Bouygues: 6,4M clients exposés 📱, Dell backdoors 🖥️, Air France-KLM: fuite CRM ✈️

A la une aujourd’hui:

  • Des millions de PC Dell vulnérables aux Attaques « ReVault »
  • Bouygues Telecom : 6,4 millions de clients touchés par une fuite de données
  • SonicWall écarte un zero‑day SSLVPN — les attaques exploitent CVE‑2024‑40766
  • L’IA au service de la cybersécurité : DARPA récompense les systèmes autonomes de détection de vulnérabilités
  • KLM et Air France : fuite de données clients attribuée à ShinyHunters

Des millions de PC Dell vulnérables aux Attaques « ReVault »

Points Clés :

  • Des failles de firmware affectent plus de 100 modèles d’ordinateurs Dell équipés de puces Broadcom
  • Les vulnérabilités permettent d’installer des backdoors persistantes, même après réinstallation de Windows
  • Les attaquants peuvent exploiter ces failles avec un accès non-administratif ou un accès physique à l’appareil

Description :

Des chercheurs de Cisco Talos ont découvert plusieurs vulnérabilités critiques dans le firmware ControlVault3 et ControlVault3+ de Dell, des composants de sécurité stockant mots de passe et données biométriques. Ces failles permettent à des attaquants d’obtenir un accès persistant aux systèmes, de contourner l’authentification par empreinte digitale et de créer des backdoors indétectables.

Pourquoi c’est important :

Cette découverte révèle une nouvelle couche de risque dans la sécurité des ordinateurs portables DELL. Les appareils concernés sont largement utilisés dans les administrations et l’industrie de la cybersécurité, ce qui en fait des cibles particulièrement sensibles. Dell a commencé à déployer des correctifs depuis mars 2025, mais la mise à jour complète des flottes d’ordinateurs représente un défi majeur pour les organisations.

Bouygues Telecom : 6,4 millions de clients touchés par une fuite de données

Points Clés :

  • Bouygues confirme une cyberattaque ayant compromis 6,4 millions de comptes client.
  • Données volées : coordonnées, statut civil ou informations d’entreprise, données contractuelles et IBAN.
  • Incident signalé à la CNIL, survenant après l’attaque contre Orange et soulevant des questions de transparence.

Description :

Bouygues Telecom annonce avoir été victime d’une cyberattaque détectée le 4 août, qui a permis l’accès aux informations de 6,4 millions de comptes clients. Les données exposées comprennent coordonnées, statut civil ou données d’entreprise, éléments contractuels et IBAN. L’opérateur, qui compte environ 26,9 millions d’abonnés mobiles, a déclaré l’incident à la CNIL. Sa page d’information contenait par ailleurs une balise « noindex », rendant l’accès à celle-ci difficile.

Pourquoi c’est important :

L’exfiltration d’IBAN et d’informations personnelles augmente fortement les risques de fraude financière, d’hameçonnage et d’usurpation d’identité pour des millions de clients. Le signalement à la CNIL ouvre la voie à des enquêtes réglementaires et potentielles sanctions, tandis que l’incident, proche de l’attaque contre Orange, met en lumière des vulnérabilités sectorielles et l’importance d’une réaction rapide et transparente des opérateurs.

SonicWall écarte un zero‑day SSLVPN — les attaques exploitent CVE‑2024‑40766

Points Clés :

  • Les attaques Akira ciblent la vulnérabilité connue CVE‑2024‑40766, pas un zero‑day.
  • Beaucoup d’incidents liés à des migrations Gen6→Gen7 où les mots de passe locaux ont été conservés.
  • SonicWall recommande mise à jour vers 7.3.0+, réinitialisation des mots de passe, désactivation temporaire du SSLVPN et surveillance accrue.

Description :

SonicWall indique que la récente vague d’attaques SSLVPN attribuée à Akira exploite la vulnérabilité CVE‑2024‑40766, corrigée en août 2024, et non un zero‑day. Les compromissions sont souvent associées à des migrations de Gen6 vers Gen7 où les mots de passe locaux n’ont pas été réinitialisés. Le fournisseur conseille de mettre à jour les firmwares (≥7.3.0), de réinitialiser les comptes locaux, de limiter l’accès et de désactiver temporairement le SSLVPN.

Pourquoi c’est important :

La confirmation qu’il s’agit d’une faille connue souligne l’importance cruciale des correctifs, des procédures de migration et de la gestion des mots de passe. Les attaquants réutilisent des vulnérabilités documentées et profitent d’erreurs opérationnelles, pas seulement de nouveaux exploits. Les entreprises doivent appliquer les mises à jour, renforcer MFA, vérifier les journaux et suivre les recommandations du fournisseur pour réduire le risque d’intrusion.

L’IA au service de la cybersécurité : DARPA récompense les systèmes autonomes de détection de vulnérabilités

Points Clés :

  • Le concours AI Cyber Challenge de la DARPA s’est conclu avec 8,5 millions de dollars de récompenses pour trois équipes
  • Les modèles d’IA ont découvert 77% des vulnérabilités présentées et corrigé 61% des défauts en 45 minutes en moyenne
  • 18 vulnérabilités zero-day réelles ont été identifiées, dont 11 automatiquement corrigées dans les bases de code Java

Description :

Le Pentagone a conclu sa compétition de deux ans visant à développer des systèmes cyber utilisant des modèles de langage pour trouver et corriger automatiquement les vulnérabilités dans les logiciels open-source. Les modèles gagnants ont démontré leur capacité à identifier et corriger rapidement des failles de sécurité, offrant une solution potentielle au problème persistant des vulnérabilités non corrigées.

Pourquoi c’est important :

Face à l’immensité des infrastructures numériques vulnérables, l’échelle du problème dépasse les capacités humaines. Dans certains secteurs comme la santé, la correction d’une vulnérabilité peut prendre jusqu’à 491 jours. Ces technologies d’IA représentent un espoir pour sécuriser automatiquement les réseaux critiques et réduire considérablement le temps nécessaire pour identifier et corriger les failles avant qu’elles ne soient exploitées.

KLM et Air France : fuite de données clients attribuée à ShinyHunters

Points Clés :

  • Les compagnies ont détecté un accès non autorisé à une plateforme externe de service client, possiblement un CRM.
  • Les attaques ressemblent aux campagnes de ShinyHunters utilisant la vishing et un Data Loader modifié pour exfiltrer des données Salesforce.
  • Air France‑KLM affirme que ses systèmes internes et données sensibles (mots de passe, cartes, passeports) n’ont pas été compromis ; les clients sont informés.

Description :

Air France‑KLM a découvert une activité inhabituelle sur une plateforme externe de service client et a stoppé l’accès non autorisé. L’incident présente les caractéristiques des attaques menées par ShinyHunters, qui ciblent des instances CRM (notamment Salesforce) via ingénierie sociale et vishing pour exfiltrer des contacts. Les compagnies indiquent que les systèmes internes et informations sensibles n’ont pas été atteints, mais n’ont pas précisé l’étendue exacte des données exposées. Les clients sont invités à la vigilance.

Pourquoi c’est important :

Cet incident illustre la menace croissante de l’ingénierie sociale contre des tiers hébergeant des données clients : même sans brèche des systèmes internes, l’exfiltration de contacts peut faciliter phishing ciblé, fraudes et extorsions. Pour les entreprises et leurs clients, cela souligne l’urgence d’appliquer : MFA, principe du moindre privilège, et de contrôler strictement les applications connectées aux CRM. La répétition de ces attaques montre aussi la nécessité d’une surveillance et d’une réponse rapide aux compromis de fournisseurs.