amazon ou Gmail), le site vous donne un fichier temporaire (le cookie). C'est comme le bracelet VIP dans un festival ou un club : une fois que vous l'avez au poignet, vous n'avez plus besoin de montrer votre carte d'identité à chaque fois que vous changez de salle ou commandez un verre.

Normalement, ce bracelet est détruit quand vous vous déconnectez. Mais si un pirate vole ce bracelet pendant qu'il est valide, il peut entrer dans le club en se faisant passer pour vous, sans avoir besoin de votre mot de passe ni de votre code MFA.

Le scénario de l'attaque : Comment ça se passe ?

Voici le déroulement typique d'une attaque Evilginx, étape par étape :

1. L'hameçonnage (Phishing) : Vous recevez un lien (mail, SMS) vers ce qui ressemble à votre page de connexion habituelle (Microsoft 365, banque, etc.).

2. La connexion en confiance : Vous entrez votre mot de passe et votre code de double authentification.

3. Le vol silencieux : Le site légitime valide votre entrée et crée le fameux "cookie de session". Evilginx l'intercepte au passage.

4. L'intrusion : Le pirate possède maintenant votre "bracelet VIP". Il peut naviguer sur votre compte, lire vos emails ou modifier vos paramètres de sécurité. Comme le site pense que c'est toujours vous (puisque le cookie est valide), il ne redemandera pas de code MFA.

Rassurez-vous, pour les virements bancaires importants, les banques demandent souvent une confirmation supplémentaire (authentification forte), ce qui limite la casse financière, mais l'accès à vos données personnelles reste compromis.

Comment se protéger ? 

Les conseils classiques comme "chercher le petit cadenas vert" ne suffisent plus, car Evilginx utilise de vrais certificats de sécurité. Voici comment renforcer votre bouclier numérique :

1. Adoptez un gestionnaire de mots de passe

C'est votre meilleure ligne de défense. Pourquoi ? Parce qu'un gestionnaire de mots de passe (comme SecurePass de Bitdefender) est un robot. Il ne se fait pas avoir par les apparences.

• Si vous êtes sur le vrai site paypal.com, il proposera le mot de passe.

• Si vous êtes sur un faux site (même très bien imité) comme paypa1.com, il refusera de remplir les champs. C'est un signal d'alarme immédiat.

2. Soyez paranoïaque avec les liens

Ne cliquez jamais aveuglément. Si vous recevez un mail vous demandant de vous connecter, ne cliquez pas sur le lien. Ouvrez votre navigateur et tapez l'adresse du site vous-même.

3. En cas de doute : Révoquez tout !

Si vous pensez avoir cliqué sur un lien louche :

• Allez immédiatement dans les paramètres de sécurité de votre compte.

• Cherchez l'option "Se déconnecter de tous les appareils" ou "Révoquer les sessions". Cela détruira tous les "bracelets VIP" en circulation.

• Changez votre mot de passe.

Une dernière chose : Restez vigilant. La cybersécurité est une course permanente entre les attaquants et les défenseurs, mais en utilisant les bons outils (comme un gestionnaire de mots de passe), vous gardez une longueur d'avance.

Netyans

Google vient de publier une mise à jour de sécurité cruciale pour le système Android. Au menu : la correction de deux failles de sécurité importantes (CVE-2025-48633 et CVE-2025-48572) que des pirates utilisaient déjà activement.

De quoi s'agit-il ? 

Ces failles concernent les smartphones tournant sous Android 13, 14, 15 et 16. Elles permettent à des personnes malveillantes de voler des informations ou de prendre le contrôle de certaines fonctions du smartphone. Google a repéré que ces techniques étaient utilisées dans des attaques très ciblées, rappelant les méthodes des logiciels d'espionnage avancés.

Une protection multicouche 

Heureusement, Android ne repose pas que sur une seule ligne de défense. En plus de ces mises à jour mensuelles, le système Google Play Protect analyse vos applications en temps réel pour bloquer les menaces. Cependant, la mise à jour du système reste le rempart le plus efficace.

Ce que vous devez faire :

1. Allez dans vos paramètres et vérifiez si la mise à jour de sécurité est disponible.

2. Installez-la immédiatement.

3. Ne téléchargez jamais d'applications en dehors du Google Play Store (fichiers APK inconnus), car c'est souvent par ce biais que les attaques commencent.

Netyans

La menace : Des automobilistes en Île-de-France et à Lyon découvrent de faux avis de contravention sur leurs véhicules. Ces documents, très réalistes, incitent à payer une amende rapidement via un QR code. Cette menace peut s'étendre à d'autres régions en France.

Le risque : Il s'agit d'une attaque de type "Quishing". Le QR code renvoie vers un site de phishing imitant l'administration fiscale pour voler vos coordonnées bancaires.

Comment réagir ?

1. Ne scannez pas le code.

2. Vérifiez l'URL : Seul le domaine .gouv.fr est légitime.

3. Rappel : À Paris, les PV papiers sur pare-brise n'existent plus.

4. En cas de doute, consultez le site officiel stationnement.gouv.fr en saisissant l'adresse manuellement dans votre navigateur.

Résumé de l'article de  Florian Bayard - Source : 01Net 

Netyans