Actualités Cyber

Ce qui semblait être de simples outils de personnalisation pour Visual Studio Code (le célèbre éditeur de code de Microsoft) s'est avéré être un piège. Des chercheurs de l'entreprise de cybersécurité Koi ont identifié plusieurs extensions malveillantes disponibles directement sur le magasin officiel (le Microsoft Marketplace).

Le piège : un déguisement parfait

Pour tromper la vigilance des utilisateurs, les cybercriminels ont misé sur deux tendances populaires :

• L'esthétique : Un thème sombre « premium » inspiré de l'univers du Bitcoin.

• L'intelligence artificielle : Un assistant de codage censé aider les développeurs.

Le subterfuge était particulièrement sophistiqué pour l'assistant IA. Pour gagner la confiance des victimes, l'extension fonctionnait réellement : elle permettait aux utilisateurs de discuter avec des chatbots (comme ChatGPT). Mais en arrière-plan, le logiciel malveillant s'activait.

Ce que les pirates ont dérobé

Une fois l'extension installée, elle déployait discrètement un outil de capture d'écran modifié (Lightshot) accompagné d'un fichier corrompu. Le but ? Aspirer un maximum de données sensibles.

Selon les chercheurs de Koi, l'ampleur du vol est massive :

« Votre code, vos e-mails, vos messages privés... Tout ce qui s'affiche sur votre écran, ils le voient aussi. »

Concrètement, le logiciel espion récupérait :

• Le contenu du presse-papiers (ce que vous avez copié-collé).

• Les mots de passe Wi-Fi enregistrés.

• Des captures d'écran de votre bureau.

• Les cookies de navigation de Google Chrome et Edge (permettant de pirater vos sessions et comptes en ligne).

Comment ont-ils été repérés ?

Les experts en sécurité ont été alertés par un comportement anormal. Techniquement, un « thème » graphique pour VS Code est un fichier très simple qui ne nécessite pas d'exécuter des actions complexes. Or, celui-ci lançait des commandes à chaque action de l'utilisateur.

De plus, une erreur d'inattention des pirates a facilité l'analyse : ils avaient laissé des commentaires dans leur propre code pour signaler la partie malveillante, probablement pour éviter de la supprimer par erreur lors de leurs propres mises à jour.

Situation actuelle

Microsoft a réagi en supprimant ces extensions de sa boutique officielle entre le 5 et le 8 décembre.

Si vous utilisez VS Code, vérifiez que vous n'avez pas installé l'une des extensions suivantes :

1. BigBlack.bitcoin-noir

2. BigBlack.codo-ai

3. BigBlack.mrbigblacktheme

Note rassurante : La troisième extension de la liste a été supprimée si rapidement qu'elle n'a pas eu le temps de faire de victimes.

Source : Cybernews 

Netyans

Nous avons tous appris cette règle d'or : activez l'authentification à multifacteur (MFA). C'est ce code reçu par SMS ou via une application qui sécurise l'accès à vos comptes même si votre mot de passe est volé.

Mais voilà, les pirates s'adaptent. Une nouvelle tendance inquiétante montre que les attaquants utilisent un outil redoutable appelé Evilginx pour contourner cette sécurité. Comment ? En volant non pas seulement votre mot de passe, mais votre "laissez-passer" numérique : le cookie de session.

Note importante : Des chercheurs ont observé une augmentation drastique de cette technique ciblant particulièrement les établissements d'enseignement, mais aussi les banques et les services en ligne.

Evilginx : L'homme invisible au milieu de la conversation

Imaginez Evilginx comme un traducteur malhonnête placé entre vous et votre banque.

C'est ce qu'on appelle une attaque de type « Attaquant du milieu » (Attacker-in-the-Middle).

1. Le pirate crée un site qui ressemble à s'y méprendre au site officiel.

2. Lorsque vous vous connectez, Evilginx transmet vos informations au vrai site web en temps réel.

3. Pour vous, tout semble normal : le site réagit comme d'habitude car Evilginx fait le relais.

4. Le problème ? En passant par lui, il note tout : votre identifiant, votre mot de passe, et surtout... votre cookie de session.

Le "Cookie de session" : Votre badge d'accès VIP

Pour comprendre l'attaque, il faut comprendre ce qu'est un cookie de session.

Lorsque vous vous connectez à un site (comme Amazon ou Gmail), le site vous donne un fichier temporaire (le cookie). C'est comme le bracelet VIP dans un festival ou un club : une fois que vous l'avez au poignet, vous n'avez plus besoin de montrer votre carte d'identité à chaque fois que vous changez de salle ou commandez un verre.

Normalement, ce bracelet est détruit quand vous vous déconnectez. Mais si un pirate vole ce bracelet pendant qu'il est valide, il peut entrer dans le club en se faisant passer pour vous, sans avoir besoin de votre mot de passe ni de votre code MFA.

Le scénario de l'attaque : Comment ça se passe ?

Voici le déroulement typique d'une attaque Evilginx, étape par étape :

1. L'hameçonnage (Phishing) : Vous recevez un lien (mail, SMS) vers ce qui ressemble à votre page de connexion habituelle (Microsoft 365, banque, etc.).

2. La connexion en confiance : Vous entrez votre mot de passe et votre code de double authentification.

3. Le vol silencieux : Le site légitime valide votre entrée et crée le fameux "cookie de session". Evilginx l'intercepte au passage.

4. L'intrusion : Le pirate possède maintenant votre "bracelet VIP". Il peut naviguer sur votre compte, lire vos emails ou modifier vos paramètres de sécurité. Comme le site pense que c'est toujours vous (puisque le cookie est valide), il ne redemandera pas de code MFA.

Rassurez-vous, pour les virements bancaires importants, les banques demandent souvent une confirmation supplémentaire (authentification forte), ce qui limite la casse financière, mais l'accès à vos données personnelles reste compromis.

Comment se protéger ? 

Les conseils classiques comme "chercher le petit cadenas vert" ne suffisent plus, car Evilginx utilise de vrais certificats de sécurité. Voici comment renforcer votre bouclier numérique :

1. Adoptez un gestionnaire de mots de passe

C'est votre meilleure ligne de défense. Pourquoi ? Parce qu'un gestionnaire de mots de passe (comme SecurePass de Bitdefender) est un robot. Il ne se fait pas avoir par les apparences.

• Si vous êtes sur le vrai site paypal.com, il proposera le mot de passe.

• Si vous êtes sur un faux site (même très bien imité) comme paypa1.com, il refusera de remplir les champs. C'est un signal d'alarme immédiat.

2. Soyez paranoïaque avec les liens

Ne cliquez jamais aveuglément. Si vous recevez un mail vous demandant de vous connecter, ne cliquez pas sur le lien. Ouvrez votre navigateur et tapez l'adresse du site vous-même.

3. En cas de doute : Révoquez tout !

Si vous pensez avoir cliqué sur un lien louche :

• Allez immédiatement dans les paramètres de sécurité de votre compte.

• Cherchez l'option "Se déconnecter de tous les appareils" ou "Révoquer les sessions". Cela détruira tous les "bracelets VIP" en circulation.

• Changez votre mot de passe.

Une dernière chose : Restez vigilant. La cybersécurité est une course permanente entre les attaquants et les défenseurs, mais en utilisant les bons outils (comme un gestionnaire de mots de passe), vous gardez une longueur d'avance.

Netyans

Google vient de publier une mise à jour de sécurité cruciale pour le système Android. Au menu : la correction de deux failles de sécurité importantes (CVE-2025-48633 et CVE-2025-48572) que des pirates utilisaient déjà activement.

De quoi s'agit-il ? 

Ces failles concernent les smartphones tournant sous Android 13, 14, 15 et 16. Elles permettent à des personnes malveillantes de voler des informations ou de prendre le contrôle de certaines fonctions du smartphone. Google a repéré que ces techniques étaient utilisées dans des attaques très ciblées, rappelant les méthodes des logiciels d'espionnage avancés.

Une protection multicouche 

Heureusement, Android ne repose pas que sur une seule ligne de défense. En plus de ces mises à jour mensuelles, le système Google Play Protect analyse vos applications en temps réel pour bloquer les menaces. Cependant, la mise à jour du système reste le rempart le plus efficace.

Ce que vous devez faire :

1. Allez dans vos paramètres et vérifiez si la mise à jour de sécurité est disponible.

2. Installez-la immédiatement.

3. Ne téléchargez jamais d'applications en dehors du Google Play Store (fichiers APK inconnus), car c'est souvent par ce biais que les attaques commencent.

Netyans

La menace : Des automobilistes en Île-de-France et à Lyon découvrent de faux avis de contravention sur leurs véhicules. Ces documents, très réalistes, incitent à payer une amende rapidement via un QR code. Cette menace peut s'étendre à d'autres régions en France.

Le risque : Il s'agit d'une attaque de type "Quishing". Le QR code renvoie vers un site de phishing imitant l'administration fiscale pour voler vos coordonnées bancaires.

Comment réagir ?

1. Ne scannez pas le code.

2. Vérifiez l'URL : Seul le domaine .gouv.fr est légitime.

3. Rappel : À Paris, les PV papiers sur pare-brise n'existent plus.

4. En cas de doute, consultez le site officiel stationnement.gouv.fr en saisissant l'adresse manuellement dans votre navigateur.

Résumé de l'article de  Florian Bayard - Source : 01Net 

Netyans

La Fédération Française de Football (FFF) a officialisé, le mercredi 26 novembre 2025, une intrusion informatique ayant visé son logiciel de gestion administrative, Footclubs. C'est la troisième fois en moins de deux ans que l'instance sportive doit faire face à un incident de cybersécurité majeur.

Le vecteur d'attaque : une compromission de compte Selon le communiqué de la Fédération, l'attaque ne résulte pas d'une faille logicielle directe, mais de l'exploitation d'un compte utilisateur compromis. Cette intrusion a permis aux attaquants d'accéder frauduleusement à la base de données des licenciés.

Les premiers signes de l'attaque sont apparus le lundi 24 novembre, lorsque de nombreux clubs, ligues et districts ont signalé des dysfonctionnements et des réinitialisations inopinées d'accès sur l'application.

Nature des données exfiltrées 

Si la FFF se veut rassurante en précisant qu'aucune donnée bancaire ou mot de passe n'a été compromis, l'incident concerne tout de même un volume important de Données à Caractère Personnel (DCP). Les informations exposées incluent :

• Identité (Nom, prénom, genre, nationalité)

• Date et lieu de naissance

• Coordonnées (Adresse postale, email, téléphone)

• Numéro de licence

Réaction et remédiation 

Dès la détection, les équipes IT de la FFF ont procédé à la désactivation du compte incriminé et forcé la réinitialisation de l'ensemble des mots de passe utilisateurs. Une plainte a été déposée et les notifications obligatoires auprès de la CNIL et de l'ANSSI ont été effectuées.

Les licenciés concernés seront notifiés individuellement. La vigilance est de mise face aux risques accrus de phishing (hameçonnage) qui suivent généralement ce type de fuite.

Netyans

Le Black Friday est synonyme de bonnes affaires, mais cette année, il est surtout le terrain de jeu d'une campagne de fraude industrielle.

Une nouvelle vague d'escroqueries particulièrement sophistiquée cible actuellement les acheteurs en ligne. Contrairement aux tentatives grossières du passé, cette opération utilise des publicités malveillantes sur des sites légitimes pour rediriger les internautes vers de fausses enquêtes de satisfaction, promettant des récompenses luxueuses au nom de grandes marques.

L'objectif ? Vous faire payer des "frais de port" minimes pour récupérer l'intégralité de vos données bancaires.

Comment fonctionne l'arnaque ?

Les cybercriminels ont mis en place un processus en plusieurs étapes, conçu pour endormir la méfiance de la victime :

1. La redirection invisible : Tout commence par un clic (ou parfois un simple défilement) sur une publicité apparemment inoffensive. Sans que vous le voyiez, vous êtes redirigé à travers une série de sites jusqu'à une page frauduleuse.

2. L'appât de la marque : Vous atterrissez sur une page très professionnelle aux couleurs d'une enseigne connue (Walmart, LEGO, etc.). Le design est soigné, avec un faux compte à rebours pour créer l'urgence.

3. Le sondage bidon : On vous demande de répondre à quelques questions génériques pour gagner un prix exclusif.

4. Le piège final : On vous annonce que vous avez gagné (ex: un kit Starlink ou un set LEGO). Pour le recevoir, il suffit de payer des frais de livraison dérisoires (entre 6,99€ et 11,99€).

Le danger réel : Ce n'est pas la perte des 10€, mais le vol de votre identité complète et des numéros de votre carte bancaire (y compris le CVV) saisis dans le formulaire.

Les marques et produits utilisés comme appâts

Les escrocs suivent les tendances à la trace. Ils ne proposent pas de vieux stocks, mais les produits les plus recherchés de cette fin d'année 2025. Plus de 100 domaines frauduleux ont été identifiés, usurpant l'identité de marques comme :

• High-Tech : Starlink (notamment le kit Mini), YETI.

• Loisirs : LEGO (sets Titanic ou Falcon), Coca-Cola.

• Mode & Beauté : Louis Vuitton, Ulta Beauty, et des vêtements style Lululemon.

• Grande distribution & Bricolage : Walmart, Home Depot, Lowe’s.

Pourquoi tant de gens tombent dans le panneau ?

Cette campagne est redoutable car elle exploite parfaitement la psychologie du consommateur en période de fêtes :

• La crédibilité : Les sites sont techniquement parfaits (logos, charte graphique, absence de fautes évidentes).

• Le contexte : Pendant le Black Friday, s'attendre à des offres "folles" semble normal.

• L'urgence : Les compteurs ("Plus que 6 minutes !") poussent à agir sans réfléchir.

• Le faible coût : Payer 7 € de livraison pour un cadeau qui en vaut 100 semble être un risque minime.

 Comment vous protéger ?

Si vous tombez sur une offre de "cadeau gratuit" contre une simple enquête :

1. Vérifiez l'URL : Regardez attentivement la barre d'adresse. Si ce n'est pas le site officiel de la marque (ex: walmart-survey-rewards.com au lieu de walmart.com), fuyez.

2. Méfiez-vous de la gratuité : Les grandes marques ne donnent pas de produits coûteux (comme des valises Louis Vuitton ou des kits Starlink) via des pop-ups aléatoires.

3. Ne payez jamais pour un gain : Si vous devez sortir votre carte bancaire pour recevoir un "cadeau", c'est une arnaque.

4. Surveillez vos comptes : Si vous pensez avoir été piégé, bloquez immédiatement votre carte bancaire.

Afin de pallier les risques de redirections malveillantes identifiés durant cette campagne, l'activation de solution telle que Malwarebytes Browser Guard  (gratuite) est vivement recommandée. 

Netyans

Face à la pression croissante des régulateurs et à la multiplication des plaintes, le géant du jeu vidéo Roblox opère un virage sécuritaire majeur. L'entreprise a annoncé le 18 novembre 2025 l'imposition d'une vérification d'âge par reconnaissance faciale pour accéder aux fonctionnalités de communication.

Une segmentation biométrique des utilisateurs

Le dispositif repose sur une approche technique stricte visant à cloisonner les interactions :

• Vérification par selfie : L'utilisateur devra soumettre un selfie analysé par une IA pour estimer son âge réel.

• Silos de communication : Une fois l'âge validé, les joueurs seront assignés à des groupes spécifiques (ex : 9-12 ans, 13-15 ans).

• Restriction des flux : Le chat sera techniquement verrouillé pour n'autoriser les échanges qu'entre membres d'une même tranche d'âge. L'objectif est de rendre impossible le contact direct entre un adulte et un mineur via la plateforme.

Un déploiement progressif

Matt Kaufman, responsable de la sécurité chez Roblox, présente cette mesure comme une réponse au défi technique de la modération à grande échelle. Le calendrier de déploiement est le suivant :

• Décembre 2025 : Phase pilote aux Pays-Bas, en Australie et en Nouvelle-Zélande.

• Janvier 2026 : Extension du dispositif aux autres pays.

Le contexte : Roblox sous le feu des critiques

Cette décision intervient alors que la plateforme, forte de 151,5 millions d'utilisateurs quotidiens, fait face à de lourdes actions en justice aux États-Unis (Texas, Floride, Kentucky).

Les procureurs accusent Roblox de négligence, qualifiant la plateforme de « vivier de prédateurs » et reprochant à l'entreprise d'avoir trompé les parents sur la sécurité réelle de leurs enfants. En automatisant la vérification d'âge, Roblox tente de prouver sa bonne foi et de "montrer l'exemple", bien que de nombreux observateurs jugent cette réaction tardive face aux risques d'exploitation et de contenus inappropriés.

Netyans

Un nouveau type de logiciel malveillant, baptisé DigitStealer, cible les utilisateurs de macOS avec un niveau de sophistication rarement observé. Conçu pour échapper à la détection, cibler les machines récentes et opérer sans laisser de traces, ce voleur d'informations représente une menace sérieuse.

Nous plongeons dans l'analyse de son fonctionnement unique et vous fournissons les étapes essentielles pour protéger votre Mac contre cette menace furtive.

Qu'est-ce que DigitStealer et pourquoi est-il différent ?

Des chercheurs en sécurité ont récemment mis en lumière DigitStealer, un infostealer (voleur d'informations) conçu pour dérober des données sensibles, des mots de passe et des fichiers.

Bien que la majorité des voleurs d'informations ciblent le même type de données, DigitStealer se distingue par une combinaison de techniques avancées :

• Ciblage de plateforme spécifique : Il vise exclusivement les Mac équipés des puces Apple Silicon les plus récentes (M2 ou ultérieures), ignorant délibérément les anciens processeurs Intel, les versions plus anciennes d'Apple Silicon et la plupart des machines virtuelles.

• Techniques anti-analyse : Le logiciel malveillant vérifie la configuration régionale et l'environnement d'exécution. S'il détecte une machine virtuelle ou une région non désirée (souvent pour éviter d'infecter des victimes dans son pays d'origine et échapper aux poursuites), il refuse de s'exécuter.

• Fonctionnement sans fichier (Fileless) : C'est son atout majeur. La charge utile s'exécute principalement en mémoire vive (RAM) plutôt que sur le disque dur.

L'avantage de l'attaque sans fichier

Les attaques sans fichier sont redoutables et constituent un défi croissant pour les solutions de sécurité traditionnelles.

• Contournement des systèmes classiques : En opérant en mémoire, DigitStealer contourne les antivirus basés sur la détection par signature de fichier, qui sont incapables d'identifier un code qui n'est jamais stocké de manière permanente sur le disque.

• Complexité de l'investigation : L'absence de fichiers malveillants sur le disque rend la tâche des experts en criminalistique numérique beaucoup plus ardue, limitant les traces pour remonter à la source de l'infection.

Le déroulement de l'attaque

L'infection par DigitStealer est ingénieuse et repose sur l'ingénierie sociale :

1. Le piège initial : L'utilisateur est attiré vers un faux site web où il télécharge un fichier se faisant passer pour une application utilitaire légitime, nommé « DynamicLake ».

2. L'Erreur d'exécution : Ce fichier incite l'utilisateur à effectuer un glisser-déposer dans le Terminal. Cette action lance le téléchargement discret et l'installation de DigitStealer.

3. Phase 1 : Vol de fichiers clés : Après avoir potentiellement demandé le mot de passe de l'utilisateur, le logiciel malveillant s'attaque aux documents, notes et fichiers personnels, qui sont ensuite exfiltrés vers les serveurs de l'attaquant.

4. Phase 2 : Vol d'identifiants et de données Sensibles : La deuxième étape cible spécifiquement les mots de passe du trousseau de clés, les configurations VPN (OpenVPN, Tunnelblick), les sessions Telegram, les portefeuilles de cryptomonnaies et les informations stockées dans les navigateurs populaires (Chrome, Brave, Edge, Firefox).

Comment protéger efficacement votre Mac

DigitStealer prouve que la sécurité des Mac nécessite une approche moderne et comportementale. Voici les mesures essentielles :

1. Misez sur la sécurité comportementale

Votre logiciel de sécurité ne doit pas se contenter d'analyser les signatures de fichiers. Il doit disposer d'une protection en temps réel avancée capable d'identifier et de bloquer les actions suspectes et l'exécution de code en mémoire (protection comportementale).

2. Méfiance absolue envers le terminal

Ne suivez jamais des instructions non sollicitées vous demandant d'exécuter des commandes ou d'y glisser-déposer des fichiers. Le Terminal est un outil puissant qui, s'il est mal utilisé, peut donner un accès total à votre système.

3. Téléchargez UNIQUEMENT depuis des sources officielles

Toutes vos applications doivent provenir du Mac App Store ou du site web officiel et vérifié de l'éditeur. Évitez les liens de téléchargement tiers ou les sites d'agrégation d'applications.

4. Mises à jour systématiques

Maintenez votre système d'exploitation (macOS) et toutes vos applications à jour. Les mises à jour de sécurité corrigent les failles que les attaquants cherchent constamment à exploiter.

5. Authentification Multi-Facteurs (MFA)

Activez l'authentification multifacteurs sur tous vos comptes en ligne sensibles. Même si un mot de passe est volé par DigitStealer, le MFA empêchera l'attaquant d'accéder à votre compte sans le second facteur de vérification.

L'évolution de DigitStealer est un rappel que l'écosystème Mac est une cible de plus en plus sophistiquée. La vigilance et une protection moderne, basée sur le comportement, sont aujourd'hui indispensables. Malwarebytes pour Mac détecte DigitStealer sous le nom MacOA.Stealer.DigitSteal. 

Netyans

L'incident survenu récemment à la Mairie de Quimper met en lumière la vulnérabilité des plateformes numériques, même celles gérées par des entités publiques. Le 18 novembre 2025, la ville a confirmé une intrusion malveillante sur son système de prise de rendez-vous pour les documents d'identité.

• L'enjeu : 12 000 lignes de contact (nom, prénom, adresse, téléphone) de citoyens ayant demandé un renouvellement de pièce d'identité depuis avril 2024 ont été compromises.

• La bonne nouvelle (relative) : Aucune donnée sensible (pièce d'identité, données financières, mots de passe) n'a été dérobée.

Cet événement, loin d'être isolé, rappelle que la cybermenace est omniprésente et nécessite une vigilance et une protection accrues.

Quand la cybermenace frappe les services publics

L'actualité récente, avec l'attaque ciblant la plateforme de prise de rendez-vous de la Ville de Quimper, confirme une tendance inquiétante : les collectivités sont des cibles privilégiées.

Une faille de sécurité a permis l'exfiltration de près de 12 000 dossiers de contact (incluant noms, adresses e-mail, numéros de téléphone) de citoyens. Bien que la Mairie ait réagi rapidement (suspension de l'application, notification CNIL et dépôt de plainte), le mal est fait : ces données non sensibles pourraient être exploitées pour des tentatives de phishing ou d'escroquerie (usurpation du faux conseiller bancaire, etc.).

C'est la preuve qu'une simple base de données de contacts est un trésor pour les cybercriminels.

Que retenir de cet incident ?

• La réactivité est clé : Quimper a réagi en suspendant le service et en informant les autorités.

• La prévention est vitale : Des audits de sécurité réguliers et des systèmes de détection d'intrusion robustes sont indispensables pour éviter l'exportation massive de données.

• La sensibilisation des utilisateurs : La ville a dû alerter les citoyens à se méfier des démarchages inhabituels.

Les points de vigilance cruciaux

L'incident de cybersécurité touchant le système de gestion des rendez-vous de la Mairie de Quimper doit servir de signal d'alarme :

1. La surface d'attaque : Chaque application en ligne (même pour une simple prise de rendez-vous) est une porte d'entrée potentielle. L'attaque a exposé les coordonnées de 12 000 personnes.

2. L'Impact au-delà du sensible : Même sans vol de mots de passe ou de données financières, les coordonnées (nom, téléphone, email) suffisent à lancer des campagnes de fraude ciblées.

3. L'Urgence de la mise en conformité : La notification à la CNIL et le dépôt de plainte témoignent de la nécessité d'une gestion de crise structurée, conformément aux exigences réglementaires.

Netyans

L'Urssaf et Pajemploi ont été touchés par un incident de cybersécurité important. L'événement, rendu public par un communiqué ce lundi 17 novembre, met en lumière une violation de données à caractère personnel qui aurait pu impacter un nombre colossal d'utilisateurs.

L'Ampleur de l'incident et les données exposées

L'Urssaf a confirmé avoir été victime d'un acte de cybermalveillance qui a potentiellement mené à l'extraction illicite de données sensibles. L'organisme estime que la violation a pu concerner jusqu'à 1,2 million de personnes, majoritairement des salariés de particuliers employeurs utilisant Pajemploi.

Le périmètre des données compromises inclut :

• Identité : Noms, prénoms, date et lieu de naissance.

• Informations administratives : Adresse postale, numéro de Sécurité sociale.

• Détails professionnels : Numéro Pajemploi et numéro d’agrément.

• Données bancaires partielles : Nom de l’établissement bancaire.

Il est crucial de noter, selon l'Urssaf, que les informations les plus critiques ne semblent pas avoir été affectées. L'organisme insiste sur le fait qu'« aucun numéro de compte bancaire (IBAN), aucune adresse mail, aucun numéro de téléphone ou mot de passe de connexion ne sont concernés ».

Chronologie et rôle de l'Anssi

L'Urssaf a initialement évoqué une cyberattaque « constatée le 14 novembre », indiquant avoir immédiatement réagi pour « identifier les causes, y mettre fin et renforcer la protection » de ses systèmes.

Cependant, la réalité de la découverte de l'incident se révèle plus nuancée. Suite à une sollicitation de la presse, la direction de la communication de l'Urssaf a précisé que c'est en réalité l’Agence nationale de la sécurité des systèmes d'information (Anssi) qui a alerté l'organisme. L'Anssi a signalé l'incident le 14 novembre après avoir détecté des données à caractère personnel en circulation sur le Darknet, confirmant ainsi une fuite active.

Mesures de sécurité et priorités

Dès l'identification de l'incident, l'Urssaf affirme avoir pris une série de mesures :

• Sécurisation immédiate des systèmes pour empêcher toute nouvelle intrusion.

• Lancement d'une enquête approfondie menée en collaboration avec l'Anssi et les autorités compétentes.

• Notification de la fuite à l'Anssi, conformément aux procédures légales.

• Dépôt imminent d'une plainte pénale pour faire valoir ses droits.

La priorité de l'Urssaf est désormais double : « renforcer la protection des données des salariés et les informer ».

Le silence sur la méthode d'attaque

L'organisme a clairement exprimé son intention de ne pas divulguer les détails de l'intrusion, déclarant : « nous n’avons pas la volonté de faire état des techniques d’attaques des cybercriminels ».

Bien que compréhensible pour ne pas fournir de blueprints (l'ensemble des spécifications techniques ou des étapes méthodologiques claires et reproductibles pour construire ou, dans le contexte d'une cyberattaque, pour exécuter une opération) aux attaquants, ce manque de transparence sur la méthode d'attaque (vecteur initial, vulnérabilité exploitée) limite l'apprentissage collectif et la sensibilisation générale des DSI et RSSI d'autres entités. Il faudra suivre les conclusions de l'enquête pour évaluer les failles qui ont permis cet accès.

Netyans

Google vient de déployer un correctif d'urgence pour une vulnérabilité critique découverte dans le moteur JavaScript V8 de Chrome. Cette faille de sécurité concerne tous les utilisateurs, quelle que soit leur plateforme (Windows, Mac, Linux et Android).

Le risque

La vulnérabilité, décrite comme une « implémentation inappropriée », est grave. Un attaquant pourrait l'exploiter en utilisant un site web piégé contenant du code JavaScript malveillant.

L'exploitation réussie de cette faille peut permettre à un cybercriminel de :

• Faire planter le navigateur.

• Contourner les mécanismes de sécurité.

• Exécuter du code arbitraire, pouvant mener à une prise de contrôle de votre système.

Contexte : Le moteur V8, une cible répétée

Ce n'est pas la première fois que le moteur V8 est ciblé. Cette année seulement, Google a déjà dû corriger sept failles critiques dans ce composant, dont une vulnérabilité "zero-day" activement exploitée en juin. Le V8 reste une cible privilégiée car il gère l'exécution du code sur la quasi-totalité des sites web modernes.

Action requise : Mettez à jour

Google a intégré le correctif dans la version 142.0.7444.162/.163 de Chrome.

Pour appliquer la mise à jour, ouvrez le menu Chrome, allez dans « À propos de Google Chrome », et cliquez sur « Relancer » pour finaliser l'installation. Nous recommandons fortement d'activer les mises à jour automatiques.

Netyans

Gros coup de filet pour la cybersécurité mondiale ! Si vous craignez pour la sécurité de vos données, voici une nouvelle qui va vous redonner le sourire. Une opération d'envergure, baptisée "Endgame" et coordonnée par Europol, vient de mettre hors d'état de nuire trois familles de logiciels malveillants particulièrement dangereux.

Entre le 10 et le 14 novembre, une coalition internationale a frappé un grand coup, neutralisant plus de 1 000 serveurs utilisés par des cybercriminels. Résultat : des centaines de milliers d'ordinateurs, souvent infectés à l'insu de leurs propriétaires, ont été libérés.

Les cibles : Un voleur de données, un "cheval de Troie" et une armée de "zombies"

Cette opération ne visait pas n'importe quels virus. Les forces de l'ordre ont neutralisé un trio tristement célèbre dans le milieu du piratage :

1. Rhadamanthys : Le pilleur de données Ce logiciel est ce qu'on appelle un "infostealer" (voleur d'informations). Une fois sur votre machine, il agissait comme un cambrioleur numérique, capable de siphonner une montagne de données sensibles : mots de passe, identifiants bancaires, historiques de navigation et même vos précieux portefeuilles de cryptomonnaies.

2. VenomRAT : L'espion aux commandes Celui-ci est un "cheval de Troie d'accès à distance" (RAT). Concrètement, il donnait aux pirates une télécommande pour prendre le contrôle total de votre ordinateur. Ils pouvaient voir votre écran, activer votre webcam ou voler vos fichiers sans que vous ne vous en rendiez compte.

3. Elysium : L'armée fantôme Elysium était un "botnet". Imaginez un réseau de milliers d'ordinateurs infectés à travers le monde, transformés en "zombies" à la solde des pirates. Ces derniers utilisaient cette armée numérique pour mener des attaques d'envergure, envoyer des spams ou miner de la cryptomonnaie en utilisant la puissance de vos machines.

Une coalition internationale frappe fort

Pour réussir ce tour de force, Europol a pu compter sur l'aide des autorités de 11 pays, dont la France, l'Allemagne, les États-Unis, le Royaume-Uni et le Canada.

L'impact est massif :

• 1 025 serveurs malveillants ont été démantelés à travers le monde.

• 20 noms de domaine utilisés pour diffuser les virus ont été saisis.

• Des centaines de milliers d'ordinateurs ont été déconnectés de ces réseaux criminels.

Les autorités ont souligné que "de nombreuses victimes ignoraient que leurs systèmes étaient infectés".

Un butin colossal et une arrestation clé

En démantelant ces réseaux, les enquêteurs ont mis la main sur un véritable trésor de données volées. L'infrastructure contenait des millions d'identifiants personnels qui ne sont désormais plus entre les mains des pirates.

L'un des principaux suspects, soupçonné d'un vol massif de données, avait apparemment accès à plus de 100 000 portefeuilles de cryptomonnaies, représentant un butin potentiel de plusieurs millions d'euros.

L'opération ne s'est pas limitée au numérique : 11 perquisitions ont eu lieu en Europe, menant à l'arrestation en Grèce d'un cybercriminel soupçonné d'être à l'origine de VenomRAT.

C'est une victoire majeure pour l'opération "Endgame", qui avait déjà ciblé d'autres virus comme Qakbot ou Trickbot. La lutte continue cependant, car certains malwares, comme le redoutable Danabot, tentent déjà de refaire surface.

Netyans

Pour aller plus loin : Netyans recommande Sophos Home pour neutraliser les virus sur vos appareils. Avec 1 abonnement, 10 appareils protégés !

Des experts en cybersécurité ont découvert une campagne de phishing de grande ampleur visant spécifiquement le secteur de l'hôtellerie. Les pirates piègent les gérants d'hôtels pour leur voler leurs mots de passe professionnels et installer un dangereux logiciel espion (appelé "PureRAT").

La méthode d'attaque : L'arnaque à l'email

Tout commence par un email frauduleux. Voici comment les pirates procèdent :

• L'appât : Ils envoient des emails aux hôtels en se faisant passer pour le site Booking.com.

• Le piège : L'email contient un lien qui redirige le gérant de l'hôtel vers un faux site web.

• La manipulation : Ce site utilise une technique appelée "ClickFix". Il ressemble à une page de sécurité (comme un test "reCAPTCHA") demandant à l'utilisateur d'effectuer une action pour "sécuriser sa connexion".

• L'infection : En réalité, cette action (souvent copier-coller une ligne de code) déclenche l'installation du logiciel espion PureRAT sur l'ordinateur de l'hôtel.

Le but des pirates : Voler les accès et arnaquer les clients 

L'objectif final de cette attaque est double :

• Voler les identifiants : Les pirates veulent récupérer les mots de passe des hôtels pour se connecter à leurs comptes sur les plateformes de réservation (comme Booking.com ou Expedia).

• Arnaquer les clients : Une fois qu'ils ont le contrôle du compte de l'hôtel, les pirates contactent les clients ayant une réservation. Ils leur envoient un message (par WhatsApp ou email) en utilisant leurs vraies informations de réservation pour paraître crédibles. Ils exigent ensuite du client qu'il "confirme" sa réservation en cliquant sur un lien et en fournissant à nouveau ses informations de carte bancaire, sous peine d'annulation. L'argent est ainsi volé.

Le "PureRAT" : Un virus très puissant 

Le logiciel malveillant installé (PureRAT) est un outil d'espionnage complet. Une fois sur l'ordinateur, il permet aux pirates de :

• Prendre le contrôle total de l'ordinateur (souris et clavier).

• Enregistrer tout ce qui est tapé (y compris d'autres mots de passe).

• Activer la webcam et le micro à l'insu de l'utilisateur.

• Voler ou télécharger n'importe quel fichier présent sur l'ordinateur.

Un marché noir très organisé 

Cette attaque n'est pas l'œuvre d'amateurs. Les experts décrivent un véritable "écosystème" criminel :

• Vente de données : Les accès volés aux comptes des hôtels (Booking, Expedia, Airbnb...) sont considérés comme une marchandise précieuse et sont revendus sur des forums de pirates.

• Sous-traitance : Les cerveaux de l'arnaque engagent des "spécialistes" (appelés "traffers") dont le seul travail est de diffuser le virus le plus largement possible.

• Outils automatisés : Il existe même des "bots" (robots logiciels) sur des messageries comme Telegram qui achètent et vérifient automatiquement si les mots de passe volés fonctionnent toujours.

• Une fraude "en kit" : En décomposant l'attaque (un groupe vole, un autre revend, un autre arnaque), les criminels rendent ce type de fraude plus facile à réaliser pour un plus grand nombre de personnes et augmentent leurs profits.

L'attaque devient de plus en plus sophistiquée

Les chercheurs ont remarqué que les fausses pages de "sécurité" (ClickFix) utilisées pour piéger les gérants sont de plus en plus convaincantes :

• Plus crédibles : Elles affichent désormais des vidéos, des comptes à rebours ou de faux compteurs ("X utilisateurs vérifiés") pour rassurer la victime.

• Plus intelligentes : La page s'adapte à l'ordinateur de la victime. Elle affichera des instructions différentes si l'utilisateur est sur Windows ou sur un Mac.

• Plus discrètes : La technique la plus récente copie automatiquement le code malveillant dans le "presse-papiers" (la mémoire du "copier-coller") de l'utilisateur. La victime n'a plus qu'à "coller" le code elle-même, pensant suivre une procédure de sécurité normale.

Netyans 

Pour aller plus loin : Des solutions existent pour détecter les fausses pages web et la technique "ClickFix".  Netyans recommande Bitdefender. 

Apple vient de publier des correctifs de sécurité majeurs. Si vous possédez un iPhone, iPad, Mac, une Apple Watch ou une Apple TV, vous devez faire la mise à jour dès que possible.

Pourquoi est-ce si important ?

Ces mises à jour corrigent environ 50 failles de sécurité.

Avant ces correctifs, des pirates pouvaient potentiellement :

• Voler vos données personnelles.

• Prendre en partie le contrôle de votre appareil.

• Désactiver vos protections de sécurité.

Installer ces mises à jour est la seule façon de protéger vos informations et de sécuriser vos appareils contre ces menaces.

Deux exemples de failles graves qui ont été corrigées

Pour vous donner une idée du danger, voici deux des problèmes les plus sérieux qui sont maintenant résolus :

1. L'espionnage de vos applications (CVE-2025-43442)

   • Le problème : Cette faille était liée à un problème d'autorisation. Une application malveillante pouvait l'exploiter pour scanner et identifier toutes les autres applications installées sur l'appareil. 

   • Le risque : Imaginez un cheval de Troie bancaire. S'il peut voir que vous utilisez l'application "MaBanque X" et "Portefeuille Crypto Y", il peut alors lancer des attaques d'ingénierie sociale (phishing) très ciblées et crédibles pour vous piéger. 

2. Le vol d'informations par capture d'écran (CVE-2025-43455)

   • Le problème : Une autre faille permettait à un logiciel espion de prendre des captures d'écran de votre appareil sans que vous le sachiez.

   • Le risque : L'application malveillante pouvait ainsi "photographier" vos mots de passe, vos numéros de carte bancaire ou vos messages privés lorsque vous les tapiez.

Netyans

Le spectaculaire cambriolage des joyaux de la couronne en octobre 2025 expose au grand jour les défaillances critiques de la cybersécurité du Louvre. Une enquête révèle que l'infrastructure informatique du musée est totalement obsolète, combinant des mots de passe d'une simplicité alarmante, comme "LOUVRE" pour la vidéosurveillance, et des logiciels dépassés (Windows 2000, XP ou Server 2003) qui ne reçoivent plus de mises à jour.

Ces vulnérabilités béantes, qui affectent les systèmes de sûreté les plus critiques (alarmes, badges d'accès, caméras), ne sont pas nouvelles. Des audits menés par l'ANSSI dès 2014, puis par d'autres instituts en 2017, avaient déjà pointé ces "dysfonctionnements techniques" et cette maintenance négligée.

Pendant plus d'une décennie, ces avertissements répétés ont été ignorés, laissant des failles majeures non corrigées jusqu'à ce que le vol récent mette ce scandale en lumière.

Netyans - Source : Libération

Pour aller plus loin : La sécurité informatique est essentielle ! Netyans propose ici des solutions récentes et reconnues robustes pour les EI/TPE/PME

Les bornes de recharge pour véhicules électriques sont la cible de cyberattaques. Le risque principal est le "quishing" : des escrocs collent de faux QR codes sur les bornes pour rediriger vers des sites frauduleux et voler vos coordonnées bancaires. Dans le Loiret, en 2024, plusieurs conducteurs se sont ainsi fait piéger, perdant des dizaines d'euros. D'autres menaces incluent le piratage des bornes ou des réseaux opérateurs, entraînant des fuites de données personnelles.

Pour vous protéger, adoptez ces 4 réflexes :

1. Utilisez l'application officielle de l'opérateur plutôt que le QR code de la borne (surtout s'il semble suspect).

2. Évitez les Wi-Fi publics ; privilégiez votre connexion mobile (4G/5G).

3. Vérifiez l'adresse (URL) du site web avant tout paiement.

4. Restez attentif : utilisez des opérateurs reconnus et signalez toute anomalie.

Netyans

Pour aller plus loin : En complément de votre vigilance, protégez-vous avec une solution capable de détecter les sites frauduleux comme Bitdefender, bénéficiez ici d'une remise grâce à Netyans !

France Travail confirme une nouvelle fuite de données, la troisième en deux ans, revendiquée par le groupe cybercriminel Stormous. Celui-ci affirme avoir dérobé les données personnelles très sensibles (RIB, avis d'imposition, etc.) de 31 000 demandeurs d'emploi.

Selon France Travail, cette intrusion n'est pas due à une faille de ses propres systèmes, mais au vol d'identifiants directement sur les ordinateurs personnels des victimes, infectés par un logiciel malveillant de type "infostealer". Les pirates ont ensuite utilisé ces codes d'accès pour se connecter aux comptes et exfiltrer les informations.

Recommandations :

L'information cruciale est que la faille ne venait pas de France Travail, mais des ordinateurs personnels des utilisateurs. Les pirates ont volé les identifiants sur les appareils des victimes avant de les utiliser.

La recommandation principale est donc double : protéger vos appareils (pour empêcher le vol) et protéger vos comptes (pour rendre le vol inutile).

🚨 La recommandation n°1 : Activer l'authentification multi-facteurs (MFA)

Si France Travail (et tous les services sensibles) propose l'authentification à deux facteurs (ou multi-facteurs), activez-la immédiatement.

• Pourquoi ? L'authentification multi-facteurs (MFA) demande une deuxième preuve d'identité (comme un code reçu par SMS, une notification sur une application ou une clé USB de sécurité) en plus de votre mot de passe.

• Lien avec cette actualité : Dans le cas présent, même si les pirates ont réussi à voler le mot de passe (le "infostealer" l'a capturé), ils n'auraient pas pu se connecter sans posséder également votre téléphone pour recevoir le code de validation. Le vol du mot de passe seul devient inutile.

🛡️ Protéger vos appareils contre les "Infostealers"

Le logiciel malveillant ("infostealer") est arrivé d'une manière ou d'une autre sur les ordinateurs des victimes. Voici comment l'éviter :

1. Utiliser un antivirus/antimalware de confiance :

Assurez-vous d'avoir une solution de sécurité (antivirus) réputée et maintenez-la à jour. C'est la première ligne de défense pour détecter et bloquer ces logiciels espions.

2. Être extrêmement vigilant face au hameçonnage (Phishing) :

   • Ces logiciels malveillants sont le plus souvent diffusés par des e-mails frauduleux, des pièces jointes piégées ou des liens vers de faux sites web.

   • Ne téléchargez jamais de pièces jointes inattendues (même un simple PDF ou document Word peut être infecté).

   • Ne cliquez pas sur les liens provenant d'expéditeurs inconnus ou suspects.

3. Maintenir les logiciels à jour :

Mettez à jour votre système d'exploitation (Windows, macOS), votre navigateur web (Chrome, Firefox, etc.) et tous vos logiciels. Les mises à jour corrigent les failles de sécurité que les pirates exploitent pour installer des malwares.

🔑 L'Hygiène de base des mots de passe

Même si un mot de passe fort n'aurait pas empêché ce vol (le logiciel l'enregistre directement), il reste crucial pour limiter les dégâts.

• Utiliser un mot de passe unique par site : Si le mot de passe volé sur le compte France Travail est le même que celui de votre boîte mail ou de votre banque, les pirates ont maintenant accès à tous ces comptes.

• Utiliser un Gestionnaire de Mots de Passe : C'est le moyen le plus simple et sécurisé de générer et de stocker des mots de passe uniques et complexes pour chaque service que vous utilisez.

En résumé, cette attaque rappelle que la sécurité est une chaîne dont l'utilisateur est un maillon essentiel. Même si le site web est sécurisé, votre compte ne l'est pas si votre ordinateur personnel est compromis.

Netyans

Pour aller plus loin : Protégez vos appareils avec une solution de sécurité réputée, fiable et robuste comme Malwarebytes. Bénéficiez d'une remise sur cette solution avec Netyans ! 

L'aéroport de Dublin a subi une fuite de données massive concernant des millions de passagers ayant voyagé en août 2025. L'attaque n'a pas visé l'aéroport directement, mais était une conséquence du piratage du logiciel d'enregistrement Muse, développé par Collins Aerospace.

Le groupe de pirates russes Everest revendique l'intrusion, affirmant détenir 1,5 million de dossiers, et exige une rançon sous cinq jours, menaçant de publier les données (noms, numéros de réservation, etc.) sur le dark web. 

Bien que les vols aient été peu perturbés à Dublin, une enquête est en cours, impliquant les autorités irlandaises de protection des données et de cybersécurité.

Netyans

Pour aller plus loin : Aujourd'hui, avec les cybermenaces croissantes, il est important de se protéger avec des logiciels de cybersécurité fiables et éprouvés comme Bitdefender, Malwarebytes ou encore F-Secure !

L'enseigne de mode espagnole Mango a récemment signalé une violation de données survenue chez l'un de ses partenaires marketing externes. Il est important de noter que la faille de sécurité n'a pas affecté les systèmes internes de Mango, mais uniquement ceux de son sous-traitant.

Quelles sont les données concernées ?

La fuite se limite à des informations de contact de base. Selon la communication de Mango, les données compromises sont :

• Prénom

• Pays de résidence

• Code postal

• Adresse e-mail

• Numéro de téléphone

Mango a confirmé qu'aucune donnée sensible n'a été exposée. Cela inclut les informations bancaires, les numéros de carte de crédit, les mots de passe ou les pièces d'identité.

Quel est le principal risque ?

Le risque immédiat n'est pas financier. Cependant, les clients concernés doivent être particulièrement vigilants face aux tentatives d'hameçonnage (phishing). Les cybercriminels pourraient utiliser les informations volées pour créer des e-mails ou des SMS frauduleux très convaincants, en se faisant passer pour Mango ou un autre service de confiance, afin de vous soutirer des informations plus critiques (comme vos mots de passe ou coordonnées bancaires).

Mesures de protection recommandées

Si vous êtes client de Mango, voici les précautions à prendre :

• Soyez vigilant : Examinez attentivement tous les e-mails et SMS inattendus, surtout s'ils créent un sentiment d'urgence.

• Ne cliquez pas sur les liens suspects : En cas de doute, ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe. Rendez-vous directement sur le site officiel de la marque concernée en tapant l'adresse vous-même.

• Activez l'authentification à Multi-Facteurs (MFA) : Pour vos comptes en ligne importants (messagerie, réseaux sociaux, etc.), activez cette couche de sécurité supplémentaire.

• Ne stockez pas vos informations de paiement : Pour plus de sécurité, évitez d'enregistrer les détails de votre carte bancaire sur les sites de e-commerce.

À ce jour, Mango n'a pas divulgué le nom du prestataire concerné ni le nombre exact de clients affectés par cette fuite.

Netyans

Pour aller plus loin : Protégez-vous des fausses pages web d'hameçonnage grâce à F-Secure

Une opération conjointe du FBI et de la police néerlandaise a mis un terme aux activités de VerifTools, l'une des plus importantes plateformes de création de faux documents d'identité sur internet. Le site, dont les serveurs étaient hébergés à Amsterdam, a été saisi par les autorités.

Depuis plusieurs années, VerifTools offrait un service aussi simple qu'illégal : pour quelques euros en cryptomonnaie, n'importe qui pouvait générer des passeports, cartes d'identité, permis de conduire ou encore des relevés bancaires falsifiés. La plateforme était réputée pour sa facilité d'utilisation (un simple téléchargement de photo suffisait) et ses prix dérisoires, démarrant à 9 euros.

Selon les enquêteurs, ces documents contrefaits étaient utilisés à des fins criminelles variées, allant de la fraude bancaire et des attaques par phishing à l'usurpation d'identité et à la fraude sociale. Le site permettait également à des utilisateurs de contourner les processus de vérification d'identité sur des plateformes en ligne, y compris des sites d'échange de cryptomonnaies.

L'enquête, initiée en 2022, a permis de localiser et de saisir 2 serveurs physiques et 21 serveurs virtuels. Bien que les administrateurs du site n'aient pas encore été identifiés, les forces de l'ordre analysent actuellement les données saisies dans l'espoir de remonter jusqu'à eux.

Un avertissement a également été lancé : les clients de la plateforme ne sont pas à l'abri. Les autorités ont clairement indiqué que les utilisateurs de VerifTools pourraient eux aussi faire l'objet de poursuites.

Netyans

Pour aller plus loin : Protéger votre identité en ligne avec une solution robuste et fiable grâce à Bitdefender 

Une vague d'hameçonnage (phishing) de grande envergure est en cours, visant spécifiquement les clients de l'opérateur Free. Cette campagne se distingue par son haut degré de personnalisation, les cybercriminels exploitant les données exfiltrées lors de l'incident de sécurité de l'automne 2024.

Méthodologie de l'attaque :

• Instrument : Un email frauduleux usurpant l'identité visuelle de Free.

• Prétexte : L'email invoque une prétendue "nouvelle réglementation européenne" obligeant le client à confirmer ses coordonnées bancaires pour maintenir les prélèvements automatiques.

• Ingénierie sociale : Pour renforcer sa crédibilité, le message inclut des informations personnelles authentiques de la victime, notamment son numéro de ligne et son IBAN. Un sentiment d'urgence est également créé avec une date butoir.

• Objectif final : Le lien de confirmation redirige vers un site de phishing, réplique du portail officiel de Free, afin de collecter les coordonnées bancaires complètes des victimes et de leur dérober des fonds.

Recommandation : Il est impératif de ne donner aucune suite à ces sollicitations. En cas de doute, contactez directement Free via ses canaux officiels et ne cliquez jamais sur les liens provenant d'emails non sollicités.

Netyans

Pour aller plus loin : Protégez-vous des sites web malveillants avec la protection web intégrée de Bitdefender

Chaque année, la rentrée scolaire est une période propice aux arnaques en ligne. Des cybercriminels ciblent actuellement les parents d'élèves avec des sites web frauduleux qui leur font une promesse alléchante mais impossible à tenir : connaître la future classe de leur enfant avant le jour J.

Comment fonctionne l'arnaque ?

• L'appât : Des sites aux noms évocateurs (« RevealClasse.fr », « Maficheclasse.fr ») apparaissent, souvent bien placés dans les résultats Google.

• La mise en confiance : Ils usurpent l'identité visuelle de l'Éducation nationale (logo, police d'écriture) pour paraître légitimes.

• La collecte de données : L'utilisateur doit remplir un formulaire avec son nom et celui de l'école de son enfant.

• Le piège : Pour accéder à la prétendue liste, la victime doit réaliser des "missions" (répondre à des sondages, télécharger une application, participer à un jeu-concours). Ces actions visent en réalité à générer des revenus pour les escrocs via des liens d'affiliation ou, pire, à souscrire l'utilisateur à des abonnements cachés et coûteux.

Une promesse impossible à tenir

L'Éducation nationale est formelle : ces informations sont confidentielles et ne sont en aucun cas diffusées à des plateformes extérieures. La composition des classes est un processus interne aux établissements, qui peut évoluer jusqu'aux derniers jours avant la rentrée. La seule information fiable proviendra directement de l'école.

Bien que la gendarmerie ait réussi à fermer certains de ces sites, le phénomène persiste. La plus grande prudence est donc de mise.

Exemple d'un site web frauduleux : 

Netyans

Une faille de sécurité critique, connue sous le nom de vulnérabilité zero-day (CVE-2025-43300), a été découverte et est activement exploitée par des pirates. Pour y remédier, Apple a publié des mises à jour de sécurité urgentes pour ses principaux appareils.

Il est impératif que tous les utilisateurs d'iPhone, d'iPad et de Mac installent ces mises à jour sans délai. Initialement utilisée pour des attaques très ciblées, la connaissance de cette faille est maintenant publique, augmentant considérablement le risque d'attaques à grande échelle contre tous les utilisateurs.

La vulnérabilité se situe dans le système de traitement d'images (Image I/O) et peut être déclenchée par une simple image malveillante, permettant à un attaquant de prendre le contrôle de l'appareil.

Comment mettre à jour vos appareils ?

• Pour iPhone et iPad : Allez dans Réglages > Général > Mise à jour logicielle.

• Pour Mac : Allez dans le menu Pomme > Paramètres Système > Général > Mise à jour logicielle.

N'attendez pas et mettez à jour vos appareils dès maintenant pour vous protéger. Pensez également à activer les mises à jour automatiques pour une sécurité continue.

Aperçu de la notification de mise à jour pour iOS :

Résumé de l'article de Pieter Arntz - Source : Malwarebytes

La "Carte Instagram" (Instagram Map) est une nouvelle fonctionnalité permettant aux utilisateurs de partager leur position en temps réel avec leurs contacts sur la plateforme. Son déploiement, commencé aux États-Unis, se fait progressivement dans le monde.

Un enjeu majeur de confidentialité : 

Il est crucial de bien choisir avec qui partager cette information, car la liste d'"amis" sur Instagram peut inclure des personnes qui ne sont pas des proches.  De plus, Meta collecte encore une fois des données supplémentaires vous concernant par le biais de cette nouvelle fonctionnalité.

Pour gérer cette fonctionnalité, Instagram offre plusieurs niveaux de contrôle :

• Activation et choix du public : Lors de la première utilisation (via l'icône "Carte" dans les messages privés), l'utilisateur doit autoriser l'accès à sa position et peut choisir de la partager avec :

  • Ses Amis (les abonnés suivis en retour).

  • Ses Amis Proches.

  • Une sélection de personnes spécifiques.

  • Personne, ce qui désactive le partage de la position en direct.

• Modification des paramètres : Les préférences peuvent être modifiées à tout moment dans les paramètres de la carte.

• Lieux cachés : Une option permet de définir des zones (comme le domicile ou le travail) où la position en temps réel ne sera jamais partagée, en définissant un rayon autour d'un lieu spécifique.

Enfin, même si le partage de la position en direct est désactivé, la carte reste utile pour explorer les photos et vidéos que les utilisateurs ont manuellement géolocalisées dans leurs publications et stories. Le partage de la position active est donc entièrement optionnel et contrôlable par l'utilisateur.

Netyans

Des cybercriminels ont mis en vente les documents d'identité de dizaines de milliers de clients d'hôtels en Italie, suite à une cyberattaque, a alerté l'équipe d'intervention d'urgence informatique (CERT) de l'Agence pour l'Italie numérique (AGID).

Un groupe de pirates informatiques, se faisant appeler "mydocs", a réussi à s'introduire dans les systèmes de réservation d'au moins dix hôtels italiens. Ils ont volé des copies numérisées en haute résolution de passeports et de cartes d'identité fournis par les clients. Ces documents, qui pourraient concerner jusqu'à 100 000 personnes (italiennes et étrangères), ont été mis en vente sur des forums du "dark web" pour des sommes allant de 1 000 à 10 000 dollars.

L'attaque se serait produite en juin et juillet, mais la durée de conservation des données par les hôtels étant inconnue, des clients plus anciens pourraient également être affectés. L'AGID n'a pas divulgué les noms des hôtels concernés.

Les données volées pourraient être utilisées pour créer de faux documents, ouvrir des comptes bancaires, mener des attaques d'ingénierie sociale ou usurper une identité numérique, avec des conséquences juridiques et financières graves.

Il est conseillé aux voyageurs ayant séjourné dans des hôtels en Italie de contacter les établissements et de rester vigilants face à d'éventuelles tentatives d'escroquerie.

Quelles mesures générales à prendre en cas de violation de données ? :

• Changer ses mots de passe

• Activer l'authentification à deux facteurs

• Envisager un service de surveillance de l'identité

Netyans

En août 2025, Microsoft a publié une mise à jour de sécurité majeure, surnommée "Patch Tuesday", corrigeant un total de 111 failles de sécurité dans ses systèmes. Il est crucial pour tous les utilisateurs d'appliquer cette mise à jour pour se protéger des menaces en ligne.

La mise à jour est simple à installer. Il suffit de se rendre dans les "Paramètres" de Windows, de cliquer sur "Windows Update" et de lancer la "Recherche des mises à jour". Le système se chargera alors de télécharger et d'installer les correctifs nécessaires. Un redémarrage de l'ordinateur est généralement requis pour finaliser le processus.

Parmi les vulnérabilités corrigées, deux étaient particulièrement critiques :

• CVE-2025-50165 : Une faille dans le composant graphique de Microsoft qui permettait à un pirate de prendre le contrôle d'un ordinateur à distance, simplement en envoyant un fichier image (comme un .jpeg) modifié.

• CVE-2025-53766 : Une autre faille, cette fois dans le GDI+ (le système qui gère l'affichage des graphiques et du texte), qui pouvait être exploitée via un document contenant une image piégée. L'ouverture de ce document pouvait permettre à un attaquant d'exécuter du code malveillant à distance ou de voler des informations.

En résumé, cette mise à jour est essentielle pour la sécurité de votre ordinateur. Il est fortement recommandé de l'installer sans tarder pour vous prémunir contre des risques de piratage importants.

Netyans

Une campagne d'hameçonnage (phishing) est actuellement en cours, utilisant frauduleusement les noms d'Ulys et de Vinci Autoroutes. Par le biais de faux e-mails et SMS, des pirates cherchent à voler vos informations personnelles, en particulier vos données de carte bancaire.

Le réflexe essentiel : Ne cliquez sur aucun lien, n'ouvrez aucune pièce jointe et ne répondez jamais à ces messages suspects.

Ulys précise que cette campagne n'est pas due à une fuite de données de ses systèmes. Pour vous protéger, voici les points clés à vérifier.

Comment identifier une tentative de fraude ?

• L'expéditeur de l'e-mail : Vérifiez toujours l'adresse e-mail. Les communications officielles se terminent uniquement par des domaines comme @ulys.com, @vinci-autoroutes.com, ou des sous-domaines associés (@services.ulys.com, @clients.ulys.com). Toute autre terminaison est frauduleuse.

• Le contenu et le ton du message : Méfiez-vous des messages au ton urgent ou alarmiste (ex: "votre compte va être suspendu") ou des offres trop alléchantes (ex: "kit sécurité gratuit"). En cas de doute, ne passez jamais par le lien du message ; connectez-vous directement à votre espace client sur le site officiel d'Ulys.

• L'authenticité d'un SMS : Vous ne recevrez un SMS que dans des cas très spécifiques :

1. • De la part d'Ulys : Pour compléter un dossier de souscription ou suite à un rejet de paiement de facture.

   • De la part de VINCI Autoroutes : Uniquement après un problème de paiement au péage validé avec un opérateur. Ces SMS légitimes sont identifiés par "VINCI" ou "36035", jamais par un numéro en 06 ou 07.

• La sécurité des liens et des sites web : Ulys ne vous demandera jamais vos mots de passe par e-mail. Les sites officiels sont toujours sécurisés, avec une adresse commençant par https:// et une icône de cadenas. Ne renseignez vos informations bancaires que sur un site de paiement authentifié et sécurisé.

À noter également : Ulys n'utilise jamais Mondial Relay pour ses livraisons. Celles-ci sont effectuées uniquement par Colissimo ou Chronopost.

Exemple d'un SMS frauduleux : 

Netyans

De grandes multinationales telles que Google, Adidas, Louis Vuitton et Chanel ont récemment été victimes d'une campagne de piratage orchestrée par le groupe de cybercriminels "ShinyHunters". La méthode d'attaque, d'une simplicité déconcertante, ne reposait pas sur une faille technique complexe, mais sur une technique d'ingénierie sociale : un simple appel téléphonique.

La méthode d'attaque : L'Ingénierie sociale au téléphone

Les pirates ont contacté par téléphone des employés de ces entreprises en se faisant passer pour le support informatique. Leur objectif était de duper un employé pour qu'il connecte la plateforme Salesforce de son entreprise à une application malveillante contrôlée par les attaquants.

Pour ce faire, ils guidaient la victime pour qu'elle utilise la fonctionnalité "Data Loader" de Salesforce, un outil légitime servant à gérer de grandes quantités de données. Au cours du processus de connexion, l'employé était invité à saisir un code à 8 chiffres. Les pirates lui fournissaient alors un code qui, au lieu de se connecter à l'application légitime, liait le compte Salesforce de l'entreprise directement à un programme d'exfiltration de données appartenant aux hackers.

Les conséquences : Vol de données et extorsion

Une fois la connexion établie, les pirates avaient le champ libre pour accéder et voler les données commerciales stockées dans Salesforce. Dans certains cas, cet accès a pu être étendu à d'autres comptes de l'entreprise, comme Microsoft 365, exposant potentiellement des informations sensibles.

Le but final de "ShinyHunters" est l'extorsion : après avoir volé les données, ils exigent une rançon importante de la part des entreprises victimes, sous peine de voir leurs informations confidentielles publiées en ligne.

Ironiquement, c'est le propre groupe de renseignement sur les menaces de Google (Google Threat Intelligence Group) qui a découvert cette campagne de piratage, avant de révéler que l'entreprise avait elle-même été piégée. Google a précisé que les données volées chez eux se limitaient à des informations commerciales de base, souvent déjà publiques.

Comment se protéger de cette arnaque ?

Cette attaque démontre que le facteur humain est souvent le maillon faible de la sécurité, même dans les entreprises les plus robustes. Les stratégies de défense sont donc claires :

• Auditer les Accès Salesforce : Le principe du moindre privilège est essentiel. Assurez-vous que seuls les employés qui en ont un besoin absolu pour leur travail aient accès à Salesforce. Moins de points d'accès signifie moins de risques.

• Former les Équipes : La sensibilisation du personnel est la première ligne de défense. Les employés doivent être formés à reconnaître les tentatives d'ingénierie sociale et à savoir qui est leur véritable prestataire de support informatique pour identifier immédiatement les appels suspects.

• Utiliser l'Authentification Multifacteur (MFA) : Protégez tous les comptes sensibles (Salesforce, Microsoft 365, etc.) par une authentification multifacteur. Même si un pirate obtient un mot de passe, la MFA bloquera l'accès non autorisé.

Résumé de l'article de David Ruiz - Source : Malwarebytes

Google a publié sa mise à jour de sécurité Android pour le mois d'août 2025, corrigeant plusieurs failles de sécurité, dont certaines jugées critiques. Il est fortement recommandé d'installer cette mise à jour dès que possible pour protéger vos données et votre appareil.

L'essentiel de la mise à jour :

• Six vulnérabilités corrigées : La mise à jour de ce mois-ci corrige six failles de sécurité.

• Deux failles critiques : Parmi celles-ci, deux sont considérées comme critiques. L'une d'elles aurait pu permettre à un attaquant d'exécuter du code à distance sur un appareil sans aucune action de la part de l'utilisateur.

• Versions concernées : Les correctifs sont disponibles pour les versions d'Android 13, 14, 15 et 16.

Contexte de cette mise à jour

Cette publication intervient après une pause inattendue en juillet, où, pour la première fois en près de dix ans, Google n'avait pas déployé de correctifs de sécurité mensuel. Par ailleurs, Google a récemment communiqué sur les performances de son intelligence artificielle "Big Sleep", qui a permis de détecter une vingtaine de vulnérabilités dans divers logiciels open source.

Comment mettre à jour votre appareil Android ?

Même si les fabricants sont prévenus un mois à l'avance, la disponibilité de la mise à jour peut varier selon la marque et le modèle de votre téléphone.

Voici la marche à suivre pour vérifier et installer la mise à jour :

• Ouvrez les Paramètres de votre appareil.

• Allez dans la section "À propos du téléphone" ou "À propos de l'appareil".

• Appuyez sur "Mises à jour logicielles" ou une option similaire pour lancer la recherche.

Votre appareil est protégé si le "Niveau du correctif de sécurité" indique la date du 2025-08-05 ou une date ultérieure.

Maintenir votre téléphone à jour est la mesure la plus simple et la plus efficace pour vous prémunir contre les menaces connues et garantir votre sécurité numérique.

Résumé de l'article de Pieter Arntz - Source : Malwarebytes

Une vaste campagne de cybercriminalité, nommée ClickTok, cible les utilisateurs de la boutique TikTok à l'échelle mondiale. S'appuyant sur plus de 15 000 faux sites web, cette opération a pour but de voler des identifiants et des cryptomonnaies via une double stratégie : l'hameçonnage (phishing) et la distribution d'un logiciel malveillant. Les pirates attirent leurs victimes avec des publicités sur Meta et des vidéos générées par IA, les dirigeant vers des pages frauduleuses pour voler leurs informations ou les inciter à télécharger une fausse application TikTok Shop. Cette dernière contient le dangereux virus SparkKitty, capable de voler les phrases de récupération des portefeuilles de cryptomonnaie directement depuis les captures d'écran sur les appareils Android et iOS.

La campagne "Meta Mirage" (ciblant Meta Business Suite)

Parallèlement à ClickTok, une autre campagne de phishing sophistiquée a été identifiée sous le nom de Meta Mirage. Celle-ci vise spécifiquement les entreprises et les professionnels qui utilisent Meta Business Suite pour gérer leurs pages Facebook, leurs comptes Instagram et leurs campagnes publicitaires.

L'objectif de cette attaque est de compromettre des actifs commerciaux de grande valeur. En prenant le contrôle d'un compte, les pirates peuvent s'emparer :

• Des comptes publicitaires, pour diffuser leurs propres publicités malveillantes ou dépenser le budget de la victime.

• Des pages de marque vérifiées, nuisant à la réputation de l'entreprise.

• D'un accès de niveau administrateur, leur donnant un contrôle total sur tous les actifs liés.

Pour y parvenir, les attaquants utilisent des techniques d'ingénierie sociale très ciblées. Ils envoient des e-mails et des messages directs frauduleux qui semblent provenir officiellement de Meta. Ces messages créent un sentiment d'urgence en utilisant des prétextes comme :

• De fausses alertes de violation de politique (ex: "Votre page ne respecte pas nos standards communautaires").

• Des avis de restriction ou de suspension du compte publicitaire.

• De trompeuses demandes de vérification de compte pour éviter une prétendue suppression.

Le lien dans le message redirige la victime vers une page de collecte d'identifiants et de cookies de session, imitant parfaitement l'interface de connexion de Meta. Pour rendre l'arnaque plus crédible et difficile à contrer, ces pages de phishing sont souvent hébergées sur des services de développement légitimes et réputés tels que Vercel, GitHub Pages, Netlify et Firebase.

Ainsi, que ce soit en visant le grand public sur TikTok ou les professionnels sur Meta, la stratégie de fond des cybercriminels reste la même : exploiter la confiance et l'urgence pour tromper la vigilance des utilisateurs et s'emparer d'actifs numériques de grande valeur.

Résumé de l'article de Ravie Lakshmanan - Source : The Hacker News

OpenAI a mis un terme définitif à sa fonctionnalité expérimentale qui permettait de rendre publiques et indexables les conversations ChatGPT sur des moteurs de recherche tels que Google. La raison principale de cet arrêt est la volonté de protéger la vie privée des utilisateurs face à un risque jugé trop élevé.

Une protection insuffisante contre les fuites de données

Selon le responsable de la sécurité informatique de l'entreprise, cette option présentait un risque trop important de partage accidentel d'informations sensibles. Bien que la participation nécessitait une action volontaire de l'utilisateur (cocher une case pour partager), OpenAI a reconnu que ce mécanisme de consentement était trop faible. Il a été constaté que de nombreux utilisateurs ont tendance à accepter les conditions sans en mesurer toutes les implications, ce qui pouvait mener à des fuites d'informations non désirées.

Un enjeu de confiance pour l'IA

Cet épisode met également en lumière un manque de communication initial de la part d'OpenAI, qui n'avait pas largement annoncé le lancement de cette fonctionnalité. Cette situation fragilise les efforts pour bâtir une relation de confiance entre le public et les chatbots IA, surtout lorsque ceux-ci sont utilisés pour des sujets personnels et confidentiels.

Conséquences et recommandations

En conséquence, OpenAI s'efforce désormais de faire retirer des moteurs de recherche les conversations déjà indexées, tout en prévenant que certaines pourraient rester temporairement visibles en raison des systèmes de mise en cache.

Cet événement rappelle des règles de prudence essentielles pour utiliser les chatbots de manière sécurisée :

• Ne partagez jamais d'informations sensibles : Évitez toute donnée personnelle (noms, adresses), financière ou professionnelle confidentielle.

• Anonymisez vos requêtes : Formulez vos questions de manière générale, sans inclure de détails permettant de vous identifier.

• Traitez l'IA comme un espace public : La règle d'or est de ne jamais confier à un chatbot une information que vous ne seriez pas à l'aise de partager ouvertement.

Résumé de l'article de Pieter Arntz - Source : Malwarebytes

Une nouvelle forme d'escroquerie se propage massivement sur les réseaux sociaux et les messageries : la promesse de gagner facilement de l'argent grâce à des "petits boulots" en ligne. Des messages alléchants, proposant jusqu'à 200 € par jour pour des actions aussi simples que liker une vidéo ou noter une application, inondent les plateformes comme WhatsApp, Telegram et Instagram.

Le mécanisme de l'arnaque

Cette fraude, appelée "arnaque aux tâches", est conçue pour manipuler psychologiquement ses victimes. Voici comment elle fonctionne :

• Le contact initial : Vous recevez une offre d'emploi à temps partiel non sollicitée, souvent de la part de quelqu'un prétendant représenter une grande entreprise (Google, Amazon, etc.).

• La mise en confiance : Pour vous prouver que l'offre est réelle, les fraudeurs vous confient quelques tâches simples et vous versent rapidement de petites sommes d'argent.

• Le piège financier : Une fois la confiance établie, le système bascule. Pour accéder à des niveaux de rémunération supérieurs, débloquer vos gains accumulés ou payer de prétendus "frais techniques", on vous demande d'effectuer des paiements.

• La spirale infernale : Convaincues qu'elles pourront récupérer leur mise et leurs gains, les victimes continuent de verser de l'argent. Les montants demandés sont de plus en plus élevés, jusqu'au moment où les escrocs coupent tout contact et disparaissent avec les fonds.

Une fraude d'ampleur internationale

Loin d'être un phénomène isolé, cette arnaque cause des dommages financiers considérables. Des rapports provenant du Royaume-Uni et des États-Unis font état de millions de dollars perdus, avec des victimes individuelles ayant parfois perdu des dizaines de milliers d'euros.

Comment se protéger ?

La règle d'or pour déjouer cette arnaque est fondamentale : vous ne devriez jamais avoir à payer pour obtenir un travail ou recevoir un salaire.

Voici quelques conseils de sécurité :

• Méfiez-vous des offres d'emploi non sollicitées, surtout si elles semblent trop belles pour être vraies.

• Ne payez jamais de frais pour débloquer des commissions ou accéder à des tâches.

• Vérifiez l'authenticité de l'offre en consultant directement le site officiel de l'entreprise mentionnée.

• Signalez toute approche suspecte aux autorités compétentes.

Source : Bitdefender