Suivi des cyberattaques majeures et de l'actualité de la sécurité open source — 2024/2025.
Les deux gestionnaires du tiers payant pour les complémentaires santé ont été compromis par phishing sur des comptes professionnels. Noms, dates de naissance, numéros de sécurité sociale, noms des assureurs et garanties exposés. Aucune donnée bancaire ni coordonnées directes dans cette fuite.
L'ancienne base de données de Pôle Emploi (France Travail) a été exfiltrée. Les données exposées incluent nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail et adresses e-mail/postales. La fuite couvre les 20 dernières années d'inscrits.
Le groupe "Near2tlg" a revendiqué la compromission d'un prestataire de SFR (Syniverse), exposant noms, adresses, numéros de téléphone et coordonnées de clients mobiles. SFR a tardé à communiquer, entraînant des critiques de la CNIL.
Une attaque contre le prestataire logistique commun Oligo (groupe Harvest) a simultanément exposé les données clients de plusieurs grandes enseignes. Adresses, e-mails, numéros de téléphone et historiques de commandes affectés. Illustration des risques de la supply chain numérique.
L'un des plus grands incidents cyber français de 2024. Le groupe DragonForce a accédé à un outil de gestion interne et exfiltré les données de 19,2 millions d'abonnés (Freebox + mobile), dont 5,11 millions d'IBAN. Les données ont été mises en vente sur BreachForums.
Le groupe Hellcat a compromis le Jira interne de Schneider Electric et exfiltré environ 40 Go de données (projets, bugs, informations clients industriels). La rançon demandée en "baguettes" a fait les gros titres, mais l'incident a exposé des vulnérabilités dans la gestion des accès aux outils internes.
Des données personnelles de clients Canal+ (noms, adresses, e-mails, informations d'abonnement) ont été mises en vente sur BreachForums. L'incident soulève des questions sur la protection des données des médias français et la détection des intrusions.
L'une des plus grandes cyberattaques du système de santé américain. ALPHV/BlackCat a paralysé le traitement des prescriptions et remboursements pendant des semaines. UnitedHealth a payé une rançon de 22M$, puis a été de nouveau extorqué par un sous-groupe (RansomHub). Les données médicales d'environ 150 millions d'Américains ont été exposées.
Le groupe ShinyHunters a revendiqué l'exfiltration de 560 millions d'enregistrements depuis la base de données Snowflake de Ticketmaster. Noms, adresses, e-mails, historiques d'achats et partiellement des informations de cartes bancaires. Mis en vente 500 000$ sur BreachForums.
CDK Global fournit le logiciel de gestion (DMS) à la quasi-totalité des concessionnaires automobiles américains. L'attaque ransomware BlackSuit a mis hors ligne les systèmes de vente, financement, inventaire et SAV pendant plusieurs semaines. Rançon estimée à 25M$. L'impact économique pour le secteur automobile a été massif.
Via un accès non autorisé à l'environnement Snowflake d'AT&T, des attaquants ont obtenu les métadonnées de presque tous les clients mobiles américains : numéros appelants/appelés et durées des appels sur 6 mois (mai–oct. 2022). Bien que non nominatives directement, ces données permettent la géolocalisation et le profilage comportemental.
L'un des plus grands data breaches de l'histoire : le courtier de données NPD a subi l'exfiltration de 2,9 milliards d'enregistrements incluant noms, adresses historiques, numéros de sécurité sociale et informations familiales de la quasi-totalité de la population américaine. Mis en vente 3,5M$ par le groupe USDoD.
L'Internet Archive a subi simultanément un data breach (vol de la base d'utilisateurs) et une attaque DDoS massive revendiquée par le groupe BlackMeta. Les 31 millions de comptes exposés incluaient e-mails, pseudonymes et mots de passe bcrypt. Un token d'accès GitLab exposé aurait facilité la compromission.
Salt Typhoon, un groupe APT lié à la Chine, a compromis les infrastructure d'écoute légale (CALEA) des plus grands opérateurs américains. L'accès a duré des mois et a permis d'intercepter des communications de responsables gouvernementaux. Le FBI a qualifié cela d'attaque sans précédent sur les télécoms.
Un attaquant (alias "JiaT75 / Jia Tan") a mené une opération d'ingénierie sociale de 2 ans pour devenir mainteneur de xz Utils et y insérer une backdoor dans liblzma. Celle-ci permettait un RCE non authentifié sur les démons sshd utilisant systemd/liblzma. Détectée par hasard par Andres Freund (Microsoft) via une micro-anomalie de performance dans Debian Sid.
Une régression introduite en 2006 a ressuscité CVE-2006-5051 : une race condition dans le signal handler d'OpenSSH permet un RCE root non authentifié (CVSS 8.1). Qualys a estimé à 14 millions le nombre de serveurs SSH vulnérables exposés. L'exploitation est difficile (glibc ASLR, timing) mais possible pour les attaquants persistants.
Le domaine polyfill.io (CDN JavaScript très populaire) a été racheté par la société chinoise Funnull. Le code servi a été modifié pour rediriger les utilisateurs mobiles vers des sites de scam/malware. Plus de 100 000 sites utilisant le CDN ont été touchés, dont de grands noms (Warner Bros, Hulu, Mercedes, Pearson…). Google a bloqué les publicités des sites concernés.
Simone Margaritelli (evilsocket) a découvert une chaîne de 4 vulnérabilités dans les composants CUPS (Common Unix Printing System). En exploitant cups-browsed, un attaquant réseau peut créer une imprimante malveillante automatiquement acceptée, puis déclencher une RCE lors d'un travail d'impression. CVSS initial annoncé à 9.9 (controversé), révisé à 8.4.
Une vulnérabilité de lecture de fichiers arbitraires (LFI) dans le parser de commandes CLI de Jenkins a été activement exploitée dans des attaques ransomware. L'endpoint args4j permettait à des utilisateurs non authentifiés de lire n'importe quel fichier du système Jenkins, y compris les credentials et tokens de déploiement. Plus de 28 000 instances exposées.
Terrapin est une attaque de type MitM contre le protocole SSH (en particulier les modes ChaCha20-Poly1305 et CBC-EtM). En manipulant le handshake initial, un attaquant peut supprimer des messages d'extension de sécurité et rétrograder les algorithmes d'authentification. Qualys a recensé plus de 11 millions de serveurs SSH vulnérables sur Internet.
L'action GitHub Actions tj-actions/changed-files (utilisée par 23 000 dépôts) a été compromise via un token PAT volé. L'attaquant a modifié le code pour exfiltrer les secrets des workflows CI (tokens AWS, PyPI, DockerHub, npm…) vers des logs publics. Cet incident illustre les risques des dépendances tierces en intégration continue.