Mots de passe, Wi-Fi public, phishing, MFA : les gestes essentiels pour protéger efficacement vos données personnelles lors de la navigation en ligne.
Cet article Comment sécuriser vos données lorsque vous naviguez en ligne est apparu en premier sur Linformatique.org.
40% des entreprises interrogées ont subi au moins une cyberattaque significative en 2025, selon les chiffres de la 11ème édition du baromètre CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) réalisé avec OpinionWay.
Un chiffre qui pourrait sembler rassurant au premier abord, puisqu’il s’inscrit dans une tendance baissière observée depuis plusieurs années. Mais les 397 directeurs cybersécurité et responsables de la sécurité des systèmes d’information (RSSI) interrogés sont formels : cette diminution ne signifie pas que la menace recule mais plutôt d’une amélioration progressive des capacités de détection et de prévention.
Car lorsqu’une attaque réussit à franchir les défenses, les dégâts sont considérables. 80% des entreprises victimes signalent un impact sur leur activité, qu’il s’agisse de perturbations de production, de pertes d’image ou de vol de données, cette dernière conséquence demeurant la plus fréquente.
Plus d’une entreprise sur deux constate une augmentation de la menace d’origine étatique. Dans un contexte international tendu, le cyberespionnage est désormais perçu comme un risque élevé par 40% des répondants, quelle que soit leur taille.
Cette prise de conscience se traduit par un intérêt croissant pour la souveraineté numérique. Plus d’une entreprise sur deux se déclare concernée par ces questions et par le cloud de confiance, une hausse significative par rapport à l’année précédente.
Le baromètre révèle toutefois un paradoxe : pour les RSSI, la souveraineté ne se limite pas à la nationalité des outils utilisés. Elle réside avant tout dans la capacité à maîtriser les dépendances, à négocier les contrats et à auditer les fournisseurs. Les principaux risques liés au cloud sont d’ailleurs identifiés comme juridiques et contractuels, avec des clauses difficilement négociables, des lois extraterritoriales et un manque de maîtrise de la chaîne de sous-traitance.
Un tiers des entreprises estime que plus de la moitié de leurs incidents de cybersécurité proviennent de tiers. Les failles chez les fournisseurs, prestataires ou partenaires deviennent un vecteur majeur de compromission. Face à ce constat, les organisations renforcent leurs dispositifs : 85% intègrent des clauses de sécurité dans leurs contrats et 74% utilisent des questionnaires de sécurité. Le cyber-rating, outil d’évaluation des tiers, progresse également et est désormais utilisé par près de la moitié des entreprises.
Les vecteurs d’attaque dominants restent inchangés, mais se structurent et se spécialisent. Le phishing, sous toutes ses formes, demeure le principal point d’entrée des cyberattaques significatives dans 55% des incidents.
Viennent ensuite l’exploitation de failles de sécurité (41%) et les attaques indirectes via des tiers (35%). Les attaques par déni de service distribué touchent 21% des organisations victimes et s’inscrivent de plus en plus dans des stratégies hybrides.
Parmi les vecteurs émergents, l’arnaque utilisant des technologies de deepfake reste encore minoritaire, mais illustre une évolution préoccupante des attaques d’ingénierie sociale, rendues plus crédibles par l’intelligence artificielle.
Les entreprises progressent nettement dans la maîtrise de leurs actifs numériques. 81% d’entre elles estiment disposer d’une vision complète de leurs actifs, tandis que 92% ont identifié ou sont en cours d’identification de leurs actifs critiques. Dans les environnements cloud, la proportion d’organisations déclarant une mauvaise visibilité recule à 31%.
Les solutions de détection et réponse sur les terminaux (EDR) demeurent massivement déployées et bénéficient d’un très haut niveau de confiance, avec 95% d’efficacité perçue.
L’authentification multifacteurs ( MFA) s’impose comme un standard. Les approches Zero Trust progressent également, adoptées par 31% des entreprises, tandis que 26% disposent d’un centre d’opérations de gestion des vulnérabilités. Mais des fragilités persistent, notamment dans la gestion des accès à privilèges des administrateurs et des sous-traitants, ainsi que dans la sécurisation d’environnements toujours plus hybrides.
L’utilisation par les salariés de services d’IA non approuvés, le « shadow IA », est identifiée comme le comportement numérique le plus risqué. 66% des entreprises le jugent à risque élevé ou très élevé. Plus largement, 60% considèrent l’usage massif de services cloud ou de logiciels non approuvés comme un facteur de risque important.
Si l’exploitation directe de l’IA comme vecteur d’attaque reste marginale, citée par seulement 3% des entreprises victimes, elle apparaît déjà dans des incidents significatifs. Les premiers malwares capables d’adapter leur comportement en temps réel ou de réécrire partiellement leur logique pour échapper à la détection font leur apparition.
85 % des entreprises déclarent être impactées par au moins une réglementation cyber. La directive européenne NIS2 s’impose comme le cadre le plus structurant, citée par 59% des organisations, devant DORA (32%) et le Cyber Resilience Act (30%).
En 2025, 92% des organisations positionnent le risque cyber dans leur top 5 des risques, et près de deux tiers le placent dans le top 3, dont 16% comme risque numéro un. La cybersécurité fait désormais l’objet d’un suivi régulier en comité de direction.
Sur le plan budgétaire, le baromètre note un léger infléchissement. La part des entreprises consacrant 5% ou plus de leur budget informatique à la cybersécurité recule à 42%, contre 48% l’an dernier. Cette baisse ne traduit pas un désengagement mais plutôt une phase de consolidation et d’optimisation après plusieurs années d’investissements soutenus.
Du côté des compétences, 85% des entreprises estiment que leurs collaborateurs sont sensibilisés aux risques cyber. Mais le baromètre souligne l’atteinte d’un plafond de verre en matière de sensibilisation, face à des usages numériques toujours plus complexes.
The post Cyberattaques : les entreprises françaises mieux armées mais toujours sous pression appeared first on Silicon.fr.
Une base de données massive expose 149 millions d'identifiants volés par des malwares, menaçant réseaux sociaux, finances et comptes gouvernementaux.
Cet article 149 millions d’identifiants exposés : ce que révèle la base « infostealer » est apparu en premier sur Linformatique.org.
La nouvelle a quelques mois, mais voilà qu’elle dépasse l’île de Guam : Microsoft a fourni des clés BitLocker au FBI.
Sur place, 7 individus sont inculpés de fraude organisée à l’assurance-chômage dans le cadre d’un programme fédéral instauré lors de la crise Covid.
En octobre 2025, la presse locale s’était fait l’écho d’un mandat de la justice. Le destinataire : Microsoft, qui s’y est conformé… en communiquant les clés de récupération BitLocker pour trois ordinateurs saisis 6 mois plus tôt.
Le déchiffrement semble avoir fonctionné, apprend-on désormais. En tout cas à en croire les propos rapportés d’une des avocates de la défense. Le procureur lui aurait fourni des éléments comprenant des informations issues de l’ordinateur de sa cliente et incluant des références aux clés en question.
Microsoft a confirmé avoir accédé à cette demande – et précisé qu’il en reçoit une vingtaine de ce genre par an. Son message, en substance : utilisateurs, vous êtes les mieux placés pour décider comment vous gérez vos clés BitLocker.
La sauvegarde sur les serveurs de Microsoft n’est effectivement pas la seule option… même si elle est généreusement mise en avant sur les éditions « grand public » de Windows. Il est également possible de la sauvegarder dans un fichier texte, de la créer sur un média amovible (format .bek) ou simplement de choisir de l’imprimer. En environnement d’entreprise, on peut la stocker dans Active Directory.
Cette clé – un mot de passe de 48 chiffres, répartis en 8 groupes – est le dernier étage d’un mécanisme de chiffrement en enveloppe. Elle protège une autre clé (dité « clé principale de volume ») qui en protège elle-même une autre (dite « clé de chiffrement de volume »). L’une et l’autre demeurent sur le lecteur chiffré.
Depuis Windows 11 24H2, BitLocker s’active automatiquement pour qui utilise l’expérience de paramétrage par défaut du système. Si un compte Microsoft est disponible, y sauvegarder la clé de récupération BitLocker est la première option proposée. Elle n’apparaît pas si on opte pour un compte local – ce qui est néanmoins de plus en plus difficile, en tout cas sur les éditions Famille et Pro.
Illustration générée par IA
The post Microsoft confirme avoir transmis des clés BitLocker aux forces de l’ordre appeared first on Silicon.fr.
Au-delà de la saturation, l'offensive record subie par le groupe postal révèle une stratégie d'épuisement des infrastructures de sécurité.
Cet article DDoS Record contre La Poste : analyse technique d’un siège numérique à 2,5 milliards de PPS est apparu en premier sur Linformatique.org.
La gestion des vulnérabilités est souvent perçue comme un exercice purement technique : surveiller les failles, appliquer les correctifs, réduire l’exposition.
Sur le terrain, la réalité est bien différente. Avec plus de 130 nouvelles vulnérabilités publiées chaque jour, aucune organisation ne peut raisonnablement tout suivre, tout analyser et tout corriger. Pourtant, beaucoup continuent d’essayer.
Les organisations les plus matures ne sont pas celles qui traitent le plus d’alertes, mais celles qui ont structuré une méthode claire, reproductible et mesurable. Cette maturité repose généralement sur quatre étapes clés.
La première rupture consiste à abandonner l’illusion du “tout surveiller”. Surveiller l’intégralité des vulnérabilités publiées n’est pas seulement irréaliste, c’est contre-productif. Une organisation de taille moyenne utilise typiquement plusieurs dizaines d’éditeurs et parfois plus d’une centaine de produits différents. Sans périmètre clair, la veille devient rapidement ingérable.
Les organisations matures commencent par cartographier leurs éditeurs et produits réellement critiques : applications métier centrales, systèmes exposés sur Internet, environnements traitant des données sensibles. L’objectif n’est pas l’exhaustivité, mais la pertinence. Dans la pratique, 20 % des actifs concentrent souvent 80 % du risque. C’est sur ce périmètre assumé que la veille doit être prioritairement focalisée.
Une fois le périmètre défini, encore faut-il s’informer efficacement. Les bulletins de sécurité des éditeurs restent les sources les plus fiables, complétées par les bases de données officielles comme les référentiels CVE. Mais s’appuyer uniquement sur ces bases expose à des angles morts : certaines vulnérabilités ne sont jamais cataloguées ou arrivent tardivement.
Sans filtrage ni centralisation, les équipes peuvent voir remonter des dizaines, voire des centaines d’alertes par jour, dont seule une minorité concerne réellement leur environnement. Les organisations matures cherchent donc à réduire le bruit : elles centralisent les sources, filtrent par éditeurs et produits suivis, et surtout qualifient l’information pour la rendre actionnable.
Le score CVSS reste un indicateur utile, mais insuffisant. Une vulnérabilité très sévère sur un serveur de test isolé ne présente pas le même risque qu’une faille “moins critique” sur un service exposé et stratégique. Les organisations matures complètent donc l’évaluation technique par des critères contextuels : exposition réelle, exploitabilité connue, impact métier, sensibilité des données.
Cette priorisation n’a de valeur que si elle s’accompagne d’une organisation claire. Qui est responsable de la correction ? Dans quels délais ? Que fait-on lorsqu’un correctif n’est pas applicable ? Sans réponses explicites, les alertes s’accumulent et les décisions se diluent. La mise en place d’une matrice de gestion des correctifs (traitement immédiat, rapide, planifié ou mise en veille) devient alors un langage commun entre équipes techniques, sécurité et direction.
La dernière étape distingue clairement les organisations réactives des organisations matures : la mesure. Traçabilité des décisions, délais de correction par niveau de criticité, taux de couverture des actifs critiques… Ces indicateurs transforment la gestion des vulnérabilités en levier de pilotage, et non plus en simple flux d’alertes.
Les retours d’expérience montrent qu’une veille structurée permet de réduire drastiquement le temps passé à trier l’information, souvent de plusieurs heures par jour à quelques dizaines de minutes, tout en améliorant la réactivité sur les vulnérabilités réellement critiques. À moyen terme, cette mesure gérée en continu permet d’optimiser les processus et d’anticiper les périodes de charge, plutôt que de subir l’urgence permanente.
La maturité en gestion des vulnérabilités ne repose ainsi ni sur la multiplication des outils ni sur la surveillance exhaustive. Elle repose sur des choix assumés, une priorisation contextualisée, une organisation claire et une capacité à mesurer dans le temps. Dans un contexte où le volume de vulnérabilités ne cesse d’augmenter, la capacité à décider devient aussi importante que la capacité à détecter.
* Marc Béhar est PDG Fondateur du cabinet de conseil en cybersécurité XMCO
The post { Tribune Expert } – Gestion des vulnérabilités : les 4 étapes qui distinguent les organisations matures appeared first on Silicon.fr.
« Et puis il y a eu ce post LinkedIn qui a attiré l’attention d’Octave Klaba […] »
Jérôme Masurel, président de 50 Partners, contextualise ainsi l’acquisition de SEALD par OVHcloud. L’accélérateur connaît bien cette entreprise francilienne : il avait participé, en 2018, à sa levée d’amorçage.
Depuis lors, SEALD est resté sur le même créneau : le chiffrement de bout en bout. Sa technologie se décline en logiciels bureautiques et sous forme de SDK. Elle avait obtenu le visa CSPN en décembre 2020 (trois ans de validité).
Créé en 2016, SEALD s’est d’abord appelé STASH. Ce pendant quelques semaines, le temps qu’une agence marketing française portant le même nom lui adresse une mise en demeure.
Les quatre fondateurs étaient alors dans leur vingtaine. Trois d’entre eux avaient convergé à UC Berkeley, dans le cadre d’un programme en partenariat avec l’École polytechnique. Les jalons de SEALD furent posés sur place par Timothée Rebours (32 ans aujourd’hui), qui prendrait la présidence de l’entreprise. Aux côtés de trois directeurs généraux : Mehdi Kouen (33 ans, CTO), Maxime Huber (34 ans, CPO) et Dan Lousqui (37 ans, directeur de la sécurité informatique).
Quelques semaines avant l’obtention de la CSPN, SEALD avait fait partie des finalistes du prix de l’innovation des Assises de la sécurité. Plus récemment (2023), il a figuré dans les lauréats de l’appel à projets « Suites bureautiques collaboratives cloud », en consortium avec Linagora, WaToo, Wimi et XWiki. Entre-temps, il y avait eu une alerte : une continuation d’activité malgré la perte de la moitié du capital.
La déclinaison « bureautique » de SEALD est basée sur une application desktop (Windows, Mac, Linux) qui permet de chiffrer des fichiers, d’assurer leur suivi et de contrôler les accès. La technologie couvre aussi les e-mails et leurs pièces jointes, en éventuelle conjonction avec les moteurs de DLP.
La version « bibliothèque logicielle » permet d’intégrer du chiffrement côté client dans des apps web, mobiles et de bureau. La promesse par rapport aux bibliothèques open source : supprimer les difficultés de gestion des clés, des appareils multiples, des droits d’accès sur les données, etc. Des SDK sont disponibles pour JavaScript, Android, iOS et Flutter.
Framatome y a fait appel pour sécuriser une application interne collectant des données sensibles. L’opérateur télécoms belge Proximus, pour une application de téléconsultation médicale (Doktr). Recare, pour son outil de bed management (orchestration des transferts interhospitaliers). Lovehoney Group, pour protéger une messagerie de couple basée sur CometChat. Stellantis et Lefebvre Sarrut font aussi partie des clients.
Le ticket d’entrée est à 250 €/mois pour 5000 utilisateurs protégés. Au-delà, SEALD facture un supplément dégressif par utilisateur (0,04 €jusqu’à 20 000 ; 0,03 € jusqu’à 50 000 ; 0,02 € au-delà).
« Ensemble, nous allors démocratiser [la] sécurité dans les services [collaboratifs] (et pas que…) », commente Octave Klaba.
Illustration générée par IA
The post SEALD absorbé par OVHcloud : ce qu’apporte cette acquisition appeared first on Silicon.fr.
Ceci n’est pas un concurrent du programme CVE de MITRE, mais un complément.
En façade, telle a toujours été la position du CERT luxembourgeois depuis l’annonce du projet GCVE (Global CVE Allocation System). C’était en avril 2025. On nous promettait alors le développement d’un système décentralisé : les autorités de numérotation allaient pouvoir attribuer des identifiants et gérer la divulgation sans passer par un organisme central.
Neuf mois plus tard, l’initiative, cofinancée par l’UE, a effectivement pris corps… dans une certaine mesure. Une base de vulnérabilités vient notamment d’y être adossée. Plusieurs bonnes pratiques ont par ailleurs été publiées pour assurer le fonctionnement du système. Et une vingtaine d’entités, de natures assez diverses, ont été désignées autorités de numérotation.
| Autorité | Identifiant |
| CIRCL (CERT luxembourgeois) | 1 |
| EUVD | 2 |
| Red Hat | 3 |
| Swisscom | 79 |
| VulDB | 100 |
| Ericsson | 101 |
| EAGC | 102 |
| Schutzwerk | 103 |
| AboutCode Europe | 104 |
| OPC Foundation | 105 |
| SK-CERT | 106 |
| Thales PSIRT | 107 |
| Securin | 108 |
| Concinnity Risks | 109 |
| Vulnetix | 110 |
| Mogwai Labs | 111 |
| CERT-QC | 112 |
| VulnCheck | 404 |
| DFN-CERT Services | 680 |
| Austin Hackers Anonymous | 1337 |
| Pentagrid | 2342 |
| Cisco Talos | 31337 |
Cette diversité reflète les critères d’admission : en théorie, quiconque a une politique de divulgation publique de vulnérabilités peut prétendre devenir autorité de numérotation.
L’identifiant 1 a été réservé au CIRCL, porteur du projet. Le 2, à la base EUVD (EU Vulnerability Database), opérée par l’ENISA (Agence européenne pour la sécurité). L’identifiant 0 est quant à lui dédié au mapping des CVE.
L’annuaire des autorités de numérotation est publié au format JSON. Ces dernières ont deux options pour communiquer les données sur les vulnérabilités. D’un côté, un endpoint statique fournissant un fichier. De l’autre, une API REST avec des points de terminaison recent et latest, éventuellement assortis de filtres (sources et nombre de résultats). Le projet GCVE n’impose pas de format, mais recommande de s’aligner sur CVE Record.
Les bonnes pratiques publiées concernent la vérification de l’intégrité du fichier d’annuaire, la divulgation coordonnée de vulnérabilités et l’attribution d’identifiants. Trois autres sont à l’état de brouillon. Elles abordent les formats de déclaration des vulnérabilités et le protocole de publication décentralisée.
Un outil open source sert d’implémentation de référence pour ces bonnes pratiques : vulnerability-lookup… qu’on doit aussi au CIRCL. C’est sur lui que repose la base GCVE*. L’EUVD aussi, d’ailleurs.
Pas d’opposition frontale avec MITRE, donc, mais un enjeu de résilience non dissimulé. Il s’agit à la fois d’éviter le « point de défaillance unique »… et de moins dépendre des aléas géopolitiques. En toile de fond, l’avenir un temps très incertain du programme CVE. L’an dernier, le gouvernement américain l’avait refinancé in extremis.
* Base hébergée dans les datacenters du CERT luxembourgeois.
Illustration générée par IA
The post L’Europe tient son programme CVE décentralisé appeared first on Silicon.fr.
Les 200 premiers endpoints de Action1 sont gratuits pour toujours, bon à savoir.
Le tout fonctionne en P2P pour distribuer entre les hôtes, c'est assez bien documenté: https://www.action1.com/documentation/p2p-sharing/
The post La cyber-résilience des établissements de santé appeared first on Silicon.fr.
La Commission européenne a dévoilé son projet de révision du Cybersecurity Act qui prévoit l’élimination progressive des équipements fournis par des entreprises jugées à haut risque dans les secteurs critiques.
Sans nommer explicitement de pays ou d’entreprises, ces mesures devraient principalement affecter les géants chinois des télécommunications Huawei et ZTE.
« Avec ce nouveau paquet cybersécurité, nous disposerons des moyens nécessaires pour mieux protéger nos chaînes d’approvisionnement critiques en technologies de l’information et de la communication, mais aussi pour combattre les cyberattaques de manière décisive », affirme Henna Virkkunen, la commissaire européenne chargée du numérique.
Le texte s’appliquera à dix-huit secteurs clés identifiés par la Commission, parmi lesquels les équipements de détection, les véhicules connectés et automatisés, les systèmes d’approvisionnement en électricité et en eau, les drones, les services de cloud computing, les dispositifs médicaux ou encore les semi-conducteurs.
Selon le projet, les opérateurs de téléphonie mobile disposeront de trente-six mois à compter de la publication de la liste des fournisseurs à haut risque pour retirer les composants essentiels provenant de ces entreprises. Les calendriers pour les réseaux fixes, incluant la fibre optique et les câbles sous-marins, ainsi que pour les réseaux satellitaires, seront annoncés ultérieurement.
Les restrictions ne s’appliqueront qu’après une évaluation des risques initiée soit par la Commission, soit par au moins trois pays membres. Les mesures prises devront s’appuyer sur une analyse de marché et une étude d’impact.
L’exécutif européen avait déjà adopté en 2020 une boîte à outils de mesures de sécurité pour les réseaux 5G visant à limiter l’utilisation de fournisseurs à haut risque comme Huawei, en raison de préoccupations relatives à d’éventuels sabotages ou actes d’espionnage. Toutefois, certains pays n’ont toujours pas retiré ces équipements, notamment en raison des coûts élevés que cela représente.
L’Espagne a même signé l’été dernier un contrat de douze millions € avec Huawei pour la fourniture de matériel destiné au stockage des écoutes autorisées par les tribunaux pour les services de police et de renseignement.
La Chine n’a pas tardé à réagir. Le ministère chinois des Affaires étrangères a qualifié les restrictions imposées aux entreprises chinoises sans base juridique de «protectionnisme pur et simple », exhortant l’UE à fournir un environnement commercial équitable, transparent et non discriminatoire aux sociétés chinoises.
Pékin avait déjà déclaré en novembre qu’une telle initiative violerait les principes du marché et les règles de la concurrence loyale, soulignant que le retrait d’équipements chinois dans certains pays avait entravé leur développement technologique et entraîné des pertes financières importantes.
Cette initiative s’inscrit dans un mouvement plus large de Bruxelles visant à réduire sa dépendance tant vis-à-vis de la Chine que des grandes entreprises technologiques américaines. L’Allemagne a récemment nommé une commission d’experts pour repenser sa politique commerciale envers Pékin et interdit l’utilisation de composants chinois dans les futurs réseaux 6G.
Les États-Unis ont quant à eux banni en 2022 les approbations de nouveaux équipements de télécommunications de Huawei et ZTE.
Reste que la mise en œuvre de ces restrictions pourrait s’avérer complexe. Plus de quatre-vingt-dix pour cent des panneaux solaires installés dans l’UE sont fabriqués en Chine. Certains représentants de l’industrie soulignent également le manque d’alternatives viables, les opérateurs télécoms ayant mis en garde contre l’impact potentiel sur les prix à la consommation.
Le projet de loi doit encore être approuvé par les pays membres et le Parlement européen dans les mois à venir avant de devenir contraignant. Les calendriers proposés devraient faire face à la résistance de certaines capitales européennes, les États membres étant responsables de leur propre sécurité nationale.
The post Cybersécurité : l’UE va durcir le ton face aux équipementiers chinois appeared first on Silicon.fr.
En 2024, le cabinet Gartner déclarait que les organisations devaient commencer leur transition vers l’informatique quantique car le chiffrement asymétrique ne sera plus sécurisé dès 2029 et totalement déchiffrable d’ici à 2034. C’est également dans cette optique que l’ANSSI a déclaré cette année que les solutions qui ne seraient pas résistantes face à la menace quantique ne seraient plus conformes et certifiées par l’agence.
Ces prises de position laissent entendre que l’informatique quantique sera bientôt une réalité, ouvrant d’incroyables perspectives d’innovation, de l’optimisation du trafic à l’accélération de la découverte de nouveaux médicaments. Toutefois, cette technologie ne séduit pas que des acteurs bien intentionnés. Les cybercriminels sont à l’affût, puisque les ordinateurs quantiques leur permettront de démanteler tous les systèmes de chiffrement qui protègent internet actuellement.
La majorité des chiffrements modernes dépendent d’algorithmes asymétriques pour l’échange de clés de session. Leur sécurité repose ainsi sur le fait que les ordinateurs actuels sont incapables de factoriser le produit de deux très grands nombres premiers dans un délai raisonnable.
Les plus grands ordinateurs quantiques actuels comptent 1 000 qubits et ne sont stables que pendant une à deux millisecondes. Ils ne présentent donc aucun risque contre les algorithmes les plus courants pour l’échange de clés. Cependant, un ordinateur quantique doté d’environ 20 millions de qubits physiques stables pourrait déchiffrer ces algorithmes d’échange de clés en environ huit heures, grâce aux étonnantes propriétés de la physique quantique. Et les acteurs malveillants se préparent déjà activement à profiter de ces capacités.
À l’aube de cette nouvelle menace, l’approche des cybercriminels suit une logique simple : piller un maximum de données dès aujourd’hui pour les déchiffrer demain, lorsque la technologie le leur permettra.
En effet, tout ce qui est publié sur en ligne est enregistré, et les attaquants interceptent et stockent d’ores et déjà ces informations encore impossibles à exploiter, dans l’espoir de pouvoir les déchiffrer sans effort d’ici quelques années.
Beaucoup d’experts du secteur estiment que dans six ou huit ans un ordinateur quantique suffisamment puissant et stable pour une utilisation généralisée devrait exister. Une fois que ce sera le cas, toutes les données mises de côté par les cybercriminels deviendront accessibles, ce qui pourrait avoir des conséquences dévastatrices.
La cryptographie post-quantique repose sur divers types de problèmes suffisamment complexes pour tenir tête aux capacités de ces nouvelles machines.
Une nouvelle génération d’outils de chiffrement basés sur des algorithmes quantiques sécurisés approuvés par l’Institut américain des normes et de la technologie (NIST) et par l’ANSSI et conçus pour résister aux attaques menées à l’aide d’ordinateurs quantiques se développent. Toutefois, le déploiement d’algorithmes quantiques sécurisés ne se résume pas à une simple mise à niveau des systèmes de sécurité ni à un changement réalisable en 24 h. Il est nécessaire dès aujourd’hui, pour les organisations, d’œuvrer au renforcement de la crypto-agilité.
Cette dernière désigne une capacité à changer rapidement et en toute sécurité les méthodes de chiffrement chaque fois qu’apparaissent de nouvelles menaces, et cela sans perturbation des workflows ni dépassement de budget. Fini le temps où les dirigeants se contentaient d’installer un système de protection pour ne plus y penser.
À mesure que les algorithmes de chiffrement post-quantique (PQC) existants et à venir commenceront à apparaître dans les produits, les paramètres par défaut évolueront et les menaces prendront de nouvelles formes. Si les organisations n’ont pas commencé à développer leur agilité d’ici là, la transition risque d’être rude.
Tous les directeurs techniques, DSI et autres responsables de la sécurité informatique doivent dresser au plus vite un état des lieux de leur infrastructure numérique et se poser la question : « Quels sont les systèmes chiffrés vulnérables ? » La réponse n’ira pas toujours de soi.
Il convient avant tout de se concentrer sur les données circulant hors de l’organisation. Les attaquants qui pillent des données en vue d’un déchiffrement futur ciblent en priorité les données en mouvement, circulant sur internet, entre différents services ou dans le cloud.
Les données confinées à un réseau bien défendu présentent généralement moins de risques, du moins pour l’instant. Comme les flux de données externes constituent la plus grande exposition quantique, c’est sur eux que doivent porter les efforts en priorité, que ce soit en interne ou dans les relations avec les prestataires et fournisseurs.
L’amélioration de la crypto-agilité ne doit pas se cantonner aux fichiers et dossiers. L’objectif est de préserver l’intégrité de chaque handshake de connexion, de chaque en-tête et de chaque dépendance cachée dans la pile. Tout élément touché, traversé ou habité par des données doit être passé au crible de l’imminence quantique.
Les entreprises qui misent tout sur l’IA et les données ne pourront pas faire l’impasse sur la résilience quantique. Les données ne pourront effectivement nourrir leur croissance que si elles restent durablement sécurisées, conformes et fiables. La PQC relève ainsi d’une logique de préparation au futur plutôt que d’une simple posture de défense. Son adoption montre la capacité à projeter l’activité dans un avenir reconfiguré, où il serait catastrophique de ne pas pouvoir garantir l’intégrité des données.
Heureusement, des pistes d’action sont déjà disponibles. Il y a un an, le NIST publiait sa première série de normes PQC. Le mécanisme d’encapsulation de clés basé sur un réseau de modules (ML-KEM, anciennement CRYSTALS-Kyber), norme par défaut pour l’échange de clés, remplacera les algorithmes RSA et ECC pour sécuriser le chiffrement TLS à long terme. Toutefois, la sécurité dépend également des interactions externes. Il est essentiel de collaborer avec des fournisseurs et partenaires cloud au fait des dernières normes de sécurité quantique et utilisant des algorithmes certifiés et fiables.
Afin de se préparer au mieux face à la menace quantique, les organisations doivent commencer par passer en revue leurs systèmes en recensant précisément tous les outils où le chiffrement est utilisé, en gardant à l’esprit que les vulnérabilités se trouvent souvent dans les intervalles. C’est pourquoi il est crucial d’intégrer dès aujourd’hui le principe des algorithmes quantiques sécurisés dans toutes les initiatives de sécurité.
En externe, être intransigeant avec les prestataires et fournisseurs sera primordial, en leur ne se contentant pas de leur demander s’ils envisagent des initiatives PQC mais en exigeant de savoir comment et à quelle échéance ils comptent les mettre en œuvre. Car, une fois que l’informatique quantique aura franchi le cap du potentiel pour devenir une réalité, il sera trop tard pour protéger les données déjà exposées.
*Stanley Nabet est Country Manager France chez Netskope
The post { Tribune Expert } – La crypto-agilité, le futur à envisager dès aujourd’hui appeared first on Silicon.fr.
Les années passent… et il y a encore du NTLMv1 qui traîne.
Mandiant a récemment émis un rappel à ce sujet… et l’a accompagné de rainbow tables. Il y en a pour environ 100 Go de données, sous licence CC BY 4.0, téléchargeables via la console Google Cloud ou l’outil gsutil (elles sont dans des buckets GCP).
Promesse : grâce à ces tables, récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Une méthode alternative aux attaques par force brute avec hashcat et Cie. Lesquelles sont moins efficaces à mesure que la longueur des secrets augmente.
Les rainbow tables de Mandiant semblent cibler les mots de passe de 7 caractères de longueur.
Le projet RainbowCrack – une référence dans le domaine, intégré à notamment à Kali Linux – va jusqu’à 10 avec ses propres tables. Il annonce des taux de réussite entre 96,8 % et 99,9 %.
| Plage de caractères | Nombre de caractères | Taux de réussite | Poids |
| Ascii 32 à 95 | 7 | 99,9 % | 52 Go |
| Ascii 32 à 95 | 8 | 96,8 % | 460 Go |
| Majuscules, minuscules, chiffres | 8 | 99,9 % | 127 Go |
| Majuscules, minuscules, chiffres | 9 | 96,8 % | 690 Go |
| Minuscules, chiffres | 9 | 99,9 % | 65 Go |
| Minuscules, chiffres | 10 | 96,8 % | 316 Go |
De longue date, la v1 du protocole NTLM est considérée comme insuffisamment sécurisé. Le guide de l’ANSSI sur l’administration des environnements Active Directory résume sa faiblesse : il permet d’obtenir des condensats (hashs) par simple capture du trafic réseau. Dans la pratique, les attaques forceront typiquement l’authentification depuis un objet AD à haut niveau de privilèges, comme un contrôleur de domaine.
NTLMv1 a officiellement été supprimé des OS Microsoft avec Windows 11 24H2 et Windows Server 2025. Mais il y a des restes dans certains scénarios. Entre autres lors de l’utilisation de MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) dans un environnement joint à un domaine. Solution recommandée : déployer Credential Guard… et exploiter les fonctionnalités d’audit, renforcées pour l’occasion.
L’objectif de Microsoft est de désactiver complètement le protocole à terme, pour aller vers Kerberos. Il a fallu adapter ce dernier afin de lui apporter certaines caractéristiques spécifiques de NTLM – qui ont d’ailleurs favorisé son intégration « en dur » par certaines applications. Par exemple, l’absence d’exigence de connexion réseau locale à un contrôleur de domaine. La fonctionnalité dite IAKerb a été introduite à ces fins. Elle permet l’authentification sur un contrôleur de domaine via un serveur mandataire.
Illustration générée par IA
The post Face à la persistance de NTLMv1, Mandiant publie ses rainbow tables appeared first on Silicon.fr.
L’année 2026 débute sur une note préoccupante pour la cybersécurité des administrations françaises. L’Urssaf a révélé qu’une cyberattaque, ciblant spécifiquement l’interface de programmation (API) du service de déclaration préalable à l’embauche (DPAE) a permis la consultation et l’extraction des données personnelles de 12 millions de salariés français.
Que sait-on de la méthode utilisée ? « Les premières investigations révèlent que l’accès frauduleux à l’API DPAE a été opéré via un compte partenaire habilité à consulter ces informations. Les identifiants de connexion liés à ce compte avaient été volés lors d’un acte de cyber malveillance antérieur visant ce partenaire. » indique l’Urssaf en précisant que ses systèmes d’information n’ont pas été compromis.
Les informations compromises incluent les noms, prénoms, dates de naissance, dates d’embauche ainsi que le numéro SIRET de l’employeur. Toutefois, l’Urssaf tente de rassurer les personnes concernées en précisant que les données les plus sensibles sont restées sécurisées : aucun numéro de Sécurité sociale, coordonnée bancaire, adresse postale, email ou numéro de téléphone n’a été exposé.
Malgré cette limitation apparente, les experts en cybersécurité soulignent que ces informations, même partielles, peuvent servir de base à des campagnes d’hameçonnage (phishing) sophistiquées ou être combinées avec d’autres fuites de données pour faciliter des usurpations d’identité.
La déclaration préalable à l’embauche est une formalité obligatoire que tout employeur doit effectuer dans les huit jours précédant l’embauche d’un salarié relevant du régime général de la Sécurité sociale. Cette déclaration regroupe plusieurs formalités administratives essentielles : demande d’immatriculation de l’employeur, affiliation au régime d’assurance chômage, adhésion à un service de santé au travail, et organisation de la visite d’information et de prévention.
Les employeurs ayant effectué plus de 50 déclarations d’embauche au cours de l’année civile précédente sont obligés de réaliser leurs DPAE en ligne, soit via le portail urssaf.fr, soit via net-entreprises.fr, soit en utilisant l’API DPAE. C’est précisément cette dernière option qui a constitué le vecteur d’attaque exploité par les cybercriminels.
Face à cet incident, l’URSSAF a réagi rapidement en suspendant les accès du compte compromis et en renforçant les habilitations de ses partenaires. L’organisme a également déposé une notification auprès de la Commission nationale de l’informatique et des libertés (CNIL), conformément aux obligations légales en matière de protection des données personnelles, ainsi qu’une plainte auprès du procureur de la République.
L’URSSAF assure que les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement, et que les mesures de sécurité ont été renforcées pour éviter qu’un tel incident ne se reproduise.
L’URSSAF exhorte les salariés concernés à une extrême prudence face aux tentatives d’hameçonnage. L’organisme rappelle les règles fondamentales de sécurité : ne jamais divulguer ses mots de passe ou informations bancaires par téléphone ou courriel, même si la demande semble provenir d’un organisme officiel.
Les données volées peuvent en effet permettre aux cybercriminels de mener des campagnes de phishing ultra-ciblées, en se faisant passer pour l’Urssaf ou d’autres administrations avec des informations réelles sur leurs victimes, rendant les tentatives d’escroquerie d’autant plus crédibles.
Ce piratage survient dans un contexte de cybermenace accrue contre les acteurs publics français. La semaine dernière, la plateforme Hubee, opérée par la Direction interministérielle du numérique (DINUM) pour l’échange de documents administratifs, a été piratée, exposant 70 000 dossiers représentant 160 000 documents contenant des données personnelles.
La fin de l’année 2025 avait déjà été marquée par le piratage du ministère de l’Intérieur et celui des Sports. Par ailleurs, en novembre 2025, le service Pajemploi de l’Urssaf avait subi un vol de données affectant 1,2 million de salariés de particuliers employeursd’ assistants maternels et de gardes d’enfants à domicile, compromettant des informations telles que les noms, prénoms, dates et lieux de naissance, adresses postales et numéros de Sécurité sociale.
Ces incidents successifs révèlent la vulnérabilité persistante des systèmes d’information des administrations françaises face aux cyberattaques et soulignent l’urgence de renforcer la cybersécurité des services publics numériques.
| Que faire si vous êtes concernés ? |
|---|
|
The post Piratage de l’Urssaf : 12 millions de salariés exposés via l’API DPAE appeared first on Silicon.fr.
Connexion