Des hackers liés à la faille de M&S revendiquent la cyberattaque contre Jaguar Land Rover

Jaguar Land Rover (JLR), le plus grand constructeur automobile britannique, a confirmé une cyberattaque majeure qui a contraint cette semaine à l’arrêt de la production sur plusieurs sites clés. L’incident, qui a touché à la fois les systèmes de fabrication et de vente, a été revendiqué par une chaîne Telegram liée aux groupes de hackers anglophones Scattered Spider, Lapsus$ et ShinyHunters. La chaîne a publié des captures d’écran montrant prétendument les systèmes informatiques internes de JLR ainsi qu’une couverture médiatique de l’attaque.

JLR a déclaré qu’aucune preuve ne montrait que des données clients avaient été compromises, mais a indiqué avoir arrêté ses systèmes de manière proactive afin de contenir l’impact. Les fournisseurs auraient subi de graves perturbations, avec des pertes estimées à plusieurs dizaines de millions de livres en raison de l’arrêt des lignes de production. Cette attaque est la dernière d’une série d’incidents de haut niveau impliquant Scattered Spider, qui a également visé M&S, Co-op et Harrods. Les autorités britanniques enquêtent, et la National Crime Agency a confirmé qu’elle surveillait la situation de près.

Workiva victime d’une fuite de données liée à Salesforce

Le fournisseur de SaaS cloud Workiva a confirmé que des attaquants avaient accédé à un système CRM (gestion de la relation client) tiers et volé des données clients limitées. La violation a exposé des informations de contact professionnelles, notamment des noms, adresses e-mail, numéros de téléphone et contenus de tickets de support.

Workiva, dont la plateforme est utilisée pour les rapports financiers, la conformité et les audits, compte 6 305 clients, dont 85 % des entreprises du Fortune 500, y compris Google, Delta, T-Mobile et Santander. L’entreprise a souligné que sa propre plateforme et les données qui y sont stockées n’avaient pas été compromises. Les clients concernés ont été avertis de rester vigilants face à d’éventuelles tentatives de spear-phishing.

L’incident est lié à une vague plus large de violations Salesforce attribuées au groupe d’extorsion ShinyHunters. En utilisant des techniques telles que le vishing et des jetons OAuth volés, le groupe a infiltré des instances Salesforce de grandes entreprises comme Cloudflare, Google, Cisco, Adidas et Zscaler. Workiva a rappelé à ses clients que toutes les communications passent exclusivement par ses canaux officiels de support.

Des hackers exploitent HexStrike-AI pour cibler des failles Citrix

Check Point Research a averti que des hackers adoptent de plus en plus HexStrike-AI, un framework open source offensif basé sur l’IA, pour exploiter de récentes vulnérabilités Citrix. L’outil, conçu à l’origine pour le red teaming, intègre des agents IA capables d’exécuter automatiquement plus de 150 outils de cybersécurité pour les tests de pénétration et la découverte de failles.

Depuis sa mise en ligne sur GitHub le mois dernier, où il a déjà obtenu 1 800 étoiles et plus de 400 forks, HexStrike-AI a suscité un vif intérêt sur les forums du dark web. Selon les chercheurs, des acteurs malveillants l’auraient utilisé pour exploiter rapidement des vulnérabilités dans Citrix NetScaler ADC et Gateway (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424), permettant l’exécution de code à distance et l’installation de webshells. Certains appareils compromis sont déjà proposés à la vente.

Selon ShadowServer, près de 8 000 endpoints restent exposés à CVE-2025-7775. Check Point prévient que l’automatisation par IA pourrait réduire le délai d’exploitation de plusieurs jours à seulement quelques minutes, laissant encore moins de temps aux administrateurs pour appliquer les correctifs.

Cloudflare bloque une attaque DDoS record de 11,5 Tbps

Cloudflare a confirmé avoir atténué la plus grande attaque par déni de service distribué (DDoS) jamais enregistrée, atteignant un pic de 11,5 térabits par seconde (Tbps) et durant environ 35 secondes. L’attaque, d’abord attribuée à Google Cloud avant d’être liée à une combinaison d’appareils IoT et de plusieurs fournisseurs cloud, était une inondation UDP capable de paralyser la plupart des services en ligne.

Dans le même communiqué, Cloudflare a indiqué que ses systèmes avaient automatiquement bloqué des centaines d’attaques « hyper-volumétriques » ces dernières semaines, dont une atteignant 5,1 milliards de paquets par seconde (Bpps). À titre de comparaison, le précédent record de l’entreprise, en juin 2025, s’élevait à 7,3 Tbps, tandis qu’en octobre 2024, il était de 3,8 Tbps — illustrant l’accélération rapide de l’ampleur de ces attaques.

Cloudflare prévoit de publier un rapport détaillé mais a averti que de telles attaques massives, alimentées par des botnets utilisant l’infrastructure cloud, deviennent de plus en plus fréquentes.

Des hackers tentent de voler 130 millions de dollars via le système Pix au Brésil

Evertec a révélé que des hackers avaient tenté de dérober 130 millions de dollars à sa filiale brésilienne, Sinqia S.A., après avoir compromis son environnement dans le système de paiement instantané Pix. L’incident, survenu le 29 août 2025, a été signalé à la SEC américaine.

Après avoir détecté une activité suspecte, Sinqia a immédiatement interrompu le traitement des transactions et fait appel à des experts externes en cybercriminalité. Les attaquants, utilisant des identifiants volés à un fournisseur informatique, ont essayé d’effectuer des transferts non autorisés entre deux institutions financières. Les médias locaux ont mentionné HSBC, mais la banque a précisé qu’aucun fonds ni aucune donnée client n’avaient été affectés.

Evertec a confirmé qu’une partie des fonds avait déjà été récupérée, mais les enquêtes se poursuivent. Bien qu’aucune donnée personnelle ne semble avoir été compromise, la Banque centrale du Brésil a temporairement révoqué l’accès de Sinqia à Pix jusqu’à la fourniture de garanties supplémentaires. Evertec a averti que l’impact financier et réputationnel « pourrait être significatif ».

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.