Le Royaume-Uni présente le projet de loi sur la cybersécurité et la résilience

Le Royaume-Uni a dévoilé le projet de loi sur la cybersécurité et la résilience, une réforme majeure visant à renforcer la sécurité nationale et à protéger les services essentiels contre la montée des cybermenaces. La législation élèvera les normes de cybersécurité dans des secteurs tels que la santé, l’énergie, l’eau et les transports, afin de garantir que les perturbations comme les rendez-vous annulés du NHS ou les interruptions de la chaîne d’approvisionnement deviennent beaucoup moins probables.

Pour la première fois, les fournisseurs de services gérés de taille moyenne et grande, offrant du support informatique, de la cybersécurité ou des services d’assistance aux organismes publics et aux entreprises, seront soumis à la réglementation. Ils devront signaler les incidents significatifs dans des délais stricts et maintenir des plans de réponse robustes. Les régulateurs disposeront également de nouveaux pouvoirs pour désigner des fournisseurs critiques et appliquer des sanctions plus sévères en cas de manquements graves.

Le projet de loi inclut les centres de données et introduit des mesures de protection pour les systèmes énergétiques intelligents, reflétant l’importance croissante des infrastructures numériques. Avec un coût moyen supérieur à 190 000 £ pour un incident cyber majeur, le gouvernement estime que ces réformes sont essentielles pour améliorer la résilience nationale et réduire le risque économique.

Microsoft publie des correctifs pour 63 failles de sécurité, dont une zero-day exploitée dans le noyau Windows

Microsoft a publié des correctifs pour 63 failles de sécurité nouvellement identifiées dans ses produits, dont une faille zero-day dans le noyau Windows déjà exploitée dans des attaques réelles. Quatre vulnérabilités sont classées critiques et 59 importantes, couvrant des problèmes allant de l’élévation de privilèges à l’exécution de code à distance et à la divulgation d’informations.

La plus grave est CVE-2025-62215, une faille d’élévation de privilèges causée par une condition de concurrence dans le noyau Windows. Les attaquants disposant déjà d’un accès de bas niveau peuvent exploiter le bug pour obtenir des privilèges SYSTEM en déclenchant à plusieurs reprises une corruption de mémoire « double free », prenant ainsi le contrôle de l’appareil affecté. Microsoft a découvert la faille en interne, mais les détails sur l’exploitation active restent limités.

D’autres correctifs traitent des dépassements de tampon de haute gravité dans le composant graphique de Microsoft et l’interface graphique du sous-système Linux pour Windows, qui pourraient permettre l’exécution de code à distance. Une faille distincte d’élévation de privilèges dans Kerberos, nommée CheckSum, permet aux attaquants d’usurper l’identité des utilisateurs et de compromettre potentiellement des domaines Active Directory entiers. Les organisations utilisant AD avec la délégation Kerberos activée sont invitées à prioriser les mises à jour.

DanaBot refait surface avec une nouvelle infrastructure six mois après le démantèlement par l’opération Endgame

Le cheval de Troie bancaire DanaBot a refait surface avec une nouvelle version seulement six mois après que son infrastructure a été perturbée par les forces de l’ordre internationales. Les chercheurs ont identifié une variante reconstruite, version 669, qui utilise désormais des domaines de commande et contrôle basés sur Tor et des nœuds de connexion inversée pour éviter la détection et retrouver ses capacités opérationnelles.

DanaBot a commencé comme un cheval de Troie bancaire basé sur Delphi, distribué via phishing et malvertising, avant d’évoluer en un voleur d’informations modulaire et un chargeur ciblant les identifiants stockés dans les navigateurs et les portefeuilles de cryptomonnaies. Malgré le coup porté par l’opération Endgame en mai, les opérateurs derrière DanaBot n’ont jamais été complètement démantelés, ce qui a permis au malware de revenir avec une infrastructure mise à jour et une activité renouvelée.

Zscaler a également lié plusieurs portefeuilles de cryptomonnaies en BTC, ETH, LTC et TRX à des campagnes récentes de DanaBot, soulignant la motivation financière derrière sa persistance. Les vecteurs d’infection continuent d’inclure des e-mails malveillants, l’empoisonnement SEO et le malvertising, certaines attaques servant de passerelle vers des ransomwares.

Les organisations sont invitées à mettre à jour leurs outils de sécurité et à bloquer les nouveaux IoC publiés par Zscaler pour réduire l’exposition à cette menace réémergente.

L’Amérique latine devient la région la plus attaquée par des cybermenaces alors que les menaces mondiales continuent d’augmenter

De nouvelles recherches montrent que l’Amérique latine a dépassé l’Afrique en tant que région la plus ciblée par les cyberattaques. En octobre, les organisations en Amérique latine ont subi en moyenne 2 966 attaques par semaine, soit une augmentation de 16 % par rapport à l’année précédente. L’Afrique a suivi avec 2 782 attaques hebdomadaires, mais a enregistré une réduction globale de 15 %, que les chercheurs attribuent à l’augmentation des investissements en cybersécurité sur le continent, notamment dans la gestion des risques externes et l’amélioration des défenses DDoS.

À l’échelle mondiale, les organisations ont subi en moyenne 1 938 attaques par semaine, soit une hausse de 5 % sur un an. L’Amérique du Nord a connu la plus forte augmentation, avec une hausse de 18 % principalement alimentée par les ransomwares, qui ont enregistré 801 incidents publiquement signalés en octobre. Qilin, Akira et Sinobi représentaient près de 40 % de tous les cas.

Le rapport souligne également les risques croissants d’exposition des données liés à l’utilisation de GenAI en entreprise, avec une requête sur 44 contenant des informations sensibles à haut risque. L’éducation est restée le secteur le plus ciblé dans le monde, tandis que l’hôtellerie a connu une forte augmentation de 40 % à l’approche de la haute saison.

La chaîne néerlandaise RTV Noord victime d’une cyberattaque

La chaîne de télévision et de radio néerlandaise RTV Noord a été fortement perturbée par une cyberattaque qui a paralysé ses systèmes numériques et forcé les présentateurs à improviser en direct. L’incident, découvert le 6 novembre, a laissé l’équipe de l’émission matinale « De Ochtendploeg » sans accès aux ordinateurs, les obligeant à revenir aux CD et même aux disques vinyles pour maintenir les programmes.

Bien que la chaîne n’ait pas révélé la nature de l’attaque, elle a confirmé que les intrus ont laissé un message sur son réseau, ce qui suggère fortement un ransomware. Compte tenu des incidents similaires récents et du niveau de perturbation, la probabilité d’une demande de rançon ou d’une menace de fuite de données est élevée.

L’impact est particulièrement grave car RTV Noord sert également de diffuseur officiel d’urgence pour la région de Groningue, ce qui signifie que toute interruption pourrait entraver la diffusion d’informations publiques critiques. Les systèmes internes ont été tellement affectés que la rédaction ne pouvait être jointe que via WhatsApp.

L’attaque survient alors que les groupes de ransomware ciblent de plus en plus les diffuseurs pour un effet maximal, l’Espagne voyant également KISS-FM revendiqué par Rhysida le même jour.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.