Microsoft a annoncé avoir démantelé RedVDS , une plateforme mondiale d'abonnements dédiée à la cybercriminalité et qui alimentait la fraude numérique à l'échelle internationale. Cette opération représente l'une des plus importantes actions coordonnées jamais menées par l'entreprise contre l'infrastructure soutenant la fraude en ligne, combinant des efforts juridiques, techniques et d'enquête dans plusieurs pays. RedVDS proposait aux cybercriminels un service clé en main : pour seulement 24 dollars par mois, ils pouvaient obtenir des ordinateurs virtuels temporaires, souvent équipés de logiciels non autorisés, utilisés pour envoyer des arnaques par hameçonnage, héberger des infrastructures frauduleuses et contourner les systèmes de sécurité. Ce modèle a rendu les escroqueries peu coûteuses, facilement déployables et difficiles à attribuer, contribuant ainsi à l’essor de la cybercriminalité moderne. D'après les données de Microsoft , depuis mars 2025, les activités liées à RedVDS ont généré environ 40 millions de dollars de pertes déclarées aux États-Unis seulement. Ce chiffre ne représente qu'une fraction du préjudice réel, car de nombreuses fraudes ne sont pas signalées. Parmi les cas documentés figurent des entreprises et des organisations ayant subi de lourdes pertes financières suite à des escroqueries aux faux ordres de virement (BEC), une technique qui consiste à intercepter des communications légitimes pour détourner des paiements et des virements bancaires. RedVDS a également été largement utilisé conjointement avec des outils d'intelligence artificielle, capables de rendre les escroqueries plus crédibles. Microsoft a observé l'utilisation de courriels générés automatiquement, de contenus multimédias réalistes et, dans certains cas, de technologies de clonage vocal et de manipulation vidéo pour usurper l'identité de personnes réelles. En un seul mois, plus de 2 600 machines virtuelles connectées à RedVDS ont envoyé en moyenne un million de messages d'hameçonnage par jour, augmentant considérablement la probabilité de réussite de certaines attaques. L'impact est mondial. Depuis septembre 2025, plus de 191 000 organisations dans le monde ont subi des accès frauduleux ou des compromissions liées à cette infrastructure. Parmi les pays les plus touchés figurent les États-Unis, le Canada, le Royaume-Uni, la France et l'Inde. L'Italie compte également parmi les pays affectés : entre septembre 2025 et janvier 2026, environ 2 480 comptes de messagerie clients Microsoft ont été compromis, plaçant le pays au dixième rang mondial en termes de nombre de comptes touchés, avec un impact particulièrement important sur le secteur des biens de consommation. Le démantèlement de RedVDS a été rendu possible grâce à un effort conjoint qui a permis la saisie des principaux noms de domaine, la désactivation de la plateforme et du portail client, ainsi que l'identification de l'infrastructure sous-jacente. Les démarches juridiques de Microsoft ont été appuyées par le travail des autorités européennes chargées de l'application de la loi, notamment en Allemagne, et par une coordination avec Europol, dans le but d'identifier les responsables et de perturber les réseaux de paiement associés. Cette opération s'inscrit dans une stratégie plus vaste visant à cibler non seulement les criminels individuels, mais aussi les services qui permettent la cybercriminalité à grande échelle. Il s'agit de la 35e action civile menée par l'Unité de lutte contre la criminalité numérique contre les infrastructures criminelles, ce qui constitue une avancée significative dans la lutte contre la fraude numérique et démontre combien la coopération internationale est désormais essentielle pour faire face aux cybermenaces mondiales. (Lire la suite)

Vous vous souvenez d' EchoLeak, cette faille zero-click dans Microsoft Copilot dont je vous parlais l'année dernière ? Eh bien accrochez-vous, parce que les chercheurs de Varonis viennent de remettre le couvert avec une nouvelle technique baptisée "Reprompt". Et cette fois, un simple clic suffit pour que l'assistant IA de Microsoft balance toutes vos données sensibles à un attaquant.

Je vous explique le principe... Dolev Taler, chercheur chez Varonis Threat Labs, a découvert que l'URL de l'assistant Microsoft intègre un paramètre "q" qui permet d'injecter directement des instructions dans le prompt.

Du coup, n'importe qui peut vous envoyer un lien piégé du style copilot.microsoft.com/?q=INSTRUCTION_MALVEILLANTE et hop, votre assistant exécute ce qu'on lui demande dès que vous cliquez.

Et là où c'est vraiment pas drôle, c'est que Varonis a identifié trois techniques d'exploitation. La première, "Double-Request", contourne les garde-fous en demandant à l'IA de répéter deux fois la même action. La deuxième, "Chain-Request", enchaîne les instructions côté serveur pour exfiltrer vos données sans que vous ne voyiez rien. Et la troisième combine les deux pour un effet maximal.

Les trois techniques d'attaque Reprompt : P2P Injection, Double-Request et Chain-Request ( Source )

Via cette faille, un attaquant peut récupérer vos emails récents, vos fichiers OneDrive, votre historique de recherche, et tout ça en arrière-plan pendant que vous pensez juste avoir cliqué sur un lien anodin. Ça craint hein !

Petite précision importante quand même, cette faille ne touche que la version Personal de l'assistant Microsoft, et pas la version Enterprise qui bénéficie de protections supplémentaires. Si vous utilisez la version pro au boulot, vous pouvez respirer. Par contre, si vous utilisez la version grand public pour vos trucs perso, c'était open bar jusqu'au patch du 13 janvier dernier.

Parce que oui, bonne nouvelle quand même, Microsoft a confirmé avoir corrigé le problème. Mais ça pose une vraie question sur la sécurité des assistants IA qui ont accès à nos données car entre EchoLeak et Reprompt, ça commence à faire beaucoup pour un seul produit.

Et surtout au niveau de la sécurité, moi ce que je comprends pas, c'est pourquoi le niveau de sécurité est un argument marketing ? Au nom de quoi la version personnelle devrait être moins sûre que la version personnelle ? Je pense que les données personnelles des gens n'ont pas moins de valeur...

Pour moi le niveau de sécurité devrait être exactement le même sur les deux versions du service.

Bref, l'IA c'est pratique, mais c'est aussi un nouveau terrain de jeu pour les attaquants alors méfiez-vous des liens bizarres, même s'ils pointent vers des services Microsoft légitimes !

Source

Google a inventé le "Fast Pair" qui permet d'appairer très facilement des écouteurs Bluetooth à Android (ou ChromeOS). Ce protocole est en fait bugué, et permet à un attaquant d'écouter le flux audio (écoute et micro).

Voir https://whisperpair.eu/vulnerable-devices pour une liste des périphériques.
(Permalink)

ChatGPT en onglet caché, API externes branchées à la va-vite, automatisations bricolées : le shadow IA se propage plus vite que les règles. Résultat, la DSI se retrouve à courir derrière les fuites potentielles, les non-conformités et les doublons qui plombent le SI. 68% des employés qui utilisent des outils comme ChatGPT ou d’autres IA […]

L’article Shadow IA : comment sécuriser son SI face à une IA invisible… <br/><em></em> est apparu en premier sur InformatiqueNews.fr.

-- Article en partenariat avec Incogni --

On parle souvent de “bonnes résolutions” pour le Nouvel An : se remettre au sport, arrêter de scroller la nuit, cuisiner un peu plus… mais jamais d'arrêter de se faire siphonner sa vie par des boîtes dont on n’a jamais entendu parler. 2026 peut être l’année où votre identité numérique arrête de servir de carburant à des data brokers, pour redevenir ce qu’elle aurait toujours dû être : à vous, et à vous seul. Parce qu'il faut savoir être égoiste parfois.

Vos données sont déjà en vente même si vous n’avez jamais “rien accepté”

Comme je vous l'ai déjà expliqué, les data brokers vivent d’un business aussi discret que lucratif : collecter des morceaux de vos infos, les recouper et les revendre à des dizaines d’acteurs différents. Adresse, numéro de téléphone, emails, revenus supposés, historique de navigation, centres d’intérêt, santé présumée, habitudes d’achat, présence sur les réseaux… tout y passe. Ils récupèrent ces données via des formulaires “innocents”, des programmes de fidélité, des cookies, des services IA, des applis gratuites, des comparateurs, des jeux-concours et, bien sûr, des fuites de données massives. Sans oublier nos gentils services gouvernementaux (Urssaf, France Travail & co) qui font quasi des journées portes ouvertes (pays européen qui fuite le plus, 2e rang mondial, enfin un truc ou on est bon!).

Résultat : votre profil se balade sans doute dans des centaines de bases. Il nourrit des pubs ultra ciblées, sert de matière première à des algos de scoring, et alimente un écosystème d’arnaques de plus en plus industrialisées. Les rapports sur les scams en ligne montrent une hausse continue des fraudes liées au shopping et aux faux sites, largement facilitées par les données récupérées chez ces intermédiaires. Penser “je n’ai rien à cacher” en 2026, c’est surtout oublier que la prochaine usurpation d’identité ou le prochain deepfake bien ficelé se construira peut‑être avec les miettes que vous laissez trainer à gauche ou à droite.

Incogni : un agent qui passe l’année à dire “supprimez” à votre place

Là où beaucoup de guides se contentent de vous expliquer comment envoyer des mails d’opt‑out à la main, Incogni prend le problème à la racine : le service se branche sur plus de 420 data brokers et envoie, en votre nom, des demandes légales de suppression de vos données, à la chaîne et sur la durée. Dès que vous créez votre compte, l’algorithme identifie les courtiers susceptibles de détenir vos infos (en fonction de votre pays et des lois applicables), puis déclenche une salve de requêtes appuyées sur le RGPD, le CCPA, le PIPEDA et consorts.

Ce qui fait la différence, ce n’est pas juste le volume, c’est la persistance. Incogni renvoie des demandes tous les 60 jours pour les brokers publics et tous les 90 jours pour les privés, et suit systématiquement les réponses : suppression confirmée, en cours, résistante, ou carrément silencieuse. Quand un acteur rechigne, le service relance et peut même faire remonter le cas aux autorités de protection des données. Un audit indépendant mené par Deloitte en 2025 a confirmé que ces cycles de demandes et de relances ne sont pas du storytelling marketing, mais bien mis en œuvre comme annoncé.

2026 : le bon moment pour appuyer sur “reset”

Vous êtes la seule personne qui peut décider de “faire de 2026 votre année la plus privée” en attaquant le problème là où il se démultiplie : chez les brokers. La mécanique est simple :

• plus vos données restent longtemps dans ces fichiers, plus elles sont revendues et recopiées ;
• plus elles sont copiées, plus les scams sont crédibles (adresse exacte, bons prénoms, contexte plausible, etc.) ;
• plus les scams sont crédibles, plus il suffit d’un moment de fatigue pour cliquer au mauvais endroit.

En supprimant vos infos d’un maximum de courtiers, vous cassez une bonne partie de cette chaîne. Les analyses de services spécialisés montrent que les personnes qui utilisent un outil de data removal voient moins de spams ciblés et réduisent leur surface d’attaque face aux escroqueries liées par exemple au shopping et aux faux services clients. Et surtout, vous sortez du piège “j’espère que les sites que j’utilise feront attention” pour passer à “je vais taper directement là où ils vendent mes données”.

Comment Incogni transforme une résolution en routine automatique

L’autre intérêt d’Incogni , c’est qu’il transforme une bonne résolution de début d’année en réflexe automatisé. Concrètement :

• vous créez un compte, signez une procuration numérique ;
• Incogni scanne quels types de données sont exposés chez ses 420+ courtiers partenaires ;
• il envoie immédiatement des demandes de suppression, puis continue de les renvoyer périodiquement ;
• vous suivez tout dans un tableau de bord clair : gravité de l’exposition, niveau de coopération du broker, temps estimé de suppression, etc.

Certains services concurrents alignent des options annexes (VPN, gestion de mot de passe, assurance, etc.), mais la force d’Incogni, c’est justement de ne faire qu’une chose : traquer vos données chez les brokers et les faire retirer, encore et encore. Et si vous trouvez qu'un VPN couplé est indispensable, vous pouvez l'intégrer via l' offre Surfshark One+ dont j'ai parlé. Son rapport efficacité/prix pour ce cas d’usage précis est un autre point positif. Ainsi que la possibilité de demander des suppressions personnalisées sur des sites hors base standard, pratique pour des annuaires ou plateformes très locales.

Moins d’expo, moins de scams : la logique derrière

Les chiffres sur les arnaques en ligne pour 2025 et début 2026 montrent une explosion des fraudes liées au e‑commerce, aux fausses boutiques, aux notifications DHL/La Poste bidon et aux “remboursements” inventés. Et ces attaques ne sortent pas de nulle part : elles se nourrissent de listes d’emails, d’adresses, de numéros et de profils achetés ou loués à des intermédiaires. Plus votre fiche est riche, plus vous êtes intéressant à cibler.

En réduisant la quantité de données qui circulent sur vous chez ces acteurs, vous baissez mécaniquement la probabilité d’apparaître dans les fichiers vendus à des escrocs, la quantité de contexte qu’ils auront pour rendre leurs messages crédibles et l’ampleur des dégâts en cas de nouvelle fuite massive.

Mon test personnel et d'autres en ligne le confirment : beaucoup d’utilisateurs voient apparaître leurs premières suppressions dans les jours ou semaines qui suivent. Et cela monte à des dizaines de courtiers nettoyés au bout de quelques mois d’abonnement. Ce n’est pas un bouclier absolu, mais c’est l’équivalent d’un régime sérieux pour votre empreinte numérique : moins de gras inutile qui traîne partout, plus de contrôle sur ce qui circule.

2026, l’année où vos données cessent d’être une fatalité

Le vrai changement de mindset (comme diraient les gourous du dev perso), c’est de considérer que vos données ne sont pas condamnées à rester coincées dans chaque base qui les récupère. Des lois comme le RGPD vous donnent un droit à l’effacement, mais personne n’a le temps de l’exercer manuellement auprès de centaines de structures. Incogni se pose en proxy qui passe son année à faire ce boulot à votre place, en suivant les réponses et en recommençant jusqu’à obtenir un résultat, là où vous auriez abandonné au troisième mail automatisé incompréhensible.

Si une résolution doit survivre à janvier cette année, c’est celle‑ci : ne plus laisser votre identité numérique en open-bar chez les courtiers. Un compte Incogni, quelques minutes de configuration, et vous avez au moins une force de rappel permanente qui travaille pour vous pendant que vous passez à autre chose (tenir vos autres bonnes résolutions?). En 2026, reprendre sa vie numérique en main, ce n’est pas tout couper et partir vivre dans une cabane sans réseau, c’est accepter que l’on ne puisse pas empêcher toutes les fuites… mais refuser qu’elles deviennent un business éternel sur votre dos. Incogni ne promet pas l’oubli total, mais il s’en rapproche suffisamment pour que ça vaille enfin le coup de cocher cette résolution sur la liste.

Le prix de l'abonnement standard est actuellement d'environ 86€ TTC pour l'année entière. Mon code Korben55 doit encore fonctionner (je ne sais pas jusqu'à quand), en l'utilisant vous économiserez encore 7 ou 8€, donc c'est le moment !

→ Cliquez ici pour en savoir plus sur Incogni ←

Les entreprises se concentrent souvent sur les correctifs CVE en se basant uniquement sur les scores CVSS, et ne traitent immédiatement que les vulnérabilités « critiques » (9,0+). Cependant, la CVE-2025-62507 présente un risque important en raison de son ciblage d’infrastructures stratégiques à un risque élevé, avec une exploitation d’une simplicité déconcertante. Tribune – Redis est bien […]

The post Étude JFrog – Vulnérabilité RCE dans Redis first appeared on UnderNews.

Les entreprises se concentrent souvent sur les correctifs CVE en se basant uniquement sur les scores CVSS, et ne traitent immédiatement que les vulnérabilités « critiques » (9,0+). Cependant, la CVE-2025-62507 présente un risque important en raison de son ciblage d’infrastructures stratégiques à un risque élevé, avec une exploitation d’une simplicité déconcertante. Tribune – Redis est bien […]

The post Étude JFrog – Vulnérabilité RCE dans Redis first appeared on UnderNews.

La vidéosurveillance ne se joue plus sur l’accumulation de caméras, mais sur la capacité à transformer des flux en décisions actionnables, rapidement et de façon contextualisée. Avec l’automatisation intelligente, le VMS centralise les données, accélère la recherche visuelle et sécurise la chaîne de preuve, tout en s’intégrant à l’IoT, au contrôle d’accès et aux exigences […]

L’article Vidéosurveillance : le VMS passe de l’observation à l’automatisation intelligente… <br/><em>Anne-Cécile Tournier, Genetec</em> est apparu en premier sur InformatiqueNews.fr.

La nouvelle est tombée hier soir et elle fait boum boum boum dans le monde feutré de la tech... En effet, Pékin a officiellement demandé aux entreprises chinoises de mettre à la porte les logiciels de cybersécurité américains et israéliens.

C'était prévisible et quand j'ai lu ça, je me suis dit, tant mieux pour eux !

Concrètement, cette annonce, ça veut dire que des géants comme Broadcom, VMware, Palo Alto Networks, Fortinet ou encore l'israélien Check Point sont désormais persona non grata dans les systèmes d'information de l'Empire du Milieu.

La raison officielle, c'est la sécurité nationale comme d'hab. Mais aussi parce que la Chine en a marre de dépendre de technologies qu'elle ne contrôle pas (et qui pourraient bien cacher deux-trois mouchards de la NSA, on ne sait jamais ^^).

Alors vous allez me dire "Oulala, les méchants chinois qui se ferment au monde". Sauf que non... en réalité, ils appliquent juste une stratégie de souveraineté technologique sans concession. Et en remplaçant le matos étranager par du matos local, ils commencent le grand ménage.

Et pendant ce temps là en Europe, on continue d'installer joyeusement des boîtes noires américaines au cœur de nos infrastructures critiques, en priant très fort pour que l'Oncle Sam soit gentil avec nous. Yoohoo !

J'en parlais déjà à l'époque de l'affaire Snowden ou plus récemment avec les backdoors découvertes un peu partout mais la dépendance technologique, c'est évidemment un risque de sécurité béant. Pire, si demain Washington décide de "couper le robinet" ou d'exploiter une porte dérobée, on est, passez-moi l'expression, dans la merde.

La Chine l'a compris et investit donc massivement dans ses propres solutions, comme avec l'architecture RISC-V pour s'affranchir d'Intel et AMD. C'est une démarche cohérente et c'est même assez fendard quand on connaît l'histoire des groupes comme APT1 qui ont pillé la propriété intellectuelle occidentale pendant des années.

Maintenant qu'ils ont un bon niveau, ils ferment la porte...

Du coup, sa fé réchéflir car est-ce qu'on ne devrait pas, nous aussi, arrêter de faire les vierges effarouchées et commencer à construire sérieusement notre autonomie ? Il parait que c'est en cours... moi j'attends de voir.

Bref, la Chine avance ses pions et sécurise son périmètre et nous, baaah, j'sais pas... On remue nos petits bras en l'air en disant des choses au pif.

Source

Grok sous enquête mondiale pour deepfakes sexuels, régulateurs mobilisés face aux risques juridiques et cyber. Des deep fakes qui ne sont pourtant pas une nouveauté !...

Une fuite de données Instagram toucherait des millions d’utilisateurs, exploitée pour phishing et usurpation d’identité. ZATAZ avait alerté... en 2024 !...

RedVDS ciblé, infrastructure clé de fraudes mondiales, via une action judiciaire coordonnée États-Unis Europe....

Une arnaque au faux Pass Navigo usurpant la SNCF collecte des données via un sondage piégé analysé par ZATAZ....

68% des employés qui utilisent des outils comme ChatGPT ou d’autres IA génératives le font à l’insu de leurs responsables directs ou sans en informer leur DSI. Tout comme le shadow IT, le shadow IA consiste à utiliser des outils technologiques sans l’approbation de la DSI. En se passant des processus internes d’approbation et de […]

The post Shadow IA : Comment sécuriser son SI face à l’IA invisible first appeared on UnderNews.

68% des employés qui utilisent des outils comme ChatGPT ou d’autres IA génératives le font à l’insu de leurs responsables directs ou sans en informer leur DSI. Tout comme le shadow IT, le shadow IA consiste à utiliser des outils technologiques sans l’approbation de la DSI. En se passant des processus internes d’approbation et de […]

The post Shadow IA : Comment sécuriser son SI face à l’IA invisible first appeared on UnderNews.

Remplacer le VPN par du ZTNA ne rend pas le LAN magique : la confiance implicite revient dès que vous passez la porte. Un compte compromis, et c’est l’autoroute du mouvement latéral entre applis, serveurs et workloads. Mais en traitant remote, on-prem, OT et cloud avec la même logique d’accès et de micro-segmentation, la résilience […]

L’article Le réseau interne, angle mort du Zero Trust… <br/><em>Yann Bruneau, Squad Cybersolutions</em> est apparu en premier sur InformatiqueNews.fr.

Annoncée juste avant les fêtes de Noël, l’acquisition d’Armis, spécialiste de la sécurité cyber-physique d’origine israélienne fondée en 2015, pour 7,75 milliards $ en cash, marque la plus importante transaction de ServiceNow à ce jour.

L’opération, qui doit être boucler au second semestre, vise à tripler l’empreinte cybersécurité de ServiceNow,  qui a dépassé 1 milliard $ de ventes au troisième trimestre 2025, en étendant sa nouvelle plateforme unifiée de  » Cyber Exposure Management » à des secteurs critiques comme la fabrication, la santé et les infrastructures.

Complémentarité des technologies

Fondée sur une approche « agentless », Armis s’est imposée comme un acteur clé de la découverte en temps réel des actifs et de la gestion de l’exposition cyber. Sa plateforme couvre l’ensemble des environnements IT, OT, IoT et les dispositifs médicaux connectés, offrant une visibilité continue sur la surface d’attaque cyber-physique.

La visibilité temps réel d’Armis sur les actifs non gérés (OT, IoT, cloud) viendra enrichir la CMDB de ServiceNow, avec des données contextualisées sur les vulnérabilités et les comportements anormaux. Ces données alimenteront ensuite les workflows ServiceNow pour automatiser la priorisation des risques, la gestion des incidents et la remédiation, en tenant compte de la criticité métier.

Par exemple, cela pourrait réduire le temps moyen de résolution des incidents OT dans l’industrie, renforcer la protection en temps réel des dispositifs médicaux ou anticiper les menaces sur des actifs sensibles.

« Nous construisons la plateforme de sécurité de demain pour l’ère de l’IA », résume Amit Zavery, COO de ServiceNow.

En combinant workflows IT, automatisation et visibilité cyber-physique, l’éditeur se positionne face à des acteurs spécialisés comme Palo Alto Networks ou CrowdStrike, avec une approche plus transverse et orientée métier.

Armis et ServiceNow étaient déjà partenaires, ce qui devrait faciliter une intégration plus rapide.

 

The post Pourquoi ServiceNow rachète Armis pour 7,75 milliards $ appeared first on Silicon.fr.

Aussi longtemps qu’ils peuvent se déplacer latéralement dans votre environnement, les attaquants ne seront pas gênés par votre PAM. Quant aux cases de « conformité » cochées dans votre IGA, elles n’ont pas de poids si les décisions d’accès sont basées sur des informations obsolètes.

Ces éléments font partie du pitch de SGNL, qui vante, par leur intermédiaire, l’aspect « temps réel » de sa solution de gestion des accès.

Le positionnement cette entreprise américaine a séduit CrowdStrike, parti pour s’en emparer pour une somme qui dépasserait les 700 M$. Il entend combiner la technologie à sa plate-forme Falcon, qui verra ainsi ses capacités d’autorisation contextuelle étendues au-delà d’Active Directory.

Avec Seraphic Security, CrowdStrike met un pied dans les navigateurs

CrowdStrike vient d’annoncer un autre projet d’acquisition, estimé à environ 420 M$. La cible, basée en Israël, s’appelle Seraphic Security. Elle commercialise une technologie de protection des navigateurs – et des apps Electron – basée sur un agent qui vient se placer au-dessus du moteur JavaScript.

Ces derniers temps, Seraphic Security a insisté sur la protection qu’il dit apporter contre les menaces liées à l’usage d’IA (fuites de données, injections de prompts, violations de conformité…). Il joue plus globalement l’alternative à de nombreuses solutions : VDI, VPN, SWG (passerelles web sécurisées), RBI (isolation de navigateur à distance), etc. Tout en se positionnant comme un complément aux EDR, en apportant de la visibilité sur l’activité dans les navigateurs.

Seraphic Security s’est déjà intégré à quelques EDR, dont ceux de Microsoft … et de CrowdStrike. Les jonctions avec la plate-forme Falcon touchent aussi, entre autres, à la sandbox et au score d’évaluation zero trust.

2020-2025 : des acquisitions sous le signe du zero trust, puis de la sécurité du cloud

En 2025, CrowdStrike avait officialisé deux acquisitions.

L’une, estimée à 290 M$, a porté sur Onum, un spécialiste de la télémétrie. Son architecture in-memory sans état doit permettre de fiabiliser l’ingestion de données dans Falcon et permettre d’amorcer leur analyse en amont, au niveau des pipelines.

L’autre opération, estimée à 260 M$, a visé Pangea. Elle est censée étendre les capacités EDR de CrowdStrike à l’IA, sur l’ensemble de son cycle de vie.

Deux acquisitions avaient également été annoncées en 2024. Elles ont témoigné d’une volonté de renforcement sur la sécurité du cloud. D’un côté, Flow Security (200 M$ ; gestion de la posture de sécurité des données). De l’autre, Adaptive Shield (300 M$ ; gestion de la posture de sécurité du SaaS).

L’acquisition de Bionic, effectuée en 2023 pour un montant estimé à 350 M$, reflétait cette même volonté. Avec elle, CrowdStrike a élargi ses capacités AppSec et ouvert la voie à une composante CIEM, en apportant une visibilité sur l’exécution des applications sur les infras cloud.

En 2022, la gestion de la surface d’attaque externe fut étendue avec Reposify. En 2021, on avait parlé sécurité des données avec SecureCircle. CrowdStrike en avait présenté l’acquisition comme un levier d’extension de son approche zero trust. Il avait adopté un discours semblable en 2020 à l’heure de mettre la main sur Preempt Security (gestion des accès ; 96 M$). Entre-temps, il s’était offert Humio (400 M$) et sa technologie d’ingestion/analyse de logs.

Illustration principale © Adrian Gros – Shutterstock

The post Double acquisition pour CrowdStrike : le zero trust en filigrane appeared first on Silicon.fr.

Cet article fait partie de ma série spéciale hackers . Bonne lecture !

FLASH SPÉCIAL : Un ado de 18 ans vient de cracker la sécurité du Pentagone américain. Ah non pardon, c'est pas une news, c'est de l'histoire ancienne. Mais franchement, quelle histoire ! Ehud Tenenbaum, alias The Analyzer, a réussi ce que bien des services secrets n'osaient même pas rêver : infiltrer les réseaux non classifiés du Département de la Défense américain depuis sa chambre d'adolescent à Hod HaSharon.

Vous savez ce qui m'a plu dans cette histoire ? C'est qu'à l'époque, en 1998, j'étais moi-même en train de bidouiller mes premiers scripts sur mon Pentium 200 MHz, et pendant que je galérais à faire fonctionner tout ça, ce gamin faisait trembler l'oncle Sam. En plus, en février 1998, les USA sont en pleine opération Desert Fox contre l'Irak alors quand le DoD a détecté les intrusions, la première réaction a été la panique... et si c'était Saddam Hussein qui contre-attaquait ? Bah non, c'était juste un ado avec son clavier.

Mais alors qui était ce gamin ?

Ehud "Udi" Tenenbaum naît le 29 août 1979 à Hod HaSharon, une petite ville tranquille d'Israël. Rien ne prédestinait ce môme à devenir l'un des hackers les plus célèbres de la planète. D'ailleurs, il souffrait de dyslexie, un handicap qui aurait pu le freiner, sauf qu'Ehud avait un truc en plus : des capacités dingues en math et en sciences. À 15 ans, il s'auto-forme au hacking armé de sa curiosité, et une connexion internet.

À 18 ans, Ehud fait ensuite son service militaire obligatoire dans Tsahal. Mais bon, l'armée et lui, ça fait pas bon ménage. Suite à un accident de voiture, il est libéré de ses obligations militaires. Et c'est là que tout va basculer.

Car Ehud ne travaille pas seul. Il monte une petite équipe avec d'autres hackers : deux adolescents en Californie (connus sous les pseudos Makaveli et Stimpy) et possiblement d'autres contacts en Israël. Tenenbaum joue le rôle de mentor technique, le cerveau qui orchestre l'opération et petit détail qui tue : Solar Sunrise , c'est pas le nom que le groupe s'est donné mais le nom de code que les autorités ont attribué à l'enquête. Solar comme Solaris, l'OS qu'ils ont hacké.

Pendant que le monde entier suit l'affaire Monica Lewinsky, pendant que les États-Unis bombardent l'Irak, Ehud et ses complices préparent discrètement l'une des cyberattaques les plus audacieuses de l'histoire.

Pour arriver à leurs fins, ils exploitent une faille dans Solaris 2.4, précisément dans le service rpc.statd qui tourne avec les privilèges root. Le truc foufou (ou flippant selon comment on voit les choses) c'est que cette vulnérabilité était connue depuis décembre 1997. Les patchs étaient disponibles, mais personne ne les avait appliqués.

Leur attaque se déroule en quatre phases ultra-méthodiques : reconnaissance des cibles, exploitation de la faille, déploiement de backdoors, et exfiltration de données. Ils ne frappent pas une cible après l'autre comme dans les films. Non, ils propagent leur intrusion simultanément sur plusieurs sites : bases de l'Air Force, de la Navy, systèmes de la NASA, universités sous contrat militaire, et des systèmes du DoD. Au total, plus de 500 systèmes infiltrés.

Heureusement, ils n'ont pas pénétré les systèmes les plus secrets du Pentagone mais uniquement des réseaux non classifiés. Mais même sur des systèmes non classifiés, vous avez des informations opérationnelles sensibles. Des backdoors installées, des sniffers qui capturent les mots de passe, des accès qui auraient pu être exploités autrement... John Hamre, le Deputy Defense Secretary de l'époque, qualifiera l'attaque de "la plus organisée à ce jour" contre les systèmes militaires américains.

Mais tout faux empire finit par s'effondrer.

Le FBI, la NSA, l'Air Force OSI et le Shin Bet israélien unissent leurs forces. Et vous le savez, les intrusions laissent des traces. Des serveurs intermédiaires, des rebonds, des adresses IP qui finissent par pointer vers Israël. La coopération internationale se met alors en place.

Le 18 mars 1998, Ehud Tenenbaum se réveille dans son appartement de Hod HaSharon. Sauf que ce matin-là, il ne se réveille pas avec une envie de pisser. Il se réveille avec la police israélienne dans son salon. Fin de l'aventure pour The Analyzer.

La réaction médiatique est immédiate. D'abord, le soulagement : ce n'est pas une attaque étatique irakienne. Mais ensuite, le choc : des adolescents ont paralysé les défenses informatiques du DoD. Et cette affaire va contribuer à la création de la Presidential Decision Directive/NSC-63, la politique de cybersécurité nationale des États-Unis.

L'affaire met trois ans à arriver devant les tribunaux. En 2001, Ehud Tenenbaum plaide coupable. La sentence initiale ? Six mois de travaux d'intérêt général. Léger, non ? Le procureur fait appel et en juin 2002, le tribunal alourdit la peine : 18 mois de prison. Mais grâce au système de libération conditionnelle israélien, qui permet une libération après environ 50% de la peine purgée, Ehud ne purge qu'environ 8 mois.

Sorti de prison, Ehud tente de se ranger. En 2003, il fonde 2XS Security, une société de conseil en sécurité et son idée c'est d'utiliser sa notoriété pour faire du consulting. Le hacker devenu consultant, c'est un classique, mais la tentation revient. Toujours.

2008. Ehud Tenenbaum, désormais âgé de 29 ans, monte un nouveau coup. Ce qu'il veut c'est hacker les systèmes d'institutions financières américaines et canadiennes, voler des informations de cartes bancaires par milliers, les charger sur des cartes prépayées, puis utiliser un réseau international de "mules" pour retirer l'argent aux distributeurs.

Sa cible principale est Direct Cash Management, une boîte de Calgary, en Alberta. Et sa technique c'est une bonne vieille injection SQL pour accéder à la base de données. Classique mais efficace.

Le butin ? Environ 1,8 million de dollars canadiens (soit ~1,7 million USD) rien que pour Direct Cash Management. Mais l'opération visait aussi d'autres cibles américaines : OmniAmerican Credit Union au Texas, Global Cash Card. Au total, les pertes estimées dépassent les 10 millions de dollars.

Ehud travaille avec des complices, dont sa fiancée Priscilla Mastrangelo à Calgary. Les charges contre elle seront finalement abandonnées, mais son implication reste floue.

De leur côté, le FBI et la GRC (Gendarmerie royale du Canada) ne chôment pas. Et en septembre 2008, Ehud Tenenbaum est arrêté au Canada et détenu au Calgary Remand Centre, en Alberta. L'extradition vers les États-Unis va prendre du temps.

En 2012, après quatre ans de procédure, Ehud accepte un plea bargain. La sentence ? Le temps déjà passé en détention (time served), 503 000 dollars de restitution et trois ans de mise à l'épreuve. Fin de l'affaire américaine.

Toutefois, l'histoire ne s'arrête pas là car en novembre 2013, Ehud Tenenbaum est de nouveau arrêté en Israël, cette fois pour blanchiment d'argent à grande échelle. Quand est-il rentré en Israël ? Ça, les archives publiques ne le disent pas, quand à l'issue de cette affaire, c'est un mystère total. Certaines sources évoquent une condamnation à sept ans de prison, d'autres restent floues. Ce qui est sûr, c'est que l'issue de cette troisième arrestation reste dans le brouillard des archives publiques accessibles.

Au final, quel est l'héritage d'Ehud Tenenbaum ? Solar Sunrise a été le premier grand wake-up call cybersécurité pour les États-Unis. Il a prouvé que des adolescents pouvaient paralyser une infrastructure militaire. Il a forcé le DoD à prendre la cybermenace au sérieux. Et il a contribué à façonner la politique de cybersécurité nationale américaine.

Tenenbaum était un génie technique incontestable. Un mec capable de détecter les failles que personne ne voyait, de comprendre les systèmes mieux que leurs créateurs. Et pourtant, il n'a jamais pu résister à la tentation. Comme d'autres hackers légendaires tels que Kevin Mitnick ou Gary McKinnon , Tenenbaum illustre également cette trajectoire fascinante où le génie technique côtoie l'incapacité à s'arrêter.

Source | National Security Archive - Solar Sunrise Collection | The Register | CBC News Calgary | Control Engineering