Les dernières cyberattaques – 16 sep 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

La semaine a été marquée par plusieurs incidents de cybersécurité touchant divers secteurs. SwissBorg a été victime d’un piratage majeur, tandis que Plex a subi une nouvelle violation de données. Le groupe Lazarus continue d’innover dans ses méthodes de cybercriminalité, exploitant des faux entretiens d’embauche pour déployer des malwares. Par ailleurs, le ransomware LunaLock a introduit une méthode d’extorsion unique en menaçant d’utiliser des données volées pour entraîner des modèles d’intelligence artificielle. Ces événements soulignent la diversité et la complexité croissantes des menaces dans le paysage numérique actuel. Chaque incident présente des défis uniques pour les entreprises et les particuliers, nécessitant une vigilance accrue et des réponses adaptées pour minimiser les impacts.

Salesloft a révélé qu’une violation de son compte GitHub en mars a conduit à des vols de données Salesforce en août, selon Bleeping Computer. Les attaquants ont d’abord volé des jetons OAuth de Drift, facilitant les attaques ultérieures. Cette chaîne d’événements montre comment une faille initiale peut avoir des répercussions importantes des mois plus tard. Les détails spécifiques des attaques de données Salesforce n’ont pas été divulgués, mais l’incident souligne l’importance de sécuriser les dépôts de code source.

Des hackers ont compromis des paquets NPM totalisant 2,6 milliards de téléchargements hebdomadaires, selon Bleeping Computer. L’attaque a commencé par un phishing ciblant le compte d’un mainteneur. Cette compromission illustre les risques des attaques sur la chaîne d’approvisionnement, où des logiciels tiers sont utilisés comme vecteurs de distribution de malwares. Les détails sur l’impact exact de l’attaque ne sont pas précisés, mais la portée potentielle est considérable, affectant potentiellement des millions d’utilisateurs.

Selon StartupTicker, SwissBorg a subi un piratage de 41 millions de dollars, impactant 1% de ses utilisateurs. L’incident a été causé par une faille dans un portefeuille externe utilisé pour la stratégie Solana Earn. Bien que cela représente 2% des actifs totaux de SwissBorg, l’application elle-même reste sécurisée. L’exploitation a été détectée le 8 septembre 2025, et des mesures immédiates ont été prises pour contenir la situation. Les utilisateurs ne subiront pas de pertes, car SwissBorg collabore avec des spécialistes de la sécurité pour récupérer les fonds. Les opérations de récupération sont en cours, et les utilisateurs sont assurés que leurs fonds sont en sécurité.

D’après The Verge, Plex a subi une violation de données, exposant des emails, noms d’utilisateur et mots de passe hachés. Bien que les mots de passe soient sécurisés, Plex recommande de les changer par précaution. L’incident a été rapidement contenu, et aucune donnée de carte de crédit n’a été compromise, car elle n’est pas stockée sur leurs serveurs. Plex a également renforcé ses mesures de sécurité pour prévenir de futures attaques. Les utilisateurs sont encouragés à activer l’authentification à deux facteurs pour une protection supplémentaire. Cette violation rappelle un incident similaire survenu en 2022.

Le groupe Lazarus, soutenu par la Corée du Nord, utilise des faux entretiens d’embauche pour déployer des malwares, selon HackRead. Cette méthode cible les chercheurs d’emploi dans les secteurs de la cryptomonnaie et de la blockchain. Les victimes sont invitées à résoudre de faux problèmes techniques, déployant ainsi involontairement des logiciels malveillants. L’enquête a révélé que ces attaques ont touché au moins 230 personnes entre janvier et mars 2025. Les pirates utilisent des plateformes de cybersécurité pour surveiller leurs propres activités et éviter la détection. Cette campagne montre une coordination élevée et un usage sophistiqué de l’ingénierie sociale.

LunaLock, un nouveau groupe de ransomware, menace d’utiliser des données volées pour entraîner des modèles d’IA, comme le rapporte Security Affairs. Le groupe a ciblé le site Artists&Clients, exigeant une rançon de 50 000 dollars. En cas de non-paiement, ils menacent de publier les données sur un site Tor et de les soumettre à des entreprises d’IA. Cette méthode d’extorsion pourrait rendre les données volées permanentes dans les modèles d’IA. LunaLock a ciblé des artistes, un secteur généralement peu visé par les ransomwares, établissant un précédent dangereux pour l’avenir.

Un groupe APT chinois a utilisé le malware sans fichier EggStreme pour compromettre une entreprise militaire philippine, selon The Hacker News. Ce malware injecte du code malveillant directement en mémoire et utilise le chargement de DLL pour exécuter des charges utiles. L’agent EggStreme permet une reconnaissance approfondie du système et le vol de données. Cette attaque s’inscrit dans un contexte de tensions géopolitiques en mer de Chine méridionale. Bien que l’accès initial reste inconnu, EggStreme établit une présence résiliente sur les machines infectées, facilitant l’espionnage à long terme.

Selon The Hacker News, le ransomware HybridPetya exploite la vulnérabilité CVE-2024-7344 pour contourner le Secure Boot des systèmes UEFI. Découvert par ESET, ce ransomware chiffre la table des fichiers maîtres des partitions NTFS. HybridPetya utilise un bootkit et un installateur pour compromettre les systèmes modernes. Le bootkit vérifie l’état de chiffrement et affiche des messages trompeurs à l’utilisateur. Une rançon de 1 000 dollars en Bitcoin est exigée, bien que le portefeuille soit vide. Cette attaque montre l’évolution des ransomwares vers des cibles plus avancées technologiquement.

Apple a averti les utilisateurs français d’une quatrième campagne de logiciels espions en 2025, selon The Hacker News. CERT-FR a confirmé que des notifications ont été envoyées le 3 septembre 2025. Ces attaques ciblent des individus en fonction de leur statut, comme des journalistes et des politiciens. Un défaut de sécurité dans WhatsApp a été exploité avec un bug iOS pour des attaques sans clic. Apple a introduit une fonctionnalité de sécurité dans les nouveaux modèles d’iPhone pour contrer ces vulnérabilités. Le marché des logiciels espions continue de croître, avec une augmentation des investissements américains.

Une attaque DDoS massive a ciblé un fournisseur européen de services de mitigation, atteignant 1,5 milliard de paquets par seconde, selon Bleeping Computer. L’attaque provenait de milliers d’appareils IoT et de routeurs MikroTik. FastNetMon a réussi à atténuer l’attaque en temps réel grâce à des installations de nettoyage DDoS. Cette attaque met en lumière la menace croissante des attaques DDoS volumétriques, nécessitant des interventions au niveau des fournisseurs de services Internet pour les contrer efficacement.