Une base de données contenant plus de 184 millions de logins et mots de passe uniques a été découverte en libre accès sur Internet. Derrière cette fuite massive, des identifiants liés à des services grand public, des comptes bancaires, des adresses gouvernementales… et aucun moyen d’en retracer l’origine.
Début mai, le chercheur Jeremiah Fowler a découvert une base de données Elastic non protégée contenant plus de 184 millions de logins et mots de passe uniques. Poids total de cette énorme fuite : 47,42 Go. L’ensemble était hébergé sur les serveurs du fournisseur World Host Group, sans mot de passe ni chiffrement, et donc librement accessible à quiconque connaissait son adresse IP.
Une attaque informatique touche le site de l'Etat du Valais depuis jeudi à la mi-journée. Celui-ci a été déconnecté par précaution. A ce stade, aucun dommage n'a été constaté.
"Les hackers ont disposé temporairement de droits étendus sur les sites internet et intranet de l'Etat du Valais, ce qui pourrait permettre de procéder à des modifications sur le site", précise Claude-Alain Berclaz, chef du Service cantonal de l'informatique. "Ceci n'a pour l'instant pas été constaté."
Cette attaque "est la première de cette ampleur", précise-t-il. L'acte malveillant n'a pas été revendiqué.
Opération de remise en état
Selon les autorités, ces attaques n'ont pas permis d’intrusion dans d’autres systèmes de l'Etat. Les activités opérationnelles internes ne sont pas touchées.
Le canton dit "avoir pris toutes les mesures pour sécuriser au maximum son environnement informatique" et appliquer "systématiquement les bonnes pratiques de cybersécurité". Il cherche à remettre ses systèmes en fonction "le plus rapidement possible".
La Digital Crimes Unit (DCU) de Microsoft, en collaboration avec des partenaires internationaux, s’attaque à l’un des principaux outils utilisés pour dérober massivement des données sensibles, qu’elles soient personnelles ou professionnelles, à des fines cybercriminelles. Le mardi 13 mai, la DCU de Microsoft a engagé une action en justice contre Lumma Stealer (« Lumma »), un malware spécialisé dans le vol d’informations, largement utilisé par des centaines d’acteurs de la menace cyber. Lumma vole des mots de passe, des cartes de crédit, des comptes bancaires et des portefeuilles de cryptomonnaies. Cet outil a permis à des criminels de bloquer des établissements scolaires afin de récupérer une rançon, de vider des comptes bancaires et de perturber des services essentiels.
Grâce à une décision de justice rendue par le tribunal fédéral du district nord de la Géorgie, la Digital Crimes Unit (DCU) de Microsoft a procédé à la saisie et à la mise hors ligne d’environ 2 300 domaines malveillants, qui constituaient l’infrastructure centrale de Lumma. Parallèlement, le département de la Justice américain (DOJ) a démantelé la structure de commande principale du malware et perturbé les places de marché où l’outil était vendu à d’autres cybercriminels. Europol, via son Centre européen de lutte contre la cybercriminalité (EC3), ainsi que le Centre de lutte contre la cybercriminalité du Japon (JC3), ont contribué à la suspension de l’infrastructure locale de Lumma.
Berne, 29.04.2025 — Pour la première fois, le commandement Cyber publie le code source d’un logiciel qu’il a lui-même développé, appelé « Loom ». Celui-ci permet de créer un recueil rapidement consultable à partir de vastes séries de données et de divers types de fichiers. Le Groupement Défense fait ainsi une avancée significative vers plus de transparence et de collaboration.
Pour la première fois, le commandement Cyber permet au public d’accéder, à travers GitLab, à une plate-forme performante de recherche et d’analyse. Il s’agit du logiciel « Loom ». Un de ses avantages importants est sa souplesse : son code source étant public, des organisations peuvent adapter ce logiciel à leurs propres besoins. De nouvelles fonctions peuvent y être intégrées, d’où la possibilité de l’utiliser pour des applications spécifiques.
« Loom » permet de réaliser efficacement et aisément des recherches parmi un très grand nombre de données. Il gère une multitude de types de fichiers et offre rapidement aux utilisateurs une vue d’ensemble d’un jeu de données. Il les aide à s’y plonger pour obtenir des résultats plus précis au lieu de se limiter à parcourir superficiellement une grande quantité de données.
Plusieurs comptes SwissPass ont été piratés depuis le début de l’année en Suisse romande. En Valais, la police recense 16 cas pour un préjudice total de 15’400 francs. Ce type de fraude s'étend au-delà du canton.
La police cantonale valaisanne a lancé une alerte après avoir enregistré une série de piratages de comptes SwissPass. Dans un communiqué publié le 20 mai, elle indique avoir reçu plusieurs signalements de connexions frauduleuses à ces comptes. Selon l’autorité, 16 cas ont été recensés depuis le début de l’année 2025 dans le canton, pour un préjudice total de 15’400 francs.
Les fraudeurs accèdent aux comptes grâce à des identifiants compromis, sans qu’un vol physique de la carte ne soit nécessaire. Une fois dans le compte, ils utilisent les moyens de paiement enregistrés comme Twint, la carte de crédit ou le paiement sur facture, pour acheter des billets de train, souvent à destination de la France, de l’Italie ou sur des liaisons transfrontalières. Cette méthode leur permet de détourner des montants importants sans jamais accéder au compte bancaire de la victime.
Depuis la fin de l’année 2023, VIGINUM observe et documente les activités d’un mode opératoire informationnel russe susceptible d’affecter le débat public numérique francophone et européen, connu sous le nom de « Storm-1516 ».
Le mode opératoire informationnel (MOI) Storm-1516, actif depuis plus d’un an et demi, est responsable de plusieurs dizaines d’opérations informationnelles ayant ciblé des audiences occidentales, dont française. S’appuyant sur l’analyse de 77 opérations informationnelles documentées par VIGINUM et conduites par Storm-1516 entre la date de son apparition supposée et le 5 mars 2025, ce rapport détaille les principaux narratifs et contenus employés, leur chaîne de diffusion, ainsi que les acteurs étrangers impliqués dans la conduite du MOI.
L’analyse par VIGINUM de ces différentes opérations informationnelles démontre que le dispositif d’influence informationnelle russe a investi des efforts conséquents pour coordonner les actions d’un important réseau d’acteurs, d’organisations et de MOI agissant depuis le territoire russe et dans les pays ciblés, et ce depuis le début de l’invasion à grande échelle de l’Ukraine par la Russie en 2022.
Storm-1516 constitue aujourd’hui un mode opératoire informationnel mature, qui offre à ses commanditaires la capacité de mener à la fois des actions de court terme en réaction à l’actualité, mais également de s’inscrire dans des stratégies de long terme, visant à décrédibiliser des personnalités ou des organisations européennes et nord-américaines, notamment en amont de grands événements et de processus électoraux.
Si l’impact réel sur le débat public numérique demeure difficile à estimer, VIGINUM observe que de nombreux narratifs propagés via ce MOI ont atteint une visibilité très importante en ligne, et qu’ils sont parfois repris, de manière inconsciente ou opportuniste, par des personnalités et des représentants politiques de premier plan.
Les opérateurs de Storm-1516 poursuivent aujourd’hui leurs activités avec un rythme opérationnel soutenu, et devraient très probablement continuer à adapter leurs TTPs, notamment pour crédibiliser davantage leurs contenus, tenter de contourner les mécanismes de modération des plateformes, gêner le suivi et l’imputation technique de leurs activités, ou encore renouveler leurs infrastructures d’attaque.
Au regard de ces éléments, VIGINUM considère que les activités de Storm-1516 réunissent les critères d’une ingérence numérique étrangère, et représentent une menace importante pour le débat public numérique français et européen.
Le 21 janvier 2025, au petit matin, David Balland, co-fondateur d’une start-up française spécialisée dans les crypto-monnaies, est enlevé avec sa compagne à leur domicile, dans le Cher. Une rançon est demandée. En moins de trois jours, les différentes unités de la gendarmerie mobilisées sur cette affaire conduisent les investigations, retrouvent les deux conjoints et interpellent dix malfaiteurs.
Le matin du 21 janvier 2025, un couple est enlevé à son domicile, à Vierzon, dans le Cher, par une équipe de malfaiteurs. David Balland est le co-fondateur de Ledger, une entreprise française spécialisée dans les crypto-monnaies. Les deux victimes sont aussitôt séparées et conduites en des lieux différents. Les ravisseurs contactent alors l’un des autres co-fondateurs de la start-up pour obtenir une rançon en monnaie électronique.
Concernant le volet cyber des investigations, l’Unité nationale cyber a déployé une quinzaine de ses gendarmes spécialistes, en appui de la S.R. de Bourges. « Notre action dans ce dossier a été double, a indiqué le colonel Hervé Pétry, commandant l’UNC. D'abord par une force de projection sur le terrain, pour appuyer les investigations par rapport à l'ensemble des supports numériques. Ces derniers ont été saisis de manière à geler la preuve, extraire les données, les traiter, les exploiter pour récupérer un maximum de preuves et d'informations nous permettant d'identifier et de localiser les individus pour retrouver les victimes. Nous avons pu progresser et transmettre les informations à la fois aux enquêteurs de la S.R. de Bourges et au GIGN, pour tout ce qui concerne le dispositif d'intervention et de recherches opérationnelles. Le deuxième aspect concerne des recherches effectuées à l'UNC, dont le siège est à Pontoise, en matière cette fois de cryptoactifs, d'identification, de traçabilité et de saisie. »
29.04.2025 - L’Office fédéral de la cybersécurité (OFCS) observe une vague de tentatives de fraude au PDG qui perdure. La semaine dernière, de nombreux cas ont été signalés à l’OFCS dans lesquels des cybercriminels se font passer pour des dirigeants de communes afin d’inciter des employé/e/s à acheter des cartes cadeaux ou à effectuer des virements. La rétrospective hebdomadaire examine le modus operandi des cybercriminels, explique pourquoi les communes sont particulièrement exposées et donne des conseils pour que les communes (et toutes les autres victimes potentielles) puissent se protéger.
En raison de leur structure publique et de la disponibilité des informations sur les sites municipaux, les communes constituent une cible attractive pour les tentatives de fraude au PDG. Ces dernières semaines, de nombreux cas de ce type ont été signalés à l’OFCS. Les méthodes utilisées par les escrocs sont décrites ci-après, en particulier les deux procédures consistant soit à exiger des cartes cadeaux, soit à insister pour obtenir un paiement direct.
La France condamne avec la plus grande fermeté le recours par le service de renseignement militaire russe (GRU) au mode opératoire d’attaque APT28, à l’origine de plusieurs cyber-attaques contre des intérêts français.
Depuis 2021, ce mode opératoire d’attaque (MOA) a été utilisé dans le ciblage ou la compromission d’une dizaine d’entités françaises. Ces entités sont des acteurs de la vie des Français : services publics, entreprises privées, ainsi qu’une organisation sportive liée à l’organisation des Jeux olympiques et paralympiques 2024. Par le passé, ce mode opératoire a également été utilisé par le GRU dans le sabotage de la chaîne de télévision TV5Monde en 2015, ainsi que dans la tentative de déstabilisation du processus électoral français en 2017.
APT28 est aussi employé pour exercer une pression constante sur les infrastructures ukrainiennes dans le contexte de la guerre d’agression menée par la Russie contre l’Ukraine, notamment lorsqu’il est opéré par l’unité 20728 du GRU. De nombreux partenaires européens ont également été visés par APT28 au cours des dernières années. À ce titre, l’UE a imposé des sanctions aux personnes et entités responsables des attaques menées à l’aide de ce mode opératoire.
Le Conseil fédéral a récemment ouvert une seconde consultation relative à la révision partielle des ordonnances liées à la Loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Sous couvert de clarifier les définitions des fournisseurs et de leurs obligations, le projet cherche à largement étendre les obligations de rétention de données aux fournisseurs de service de communication dérivés en Suisse.
Le réseau informatique de l'UCBA a été la cible d'une cyberattaque. L'association a immédiatement mis en place les mesures de sécurité nécessaires et a saisi les autorités compétentes. Une analyse approfondie sur les faits est en cours.
Un tribunal de Cracovie a condamné le 14 février deux Russes pour leur campagne de recrutement pour Wagner. Une opération directement pilotée depuis la Russie. Les détails du procès permettent de comprendre les contours de la "guerre hybride" que mène Moscou à l'Europe. - "Rejoignez-nous" : ce que révèle le procès de deux agents de Wagner sur leur activité en Europe (International).
Andy Yen, patron du service de courriel et Cloud aux 100 millions d’utilisateurs, refuse l’espionnage que veut imposer la Confédération.
Le conseiller fédéral Albert Rösti signera aujourd’hui à Strasbourg la Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle. Par cet acte, la Suisse rejoint les États signataires d’un premier instrument juridiquement contraignant au niveau international visant à encadrer le développement et l’utilisation de l’IA dans le respect des droits fondamentaux
Des informations confidentielles concernant des membres du Conseil fédéral suisse et de hauts responsables de la sécurité sont accessibles au public.
24.03.2025 - En 2024, la police a enregistré au total 563 633 infractions relevant du Code pénal (CP), soit environ 8% de plus que l'année précédente. Si l'on considère la criminalité par domaines, les infractions numériques ont, comme les années précédentes, affiché une forte hausse (+35%). Les infractions contre le patrimoine se sont accrues de 8% par rapport à 2023. Et les infractions de violence grave ont augmenté (+19%) pour la troisième année consécutive. Ce sont là quelques-uns des résultats de la statistique policière de la criminalité (SPC), établie par l'Office fédéral de la statistique (OFS).
Depuis 2024, l'OFCS est un office fédéral indépendant au sein du Département fédéral de la défense, de la prot
Une opération de sensibilisation en direction d’une cible particulièrement exposée Les établissements scolaires sont régulièrement ciblés par des attaques malveillantes via les espaces numériques de travail (ENT) des élèves. Ces actions cybercriminelles génèrent une forte pression sur les élèves, ce qui avait notamment conduit à la fermeture des ENT courant 2024.
L’entreprise annonce s’efforcer de rétablir le plus rapidement possible son activité, après une attaque survenue dans la nuit de jeudi à vendredi. Une plainte a été déposée
Dans cette quatrième édition du panorama de la menace, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) revient sur les grandes tendances de la menace informatique ainsi que sur les éléments et incidents marquants dont elle a eu connaissance en 2024.
Dans la continuité des années précédentes, l’ANSSI estime aujourd’hui que les attaquants liés à l’écosystème cybercriminel ou réputés liés à la Chine et la Russie constituent les trois principales menaces tant pour les systèmes d’information les plus critiques que pour l’écosystème national de manière systémique.
L’année 2024 aura également été marquée par l’organisation des Jeux Olympiques et Paralympiques de Paris ainsi que par le nombre et l’impact des vulnérabilités affectant les équipements de sécurité situés en bordure de SI.
