Les actualités cybersécurité du 14 déc 2025

Voici la sélection hebdomadaire des actualités cybersécurité à retenir : faits marquants, signaux faibles et tendances observées au fil de la semaine.

L’actualité de la semaine illustre la convergence entre cyberconflits d’États, évolution des cadres juridiques et explosion des coûts liés aux attaques numériques. Des accusations formelles de cyberopérations attribuées à un acteur étatique contre le contrôle aérien d’un pays européen côtoient la décision d’un autre État de protéger juridiquement la recherche en sécurité. Parallèlement, des services de renseignement redéfinissent leurs évaluations stratégiques, tandis que de nouveaux rapports chiffrent précisément l’ampleur mondiale des attaques, en particulier aux États‑Unis. Cette dynamique se retrouve aussi dans la régulation des grandes plateformes, la gestion de failles dans le secteur privé, la répression des fuites massives de données, l’industrialisation du ransomware et les indemnisations tardives de victimes.

Selon SecurityAffairs, l’Allemagne a convoqué l’ambassadeur russe après avoir attribué une cyberattaque d’août 2024 contre Deutsche Flugsicherung, l’autorité nationale de contrôle aérien, au groupe APT28, rattaché au renseignement militaire russe. Les autorités disent disposer de « preuves claires » et accusent aussi la campagne de désinformation Storm 1516, active depuis au moins 2023, d’avoir visé l’élection fédérale allemande de février ainsi que des scrutins en Géorgie et dans d’autres États américains. Berlin évoque une montée des menaces hybrides mêlant cyberattaques, propagande et pressions économiques, et prépare des contre‑mesures coordonnées avec ses partenaires de l’Union européenne.

Le Portugal a modifié sa loi sur la cybercriminalité pour instaurer un « safe harbor » légal en faveur de la recherche en sécurité menée de bonne foi, rendant certains actes de hacking non punissables sous conditions, détaille BleepingComputer. Le nouvel article 8.o‑A exige que la recherche vise uniquement des vulnérabilités préexistantes, sans bénéfice économique autre que la rémunération professionnelle normale, avec notification immédiate au propriétaire du système, au responsable de traitement et au CNCS, le NCSC portugais. Les actions ne doivent ni perturber les services, ni altérer ou supprimer des données, les informations collectées devant rester confidentielles et être supprimées dans les dix jours suivant la correction de la faille.

Dans son panorama 2025, le service de renseignement de défense danois classe pour la première fois les États‑Unis comme risque sécuritaire, estimant que Washington priorise davantage ses intérêts et utilise sa puissance économique, via notamment la menace de droits de douane élevés, comme outil de pression, rapporte Politico. Le document souligne aussi l’incertitude entourant l’évolution de la relation Chine–États‑Unis, la priorité accrue de Washington pour la zone indo‑pacifique et l’Arctique, et la nécessité pour les pays européens de renforcer leurs capacités pour dissuader la Russie, tout en redoutant un scénario où Moscou et Pékin seraient simultanément prêts à mener des guerres régionales.

D’après Cyberpress, le coût global de la cybercriminalité dépasse déjà 10,5 trillions de dollars et pourrait atteindre plus 15 trillions d’ici 2029, tandis que 59 % des entreprises ont subi au moins une attaque réussie l’an dernier. Entre 2024 et 2025, les États‑Unis concentrent 44 % des cyberattaques signalées, soit 646 incidents, devant le Royaume‑Uni (72 attaques) et un trio Russie‑Canada‑France. Le secteur des administrations publiques enregistre 308 attaques en un an, contre 200 dans la santé et 178 dans la finance, alors que 1 013 incidents sur 1 468 recensés ont un mobile financier.

Comme le révèle TechCrunch, un jeton d’accès GitHub appartenant à un employé de Home Depot est resté exposé en ligne depuis le début de 2024, offrant pendant environ un an un accès en lecture‑écriture à des centaines de dépôts privés de code source. Le chercheur qui a découvert ce jeton a indiqué qu’il permettait aussi d’accéder à l’infrastructure cloud de l’entreprise, notamment les systèmes de gestion des commandes et des stocks ainsi que les chaînes de développement. Après plusieurs semaines sans réponse de l’enseigne, le correctif n’a été appliqué qu’après l’intervention du média, le jeton étant alors révoqué.

Le régulateur britannique de la protection des données a infligé 1,2 million de livres sterling (environ 1,6 million de dollars) à LastPass à la suite d’une double faille de 2022 ayant compromis jusqu’à 1,6 million d’utilisateurs au Royaume‑Uni, indique The Register. Lors du premier incident, un attaquant a compromis le MacBook Pro professionnel d’un développeur, exfiltrant 14 des quelque 200 dépôts de code source de l’entreprise, contenant des identifiants internes non chiffrés et des clés chiffrées liées aux sauvegardes de bases de données.

Le collectif hacktiviste pro‑russe CyberVolk a relancé en août une opération de ransomware‑as‑a‑service baptisée CyberVolk 2.x ou VolkLocker, intégralement pilotée via Telegram, ce qui facilite son utilisation par des affiliés peu techniques, décrit The Register. Les charges utiles, écrites en Go, ciblent à la fois Linux et Windows et intègrent une automatisation Telegram pour le commandement et contrôle. Les opérateurs doivent fournir adresse Bitcoin, jeton de bot, identifiant de chat, délai d’expiration, extension de fichier et options d’autodestruction. Une erreur de débogage a toutefois laissé les clés de déchiffrement codées en clair dans les exécutables, la même clé chiffrant tous les fichiers d’une victime.

Selon un rapport d’analyse des tendances financières de SecurityWeek, les paiements de rançon déclarés à FinCEN (US Treasury’s Financial Crimes Enforcement Network) ont dépassé 4,5 milliards de dollars fin 2024, avec un pic annuel en 2023 à 1,1 milliard pour 1 512 incidents signalés. Entre janvier 2022 et décembre 2024, 4 194 incidents de ransomware ont été rapportés et plus de 2,1 milliards de dollars versés, dont 734 millions pour la seule année 2024. Le montant médian par transaction est passé de 124 097 dollars en 2022 à 175 000 dollars en 2023, avant de redescendre à 155 257 dollars en 2024, la plupart des paiements restant inférieurs à 250 000 dollars.

Comme le rappelle Bitdefender, l’attaque ransomware de mai 2021 contre le service de santé irlandais, attribuée au groupe Conti lié à la Russie, a entraîné l’arrêt complet de l’infrastructure informatique, des reports massifs de rendez‑vous et la publication en ligne de données sensibles de patients, alors qu’une rançon de près de 20 millions de dollars était exigée. Quatre ans plus tard, le service de santé propose 750 euros par personne touchée, plus 650 euros pour les frais juridiques, à plus de 90 000 personnes notifiées.

La Commission européenne a infligé une amende de 120 millions d’euros (soit environ 140 millions de dollars) au réseau social X pour manque de transparence envers ses utilisateurs européens, dans le premier cas d’application du Digital Services Act, explique Malwarebytes. Trois manquements sont visés : un système de coche bleue jugé trompeur, permettant à quiconque de payer pour un statut « vérifié » sans réelle vérification d’identité ; le blocage de l’accès des chercheurs aux données publiques ; et une base de publicités ne respectant pas les exigences DSA, car dépourvue d’informations essentielles comme le thème et le contenu des annonces.