Les actualités cybersécurité du 21 déc 2025

Voici la sélection hebdomadaire des actualités cybersécurité à retenir : faits marquants, signaux faibles et tendances observées au fil de la semaine.

L’actualité de la semaine met en lumière une intensification des opérations d’États et de groupes criminels contre des cibles très diverses, allant des infrastructures critiques européennes aux ministères, en passant par les plateformes en ligne et les services crypto. Des services de renseignement européens accusent des groupes russes de mener une guerre hybride combinant attaques destructrices et perturbation électorale, tandis que la France reconnaît une compromission de serveurs de messagerie d’un ministère clé. Parallèlement, un prestataire d’analytique est au cœur d’une extorsion massive visant l’historique d’utilisateurs Premium, et les chiffres de vols de cryptomonnaies attribués à la Corée du Nord dépassent les 2 milliards de dollars pour 2025, montrant l’ampleur de ces campagnes.

Selon BleepingComputer, le service de renseignement de défense danois pointe deux groupes opérant pour la Russie : Z-Pentest, lié à une attaque destructrice contre une compagnie des eaux, et NoName057(16), attribué à des attaques par déni de service distribué avant les élections locales de novembre précédant le scrutin de 2025. Depuis l’invasion de février 2022, le Danemark soutient militairement et financièrement l’Ukraine et participe aux sanctions internationales. Une alerte conjointe publiée le 10 décembre par des agences comme la CISA et l’EC3 signale que NoName, Z-Pentest, Sector16 et CARR ciblent désormais des infrastructures critiques dans le monde entier.

D’après BleepingComputer, l’attaque contre le ministère français de l’Intérieur, détectée dans la nuit du jeudi 11 au vendredi 12 décembre, a permis un accès non autorisé à certains fichiers via les serveurs de messagerie. Les autorités n’ont pas encore confirmé un vol de données, mais ont renforcé les contrôles d’accès des systèmes utilisés par le personnel et ouvert une enquête examinant notamment l’hypothèse d’une ingérence étrangère ou d’un acte militant. En avril, la France avait déjà attribué une campagne de quatre ans touchant une douzaine d’entités à APT28, groupe lié à une unité du renseignement militaire russe. Une arrestation en France a eu lieu entre-temps en lien avec cette affaire.

Comme le détaille BleepingComputer, la plateforme pour adultes PornHub subit une tentative d’extorsion du groupe ShinyHunters, qui affirme détenir 94 Go de données issues d’une compromission du prestataire d’analytique Mixpanel le 8 novembre 2025 via une campagne de hameçonnage par SMS. Le groupe revendique plus de 200 millions enregistrements d’historique de recherche, de visionnage et de téléchargement de membres Premium. PornHub précise que seuls certains abonnés sont concernés, que ses propres systèmes n’ont pas été piratés et que mots de passe, paiements et informations financières n’ont pas été exposés, les données provenant d’anciens jeux de mesures antérieurs à 2021.

Selon Chainalysis, les vols de cryptomonnaies ont dépassé 3,4 milliards de dollars entre janvier et début décembre 2025, dont 2,02 milliards attribués à des pirates nord‑coréens, soit une hausse de 51 % par rapport à 2024 et un cumul estimé à 6,75 milliards. Le piratage de la plateforme Bybit en février représente à lui seul 1,5 milliard. Les compromissions de portefeuilles individuels ont explosé à 158 000 incidents touchant 80 000 victimes pour 713 millions de dollars, tandis que les attaques sur services centralisés, souvent via compromission de clés privées, ont généré 88 % des pertes du premier trimestre 2025.

D’après BleepingComputer, le procureur général du Texas a engagé des poursuites contre cinq fabricants de téléviseurs, dont Sony, Samsung, LG, Hisense et TCL, les accusant d’utiliser la reconnaissance automatique de contenu pour capturer des captures d’écran toutes les 500 millisecondes et suivre en temps réel ce que regardent les utilisateurs. Les plaintes évoquent l’envoi de ces informations vers les serveurs des constructeurs sans consentement, puis leur revente pour le ciblage publicitaire. Un précédent remonte à février 2017, quand un fabricant de téléviseurs connectés avait versé 2,2 millions de dollars après avoir collecté les données de visionnage de 11 millions de consommateurs depuis 2014.

Comme le rapporte The Register, Amazon affirme avoir empêché plus de 1 800 candidats suspectés d’être liés à la Corée du Nord de rejoindre ses équipes depuis avril 2024, tout en observant une hausse de 27 % des candidatures affiliées au régime d’un trimestre à l’autre en 2025. Ces escroqueries impliquent de vrais développeurs utilisant des identités volées, des outils d’intelligence artificielle pour créer des profils et parfois des deepfakes en entretien, afin de reverser une grande partie de leurs salaires à Pyongyang. Les mêmes réseaux exploitent aussi le malware BeaverTail, doté de plus de 128 couches d’obfuscation et actif sur Windows, macOS et Linux, pour voler données sensibles et portefeuilles numériques.

Selon CoinDesk, la police espagnole a démantelé un groupe criminel transfrontalier spécialisé dans les enlèvements visant les détenteurs de cryptomonnaies, arrêtant cinq personnes en Espagne et en mettant en examen quatre autres au Danemark. L’enquête a débuté en avril après qu’une femme a signalé à Málaga l’enlèvement de son compagnon et elle par trois ou quatre agresseurs armés ; l’homme a été retenu plusieurs heures, puis retrouvé mort en zone boisée. Les investigations ont conduit à six perquisitions dans des logements de Madrid et Málaga, où deux armes de poing (dont une factice), une matraque, des vêtements ensanglantés, des appareils mobiles, des documents et des preuves biologiques ont été saisis.

Comme le décrit CyberPress, le groupe d’espionnage chinois Ink Dragon, actif depuis des années, a étendu ses opérations d’Asie et d’Amérique du Sud vers des réseaux gouvernementaux européens en exploitant des erreurs de configuration sur des serveurs Microsoft IIS ou SharePoint exposés. Une fois infiltrés, les opérateurs récupèrent des identifiants locaux, repèrent les sessions administrateurs actives, réutilisent des comptes de service et se déplacent via le protocole de bureau à distance jusqu’à obtenir des privilèges de domaine, installer des portes dérobées persistantes et positionner des implants sur des systèmes à forte valeur. Les serveurs compromis sont ensuite transformés en relais furtifs au moyen d’un module IIS personnalisé, tandis qu’une nouvelle version du malware FinalDraft dissimule son trafic de commande dans des brouillons de messagerie hébergés dans le cloud.

D’après The Hacker News, des acteurs liés à la Corée du Nord sont responsables en 2025 d’au moins 2,02 milliards de dollars dérobés sur plus de 3,4 milliards volés dans le monde, soit 51 % de hausse par rapport à 2024 et 681 millions de plus qu’alors. Le piratage de l’échange Bybit en février, imputé au cluster TraderTraitor, représente 1,5 milliard de ce total. Les chercheurs estiment que les attaques nord‑coréennes comptent pour 76 % des compromissions de services cette année et portent le cumul minimal volé à 6,75 milliards de dollars, tandis qu’un groupe affilié, actif dans l’opération Dream Job, aurait déjà siphonné plus de 200 millions au cours de plus de 25 braquages entre 2020 et 2023.

Selon Security Affairs, Amazon Threat Intelligence a mis au jour une campagne soutenue par l’État russe visant les infrastructures critiques occidentales entre 2021 et 2025, attribuée avec un fort degré de confiance au groupe GRU/Sandworm, également connu sous les noms APT44 et Seashell Blizzard. Les attaques ciblaient particulièrement le secteur de l’énergie et ont évolué d’une exploitation de failles. Sur des instances EC2 hébergeant ces équipements, les attaquants maintenaient des connexions persistantes, captaient le trafic, récoltaient des identifiants puis les rejouaient pour se déplacer latéralement au sein de réseaux énergétiques et d’autres infrastructures en Amérique du Nord, en Europe et au Moyen‑Orient.