Une nouvelle étude révèle une menace accrue des ransomwares pour le secteur de la construction

Une nouvelle étude a mis en évidence les préoccupations croissantes en matière de cybersécurité dans le secteur de la construction et de l'immobilier, 32 % des dirigeants de l'industrie étant désormais préoccupés par les cybermenaces. Une étude de Beazley a révélé que le secteur a le niveau de confiance le plus bas de toutes les industries interrogées, avec seulement 74% qui pensent être préparés à faire face aux cyber-risques modernes.

Ces résultats reflètent le fait que la cybercriminalité devient de plus en plus un risque opérationnel et commercial plutôt qu'un simple problème informatique. Les chercheurs ont averti que les campagnes de phishing pilotées par l'IA et la reconnaissance automatisée permettent aux acteurs de la menace de lancer des attaques à plus grande vitesse et à plus grande échelle, ce qui rend les incidents plus difficiles à détecter et à contenir.

Une étude distincte de QBE a identifié le ransomware comme la menace cybernétique la plus importante pour les entreprises de construction, les incidents causant en moyenne 24 jours d'interruption de service. Le rapport a également mis en évidence une augmentation de 410 % de l'activité des logiciels malveillants IoT ciblant le secteur au cours de l'année 2025.

Les experts du secteur exhortent désormais les organisations à intégrer la cybersécurité dans la planification plus large des risques liés aux projets, avertissant que les attaques peuvent perturber les chaînes d'approvisionnement, retarder les projets et augmenter les coûts de manière significative.

Le NCSC met en garde contre une campagne russe de détournement de DNS visant les routeurs

Le Centre national de cybersécurité (NCSC) a publié un nouvel avis signalant que des cyberacteurs soutenus par l'État russe compromettent des routeurs internet largement utilisés afin de rediriger secrètement le trafic des utilisateurs vers des infrastructures malveillantes.

Selon cet avis, le groupe connu sous le nom d'APT28 exploite des routeurs vulnérables pour mener des attaques de détournement du système de noms de domaine (DNS). Ces attaques permettent aux acteurs de la menace d'intercepter le trafic internet et de voler des informations d'identification, notamment des mots de passe et des jetons d'authentification, à partir de services web et de messagerie.

La campagne serait opportuniste, les attaquants ciblant un grand nombre d'appareils avant de se concentrer sur des organisations ou des individus présentant un intérêt pour les services de renseignement. APT28 a déjà été lié à l'unité 26165 du GRU russe et est également connu sous les noms de Fancy Bear et Sofacy.

Le NCSC a averti que les dispositifs de réseau compromis peuvent fournir à des acteurs hostiles un accès à long terme et une visibilité sur des communications sensibles. Les organisations sont invitées à renforcer la sécurité des routeurs, à corriger rapidement les vulnérabilités, à sécuriser les interfaces de gestion et à activer l'authentification multifactorielle afin de réduire le risque de compromission.

L'avis souligne la menace permanente que représentent les cyberopérations soutenues par des États, qui ciblent les infrastructures Internet critiques et les appareils de réseau de tous les jours.

Palo Alto Networks met en garde contre des attaques actives de type "zero-day" ciblant les pare-feu

Palo Alto Networks a averti ses clients qu'une vulnérabilité critique non corrigée affectant le portail d'authentification User-ID de PAN-OS est activement exploitée dans la nature.

Identifiée comme CVE-2026-0300, la faille est une vulnérabilité de débordement de mémoire tampon qui pourrait permettre à des attaquants non authentifiés d'exécuter un code arbitraire avec les privilèges de root sur les pare-feu exposés PA-Series et VM-Series. Le problème concerne le portail d'authentification User-ID, également connu sous le nom de portail captif, qui est utilisé pour authentifier les utilisateurs dont les identités ne peuvent pas être automatiquement mappées par le pare-feu.

Palo Alto Networks a déclaré que l'exploitation a été limitée jusqu'à présent et qu'elle affecte principalement les organisations dont le portail est exposé à l'internet public ou à des adresses IP non fiables. Les chercheurs en sécurité de Shadowserver suivent actuellement en ligne plus de 5 800 pare-feu PAN-OS VM-Series exposés.

Le fournisseur n'a pas encore publié de correctif, mais indique que des corrections logicielles sont attendues à partir du 13 mai 2026. En attendant, les organisations sont vivement invitées à restreindre l'accès au portail aux réseaux internes de confiance ou à désactiver entièrement la fonction lorsque cela est possible.

Cet avertissement s'inscrit dans la tendance croissante des acteurs de la menace à cibler de manière agressive les infrastructures de pare-feu et les dispositifs de sécurité orientés vers l'internet.

La faille de Vimeo expose les données de plus de 119 000 utilisateurs

Le groupe d'extorsion ShinyHunters a revendiqué la responsabilité d'une cyberattaque contre la plateforme vidéo Vimeo qui a exposé les informations personnelles de plus de 119 000 utilisateurs.

Selon le service de notification des violations de données Have I Been Pwned, les données volées comprennent des adresses électroniques et, dans certains cas, des noms d'utilisateurs. Vimeo a révélé la faille en avril, liant l'incident à une compromission impliquant Anodot, un fournisseur tiers de détection d'anomalies de données intégré dans ses systèmes.

Vimeo a déclaré que les attaquants avaient principalement accédé aux données techniques, aux titres des vidéos et aux métadonnées, et a confirmé que les identifiants de connexion, les informations relatives aux cartes de paiement et le contenu des vidéos n'avaient pas été compromis. À la suite de l'incident, la société a désactivé les identifiants Anodot, supprimé l'intégration et fait appel à des spécialistes externes de la sécurité pour enquêter.

Après l'échec des tentatives d'extorsion, ShinyHunters aurait divulgué une archive de 106 Go de données volées sur son site dark web. Le groupe s'est de plus en plus concentré sur les environnements SaaS et les systèmes d'authentification unique des entreprises, en utilisant des identifiants compromis pour accéder aux plateformes cloud connectées et aux données sensibles des entreprises.

Cette violation met en évidence les risques croissants associés aux intégrations de tiers et à la compromission de la chaîne d'approvisionnement dans les environnements modernes de cloud computing.

Un nouveau botnet basé sur Mirai cible les appareils Android et IoT pour des attaques DDoS

Des chercheurs en cybersécurité ont découvert un nouveau botnet dérivé de Mirai, connu sous le nom de xlabs_v1, qui cible les appareils Android et IoT exposés à Internet pour construire un réseau de déni de service distribué (DDoS).

Les chercheurs de Hunt.io ont déclaré que le logiciel malveillant recherche spécifiquement les appareils dotés d'Android Debug Bridge (ADB) exposés sur le port TCP 5555. Il s'agit notamment des téléviseurs Android, des téléviseurs intelligents, des décodeurs et d'autres appareils IoT qui sont livrés avec ADB activé par défaut. Le logiciel malveillant prend également en charge plusieurs architectures matérielles, ce qui suggère qu'il peut cibler les routeurs résidentiels et d'autres appareils connectés.

Selon les chercheurs, le botnet est exploité comme un service de DDoS à louer axé sur l'attaque des serveurs de jeux et des hôtes Minecraft. Il prend en charge plus de 20 méthodes d'attaque dans les protocoles TCP et UDP et comprend des fonctionnalités conçues pour contourner les protections DDoS grand public.

Le logiciel malveillant contient également des fonctions permettant de mesurer la bande passante des appareils infectés, ce qui permet aux opérateurs de classer les systèmes compromis dans des catégories de prix pour les clients qui achètent des attaques. Les chercheurs ont noté que la conception du réseau de zombies privilégie l'échelle et la variété des attaques plutôt que la sophistication.

Cette découverte met en évidence les risques persistants posés par les appareils IoT et grand public mal sécurisés et exposés directement à l'internet.

ShinyHunters revendique le vol de 240 millions de dossiers éducatifs dans la brèche d'Instructure

La société de technologie éducative Instructure a confirmé avoir subi une cyberattaque, le groupe d'extorsion ShinyHunters affirmant avoir volé plus de 240 millions d'enregistrements liés à des étudiants, des enseignants et du personnel dans le monde entier.

L'entreprise, surtout connue pour son système de gestion de l'apprentissage Canvas utilisé par les écoles et les universités du monde entier, a déclaré qu'elle travaillait avec des experts en cybersécurité tiers et les forces de l'ordre pour enquêter sur l'incident. Les clients ont également été invités à réautoriser l'accès à l'API dans le cadre de la réponse.

Selon ShinyHunters, les données volées concernent près de 15 000 établissements d'enseignement en Amérique du Nord, en Europe et en Asie-Pacifique. Le groupe affirme que les informations comprennent des noms, des adresses électroniques, des détails d'inscription à des cours et des milliards de messages privés échangés entre des étudiants et des enseignants.

Les auteurs de la menace affirment également avoir accédé à des environnements Salesforce connectés au cours de l'attaque. Bien que l'étendue de la violation n'ait pas encore été vérifiée de manière indépendante, l'ampleur du vol de données allégué en ferait l'un des plus importants cyberincidents du secteur de l'éducation signalés cette année.

Cet incident met en évidence le fait que les plateformes éducatives sont de plus en plus ciblées par les cybercriminels à la recherche de grandes quantités de données personnelles et sensibles.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.