Les autorités finlandaises ont saisi un navire soupçonné d’être à l’origine de dommages sur un câble de télécommunications sous-marin en mer Baltique, un nouvel incident qui ravive les inquiétudes autour de la sécurité des infrastructures critiques dans la région.
Le signalement est intervenu dans la nuit du réveillon, après la détection d’une anomalie sur un câble reliant l’Estonie. Le bâtiment suspect, repéré avec son ancre immergée, a été escorté vers les eaux territoriales finlandaises puis placé sous contrôle des autorités. L’enquête a été confiée à la police d’Helsinki et porte sur des faits qualifiés de dégradations aggravées et d’atteinte aux télécommunications.
Si les opérateurs concernés assurent que la continuité de service a été maintenue grâce à des liaisons redondantes, cet épisode s’inscrit dans une série de ruptures récentes de câbles en mer Baltique. Officiellement, certaines seraient liées à des conditions météorologiques difficiles. En arrière-plan, toutefois, persiste la crainte d’actes intentionnels visant des infrastructures devenues stratégiques, dans un contexte géopolitique toujours plus tendu.
La question de savoir si les hôpitaux doivent se couvrir contre le risque cyber non seulement n’est pas si triviale, mais en plus fait toujours débat.
Pas triviale tout d’abord. Il est tout d’abord intéressant de remonter aux origines de l’assurance : une recherche rapide nous montre qu’elle est apparue au XIIIème siècle, et on trouve sans erreur possible des traces de contrats à Bruges au tout début du XIVème siècle. Mais l’assurance moderne, telle qu’on la connaît et qu’on la pratique de nos jours, date des grandes expéditions maritimes (on pense notamment à la fameuse Compagnie des Indes Orientales), pour lesquelles les gains potentiels de chaque expédition étaient aussi énormes que les risques encourus, obligeant par cela les compagnies à s’assurer contre la perte des navires et des chargements.
L’assurance est donc une couverture d’un risque majeur, ce qui complexifie déjà le débat pour le secteur santé et en particulier le public. Car que doit-on assurer ? La disparition de la structure (l’hôpital) à la suite d’un sinistre cyber ? Mais les hôpitaux ne disparaissent pas, ils sont adossés à l’État qui viendra toujours à la rescousse d’un CHU, le CHU viendra lui-même à la rescousse d’un petit établissement de sa zone, etc. Faut-il alors assurer les conséquences sur un patient d’une prise en charge défectueuse (on dit « perte de chance ») consécutive à un sinistre cyber ? Ou la perte d’activité (donc de recettes) consécutive à un arrêt du SI ? Sans vouloir paraître cynique, si l’on en croit les chiffres des pouvoirs publics, il y a un établissement attaqué par semaine en France…sur 20 000. On sort la calculette, et grosso modo un hôpital va être attaqué en moyenne tous les 192 ans – la comète de Halley aura eu le temps de passer plus de deux fois ! Sans parler du fait que, ne soyons pas crédule, une fois le sinistre survenu on sait très bien que l’assureur cherchera la petite bête non seulement pour diminuer le montant du chèque à verser, mais en plus mettre des années à le verser.
Sauf qu’une assurance, et en particulier une assurance cyber, cela ne sert pas à ça. Cela a trois caractéristiques très importantes. Un assureur qui attaque ce marché avec comme argument principal la couverture de la perte financière (perte de recette ou dommages et intérêts à verser au patient) rate complètement la cible (tout comme un décideur qui lorgnerait sur la garantie financière du reste).
Tout d’abord, et peu de décideurs en sont conscients, les sinistres d’origine cyber ont été progressivement retirés (ou mis en exclusion idem) des couverture de Responsabilité Civile (RC) souscrites par les entreprises, publiques ou privées. Si une direction générale ne veut pas se retrouver dans une situation compliquée, surtout s’il y a perte de chance médicale avérée, cette seule couverture RC intégrée aux contrats cyber est suffisante pour clore le débat.
Ensuite, la plupart des contrats proposent dans la palette des garanties la possibilité de faire intervenir des équipes spécialisées (les assureurs montent des partenariats avec des ESN cyber), et quand on est dans la cyber-mouise on est bien content de pouvoir appeler un ami.
Mais surtout – et c’est un bénéfice collatéral de l’assurance que les RSSI perçoivent parfaitement -, quand on est cyber assuré on doit la plupart du temps remplir un questionnaire et le mettre à jour tous les ans, qui sert à l’assureur à calculer son « niveau d’assurabilité» (pour rester poli), ce qui veut direque plus on est mauvais dans la maîtrise cyber de son SI, et plus la prime annuelle va être élevée. Et avouons que l’on connaît tous des RSSI qui peinent à faire entendre à leur direction générale que le niveau cyber du SI n’est pas bon, quand c’est un mini-audit extérieur qui le dit (et qui augmente la prime) tout de suite cela porte mieux.
Cette seconde analyse conduit à une conclusion pour le moins inattendue : l’assurance cyber ne sert pas à assurer une quelconque perte financière (ce que l’on imagine au départ), elle sert à contraindre les organisations (qu’elles soient publiques ou privées) à traiter les fondamentaux cyber et à arrêter de repousser ces fondamentaux aux calendes grecques. D’ailleurs, le même phénomène s’est produit il y a des décennies avec l’assurance incendie.
Dit autrement, avant de prétendre que s’assurer ne sert à rien quelle que soit la catégorie des sinistres à couvrir, il faut garder en tête que les assureurs existent depuis au bas mot 6 siècles et qu’ils ont peut-être des arguments à faire valoir.
Il arrive qu’une recherche depuis un moteur de recherche ne fournisse pas de résultat. Ce phénomène est nommé « data void », ou vide numérique. Il a fait l’objet d’une étude en 2018 qui en a donné une définition formelle. Il s’agit d’un intitulé pour lequel il y a très peu, voire pas du tout, de résultat pertinent. Par extension, cette définition concerne aussi les intitulés dont les résultats sont composés en très grande majorité de sites diffusant des fausses nouvelles ou du contenu haineux.
Les data voids équivalent à un angle mort du cyber espace à l’intérieur duquel existe un décalage important entre l’intérêt pour un sujet et son traitement inexistant par des sources officielles ou à tout le moins considérées comme sérieuses et fiables. Ils confirment l’adage qui dit que sur Internet, celui qui a raison est celui qui parle en premier. Cette inadéquation entre la demande d’informations précises et l’offre disponible en ligne explique l’emploi du terme « data void » pour désigner au cours des dernières semaines une situation insolite : l’absence d’informations disponibles sur l’état de l’économie américaine, comme l’indice des prix, le taux de croissance ou encore le taux d’emploi des personnes actives. Elles sont obtenues grâce au travail d’agences fédérales (Bureau of Labor Statistics, Bureau of Economics Analysis) qui se sont arrêtées pendant le plus long shutdown n’ayant jamais eu lieu.
Cette nouvelle acception du terme « data void » rappelle l’importance de connaître l’origine d’une information et permet aussi de comprendre pourquoi ce phénomène constitue une aubaine pour mener une entreprise de désinformation. Les vides numériques sont une conséquence du rôle des moteurs de recherche dans la manière de s’informer sur un sujet. Ce que l’on apprend sur le Net dépend de ce qui apparaît à la première page de résultats. Ces résultats dépendent eux-mêmes du référencement naturel et du knowledge graph qui cartographient tout ce qui est dit, écrit et publié en ligne.
Ainsi en septembre 2020, Google a reconnu l’existence d’un de ces vides numériques sur le moteur de recherche. L’intitulé « jewish baby stroller » renvoyait vers des conversations entre néo-nazis sur Reddit avec cette expression comportant des mèmes antisémites. Elle ne permettait pas d’identifier un modèle de poussette disponible dans le commerce. Si cet intitulé était saisi par des jeunes parents, ils étaient alors exposés à des discours antisémites. Google a pris des mesures correctives, comme la modification des featured snippets en 2022. Il s’agissait de présentations dans une vignette distincte des résultats d’un résumé de la réponse à une question posée dans la barre recherche. Cette réponse pouvait contenir des propos haineux s’ils correspondaient à la recherche à faire.
Un phénomène amplifié par l’Intelligence Artificielle
L’arrivée des chatbots comme ChatGPT à partir de novembre 2022 a renforcé la dangerosité des vides numériques. Ces solutions, fonctionnant à partir de modèles de langage (LLM), sont de plus en plus utilisées à la place des moteurs de recherche traditionnels. On estime qu’au mois de juillet 2025, un peu moins de 6 % des recherches sur Internet ont débuté à partir d’un chatbot. Ils permettent d’accomplir certaines tâches, par exemple écrire un résumé sur un fait d’actualité. En obtenant immédiatement la réponse à sa question, l’utilisateur est dispensé de consulter chaque lien apparaissant parmi les résultats. Si la demande formulée dans le prompt contient un terme faisant l’objet d’un data void, les chatbots sont donc davantage susceptibles de relayer des allégations issues de sources suspectes ou plus insidieusement de reprendre le contenu de sites fantoches reprenant des éléments de désinformation.
C’est ce qui s’est produit au mois de janvier 2025. Les média pro-Kremlin avaient annoncé qu’un pilote danois avait été tué en Ukraine. Cette nouvelle, signifiant l’implication d’un pays membre de l’OTAN dans le conflit entre la Russie et l’Ukraine, a été relayée par des chatbots. Ces derniers citaient des articles provenant de media et de blogs russes ou identifiés comme favorables au régime de Vladimir Poutine. Comment cette fausse nouvelle a-t-elle pu être diffusée malgré son origine douteuse ? L’identité fictive du pilote, Jepp Hansen, figurait dans les annonces. Ce terme faisait l’objet d’un vide numérique et ne figurait quasiment nulle part sur le Net. Par conséquent, faute de démenti officiel des autorités danoises, toutes les requêtes dans lesquelles figuraient les deux mots devaient prendre comme sources les pages web de sites où ils figuraient.
Les investigations d’organismes de surveillance ont révélé que les sites d’où provenaient ces fausses informations appartenaient à un réseau de propagande. Il était composé de sites rédigés en plusieurs langues (anglais, français, espagnol, danois….) qui avaient tous la même charte graphique, la même architecture HTML et étaient hébergés sur les mêmes serveurs que ceux d’agences de presse officielles russes. Ce réseau mettait en ligne de la propagande pro-russe rédigée en plusieurs langues à une fréquence très élevée (près de cent fois par heure) pour être reprise par des agents conversationnels si ceux-ci devaient fournir des informations sur les éléments faisant l’objet d’un vide numérique. Ils contribuent à la désinformation, non pas à cause d’un mauvais fonctionnement, mais en cas d’absence de contre-discours officiel. C’est lorsque les média traditionnels n’ont pas traité un sujet que les algorithmes peuvent orienter vers des sources suspectes. Une étude d’octobre 2025 indique que les LLM avaient tendance à ne pas reprendre les éléments des sources suspectes (par exemple celles de la propagande Russe) sauf en cas de data void.
Contre la tromperie, l’ignorance ?
Les data voids ne reposent pas sur une altération du fonctionnement des LLM (une technique nommée LLM-grooming) mais existent de manière clandestine aussi longtemps qu’ils n’ont pas été identifiés par un organisme de fact-checking. Ce qu’on y trouve n’est donc pas vrai, mais n’est pas, jusqu’à preuve du contraire, faux non plus. Un informaticien américain a su exploiter cette situation pour démontrer comment créer une page web qui sera citée par Copilot et être téléchargée par ses utilisateurs. En reprenant l’étude de 2018 citée plus haut, il a su identifier un de ces vides numériques, en l’occurrence une liste des actions à accomplir pour installer une extension de Copilot pour le navigateur Chrome. Il a alors conçu une page html dans laquelle figuraient une vingtaine de termes issus de la documentation officielle de Microsoft. Cela rendait cette page visible -et crédible- au modèle de ce chatbot qui n’a pas vérifié l’origine des données utilisées pour répondre aux requêtes de ses utilisateurs. Ceux-ci pouvaient exécuter un script installant à la place de Copilot un programme pirate de sa fabrication, heureusement inoffensif. Si des données issues d’une source reconnue comme compétente et sérieuse existaient, il n’aurait pas été possible d’exploiter ce data void.
Le vide numérique rappelle qu’en ligne, la valeur à tirer d’une information n’est pas seulement ce que l’on apprend grâce à elle mais aussi sa capacité à en connaître les sources et les circonstances dans lesquelles elle a été générée. Peut-elle être contenue sans contradiction dans un ensemble d’informations avérées ? Elle augmentera, dans ce cas, la connaissance d’un sujet et sera distinguée d’une rumeur. Le data void concernant les informations sur l’économie américaine a ainsi pu être anticipé. Les sources habituelles d’informations étant taries, il a été néanmoins possible de distinguer ce qu’il était possible de savoir de ce qui ne pourra pas être connu sur l’économie américaine pendant l’automne 2025. Toute tentative de fournir ces données sans se prévaloir de ces sources suscitera la suspicion.
Un autre enseignement à tirer des data voids est l’importance de l’annonce d’une information. L’intérêt du public pour un sujet fluctue. Être le premier ou le seul à annoncer une information qui en fait l’objet, c’est disposer d’un avantage. Les data voids reposent sur l’impossibilité de confronter plusieurs sources sur un même sujet. Dans cette dynamique de l’attention, les affabulations prennent la forme de révélations. Opérer un travail de fact-checking, c’est interroger la légitimité qu’a celui qui s’exprime à avoir l’exclusivité d’une information. Est-il possible de réitérer son travail d’investigation ? Est-il le seul à pouvoir accéder aux faits et aux documents qui confirment ce qui est annoncé ? Se poser ces questions, c’est exiger une vérification de l’information et refuser de se contenter d’une seule source. Plutôt qu’à un vide, les data void peuvent être comparés à une disette. La quantité d’informations y est insuffisante pour permettre une réelle connaissance. La lutte contre la désinformation consiste toutefois à rendre le public capable de s’adapter à cette disette pour ne jamais se contenter de la becquée.
Un mouchard dans votre poche : comment fonctionnent les logiciels espions ?
Vous pensez que votre téléphone est sécurisé ? Il l’est, et de plus en plus, mais cela n’est pas un obstacle pour l’industrie des logiciels espions (ou “spyware”), qui proposent des infiltrations toujours plus furtives et sophistiquées. Les logiciels les plus connus du grand public – Predator, Graphite, Pegasus, etc. – visent principalement ces appareils, parce qu’ils accompagnent les utilisateurs partout et peuvent donner une grande quantité d’informations (localisation, contenu des conversations, images, son). Leur véritable prouesse technique réside dans leur capacité à transformer le dispositif le plus sécurisé et intime en une plateforme de collecte de données, sans qu’aucune notification d’intrusion ne soit émise à l’utilisateur.
Concrètement, le logiciel espion est un outil d’exploitation de failles dont la finalité est la surveillance ciblée et l’exfiltration de données. Pour remplir cet objectif, ils peuvent être des technologies “one-click” (il y a besoin d’une action de la cible pour être installé sur l’appareil, souvent via du phishing) ou “zero-click” (il est installé sans action de la part de la cible). En passant de l’erreur humaine au silence radio, les spywares ont transformé la défense en une course permanente : anticiper l’invisible.
Dans ce premier article de notre série “Les routes de la surveillance : enquête sur le marché mondial des logiciels espions”, disséquons le fonctionnement des logiciels espions, pour démontrer que leur sophistication repose sur la faillibilité de nos propres systèmes.
Il était une faille
Comment fonctionne le meilleur ami de l’Homme du XXIe siècle ? J’ai nommé, le “smartphone”. Celui-ci n’est pas si différent d’un ordinateur, comme l’explique Justin Albrecht, Chercheur Principal et Expert des logiciels espions pour mobiles à Lookout : ”Il exécute des logiciels sous forme d’applications et dispose de son propre système d’exploitation avec ses différentes composantes. Les logiciels sont basés sur du code. Malheureusement, ce code présente souvent des bugs ou des défauts de conception qui permettent à un chercheur averti de contourner les protections intégrées et les fonctionnalités prévues dudit logiciel. Dans ce cas, ces défauts sont appelés des “vulnérabilités”, et le code que les développeurs malveillants écrivent pour exploiter ces vulnérabilités est appelé un “exploit”.”
Oubliez la forteresse imprenable : l’infiltration démarre invariablement par l’identification et l’exploitation de la ligne de code la plus faible ou du jugement le plus hâtif. Les créateurs de logiciels espions ont un objectif clair : obtenir un accès ultra-profond à votre téléphone, bien au-delà des protections de surface que vous voyez.
Pour réussir cette intrusion, les éditeurs de logiciels espions ne s’attaquent pas toujours à la porte principale du système d’exploitation, mais cherchent plutôt des failles dans des applications très populaires, comme votre navigateur web (basé sur Chrome) ou votre messagerie instantanée. Celles-ci sont appelées “0-day” : il s’agit de vulnérabilités qui ne sont pas connues de l’éditeur et qui n’ont donc pas encore été corrigées. Un véritable marché opaque s’est développé ces dernières années autour de la découverte et de la vente de ces failles, qui servent de matière première pour le fonctionnement du logiciel espion. Plus la faille concerne une application ou un système d’exploitation populaire, plus son prix est élevé car on aura plus de chances de réussir à infecter le smartphone de la victime.
Une fois la faille identifiée et achetée par l’entreprise de logiciels espions, les développeurs seront chargés d’écrire des lignes de codes pour l’exploiter (“exploit”), afin de franchir le premier obstacle et sortir de l’environnement sécurisé du téléphone. Cette manœuvre est appelée “sandbox escape” (ou “évasion du bac à sable”). Plus simplement, imaginez que chaque application est enfermée dans son propre « bac à sable » sécurisé par le système d’exploitation. Ce mur virtuel l’empêche d’accéder à vos photos ou à d’autres applications. L’exploit est la méthode qui permet de sauter ce mur ou de creuser un tunnel pour sortir du bac à sable et d’obtenir un premier pied dans la porte du système.
Le zero-click est l’art de cette intrusion sans bruit : l’attaque réussit sans que vous n’ayez à lever le petit doigt. Ce n’est pas votre erreur qui est exploitée, mais le fonctionnement automatique de votre appareil. Imaginez que vous visitez un site d’actualité, et, sans même vous en apercevoir, votre téléphone reçoit une instruction malveillante. Cette information utilise un exploit pour forcer le passage et s’échapper du « bac à sable » sécurisé de votre navigateur. C’est la première brèche. L’objectif est limpide : compromettre l’appareil avant même que vous n’ayez la possibilité de réagir.
À l’inverse, les spywaresone-click nécessitent une action de la part de la cible pour que le logiciel puisse infecter le smartphone. L’objectif de l’attaquant sera donc, en premier lieu, de susciter l’erreur de la part de la cible. Cela ressemble à une campagne de phishing classique, qui invite la victime à cliquer sur un lien piégé, grâce aux techniques de l’ingénierie sociale. Des informations sur la cible sont aussi collectées préalablement afin de pouvoir créer une approche personnalisée, grâce à l’OSINT (renseignement en sources ouvertes). Parfois, l’opération peut être très poussée, comme nous l’explique Justin Albrecht : “un hacker peut créer de faux comptes de médias sociaux, de fausses entreprises, des sites web convaincants hébergeant des logiciels malveillants, de fausses nouvelles et d’autres types de traces en ligne qui confèrent de la crédibilité aux efforts d’ingénierie sociale et à l’histoire inventée par l’attaquant. Ces hackers peuvent interagir avec une cible pendant des semaines, parfois en suscitant un intérêt romantique ou une connexion professionnelle, avant de suggérer à la victime de télécharger une application distincte. Le prétexte utilisé pour favoriser le téléchargement peut être une communication plus sécurisée ou une application de partage de photos contenant des clichés prétendument intimes de l’identité factice du hacker”. Toutefois, tous les éditeurs de logiciels ne mettent pas en place une phase de reconnaissance aussi poussée, comme le précise Coline C., analyste en Cyber Threat Intelligence chez Sekoia et co-autrice d’un rapport sur le sujet : “des journalistes ont été visés via un logiciel édité par Candiru. Dans ce cas, le lancement de la chaîne d’infection se faisait par de faux sites de presse typosquattés. À part noter le pays d’origine de la cible ainsi que son activité de journaliste, peu de travail de reconnaissance avait été fait”.
Justin Albrecht indique par ailleurs que l’attaque one-click peut se faire grâce à la participation d’acteurs légitimes : “Il faut rappeler qu’il s’agit souvent d’entreprises légitimes qui vendent leurs logiciels de surveillance à des agences gouvernementales à des fins supposées de sécurité nationale. Cela signifie que les agences utilisant de tels outils exercent souvent des fonctions de police et peuvent émettre des mandats, forçant légalement les entreprises de télécommunications et d’Internet à les aider à cibler une victime. Dans un pays plus autoritaire, les entités gouvernementales peuvent largement contrôler les communications à l’intérieur du pays.” Que la surveillance soit légale ou abusive, le résultat est le même : le téléphone est compromis avec la bénédiction, ou la contrainte, des infrastructures locales.
Persister pour s’exfiltrer
Une fois le logiciel installé sur le smartphone de la cible, il dispose d’un accès restreint à ses données. C’est comme si l’attaquant était dans le hall d’entrée, mais qu’il ne pouvait pas franchir la porte vers le reste de la maison. L’objectif est donc d’obtenir les pleins pouvoirs de manière discrète, c’est-à-dire un accès “root” ou administrateur, afin de pouvoir ouvrir la porte. Cette démarche est nécessaire pour intercepter des données ultra-sécurisées, comme les conversations chiffrées de bout en bout (WhatsApp, Signal). Sans cela, l’attaquant ne pourrait pas lire ce qui est en cours de traitement par le téléphone. Pour ce faire, il doit trouver une deuxième brèche, lançant une “chaîne d’exploits” (c’est-à-dire une série d’attaques successives et sur-mesure, selon la marque ou la version de votre téléphone), jusqu’à obtenir le contrôle total.
Vient ensuite l’étape de la persistance : l’attaquant doit s’assurer que le logiciel espion ne sera pas supprimé par un simple redémarrage de l’appareil ou une mise à jour. Pour cela, il s’injecte dans un processus ou un service légitime et essentiel au fonctionnement du système d’exploitation. Pour dire les choses de manière plus imagée, c’est comme si, au lieu d’allumer sa propre lumière, l’attaquant se branchait directement à la ligne électrique principale de la maison. Le système d’exploitation voit un processus vital tourner, sans se douter qu’un code malveillant y est dissimulé. À ce stade, le logiciel peut modifier des petits fichiers de configuration ou des entrées dans la base de données du système (le registre, par exemple), qui lui indiquent de se relancer automatiquement au démarrage. À chaque redémarrage, le système exécute sa liste de tâches normales, et le logiciel espion est inclus dans cette liste, se relançant ainsi comme un processus normal. Pour survivre aux mises à jour, dont le but est de corriger des failles, le logiciel, ancré au niveau “root” (soit le cœur du système) peut adapter son emplacement et son comportement, ce qui le rend difficile à éliminer de l’appareil via ce processus.
Grâce à cela, le logiciel espion est opérationnel pour effectuer sa mission finale : la collecte et l’exfiltration de données. Le spyware utilise son accès total pour aspirer toutes les informations possibles : conversations, messages vocaux, photos, position GPS, frappes clavier, et même activer le micro ou la caméra à distance. Les données volées sont ensuite envoyées de manière discrète vers le serveur de Command & Control (C2) de l’attaquant. Celui-ci est en quelque sorte son quartier général : il s’agit d’un serveur externe (un ordinateur ou un système d’information quelque part sur Internet) grâce auquel le logiciel espion peut recevoir des ordres et transmettre sa collecte à l’attaquant.
Détecter l’indétectable
Une fois sa mission accomplie, ou pour éviter la détection, le spyware peut avoir des fonctionnalités pour s’autodétruire et effacer ses propres traces sur l’appareil. Cela rend difficile le travail du défenseur, car il est complexe de déterminer si l’on a été la victime d’un logiciel espion, même a posteriori. L’enjeu est de taille : comment traquer l’invisible quand il a été programmé pour l’être ?
Une solution peut être de prêter attention au trafic réseau, afin de remarquer d’éventuelles anomalies. Bien que les spywares soient furtifs, ils doivent communiquer. Des outils de surveillance réseau peuvent détecter un beaconing (communication régulière) vers un domaine nouvellement enregistré ou utilisant un certificat non standard, surtout lorsque l’appareil n’est pas utilisé activement. La surchauffe de l’appareil ou un épuisement trop rapide de la batterie peuvent également constituer des signaux d’alertes visibles.
Pour rester discret tout en transmettant les données, les attaquants ont développé des techniques, comme l’explique Coline C. : “Les attaquants peuvent procéder à la compression de données avant envoi, pour réduire la taille des paquets qui sont envoyés. Il peut aussi y avoir une transmission faite par petits paquets réguliers, ainsi cela se fond complètement dans le trafic normal. Pour éviter de faire exploser les factures, ce qui se fait beaucoup maintenant, c’est une programmation pour envoi de données lorsque le téléphone est en charge et connecté au wifi. Cela permet d’éviter des envois de pièces jointes lourdes quand on est en données cellulaires.” Face à la furtivité programmée, tout effort de détection de spyware sans assistance technologique relève du coup de poker.
Des outils ont été développés pour détecter la surveillance. Par exemple, le Mobile Verification Toolkit (MVT) d’Amnesty International peut analyser les dumps et les journaux du système à la recherche d’indicateurs de compromission (IOC) connus. Il existe aussi des outils comme SpyGuard sont conçus pour intercepter le trafic Wi-Fi et les fichiers PCAP afin de rechercher des anomalies réseau suggérant la présence d’un spyware. Enfin, il est important de noter qu’Apple envoie des notifications aux utilisateurs ciblés par des logiciels espions mercenaires. L’Italie en a fait l’amère expérience avec le scandale Graphite : l’alerte Apple est la faille que les attaquants n’ont pas pu anticiper, transformant les journalistes ciblés en accusateurs, et provoquant des enquêtes pour retrouver d’autres victimes.
Le constructeur automobile britannique a indiqué que son attaque survenue en août 2025 a permis l’accès non autorisé à des données concernant des employés actuels, d’anciens salariés et des prestataires.
Les informations compromises concernaient notamment l’administration des salaires, des avantages sociaux et de certains dispositifs internes. Jaguar Land Rover a engagé des démarches auprès des autorités compétentes, informé les personnes concernées et mis en place des mesures d’accompagnement, tandis que l’incident a contribué à de lourdes pertes financières et à des perturbations dans l’ensemble de sa chaîne de production.
L’unité 42 de Palo Alto Networks a publié, le 11 décembre 2025, un rapport sur un groupe APT affilié au Hamas qu’elle nomme « Ashen Lepus », également connu sous la dénomination « WRITE ». Ce collectif cybercriminel a récemment envoyé des documents contenant des malwares à des entités gouvernementales et diplomatiques liées à Oman, au Maroc et à l’Autorité palestinienne.
Pour déterminer l’affiliation d’Ashen Lepus, les chercheurs se sont appuyés sur l’analyse de ses activités au cours des dernières années : elle montre « une convergence constante avec les intérêts stratégiques du Hamas ». D’après le rapport, le groupe a fait preuve « d’une sophistication croissante depuis 2020 », notamment dans ses techniques de dissimulation. Ses attaques récentes ont ainsi impliqué un nouveau type d’inflostealer particulièrement avancé, appelé AshTag.
Le groupe reste très actif, même depuis le cessez-le-feu d’octobre 2025, contrairement à la plupart des entités cybercriminelles liées au Hamas, dont l’activité a régulièrement diminué depuis deux ans.
Le ministère allemand des Affaires étrangères a formellement accusé la Russie, le 12 décembre 2025, d’avoir mené la cyberattaque contre son système de contrôle du trafic aérien, en 2024, ainsi qu’une campagne de déstabilisation électorale. Berlin a attribué la première au groupe de cyberespionnage APT28 (alias Fancy Bear), une entité du GRU, le service de renseignement militaire russe.
Concernant la seconde, le porte-parole du ministère précise : « nous pouvons affirmer formellement que la Russie a tenté, à travers la campagne Storm 1516, d’influencer et de déstabiliser aussi bien les dernières élections législatives [en février 2025, NDLR] que, de manière continue, les affaires intérieures de la République fédérale d’Allemagne ».
Berlin affirme détenir « des preuves solides » de l’implication de Moscou dans ces deux affaires, et annonce « une série de mesures de rétorsion afin de faire payer à la Russie le prix de ses attaques hybrides ». Ces dispositions comprennent des interdictions d’entrée dans l’UE, des gels d’avoirs et des restrictions d’accès aux ressources économiques. Elles s’accompagnent d’un contrôle accru des déplacements des diplomates russes dans l’espace Schengen.
La CISA, équivalent américain de l’Anssi, a publié, le 9 décembre 2025, un avis de sécurité sur des attaques de groupes hacktivistes pro-russes visant des secteurs critiques aux États-Unis. Le rapport a été élaboré en collaboration avec des agences gouvernementales, des forces de police et des institutions judiciaires de quinze pays, dont la France. L’avis s’intéresse notamment aux cyberoffensives de CyberArmyofRussia_Reborn (CARR) et NoName057(16) contre les secteurs de l’eau, de l’énergie et de l’agroalimentaire.
En novembre 2024, CARR a attaqué une usine de transformation de viande à Los Angeles, provoquant la détérioration de denrées alimentaires et une fuite d’ammoniac. Les deux collectifs ont également ciblé conjointement une installation d’approvisionnement en eau et de traitement des eaux usées. L’avis mentionne aussi des attaques contre des organismes de régulation nucléaire.
Les auteurs du rapport reconnaissent que ces groupes hacktivistes « mènent des attaques contre des infrastructures critiques moins sophistiquées et moins destructrices que les groupes APT », mais appellent à ne pas sous-estimer leur pouvoir de nuisance.
Donald Trump a annoncé sur Truth Social son intention de signer cette semaine un décret visant à empêcher les États américains de produire leurs propres lois encadrant l’intelligence artificielle. Une décision qui intervient alors qu’une trentaine d’entre eux ont déjà adopté plus d’une centaine de textes sur les deepfakes, la transparence ou les modèles génératifs.
Un tel décret ne pourrait toutefois pas annuler des lois votées localement, ouvrant la voie à un probable affrontement juridique sur la répartition des compétences entre Washington et les États fédérés.
Cette initiative confirme la ligne ultra-dérégulatrice du président. Dès janvier, Trump avait déjà abrogé le décret Biden imposant des tests de sécurité aux entreprises de l’IA et confiant au NIST la définition de standards techniques.
Aucune norme fédérale de remplacement n’a, pour l’instant, été présentée. Le flou entretenu par l’exécutif alimente les interrogations : la promesse d’un cadre unifié masque-t-elle un vide réglementaire, ou une volonté assumée de laisser l’IA évoluer sans contrainte ?
Les autorités américaines et canadiennes ont alerté, le 4 décembre 2025, sur une campagne menée par des cybercriminels affiliés à la Chine, utilisant le malware BRICKSTORM pour cibler des entités gouvernementales. La CISA et le Centre canadien pour la cybersécurité, équivalents américain et canadien de l’Anssi, ont publié cet avis de sécurité, en collaboration avec la National Security Agency (NSA) américaine.
Le document s’appuie sur l’analyse de huit échantillons collectés auprès d’organisations victimes de ce « logiciel malveillant sophistiqué et furtif ». Les cybercriminels ont principalement ciblé des environnements VMware vSphere et Windows, où ils ont pu créer des machines virtuelles. BRICKSTORM leur a ainsi permis de « parcourir, télécharger, créer, supprimer et manipuler des fichiers », mais aussi d’effectuer des mouvements latéraux.
Le logiciel malveillant intègre une fonction d’« auto-surveillance » lui permettant de se réinstaller ou de redémarrer automatiquement en cas de perturbation, ce qui le rend particulièrement redoutable.
La Commission européenne a tranché : X écope de la toute première sanction prononcée au titre du Digital Services Act. L’exécutif européen inflige 120 millions d’euros d’amende au réseau social d’Elon Musk, au terme d’une enquête ouverte fin 2023. En ligne de mire : la transformation du système de « coches bleues », jugé trompeur et propice à l’usurpation d’identité, l’absence persistante d’un registre publicitaire conforme, et les obstacles imposés à l’accès des chercheurs aux données de la plateforme. X dispose désormais de 60 à 90 jours pour corriger le tir selon les manquements.
Cette décision, hautement politique, intervient alors que Washington multiplie les attaques verbales contre la régulation européenne des géants du numérique. Le vice-président américain JD Vance a dénoncé une « censure », tandis que Bruxelles affirme vouloir simplement démontrer que le DSA n’est pas un tigre de papier. Les dossiers les plus sensibles – diffusion de contenus illicites et manipulations de l’information – restent, eux, en cours d’instruction.
Le groupe Insikt de Recorded Future et le SecurityLab d’Amnesty International ont chacun publié, le 3 décembre 2025, un rapport sur l’écosystème du logiciel espion Predator. Les chercheurs des deux entités ont travaillé ensemble pour identifier les occurrences récentes du spyware édité par la société Intellexa.
Les chercheurs ont identifié des preuves que la firme et Predator sont actifs en Irak, et que des clients de la société opèrent en Arabie saoudite, au Kazakhstan, en Angola et en Mongolie. Ils ont également relevé des indicateurs « probablement associés » à l’utilisation du logiciel espion par une entité liée au Pakistan. Intellexa aurait également créé des sociétés-écrans pour distribuer plus discrètement le spyware, notamment au Kazakhstan et aux Philippines.
Les utilisations illégales de Predator ont conduit à d’importantes sanctions contre le logiciel et son éditeur, notamment des interdictions, et parfois même des poursuites pénales. Trois anciens dirigeants d’Intellexa sont actuellement jugés en Grèce pour répondre de l’usage du spyware contre des opposants politiques, des journalistes et des membres de la société civile.
Le Center for Security Studies de l’ETH Zurich a publié, fin novembre 2025, un rapport recensant 237 cyberattaques contre des infrastructures spatiales en lien avec le conflit Israël-Palestine, entre janvier 2023 et juillet 2025. Parmi elles, 72 sont survenues durant les douze jours d’escalade avec l’Iran, en juin 2025. La quasi-totalité des groupes hacktivistes à l’origine de ces incidents est pro-palestinienne ou pro-iranienne.
En tout, les cyberattaques ont visé 77 entités. Les trois victimes les plus ciblées sont israéliennes : Rafael Advanced Defense Systems, Elbit Systems et l’Agence spatiale israélienne. Certaines offensives ont aussi touché des organisations internationales, comme la NASA. Selon le rapport, la majorité visait ces entités pour leurs équipements militaires, plutôt que pour leurs activités spatiales.
Plus de 70 % étaient des attaques DDoS, le reste consistant principalement en intrusions malveillantes avec exposition de données. Le Center for Security Studies conclut que les cyberoffensives contre le secteur spatial constituent désormais des « composantes permanentes » des guerres modernes.
Donbas Post, opérateur postal public russe dans l’Ukraine occupée, a indiqué, le 24 novembre 2025, que ses SI avaient été perturbés par une « ingérence extérieure ». Trois jours plus tôt, l’Ukrainian Cyber Alliance (UCA), un groupe hacktiviste pro-ukrainien fondé en 2016, avait revendiqué une attaque contre l’organisation.
Donbas Post est actif dans les zones contrôlées par la Russie autour de Donetsk et Louhansk. Selon l’opérateur, l’incident a affecté son réseau d’entreprise, sa plateforme web et ses systèmes de messagerie électronique.
De son côté, l’UCA affirme avoir détruit plus de mille postes de travail, une centaine de machines virtuelles et « plusieurs dizaines de téraoctets » de données. Cette cyberattaque a coïncidé avec une offensive aérienne ukrainienne — probablement menée par drone — contre des infrastructures énergétiques, qui a privé d’électricité un demi-million de personnes dans la région.
Cloudflare, acteur clé dans la sécurité et la performance du web, assure l’optimisation du trafic et la protection contre les attaques pour des millions de sites. Sa défaillance a provoqué une onde de choc planétaire, paralysant des plateformes majeures.
Sites et services touchés : de nombreux utilisateurs ont signalé des erreurs sur des sites allant de X (ex-Twitter) à des services comme Feedly, Marmiton, Doctissimo, ou encore OpenAI (ChatGPT, Claude AI). Des entreprises comme Facebook, AWS, Spotify, Decathlon et le jeu League of Legends ont également été affectées.
L’explication de Cloudflare : l’entreprise a indiqué enquêter sur un problème affectant son « fournisseur de portail d’assistance », lié possiblement à une interruption de service touchant X. Des problèmes massifs de « vérification humaine » lors de l’accès à certains sites ont aussi été signalés.
L’Ironie de la panne : même Downdetector, le site habituellement utilisé pour suivre ce type d’incidents, a été perturbé, illustrant l’ampleur sans précédent de cette panne.
L’incident, dont l’origine exacte reste inconnue, souligne la position centrale de Cloudflare, dont les services de protection sont utilisés par près de 20 % du web.
Six visages et autant de métiers et de perspectives différentes pour faire grandir le Trust & Safety Forum et avec lui cette nouvelle discipline de la confiance et de la protection en ligne des personnes et des contenus, voilà son tout nouveau Comité Stratégique.
Il est composé :
Camilla Hegarty, Senior Vice-Présidente Trust & Safety et Services de données (TP),
Flore Bouhey Dwan, Directrice de la supervision des plateformes (Coimsiún na Meán, le régulateur irlandais),
Henry Adams, Directeur Trust & Safety Intelligence (Resolver),
Jeff Sen, Directeur Trust & Safety (WeTransfer),
Julia Fossi, Directrice mondiale des politiques et des engagements stratégiques en Trust & Safety (AWS), et
Margaux Liquard, Directrice Trust and Safety et Affaires Publiques (Yubo).
Ensemble ils représentent la diversité des composantes de l’écosystème numérique, plateformes, fournisseurs de solutions, de services et d’expertise et régulateur.
Depuis le lancement du Trust & Safety Forum en 2022, son objectif a été de créer un espace dynamique pour les acteurs du changement qui façonnent l’avenir numérique, que ce soit dans le domaine de la technologie (IA, IA générative, cloud computing, appareils intelligents), des politiques ou du plaidoyer.
Année après année, il a porté des sujets qui étaient insuffisamment discutés dans de larges enceintes, à commencer par la protection des analystes et modérateurs, puis la prise en compte de la voix des victimes, en particulier les victimes adultes de violences sexuelles par l’image (contenus intimes non consentis, deepfakes sexuels, sextorsion…), ou en 2025 les menaces hybrides prospérant à partir de l’extrême violence, la haine et les contenus pédocriminels. La protection de l’enfance a, quant à elle, été une constante au fil des éditions, que ce soit l’enfant victime d’abus ou l’enfant utilisateur des services numériques. Les conclusions du Trust & Safety Forum 2025 sont claires : à mesure que les menaces deviennent plus hybrides, une approche transversale entre les équipes politiques et celles chargées de la confiance et de la sécurité est essentielle.
Qu’est-il attendu de ce Comité Stratégique? Qu’il guide le Forum sur l’essentiel:
Identifier les sujets les plus complexes, les plus difficiles, ceux qui justement requièrent l’intelligence collective,
Questionner sur les formats des sessions et d’intervention, l’interaction avec le public,
Assurer que le spectre de discussion soit suffisamment large, mais également substantiel, afin qu’aussi bien les intervenants que le public trouvent matière à réflexion et à progrès.
Pour qu’ainsi, éclairé par une diversité d’experts qui partagent le même enthousiasme pour aller plus loin dans la protection de nos usages numériques, nous puissions aller ensemble dans la bonne direction.
L’Agence danoise pour la sécurité civile a annoncé, le 13 novembre 2025, que les sites Internet de plusieurs organisations étaient perturbés par des attaques DDoS. Les cibles incluent notamment le ministère des Transports, l’entreprise de défense Terma et la plateforme Borger.dk, dédiée aux démarches administratives. La veille, une première vague d’attaques DDoS avait touché plusieurs municipalités danoises.
Le groupe hacktiviste pro-russe NoName057 a revendiqué ces deux campagnes malveillantes. Le Danemark, qui soutient toujours aussi activement l’Ukraine dans son conflit avec la Russie, organise d’importantes élections locales les 22 et 23 novembre 2025.
L’éditeur israélien de logiciels espions NSO Group, racheté en octobre 2025 par des investisseurs américains, a annoncé, le 9 novembre 2025, la nomination de David Friedman au poste de directeur général. Ancien avocat de Donald Trump, il a occupé le poste d’ambassadeur des États-Unis en Israël entre 2017 et 2021, durant le premier mandat présidentiel du milliardaire.
NSO Group édite Pegasus, un logiciel espion sulfureux utilisé illégalement par certains gouvernements contre des opposants politiques, des ONG ou des journalistes. En 2021, l’administration Biden a placé l’entreprise sur une « liste noire » ; en 2023, elle a interdit aux agences gouvernementales d’utiliser des logiciels espions « employés à mauvais escient par des acteurs étrangers », dont Pegasus.
David Friedman a indiqué son ambition de reconstruire l’activité de NSO Group aux États-Unis, et, à terme, de fournir ses produits à des agences américaines. Dans ce but, il entend sans doute profiter de la présence de Donald Trump à la Maison Blanche pour obtenir une levée des sanctions gouvernementales . « Si l’administration, comme je m’y attends, est disposée à envisager toute opportunité susceptible de renforcer la sécurité des Américains, elle nous considérera », a-t-il déclaré.
Le Washington Posta révélé, le 6 novembre 2025, qu’un « acteur étranger » avait piraté le Bureau du budget du Congrès (CBO), un organisme non partisan chargé de rédiger des projections économiques à destination des législateurs. Les autorités fédérales ont averti les membres du Congrès par e-mail, les appelant à la plus grande vigilance et précisant que l’incident était toujours « en cours ».
Les pirates informatiques ont attaqué en plein shutdown, en place depuis un mois : ce gel des budgets gouvernementaux a contraint la CISA, équivalent américain de l’Anssi, à placer les deux tiers de ses employés en congé sans solde.
Le CBO évalue, pour chaque projet de loi examiné par le Sénat ou la Chambre des représentants, ses conséquences financières potentielles. Il traite donc des données sensibles, politiques et économiques. D’après une source proche du dossier citée par CNN, les enquêteurs soupçonnent un groupe lié à la Chine d’avoir mené l’attaque.
La société de cybersécurité Bitdefender a publié, le 4 novembre 2025, un rapport sur le nouveau mode opératoire de Curly COMrades, un groupe APT pro-russe visant des cibles en Europe de l’Est, identifié pour la première fois en août 2025. Les chercheurs y documentent une campagne exploitant la fonctionnalité de virtualisation Microsoft Hyper-V sous Windows.
Curly COMrades prenait le contrôle d’Hyper-V, en désactivant son interface de gestion, afin de télécharger sur la machine cible un mini-environnement virtuel Linux Alpine. Les cybercriminels y installaient ensuite deux logiciels malveillants, CurlyShell et CurlCat, qui leur permettaient d’exécuter des commandes à distance tout en demeurant indétectables dans le trafic réseau.
Cette stratégie aurait permis à Curly COMrades de contourner « de nombreux outils de détection ». Les chercheurs de Bitdefender ne précisent pas quelles organisations ont été visées, mais indiquent avoir collaboré avec le CERT géorgien, à l’origine de l’identification d’un échantillon de CurlCat sur un réseau.
Connexion
