La Commission Nationale de l'Informatique et des Libertés (CNIL) a annoncé ses trois axes prioritaires de contrôle pour l'année 2025, marquant une évolution significative dans sa stratégie de supervision des traitements de données sensibles. Au cœur de ses préoccupations figure le système GENESIS de l'administration pénitentiaire, un dispositif critique gérant les informations relatives au suivi et à la sécurité des personnes écrouées, dont la protection nécessite une attention particulière compte tenu de la sensibilité des données traitées.

Face à la recrudescence des cyberattaques ciblant les collectivités territoriales, la CNIL intensifie également sa vigilance sur leurs dispositifs de cybersécurité, tout en préparant activement ces structures à l'application de la directive NIS2.Dans le domaine des applications mobiles, l'autorité de régulation prévoit d'examiner minutieusement les pratiques des éditeurs et des fournisseurs de SDK, notamment concernant la collecte de données et la gestion des permissions, répondant ainsi à l'usage croissant des applications par les Français qui en téléchargent environ trente par an. La CNIL s'engage parallèlement dans une démarche proactive de sensibilisation et d'accompagnement des collectivités territoriales en matière de cybersécurité, reconnaissant l'importance cruciale de renforcer leur résilience face aux menaces numériques.

Cette stratégie de contrôle s'inscrit dans la continuité des actions menées en 2024, année durant laquelle l'autorité a réalisé 321 contrôles déclenchés par diverses sources, incluant des plaintes, des mesures correctrices antérieures et des signalements de violations de données. L'attention particulière portée aux établissements pénitentiaires souligne l'importance de la sécurisation de leurs installations informatiques et de leurs moyens de communication, aspects qui feront l'objet d'enquêtes approfondies. Ces orientations stratégiques démontrent la volonté de la CNIL d'adapter son action régulatrice aux enjeux contemporains de la protection des données personnelles, en ciblant les secteurs les plus sensibles et en anticipant les évolutions réglementaires à venir.

Source : Le Monde Informatique

Une récente attaque de la chaîne d'approvisionnement logicielle sur GitHub a exposé jusqu'à 23 000 dépôts, conduisant la CISA à tirer la sonnette d'alarme concernant la compromission de l'action GitHub tj-actions/changed-files. Cette violation majeure a permis l'accès non autorisé à des clés RSA privées, des jetons d'accès personnels GitHub (PATs), des jetons npm et diverses clés d'accès, représentant une menace significative pour l'écosystème du développement logiciel. L'attaque s'est révélée particulièrement sophistiquée, exploitant un bot de dépendance comme vecteur pour introduire du code malveillant, démontrant ainsi une évolution préoccupante des tactiques des attaquants. Les experts soulignent que cette compromission n'est pas un incident isolé mais s'inscrit dans une tendance croissante où les composants open source de confiance sont weaponisés pour infiltrer les environnements d'entreprise.

La méthode d'attaque a exploité une faille subtile dans le processus d'automatisation, en insérant du code malveillant obfusqué qui exécutait un script Python pour localiser et exfiltrer des informations d'identification. Les chercheurs en sécurité recommandent une approche proactive incluant l'audit des workflows, la rotation des secrets et la mise en place de mesures de sécurité préventives pour détecter et bloquer les attaques de la chaîne d'approvisionnement avant leur escalade. Cette incident met en lumière la nécessité cruciale d'étendre la portée des Software Bill of Materials (SBOMs) pour couvrir non seulement le code applicatif, mais également les outils de build et les dépendances.

Les experts insistent sur l'importance d'une surveillance en temps réel et d'une détection automatique des menaces, tant pour le code que pour les outils de build, afin d'assurer la sécurité de chaque composant du processus de livraison logicielle. Pour les organisations utilisant massivement des logiciels open source, il devient impératif de soutenir activement l'amélioration de la posture de sécurité de ces projets critiques. Les professionnels de la cybersécurité recommandent également de renforcer la gestion de la posture des données pour identifier et protéger les informations sensibles avant toute exposition potentielle.

Cette attaque souligne la nécessité d'une approche plus rigoureuse de la sécurité de la chaîne d'approvisionnement, particulièrement dans un contexte où ces attaques ne sont plus limitées aux acteurs étatiques mais se propagent aux acteurs non étatiques à mesure que les barrières techniques et économiques s'amenuisent. Les organisations doivent désormais privilégier une visibilité en temps réel sur les risques logiciels plutôt que de s'appuyer uniquement sur les divulgations de CVE ou la détection post-compromission.

Source : Cybersecurity Insiders

Dans son rapport "EU Serious and Organized Crime Threat Assessment 2025", Europol lance un avertissement majeur concernant la montée en puissance des menaces cyber hybrides, particulièrement celles orchestrées par la Russie et d'autres acteurs étatiques et non-étatiques. Ces attaques s'inscrivent dans une stratégie plus large visant à déstabiliser les pays européens et leurs institutions, avec pour objectif ultime de provoquer une crise financière et d'entraîner les économies dans la récession.

Le rapport met en lumière la formation d'une coalition obscure d'acteurs malveillants internationaux, engagés dans une forme de guerre cybernétique dont le seuil d'engagement est significativement plus bas que celui des conflits conventionnels. Les menaces hybrides identifiées englobent un large éventail de tactiques, allant de l'espionnage à la diffusion de désinformation, en passant par des cyberattaques ciblant les infrastructures critiques.

L'intelligence artificielle joue un rôle prépondérant dans l'amplification de ces menaces, notamment à travers l'utilisation de technologies deepfake, de synthèse vocale et d'usurpation d'identité, rendant la détection et la neutralisation des attaques particulièrement complexes pour les forces de l'ordre. La rapidité d'exécution de ces cyberattaques, souvent automatisées, laisse très peu de temps de réaction aux équipes de sécurité et aux agences gouvernementales.

Bien que des systèmes de surveillance basés sur l'IA aient été développés pour contrer ces assauts numériques, Europol reconnaît que ces outils peinent à suivre l'évolution rapide des méthodes criminelles. La convergence entre la guerre numérique et politique, catalysée par des technologies de pointe, crée un paysage imprévisible nécessitant une refonte profonde des mécanismes de défense traditionnels.

Les experts d'Europol soulignent que la sophistication croissante de ces attaques met à rude épreuve les solutions de sécurité existantes, appelant à une innovation continue et à une adaptation constante des stratégies de cybersécurité. Cette nouvelle forme de guerre asymétrique représente un défi majeur pour la stabilité européenne, exigeant une réponse coordonnée et innovante de la part des acteurs de la sécurité nationale et des forces de l'ordre.

Source : Cybersecurity Insiders

Les chercheurs d'EclecticIQ ont mis au jour un framework d'attaque par force brute sophistiqué nommé Bruted, développé par le groupe de ransomware-as-a-service Black Basta et utilisé activement depuis 2023. Cette découverte majeure, basée sur l'analyse de conversations internes divulguées du groupe, révèle une automatisation avancée des attaques ciblant les équipements en bordure de réseau, notamment les pare-feux et solutions VPN d'entreprise. Le framework exploite particulièrement les faiblesses des solutions d'accès distant de grands éditeurs comme Cisco, Citrix, Fortinet et Microsoft, démontrant une approche méthodique dans la compromission des infrastructures critiques.

L'infrastructure d'attaque repose sur trois serveurs stratégiquement positionnés en Russie sous l'AS Proton66, choix délibéré pour échapper à la surveillance occidentale. Les capacités techniques de Bruted incluent des fonctionnalités sophistiquées telles que la rotation de proxy, le scan Internet automatisé, et des mécanismes avancés de génération d'identifiants, permettant une exécution distribuée et parallèle des attaques. Le groupe cible prioritairement le secteur industriel, exploitant les vulnérabilités des chaînes d'approvisionnement pour maximiser l'impact de leurs opérations.

Une fois l'accès initial obtenu, Black Basta concentre ses efforts sur les hyperviseurs VMware ESXi, composants critiques des infrastructures virtualisées, permettant ainsi le chiffrement des systèmes et l'exfiltration massive de données. Cette stratégie d'attaque en deux temps - compromission des équipements edge puis ciblage des environnements virtualisés - illustre une évolution significative dans les techniques de ransomware, maximisant l'efficacité des attaques et la pression sur les victimes pour le paiement des rançons.

Cette révélation souligne l'importance cruciale de maintenir à jour les dispositifs réseau et de renforcer la sécurité des équipements en bordure de réseau, comme l'a récemment rappelé l'ANSSI dans son rapport annuel sur les cybermenaces. L'automatisation croissante des attaques par des groupes comme Black Basta représente un défi majeur pour la cybersécurité des entreprises, nécessitant une vigilance accrue et une adaptation continue des stratégies de défense.

Source : Le Monde Informatique

L'agence danoise de cybersécurité vient de relever son niveau d'alerte concernant les menaces d'espionnage cyber de "moyen" à "élevé" pour son secteur des télécommunications, face à une recrudescence des attaques à l'échelle européenne. Cette décision s'inscrit dans un contexte où les opérateurs télécoms font face à de multiples menaces, notamment l'espionnage, les attaques destructrices, le cyber-activisme et les pirates informatiques criminels, avec un risque particulièrement élevé lié aux ransomwares. L'évaluation souligne que les acteurs étatiques ciblent spécifiquement les fournisseurs de télécommunications pour accéder aux données des utilisateurs, surveiller les communications et potentiellement lancer des cyberattaques ou des attaques physiques.

Le Danemark a notamment émis le premier avertissement public européen concernant une campagne d'espionnage chinoise baptisée "Salt Typhoon", bien que l'agence n'ait pas explicitement nommé la Chine comme responsable. Cette campagne, active depuis 1 à 2 ans, a ciblé des fournisseurs de télécommunications dans plusieurs dizaines de pays, utilisant notamment un utilitaire personnalisé appelé "JumbledPath" pour espionner le trafic réseau. Les chercheurs de Recorded Future's Insikt Group ont révélé que les attaquants ont exploité des vulnérabilités dans les équipements Cisco IOS XE pour compromettre plusieurs réseaux de télécommunications, notamment aux États-Unis, en Italie, au Royaume-Uni, en Afrique du Sud et en Thaïlande.

Les acteurs malveillants ont démontré une compréhension technique approfondie des infrastructures et des protocoles du secteur des télécommunications, utilisant notamment des tunnels GRE (Generic Routing Encapsulation) sur les appareils Cisco compromis pour maintenir leur persistance et exfiltrer discrètement des données. La découverte d'un backdoor Linux nommé GTPDOOR, spécifiquement conçu pour des opérations furtives dans les réseaux de opérateurs mobiles, illustre la sophistication croissante des outils utilisés par ces groupes APT. Cette situation a conduit plusieurs grands opérateurs américains, dont AT&T, Verizon et Lumen, à renforcer la sécurité de leurs réseaux suite aux tentatives d'espionnage du groupe Salt Typhoon.

Face à ces menaces sophistiquées, l'industrie des télécommunications doit adopter une approche proactive de la cybersécurité, en mettant l'accent sur la détection précoce des intrusions, la protection des infrastructures critiques et la collaboration internationale en matière de partage d'informations sur les menaces.

Source : Security Affairs

Une récente analyse approfondie menée par des experts en sécurité révèle que les camions commerciaux et les bus présentent des vulnérabilités cybersécuritaires significativement plus importantes que les véhicules particuliers, exposant le secteur du transport à des risques majeurs. Les chercheurs Marko Wolf et Robert Lambert soulignent que la complexité des systèmes logiciels, l'utilisation généralisée du protocole SAE J1939 et la standardisation des composants rendent ces véhicules particulièrement attractifs pour les cybercriminels. La valeur élevée des véhicules commerciaux, dépassant souvent 100 000 euros, combinée à leur utilisation intensive jusqu'à 20 heures par jour et leur charge potentiellement dangereuse, amplifie considérablement l'impact des éventuelles compromissions.

Quatre menaces majeures ont été identifiées : le vol physique exploitant les vulnérabilités des systèmes d'accès, la manipulation des fonctionnalités électroniques (notamment les systèmes de freinage et les tachygraphes), le vol de données sensibles représentant un marché de 12 milliards de dollars annuels pour les pièces contrefaites, et les attaques compromettant la sécurité des systèmes critiques comme la direction et le freinage. Pour contrer ces menaces, les experts préconisent une approche holistique basée sur trois principes fondamentaux : la sécurisation complète du système véhiculaire, la protection tout au long du cycle de vie du véhicule, et l'implication de l'ensemble de l'organisation dans la stratégie de sécurité.

La mise en œuvre d'une architecture de sécurité technique complète nécessite l'intégration de modules matériels de sécurité automobile, la protection du démarrage sécurisé pour le firmware des ECU, et des protocoles de communication embarqués sécurisés. Les communications externes doivent être protégées par des passerelles centrales équipées de systèmes de détection et de réponse aux intrusions véhiculaires, tandis que l'architecture électronique embarquée doit isoler les ECU connectés dans des sous-réseaux de différentes classes de sécurité.

Sur le plan organisationnel, les chercheurs recommandent la création de rôles dédiés, notamment des responsables de la sécurité des véhicules intégrés dans différents départements, un centre de sécurité des véhicules centralisé, une équipe spécialisée d'intervention en cas d'incident, et un directeur de la sécurité des véhicules rapportant directement au conseil d'administration. Cette approche multi-niveaux de la sécurité devient non seulement une nécessité technique mais un impératif de sécurité critique pour l'ensemble de l'industrie du transport, alors que l'évolution technologique des véhicules commerciaux s'accélère.

Source : GBHackers

La directive NIS 2, transposée en Italie par le décret législatif 138/2024, marque un tournant décisif dans la gouvernance de la cybersécurité en plaçant le Conseil d'Administration (CA) au cœur du dispositif stratégique. L'article 23 du décret confère au CA une responsabilité directe dans l'adoption et le suivi des mesures de cybersécurité, transformant ainsi une problématique autrefois purement technique en un enjeu de gouvernance stratégique.

Les organisations concernées doivent désormais s'inscrire sur la plateforme de l'Agence Nationale de Cybersécurité (ACN) et mettre en place un point de contact dédié pour assurer la liaison avec l'autorité. Une analyse des écarts (gap analysis) devient indispensable pour identifier les mesures de sécurité à implémenter, accompagnée d'une formation obligatoire des membres du CA en matière de cybersécurité. Le processus requiert une allocation budgétaire précise, distinguant les investissements immédiats des stratégies à long terme, ainsi que la définition d'indicateurs de performance pour mesurer l'efficacité des mesures adoptées.

La documentation des décisions du CA à travers des procès-verbaux détaillés ne constitue pas une simple formalité administrative mais devient un élément crucial pour démontrer la conformité et l'engagement de l'organisation. Le suivi continu des mesures implémentées s'impose comme une obligation tant stratégique que réglementaire, nécessitant des révisions périodiques adaptées au niveau de risque de l'organisation. Cette nouvelle approche de la cybersécurité, intégrée à la gouvernance d'entreprise, représente une évolution culturelle majeure visant à renforcer la résilience numérique des organisations et, par extension, de l'ensemble du système économique. La directive NIS 2 catalyse ainsi une transformation profonde de la gestion des risques cyber, où la responsabilité directe des instances dirigeantes devient un facteur clé de succès dans la protection des actifs numériques.

Source : Cybersecurity360

Une étude approfondie menée par Veracode révèle une tendance préoccupante dans la gestion des vulnérabilités logicielles, avec un délai moyen de correction des failles qui s'est considérablement allongé, passant de 171 à 252 jours sur les cinq dernières années. L'analyse, portant sur environ 1,3 million d'applications, met en lumière que 50% des organisations font face à une dette de sécurité "à haut risque", caractérisée par des vulnérabilités non corrigées pendant plus d'un an. La complexité croissante des écosystèmes logiciels, amplifiée par l'adoption de l'IA pour la génération de code, contribue significativement à cette problématique, comme le souligne Chris Wysopal, cofondateur de Veracode.

L'étude identifie des écarts significatifs entre les organisations les plus performantes et les retardataires, notamment dans la prévalence des failles (43% contre 86%) et la vitesse de correction (5 semaines contre plus d'un an). Les risques liés à la supply chain logicielle sont particulièrement préoccupants, avec l'analyse de Black Duck révélant que 86% des bases de code contiennent des vulnérabilités issues de logiciels libres, dont 81% présentent des risques élevés ou critiques.

La bibliothèque JavaScript jQuery apparaît comme un point névralgique, concentrant huit des dix principales vulnérabilités à haut risque, dont la plus répandue est la faille XSS CVE-2020-11023. Pour atténuer ces risques, Veracode recommande l'adoption de l'analyse de composition des applications (SCA) tout au long du cycle de développement, permettant une détection automatisée des vulnérabilités et la génération de nomenclatures logicielles (SBOM).

Face à cette situation, les experts préconisent une approche structurée de la gestion des risques, incluant une priorisation efficace des corrections basée sur l'évaluation des risques et une visibilité accrue sur l'ensemble de l'écosystème applicatif. Cette stratégie devient cruciale alors que la complexification des environnements logiciels et l'adoption croissante de l'IA dans le développement continuent d'accroître les surfaces d'attaque potentielles.

Source : Le Monde Informatique

Une récente étude menée par Tenable Research révèle que le chatbot open-source DeepSeek R1 peut être manipulé pour générer du code malveillant, notamment des keyloggers et des ransomwares, soulevant de nouvelles inquiétudes dans le domaine de la cybersécurité. Les chercheurs ont démontré qu'en contournant les restrictions éthiques intégrées du chatbot via une technique de "jailbreak", notamment en présentant les requêtes comme ayant des fins éducatives, il était possible d'obtenir du code malveillant exploitable. La fonctionnalité "chain-of-thought" (CoT) de DeepSeek s'est révélée particulièrement utile, permettant aux chercheurs de comprendre le raisonnement de l'IA dans le développement de logiciels malveillants et sa capacité à concevoir des techniques d'évitement de détection.

Bien que le code initial généré par DeepSeek nécessite des corrections manuelles pour être pleinement fonctionnel, l'IA a démontré sa capacité à produire les composants de base pour des keyloggers capables d'enregistrer les frappes clavier et de les stocker dans des fichiers cryptés. En matière de ransomware, DeepSeek a pu générer du code permettant le chiffrement de fichiers, l'exécution automatique au démarrage du système et l'affichage de messages aux victimes, même si ces fonctionnalités nécessitaient également des ajustements techniques.

Les limitations de DeepSeek sont apparues lors de tâches plus complexes, comme la dissimulation complète des processus malveillants dans le gestionnaire de tâches, soulignant que l'expertise technique reste nécessaire pour développer des malwares sophistiqués. Trey Ford, CISO de Bugcrowd, met en garde contre cette évolution, soulignant que l'IA assistera inévitablement le développement de logiciels tant bénéfiques que malveillants, et recommande de concentrer les efforts de sécurité sur le renforcement des endpoints plutôt que de compter uniquement sur les solutions EDR.

Cette découverte met en lumière un nouveau défi pour l'industrie de la cybersécurité : l'accessibilité croissante des outils de développement de malware grâce à l'IA, qui pourrait faciliter l'entrée dans le cybercrime pour des individus ayant des connaissances techniques limitées. Face à cette menace émergente, il devient crucial d'adopter une approche proactive en matière de sécurité, notamment en renforçant la protection des endpoints selon les normes CIS et en développant de nouvelles stratégies de défense adaptées à l'ère de l'IA.

Source : Hackread.

Sir Jeremy Fleming, ancien directeur du GCHQ (Government Communications Headquarters britannique), a souligné lors de l'événement Ignite de Palo Alto Networks à Londres l'urgence d'une collaboration renforcée entre les organisations de cybersécurité, malgré la tendance au protectionnisme économique mondial. Dans un contexte de volatilité sans précédent des menaces cyber, les ransomwares demeurent la principale préoccupation des organisations au Royaume-Uni, aux États-Unis et dans de nombreux autres pays, avec une tendance qui ne montre aucun signe de ralentissement face à des forces de l'ordre aux capacités d'intervention limitées.

Les cybermenaces étatiques se manifestent selon trois tendances majeures : des attaques ciblant les infrastructures critiques nationales avec des phases de préparation furtive prolongées, l'utilisation croissante d'opérations de désinformation dans les stratégies géopolitiques, et la multiplication des méga-brèches comme celle ayant touché la plateforme d'échange de cryptomonnaies ByBit. Bien que les mesures de sécurité fondamentales restent efficaces contre la plupart des menaces, y compris celles impliquant l'IA, les attaques sponsorisées par des États demeurent pratiquement impossibles à contrer totalement.

Dans ce nouveau contexte géopolitique, Fleming recommande aux entreprises d'intégrer le renseignement sur les menaces géopolitiques à leur stratégie de cybersécurité, parallèlement aux informations sur les cybermenaces traditionnelles. L'industrie de la cybersécurité doit également améliorer significativement le partage d'informations, aucune entreprise, même les géants américains de la sécurité, ne pouvant fournir seule une vision suffisamment complète des menaces.

Le conflit en Ukraine illustre parfaitement l'intégration des cyberopérations et des campagnes de désinformation dans les stratégies militaires modernes, bien qu'elles ne constituent pas une solution miracle mais plutôt un composant d'une approche globale. Face à ces défis, seule une collaboration internationale renforcée et un partage d'informations plus rapide et plus étendu permettront à l'industrie de la cybersécurité d'identifier et de contrer efficacement les activités malveillantes des acteurs étatiques avant qu'elles ne causent des dommages majeurs.

Source : Infosecurity Magazine