La grande majorité des entreprises touchées par des ransomwares paient, révèle un nouveau rapport 

Un nouveau rapport de l’assureur Hiscox a révélé que 80 % des petites et moyennes entreprises (PME) victimes de ransomwares au cours de l’année écoulée ont payé leurs agresseurs, bien que les résultats aient été souvent mitigés. Sur les 5 750 entreprises interrogées, 27 % ont subi des incidents de ransomware. Bien que la plupart aient payé une rançon, seulement 60 % ont réussi à récupérer tout ou partie de leurs données, et près d’un tiers ont fait face à de nouvelles demandes. 

Ces conclusions interviennent dans un contexte marqué par une vague de cyberattaques contre de grands noms tels que Marks & Spencer, Co-op et Jaguar Land Rover (JLR). Ce dernier a subi un arrêt d’un mois, avec une garantie de prêt gouvernementale de 1,5 milliard de livres pour protéger sa chaîne d’approvisionnement. Hiscox a averti que de nombreuses petites entreprises, sans tels filets de sécurité, sont menacées dans leur survie. 

Fuite de données chez WestJet : 1,2 million de passagers concernés 

La compagnie aérienne canadienne WestJet a confirmé qu’une cyberattaque révélée pour la première fois en juin a conduit au vol de données personnelles concernant 1,2 million de clients. La brèche a exposé des informations sensibles telles que noms, dates de naissance, adresses postales, documents de voyage comme passeports et pièces d’identité, réclamations déposées auprès de la compagnie et détails de programmes de fidélité. Bien qu’aucun numéro de carte bancaire, mot de passe ou code CVV n’ait été compromis, les clients concernés se voient offrir deux ans de protection gratuite contre le vol d’identité. 

L’attaque serait issue de techniques d’ingénierie sociale, les pirates ayant obtenu l’accès via le mot de passe compromis d’un employé et exploité l’environnement Citrix de WestJet. Une fois à l’intérieur, ils ont pénétré à la fois les réseaux Windows et cloud de Microsoft. 

Bien que l’incident n’ait pas été officiellement attribué, il a coïncidé avec une vague d’attaques visant le secteur aérien, liées au groupe Scattered Spider. WestJet affirme que l’enquête se poursuit avec l’appui du FBI, tandis que l’ampleur complète de l’incident est toujours évaluée. 

Phantom Taurus : un nouveau groupe d’espionnage lié à la Chine vise les gouvernements 

Un nouveau groupe de pirates informatiques aligné sur la Chine, baptisé Phantom Taurus, a été associé à des campagnes d’espionnage contre des organismes gouvernementaux et des organisations de télécommunications en Afrique, au Moyen-Orient et en Asie. Actif depuis plus de deux ans, le groupe se concentre sur les ministères des affaires étrangères, les ambassades et les opérations militaires, souvent en lien avec des événements géopolitiques majeurs. 

Identifié pour la première fois en 2023 sous le nom CL-STA-0043 puis reclassé TGR-STA-0043, Phantom Taurus est désormais considéré comme un acteur de menace à part entière. Les chercheurs estiment que son objectif principal est la collecte de renseignements à long terme, ses opérations récentes passant du vol d’e-mails à l’accès direct à des bases de données. 

Phantom Taurus utilise notamment une suite de logiciels malveillants en .NET appelée NET-STAR, capable d’infiltrer les serveurs IIS via des portes dérobées conçues pour échapper à la détection et même manipuler les journaux forensiques afin de tromper les analystes. Le groupe a exploité des vulnérabilités connues dans IIS et Microsoft Exchange, démontrant son adaptabilité et sa persistance dans le cyberespionnage. 

Harrods révèle une violation de fournisseur touchant 430 000 clients 

Le détaillant de luxe britannique Harrods a confirmé une nouvelle violation de données après que des pirates ont compromis un fournisseur tiers, exposant 430 000 enregistrements de clients e-commerce. L’entreprise a précisé que l’incident n’était pas lié à la tentative d’attaque de mai menée par Scattered Spider, qui avait utilisé le ransomware DragonForce contre plusieurs détaillants britanniques. 

Harrods a indiqué que les noms et coordonnées des clients affectés avaient été consultés, certains enregistrements contenant également des étiquettes internes de marketing, comme les niveaux de cartes de fidélité. Toutefois, aucune donnée de paiement, mot de passe ou historique de commande n’a été compromise. Les attaquants auraient tenté de contacter directement Harrods, mais la société a refusé de répondre. 

Cette violation pourrait être liée à l’attaque de la chaîne d’approvisionnement Salesloft, qui a touché des organisations dans le monde entier depuis la fin de l’été. Harrods a informé les clients concernés et les autorités compétentes, incitant à la vigilance face aux tentatives de phishing, tout en poursuivant la collaboration avec les enquêteurs. 

Faille OneLogin exposait des secrets OIDC, désormais corrigée 

Une vulnérabilité de haute gravité a été révélée dans la plateforme IAM OneLogin de One Identity, susceptible d’exposer des secrets sensibles d’applications OpenID Connect (OIDC). Référencée sous CVE-2025-59363 avec un score CVSS de 7,7, la faille provenait d’une mauvaise configuration d’un point de terminaison API renvoyant les valeurs client_secret en plus des métadonnées des applications. 

Clutch Security, qui a découvert le problème, a averti qu’un attaquant disposant de véritables identifiants API OneLogin aurait pu énumérer toutes les applications OIDC au sein d’un tenant, récupérer leurs secrets, usurper des applications et accéder à des services intégrés. Cela aurait permis un déplacement latéral dans les environnements d’entreprise. Le risque était aggravé par les larges autorisations API basées sur les rôles et l’absence de restrictions d’adresses IP. 

La faille a été signalée de manière responsable le 18 juillet et corrigée dans OneLogin 2025.3.0, publié le mois dernier. One Identity affirme qu’aucune exploitation n’a été détectée. Les chercheurs soulignent que les vulnérabilités chez les fournisseurs d’identité peuvent avoir des effets en cascade sur l’ensemble des infrastructures d’entreprise. 

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.