L'UE sanctionne des cyberacteurs après des attaques contre des organisations françaises et suédoises

L'Union européenne a imposé des sanctions à trois entreprises et deux personnes liées à des cyberattaques soutenues contre des États membres et des partenaires, alors que les tensions géopolitiques continuent d'alimenter les activités des États. Les mesures comprennent le gel des avoirs, des interdictions de voyager et des restrictions sur la fourniture de fonds ou de ressources aux personnes citées.

Deux entreprises basées en Chine ont été sanctionnées pour avoir permis des compromissions à grande échelle. Les fonctionnaires de l'UE affirment que leurs outils ont facilité la violation de plus de 65 000 dispositifs dans six États membres, en lien avec le groupe de menace Flax Typhoon. Anxun est également accusé d'avoir ciblé plus de 80 systèmes gouvernementaux et privés dans le monde.

L'entreprise iranienne Emennet Pasargad a été sanctionnée pour avoir ciblé des organisations en France et en Suède, notamment pour le vol d'une base de données d'abonnés français et la perturbation d'un service de SMS suédois, ce qui a eu un impact sur un grand nombre de citoyens.

Cette mesure renforce le risque croissant qui pèse sur les infrastructures essentielles, alors que la numérisation croissante continue d'élargir la surface d'attaque pour les cyber-opérations soutenues par les États.

La Companies House corrige une faille exposant les données d'entreprises britanniques

La Companies House a rétabli son service WebFiling après l'avoir mis hors ligne pour remédier à une faille de sécurité qui a potentiellement exposé des données sensibles liées à des millions d'entreprises enregistrées au Royaume-Uni. Le problème, introduit lors d'une mise à jour du système en octobre 2025, est resté présent pendant plusieurs mois avant d'être signalé par des chercheurs en sécurité.

La faille permettait aux utilisateurs authentifiés d'accéder au tableau de bord d'une autre entreprise en manipulant le processus de classement. Cela aurait pu exposer des données non publiques, notamment les dates de naissance, les adresses résidentielles et les comptes de courrier électronique de l'entreprise. Il y avait également un risque de dépôts non autorisés, tels que des changements de coordonnées d'administrateurs ou la soumission de comptes, bien que cela ait été limité à un enregistrement d'entreprise à la fois.

La Companies House a confirmé qu'aucun mot de passe ni aucune donnée de vérification d'identité n'ont été compromis et que les documents déposés n'ont pas pu être modifiés.

L'incident a été signalé à l'Information Commissioner's Office et au National Cyber Security Centre. Bien qu'aucun abus n'ait été confirmé, les investigations se poursuivent et mettent en évidence les risques persistants qui pèsent sur les services numériques essentiels du secteur public.

Aura expose les données de ses clients à la suite d'une attaque par hameçonnage (vishing)

La société de protection de l'identité Aura a confirmé une violation de données affectant près de 900 000 enregistrements après qu'une attaque de phishing vocal a compromis le compte d'un employé. Cet incident met en évidence l'efficacité continue de l'ingénierie sociale pour contourner les contrôles de sécurité traditionnels.

Les données exposées comprennent des noms, des adresses électroniques, des numéros de téléphone et des adresses personnelles. Aura précise que les numéros de sécurité sociale, les mots de passe et les données financières n'ont pas été compromis. L'ensemble des données affectées provient en grande partie d'une plateforme de marketing héritée d'une acquisition en 2021, avec environ 35 000 enregistrements liés à des clients actuels et anciens.

Le groupe de menace ShinyHunters a revendiqué la responsabilité, affirmant avoir volé 12 Go de données et les avoir divulguées après l'échec de tentatives d'extorsion. Une analyse indépendante indique une exposition supplémentaire des notes du service clientèle et des données d'adresse IP, de nombreux enregistrements ayant déjà circulé à la suite de brèches précédentes.

Aura travaille avec des spécialistes externes de la cybersécurité et a prévenu les forces de l'ordre. Cet incident renforce le risque persistant posé par les attaques ciblées sur l'homme, d'autant plus que les acteurs de la menace continuent d'exploiter les employés comme point d'entrée dans les organisations.

Le ransomware Interlock exploite le zero-day de Cisco dans des attaques de pare-feu

Le groupe de ransomwares Interlock a exploité une vulnérabilité critique d'exécution de code à distance dans le logiciel Cisco Secure Firewall Management Center (FMC) en tant que zero-day, soulignant le risque continu posé par l'infrastructure de périphérie non corrigée.

La faille, répertoriée sous le nom de CVE-2026-20131, permet aux attaquants non authentifiés d'exécuter un code arbitraire avec les privilèges de l'utilisateur final. Les renseignements sur les menaces indiquent que la vulnérabilité a été activement exploitée à partir du 26 janvier, donnant aux attaquants plus d'un mois d'accès avant que Cisco ne publie un correctif le 4 mars.

Interlock, observé pour la première fois en 2024, a été associé à de nombreuses attaques très médiatisées et a déjà ciblé des universités britanniques à l'aide du logiciel malveillant NodeSnake. Plus récemment, les chercheurs ont identifié le groupe déployant une nouvelle souche, Slopoly, qui aurait été développée à l'aide de l'IA générative.

La campagne s'est concentrée sur les pare-feu d'entreprise, un point de contrôle critique au sein des réseaux d'entreprise. Cette activité souligne l'importance des correctifs rapides, de la surveillance continue et des capacités de détection des menaces, d'autant plus que les acteurs de la menace utilisent de plus en plus les vulnérabilités de type "zero-day" pour obtenir un accès initial et établir une persistance.

La brèche numérique de Telus met en évidence le risque pour la chaîne d'approvisionnement

Telus Digital a confirmé un incident de cybersécurité suite aux affirmations du groupe de menace ShinyHunters selon lesquelles jusqu'à un pétaoctet de données aurait été volé lors d'une brèche prolongée. L'entreprise enquête sur l'ampleur de l'intrusion et a fait appel à des experts en criminalistique externes, tout en confirmant que ses activités principales n'ont pas été affectées.

En tant que fournisseur mondial d'externalisation des processus d'entreprise, Telus Digital gère l'assistance à la clientèle, la facturation et les services opérationnels pour de nombreuses organisations, ce qui en fait une cible de grande valeur pour les attaquants qui cherchent à obtenir un accès global à des données sensibles. Les acteurs de la menace affirment que la violation provient d'identifiants Google Cloud Platform exposés, découverts dans des données tierces précédemment compromises, permettant un mouvement latéral à travers les systèmes.

Les données volées couvrent les dossiers d'assistance à la clientèle, les données des centres d'appels, les enregistrements vocaux et les systèmes internes, avec une exposition potentielle à de multiples environnements clients. ShinyHunters aurait tenté de se faire extorquer 65 millions de dollars.

Cet incident souligne le risque croissant au sein des écosystèmes de tiers et de SaaS, où une seule compromission peut avoir des répercussions en cascade sur plusieurs organisations et chaînes d'approvisionnement.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.