Les dernières cyberattaques – 11 nov 2025

Voici le tour d’horizon des cyberattaques marquantes de la semaine : cibles visées, méthodes employées et premières conséquences déjà connues.

La semaine a été marquée par plusieurs incidents de cybersécurité, mettant en lumière les défis persistants auxquels font face les utilisateurs et les entreprises. Des malwares sophistiqués comme Herodotus et Landfall exploitent des failles de sécurité pour cibler les appareils Android, soulignant la nécessité d’une vigilance accrue. Le secteur de la finance décentralisée n’est pas en reste, avec un vol massif de 120 millions de dollars affectant le protocole Balancer. Parallèlement, des applications malveillantes continuent de proliférer sur Google Play, totalisant des millions de téléchargements. Ces événements illustrent la diversité des menaces actuelles, allant des attaques ciblées sur des appareils spécifiques aux infiltrations dans les infrastructures critiques, et soulignent l’importance de rester informé et préparé face à ces dangers.

Le malware Android Herodotus, récemment découvert, représente une menace sérieuse en tant que Malware-as-a-Service. Il se propage via des campagnes de phishing par SMS, redirigeant les victimes vers des pages de téléchargement frauduleuses. Une fois installé, Herodotus prend le contrôle total de l’appareil en réalisant des opérations bancaires non autorisées pendant que les utilisateurs sont connectés à leurs comptes financiers. Le malware utilise des techniques d’évasion comportementales, comme des retards aléatoires et des mouvements réalistes, pour contourner les systèmes de détection anti-fraude. Il enregistre les données sensibles via des captures d’écran et des enregistrements de frappes, superposant des interfaces factices sur des applications légitimes. Selon cyberpress.org, cette approche représente un changement fondamental dans les tactiques des malwares mobiles, où l’imitation comportementale est aussi importante que les capacités techniques.

Un spyware Android nommé Landfall a ciblé les utilisateurs de téléphones Samsung en exploitant une vulnérabilité zero-day. Cette faille, présente dans une bibliothèque de traitement d’images de Samsung, permet l’exécution de code à distance. Les attaquants ont utilisé des images DNG spécialement conçues, envoyées via WhatsApp, pour infecter les appareils. Le spyware permet d’espionner les victimes en enregistrant des sons, en suivant la localisation et en exfiltrant des données. D’après SecurityWeek, bien que Samsung ait corrigé la vulnérabilité en avril, les attaques ont commencé dès juillet 2024, démontrant l’exploitation de cette faille avant la publication des correctifs.

Le protocole de finance décentralisée Balancer a subi une attaque majeure, avec des pertes estimées à plus de 128 millions de dollars. Les hackers ont ciblé les pools v2 de Balancer, exploitant une erreur d’arrondi dans les calculs de swap. Cette faille a permis aux attaquants de manipuler les échanges de tokens, entraînant une distorsion de prix significative. Balancer, qui fonctionne sur la blockchain Ethereum, a été audité 11 fois depuis 2021, mais cela n’a pas suffi à prévenir cette attaque. Comme le rapporte BleepingComputer, l’équipe de Balancer travaille avec des chercheurs en sécurité pour comprendre l’incident et a promis de publier un rapport détaillé.

Entre juin 2024 et mai 2025, des applications Android malveillantes sur Google Play ont été téléchargées plus de 42 millions de fois. Ce chiffre souligne une augmentation de 67 % des malwares ciblant les appareils mobiles. Les trojans bancaires et les logiciels espions représentent une menace croissante, avec une hausse notable des transactions malveillantes. Selon BleepingComputer, l’adware est devenu la menace la plus répandue, représentant 69 % des détections, presque le double de l’année précédente. Cette prolifération met en évidence l’évolution des menaces mobiles et l’importance de la vigilance des utilisateurs.

Les opérateurs mobiles britanniques, en partenariat avec le gouvernement, ont décidé de bloquer les numéros de téléphone usurpés pour lutter contre la fraude. Ce plan, qui fait partie de la nouvelle charte des télécommunications, vise à empêcher les escrocs d’usurper l’identité de banques et d’autres organisations de confiance. Les technologies de traçage des appels seront déployées pour aider la police à identifier et démanteler les opérations frauduleuses. Comme le détaille BleepingComputer, les opérateurs se sont engagés à améliorer le soutien aux victimes et à réduire les délais de réponse à deux semaines.

Le groupe de hackers Sandworm, soutenu par l’État russe, a utilisé des malwares effaceurs (wiper) de données pour perturber le secteur céréalier de l’Ukraine, une source de revenus cruciale pour le pays. Ces attaques, survenues en juin et septembre, s’inscrivent dans une série d’opérations destructrices menées par Sandworm. Les effaceurs de données, contrairement aux ransomwares, visent uniquement à saboter en détruisant les informations numériques. Selon BleepingComputer, cette stratégie semble être une tentative d’affaiblir l’économie de guerre de l’Ukraine en ciblant un secteur vital.

Les attaques ClickFix ont évolué pour inclure des vidéos guidant les victimes à travers le processus d’auto-infection. Ces attaques utilisent la détection automatique du système d’exploitation pour fournir les commandes appropriées. Les vidéos et un minuteur incitent les cibles à agir rapidement, réduisant ainsi le temps de vérification de l’authenticité du processus. D’après BleepingComputer, ces pages sont principalement promues via des campagnes de malvertising sur Google Search, exploitant des failles connues de plugins WordPress obsolètes.

Le Bureau du Budget du Congrès américain a subi une cyberattaque, potentiellement orchestrée par des hackers étrangers. Cet incident a exposé des données sensibles et a conduit à la mise en place de nouvelles mesures de sécurité. Le Bureau, qui fournit des analyses économiques aux législateurs, a rapidement contenu l’incident. Comme le rapporte BleepingComputer, cette attaque s’inscrit dans une série d’incidents visant des agences gouvernementales, soulignant la persistance des menaces cybernétiques.

Neuf packages NuGet malveillants ont été identifiés, capables de déclencher des charges utiles à retardement pour saboter des opérations de base de données et corrompre des systèmes de contrôle industriel. Ces packages, publiés en 2023 et 2024, sont conçus pour exécuter du code malveillant après des dates spécifiques en août 2027. Selon TheHackerNews, ces bombes logiques représentent une menace sérieuse pour la sécurité des chaînes d’approvisionnement logicielle.

Le groupe Clop a attaqué Logitech, exigeant une rançon sous peine de divulguer des données sensibles. Cette attaque, revendiquée sur le dark web, touche également d’autres institutions prestigieuses. Clop, actif depuis 2019, se spécialise dans le chantage aux données. Selon RTS, les hackers ont exploité une faille dans un logiciel Oracle, utilisé par de grandes entreprises, pour compromettre les données.

Le groupe de hackers Akira menace de publier 24 gigaoctets de données militaires appartenant à une filiale américaine du constructeur suisse de défense RUAG. Cette attaque vise RUAG LLC, spécialisée dans la maintenance et la fourniture de pièces détachées pour les forces aériennes. Selon SwissInfo, les données volées incluent des informations confidentielles, des contrats militaires et des détails sur la manipulation d’explosifs.