Aeroflot: vols paralysés ✈️, Allianz: données clients volées 🔐, Naval Group: fuite 1To 🚢

A la une aujourd’hui:

  • Cyberattaque contre Aeroflot : le ciel russe paralysé par des hackers pro-ukrainiens
  • Allianz Life : Une attaque d’ingénierie sociale compromet les données de la majorité des clients
  • Naval Group, le géant français de la défense navale, enquête sur une fuite massive de données
  • Fuite de données massive pour l’application Tea : des milliers de pièces d’identité exposées publiquement
  • Scattered Spider : Une menace sophistiquée cible les infrastructures critiques américaines

Cyberattaque contre Aeroflot : le ciel russe paralysé par des hackers pro-ukrainiens

Points Clés :

  • La compagnie aérienne russe Aeroflot a été victime d’une cyberattaque majeure, forçant l’annulation de plus de 60 vols
  • Le groupe de hackers pro-ukrainien Silent Crow revendique avoir pris le contrôle des systèmes critiques et détruit des infrastructures
  • Les attaquants affirment avoir accès aux données personnelles de tous les passagers ayant voyagé avec Aeroflot

Description :

Une cyberattaque a paralysé Aeroflot, la plus grande compagnie aérienne russe, entraînant l’annulation de nombreux vols. Le groupe de hackers Silent Crow, soutenu par des hackers biélorusses, a revendiqué l’attaque en représailles à la guerre en Ukraine. Les assaillants affirment avoir compromis les systèmes critiques, volé des téraoctets de données internes et détruit délibérément l’infrastructure informatique de la compagnie.

Pourquoi c’est important :

Cette attaque illustre l’intensification de la cyberguerre parallèle au conflit ukrainien, ciblant désormais des infrastructures critiques avec des impacts directs sur la population civile. L’incident souligne la vulnérabilité des systèmes de transport et la capacité croissante des groupes hacktivistes à perturber des services essentiels. Les conséquences économiques et logistiques pour la Russie pourraient être considérables si les systèmes ne sont pas rapidement restaurés.

Allianz Life confirme une fuite de données affectant la majorité de ses 1,4 million de clients

Points Clés :

  • Un acteur malveillant a accédé à un système CRM tiers d’Allianz Life via une technique d’ingénierie sociale
  • Les données personnelles de la majorité des 1,4 million de clients et de certains employés ont été compromises
  • Cette attaque s’inscrit dans une tendance plus large ciblant le secteur des assurances

Description :

Allianz Life, filiale américaine de la société allemande Allianz, spécialisée dans l’assurance-vie, a révélé qu’un pirate informatique a obtenu accès à un système CRM tiers le 16 juillet, compromettant les informations personnelles de la majorité de ses 1,4 million de clients et de certains employés. L’incident, découvert un jour plus tard, a été signalé au FBI. L’entreprise prévoit de commencer à notifier les personnes touchées.

Pourquoi c’est important :

Cette violation s’ajoute à une série d’attaques récentes contre le secteur des assurances, comme avait averti Google Mandiant sur des menaces d’ingénierie sociale réalisées par le groupe ShinyHunters, connu pour notamment cibler spécifiquement les CRM comme Salesforce. L’incident souligne la vulnérabilité des entreprises face aux techniques d’ingénierie sociale sophistiquées, même lorsque les données sont hébergées chez des tiers.

Points Clés :

  • Le groupe de défense français enquête sur une cyberattaque présumée après le post sur un forum de hacker d’une potentielle fuite de données de plus de 1 To
  • Naval Group qualifie l’incident de ‘tentative de déstabilisation’ et affirme qu’aucune intrusion n’a été détectée dans ses systèmes
  • Les données divulguées pourraient contenir des informations classifiées sur des navires militaires et des documents techniques sensibles

Description :

Après les menaces du cybercriminel ‘Neferpitou‘ ayant posté le 23 juillet 2025 sur un forum du dark web avec un échantillon de 13Go de données, Naval Group fait face à 30 Go de données supplémentaires publiées sur le forum. L’industriel français confirme l’authenticité des documents divulgués tout en précisant qu’aucun ne porte la classification « secret défense ».

L’entreprise oriente son analyse vers une attaque réputationnelle plutôt qu’une cyberattaque traditionnelle, s’inscrivant dans un « contexte international, commercial et informationnel » tendu. Aucune demande de rançon n’a été formulée, le hacker souhaitant uniquement être contacté directement par Naval Group. L’enquête technique menée avec les autorités françaises se poursuit sans échéance définie, tandis que le cybercriminel annonce conserver « l’infrastructure principale du CMS à des fins de rétro-ingénierie ».

Pourquoi c’est important :

Cette affaire illustre l’évolution des menaces cyber vers des attaques réputationnelles visant la base industrielle et technologique de défense française. Bien qu’aucun document classifié n’ait été exposé selon Naval Group, l’incident révèle la vulnérabilité des géants de la défense face aux campagnes de déstabilisation. L’affaire souligne également l’importance croissante des menaces réputationnelles, qui représentaient 6% des atteintes à la BITD (Base Industrielle et Technologique de Défense) en 2024 selon la DRSD, et questionne sur les nouvelles stratégies d’influence hostile dans un contexte géopolitique tendu.

Fuite de données massive pour l’application Tea : des milliers de pièces d’identité exposées publiquement

Points Clés :

  • Des cybercriminels ont fait fuiter des milliers de scans de permis de conduire provenant de l’application « Tea »
  • Environ 72 000 images ont été compromises, dont 13 000 selfies avec pièces d’identité
  • Les données étaient stockées dans un bucket Firebase public sans authentification requise

Description :

L’application Tea, conçue pour permettre aux femmes de vérifier les antécédents des hommes qu’elles fréquentent, a subi une violation de données majeure. Des pirates ont accédé à un système de stockage hérité contenant des informations d’utilisateurs antérieures à février 2024. Malgré la promesse de l’entreprise de supprimer les images après vérification, ces données sensibles ont été exposées et partagées sur des forums cybercriminels et 4chan.

Pourquoi c’est important :

Cette fuite soulève de graves préoccupations concernant la sécurité des données personnelles. Les données volées, notamment des pièces d’identité officielles, exposent les utilisatrices à des risques d’usurpation d’identité et de harcèlement (doxxing). L’incident met en lumière les dangers des pratiques de stockage de données négligentes et l’importance cruciale de la sécurisation des informations personnelles, particulièrement pour les applications traitant des données sensibles.

Scattered Spider : Une menace sophistiquée cible les infrastructures critiques américaines

Points Clés :

  • Le groupe cybercriminel Scattered Spider cible les hyperviseurs VMware ESXi dans les secteurs du commerce, des compagnies aériennes et des transports en Amérique du Nord
  • Les attaquants utilisent l’ingénierie sociale avancée pour obtenir un accès initial en contournant le MFA, puis pivotent vers l’environnement VMware vSphere pour déployer des ransomwares
  • Google recommande une stratégie défensive proactive centrée sur l’infrastructure plutôt que sur la détection traditionnelle des menaces

Description :

Le groupe cybercriminel Scattered Spider mène des attaques sophistiquées contre les hyperviseurs VMware ESXi dans les infrastructures critiques américaines. Plutôt que d’exploiter des vulnérabilités logicielles, ces acteurs utilisent l’ingénierie sociale pour contourner les programmes de sécurité, puis déploient des ransomwares directement depuis l’hyperviseur, contournant ainsi les outils de sécurité traditionnels. Google Mandiant détaille leur mode opératoire en cinq phases :

  1. compromission initiale,
  2. reconnaissance et escalade,
  3. latéralisation sur vCenter et compromission du control plane,
  4. vol et exfiltration d’informations d’identification hors ligne, sabotage de la sauvegarde et des mesures de sécurité,
  5. exécution du rançongiciel et chiffrement des données.

Pourquoi c’est important :

Cette menace représente un risque particulièrement grave en raison de sa capacité à paralyser rapidement l’infrastructure virtualisée complète d’une organisation. La vitesse d’exécution est alarmante – de l’accès initial au déploiement du ransomware en quelques heures seulement. Avec VMware vSphere 7 atteignant sa fin de vie en octobre 2025, les organisations doivent repenser leur architecture de sécurité pour se protéger contre ces attaques ciblées qui peuvent entraîner des perturbations opérationnelles et des pertes financières importantes.