lemonde.fr
Par Florian Reynaud et Martin Untersinger
Publié le 16 octobre 2025 à 06h30, modifié le 16 octobre 2025 à 10h04

En novembre 2024, la présentation de cette task force par le FBI à des policiers et des magistrats européens a choqué certains enquêteurs. Ils craignent notamment pour l’intégrité de leurs investigations.

Les policiers sont venus de toute l’Europe. En ce début novembre 2024, ils ont rendez-vous au siège d’Europol, l’organisme de coopération des polices européennes, à La Haye, aux Pays-Bas. Ils vont plancher en secret sur une enquête ultrasensible visant Black Basta, un gang de cybercriminels d’élite.
Même s’il est alors en perte de vitesse, ce groupe fait encore partie des plus dangereux au monde. Il a frappé entreprises et administrations sans épargner personne, pas même des hôpitaux : la quasi-totalité des services de police et de justice d’Europe l’ont dans le viseur. Comme souvent dans ce type de rassemblement, le puissant FBI – partenaire de longue date d’Europol – est présent. Mais au cours de la réunion, l’agent de liaison de la police fédérale américaine laisse sa place à un de ses collègues pour un exposé des plus inhabituels.
Ce dernier est venu présenter une unité secrète du gouvernement américain : le « Group 78 ». Il ira ensuite faire de même dans une deuxième réunion, à Eurojust, le pendant d’Europol où se coordonnent les magistrats. Sur la base de documents, de plusieurs sources policières et judiciaires européennes et à l’issue d’une enquête de plusieurs mois, Le Monde et Die Zeit sont en mesure de révéler l’existence de cette cellule secrète, son nom et la manière dont elle a été présentée aux enquêteurs européens.
Des enquêteurs médusés
Lors de ces deux réunions, l’agent du FBI détaille la façon dont le Group 78 entend remplir sa mission. Sa stratégie est double : d’une part, mener des actions en Russie pour rendre la vie des membres de Black Basta impossible et les forcer à quitter le territoire pour les mettre à portée des mandats d’arrêt les visant ; d’autre part, manipuler les autorités russes pour qu’elles mettent fin à la protection dont bénéficie le gang. Pour les policiers et les magistrats européens, le message est clair : les services de renseignement américains viennent de faire une entrée fracassante dans le paysage.
Une partie d’entre eux est sous le choc. D’abord parce que le Group 78 semble conscient de perturber, par ses actions, des opérations judiciaires européennes. Ensuite, des enquêteurs craignent que la stratégie de cette cellule cache des actions violentes ou illégales. Et si, grâce à ces dernières, les criminels se retrouvent à portée de mandat d’arrêt européen, cela reviendrait, pour la justice européenne, à blanchir les manœuvres des services américains. « Hors de question que je couvre ça », s’écrie auprès du Monde et de son partenaire d’enquête un magistrat européen, très remonté.
Enfin, certains reprochent au FBI d’avoir mélangé les rôles en introduisant le Group 78 dans une enceinte judiciaire où la coopération, la transparence entre alliés et le secret de l’enquête ont permis de remporter des succès majeurs dans la lutte contre la pègre numérique. Que plusieurs sources présentes aient accepté de se confier à des journalistes est un signe du malaise suscité.
Le Group 78 est apparu « dans une ou deux enquêtes, causant une colère considérable au sein de la coopération policière, dénonce auprès du Monde et de son partenaire un second magistrat spécialisé d’un autre pays européen. Nous ne savons pas exactement qui l’a fondé et quelles sont ses motivations politiques. Nous ne voulons rien avoir affaire avec ça. Nous sommes des enquêteurs : pour nous, dès qu’un groupe comme Group 78 apparaît, c’est fini. » La présentation du FBI a contraint certains enquêteurs à revoir leurs plans vis-à-vis de Black Basta, confirme une source proche du dossier.

lemagit.fr par
Valéry Rieß-Marchive, Rédacteur en chef
Publié le: 20 oct. 2025

Selon Le Monde et Die Zeit, un mystérieux « Group 78 » aurait organisé des fuites d’information sur le groupe de rançongiciel Black Basta, visant notamment à les déstabiliser. Ai-je compté parmi leurs destinataires ?

Ce jeudi 16 octobre, Le Monde et Die Zeit ont publié une enquête sur un mystérieux groupe 78 qui aurait deux objectifs principaux : « d’une part, mener des actions en Russie pour rendre la vie des membres de Black Basta impossible et les forcer à quitter le territoire afin de les mettre à portée des mandats d’arrêt les visant ; d’autre part, manipuler les autorités russes pour qu’elles mettent fin à la protection dont bénéficie le gang ».

Selon nos confrères, ces révélations « éclairent d’un jour nouveau deux événements survenus peu de temps après. À la mi-décembre, une même source anonyme contacte deux journalistes spécialisés dans la Cybercriminalité ». J’étais l’un d’eux.

L’approche
Pour moi, tout a commencé le 16 décembre 2024. Peu avant 22h, un inconnu se glisse dans mes messages directs sur X (ex-Twitter) : « je vous écris pour voir si vous êtes intéressé de savoir qui est le leader de Black Basta ».

Black Basta, c’est une enseigne de ransomware apparue au printemps 2022, moins de deux mois après l’invasion de l’Ukraine par la Russie. C’est à ce moment-là que Conti a pris ouvertement position en faveur de l’envahisseur. Une initiative qui a conduit à l’éclatement de l’enseigne et à la fuite de nombreuses données internes sensibles. De là ont émergé Akira, BlackByte, Karakurt, Black Basta ou encore Royal/BlackSuit et ThreeAM.

Je suivais de près les activités de Black Basta. J’en avais ainsi pointé un net recul durant l’été 2024. L’enseigne était globalement discrète malgré quelques victimes de renom. Ses habitudes de négociation suggéraient l’existence d’une poignée de sous-groupes, dont certains aux processus plus structurés que d’autres. De quoi rappeler l’organisation des Conti ou Akira.

En France, Black Basta s’est notamment attaqué à Oralia en avril 2022, puis H-Tube, l’étude Villa Florek, Envea, Dupont Restauration, et Baccarat. Au total, plus de 520 victimes de Black Basta sont publiquement connues, contre plus de 350 pour Conti.

En novembre 2023, Elliptic et Corvus Insurance estimaient que Black Basta avait encaissé plus de 100 millions de dollars de rançons en près de deux ans d’activité.

L’individu qui m’a contacté, c’est un certain « Mikhail ». Bien sûr que j’étais intéressé par ce qu’il avait à dire. J’avais suivi des mouvements de fonds, en Bitcoin, confirmant les liens entre Conti et Black Basta. Il m’apparaissait probable que l’on allait parler de celui qui se faisait appeler « tramp ». Mon intuition était juste. Les premiers échanges de courriels ont commencé dans la foulée de la prise de contact initiale.

Moins de dix jours après cela, la veille de Noël, dans l’après-midi, Hakan Tanriverdi, de Paper Trail Media, m’appelle : il ne nous faut pas longtemps pour établir que nous avons été approchés par la même source.

Les doutes
Très vite, nous décidons de rester en contact étroit pour discuter des informations fournies par « Mikhail », et notamment valider leur cohérence de part et d’autre.

Pour cela, nous ouvrons un canal de communication partagé, sécurisé, aux messages éphémères. Nous ne sommes pas seuls dans ce groupe qui comptera 5 membres au final : j’ai notamment proposé que des spécialistes du renseignement humain (HUMINT) et de la cybercriminalité apportent leur regard. D’autres, de plusieurs régions du monde et en dehors de ce groupe, viendront également me prêter main-forte au fil de l’enquête.

Ces apports externes seront essentiels. Car très vite, des interrogations sur l’identité et les motivations de « Mikhail » ont émergé ; à juste titre, suggèrent les révélations de nos confrères du Monde, Florian Reynaud et Martin Untersinger.

Comme ils l’indiquent, « les deux reporters soupçonnent cependant [la source] d’être un faux-nez des autorités américaines : elle ne leur parlait qu’aux horaires de bureaux américains et utilisait du jargon juridique inhabituel pour un membre de la pègre russophone… »

Plus précisément, « Mikhail » ne m’a jamais écrit avant 13h45 heure de Paris. Sa plage horaire d’activité observable était loin de suggérer une localisation quelque part entre l’Europe centrale et l’Oural, mais bien plus sur la rive ouest de l’Atlantique.

Et il ne m’a jamais envoyé plus d’un mail par jour, comme s’il écrivait depuis un poste dont l’accès était restreint, au moins dans le temps. Les cybercriminels avec lesquels j’ai pu échanger (ou essayer) sont loin d’avoir ce profil : soit ils refusent de parler, soit ils s’avèrent extrêmement bavards, jusqu’à engager des conversations sur des sujets personnels.

« Mikhail » est en outre resté silencieux à Noël et au Nouvel An, comme s’il faisait une pause. Avant de reprendre langue le 2 janvier en souhaitant bonne année. Mais il était bien actif le 14 janvier… jour du Nouvel An orthodoxe. En pleine période durant laquelle de nombreux cybercriminels russophones sont en congé.

Enfin, il y a le vocabulaire et le style de langage utilisé par « Mikhail », bien plus marqués « forces de l’ordre » que « cybercriminels ».

Accélération
Fin janvier 2025, il a commencé à se faire pressant, semblant s’impatienter que je n’aie encore rien publié, et ne guère goûter certaines de mes questions. Le 20 février, il m’enverra son dernier mail. Une fuite majeure concernant Black Basta venait d’avoir lieu sur Telegram. « Mikhail » ne se contente pas de la relever : il me fournit un lien direct vers les données, hébergées sur Mega. Comme s’il tenait vraiment à ce que je mette la main dessus rapidement.

Déjà début janvier, que « Mikhail » soit effectivement un ex-Black Basta ou une gorge profonde, il apparaissait clair que l’enseigne était proche de partir en fumée. Un mois et demi plus tard, de nombreux éléments rendus publics permettaient de confirmer l’authenticité des données divulguées.

Reste que, avec notamment l’aide des experts sollicités et d’autres sources, il a été possible de confirmer la validité de ce qui avait été fourni par « Mikhail ». Et d’aller bien au-delà. Tout en découvrant, en fil de l’enquête, que l’identité réelle de « Tramp » avait été vraisemblablement établie bien avant cela et ne relevait guère plus que du secret de polichinelle.

Les révélations de nos confrères du Monde apportent un éclairage nouveau sur cette enquête, tout en confortant la méthode qui lui a été rigoureusement appliquée. Pour les fins connaisseurs sollicités alors, il n’est pas invraisemblable que « Mikhail » ait été lié aux forces de l’ordre américaines.

Pour l’un de ces experts, qui a accepté que je partage ici son analyse sous condition d’anonymat, « la source disposait d’informations et de renseignements uniques qui démontraient une compréhension approfondie d’Oleg/Tramp. Ce type d’informations ne peut être obtenu que lorsque l’on dispose des bonnes ressources ».

De nombreuses questions sans réponse
En outre, « la personne à l’origine de la fuite n’a jamais laissé transparaître ses émotions et est toujours restée concentrée sur le sujet. Cela correspond à la possibilité que cette personne ait été associée aux forces de l’ordre et ait intentionnellement cherché des journalistes à qui divulguer ces informations ».

Dès lors, la motivation de « Mikhail » était « très probablement de légitimer les renseignements provenant de sources ouvertes afin qu’ils puissent ensuite être utilisés à des fins d’intervention officielle ».

Cela n’en laisse pas moins de nombreuses questions sans réponse. Personnellement, celles qui retiennent le plus mon attention concernent ce qui s’est passé le 21 juin 2024, à Erevan, sur American Street où, selon la presse locale, Oleg Nefedov a été interpellé à 11h du matin.

Que faisait-il dans cette rue de la capitale arménienne, longeant la rivière Hrazdan, qui ne mène qu’à l’ambassade des États-Unis ? Qui pouvait bien en espérer son extradition d’un pays dont le contrôle aux frontières était encore alors assuré par les services… russes ? À un mois près.

À cela s’ajoute la question du choix des journalistes. Peut-être « Mikhail » a-t-il estimé que je serais susceptible d’accompagner et d’épauler un journaliste bien en vue sur son marché cible. Lequel aurait dès lors été l’Allemagne. Mais pour envoyer un message à qui ?

news.microsoft.com 16/10/2025

La Suisse occupe la neuvième place en Europe et la vingt-deuxième au niveau mondial parmi les pays où les clients sont le plus fréquemment touchés par une activité cyber au premier semestre 2025, selon le sixième rapport Microsoft Digital Defense publié aujourd’hui. Le pays représente environ 3,3 % de l’ensemble des organisations européennes touchées par une activité cybermalveillante — ce qui signifie qu’environ trois organisations européennes affectées sur cent sont suisses.

Principales conclusions :

Au moins 52 % des cyberattaques mondiales ont été motivées par le rançongiciel ou l’extorsion, tandis que 4 % seulement visaient exclusivement l’espionnage.
Les attaques basées sur l’identité ont augmenté de 32 % au premier semestre 2025, dont plus de 97 % étaient des attaques par mot de passe.
Dans 80 % des incidents étudiés par les équipes de sécurité de Microsoft l’an dernier, les attaquants cherchaient à voler des données à des fins financières.
Les hôpitaux, écoles, communes et systèmes de transport subissent des conséquences concrètes, telles que des retards dans les soins d’urgence ou des perturbations des services publics.
Les attaquants comme les défenseurs tirent parti de l’intelligence artificielle (IA) : les cybercriminels l’utilisent pour automatiser l’hameçonnage et créer du contenu synthétique, tandis que les défenseurs déploient des outils alimentés par l’IA afin de détecter et de contrer les menaces plus rapidement.
Les acteurs étatiques soutenus par la Russie, Chine, Iran et Corée du Nord continuent de cibler des secteurs sensibles, en s’intégrant de plus en plus dans les écosystèmes cybercriminels.
Le sixième rapport annuel Microsoft Digital Defense met en lumière en détail l’évolution des menaces informatiques et ce que les organisations doivent faire pour garder une longueur d’avance. Couvrant la période de juillet 2024 à juin 2025, le rapport montre que la cybercriminalité s’accélère en ampleur et en sophistication, motivée par des intérêts financiers et facilitée par l’automatisation et l’IA.

« Les données les plus récentes envoient un message clair : les organisations doivent renforcer leurs contrôles d’identité, corriger rapidement les systèmes critiques et tester régulièrement leurs plans de réponse aux incidents, » déclare Marc Holitscher, National Technology Officer chez Microsoft Suisse. « La cyberrésilience n’est plus un choix, c’est désormais une exigence fondamentale pour toutes les organisations, dans tous les secteurs. »

Microsoft traite plus de 100 000 milliards de signaux de sécurité par jour, analyse 5 milliards d’e-mails pour détecter les malwares et le phishing, bloque environ 4,5 millions de nouvelles tentatives de malware, évalue 38 millions de détections de risques liés à l’identité, et continue de renforcer sa sécurité à travers la Secure Future Initiative. L’entreprise collabore avec les secteurs public et privé pour prévenir la cybercriminalité et plaide pour des règles internationales garantissant un usage responsable d’Internet.

Les organisations peuvent agir immédiatement en mettant en œuvre une authentification multifacteur résistante au à l’hameçonnage, qui bloque plus de 99 % des attaques basées sur l’identité, même lorsque les attaquants possèdent les bons mots de passe.

lemonde.fr
Publié le 08.10.2025 à 11h12

Le groupe Radiant avait publié des photos de très jeunes enfants accompagnées de leurs noms, prénoms et adresses pour forcer l’entreprise Kido à payer une rançon.

Un jeune homme de 22 ans et un adolescent de 17 ans ont été arrêtés dans une même petite ville du Royaume-Uni dans le cadre de l’enquête sur le piratage de plusieurs crèches, a révélé la BBC mardi 7 octobre. Aucun détail supplémentaire n’a été communiqué par les autorités concernant les deux suspects.

Ces arrestations surviennent près de deux semaines après la révélation d’un piratage ayant visé plusieurs crèches privées britanniques, gérées par la chaîne Kido. L’attaque a été revendiquée par un groupe jusqu’ici inconnu, Radiant, qui a publié sur son site les photos et informations personnelles de certains bébés, tout en exigeant à Kido le paiement d’une rançon.

Ce piratage, et les méthodes d’extorsion de Radiant, avaient particulièrement choqué l’opinion. Au point que le groupe avait dans un second temps choisi de flouter les photos des enfants, avant de finalement retirer toutes les données liées à Kido de son site officiel. Interrogée par Le Monde, une personne se présentant comme un membre de Radiant avait alors affirmé avoir réalisé que les attaques contre des crèches « ne devraient pas être permises ».

Au cours d’une conversation écrite avec Le Monde, cette même personne avait multiplié les déclarations sur l’avenir de Radiant, ses méthodes d’extorsion « efficaces » et son équipe. Le groupe a, ces derniers jours, listé de nouvelles victimes sur son site, dont un hôpital, sans apporter de preuve.

On ignore encore quel rôle pourraient avoir joué les deux personnes interpellées à Bishop’s Stortford, une commune à quelques dizaines de kilomètres au nord de Londres. « Ces arrestations sont une avancée significative dans notre enquête, mais notre travail et celui de nos partenaires continue pour s’assurer que les responsables seront traduits en justice », a déclaré Will Lyne, un responsable du département de lutte contre la cybercriminalité au sein de la police londonienne.

blick.ch
Fabian Eberhard
Publié: 28.09.2025 à 09:57 heures

Cyberattaques, désinformation, tensions russo-européennes: la Suisse se prépare. Les 6 et 7 novembre, l’exercice national EI 25 testera la réaction du pays face aux menaces hybrides. Au programme: simulations de cyberattaques, d'attaques terroristes et d'épidémies.

Cyberattaques, survols de drones, campagnes de désinformation – Vladimir Poutine est-il en train de tester les limites de l'OTAN?

Pour l'heure, rien n'indique que Moscou prévoit une quelconque incursion militaire au sein de nos frontières. Ce qui est certain en revanche, c'est que dans quelques semaines, un exercice de sécurité nationale sera lancé en Suisse, qui simulera un scénario similaire.

Scénario tenu secret
L'exercice intégré 2025 (EI 25) qui aura lieu les 6 et 7 novembre, doit permettre de tester l'organisation stratégique de crise de la Confédération, des cantons et d'autres acteurs, comme les exploitants d'infrastructures critiques – hôpitaux, aéroports, fournisseurs d'énergie.

Le scénario reste secret jusqu'au bout. La Confédération confirme uniquement qu'une «menace hybride contre la Suisse» doit être exercée. «Aucune référence n'est faite à un pays réel ou à des événements réels», explique cependant Urs Bruderer, porte-parole de la Chancellerie fédérale. Mais les initiés partent du principe que le dispositif d'exercice ressemble à une escalade du conflit entre la Russie et l'Europe – avec des conséquences massives.

De célèbres noms y participent
Le scénario a été élaboré par un comité consultatif composé de différents experts, comme Markus Mäder, secrétaire d'Etat à la politique de sécurité de la Confédération, Peter Maurer, ancien président du Comité international de la Croix-Rouge (CICR), et Doris Leuthard, ex-conseillère fédérale du Centre.

Pour cette dernière, il s'agit d'un retour éphémère à la Confédération, après avoir quitté le gouvernement fin 2018. «Les membres du conseil consultatif doivent réunir leurs connaissances et leur expérience au niveau politico-stratégique dans différents domaines thématiques pertinents pour l'exercice», explique Urs Bruderer.

A ce sujet, Doris Leuthard a dirigé le Département fédéral de l'environnement, des transports, de l'énergie et de la communication (Detec) durant son mandat et possède donc une certaine expertise en matière d'infrastructures critiques.

Exercice à vocation internationale
Pour l'EI 25, deux grands exercices ont été réunis: celui de sécurité intégré et celui de conduite stratégique, qui ont par le passé simulé des cyberattaques, des attaques terroristes et des épidémies. Sur la base des expériences tirées de la pandémie Covid-19, le Conseil fédéral a décidé de remplacer les deux exercices par un exercice combiné permettant à la Confédération et aux cantons de tester leur collaboration en situation de crise.

Selon la Confédération, l'entraînement «impliquera un grand nombre d'acteurs au niveau suisse». Urs Bruderer précise également que «la dimension internationale est un aspect important de l'exercice». Les acteurs internationaux ne se déplaceront toutefois pas eux-mêmes, mais seront simulés par des participants suisses.

Message officiel – Bugnard SA bugnard.ch

Chers clients, chers partenaires,

Le 24 septembre 2025 en fin de journée, nous avons détecté une intrusion dans l'infrastructure informatique de Bugnard SA par le ransomware Akira. Cette attaque a affecté nos serveurs ainsi que notre site internet.
Par mesure de sécurité, nous avons immédiatement interrompu l’accès à la plateforme afin de protéger l’intégrité de vos données et de nos systèmes.
Notre équipe informatique est mobilisée sur place et travaille avec la plus haute priorité pour rétablir la situation. Si nécessaire, nous restaurerons notre dernier backup afin de remettre le site en service dans les plus brefs délais.
À ce stade, nous estimons que la remise en ligne pourra intervenir entre mercredi et vendredi de cette semaine.
Nous sommes pleinement conscients que 72% de notre activité passe par notre site et faisons tout pour que vous puissiez à nouveau passer vos commandes rapidement et en toute sécurité.
En attendant, notre équipe commerciale reste à votre disposition par téléphone et par e-mail pour répondre à vos besoins urgents.
Nous vous tiendrons informés de l’évolution de la situation et vous remercions pour votre compréhension et votre confiance.

Avec mes salutations les meilleures,
Christian Degouy
CEO

Trois hommes ont été interpellés pour avoir utilisé des SMS frauduleux afin d'escroquer des victimes.

Le Ministère public genevois annonce ce jeudi l’arrestation de trois personnes accusées d’arnaques aux fausses amende. Deux de ces individus ont 21 ans, le troisième 30 ans. L’un a été interpellé le 23 juillet, les deux autres plus récemment, les 5 et 7 septembre.

Deux ont été arrêtés dans des véhicules qui contenaient des «SMS-Blaster», le troisième individu est le propriétaire de l'un des véhicules.

Les «SMS-Blaster»? Ces appareils se substituent aux antennes des opérateurs téléphoniques pour récupérer des numéros de téléphone et envoyer des SMS contenant un lien vers des sites frauduleux.

Exemple donné par le Ministère public: «parkings-ge.com», qui imite le site officiel de la fondation genevoise des parkings.

Faux conseiller bancaire
«Les destinataires des SMS étaient invités à s'acquitter d'une fausse contravention et à fournir à cet effet leurs données personnelles et bancaires», est-il expliqué. «Dans un second temps, les victimes étaient contactées par un faux conseiller bancaire, lequel les incitait à lui transmettre les codes nécessaires pour procéder à des prélèvements sur leur compte bancaire».

Les trois individus arrêtés sont poursuivis pour escroquerie et utilisation abusive d'une installation de télécommunication.

Pour davantage d'information, la police genevoise avait récemment détaillé les arnaques à la fausse contravention ou fausse amende, avec les recommandations d'usage. Les principales étant de ne pas divulguer de données personnelles et de s’assurer de la légitimité de son interlocuteur pour toute sollicitation financière ou urgente.

justice.ge.ch 25/09/25 Communiqué de presse - Ministère public Genève

Entre le 23 juillet et le 7 septembre 2025, deux individus âgés de 21 ans et un autre âgé de 30 ans ont été arrêtés. Ils sont suspectés d'avoir participé à l'envoi de SMS incitant les destinataires à régler une fausse contravention.

A Genève, trois personnes ont été interpellées les 23 juillet, 5 et 7 septembre 2025, dont deux dans des véhicules qui contenaient des appareils appelés "SMS-Blaster", la troisième personne étant le propriétaire de l'un des véhicules.

Ils sont suspectés d'avoir utilisé ces appareils, lesquels se substituent aux antennes des opérateurs téléphoniques, afin de récupérer des numéros de téléphone pour envoyer des SMS contenant un lien vers des sites frauduleux tels que "parkings-ge.com", imitant le site officiel de la fondation des parking "amendes.ch". Les destinataires des SMS étaient invités à s'acquitter d'une fausse contravention et à fournir à cet effet leurs données personnelles et bancaires.

Dans un second temps, les victimes étaient contactées par un faux conseiller bancaire, lequel les incitait à lui transmettre les codes nécessaires pour procéder à des prélèvements sur leur compte bancaire

Pour ces faits, les prévenus sont poursuivis pour escroquerie (art. 146 CP) et utilisation abusive d'une installation de télécommunication (art. 179septies CP).

Les investigations sont menées par la brigade des cyber enquêtes sous la direction de la procureure Vanessa SCHWAB.

Les prévenus bénéficient de la présomption d'innocence.

news.admin.ch Berne, 29.09.2025

— L’obligation légale de signaler les cyberattaques contre les infrastructures critiques est entrée en vigueur le 1er avril 2025. L’Office fédéral de la cybersécurité (OFCS) tire un bilan positif après les six premiers mois. Jusqu’à présent, au total 164 cyberattaques contre des infrastructures critiques ont été signalées. Les sanctions prévues en cas de non-signalement entrent en vigueur le 1er octobre 2025.

L’obligation de signaler des cyberattaques contre des infrastructures critiques est entrée en vigueur il y a six mois. L’OFCS se montre globalement satisfait de la mise en application de cette mesure. Les organisations exploitantes d’infrastructures critiques s’en tiennent au délai légal qui prévoit de signaler des cyberattaques dans les 24 heures. L’utilisation du Cyber Security Hub, qui permet de simplifier considérablement le traitement des cyberattaques par l’OFCS, est particulièrement positive. Déjà avant l’introduction de l’obligation de signaler, la relation de confiance entre l’OFCS et de nombreuses organisations exploitantes d’infrastructures critiques était étroite. La longue collaboration entre les partenaires a constitué la base du lancement réussi de l’obligation de signaler.

164 signalements concernant des infrastructures critiques
Depuis début avril, au total 164 signalements de cyberattaques contre des infrastructures critiques ont été adressés à l’OFCS. Les plus fréquents concernent les attaques DDoS (18.1%), suivies par les piratages (16.1%), les attaques par rançongiciel (12.4%), les vols d’identifiants (11.4%), les fuites de données (9.8%), et les maliciels (9.3%). Des phénomènes combinés tels qu’attaques par rançongiciel avec fuites simultanées de données ont été décrits dans plusieurs cas. Les branches touchées sont multiples. Jusqu’à présent, la branche la plus fortement impactée était la finance (19%), suivie de l’informatique (8.7%) et du secteur de l’énergie (7.6%). D’autres signalements provenaient des autorités, du secteur de la santé, d’entreprises de télécommunication, du secteur postal, du secteur des transports, de la branche des médias et de celle des technologies ainsi que de l’alimentation.

Renforcement de l’échange d’informations
Les signalements sont enregistrés et analysés à des fins statistiques. Les informations obtenues n’aident pas seulement à réagir concrètement à un incident, mais elles contribuent également à une meilleure évaluation des menaces au niveau national et à alerter assez tôt d’autres organisations potentiellement affectées. Depuis l’entrée en vigueur de l’obligation de signaler, beaucoup plus d’organisations participent directement à l’échange d’informations. C’est pourquoi les signalements et les recommandations atteignent nettement plus d’acteurs par ce biais.

Des sanctions à partir du 1er octobre 2025 en cas d’infractions
Les sanctions prévues par la loi sur la sécurité de l’information en cas de non-signalement d’une cyberattaque entrent en vigueur le 1er octobre 2025. Les organisations exploitantes d’infrastructures critiques peuvent être sanctionnées d’une amende allant jusqu’à 100’000 francs si elles ne se conforment pas à cette obligation. Par ailleurs, si l’OFCS dispose d’indices laissant supposer qu’un signalement n’a pas été effectué, il est tenu de prendre contact en premier lieu avec l’autorité concernée. Ce n’est que lorsque les personnes concernées ne réagissent pas à cette prise de contact et à la décision qui s’ensuit, que l’OFCS peut déposer une plainte pénale.

Les Numériques
Par
Juliette Sbranna
Publié le 22/09/25 à 19h45

Un fichier prétendument volé à l’ANTS circulerait sur le dark web. Entre rumeurs, échantillons douteux et annonces répétées, on fait le point sur cette affaire et sur ce qui est avéré.

L’ANTS dément le piratage de 12 millions de données : on fait le point sur l’affaire
3
Un fichier prétendument volé à l’ANTS circulerait sur le dark web. Entre rumeurs, échantillons douteux et annonces répétées, on fait le point sur cette affaire et sur ce qui est avéré.

L'ants aurait été volée de 12 millions de données, mais la rumeur serait fausse

Depuis ce week-end, des rumeurs concernant un vol de données de l’ANTS ont circulé. Sauf que ’affaire a pris une tournure inattendue lorsque l’agence a finalement démenti ces rumeurs, tout en laissant la porte ouverte à la possibilité de la perte de quelques informations. Voici un point sur cette situation.

Pour rappel l'Agence Nationale des Titres Sécurisés devenue France Titres, est l'organisme public créé par l’État, qui s’occupe de fabriquer et de délivrer les documents officiels, comme les cartes d’identité, les passeports ou les permis de conduire. Lorsqu’une demande est faite en mairie ou en ligne, c’est elle qui centralise et produit le titre, ce qui poserait un réel problème en cas de fuite.

L'ANTS n'aurait pas été volé
Il serait question d’environ 12 millions de données de l'ANTS circulant sur le dark web et d’un échantillon en libre accès, prétenduemment volés. Cependant, l’affaire a pris une tournure particulière lorsque l’agence a démenti ces rumeurs.

Selon l’ANTS, aucune intrusion n’a été détectée jusqu’à présent. Le groupe précise qu’il, qui dépend du ministère de l’Intérieur et gère des données sensibles, est soumis à des mesures de sécurité strictes et à une surveillance constante des services de l’État.

Aucune intrusion n’a été identifiée au sein des systèmes d’information de l’ANTS, que ce soit par les services de l’agence ou par ceux du ministère de l’Intérieur.

L’échantillon disponible sur le dark web,contient de nombreuses incohérences

Quant à ce fameux échantillon en libre accès, c’est là que l’affaire devient intéressante, car le média ZATAZ a découvert que ce fichier, prétendument de l’ANTS était déjà en vente depuis des mois.

Publicité, votre contenu continue ci-dessous
Publicité
Le même fichier de plus de 10 millions de fiches d’état civil géré par l’ANTS a été exfiltré en mars 2025 via un entrée compromise et a circulé sur le dark web à plusieurs reprises, avec des annonces repérées en juin et relancées mi-septembre 2025. Les pseudos des vendeurs et les plateformes changent, mais il s’agirait bien de la même fuite.

Cependant, ici aussi l’ANTS rassure ses utilisateurs, car ces données seraient non conformes aux formats de l’agence et présenteraient beaucoup trop d’incohérences pour être véridiques.

L’échantillon disponible sur le dark web, présenté comme « produit d’appel », contient de nombreuses incohérences et des formats qui ne correspondent pas à ceux de l’ANTS.

Un pirate à la méthode déjà connue ?
Toutefois, même avec des informations fausses, le pirate pourrait ressortir gagnant : le schéma est simple,il publie, les influenceurs relaient, et les internautes amplifient, renforçant la visibilité et la valeur commerciale des annonces. Bref, un arnaqueur qui en plume d’autres en vendant des données trompeuses.

Pour l’instant, l’affaire est à suivre, mais l’ANTS a porté plainte contre X et poursuivra le dossier devant la justice. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est aussi mobilisée pour identifier l’origine de ces données et les auteurs de leur diffusion.

Au final, si l’ANTS rassure sur l’absence d’intrusion dans ses systèmes, la circulation éventuelle de certaines données reste une possibilité à surveiller.

Communiqué : cyberattaque et vol de données
Publié le : 19/09/2025
Modifié le : 19/09/2025
La Fédération Française de Tennis de Table informe avoir été victime d’une cyberattaque et d’un vol de données : vigilance conseillée à tous nos licenciés.

La FFTT a récemment subi une attaque informatique compromettant la sécurité des données personnelles de ses licenciés.

Un accès non-autorisé par l’usage d’un compte compromis a permis une récupération en masse d’informations dans notre base de données des licenciés. Les données concernées incluent notamment le numéro de licence, nom, prénom, genre, date et lieu de naissance, nationalité ainsi que des moyens de contact tels que adresse postale, adresse email et numéro de téléphone. En revanche, aucune donnée concernant des coordonnées bancaires ou des données de santé n’a été atteinte.

La FFTT regrette profondément cette situation et tient à assurer que l’ensemble de ses services sont mobilisés pour gérer cette intrusion. Le service informatique fédéral travaille, en collaboration avec ses prestataires techniques, à la correction de cette faille de sécurité.

Cet incident appelle à une vigilance accrue des licenciés face aux risques potentiels qui en découlent (risques d’hameçonnage (phishing), de tentatives d’escroqueries ou encore d’usurpation d’identité).

La FFTT invite donc ses membres à la plus grande prudence face aux prochaines communications qu’ils pourraient recevoir, notamment tout message suspect ou inhabituel émanant en apparence de la FFTT ou d’un autre expéditeur (invitation à ouvrir une pièce jointe suspecte ou à communiquer vos comptes, mots de passe ou données bancaires).

Toutes les informations sur les bonnes pratiques en matière de cybermalveillance.

La FFTT va adresser une communication aux personnes concernées.

Une plainte a été déposée et les autorités compétentes ont été informées (ANSSI, CNIL).

Pour toutes informations supplémentaires concernant cet événement, les services de la fédération sont joignables par courriel à l’adresse suivante : cyber@fftt.org

ncsc.admin.ch OFCS CH

23.09.2025 - La semaine dernière, l’OFCS a reçu plusieurs signalements d’arnaque à la récupération. Dans le cadre de cette escroquerie, les cybercriminels reprennent contact avec les personnes qui ont déjà été victimes d’une fraude à l’investissement. Ils prétendent alors qu’ils ont « retrouvé » l’argent perdu et incitent les victimes à effectuer un paiement pour le récupérer. Afin de donner un caractère officiel à leur tentative d’arnaque, ils utilisent souvent le nom d’institutions publiques en se faisant par exemple passer pour un soi-disant collaborateur du NCSC.pour le récupérer. Afin de donner un caractère officiel à leur tentative d’arnaque, ils utilisent souvent le nom d’institutions publiques en se faisant par exemple passer pour un soi-disant collaborateur du NCSC.

Non contents d’avoir réussi une fraude à l’investissement, parfois les escrocs enfoncent le clou. En effet, il arrive qu’après quelque temps, ils reprennent contact avec une victime en lui promettant de lui rendre son argent. Il s’agit toutefois d’une nouvelle arnaque, qui fait perdre encore plus d’argent aux personnes visées. Cette pratique frauduleuse est aussi connue sous le nom de recovery scam ou refund scam en anglais. Dans les cas actuellement signalés à l’OFCS, les courriels ne sont pas seulement envoyés à d’anciennes victimes, mais aussi à d’autres destinataires au hasard, dans l’espoir de provoquer une réaction. Pour donner plus de crédibilité à leur démarche, les escrocs prétendent souvent qu’ils travaillent pour un prestataire de sécurité ou une autorité de poursuite pénale. Il arrive aussi qu’ils usurpent l’identité d’un collaborateur. Dans certains cas, il s’agit de personnes existantes et dans d’autres, de collaborateurs fictifs. La semaine passée, les escrocs se sont fait passer à plusieurs reprises pour Daniel Bruno, soi-disant collaborateur du NCSC. Dans son courriel, le faux inspecteur du NCSC prétend qu’il est chargé de rembourser l’argent perdu aux victimes d’une arnaque.

Un courriel ou un appel téléphonique d’apparence officielle
Les auteurs renforcent leur légitimité douteuse en utilisant des documents falsifiés d’apparence professionnelle pour tromper leurs victimes. Tout commence par un appel téléphonique ou un courriel. Dans les cas signalés récemment, les escrocs utilisent une carte de légitimation falsifiée. Elle contient les données suivantes : Daniel Bruno, « Senior Asset Investigator » du « National Cyber Security Centre ». Le logo de plusieurs organisations, un numéro d’identité fictif et une date de validité figurent aussi sur la carte pour garantir son authenticité. Le faux Daniel Bruno prend contact avec sa victime par courriel ou par téléphone en prétendant qu’il coopère avec des autorités étrangères comme l’organe de surveillance financière britannique (« Financial Conduct Authority FCA »), ce qui peut faire penser à une opération internationale de grande envergure.

L’adresse utilisée, à savoir une adresse gmail dans le cas précis, doit éveiller les soupçons. En effet, les services gouvernementaux ne font jamais appel à des fournisseurs de messagerie web génériques pour communiquer. Dans le message, la victime apprend que lors d’une investigation, son nom a été retrouvé dans le fichier clientèle d’un courtier mal intentionné et qu’une somme d’argent importante est prête à lui être remboursée (p. ex. un montant de 220 600 USDT, une cryptomonnaie bien connue équivalent au dollar américain).

La sensibilisation de la population aux tentatives de fraude simples force les cybercriminels à se montrer toujours plus ingénieux. Comme les gens sont de plus en plus suspicieux face aux courriels d’hameçonnage basiques, les escrocs doivent affiner leurs méthodes pour parvenir à tromper leurs victimes potentielles. Des documents préparés avec soin et la référence à des autorités existantes permettent de convaincre même les personnes les plus méfiantes.

La stratégie consistant à se faire passer pour un collaborateur du NCSC est particulièrement sournoise. Les escrocs abusent délibérément de la confiance que leurs victimes accordent à l’institution à laquelle elles sont censées s’adresser quand elles font face à la cybercriminalité. Ils piègent ainsi les victimes à l’endroit même où elles pensent trouver de l’aide.

L’Office fédéral de la cybersécurité, NCSC en anglais, confirme : Daniel Bruno ne travaille pas pour le NCSC ou pour une autre autorité apparentée, ni en Suisse ni au Royaume-Uni. Tous les documents associés sont falsifiés. L’OFCS ne prend jamais spontanément contact avec des citoyennes et des citoyens en leur promettant un remboursement moyennant un paiement préalable.

L’escroc sonne toujours deux fois
Le cas de Daniel Bruno est un exemple d’arnaque à la récupération. D’autres exemples ont déjà été présentés dans de précédentes versions de la rétrospective hebdomadaire de l’OFCS (p. ex. rétrospective hebdomadaire de la semaine 38/2024).

L’arnaque se déroule en deux temps :

Fraude initiale : la victime perd de l’argent à cause d’une forme quelconque d’escroquerie en ligne, par exemple une fraude à l’investissement avec des cryptomonnaies, une arnaque à la commission dans le cadre d’un prétendu gain à la loterie ou une attaque par hameçonnage.
Fraude ultérieure (arnaque à la récupération) : quelque temps après la première arnaque, la victime est contactée par d’autres cybercriminels, qui se font passer pour des représentants d’un organe officiel comme la police, une autorité de surveillance financière, un cabinet d’avocats ou justement le NCSC. Ils expliquent qu’ils ont arrêté les auteurs de la fraude initiale et qu’ils ont retrouvé l’argent que la victime avait perdu.
Dans ce type d’arnaque, un paiement préalable est exigé. Pour récupérer son argent, la victime doit d’abord effectuer un versement. Les escrocs invoquent différents prétextes comme des frais de dossier, des honoraires d’avocats, des coûts administratifs ou des taxes. Dès que la victime a effectué le paiement, les cybercriminels coupent tout contact ou prétextent d’autres frais urgents pour lui soutirer un montant encore plus élevé. La victime perd ainsi une nouvelle fois de l’argent et n’obtient bien entendu aucun remboursement.

Recommandations
Faites preuve d’une grande vigilance à l’égard des courriels spontanés qui promettent de vous rembourser l’argent que vous avez perdu.
Ne faites jamais aucun versement pour récupérer de l’argent que vous avez perdu. Aucun organe officiel ne vous demandera d’effectuer un paiement préalable.
Ne donnez jamais l’accès à votre ordinateur à votre interlocuteur.
Vérifiez l’adresse électronique de l’expéditeur. Les autorités comme l’OFCS ou le NCSC ne font jamais appel à un fournisseur de messagerie gratuite pour communiquer.
Ne répondez pas à ces courriels et ne cliquez pas sur les liens ou les pièces jointes qu’ils contiennent.
En cas de perte financière, déposez plainte auprès de la police de votre canton.

ncsc.admin.ch Office fédéral de la cybersécurité OFCS 09.09.2025 -

L’OFCS enregistre actuellement de nombreux signalements concernant des SMS prétendant être des amendes de stationnement en Suisse romande. Il est frappant de constater que les personnes concernées par ces SMS de phishing se trouvent toujours au préalable dans des lieux similaires. Cela indique que les cybercriminels utilisent dans ces cas des outils techniques permettant de manipuler l’envoi de SMS. À l’aide de petites stations de téléphonie mobile portables et manipulées, qui tiennent dans un sac à dos, les fraudeurs peuvent par exemple capter le signal mobile des téléphones et envoyer ainsi des SMS aux appareils situés à proximité.

Au cours des dernières semaines, le service de signalement de l’OFCS a reçu de nombreux signalements concernant des tentatives d’hameçonnage par SMS envoyés à des personnes en Suisse romande. Les tentatives d’hameçonnage par le biais de prétendues amendes de stationnement sont un phénomène connu et sont régulièrement signalées à l’OFCS. Les personnes concernées reçoivent des e-mails ou des SMS de cybercriminels se faisant passer pour des policiers, leur indiquant qu’elles ont un retard de paiement d’une amende. Le message contient un lien vers une fausse page de paiement qui ressemble à s’y méprendre au portail officiel des autorités. Les demandes sont délibérément formulées de manière vague afin de toucher le plus grand nombre possible de destinataires. L’objectif des malfaiteurs est de récupérer les données de cartes de crédit ou d’autres informations personnelles.

Alors que les fausses contraventions ont principalement été envoyées par e-mail ces dernières semaines, elles sont désormais envoyées par SMS.

SMS avec la fausse amende de stationnement (à gauche). Le lien renvoie vers un faux site web sur lequel il faut payer l’amende et saisir les données de sa carte de crédit.
SMS avec la fausse amende de stationnement (à gauche). Le lien renvoie vers un faux site web sur lequel il faut payer l’amende et saisir les données de sa carte de crédit.
Tous les destinataires en Suisse romande
Les nouveaux signalements présentent en outre un élément commun notable. Tous les destinataires se trouvaient dans la même zone géographique dans la romandie, peu avant la réception du SMS. Cette constatation laisse supposer l’existence d’une méthode permettant aux fraudeurs d’envoyer des SMS de manière ciblée à leurs victimes. Un signalant a fourni une autre information précieuse : la norme de téléphonie mobile de son smartphone est passée de la 4G à la 2G peu avant la réception du SMS. Il a ensuite reçu le SMS contenant le lien frauduleux, après quoi le standard est repassé à la 4G. Tous ces indices suggèrent que les attaquants utilisent ce qu’on appelle un « SMS Blaster ».

Une nouvelle dimension : le phishing via SMS Blaster
Un SMS Blaster permet d’envoyer des messages texte (SMS) à plusieurs personnes simultanément. Il s’agit d’un appareil mobile, de la taille d’un boîtier d’ordinateur, qui se fait passer pour une antenne-relais de téléphonie mobile. Les cybercriminels cachent ces appareils dans des coffres de voiture, des sacs à dos ou les transportent à vélo. L’appareil émet un signal puissant et demande à tous les smartphones situés dans un rayon de 500 à 1 000 mètres de se connecter à lui.

L’astuce perfide : l’appareil se fait passer pour la meilleure station de base disponible. Dès que votre smartphone se connecte, vous recevez automatiquement un faux SMS, sans que les fraudeurs aient besoin de connaître votre numéro de téléphone. Il existe également des mécanismes qui garantissent qu’un appareil ne se connecte qu’une seule fois à la fausse station de base mobile pendant une période donnée et ne reçoit le SMS qu’une seule fois, de sorte que l’attaquant peut circuler plusieurs fois autour du même site.

Comment fonctionne ce type d’attaque ?
Les SMS Blaster sont une évolution des IMSI Catcher. Les IMSI Catcher sont des appareils qui permettent de lire l’International Mobile Subscriber Identity (IMSI) enregistrée sur la carte SIM d’un téléphone portable et de localiser un téléphone portable à l’intérieur d’une cellule radio. Les SMS Blaster exploitent cette technologie en combinaison avec une faille dans la norme de téléphonie mobile 2G obsolète : les IMSI Catcher associés à cette faille sont utilisés pour envoyer des SMS aux appareils des utilisatrices et utilisateurs à l’insu de leur opérateur mobile. Cela permet de contourner les filtres SMS mis en place et étendus par l’opérateur, seuls les filtres installés sur l’appareil (le cas échéant) restant actifs.

Sur le plan technique, il s’agit de fausses stations de base de téléphonie mobile (FBS) qui se connectent à un réseau mobile et se font passer pour des cellules radio légitimes.

Une séquence typique :

Les appareils envoient un signal puissant pour inciter les téléphones portables situés à proximité à se connecter à eux.
L’appareil force le téléphone portable à passer en 2G, un réseau obsolète présentant des failles connues.
Une autre faille permet d’envoyer directement à l’appareil n’importe quel SMS avec un expéditeur falsifié.
Le numéro de l’expéditeur ne peut être ni vérifié ni bloqué, car il peut être choisi librement.
La lutte contre ces menaces passe par la coopération
L’OFCS est conscient de la menace que représente SMS Blaster et collabore étroitement avec les polices cantonales, les entreprises de télécommunication, le Service de renseignement de la Confédération (SRC) et l’Office fédéral de la communication (OFCOM) afin de contrer ce phénomène.

Recommandations
Méfiez-vous des SMS qui vous demandent d’effectuer un paiement, en particulier ceux qui font état d’amendes de stationnement.
Ne cliquez pas sur les liens contenus dans des SMS suspects.
Ne saisissez jamais vos données personnelles ou vos numéros de carte de crédit sur des sites inconnus.
Vérifiez toujours les demandes directement auprès des autorités officielles.dans des lieux similaires. Cela indique que les cybercriminels utilisent dans ces cas des outils techniques permettant de manipuler l’envoi de SMS. À l’aide de petites stations de téléphonie mobile portables et manipulées, qui tiennent dans un sac à dos, les fraudeurs peuvent par exemple capter le signal mobile des téléphones et envoyer ainsi des SMS aux appareils situés à proximité.

Une activité malveillante a été détectée sur le site de la CGN. Les clients ayant effectué des opération durant cette période ont été alertés.

Le site internet de la CGN a été victime d’une cyberattaque, rapporte l’entreprise dans un communiqué de presse ce jeudi. «Mardi 2 septembre 2025, en milieu d’après-midi, une activité suspecte a été détectée» sur celui-ci. «Le site a été aussitôt mis hors service», détaille la compagnie.

Les analyses menées ont montré que «le script malveillant a été actif cinq jours avant sa détection», précise le communiqué. «L’attaque a été stoppée immédiatement et des mesures de sécurité renforcées ont été mises en place. Les mesures correctives ayant été faites, le site a été réactivé aujourd’hui (ndlr: ce jeudi)», ajoute la CGN.

Plusieurs centaines de clients concernés
Par mesure de précaution, «les quelque 400 clients ayant réalisé des opérations durant la période identifiée ont été informés et invités à vérifier leur relevé de transaction et à contacter leur banque». L’entreprise affirme que la probabilité que des données puissent être utilisées est faible, «notamment si la société émettrice de la carte de crédit utilise la double authentification ou d’autres mesures de sécurité avancées».

L’entreprise rapporte qu’aucun «système interne de la CGN n’a été mis en danger ou exposé lors de cette attaque». Une plainte pénale sera déposée.

clubic.com
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 01 septembre 2025 à 08h04

La plateforme TikTok Shop commercialise des trackers GPS qui ressemblent au fameux AirTag d'Apple depuis des vidéos virales qui encouragent l'espionnage de ses proches ou de son ou sa partenaire. Les ventes dépasseraient déjà les 100 000 unités.

La marketplace de TikTok héberge des vendeurs de dispositifs de géolocalisation de type AirTag. Les commerçants opèrent leurs ventes à l'aide d'arguments publicitaires qui incitent directement à surveiller secrètement son partenaire. Des vidéos aux millions de vues, des dizaines de milliers de ventes, et une modération défaillante malgré les alertes ont été signalées aux États-Unis. Si la plateforme chinoise affirme interdire ces contenus, elle peine visiblement à les supprimer, ce qui contribue à normaliser les comportements abusifs sur le célèbre réseau social.

Des vidéos à plusieurs millions de vues normalisent sur TikTok l'espionnage conjugal
D'après l'enquête menée récemment par 404 Media, les vendeurs de trackers GPS assument totalement leur positionnement toxique. « Si ta copine dit qu'elle sort juste avec des amies tous les soirs, tu ferais mieux d'en coller un sur sa voiture », peut-on entendre dans une vidéo vue des millions de fois. Le dispositif, carrément présenté comme indétectable contrairement aux AirTags, fait miroiter aux potentiels acheteurs une surveillance mondiale, grâce à la carte SIM intégrée.

Les interactions sous ces publications sont d'ailleurs symptomatiques. Un utilisateur confie dans les commentaires : « J'en ai acheté et les ai mis sur les voitures de filles que je trouve attirantes à la salle de sport. » Oui, c'est flippant, surtout lorsque le vendeur répond avec désinvolture par un émoji rieur. D'après les métriques de TikTok Shop, l'un des traceurs s'est vendu à plus de 32 500 exemplaires, quand un autre affiche quasiment 100 000 unités écoulées.

Eva Galperin, co-fondatrice de la Coalition Against Stalkerware, la coalition contre les logiciels espions, est dépitée. « C'est tout bonnement présenté comme un outil d'abus. » Elle explique que tout dispositif justifié par « attraper son partenaire en train de tromper » facilite le contrôle coercitif. Le pire, c'est que les vidéos multiplient les prétextes pour essayer de toucher plus d'utilisateurs, comme une méfiance conjugale, les références à Coldplay et à l'ex-patron d'Astronomer piégé par une kiss cam, le tout avec des accroches comme « les hommes avec des femmes infidèles, vous pourriez en vouloir un ».

TikTok supprime quelques vidéos mais le problème persiste
Questionné par 404 Media, TikTok a supprimé certaines vidéos et banni un compte, en ajoutant interdire « les contenus qui encouragent la surveillance secrète ». Pourtant, au lendemain de la réponse, le média a déniché des vidéos identiques, qui restaient accessibles. Dès qu'un utilisateur clique sur l'une de ces vidéos, l'algorithme de TikTok Shop lui recommande des produits similaires, notamment des enregistreurs audio secrets vendus avec les mêmes arguments toxiques.

Aux États-Unis, d'où lesdites vidéos ont été publiées, onze États interdisent explicitement le tracking GPS dans leurs lois anti-harcèlement, et quinze considèrent comme illégale la surveillance véhiculaire sans consentement. Les vendeurs jouent sur l'ambiguïté. Certains vont même jusqu'à manier l'ironie dans leur vidéo : « C'est illégal de tracer les gens ? Je ne sais pas, je ne suis pas avocat, mais vous aurez probablement des problèmes ». On n'arrête pas les progrès, mais surtout les dérives.

incyber.org Marie De Freminville
26.08.25

La directive NIS2 (Network and Information Security 2), adoptée par l'Union européenne, devait être transposée par chaque État membre de l’UE en droit national, au plus tard en octobre 2024, avec des processus et plannings de transposition spécifiques à chaque pays.
Compte-tenu de l’augmentation des menaces cyber, elle impose des normes plus strictes en matière de cybersécurité, de gestion des risques, et de réaction aux incidents, que la directive NIS, datant de 2016.
Cette nouvelle directive élargit les attentes et le champ d’application. Elle a pour objectif d’anticiper les nouvelles formes d’attaques, de passer d’une approche réactive à une stratégie proactive, et de mettre en place une collaboration étendue, pour l’ensemble de l’écosystème, afin d’assurer la résilience des infrastructures critiques.

Son champ d’application est plus large et s’étend aux entités considérées comme essentielles ou importantes (ex. : énergie, transport, santé, infrastructures numériques, administration publique, etc.). Pour plus de détails, consulter https://monespacenis2.cyber.gouv.fr/directive/.

NIS2 n’est pas directement applicable en Suisse. Néanmoins, une entreprise suisse, est concernée, notamment si elle fait partie de la chaîne d’approvisionnement critique d’entreprises de l’Union européenne soumises à NIS2. Par exemple en tant que fournisseur de services numériques, ou infrastructures critiques transfrontalières, ou si elle opère au sein de l’Union européenne, à travers une filiale, qui rentre dans le périmètre de NIS2 (champ d’application mentionné ci-dessus).

Au-delà de la stricte conformité, le respect des standards européens dans le domaine numérique constitue un pilier de la confiance entre les entreprises suisses et leurs partenaires ou clients européens, et l’application de ces standards renforcera la sécurité des entités suisses qui s’y conformeront.

Les principales questions à se poser:

Mon entreprise a-t-elle une filiale, succursale, ou entité juridique dans un pays de l’UE ?
Mon entreprise fournit-elle des services à des clients situés dans l’UE (entreprises, États, infrastructures critiques) ?
Mon entreprise héberge-t-elle, traite-t-elle ou transporte-t-elle des données de citoyens européens ?
Mon entreprise opère-t-elle dans un secteur “essentiel” ( énergie, santé, banques, transport, infrastructures numériques, eau, espace, administration publique) ou important (agroalimentaire, services numériques, recherche, chimie, déchets, fabrication critique)?
Si l’entreprise suisse répond à l’un de ces critères, ou si le contrat qui la lie à son client contient des obligations de conformité à NIS2, elle doit s’assurer que son dispositif de cybersécurité comprend notamment:

Un CISO ou responsable cybersécurité clairement identifié,
Une politique de cybersécurité formelle, validée par la direction,
Une procédure de gestion des incidents (notification ≤ 24h),
Des analyses de risques réguliers, des audits et tests, visant à s’assurer de la solidité du dispositif,
Des formations à la cybersécurité pour administrateurs et dirigeants.
Dans le secteur financier, les institutions bancaires ayant une filiale / succursale dans l’UE ou agissant en tant que sous-traitant ou partenaire de banques/acteurs européens devront mettre en place:

Une gouvernance de la cybersécurité au niveau du conseil d’administration, nommer un responsable cybersécurité (CISO) au niveau exécutif, réviser la stratégie de cybersécurité, mettre en place un comité de sécurité informatique.
Une cartographie et une gestion des risques liés à la sécurité des systèmes d’information : identifier les actifs essentiels au fonctionnement de la banque, inclure la chaîne d’approvisionnement, les fournisseurs IT et interconnexions.
Des procédures de notification d’incidents dans des délais très courts (24 heures), et un plan de réponse aux incidents cyber.
Des audits de conformité, et un tableau de bord (suivi des indicateurs de sécurité et des exigences NIS2).
Une vérification de la maturité des fournisseurs de services bancaires numériques, IT, cloud, etc. dans le domaine de la cybersécurité, c’est-à-dire leur imposer le respect des standards NIS2.
Un programme de sensibilisation et formation pour les collaborateurs, les dirigeants et le conseil d’administration.
Une mise à jour des contrats avec les fournisseurs IT, et une vérification des niveaux de sécurité des sous-traitants.
Le secteur bancaire est déjà très réglementé : la FINMA (autorité des marchés financiers en Suisse) impose des exigences strictes via ses circulaires, comme 2018/3 « Outsourcing » et 2023/1 « Gestion des risques informatiques », fondées sur le risque et la proportionnalité.

Les initiatives de la Confédération (NCSC) s’inscrivent aussi dans une logique de rapprochement avec les standards européens.

Autres entités essentielles du secteur financier, les IMF (Infrastructures de Marchés Financiers) : plateformes de négociation (bourses, MTF- Multi Trading Facilities, OTF- Organised Trading Facilities, systèmes de cotation), chambres de compensation (CCP), dépositaires centraux de titres (CSD), systèmes de règlement, fournisseurs d’indicateurs de référence critiques, opérateurs de données de marché réglementés.

En Suisse, ces entités incluent des acteurs comme SIX Group, SIX x-clear, SIX SIS, ou Swiss Interbank Clearing (SIC), qui gèrent des systèmes critiques nationaux, mais aussi interconnectés avec l’UE.

Bien que la Suisse ne soit pas soumise directement à NIS2, ses IMF opèrent à l’international, en particulier dans l’UE et traitent des données financières critiques, souvent partagées avec des contreparties européennes.

Bien qu’elles soient déjà soumises à des réglementations rigoureuses, comme LFIN, LBVM, Règlement sur l’infrastructure des marchés financiers, directives FINMA, standards ISO 27001/22301, etc., les IMF suisses devront démontrer leur conformité équivalente aux exigences NIS2, même de façon contractuelle ou opérationnelle.

Dans le secteur de la santé, les hôpitaux et cliniques, les laboratoires, les fournisseurs de soins critiques, les entreprises technologiques médicales (eHealth, MedTech, télémédecine) et les prestataires IT (cloud santé, DMP, plateformes de données médicales) collaborant avec l’UE, sont considérés comme entités essentielles (Annexe I de NIS2).

Comme dans l’industrie bancaire, les entreprises de ce secteur ont de nouvelles obligations et doivent être en mesure de produire les documents suivants:

Politique cybersécurité Santé (avec exigences NIS2),
Analyse de risques IT / DMP / IoMT,
Procédure de notification d’incidents,
Registre de conformité / tableau de bord,
Rapports d’audit / plans de remédiation,
Attestations de sensibilisation / format.
Dans le secteur de l’énergie, les opérateurs de réseaux, les producteurs, les fournisseurs, et les prestataires techniques (ex : SCADA: système de supervision industrielle, OT : operational technology, cloud industriel) doivent se conformer à NIS2, dans la mesure où ils doivent répondre aux attentes de partenaires européens et autorités européennes, avec un objectif de renforcer la résilience des infrastructures critiques.

Par ailleurs, les entreprises de ce secteur doivent anticiper l’évolution du droit suisse (LSI, OICN, etc.), qui doit converger avec NIS2, par le biais de l’Ordonnance sur la protection des infrastructures critiques (OICN) et les directives de l’OFEN et du NCSC.

Les particularités du secteur de l’énergie sont les suivantes:

Inclure l’OT, la production, les fournisseurs et la télégestion dans la politique de sécurité
Créer un comité cybersécurité interdisciplinaire avec les représentants IT, OT, opérations, conformité,
Cartographier les systèmes critiques : supervision automatisée, contrôle distribué, réseaux de distribution, postes haute tension, infrastructures partagées avec l’UE
Renforcer les mesures de sécurité sur les systèmes informatiques industriels (notamment séparation des environnements et contrôle des accès), détecter les incidents, mettre en place un plan de continuité d’activité / reprise des activités, revoir les contrats des fournisseurs IT avec une clause de conformité NIS2.
Former les administrateurs et dirigeants, mais aussi les opérateurs industriels et informatiques.
Dans le secteur des transports, la directive NIS2 couvre toutes les formes de transport critiques: aérien (compagnies aériennes, gestionnaires d’aéroports, contrôle aérien), ferroviaire (opérateurs ferroviaires, gestionnaires d’infrastructures, services d’aiguillage), maritime (ports, transporteurs maritimes, systèmes de navigation, opérateurs de fret), et routier (sociétés d’autoroutes, gestion du trafic, plateformes logistiques essentielles (moins prioritaire mais possible selon les pays membres)

La Suisse étant étroitement interconnectée avec les réseaux européens, est partie prenante d’accords transfrontaliers (ex : transport ferroviaire européen, sécurité aérienne avec l’EASA, corridors logistiques). Elle est soumise à ses propres cadres de cybersécurité (p. ex. OICN, LSI, exigences de l’Office fédéral des transports – OFT) et ses entreprises de transport sont donc fortement incitées à s’aligner volontairement sur NIS2, et notamment à sécuriser les systèmes industriels (isolation, segmentation réseau, surveillance des SCADA), identifierindemtifier les systèmes interconnectés avec l’UE.

Enfin, les infrastructures numériques suisses sont étroitement interconnectées à celles de l’UE ( interconnexion Internet, transit IP, cloud européens, réseaux transfrontaliers), elles sont susceptibles d’héberger ou transporter des données européennes (dans le cas d’acteurs cloud ou de services numériques globaux).

Elles sont soumises à la Loi sur la sécurité de l’information (LSI), la Loi sur les télécommunications (LTC), et aux recommandations du NCSC et du SEFRI.qui sont un pilier central de la directive NIS2.

Les fournisseurs d’infrastructure numérique suisses (fournisseurs de services DNS, registres de noms de domaine, services cloud critiques, data centers critiques, réseaux de diffusion de contenu, points d’échange Internet ) opérant en Europe ou servant des clients européens doivent démontrer un niveau de sécurité équivalent à celui exigé par NIS2, souvent via des audits, certifications ou clauses contractuelles.

Elles doivent donc cartographier les clients/services exposés à l’UE, renforcer détection, résilience, surveillance, définir des procédures claires, audits, documentation, contrôler leurs sous-traitants et leur conformitéconformiter à NIS2 (clause à introduire à leurs contrats).

En conclusion, bien que la Suisse impose à ses entreprises des réglementations dans le domaine des risques cyber, les attentes et le champ d’application ne sont pas exactement les mêmes que dans la directive NIS2.

Il est donc important de vérifier, pour les entreprises suisses qui entrent dans le champ d’application NIS2, et qui opèrent avec l’UE, quelles actions mener pour renforcer le dispositif de cybersécurité, indispensable pour maintenir des relations de confiance avec les clients et partenaires, et pour répondre à leurs exigences règlementaires.

www.usine-digitale.fr Alice Vitard
26 août 2025

Dans le cadre du Cyber Solidarity Act, l'Agence de l'Union européenne pour la cybersécurité se voit confier la gestion de la réserve européenne de cybersécurité. Grâce à une enveloppe de 36 millions d'euros, elle est chargée de sélectionner et de coordonner des prestataires capables d'intervenir en cas d'incidents de grande ampleur.

La Commission européenne et l'Agence de l'Union européenne pour la cybersécurité (European Union Agency for Cybersecurity, ENISA) ont annoncé le 26 août avoir signé un accord de contribution qui confie à l'Enisa l'administration et le fonctionnement de la réserve européenne de cybersécurité. Une enveloppe de 36 millions d'euros sur trois ans lui a ainsi été attribuée.

Répondre aux incidents à grande échelle
Cette réserve est prévue à l'article 14 du Cyber Solidarity Act, texte adopté en 2024 pour doter l'Union de moyens renforcés pour détecter, préparer et répondre aux cyberattaques à grande échelle. Elle doit permettre à l'UE de disposer de capacités communes de réponse aux incidents majeurs.

En pratique, la réserve est conçue comme un mécanisme de soutien mobilisable en cas d'incident transfrontalier significatif. Il s'appuie sur un réseau de prestataires de services managés de confiance, pré-sélectionnés via des appels d'offres publics. Ces prestataires peuvent intervenir pour contenir une attaque, assurer une continuité de service ou encore accompagner la reprise après incident.

A noter que le dispositif inclut une clause de flexibilité. En effet, si les services pré-engagés ne sont pas utilisés pour des réponses à incident, ils pourront être convertis en services de préparation (tests de sécurité, exercices de crise et audit de résilience).

La réserve ouverte à un panel d'acteurs
Dans le détail, la réserve sera ouverte aux secteurs critiques définis par la directive NIS 2, aux institutions, agences et organes de l'UE. Sous certaines conditions, les pays tiers associés au programme "Europe numérique" pourront également y avoir accès.

L'Enisa se voit confier quatre missions : lancer et gérer les marchés publics pour sélectionner les prestataires, évaluer les demandes d'assistance provenant des Etats membres, transmettre les demandes de pays tiers à la Commission européenne pour validation ainsi que de suivre et contrôler l'exécution des services fournis par les prestataires de services.

L'accord de contribution prévoit un financement de 36 millions d'euros sur trois ans. Ces fonds s'ajoutent au budget annuel de 26,9 millions d'euros. Ils sont alignés sur la durée de mise à disposition des services. Leur utilisation est contrôlée par l'exécutif européen.

Combler le manque de réponse coordonnée
En mutualisant les ressources, la réserve européenne a pour objectif de combler une lacune de longue date : l'absence d'une capacité de réponse coordonnée aux attaques de grande ampleur. Dans ce cadre, le Cyber Solidarity Act prévoit également le déploiement de SOC transfrontaliers ainsi que des financements européens spécifiques pour soutenir la montée en capacité des Etats membres en matière de sécurité informatique.

ncsc.admin.ch NCSC/OFCS 26.08.2025 - La semaine dernière, l’Office fédéral de la cybersécurité (OFCS) a enregistré une augmentation significative du nombre de signalements de phishing utilisant de fausses notifications de colis. Dans ce type d’attaque par SMS, les fraudeurs se font passer pour la Poste Suisse ou DPD afin d’obtenir des données sensibles des citoyennes et citoyens. Les utilisatrices et utilisateurs de produits Apple sont particulièrement touchés. Dans notre revue hebdomadaire, vous apprendrez comment reconnaître ces messages et vous en protéger.

Actuellement, l’OFCS reçoit de nombreux signalements concernant des SMS de phishing prétendant provenir de la Poste Suisse et de DPD. La vague d’attaques actuelle utilise de manière ciblée des protocoles de messagerie modernes tels que « iMessage » d’Apple et « Rich Communication Services » (RCS) d’Android. Contrairement aux SMS traditionnels, ces messages sont chiffrés de bout en bout. Ce chiffrement, qui est en réalité une fonctionnalité de sécurité destinée à protéger la vie privée, est exploité de manière stratégique par les cybercriminels. Il empêche les opérateurs de téléphonie mobile de scanner le contenu des messages à la recherche de liens malveillants et de les bloquer. Les escrocs contournent ainsi une ligne de défense importante et s’assurent que leurs messages atteignent très probablement les terminaux des victimes potentielles.

« iMessage » et messages groupés avec titre
Un aspect particulièrement perfide de cette méthode réside dans la manière dont les messages sont présentés. Les escrocs utilisent une fonctionnalité du RCS qui permet de donner un nom personnalisé aux messages groupés. Les victimes reçoivent ainsi une notification qui leur donne l’impression d’avoir été ajoutées à un groupe officiel tel que « Informations de livraison postale ». Cela semble beaucoup plus légitime qu’un simple message provenant d’un numéro étranger inconnu et réduit le seuil d’inhibition des destinataires.

Les malfaiteurs ont également recours à une astuce pour contourner les mesures de sécurité intégrées aux smartphones. Les systèmes d’exploitation modernes désactivent les liens contenus dans les messages provenant d’expéditeurs inconnus afin d’empêcher les utilisateurs d’accéder accidentellement à des sites de phishing. Les fraudeurs demandent donc aux victimes de répondre « Y » au message. Cette action est interprétée par le système d’exploitation comme une preuve de confiance, après quoi le lien malveillant, auparavant inactif, est activé et peut être cliqué. Les escrocs incitent ainsi leurs victimes à réduire activement la sécurité de leur propre appareil.

Toute la campagne est conçue pour manipuler psychologiquement les gens. En imitant des enseignes connues comme « La Poste Suisse », elle exploite le principe d’autorité. Tu trouveras plus d’infos sur ce principe dans la rétrospective hebdomadaire 31/2025. Parallèlement, les messages créent une pression énorme en utilisant des formulations telles que « la livraison n’a pas pu être effectuée » et en fixant des délais très courts pour une prétendue nouvelle livraison. Cette urgence vise à empêcher toute réflexion rationnelle et à inciter les destinataires à agir de manière impulsive. En cliquant sur le lien, l’utilisateur est redirigé vers une fausse page du site web officiel du service de livraison de colis, conçue de manière professionnelle. Sous prétexte de frais de réexpédition minimes, le site demande alors les données de la carte de crédit et d’autres informations personnelles.

ZATAZ » zataz.com Posted On 21 Août 2025By : Damien Bancal

Bis repetita pour Auchan. Aprés la fuite de novembre de 2024, voici une nouvelle cyber attaques concernant les données des clients Auchan révélées. Les cartes waaoh sont bloquées pour ne pas perdre le cagnottage !

Auchan est à nouveau la cible d’un piratage : les données personnelles de clients liées à leur carte fidélité ont été exposées. Civilité, nom, prénom, adresses, téléphone, e‑mail et numéro de carte ont été consultés sans autorisation. Les données bancaires, mots de passe et codes PIN sont épargnés. Des cartes ont été désactivées, obligeant les clients à se rendre en magasin pour récupérer leur cagnotte via une nouvelle carte Waaoh.

Un nouveau choc discret mais massif
La scène se répète, et pourtant elle frappe toujours par son brutal réalisme. Des clients reçoivent un message laconique : « Nous vous écrivons afin de vous informer qu’Auchan a été victime d’une cyberattaque. » En quelques lignes, la mécanique est posée. La cyberattaque a entraîné un accès non autorisé à des données personnelles rattachées aux comptes de fidélité : civilité, statut client professionnel, nom, prénom, adresses email et postale, numéro de téléphone, numéro de carte fidélité.

La communication interne tente de rassurer : aucune donnée bancaire, mot de passe ou code PIN ne serait concerné. Mais derrière cette affirmation se cache une réalité plus complexe. Car le périmètre de l’intrusion touche à l’identité du client, son profil complet, ouvrant la voie à de multiples usages malveillants : usurpation, phishing, ciblage commercial illégal.

Le piratage, non encore médiatisé au moment de notre publication, s’est accompagné d’un geste concret : les cartes fidélité des clients concernés ont été désactivées. Pour récupérer l’accès à leur cagnotte waaoh, les clients doivent se déplacer en magasin afin de se voir attribuer une nouvelle carte. Cette mesure, discrète mais significative, confirme la gravité de l’incident.

A noter que le courrier d’alerte d’Auchan de ce 21 août, est mot pour mot l’alerte de novembre de 2024. A sa première lecture, j’ai même cru à une tentative de fraude !

Une riposte immédiate mais silencieuse
Auchan a rapidement notifié la Commission nationale de l’informatique et des libertés (CNIL), comme le prévoit la réglementation européenne sur la protection des données (RGPD). La communication évoque une réaction « avec la plus grande rigueur » et des mesures immédiates pour mettre fin à l’attaque. Aucune information n’a encore filtré sur la nature de l’intrusion : vecteur, auteur, durée, ou origine de l’attaque. S’agit-il d’un acte isolé, ou d’un épisode dans une série plus large de compromissions, comme celle révélée en novembre 2024, qui avait déjà affecté les données de plus de 500 000 clients ? Rien ne permet pour l’heure d’en juger. Il est cependant interessant de remarquer que cette alerte fait suite à plusieurs autres concernant Orange Belgique, Air France/KLM, Etc. La fuite provenant d’un partenaire.

La désactivation des cartes et la nécessité de se déplacer en magasin introduisent une friction inhabituelle dans le parcours client, révélant, comme ZATAZ a déjà pu vous le raconter, que le système de fidélité, souvent perçu comme périphérique, est une zone sensible.

La fidélité comme faille stratégique
Le programme de fidélité, pierre angulaire de la relation client dans la grande distribution, constitue un gisement de données hautement exploitables : habitudes d’achat, données personnelles, historique de consommation. En ciblant cette couche spécifique, les cybercriminels cherchent à déstabiliser l’image de la marque tout en récoltant des données facilement revendables sur les places de marché illégales.

ncsc.admin.ch 19.08.2025 - La semaine dernière, deux incidents ont été signalés à l’OFCS dans lesquels des cybercriminels ont tenté d’inciter des destinataires à installer des logiciels malveillants. Ces cas illustrent à quel point les méthodes ont évolué : Il est aujourd’hui beaucoup plus difficile d’introduire un logiciel malveillant sur un ordinateur qu’il y a quelques années. Les cybercriminels ont donc de plus en plus recours à des techniques sophistiquées d’ingénierie sociale pour atteindre leurs objectifs.

Au cours du premier semestre 2025, seuls 182 cas liés à des logiciels malveillants ont été signalés à l’OFCS via le formulaire de signalement, ce qui ne représente qu’environ 0,4 % de l’ensemble des signalements reçus pendant cette période. Ce faible nombre peut être interprété de deux manières. D’un point de vue positif, les mécanismes de protection techniques tels que les programmes antivirus et les filtres anti-spam sont désormais si efficaces qu’ils bloquent la plupart des attaques de logiciels malveillants avant même qu’elles ne soient exécutées, ce qui réduit le nombre de signalements à l’OFCS. Dans une optique négative, on peut toutefois considérer que les attaques sont devenues si sophistiquées qu’elles ne sont pas détectées par les personnes concernées et ne font donc pas l’objet de signalements.

Le recours à des logiciels malveillants n’a toutefois pas complètement disparu. Ces derniers temps, l’OFCS reçoit à nouveau davantage de signalements concernant des e-mails visant à diffuser des logiciels malveillants, comme l’illustrent les deux exemples actuels suivants, survenus la semaine dernière.

Fausse facture au nom d’Intrum
La semaine dernière, de fausses factures ou des rappels ont été envoyés par e-mail au nom de la société de recouvrement Intrum. Le message fait référence à une prétendue facture QR en pièce jointe, qui doit être ouverte pour être payée. En réalité, la pièce jointe n’est pas un fichier PDF, mais un fichier HTML.

Lors de l’ouverture, le destinataire reçoit un message indiquant que le fichier PDF ne peut pas être affiché, car JavaScript est désactivé.

Pour activer le JavaScript, il faut appuyer sur les touches « Windows+R » et « Ctrl+V » – une méthode bien connue qui a déjà été évoquée dans une précédente rétrospective hebdomadaire de l’OFCS. Lors du chargement du fichier HTML, un script PowerShell malveillant est copié dans le presse-papiers de l’ordinateur. Un script PowerShell est un fichier texte contenant les commandes que l’ordinateur doit exécuter.

En appuyant sur cette combinaison de touches, une fenêtre s’ouvre dans laquelle vous pouvez exécuter des commandes. La combinaison de touches « Ctrl+V » insère la commande malveillante du presse-papiers dans cette fenêtre. L’ordinateur se connecte ensuite à un serveur des malfaiteurs et un logiciel malveillant est téléchargé et installé.

Prétendue demande de paiement de l’UBS
Un autre cas concerne une fausse demande de paiement au nom d’UBS. Là encore, le destinataire est invité à ouvrir un fichier joint à l’e-mail. Dans ce cas, il s’agit bien d’un fichier PDF, mais celui-ci est protégé par un mot de passe. Le mot de passe est toutefois fourni directement dans l’e-mail, pour plus de commodité.

Cette procédure sert probablement à contourner les mécanismes de sécurité tels que les filtres anti-spam et les programmes antivirus, car ceux-ci ne peuvent pas analyser le contenu du fichier protégé par mot de passe. Une fois le mot de passe saisi, le fichier PDF s’ouvre et indique que le véritable contenu se trouve sur un lecteur OneDrive.
Le lien indiqué mène au téléchargement d’un fichier archive contenant un fichier « batch ». Il s’agit d’un fichier texte exécutable qui contient des commandes. Son exécution entraîne le téléchargement et l’installation du logiciel malveillant, comme dans le premier exemple.

Ces deux exemples montrent à quel point les attaques sont désormais complexes et articulées sur plusieurs niveaux. Un simple fichier exécutable joint à un e-mail ne suffit plus depuis longtemps pour infecter un ordinateur. Les pirates misent désormais sur des manœuvres de diversion sophistiquées pour contourner les mécanismes de protection techniques et inciter les victimes à jouer un rôle actif. La vigilance et la sensibilisation restent donc des éléments centraux de la cybersécurité.

Recommandations
Ne cliquez pas sur les liens contenus dans les e-mails et les SMS.
Si vous attendez un rappel, contactez l’agence de recouvrement ou la caisse d’assurance maladie afin de vérifier si la créance est bien justifiée. Utilisez pour cela les coordonnées figurant sur les sites Internet officiels des entreprises.
Si vous soupçonnez l’installation d’un logiciel malveillant, adressez-vous à un magasin spécialisé en informatique. Le plus sûr est de réinstaller complètement votre ordinateur. N’oubliez pas de sauvegarder toutes vos données personnelles au préalable.
Après la réinstallation, modifiez tous vos mots de passe pour tous vos accès en ligne (e-mail, réseaux sociaux, etc.).