Cyber-IA expo 2026 à Paris : cyber et IA, NIS2, démonstrations, gouvernance et édition Munich annoncée....

Cyber Show Paris 2026 : décideurs, santé, coupure Internet et influence étrangère, au prisme cyber, à Paris....

Botnet Aisuru : 1 304 DDoS en trois mois, record à 29,7 Tbit/s, salves courtes et hypervolume IoT difficile à contrer.

Stratégie Trump : renseignement, supply chain mondiale, cyber en temps réel et partenariats privés renforcés.

CrowdStrike licencie un employé soupçonné de fuite interne vers des hackers, captures Telegram, offre de 25 000 $ et alerte risque interne.

Cyberattaque CodeRED : alertes d’urgence stoppées dans plus de dix États, fuite de mots de passe et bascule vers IPAWS....

SmartTube compromis : clés de signature volées, mise à jour 30.51 infectée et bloquée par Play Protect.

IP ukrainiennes volées, RIPE et sanctions : un angle mort qui facilite camouflage, désinformation et cyberattaques en Europe.

— Permalink

ShinyHunters menace de divulguer des clients premium de Pornhub et réclame une rançon en bitcoin, sur fond d’incident Mixpanel....

Antivirus en 2026 : utile ou dépassé ? Risques, protections natives, traçabilité et critères concrets de choix.

Cinq candidats sanctionnés par la CNIL pour prospection politique 2024 : consentement, info, opposition, droits, sécurité.

Le ministère de l’Intérieur a été victime d’une cyberattaque d’une ampleur inédite. Laurent Nuñez, ministre de l’Intérieur, a confirmé ce 17 décembre sur Franceinfo qu’il s’agit d’un acte très grave, qualifiant l’incident d’attaque massive ayant touché la Place Beauvau.

Une intrusion par les messageries

L’intrusion informatique s’est déroulée dans la nuit du jeudi 11 au vendredi 12 décembre.  Selon le ministre, une personne a pu récupérer un certain nombre de mots de passe de boîtes mails, permettant ainsi d’obtenir des codes d’accès à certains systèmes d’information du ministère. Les analyses montrent une intrusion sur des boîtes de messagerie professionnelle, contenant des éléments d’identification, dont la récupération a rendu possible l’accès à des applications métiers.

Le fichier de traitement d’antécédents judiciaires (TAJ) et le fichier des personnes recherchées (FPR) ont notamment été consultés. Le TAJ liste non seulement les condamnations des individus, mais agrège surtout l’ensemble des données issues des enquêtes de la police et de la gendarmerie, donnant accès aux coordonnées des victimes ou des témoins. Le FPR centralise quant à lui les signalements de fugitifs, les interdictions de territoire et les disparitions inquiétantes.

Quelques dizaines de fiches ont pu être extraites du système, selon les déclarations de Laurent Nuñez qui a réfuté qu’il y ait eu une extraction de millions de données, contrairement aux allégations circulant en ligne.

Une revendication sur BreachForums

Selon Le Figaro, un individu utilisant le pseudo de Indra a revendiqué l’attaque sur BreachForums, un forum anglophone réapparu à de multiples reprises après avoir été fermé plusieurs fois par les autorités.

Dans son message rapporté par Le Figaro, Indra prétend avoir accédé aux données de 16 444 373 individus en compromettant les fichiers de police français. Il évoque également avoir eu accès au système EASF MI, lié aux canaux de communication qu’utilisent les autorités internationales, et mentionne la DGFiP et la CNAV.

Les pirates donnent à la France une semaine pour les contacter afin de négocier, menaçant de faire fuiter progressivement les données. Mais pour l’heure, aucun échantillon des prétendues données piratées n’a été dévoilé, une pratique pourtant habituelle dans ce type de hacking.  Laurent Nuñez a assuré ne pas avoir reçu de demande de rançon.

Un lien avec les Shiny Hunters ?

Selon les informations rapportées par Le Figaro, Indra affirme que la cyberattaque aurait été menée en représailles de l’arrestation de la quasi-totalité des membres de Shiny Hunters. En juin 2025, ce groupe avait revendiqué avoir lancé l’assaut contre le groupe de luxe Kering, dérobant les données de quelques millions de clients.

L’identité de l’un de ses plus éminents membres avait fait la une des médias en France : celle du Français Sébastien Raoult, âgé d’une vingtaine d’années à peine, et condamné en janvier 2024 aux États-Unis à trois ans de prison ferme et à un remboursement de cinq millions $. Le jeune hacker avait été interpellé à Rabat, au Maroc, après une demande du FBI, puis rapatrié en France en décembre 2024. Il a été mis en examen par la justice française pour atteintes à un système de traitement automatisé de données dès son arrivée à l’aéroport de Roissy.

Des imprudences reconnues

Le ministre de l’Intérieur a reconnu des imprudences de la part de certains agents du ministère de l’intérieur. Ce piratage s’est fait en dépit de toutes les règles de prudence diffusées régulièrement. Il suffit de quelques individus qui ne respectent pas ces règles pour créer une brèche, a-t-il commenté.

Le ministère argue avoir déployé un plan d’actions immédiat et renforcé dès la détection de l’intrusion, en sécurisant les infrastructures, en généralisant l’authentification à double facteur et en révoquant les accès compromis.

Deux enquêtes, judiciaire et administrative, ont été ouvertes. L’enquête judiciaire, conduite sous la direction du parquet de Paris, a été confiée à l’Office anti-cybercriminalité (OFAC) de la direction nationale de la police judiciaire. La Commission nationale de l’informatique et des libertés (CNIL) a également été saisie.

The post Cyberattaque au ministère de l’Intérieur : des fichiers sensibles consultés appeared first on Silicon.fr.

Alerte SFR : accès non autorisé à un outil fixe, données clients possiblement exposées, CNIL saisie, plainte déposée....

InterCERT France, qui rassemble plus de 120 équipes de détection et réponse à incidents cyber sur le territoire national, a procédé au renouvellement de son Conseil d’administration. Les membres ont élu Thibaud Binétruy, responsable du CSIRT-Suez, à sa présidence.

Le bureau est complété par Anthony Charreau (CERT Crédit Mutuel Euro-Information) au poste de Vice-président et Julien Mongenet (Thales-CERT) comme Trésorier. Le Conseil compte également trois autres administrateurs : Valérie Couché (C2MI), Tristan Pinceaux (CERT ALMOND CWATCH) et Maxime Lambert (CERT-Formind).

Un parcours dans la cyberdéfense opérationnelle

Thibaud Binétruy apporte 17 ans d’expérience dans la cybersécurité, dont 11 années dédiées à la cyberdéfense opérationnelle. Après avoir débuté comme auditeur et pentester, il a rejoint le CERT Société Générale où il a découvert la communauté InterCERT. Il a ensuite évolué dans les secteurs de la défense et de l’aérospatiale chez Safran avant de prendre la direction du CSIRT du groupe Suez en 2022.

Cette transition intervient après le mandat de Frédéric Le Bastard (CERT La Poste), qui a accompagné la structuration de l’association depuis sa création en octobre 2021. Le Conseil d’administration lui a attribué le titre de membre Honoraire en reconnaissance de son action.

Face à l’évolution des menaces cyber, la nouvelle gouvernance entend renforcer la culture de prévention et intensifier les échanges de retours d’expérience entre les membres. L’association souhaite également mettre l’accent sur la santé mentale des professionnels de la cyber, confrontés à des situations de stress et de pression opérationnelle quotidiennes.

The post Thibaud Binétruy, nouveau président d’InterCERT France appeared first on Silicon.fr.

En fonction des autorités de numérotation CVE, les pratiques d’association de vulnérabilités à des faiblesses logicielles peuvent varier.

Le phénomène n’a en soi rien de nouveau. Cependant, avec l’augmentation du nombre d’autorités produisant de tels mappings, il a une influence de plus en plus importante sur des projets aval. Parmi eux, le Top 25 CWE de MITRE.

Dans l’édition 2025, fraîchement publiée, l’organisation américaine affirme à quel point il pourrait être « instructif » d’étudier les pratiques de ces autorités. D’autant plus au vu de ce qui a été constaté chez l’une des plus « prolifiques ». En l’occurrence, une tendance à associer des vulnérabilités (CVE) à la fois à des faiblesses logicielles (CWE) de bas niveau et de haut niveau, entraînant une surreprésentation de ces dernières. Par exemple, CWE-74 (neutralisation inadéquate d’éléments spéciaux dans une sortie utilisée par un composant aval), à la fois « parent » de CWE-89 (injection SQL), de CWE-79 (XSS), de CWE-78 (injection de commande système) et de CWE-94 (injection de code).

Première utilisation d’un LLM pour le Top 25 CWE

Pour cette édition, le dataset initial comprenait 39 080 CVE publiées entre le 1^er juin 2024 et le 1^er juin 2025.

MITRE a collecté des mappings réalisés par des autorités de numérotation ou ajoutés par la CISA après publication des CVE. Il a également tenu compte de mappings aval d’analystes de la NVD (National Vulnerability Database, rattachée au NIST).

Une analyse automatisée a permis d’identifier les mappings susceptibles d’être modifiés notamment parce que trop abstraits ou trop différents de mappings précédents contenant des mots-clés similaires.

Les mappings soumis à réévaluation concernaient 9468 CVE (24 % du total), publiées par 281 autorités.

Pour la première fois, MITRE a employé un LLM – ancré sur le corpus des CWE et entraîné sur des mappings – pour examiner ce sous-ensemble. Si ses suggestions n’ont pas toujours été suivies, il a « semblé déduire des associations potentielles que des analystes humains auraient probablement manquées faute de temps ou d’expertise ».

Sur ces 9468 CVE, 2459 ont effectivement fait l’objet d’un retour de la part des autorités de numérotation. Le reste a été soumis à une autre analyse. C’est là qu’a été découverte la pratique sus-évoquée.

Une normalisation qui rebat (un peu) les cartes

Quatre CWE auparavant jamais classées dans le Top 25 font leur entrée cette année. Elles sont repérables par la mention N/A dans le tableau ci-dessous. Il s’agit du dépassement de tampon « classique », du dépassement de pile, du dépassement de tas et du contrôle d’accès inadéquat.

Un changement dans la méthodologie y a contribué. Jusqu’alors, avant d’établir le classement (fondé sur la fréquence des CWE et sur la sévérité des CVE associées), les mappings étaient normalisés selon une nomenclature qu’utilise traditionnellement la NVD. Cette nomenclature se limite à 130 CWE. Les CVE qui ne peuvent pas être associées à une entrée sont, au possible, associées au plus proche parent (« ancêtre »). Sinon, on retire les mappings.

Pour la première fois, MITRE a utilisé les mappings tels quels, sans effectuer cette normalisation. Il en résulte, nous affirme-t-on, une image « plus fidèle ».

Ce choix a probablement aussi contribué à faire sortir plusieurs CWE du Top 25. On peut le penser, entre autres, pour CWE-269 (gestion inadéquate des privilèges), qui passe de la 15^e à la 29^e place. Sans normalisation, elle a 219 CVE associées. Avec, elle en aurait en 633. Il en est potentiellement allé de même pour CWE-400 (consommation de ressources non contrôlée ; passée de la 24^e à la 32^e place), CWE-798 (utilisation d’authentifiants codés en dur ; de 22^e à 35^e) et CWE-119 (restriction inadéquate d’opérations dans les limites d’un tampon mémoire ; de 20^e à 39^e).

Le top 25 des vulnérabilités logicielles en 2025

Rang	Identifiant	Nature	Évolution 2024-2025
1	CWE-79	XSS (Cross-Site-Scripting ; neutralisation inadéquate d’entrée lors de la génération de page web)	=
2	CWE-89	SQLi (Injection SQL ; neutralisation inadéquate d’éléments spéciaux utilisés dans une commande SQL)	+ 1
3	CWE-352	CSRF (Client-Side Request Forgery ; une web ne vérifie pas suffisamment si une requête a été intentionnellement fournie par son auteur)	+ 1
4	CWE-862	Autorisation manquante	+ 5
5	CWE-787	Écriture hors limites	– 3
6	CWE-22	Traversée de répertoire (neutralisation inadéquate d’éléments spéciaux dans un chemin d’accès, menant vers un emplacement non autorisé)	– 1
7	CWE-416	UAF (Use After Free ; réutilisation d’une zone mémoire après sa libération)	+ 1
8	CWE-125	Lecture hors limites	– 2
9	CWE-78	Injection de commande système	– 2
10	CWE-94	Injection de code	+ 1
11	CWE-120	Dépassement de tampon « classique » (copie d’un tampon d’entrée vers un tampon de sortie sans vérifier que la taille du premier ne dépasse pas celle du second)	N/A
12	CWE-434	Téléversement non restreint de fichiers dangereux	– 2
13	CWE-476	Déréférencement de pointeur NULL	+ 8
14	CWE-121	Dépassement de pile	N/A
15	CWE-502	Désérialisation de données non fiables	+ 1
16	CWE-122	Dépassement de tas	N/A
17	CWE-863	Autorisation incorrecte	+ 1
18	CWE-20	Validation inadéquate d’entrée	– 6
19	CWE-284	Contrôle d’accès inadéquat	N/A
20	CWE-200	Exposition de données sensibles à un acteur non autorisé	– 3
21	CWE-306	Authentification manquante pour une fonction critique	+ 4
22	CWE-918	SSRF (Server-Side Request Forgery ; le serveur web ne vérifie pas suffisamment que la requête est envoyée à la destination attendue)	– 3
23	CWE-77	Injection de commande	– 10
24	CWE-639	Contournement d’autorisation via une clé contrôlée par l’utilisateur	+ 6
25	CWE-770	Allocation de ressources sans limites ou plafonnement	+ 1

L’an dernier, la méthodologie avait déjà évolué. Pour limiter les mappings abusifs, MITRE avait donné davantage de poids aux autorités de numérotation pour les réviser. Peu avaient toutefois répondu à la sollicitation, d’où une progression potentielle, voire une entrée, dans le Top 25, de CWE de haut niveau.

The post Top 25 des faiblesses logicielles : le casse-tête méthodologique de MITRE appeared first on Silicon.fr.

Microsoft vise plus large avec son programme bug bounty.

Le voilà désormais susceptible d’indemniser la découverte de failles dans des dépendances. Il s’engage plus précisément à récompenser les signalements de vulnérabilités critiques qui touchent directement ses services en ligne indépendamment de la provenance du code concerné – si ce dernier n’est pas déjà couvert par un bug bounty.

Autre évolution : tous les services en ligne de Microsoft sont maintenant inclus par défaut, sans restriction de périmètre. Cela vaut aussi pour les nouveaux services, dès leur publication.

Ces règles s’appliquent depuis le 11 décembre 2025. Elles sont rétroactives sur 90 jours.

Les vulnérabilités Hyper-V, potentiellement les plus lucratives

Le programme de bug bounty englobait déjà les composants tiers (ouverts ou propriétaires), mais inclus dans les services Microsoft.

Aux dernières nouvelles, les récompenses peuvent monter jusqu’à 100 000 $ pour les vulnérabilités qui affectent des services d’identité (compte Microsoft, ADD et certaines implémentations d’OpenID). C’est 60 k$ pour Azure ; 30 k$ pour Copilot ; 20 k$ pour Azure DevOps, Dynamics 365/Power Platform et l’API Defender for Endpoint ; 19,5 k$ pour Microsoft 365 ; 15 k$ pour .NET Core/ASP.NET Core et pour certains dépôts open source de Microsoft.

Sur la partie endpoints et on-prem, on atteint 250 k$ pour Hyper-V ; 100 k$ sur Windows Insider Preview ; 30 k$ sur Edge ; 15 k$ sur Microsoft 365 Insider.

En 2023 comme en 2024, le montant total des récompensés distribuées a avoisiné 17 M$, répartis à chaque fois entre un peu moins de 350 chercheurs.

À consulter en complément :

Microsoft 365 : un vol de données assisté par Copilot
ToolShell, cette faille SharePoint qui s’est construite en plusieurs temps
Project Zero (Google) change sa politique de divulgation de vulnérabilités
Roni Carta (Lupin & Holmes) : « Avec la cybersécurité offensive, notre objectif est de lutter contre les failles de la supply chain logicielle »

Illustration générée par IA

The post Microsoft ouvre son bug bounty au code tiers appeared first on Silicon.fr.

L’Inde renonce à imposer l’app Sanchar Saathi sur tous les smartphones, révélant les tensions entre cybersécurité d’État, vie privée et puissance des géants du numérique....

Décembre 2025 : Patch Tuesday corrige une faille Windows exploitée et renforce PowerShell, Copilot, Firefox et ColdFusion dans un contexte de risques croisés.

Des poèmes malveillants contournent les garde-fous de 25 modèles d’IA, révélant une vulnérabilité systémique des mécanismes d’alignement actuels.