newsroom.orange.com Newsroom Groupe Orange - Le vendredi 25 juillet, le groupe Orange a détecté une cyberattaque sur un de ses systèmes d'information.
Immédiatement alertées, avec le support d'Orange Cyberdefense, les équipes se sont pleinement mobilisées pour isoler les services potentiellement concernés et limiter les impacts.
Cependant, ces opérations d'isolement ont eu pour conséquence de perturber certains services et plateformes de gestion pour une partie de nos clients Entreprises et pour quelques services Grand Public principalement en France. Nos équipes dédiées sont pleinement mobilisées pour informer et accompagner les clients concernés.
Nos équipes ont identifié et mettent en œuvre les solutions qui permettent, sous vigilance renforcée, de rouvrir les principaux services impactés au fur et à mesure d'ici mercredi 30 juillet matin.
Une plainte a été déposée et les autorités compétentes ont été alertées. Nous travaillons avec elles en parfaite collaboration.
A ce stade des investigations, aucun élément ne laisse penser que des données de nos clients ou d'Orange auraient été exfiltrées. La plus haute vigilance sur ce point est maintenue.
Pour des raisons évidentes de sécurité Orange ne fera pas davantage de commentaires.
lesnumeriques.com 25.07 - Orange indique avoir détecté, vendredi 25 juillet dernier, une cyberattaque à son encontre. Des mesures ont été prises immédiatement et l'opérateur fait aujourd'hui le point, notamment sur les conséquences pour ses utilisateurs.
La saison des piratages et autres actes malintentionnés en ligne bat son plein. Après Free en mai dernier notamment, et bien d'autres attaques du genre depuis, c'est au tour d'Orange d'être ciblé. Le groupe, par voie de communiqué de presse ce lundi 28 juillet, a indiqué avoir été victime d'une attaque informatique vendredi 25 juillet 2025. Maintenant que le weekend est passé, la firme revient sur cet événement, dont le plus gros semble derrière elle, malgré des investigations toujours en cours.
Cyberattaque d'Orange : des perturbations, mais pas de perte de données
Première information : c'est l'un des systèmes d'information d'Orange qui a été visé par les hackers. Orange indique que ses équipes et celles d'Orange Cyberdefense ont été immédiatement alertées et mobilisées pour isoler les services concernés. Cette opération d'isolement pour limiter les impacts à d'autres systèmes a cependant eu des conséquences directes pour certains usagers, dont certains services ont pu être perturbés. En conséquence, les clients Entreprises et certains dans la branche Grand Public peuvent donc rencontrer des soucis avec leurs services ces derniers jours. Orange indique rouvrir progressivement les éléments concernés d'ici au mercredi 30 juillet. Pour éviter tout problème, cette réouverture se fait sous surveillance renforcée.
Un retour à la normale pour bientôt
La bonne nouvelle, c'est qu'au stade actuel des investigations, "aucun élément ne laisse penser que des données de nos clients ou d'Orange auraient été exfiltrées." La vigilance reste cependant de mise, puisque nous n'en sommes qu'au début de ce nouvel épisode de piratage. Orange se refuse d'ailleurs à donner plus de détails sur l'attaque par raison de sécurité. En attendant, une plainte a été déposée par le groupe auprès des autorités compétentes.Notons enfin que cet événement n'a pas empêché Orange, lors de sa publication trimestrielle ce matin, de rehausser ses objectifs annuels pour 2025 de 3 % après un solide premier semestre.
usine-digitale.fr - Un cybercriminel affirme avoir exfiltré des documents de type secret-défense appartenant à Naval Group. Les premières investigations de l'industriel français n'ont pas trouvé d'intrusion dans ses systèmes, mais l'enquête est toujours en cours.
Naval Group a annoncé, le 26 juillet, être la cible "d'une attaque réputationnelle" : un hacker affirme détenir des données classifiées et menace de les publier en ligne.
Aucune intrusion confirmée
Contacté par nos soins, l'industriel affirme "qu'aucune intrusion n'a été détectée dans [ses] systèmes informatiques", d'après les premiers résultats de son enquête interne, menée en collaboration avec les services de l'Etat. Il a également précisé que les investigations n'étaient pas terminées et qu'une plainte avait été déposée le 25 juillet. Les équipes sont en train de "vérifier dans les plus brefs délais l'authenticité, la provenance et l'appartenance des données concernées".
Des données potentiellement très sensibles
C'est le 23 juillet que le cybercriminel a posté sa revendication sur un forum, affirmant détenir des documents secret-défense appartenant à Naval Group. A titre de preuve, un premier lot de données d'environ 13 Go a été publié, rapporte Numerama. Ces fichiers comprendraient notamment des vidéos issues d'un système de surveillance sous-marin datant de 2003.
Plus grave, le hacker affirme être en possession du code source des systèmes de combat (CMS) pour sous-marins et frégates ainsi que de la typologie du réseau interne et de données techniques classifiées, selon le média Cybernews. Ces informations n'ont pas été confirmées par Naval Group.
numerama.com - Depuis le 23 juillet 2025, un cybercriminel prétend avoir en sa possession des documents secret défense appartenant à Naval Group. À moins de 24 heures de l’échéance fixée par le corbeau virtuel, le leader européen du naval de défense confirme avoir détecté un potentiel incident, mais précise qu’une enquête est en cours afin d’évaluer précisément la menace.
Coup de bluff ou réelle menace ? Depuis le 23 juillet 2025, un hacker dissémine au compte-goutte ce qu’il assure être des extraits de documents top-secrets appartenant à Naval Group. Échanges confidentiels, accès à des machines virtuelles, documents techniques, le cybercriminel assure détenir une mine d’or de données, couvrant principalement la période 2019-2024.
Sur un célèbre forum du Dark Web, le maitre-chanteur fanfaronne : les données ne sont pas à vendre, il souhaite être contacté directement par Naval Group avant le 26 juillet 2025. Si sa demande reste pour morte, il diffusera l’ensemble des documents gratuitement sur la plateforme.
Contacté par nos confrères de La Tribune, Naval Group confirme qu’un potentiel incident a été détecté par leurs équipes techniques mais que, pour l’heure, l’ampleur réel de la menace reste à déterminer.
Un chantage aux enjeux majeurs
Il demeure difficile d’évaluer avec précision le niveau de risque posé par ce chantage. Un premier lot de données d’environ 13 Go a été publié le 23 juillet 2025 à titre de preuve. Certains fichiers, comme des vidéos provenant d’un système de surveillance sous-marin datant de 2003, n’ont rien de décisif en matière de sécurité. Leur but semble avant tout de rendre crédible la menace, en montrant que le hacker détient bien des documents internes de Naval Group.
Si la véracité de la fuite se confirme, cet incident constituerait un risque majeur non seulement pour Naval Group, mais aussi pour la sécurité nationale française.
L’exposition du code source du CMS, le système informatique central pilotant les opérations des bâtiments militaires, ouvrirait la voie à des vulnérabilités critiques exploitables par des États ou groupes hostiles. De tels incidents obligeraient notamment à la mise en place de contre-mesures pour limiter les risques d’exploitation.
Enquête en cours et mobilisation des autorités
Le géant français semble en tout cas prendre la menace au sérieux et annonce travailler directement avec les autorités françaises pour lever le voile sur cette affaire. Une enquête est en cours.
Naval Group, joue un rôle stratégique majeur dans l’industrie de défense française et européenne. Il conçoit notamment les sous-marins nucléaires, frégates de combat et le porte-avions Charles de Gaulle.
clubic.com - L'administrateur russophone d'un des plus influents forums cybercriminels mondiaux, XSS.is, vient d'être arrêté. L'opération est le fruit d'une enquête franco-ukrainienne de longue haleine.
Les autorités ukrainiennes ont interpellé à Kiev, mardi 22 juillet, le cerveau présumé de XSS.is, une plateforme défavorablement réputée, puisque lieu incontournable de la cybercriminalité russophone. L'arrestation couronne une investigation française lancée il y a quatre ans maintenant, et qui révèle aujourd'hui l'ampleur considérable des gains amassés par l'administrateur du forum, estimés à sept millions d'euros.
XSS.is cachait 50 000 cybercriminels derrière ses serveurs chiffrés
Actif depuis 2013 tout de même, XSS.is, autrefois connu sous le nom de DaMaGeLab, constituait l'un des principaux carrefours de la cybercriminalité mondiale. La plateforme russophone rassemblait plus de 50 000 utilisateurs enregistrés, autrement dit un vrai supermarché du piratage informatique, même si beaucoup moins fréquenté que feu BreachForums, tombé en avril. Sur XSS.is, les malwares, les données personnelles et des accès à des systèmes compromis se négociaient dans l'ombre du dark web.
Le forum proposait aussi des services liés aux ransomwares, ces programmes malveillants qui bloquent les données d'un ordinateur jusqu'au paiement d'une rançon. Un serveur de messagerie chiffrée, « thesecure.biz », complétait l'arsenal en facilitant les échanges anonymes entre cybercriminels. L'infrastructure offrait ainsi un environnement sécurisé pour leurs activités illégales.
L'administrateur ne se contentait pas d'un rôle technique passif. Tel un chef d'orchestre du crime numérique, il arbitrait les disputes entre hackers et garantissait la sécurité des transactions frauduleuses. Un homme aux multiples casquettes, en somme. Toujours est-il que cette position centrale lui permettait de prélever des commissions substantielles sur chaque échange.
Une coopération internationale exemplaire, portée par la France
L'enquête préliminaire française, ouverte le 2 juillet 2021 par la section cybercriminalité du parquet de Paris, a mobilisé la Brigade de lutte contre la cybercriminalité. Les investigations ont révélé des bénéfices criminels d'au moins 7 millions d'euros, dévoilés grâce aux captations judiciaires effectuées sur les serveurs de messagerie.
Outre la France et les autorités ukrainiennes, Europol a joué un rôle déterminant dans cette opération d'envergure internationale. L'agence européenne a facilité la coordination complexe entre les autorités françaises et ukrainiennes, déployant même un bureau mobile à Kiev pour faciliter l'arrestation.
Voilà en tout cas une arrestation de plus contre les réseaux cybercriminels. Souvenez-vous, il y a quelques jours, les mêmes agences avaient déjà démantelé le groupe de hackers prorusses NoName057(16). Des succès successifs qui témoignent d'une intensification bienvenue dans la lutte contre les menaces et les hackers, alors que les cyberattaques se multiplient contre les infrastructures critiques européennes.
next.ink - France Travail a envoyé, mardi 22 juillet au soir, un courrier d'information à certains des usagers inscrits à son service, alertant d'un acte de cyber malveillance susceptible d'avoir entrainé la consultation illégitime de leurs données personnelles. Dans son email, que Next reproduit ci-dessous, l'ex Pole Emploi indique que la fuite est survenue au niveau « du portail emploi destiné à [ses] partenaires ».
Nom, prénom, adresses, téléphone et statut France Travail
L'agence affirme par ailleurs avoir immédiatement fermé le service concerné, lancé des analyses pour déterminer l'origine de l'attaque, et rempli ses obligations de signalement en informant la CNIL dès le 13 juillet, date de la découverte de cet incident.
« Les données compromises sont vos nom, prénom, adresses postale et électronique, numéro de téléphone, identifiant France Travail et statut (inscrit, radié). Vos données bancaires ou vos mots de passe ne sont pas concernés par cet incident », informe France Travail.
Comme toujours en de telles circonstances, l'agence invite les utilisateurs concernés à la prudence, notamment vis à vis des risques de phishing (hameçonnage).
Une application de suivi des formations mise en cause
Contactée par Next, la direction de France Travail apporte quelques précisions sur la nature de l'incident et surtout sur son périmètre. L'alerte est d'abord partie du CERT-FR de l'ANSSI, le 12 juillet. Son traitement a permis aux équipes internes de France Travail d'identifier le service par lequel est intervenue la fuite.
« Il s’agit de l’application Kairos permettant aux organismes de formation d'agir sur le suivi des formations des demandeurs d'emploi. Le service a été immédiatement fermé ainsi que tous les autres services hébergés sur le portail Emploi destiné à nos partenaires », explique France Travail. La fuite aurait été rendue possible grâce à la compromission, via un malware de type infostealer (logiciel spécialisé dans le vol d'informations personnelles) d'un compte utilisateur rattaché à un organisme de formation basé dans l'Isère.
next.ink - L'Hôpital privé de la Loire (HPL), qui se trouve à Saint-Étienne, a été victime d'une cyberattaque, révélait ce jeudi 10 juillet, le journal Le Progrès.
Géré par le groupe Ramsay, le HPL avait publié un communiqué de presse mardi 8 juillet affirmant qu'il avait été victime quelques jours plus tôt d'un « vol d’identité » concernant « une quantité importante de données personnelles de ses patients ». Mais l'établissement se voulait rassurant, affirmant que les données étaient « essentiellement de nature administrative ».
Mardi soir, une personne se présentant comme responsable du piratage a contacté nos confrères du Progrès pour s'en indigner. Elle affirme posséder des données concernant plus de 530 000 patients dont leurs cartes d'identité. Elle ajoute que « l'argent est la motivation » sans préciser le montant exigé.
Cette réaction a obligé l'hôpital à revoir sa communication. À l'AFP, il expliquait jeudi 10 juillet, avoir envoyé un email « à plus de 126 000 patients concernés par le piratage informatique de l’Hôpital privé de la Loire (HPL), et les 40 d’entre eux qui sont concernés par le vol de données médicales seront contactés individuellement ». Et il affirme que son fonctionnement n'a cependant pas été affecté.
Le parquet de Paris a, de son côté, expliqué à l'agence de presse que sa section cybercriminalité avait été saisie et avoir confié l'enquête à l’Office anticybercriminalité (OFAC).
Interrogé par l'AFP sur la demande de rançon, le groupe Ramsay n'a pas voulu s'exprimer sur le sujet.
ictjournal.ch - Pendant des années, le groupe de hackers pro-russe «Noname057(16)» a mené des attaques DDoS contre des serveurs occidentaux, y compris des infrastructures critiques en Suisse. Les autorités judiciaires ont désormais démantelé un botnet du groupe et procédé à des arrestations. Le Ministère public de la Confédération suisse (MPC) a émis trois mandats d’arrêt.
Les autorités judiciaires de plusieurs pays ont mené une opération coordonnée contre le groupe de hackers «Noname057(16)». Lors de l’Action-Day, lancée par Europol après plusieurs années d’enquête, des perquisitions ont eu lieu dans plusieurs pays, selon un communiqué du Ministère public de la Confédération suisse (MPC). Les autorités ont saisi des équipements et arrêté des personnes – tandis qu’en Suisse, «aucun ordinateur impliqué dans le réseau et dans les attaques ni aucune personne domiciliée dans le pays n’ont été identifiés».
Les mesures coordonnées à l’échelle internationale, baptisées Opération Eastwood, ont permis de démanteler un botnet constitué de plusieurs centaines de serveurs répartis dans le monde entier, selon l’Office fédéral de la police criminelle allemande (BKA). Le groupe «Noname057(16)» exploitait ce réseau pour lancer des attaques DDoS, des cyberattaques visant à surcharger délibérément des serveurs.
Trois mandats d’arrêt émis par la Suisse
Le groupe «Noname057(16)» s’est constitué un casier judiciaire conséquent ces dernières années. Le groupe pro-russe se manifeste régulièrement depuis le début de la guerre en Ukraine en mars 2022, indique le MPC. Ce collectif de hackers a mené des attaques DDoS contre de nombreux pays occidentaux qu’il considère comme pro-ukranien. À plusieurs reprises, des serveurs suisses, y compris des infrastructures sensibles, ont été ciblés. Ces attaques interviennent généralement lors d’événements liés à l’Ukraine.
Pour rappel, le groupe hacktiviste a paralysé les sites web du Parlement en été 2023, à l’occasion d’un discours vidéo du président ukrainien Volodymyr Zelensky devant l’Assemblée fédérale. En janvier 2024, les hackers sont redevenus actifs lors de la visite du président ukrainien au Forum économique mondial (WEF). Un an plus tard, les sites de la ville de Lucerne ainsi que de la Banque cantonale vaudoise ont également été ciblés. Des attaques hacktivistes ont aussi eu lieu en juin 2024 lors de la conférence de Bürgenstock pour la paix et pendant le Concours Eurovision de la chanson en mai 2025.
En juin 2023, le Ministère public de la Confédération a ouvert une enquête pénale contre des inconnus pour détérioration de données et contrainte, selon le communiqué. Dans le cadre des investigations internationales coordonnées, plusieurs membres du groupe de hackers ont pu être identifiés dont trois personnes clés présumées. Le MPC a étendu son enquête contre ces derniers et a émis des mandats d’arrêt à leur encontre.
Dans le cadre de l’Action-Day du 15 juillet 2025, les autorités de Suisse et d’Allemagne ont été rejointes par celles des États-Unis, des Pays-Bas, de la Suède, de la France, de l’Espagne et de l’Italie. L’opération a bénéficié du soutien d’Europol, d’Eurojust et d’autres pays européens, précise la police fédérale allemande (BKA). En Suisse, le MPC et l'Office fédéral de la police (Fedpol) ont contribué à l'enquête.
Le MPC considère les résultats de l’opération comme la preuve que «les autorités de poursuite pénale sont aussi en mesure d’identifier des cybercriminels hautement professionnels et d’offrir une protection contre leurs attaques». Le MPC souligne l’importance de la coopération internationale dans la lutte contre la cybercriminalité transfrontalière.
Lors d’un audit, des milliers de failles ont été découvertes dans le Système d’Information Schengen II, logiciel gérant le fichier mis en place dans le cadre de la convention de Schengen. Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains
problèmes. L’année dernière, la seconde version du Système […]
L'année dernière, la seconde version du Système d'Information Schengen (SIS) a essuyé un audit sévère du Contrôleur européen de la protection des données (CEPD). Ce logiciel est utilisé par les autorités aux frontières des pays de l'espace Schengen pour ficher les personnes recherchées et celles refoulées ou interdites de séjours.
La seconde version du système a été déployée en 2013, mais il a été « renouvelé » en mars 2023 et de nouvelles catégories de signalements, des données biométriques et des registres d'ADN de personnes disparues ont encore été ajoutées.
1,7 million de personnes concernées
Selon l'agence européenne eu-LISA qui utilise le système [PDF], plus de 93 millions d'alertes y étaient stockées au 31 décembre 2024, dont 1,7 million sur les personnes. Près de 1,2 million concerne des reconduites à la frontière, des refus d'entrée ou de rester sur le territoire et un peu plus de 195 000 personnes y sont fichées comme de possibles menaces pour la sécurité nationale.
Ce système stocke des données concernant des personnes visées par un mandat d'arrêt européen, mais aussi signale, aux fins de non-admission ou d'interdiction de séjour, des personnes signalées dans le cadre d'infractions pénales ou recherchées pour l'exécution d'une peine, ou encore des personnes disparues.
Ces données comprennent l'état civil, des photographies, des empreintes digitales et d'autres informations biométriques réunies dans les textes officiels sous la dénomination de « signes physiques particuliers, objectifs et inaltérables ». Des données particulièrement sensibles, donc. Des commentaires peuvent être ajoutés comme « la conduite à tenir en cas de découverte », « l'autorité ayant effectué le signalement » ou le type d'infraction.
Des milliers de problèmes de gravité « élevée »
Selon les documents consultés par Bloomberg et par Lighthouse Reports, le logiciel était, à l'époque de l'audit, truffé de vulnérabilités. Des milliers de problèmes de sécurités étaient d'une gravité « élevée ». Le contrôleur a aussi pointé du doigt un « nombre excessif » de comptes administrateurs de la base de données, ce qui était « une faiblesse évitable qui pourrait être exploitée par des attaquants internes ». Dans l'audit du CEPD est indiqué que 69 membres de l'équipe de développement avaient un accès à la base de données du système sans avoir l'habilitation de sécurité nécessaire.
Pour l'instant, le Système d'Information Schengen II fonctionne sur un réseau isolé, les nombreuses failles détaillées dans cet audit ne peuvent donc être exploitées que par un attaquant interne. Mais il est prévu qu'il soit intégré, à terme, au « système d'entrée/sortie » des personnes de nationalités en dehors de l'UE, qui lui doit être mis en place à partir d'octobre 2025. Celui-ci est connecté à Internet. Le rapport d'audit s'alarme d'une facilité des pirates d'accéder à la base de données à ce moment-là.
Une très lente réaction de Sopra Steria
Selon Bloomberg, l'audit explique que des pirates auraient pu prendre le contrôle du système et que des personnes extérieures auraient pu obtenir des accès non autorisés. Mais le média explique que des documents montrent que, lorsque l'eu-Lisa a signalé ces problèmes, Sopra Steria, qui est chargée du développement et de la maintenance du système, a mis entre huit mois et plus de cinq ans et demi pour les résoudre. Ceci alors que le contrat entre l'agence européenne et l'entreprise l'oblige à patcher les vulnérabilités « critiques ou élevées » dans les deux mois.
Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L'agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».
Interrogée par nos confrères, Sopra Steria n'a pas voulu répondre à leurs questions, mais a affirmé : « En tant qu'élément clé de l'infrastructure de sécurité de l'UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts. Le rôle de Sopra Steria a été joué conformément à ces cadres ».
Dans son audit, le CEPD vise aussi l'eu-LISA qui n'a pas informé son conseil d'administration des failles de sécurité. Il pointe aussi des « lacunes organisationnelles et techniques en matière de sécurité » et lui demande d'établir un plan d'action et une « stratégie claire » pour gérer les vulnérabilités du système.
À Bloomberg, l'eu-LISA affirme que « tous les systèmes gérés par l'agence font l'objet d'évaluations continues des risques, d'analyses régulières de la vulnérabilité et de tests de sécurité ».
L’ordre international est en pleine mutation. La rivalité entre les États-Unis et la Chine va profondément influencer la politique de sécurité mondiale dans les années à venir. La Russie, la Chine, la Corée du Nord et l’Iran resserrent leur coopération et cherchent à modifier l’ordre international perçu comme dominé par l’Occident. La guerre menée par la Russie contre l’Ukraine devrait se poursuivre en 2025. Parallèlement, le conflit entre Israël et l’Iran s’est intensifié: Israël a lancé en juin 2025 des frappes militaires contre le programme nucléaire iranien. La simultanéité de ces crises renforce l’insécurité mondiale.
Espionnage, contournement des sanctions et prolifération: la Suisse comme cible stratégique
La confrontation mondiale accroît la pression sur la Suisse. En tant que siège de nombreuses organisations internationales et centre d’innovation, elle est dans la ligne de mire des services de renseignement étrangers. Les principales menaces d’espionnage proviennent de la Russie et de la Chine qui maintiennent une forte présence en Suisse. Elles s’intéressent aux autorités fédérales, aux entreprises, aux organisations internationales et aux instituts de recherche.
La concurrence accrue entre grandes puissances fait aussi de la Suisse une cible privilégiée pour les tentatives de contournement des sanctions et la prolifération. La Russie, l’Iran et la Corée du Nord tentent de plus en plus d’obtenir via la Suisse des biens à double usage et des technologies pour leurs programmes militaires et nucléaires.
Le SRC apporte ici une contribution importante, en étroite collaboration avec le Secrétariat d’État à l’économie (SECO), dans le domaine de la détection et de la prévention des tentatives de contournement des sanctions. Le SRC et le SECO sensibilisent également les entreprises suisses aux risques liés à l’espionnage, au contournement des sanctions et à la prolifération.
Menace terroriste: focus sur la prévention et la détection précoce
La menace terroriste en Suisse est élevée et est marquée par des personnes inspirées par le djihadisme. La radicalisation en ligne des jeunes constitue un défi majeur. Ce processus peut être rapide, rendant la détection précoce essentielle. Les intérêts juifs et israéliens – notamment les personnes et établissements concernés – restent exposés.
Le SRC coopère étroitement avec les écoles, les organisations de jeunesse et les polices. L’objectif est de détecter les processus de radicalisation à un stade précoce et d’agir de manière préventive.
Infrastructures critiques comme cibles
Pour les opérateurs d’infrastructures critiques suisses, les cyberattaques représentent une menace majeure. Des attaques de sabotage ciblées – menées de façon cinétique ou cybernétique – par des acteurs étatiques pourraient viser à nuire à d’autres États, alliances ou institutions dépendant de ces infrastructures, dans le cadre de conflits hybrides.
La Suisse dans le viseur: la technologie, clé du pouvoir
«La Suisse doit considérer la situation sécuritaire dans un contexte mondial», explique Christian Dussey, directeur du SRC. «La confrontation globale nous touche directement. Notre radar stratégique identifie actuellement 15 foyers de crise simultanés – un tel niveau de menace est sans précédent. Nous ne sommes pas de simples observateurs – nous sommes directement concernés. À cela s’ajoute la lutte pour la suprématie technologique. La technologie est aujourd’hui une clé déterminante du pouvoir. Et la Suisse, en tant que place innovante, est directement exposée à ces enjeux – notamment à travers l’espionnage et d’autres activités de renseignement. Le SRC et les autres autorités de sécurité du pays sont fortement mis à l’épreuve par ces défis. Des défis auxquels nous ne pouvons répondre qu’ensemble, en étroite collaboration avec nos partenaires nationaux et internationaux.»
L'antenne secrète, Airbus et la Chine (1/2) – Les services de renseignement français suspectent qu'une petite société de télécommunications chinoise ait déployé une station d'écoute à proximité de sites d'Airbus. Si une enquête judiciaire est ouverte, l'affaire mobilise fortement les espions hexagonaux. Révélations.
C'est une rue étroite qui coupe la "plus belle avenue du monde". À une centaine de mètres des Champs-Élysées, à Paris, entre une immense boutique du géant français du prêt-à-porter Lacoste et un ancien restaurant irakien, apparaît le 17 rue du Colisée. Ce centre d'affaires sans charme héberge un cabinet d'avocats, un groupe spécialisé dans les semi-conducteurs et une entreprise de production musicale. Depuis le 1er janvier 2025, l'immeuble compte un nouvel occupant : la société chinoise SATHD Europe, spécialisée dans les télécommunications par satellite. Alors que ses statuts juridiques l'attestent, l'entreprise ne figure pas sur la plaque mentionnant les locataires. Ces derniers affirment par ailleurs n'avoir constaté aucun signe de présence de cette mystérieuse entité entre les murs.
SATHD Europe existe pourtant bel et bien. La société est même soupçonnée par les services de renseignement hexagonaux d'être à l'origine de l'une des plus grandes opérations d'espionnage ayant visé la France ces dernières années. Après plusieurs mois d'enquête, Intelligence Online est en mesure de révéler une affaire de longue haleine, dans laquelle les regards convergent vers la Chine.
Village idéalement situé dans le cône de réception satellitaire
Début 2022. Les officiers de la Direction du renseignement et de la sécurité de la défense (DRSD), service de contre-ingérence du ministère des armées, repèrent une antenne suspecte qui dépasse du balcon d'un immeuble de Boulogne-sur-Gesse, petite commune rurale de Haute-Garonne. Celle-ci ressemble à peu de chose près à une parabole permettant de recevoir la télévision par satellite. Les contre-espions français sont toutefois sur leurs gardes. Ce village se situe à environ 71 kilomètres en ligne droite du téléport d'Issus Aussaguel. Ce centre de télécommunications, au sud de Toulouse, pilote les satellites d'observation de la Terre du Centre national d'études spatiales (CNES), notamment les Pléiades fabriqués par Airbus Group et les SWOT conçus par le français Thales Alenia Space (TAS) et l'américain Jet Propulsion Laboratory.
Le procès de seize personnes impliquées dans le siphonnage des données bancaires et personnelles de 76 000 intérimaires Adecco débute ce lundi à Lyon. Le préjudice estimé atteint 1,6 million d’euros.
En 2022, des intérimaires d’Adecco découvrent sur leur relevé bancaire un débit de 49,85 euros. Le nom affiché ne leur dit rien. Rapidement, l’affaire fait tache d'huile. Comme on vous l'avait raconté sur Clubic à cette époque, plusieurs milliers de personnes se rendent compte du problème en même temps. Les prélèvements se répètent, toujours pour le même montant. Les victimes échangent sur un groupe Facebook. Le point commun se confirme. Elles réalisent qu'elles ont toutes travaillé pour le leader du travail temporaire en France. Adecco lance un audit interne. Très vite, le lien se fait avec ses propres fichiers. Le géant suisse, pays pourtant considéré comme sanctuaire des données personnelles, comprend qu’un vaste piratage vient de toucher ses bases de données.
Les systèmes informatiques de la commune de Villars-sur-Glâne ont été la cible d’une cyberattaque. Des mesures ont immédiatement été prises pour la contrer et sécuriser l’infrastructure.
Selon les premiers éléments de l’investigation, des connexions non autorisées ont été effectuées sur certains serveurs de la commune mercredi matin. Il s'agirait d'une tentative d'attaque de type rançongiciel qui demanderait une somme d'argent en échange de la libération des données volées. Des mesures de protection immédiates ont été prises et aucun dommage supplémentaire n'est possible. Une analyse est en cours et permettra d'obtenir plus d'informations sur l'attaque.
"C'est à chacun de se rendre compte que l'informatique est à la fois extraordinaire pour la quantité de données que l'on peut conserver, mais c'est aussi extrêmement fragile si l'on n'a pas une approche rigoureuse", rappelle le syndic de Villars-sur-Glâne, Bruno Mamier.
L’incident a été signalé à la police cantonale, à l’Office fédéral de la cybersécurité (OFCS) et à l’autorité cantonale de la transparence, de la protection des données et de la médiation.
En raison de cet incident, les lignes téléphoniques principales ont été déviées. En cas de questions, les habitants de la commune peuvent se rendre à l'administration ou suivre l’évolution de la situation sur la page internet suivante.
Le syndic invite les personnes dont la démarche administrative n'est pas urgente à se rendre à l'administration communale la semaine prochaine.
Dans un contexte général où de nombreuses institutions font l’objet d’attaques informatiques, Sorbonne Université a été victime d’une cyberattaque. Son système d’information connaît de fortes perturbations en raison de la détection d’un incident de sécurité qui a endommagé différents outils numériques sans pour autant empêcher la continuité de service. Pour faire face à cette situation, des mesures correctives ont été mises en place pour renforcer les dispositifs de sécurité.
Les derniers résultats des investigations effectuées par les équipes de Sorbonne Université, en lien avec des experts en cybersécurité, ont mis en évidence la compromission de plusieurs catégories de données sensibles. Parmi ces données figurent des adresses e-mail professionnelles, des coordonnées bancaires, des numéros de sécurité sociale et les éléments relatifs à la rémunération des personnels.
Conformément au Règlement général sur la protection des données (RGPD), Sorbonne Université a immédiatement procédé à une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL), de l’Agence nationale de la sécurité des systèmes d'information (ANSSI), et a déposé plainte au nom de l’établissement.
Les équipes de Sorbonne Université se mobilisent sans relâche pour gérer cette cyberattaque et rétablir au plus vite l’ensemble des services dans les meilleures conditions possibles. Ainsi, tous les services numériques essentiels au travail des personnels de l’université fonctionnent aux heures ouvrables de travail.
Un numéro vert dédié sera mis à disposition du personnel en début de semaine prochaine ainsi qu’une foire aux questions afin de répondre à leurs interrogations.
Coup de tonnerre, en ce mardi 10 juin 2025. Le groupe malveillant Stormous revendique une cyberattaque contre les systèmes de l’Éducation nationale.
Il assure être en possession de données relatives à plus de 40 000 personnes et fournit, pour étayer ses allégations, un échantillon d’un peu moins de 1 400 lignes, soit autant de combinaison login/mot de passe, ou adresse mail/mot de passe. Et tout cela pour une poignée de services en ligne liés à l’Éducation nationale.
Mais cet échantillon suggère surtout que les allégations de Stormous sont fausses.
Nous l’avons confronté aux données de la plateforme Cavalier d’HudsonRock.
La conclusion s’impose rapidement : Stormous a commencé la divulgation d’une combolist vraisemblablement constituée en tout ou partie depuis d’innombrables logs de cleptogiciels (ou infostealers) partagés quotidiennement, gratuitement, et à tous les vents sur de multiples chaînes Telegram plus ou moins spécialisées. De quoi rappeler l’impressionnante liste ALIEN TXTBASE de la fin février.
L’Association suisse des banquiers (ASB) et le "Swiss Financial Sector Cyber Security Centre" (Swiss FS-CSC) sont favorables à la recommandation du comité allemand du secteur bancaire (GBIC) visant à modifier la norme FIDO2 – un changement jugé important, y compris du point de vue suisse, afin de rendre cette norme utilisable pour sécuriser les confirmations de transactions, et pas seulement pour permettre l’authentification lors des connexions.
Le GBIC préconise une extension de la norme FIDO2 afin de permettre l’affichage sécurisé des données de transaction par l’authentificateur. Actuellement, la norme est essentiellement axée sur la connexion à des plateformes et à des systèmes ainsi que sur l’utilisation du navigateur à des fins d’affichage. Le GBIC demande toutefois l’extension de la norme afin qu’elle puisse être utilisée pour un spectre plus large de transactions et d’activités. Dans le secteur bancaire, cela concerne principalement les services bancaires en ligne et les paiements par carte.
Nous sommes favorables à la proposition du GBIC visant à modifier la norme FIDO2. Nous sommes convaincus que cette modification serait également bénéfique pour le secteur bancaire suisse, car elle permettrait une utilisation plus large de FIDO2, au-delà de l’authentification lors des connexions. L’ASB et le Swiss FS-CSC soutiennent donc la proposition du GBIC visant à:
Le Département fédéral de la Défense a ouvert une enquête administrative sur une présumée transmission d'informations sensibles du Service de renseignement de la Confédération (SRC) à la Russie entre 2015 et 2020, notamment via l'entreprise russe de cybersécurité Kaspersky. Cette affaire de fuites de données sensibles apparaît dans un rapport interne du SRC que SRF Investigativ a pu consulter.
En novembre 2020, des services secrets alliés mettent en garde le service de renseignement suisse de potentielles fuites d'informations sensibles aux services secrets russes. Après enquête, le SRC reconnaît ces allégations de "partage illégal de données" dans un rapport secret datant de 2021, que SRF Investigativ a pu consulter. Selon ce rapport, un agent des services de renseignement suisses aurait effectivement transmis des informations hautement sensibles à Kaspersky, une société russe de cybersécurité.
L'information aurait ensuite été divulguée aux services de renseignement russes via Kaspersky, d'après une deuxième agence de renseignement alliée, faisant courir "un risque de mise en danger de vies humaines". Les deux services de renseignement "amis", essentiels pour le travail du SRC et la sécurité de la Suisse, ont menacé de "cesser toute coopération avec le SRC" si l'employé mis en cause à la tête du service cyber du SRC continuait à y travailler.
Kaspersky, le premier des "contacts réguliers" de l'équipe cyber du SRC
Kaspersky a déjà été accusé à plusieurs reprises de collaborer avec le Kremlin et ses services secrets. L'entreprise, avec laquelle le SRC a collaboré, est donc évitée depuis des années par les services gouvernementaux de nombreux pays occidentaux.
Mais pour l'équipe cyber du SRC, l'entreprise Kaspersky arrive en tête d'un rapport classé sous la rubrique "Contacts réguliers". La société de cybersécurité serait "essentielle" pour le travail de l'équipe cyber, avait d'ailleurs déclaré l'ancien chef de cette équipe mis en cause par les services de renseignement alliés. Selon lui, "le SRC ne dispose pas de l'expertise et des ressources suffisantes pour détecter de manière indépendante et préventive les activités de pira
03.06.2025 - Le phishing fait partie depuis des années des cyberdélits les plus fréquemment signalés. Il s’agit d’un phénomène de masse. Les cybercriminels envoient de grandes quantités d’e-mails dans l’espoir qu’un petit pourcentage des destinataires se fasse piéger. Les attaquants misent ici sur la quantité plutôt que sur la qualité. L’OFCS observe toutefois de plus en plus d’attaques ciblées. Ces dernières sont certes moins nombreuses et plus coûteuses, mais offrent un meilleur taux de réussite. La semaine dernière, un cas particulier utilisant une méthode en deux étapes a été signalé à l’OFCS, illustrant la complexité croissante des attaques par hameçonnage.
La semaine dernière, un cas particulier d’attaque en deux temps a été signalé à l’OFCS, témoignant de la sophistication croissante des tentatives d’hameçonnage. La nouvelle technique utilisée commence de manière apparemment anodine par l’envoi d’un e-mail qui semble provenir d’une banque. Dans le cadre d’une prétendue directive de conformité d’un établissement financier et afin de garantir l’exactitude des données clients, il est demandé à l’utilisateur de mettre à jour ses informations personnelles.
E-mail prétendant que les données client doivent être mises à jour.
Après avoir cliqué sur le lien, une page web s’ouvre. Elle ressemble à s’y méprendre au site web de la banque correspondante. Des données telles que des numéros de contrat (p. ex. contrat e-banking), des noms et des numéros de téléphone y sont demandés. De nombreux internautes saisissent ces informations sans se poser de questions, car elles ne semblent pas particulièrement sensibles à première vue. Il n’est pas nécessaire d’indiquer les données de carte de crédit ou les mots de passe. Une fois les données saisies, l’utilisateur est redirigé vers la page d’accueil de la banque correspondante.
Il ne s’agit donc pas d’une attaque de phishing classique. Habituellement, l’OFCS recommande d’ailleurs simplement d’être particulièrement vigilant sur les sites web qui demandent des informations sensibles telles que des données de carte de crédit ou des mots de passe. C’est précisément ce qui rend cette méthode si dangereuse, comme le montre la suite de l’attaque.
Des escrocs inondent Facebook de promotions sur des sacs à dos Decathlon notamment. Voici leur technique et leurs objectifs.
Les faux concours sur Facebook nous divertissent depuis plus de dix ans, et l’arnaque reste efficace: depuis quelques mois, les posts rémunérés se multiplient, promettant notamment un sac à dos Decathlon à deux francs.
Ainsi, une certaine Nadine Keller ou encore une Sophie Delacroix – bref, une jeune femme sympathique avec un petit chien trop mignon – nous raconte que sa mère a été licenciée de manière totalement injustifiée par son employeur (pour Sophie Delacroix, c'est son mec), mais passons. L'employeur? Decathlon.
Elle révèle donc quelque chose que seuls les employés du fabricant sons censés savoir: en remplissant un petit sondage en ligne, on recevra un sac à dos The North Face. Pour se venger de Decathlon, elle partage le lien vers l'enquête afin d'en faire profiter le plus de personnes possible.
Des publications de ce genre sont envoyées en masse par de faux profils créés tous les jours. Et ce, avec à chaque fois un libellé légèrement modifié et de nouvelles «photos de preuve» de sacs à dos soi-disant achetés pour deux francs. L'arnaque dure depuis des mois notamment en France et en Belgique, aujourd'hui, elle est chez nous.
Des dizaines de comptes proposent des arnaques avec Decathlon. En français, on trouve pas mal d'offres en euro.
Image: facebook/watson
Les criminels ont par ailleurs un bon argument pour justifier un prix si bas: avec les droits de douane de Trump sur les produits de l'UE, les stocks sont pleins. Il faut donc désormais brader les marchandises.
L'agence de cybersécurité américaine s'inquiète de la capacité des pirates à tirer parti d'une vulnérabilité sévère affectant Commvault pour voler des secrets d'environnements applicatifs SaaS dont Microsoft 365. La CISA enjoint les entreprises à appliquer les correctifs disponibles.
Régulièrement, la CISA lance des avertissement sur des failles exploitées. Selon un avis de l'agence de cybersécurité américaine, des acteurs malveillants pourraient avoir accédé à des secrets de clients à partir de la solution de sauvegarde Metallic Microsoft 365 de Commvault hébergée dans Azure. L'accès non autorisé à ces secrets a été réalisé grâce à un exploit zero day. En février, Microsoft a averti Commvault de l'existence d'une grave faille non spécifiée (répertoriée en tant que CVE-2025-3928) affectant sa solution Web Server. Par ailleurs, un acteur bénéficiant d'un soutien étatique l'exploitait activement pour accéder aux environnements Azure. Thomas Richards, directeur de la pratique de sécurité des infrastructures chez Black Duck, a déclaré que les flux SaaS sont intrinsèquement vulnérables. « Si les solutions SaaS déchargent les entreprises des tâches administratives liées à l'hébergement et à l'infrastructure, le revers de la médaille est que les sociétés n'ont aucun moyen de sécuriser ou de contrôler ces environnements », a-t-il déclaré. « Lorsque Commvault a été compromis, les victimes n'étaient même pas conscientes de l'existence d'une faille. »
Une CVE-2023-3928 sévère
Dans son avis, la CISA indique qu'elle soupçonne l'exploitation de CVE-2025-3928 de faire partie d'une campagne plus large visant les applications SaaS avec des paramètres par défaut et des autorisations de haut niveau. Commentant la note de la CISA, James Maude, Field CTO chez BeyondTrust, a déclaré : « Cela met en évidence les risques liés au fait de permettre à des tiers d'accéder de manière privilégiée à votre environnement, leur violation devenant votre violation [...] Alors que de nombreuses entreprises disposent de contrôles solides pour émettre et gérer l'accès aux comptes humains utilisés par les entrepreneurs et les tiers, l'histoire est souvent très différente lorsqu'il s'agit d'identités non humaines et de secrets qui permettent des interactions machine-machine. » D'après l'enquête de Commvault, les acteurs étatiques ont obtenu, par le biais d'un abus zero-day de CVE-2025-3928, un sous-ensemble d'identifiants d'applications que certains clients de Commvault utilisaient pour authentifier leurs environnements M365.
