Des hackers chinois s'intéressent au gouvernement français

Contexte général

En septembre 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a détecté une campagne d’intrusions visant de nombreuses entités françaises. Les secteurs touchés incluent l’administration, les télécommunications, les médias, les transports et la finance. L’attaque n’a pas été limitée à la France, mais s’est également étendue à d’autres pays européens, à l’Amérique du Sud et à l’Asie du Sud-Est. L’origine de la menace est attribuée à un groupe cybercriminel d’origine chinoise, nommé Houken par l’ANSSI et identifié comme UNC5174 par Google Mandiant. Ce groupe est également connu sous les noms Uteus ou Uetus. Leur objectif principal semble être l’espionnage, mais certains aspects de leurs opérations suggèrent également une finalité commerciale.

Vulnérabilités exploitées

Les attaquants ont ciblé spécifiquement les appliances Ivanti Cloud Service Appliance (CSA), un composant utilisé pour la gestion sécurisée des connexions VPN. Plusieurs failles zero-day ont été découvertes et utilisées par les pirates, notamment CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190. Ces vulnérabilités ont permis une exécution de code à distance sans authentification. Une fois l’accès initial obtenu, les attaquants ont injecté des web shells PHP et modifié des scripts existants pour maintenir une présence persistante sur les systèmes compromis.

Chaîne d’infection et techniques utilisées

L’infection débute par l’exploitation des failles zero-day. Cela permet l’installation de fichiers PHP malveillants, dont certains sont inspirés d’outils comme Behinder et neo-reGeorg. Ensuite, un module noyau malveillant est installé, souvent identifié sous le nom sysinitd.ko, accompagné d’un script d’installation nommé install.sh. Ce module fonctionne comme un rootkit au niveau noyau, fournissant aux attaquants un accès complet avec les privilèges root. Il permet également d’établir des tunnels HTTP ou HTTPS, facilitant ainsi les mouvements latéraux à l’intérieur du réseau.

Après cette phase, plusieurs outils de post-exploitation sont déployés. GOREVERSE et SNOWLIGHT sont deux composants de tunneling utilisés pour maintenir des connexions discrètes. SNOWLIGHT, également connu sous le nom dnsloger, permet un contrôle distant via DNS. Le groupe utilise aussi un agent personnalisé appelé VShell, qui exploite les WebSockets pour maintenir une communication entre les systèmes compromis et leurs serveurs de commande et de contrôle. VShell est sophistiqué, capable de charger dynamiquement des modules et de manipuler des flux de données via JSON.

Organisation opérationnelle

L’attaque montre une séparation nette des rôles, ce qui suggère une opération structurée. D’un côté, certains acteurs se concentrent sur la découverte des vulnérabilités. Une autre équipe, probablement liée directement à UNC5174, assure la compromission initiale et le déploiement des charges utiles. Une troisième partie semble responsable de la post-exploitation, de la gestion des accès persistants, de l’exfiltration des données et éventuellement de la revente des accès. Cela indique une approche en plusieurs couches, avec une chaîne logistique cybercriminelle bien développée.

Objectifs et motivations

Le premier objectif identifié est l’espionnage, notamment par la collecte massive de courriels, comme observé lors d’une attaque contre un ministère des affaires étrangères en Amérique du Sud. Le groupe semble également motivé par des gains financiers. Plusieurs cas de cryptominage ont été observés sur des systèmes compromis. En outre, des accès persistants sont parfois revendus à d’autres groupes ou acteurs étatiques. Fait intéressant, les attaquants ont été vus en train de « patcher » les systèmes compromis eux-mêmes, empêchant ainsi d’autres groupes d’exploiter les mêmes vulnérabilités.

Cibles géographiques et sectorielles

En France, les cibles comprenaient des entités sensibles du secteur public et privé. À l’échelle internationale, des victimes ont été identifiées en Europe, en Amérique du Sud et en Asie. Dans cette dernière région, les secteurs de l’éducation, les ONG, les entités politiques et des infrastructures critiques ont été visés. Des attaques ont aussi été confirmées à Hong Kong, Macao et dans des pays limitrophes. L’ampleur de la campagne suggère une opération d’envergure, menée dans le cadre d’objectifs de surveillance et d’influence.

Réponses et recommandations

Face à cette menace, l’ANSSI recommande aux organisations utilisant des appliances Ivanti de procéder immédiatement aux mises à jour de sécurité disponibles. Il est également conseillé d’analyser les journaux systèmes pour détecter toute activité suspecte, en particulier la présence de web shells PHP ou de modules noyau non autorisés. Un audit des connexions réseau et des déplacements latéraux est essentiel, tout comme l’isolement des équipements exposés à Internet. Il est aussi fortement recommandé de mettre en place une surveillance réseau plus rigoureuse et de restreindre les communications entrantes vers les interfaces d’administration.

Les entreprises doivent adopter une approche de défense en profondeur, segmenter les réseaux, renforcer la gestion des accès et établir des procédures de réponse rapide en cas d’anomalie. La coopération avec les éditeurs de logiciels, notamment pour le déploiement accéléré des correctifs, est également cruciale.

Liens avec d'autres campagnes

UNC5174 n’en est pas à sa première campagne. Le groupe a précédemment exploité d’autres plateformes vulnérables telles que SAP NetWeaver, les solutions Palo Alto, ConnectWise ScreenConnect et F5 BIG-IP. Il a également déployé les mêmes outils (SNOWLIGHT, VShell, GOREVERSE) dans différents contextes, ce qui permet de les relier à des attaques menées dès 2023. Cette continuité d’opérations renforce l’hypothèse d’une structure organisée, dotée de moyens techniques importants et probablement soutenue par des intérêts étatiques.

En résumé

La campagne menée par Houken/UNC5174 illustre l’évolution des cybermenaces, marquées par une grande sophistication technique, l’exploitation rapide de vulnérabilités critiques, et une forte coordination entre différentes cellules opérationnelles. Le recours à des rootkits au niveau noyau, à des techniques de persistance avancées et à des outils de tunneling personnalisés démontre une capacité d’action rare, digne d’un groupe sponsorisé par un État. Il est crucial que les organisations exposées prennent conscience du risque encouru, renforcent leurs défenses et adoptent des mesures proactives pour faire face à ce type de menace.

Sources :
The Record - French cybersecurity agency confirms government affected by Ivanti hacks
The Hacker News - Chinese Hackers Exploit Ivanti CSA Zero-Days in Attacks on French Government, Telecoms.

Lire la suite

Le groupe de hackers Scattered Spider s'en prend aux compagnies aériennes

Depuis la fin juin 2025, le groupe de cybercriminels connu sous le nom de Scattered Spider a intensifié ses attaques contre le secteur aérien, ciblant à la fois des compagnies aériennes et leurs fournisseurs technologiques. Ce collectif de pirates, déjà célèbre pour avoir compromis de grandes entreprises du jeu et de l’assurance, comme MGM Resorts ou Caesars Entertainment, concentre désormais ses efforts sur les infrastructures critiques de l’aviation commerciale.

Origines et méthodes du groupe

Scattered Spider, également identifié sous les noms UNC3944 ou Starfraud, est un groupe réputé pour ses techniques avancées d’ingénierie sociale. Ses membres sont principalement de jeunes adultes situés aux États-Unis et au Royaume-Uni. Leur mode opératoire repose largement sur l'usurpation d'identité et la manipulation des équipes de support informatique (help desk), notamment par des appels téléphoniques simulant des demandes légitimes de réinitialisation de mots de passe ou d'ajout de nouveaux dispositifs d’authentification multifacteur (MFA).

Ce mode d’attaque, appelé vishing (phishing vocal), est renforcé par des techniques telles que le MFA bombing, où la victime est inondée de requêtes d’authentification jusqu’à ce qu’elle accepte par fatigue ou erreur. Une fois l’accès obtenu, les cybercriminels escaladent leurs privilèges pour atteindre les systèmes sensibles, exfiltrer des données ou déployer des rançongiciels.

Ces méthodes ont été largement documentées par des entreprises de cybersécurité comme Google Mandiant et Palo Alto Networks Unit 42, qui collaborent activement avec le FBI pour contrer cette menace croissante (Reuters, juin 2025).

Premières attaques confirmées dans le secteur aérien

En juin 2025, deux compagnies aériennes nord-américaines ont été directement affectées par des attaques attribuées à Scattered Spider. La première est Hawaiian Airlines, qui a confirmé avoir subi une intrusion affectant ses systèmes internes. Bien que les vols n’aient pas été perturbés, la compagnie a rapidement mobilisé ses équipes de cybersécurité et signalé l’incident aux autorités fédérales.

Peu après, WestJet, la seconde plus grande compagnie aérienne du Canada, a également été visée. Des limitations d’accès temporaires ont été observées sur son application mobile et ses services numériques, coïncidant avec une campagne active du groupe contre les systèmes d’accès internes. Les deux cas ont été rapportés par le Business Insider et confirmés par le FBI dans une alerte diffusée aux infrastructures critiques américaines.

Cibles stratégiques : pas seulement les compagnies, mais leurs fournisseurs

L’un des aspects les plus inquiétants des attaques récentes est la stratégie du groupe consistant à cibler les fournisseurs tiers et prestataires technologiques de l’industrie aérienne. En compromettant ces acteurs périphériques, souvent moins bien protégés, Scattered Spider parvient à pénétrer indirectement les réseaux des compagnies aériennes principales. Cela inclut notamment les sous-traitants en gestion des identités, les services cloud, et les prestataires de maintenance informatique.

Cette approche "par la chaîne d’approvisionnement" avait déjà été observée lors des attaques précédentes du groupe dans les secteurs des jeux et de l’assurance. Elle constitue aujourd’hui un vecteur d’intrusion majeur dans l’aérien, comme l’a noté l’analyse de CyberScoop.

Réactions des autorités et des entreprises

Le Federal Bureau of Investigation (FBI) a émis plusieurs alertes à destination des opérateurs du secteur aérien. Dans ses recommandations, le FBI insiste sur la nécessité de renforcer les processus d’identification des utilisateurs dans les centres d’assistance, de désactiver les plateformes de réinitialisation de mot de passe en libre-service non sécurisées, et de déployer une MFA résistante au phishing, telle que les clés FIDO2 ou les jetons matériels sécurisés.

Les experts de Google Mandiant ont quant à eux conseillé d’éduquer les équipes techniques à reconnaître les tactiques de manipulation, et de surveiller de manière proactive les requêtes anormales d’accès aux systèmes sensibles.

En parallèle, les compagnies aériennes renforcent leur coopération avec les organismes gouvernementaux et les partenaires privés pour limiter les risques. Des exercices de simulation de crise sont menés dans plusieurs hubs aériens nord-américains, et les investissements en cybersécurité sont revus à la hausse selon un rapport de AINvest.

Un groupe au passé déjà très actif

Avant de viser les compagnies aériennes, Scattered Spider avait déjà fait parler de lui pour ses attaques contre des acteurs majeurs du jeu (MGM Resorts, Caesars), du retail (Marks & Spencer, Harrods) et de l’assurance (Aflac, Erie). Le groupe se distingue par sa capacité à s’adapter rapidement à ses cibles et à utiliser les ressources du Web social pour contourner les mesures classiques de sécurité.

Plusieurs de ses membres ont été inculpés aux États-Unis entre 2023 et 2024, bien que le collectif dans son ensemble reste actif et capable de se réorganiser. Le rapport de NY Post souligne l’extrême mobilité et l’aspect décentralisé du groupe, qui le rend difficile à démanteler.

En résumé

La montée en puissance du groupe Scattered Spider dans le secteur aérien constitue une alerte rouge pour l’ensemble de l’industrie du transport. Leur capacité à exploiter les failles humaines via le social engineering, à cibler la chaîne logistique technologique, et à compromettre des systèmes critiques place les compagnies aériennes dans une position vulnérable. Si les attaques recensées à ce jour n'ont pas entraîné de perturbations majeures des vols, elles révèlent un potentiel de nuisance considérable.

Pour les contrer efficacement, les compagnies aériennes et leurs partenaires doivent adopter une stratégie de cybersécurité défensive complète, intégrant technologie, formation humaine, et coopération internationale. Le cas de Scattered Spider est emblématique d’un nouveau type de cybermenace polymorphe et persistante, capable de déstabiliser des infrastructures essentielles à l’échelle mondiale.

Lire la suite

Attaque au ransomware Sarcoma contre Radix en Suisse

Contexte et ciblage de Radix

Radix, basé à Zurich, est une fondation spécialisée dans la promotion de la santé, notamment via des programmes éducatifs et des services de conseil en ligne comme SafeZone et StopSmoking. Cette entité travaille en partenariat avec plusieurs autorités fédérales suisses, des cantons, des communes et des organisations privées.

Le groupe Sarcoma : profil d’un nouvel acteur menaçant

Sarcoma est un acteur ransomware apparu pour la première fois en octobre 2024. En quelques mois, il a multiplié les attaques, en revendiquant notamment une compromission de l’industriel taïwanais Unimicron en février 2025. Le mode opératoire consistait alors en une double extorsion : vol de données sensibles puis chantage via encryption et menace de les diffuser sur le dark web.

Chronologie de l’attaque

L’assaut contre Radix aurait été initié le 16 juin 2025, selon les communiqués officiels de l’organisation et du Centre national suisse pour la cybersécurité (NCSC). Les hackers ont accédé au réseau, exfiltré puis chiffré des données. Après l’échec de l’extorsion, ils ont mis en ligne un volume estimé entre 1,3 et 2 téraoctets sur leur portail, un geste d’intimidation destiné à obliger Radix à céder.

Portée des données affectées

BleepingComputer évoque unvolume de données de 1,3 To, incluant des scans, contrats, communications, et enregistrements financiers. Radix et les autorités fédérales n’ont pour l’heure pas identifié d’éléments sensibles ou critiques parmi les données exposées, bien que l’enquête soit en cours.

Réaction de Radix et des autorités

À la découverte de l’intrusion, Radix a immédiatement coupé les accès, restauré les données chiffrées à partir de sauvegardes sécurisées, et surveille la situation de près. L’organisation affirme n’avoir pas encore engagé de négociations financières, sans toutefois exclure cette hypothèse. Par ailleurs, elle a averti individuellement les personnes potentiellement impactées et recommande vigilance face aux tentatives de phishing ou de fraude au long cours.

Enquête en cours et mesures en cours

Le NCSC suisse, épaulé par des experts indépendants, est mobilisé pour analyser le volume volé, en établir la nature exacte et déterminer quelles agences fédérales ont été affectées. Bien que Radix assure que ses plateformes de counselling SafeZone et StopSmoking, hébergées à l’extérieur de son infrastructure principale, n’ont pas été compromises, l’enquête est encore active.

Conséquences et responsabilités

Cette affaire rappelle la dépendance des institutions publiques envers des prestataires tiers, notamment dans le domaine de la santé. Le fait que Radix travaille pour des offices fédéraux met en lumière les risques associés à l’écosystème numérique public. Le précédent d’un incident similaire survenu en mars 2024, via l’attaque du prestataire Xplain par le groupe Play, qui avait alors entraîné la fuite de 65 000 documents gouvernementaux, accentue la gravité de la situation.

Analyse des méthodes cybercriminelles

Les experts en cybersécurité pointent un manuel opératif typique : accès initial via phishing ou faille non corrigée, exploitation de RDP, déplacement latéral sur le réseau, exfiltration, encryption, puis double extorsion. Des indices montrent que Sarcoma opère probablement depuis l’Europe de l’Est, sur le même modèle que d’autres groupes récents.

Enjeux pour la santé publique

La compromission d’une organisation public-privé comme Radix soulève une double problématique : premièrement, le risque pour les patients et citoyens dont les données pourraient être exposées ou utilisées contre eux ; deuxièmement, l’impact sur la confiance qu’accordent les autorités à leurs partenaires, qui pourrait freiner des initiatives de santé numériques si la sécurisation n’est pas garantie.

Pistes d’amélioration et perspectives

Les leçons à tirer sont claires : renforcer les audits de sécurité des infrastructures tierces, imposer des protections avancées (authentification multifacteur, segmentation réseau, anti-phishing, etc.), et établir des clauses contractuelles contraignantes sur la protection des données et les protocoles de réponse aux incidents. Un plus grand partage d’informations entre entités publiques, prestataires et NCSC améliorerait la résilience face aux menaces similaires.

En résumé

Cette attaque contre Radix orchestrée par le groupe Sarcoma met en lumière les vulnérabilités persistantes dans le maillage numérique des services publics en Suisse. Malgré les sauvegardes et la réactivité de Radix, les enjeux de confidentialité et de confiance restent critiques. Le gouvernement suisse et ses partenaires doivent impérativement renforcer les protections, intensifier la collaboration cybernationale et tirer des enseignements du passé pour éviter que la santé publique ne soit compromise à l’avenir.

Références :
Bleeping Computer - Switzerland says government data stolen in ransomware attack The Record Media - Swiss nonprofit health organization breached by Sarcoma ransomware group

Lire la suite

Europol démantèle un réseau de fraude aux cryptomonnaies

Le 30 juin 2025, Europol a annoncé la destruction d’un important réseau criminel spécialisé dans la fraude aux investissements en cryptomonnaies. L’enquête, coordonnée par les autorités espagnoles, a permis l’arrestation de cinq individus et la neutralisation d’un système de blanchiment ayant siphonné près de 460 millions d’euros (soit 540 millions de dollars) à plus de 5 000 victimes dans le monde entier.

Chronologie et déroulement de l’enquête

Le scandale a été révélé au terme d’une longue enquête commencée en 2023. Les autorités espagnoles, soutenues par Europol et accompagnées de partenaires en France, en Estonie et aux États‑Unis (notamment Homeland Security Investigations), ont mis en place un dispositif international d’enquête et d’analyse opérationnelle.

Le jour de l’interpellation, un expert en cryptomonnaies a été mobilisé en Espagne pour tracer et sécuriser les fonds détournés dès leur localisation sur les plateformes et portefeuilles ciblés. Au total, cinq suspects ont été arrêtés : trois dans les îles Canaries et deux à Madrid.

Un réseau sophistiqué à portée mondiale

Selon Europol, le réseau suspect employait une armée d’accompagnateurs disséminés sur plusieurs continents. Ces complices facilitaient la collecte des fonds grâce à divers moyens : retraits en espèces, virements bancaires et transactions en cryptomonnaies.

Les enquêteurs estiment que les cerveaux du système ont mis en place une infrastructure financière complexe basée à Hong Kong, composée de sociétés écrans et de comptes bancaires, ainsi que de passerelles de paiement utilisant des noms et identités variés. Cette architecture multilatérale permettait de camoufler la provenance et la destination des fonds, en multipliant les échanges sur différentes plateformes et comptes utilisateurs.

Le rôle de l’intelligence artificielle et la recrudescence des arnaques

Europol pointe une tendance inquiétante : l’usage croissant de l’intelligence artificielle dans les fraudes en ligne. Cette technologie permet de générer des publicités truquées extrêmement persuasives, mettant en scène des célébrités à l’aide de deepfakes.

En avril 2025, les autorités espagnoles ont déjà mené une opération parallèle, aboutissant à six arrestations pour avoir exploité l’IA dans le cadre d’arnaques spectaculaires liées aux cryptomonnaies. Ces techniques incluent des publicités détournées destinées à inspirer confiance et inciter à investir.

Cadre juridique et actions européennes

Face à l’explosion de ce type d’escroqueries, les régulateurs européens multiplient les initiatives. En France, l’Autorité des marchés financiers a mis hors ligne plus de 181 sites d’investissement factices, pour un préjudice moyen de 29 500 € par victime en 2024. Elle a également infligé 26,5 millions d’euros d’amendes à soixante entités impliquées. En Belgique, l’organisme FSMA a identifié des pertes de 15,9 millions d’euros, dont plus de 12,5 millions liées à des plateformes trompeuses, principalement en cryptomonnaies.

Les pertes dépassent également les frontières européennes : au Royaume-Uni, les citoyens ont perdu jusqu’à 1,17 milliard de livres en 2024 à cause de la fraude financière ; en Australie, plus de 119 millions de dollars australiens ont été perdus dans les premiers mois de 2025.

Perspectives

Cette vaste opération démontre que la lutte internationale contre les fraudes associées aux cryptomonnaies s’intensifie. Europol, via son partenariat avec la Guardia Civil espagnole, a su coordonner une riposte efficace, assortie d’une expertise technique cruciale et d’outils adaptés à la traçabilité des actifs blockchain.

Malgré la saisie de 460 millions d’euros, Europol se félicite mais prévient que l’enquête se poursuit : les infrastructures financières utilisées pourraient encore abriter des traces à extraire, et le réseau pourrait être plus étendu que ce que l’on sait à ce stade :contentReference[oaicite:14]{index=14}.

Enfin, les autorités alertent : les arnaques basées sur les cryptomonnaies et les investissements frauduleux, dopées par l’intelligence artificielle, représenteront probablement la forme dominante de cybercriminalité dans les années à venir. Les individus et les entreprises doivent rester vigilants et les régulateurs continuer à renforcer leurs outils et campagnes de sensibilisation.

Source : Europol helps disrupt $540 million crypto investment fraud ring

Lire la suite

Arnaque au faux support technique

En juin 2025, des experts en cybersécurité ont révélé une méthode d’escroquerie en ligne particulièrement ingénieuse. Des cybercriminels utilisent les moteurs de recherche internes de sites web légitimes pour afficher de faux numéros de support technique, ciblant des marques majeures comme Apple, Microsoft, Netflix, PayPal, Facebook, HP et Bank of America. Cette attaque repose sur l’injection de contenu dans les paramètres d’URL, trompant ainsi les internautes en les dirigeant vers de véritables sites contenant des informations falsifiées.

Fonctionnement de l’attaque

La technique de « search parameter injection »

Les cybercriminels achètent des publicités via Google Ads, qui apparaissent en tête des résultats lors de recherches telles que « assistance Microsoft » ou « support Netflix 24h/24 ». Ces publicités redirigent vers une URL authentique du site officiel ciblé, mais incluent un paramètre de recherche contenant un faux numéro de téléphone. Le moteur de recherche interne du site traite ce paramètre et l’affiche dans la page de résultats comme si ce contenu provenait du site lui-même.

Une attaque discrète et efficace

L’un des aspects les plus redoutables de cette technique est que le site affiché est véritablement celui de l’entreprise ciblée, avec le nom de domaine officiel et l’interface familière. L’utilisateur n’a donc aucune raison apparente de douter de la légitimité des informations affichées. Le faux numéro, souvent formaté pour paraître professionnel, est directement visible dans la page, parfois mis en évidence dans les résultats de recherche ou dans les zones de réponse automatisée.

Entreprises ciblées

Les analystes ont identifié plusieurs grandes marques affectées par cette manipulation :

Netflix

La page d’aide de Netflix affichait le numéro injecté en haut des résultats, donnant l’impression qu’il s’agissait du numéro officiel de contact.

Apple

Sur le site d’Apple, l’attaque était plus subtile, avec une intégration discrète dans les résultats de recherche internes, rendant la supercherie moins visible à première vue.

Autres entreprises concernées

Microsoft, HP, Facebook, PayPal et Bank of America figurent également parmi les entreprises dont les pages ont été exploitées de cette manière. Dans chaque cas, les attaquants se sont contentés de manipuler les paramètres d’URL, sans compromettre directement les systèmes de l’entreprise.

Objectif des escrocs

Établir un contact téléphonique frauduleux

Une fois l’utilisateur convaincu d’avoir trouvé un numéro de support officiel, il appelle et tombe sur un faux agent du service client. Ce dernier se fait passer pour un représentant légitime de l’entreprise, utilisant parfois des scripts professionnels pour paraître crédible.

Accès aux données ou prise de contrôle

Le faux agent peut alors demander à la victime d’installer un logiciel de prise en main à distance, prétendument pour résoudre un problème technique. Cela donne un accès complet à l’ordinateur ou au smartphone de la victime. Il peut également demander des informations personnelles, des identifiants de compte ou des données bancaires, voire des paiements immédiats pour des services fictifs.

Pourquoi cette arnaque fonctionne-t-elle ?

La confiance dans les marques

Les utilisateurs font naturellement confiance aux grandes marques et à leurs sites web. Lorsque le nom de domaine et le design sont authentiques, peu de gens remettent en question le contenu affiché.

Une page légitime, mais manipulée

Comme il ne s’agit pas de sites frauduleux, mais de pages véritablement hébergées par les entreprises concernées, les mesures de détection classiques (comme les filtres anti-phishing) ne repèrent pas ces attaques. Cela les rend particulièrement difficiles à prévenir.

Risques pour les victimes

Les conséquences de ce type de fraude peuvent être graves. La victime peut perdre l’accès à ses comptes, voir ses données personnelles volées, ou subir des pertes financières directes. Dans certains cas, les escrocs poussent même les utilisateurs à effectuer des virements ou des achats en ligne qu’ils redirigent vers leurs propres comptes.

Comment se protéger ?

Éviter les publicités sponsorisées

Il est préférable de ne pas cliquer sur les annonces Google Ads lorsque l’on recherche un support technique. Mieux vaut se rendre directement sur le site officiel en saisissant l’adresse dans la barre du navigateur ou en utilisant un lien fiable.

Analyser les URL

Avant de faire confiance aux informations affichées, il faut observer attentivement l’URL. Si elle contient des caractères inhabituels, comme des numéros de téléphone, ou des séquences codées (par exemple %2B ou %20), il peut s’agir d’une injection de contenu frauduleux.

Vérifier les numéros de téléphone

Il est recommandé de toujours valider un numéro de téléphone sur une page officielle dédiée, comme la section « Contact » du site, ou à l’aide d’un document ou d’un message antérieur reçu de l’entreprise.

Installer des outils de protection

Des extensions de navigateur comme Malwarebytes Browser Guard peuvent alerter l’utilisateur lorsqu’un contenu suspect est injecté dans un site. Ces outils bloquent aussi les redirections ou scripts malveillants.

Se méfier des demandes inhabituelles

Un véritable support technique ne demandera jamais vos identifiants complets, un paiement immédiat, ou l’installation de logiciels tiers sans vérification. Toute demande de carte cadeau, de crypto-monnaie ou de virement bancaire à titre de « règlement » est un signal d’alerte évident.

Responsabilité des entreprises et des moteurs de recherche

Cette situation montre également la nécessité pour les entreprises d’améliorer la sécurité de leur moteur de recherche interne. Il est important de filtrer ou désactiver les requêtes contenant des numéros de téléphone ou du contenu sensible. Les moteurs de recherche comme Google devraient également renforcer leurs mécanismes de validation des publicités, en exigeant une preuve de lien avec l’entreprise promue.

En résumé

Les attaques par injection de paramètres de recherche représentent une nouvelle forme d’ingénierie sociale qui détourne la confiance naturelle des internautes envers les marques qu’ils connaissent. Même en naviguant sur un site parfaitement légitime, l’utilisateur peut être exposé à un contenu frauduleux. Pour éviter de tomber dans le piège, il convient de rester vigilant, d’analyser chaque page avec esprit critique, et de privilégier les canaux de contact vérifiés. Les entreprises et les plateformes publicitaires doivent quant à elles adapter leurs pratiques pour empêcher que leurs outils soient utilisés à des fins malveillantes.

Source : Malwarebytes Labs - Scammers hijack websites of Bank of America, Netflix, Microsoft, and more to insert fake phone number.

Lire la suite

SparkKitty, un malware voleur

Contexte et origine

SparkKitty semble être l’évolution d’un malware précédent, SparkCat, découvert en janvier 2025 par Kaspersky. SparkCat utilisait la technologie OCR (reconnaissance optique de caractères) pour extraire des phrases de récupération (« seed phrases ») de portefeuilles cryptos à partir de captures d’écran.

Les phrases de récupération permettent à un attaquant de restaurer un wallet sur un autre appareil et donc de dérober des actifs numériques. Bien que déconseillée, la capture d’écran de ces phrases reste une pratique courante de certains utilisateurs.

Cibles et vecteurs d’attaque

Depuis au moins février 2024, la campagne SparkKitty s’est propagée via :

• Applications sur les stores officiels (Google Play, App Store) ;
• Applications tierces détournées, clones malveillants de TikTok, faux stores de crypto, casinos, jeux pour adultes diffusés hors stores officiels.

Deux applications malveillantes identifiées et supprimées :

• 币coin (via l’App Store d’Apple) ;
• SOEX (messagerie + échange crypto) sur Google Play, téléchargée plus de 10 000 fois avant d’être retirée.

Fonctionnement technique

Sur iOS :

• Intégré à des frameworks factices (AFNetworking.framework, libswiftDarwin.dylib) via profils de provisionnement « enterprise ».
• Exécution automatique du code à chaque lancement via la méthode Objective‑C +load.
• Demande d’accès à la galerie, surveillance en temps réel des nouvelles images, puis exfiltration discrètex.

Sur Android :

• Intégré via du code Java/Kotlin ou des modules Xposed/LSPosed.
• Activation au lancement de l’app ou lors d’actions spécifiques. Téléchargement d’un fichier de configuration depuis un serveur C2, décrypté en AES‑256 (mode ECB).
• Exfiltration des images, des métadonnées et identifiants. Certaines variantes utilisent Google ML Kit OCR pour ne cibler que les images contenant du texte (ex. phrases de récupération).

Impact potentiel

Outre le vol de phrases de récupération de portefeuilles crypto, d’autres images sensibles (photos privées, documents) pourraient être exploitées à des fins de chantage ou d’autres formes de fraudex.

Conseils de sécurité

1. Méfiez-vous des applications : surveillez les faux avis, auteurs inconnus, peu de téléchargements mais notes excellentes.
2. Attention aux permissions : refusez l’accès à la galerie ou au stockage si l’app ne présente pas de besoin légitime (ex. photo, documents).
3. Sur iOS : n’acceptez que les profils de configuration ou certificats officiels.
4. Sur Android : activez Google Play Protect et effectuez des analyses régulières.
5. Sécurisez vos phrases de récupération : ne les photographiez jamais ni ne les stockez sur un smartphone. Préférez les supports hors ligne (papier, coffre, stockage chiffré).

Réponse de Google et d’Apple

Selon Google, l’application SOEX a été supprimée et le développeur banni ; tous les utilisateurs de Google Play bénéficient automatiquement d’une protection via Play Protect.

Leçons à retenir

• Les stores officiels ne garantissent pas une sécurité absolue ; le malware peut passer à travers.
• Le ciblage des expressions de récupération crypto représente une menace concrète pour les détenteurs de cryptos.
• Le bon sens, la vigilance sur les permissions et un stockage hors ligne demeurent les meilleures protections.

En résumé

Le malware SparkKitty démontre que les attaques mobiles évoluent et ciblent désormais les phrases de récupération, type de données ultra-sensibles dans l’univers crypto. Il réaffirme que :

• La prudence lors de l’installation d’applications est essentielle ; analysez avis, éditeur, permissions.
• Ne jamais stocker ses phrases de récupération numériquement.
• Activer les protections natives (Play Protect, profils sécurisés sur iOS) et réaliser des scans réguliers.

Protégez vos cryptos comme vos données : la vigilance reste la meilleure défense.

Source : Bleeping Computer - Malware on Google Play, Apple App Store stole your photos—and crypto.

Lire la suite

La fuite de données à 16 milliards d'identifiants. Vraiment ?

La presse s'est empressée de relayer le 20 juin 2025, une information de CyberNews selon laquelle une fuite de données contenant 16 milliards d'identifiants aurait eu lieu ces derniers jours.

Or il n'en est rien. Comme le précise la CNIL sur son site, il s'agit d'une base de données qui comporte 16 milliards d'identifiants, mise en ligne sur le darknet. En revanche, il ne s'agit pas d'une nouvelle fuite de données ou d'une fuite de données récente comme pourrait le laisser entendre la formulation des media mainstreem. Il s'agit en fait du cumul de dizaines voir de centaines de fuites de données de ces dix dernières années qui ont été rassemblées en une seule base. Donc rien de nouveau sous le soleil.

Comme le rappelle la CNIL, cela n'empêche pas d'effectuer une piqure de rappel au niveau de la sécurité des données : nécessité d'utiliser des mots de passe forts et de les changer régulièrement. Sans pour autant surfer sur la vague marketing de la peur pour vendre du clic.

Source : Communiqué de la CNIL - Exposition de 16 milliards d’identifiants et des mots de passe – que faire ?

Lire la suite