Bonjour et bienvenue dans cette édition du dimanche 6 avril !
Sommaire :
- Trump destitue le chef de la NSA et du Cyber Command, alimentant les craintes de sécurité
- Faille Critique d’Ivanti Connect Secure Activement Exploitée par des Hackers Chinois
- PoisonSeed : Une Campagne de Phishing Qui Compromet les Portefeuilles Crypto via des Phrases Secrètes
- Vague d’attaques par bourrage d’identifiants contre les fonds de pension australiens
- Hornetsecurity poursuit sa conquête française avec l’acquisition d’Altospam
Trump destitue le chef de la NSA et du Cyber Command, alimentant les craintes de sécurité
Points Clés :
- Le président Trump a destitué le général Timothy Haugh, directeur de la NSA et chef du US Cyber Command
- Ces licenciements font partie d’une purge plus large incluant plusieurs membres du Conseil de sécurité nationale
- Des responsables avertissent que ces changements affaiblissent considérablement les défenses cybernétiques nationales
Description :
Le président Trump a brusquement destitué le général Timothy Haugh, directeur de la NSA et chef du US Cyber Command, ainsi que sa adjointe civile Wendy Noble. Cette décision intervient après une rencontre avec Laura Loomer, théoricienne du complot d’extrême droite, qui a affirmé que Haugh était « déloyal » envers Trump. Ces licenciements s’inscrivent dans une série de purges touchant les responsables de la cybersécurité fédérale.
Pourquoi c’est important :
Ces licenciements interviennent à un moment critique où les États-Unis font face à des menaces cyber sans précédent. Des experts et législateurs avertissent que ces changements, combinés aux réductions budgétaires et au retrait de ressources, affaiblissent dangereusement la posture c américaine. Comme l’a souligné un ancien responsable de la défense, « nos adversaires observent ce chaos de très près », laissant potentiellement le pays vulnérable aux attaques de la Russie ou de la Chine.
Faille Critique d’Ivanti Connect Secure exploitée par des hackers chinois
Points Clés :
- Une vulnérabilité critique (CVE-2025-22457) dans les produits Ivanti est exploitée depuis mi-mars 2025
- Le groupe UNC5221, soupçonné d’être soutenu par l’État chinois, utilise cette faille pour déployer des malwares
- Des correctifs sont disponibles pour Ivanti Connect Secure, mais d’autres produits devront attendre jusqu’à fin avril
Description :
Ivanti a révélé une vulnérabilité critique de type buffer overflow (CVE-2025-22457) affectant ses produits Connect Secure, Pulse Connect Secure, Policy Secure et ZTA Gateways. Cette faille, avec un score CVSS de 9.0, permet à un attaquant distant non authentifié d’exécuter du code arbitraire. L’exploitation active a commencé mi-mars 2025, bien avant la divulgation publique du 3 avril.
Pourquoi c’est important :
Cette vulnérabilité représente une menace sérieuse pour les infrastructures critiques, avec 66% des serveurs Ivanti/Pulse Connect Secure exposés restant vulnérables. L’implication du groupe UNC5221, lié à la Chine, souligne les enjeux géopolitiques de ces attaques visant l’espionnage. L’incident marque la 15ème apparition d’Ivanti dans le catalogue des vulnérabilités exploitées de la CISA depuis 2024, signalant des défis de sécurité pour ces dispositifs réseau critiques.
PoisonSeed : Une Campagne de Phishing Qui Compromet les Portefeuilles Crypto via des Phrases Secrètes
Points Clés :
- La campagne « PoisonSeed » compromet des comptes marketing d’entreprises pour distribuer des phrases secrètes de portefeuilles crypto
- Les attaquants ciblent principalement Coinbase et Ledger via des plateformes d’emailing légitimes comme Mailchimp et SendGrid
- Les victimes sont incitées à utiliser des phrases secrètes prégénérées, donnant ainsi le contrôle de leurs portefeuilles aux pirates
Description :
Une vaste campagne de phishing nommée « PoisonSeed » compromet des comptes de marketing par email pour envoyer des phrases secrètes de portefeuilles crypto frauduleuses. Les attaquants ciblent d’abord des employés ayant accès aux plateformes d’emailing, volent leurs identifiants, puis utilisent ces comptes légitimes pour envoyer des emails de phishing. Ces mails de phishing incitent les victimes à utiliser des phrases secrètes prégénérées lors de supposées migrations de portefeuille crypto.
Pourquoi c’est important :
Cette attaque sophistiquée représente une menace sérieuse pour les détenteurs de crypto, car elle exploite la confiance dans des communications provenant de sources légitimes. En utilisant des comptes d’emailing compromis de marques reconnues, les attaquants contournent les filtres anti-spam traditionnels. Ce cas rappelle l’importance cruciale de ne jamais utiliser des phrases secrètes fournies par des tiers et de vérifier indépendamment toute demande urgente concernant des actifs financiers.
Vague d’attaques par « credential stuffing » contre les fonds de pension australiens
Points Clés :
- Plus de 20 000 comptes de retraite australiens ont été compromis lors d’attaques massives par bourrage d’identifiants
- AustralianSuper confirme que 600 comptes ont été piratés via des identifiants volés
- Plusieurs grands fonds de pension, dont Hostplus et REST, ont été touchés par cette campagne
Description :
Une vague massive d’attaques de « credential stuffing » a frappé plusieurs grands fonds de retraite australiens ce weekend, compromettant des milliers de comptes.
Le credential stuffing est une cyberattaque où des pirates utilisent automatiquement des identifiants (emails/mots de passe) déjà volés lors de précédentes fuites de données pour tenter d’accéder à d’autres comptes
L’Association des Fonds de Superannuation d’Australie (ASFA) a confirmé l’incident, précisant que si la majorité des tentatives ont été repoussées, de nombreux membres ont été affectés, certains ayant potentiellement perdu une partie de leurs économies.
Pourquoi c’est important :
Cette attaque coordonnée contre le secteur des retraites australien révèle la vulnérabilité des institutions financières face aux techniques de « credential stuffing », où les cybercriminels utilisent des identifiants volés pour accéder automatiquement aux comptes. L’incident souligne l’importance cruciale d’utiliser des mots de passe uniques et robustes pour chaque service en ligne.
Hornetsecurity poursuit sa conquête française avec l’acquisition d’Altospam
Points Clés :
- Hornetsecurity annonce l’acquisition du français Altospam, spécialiste de la sécurisation des emails
- Cette acquisition, qui suit celle de Vade en 2024, reste soumise à l’approbation du Ministère Français de l’Économie
- Altospam (Oktey) a réalisé un chiffre d’affaires de 2,28 millions d’euros en 2023
Description :
Le groupe allemand Hornetsecurity continue sa stratégie d’expansion avec l’acquisition d’Altospam, société toulousaine fondée en 2002 par Stephane Mahnes. Spécialisée dans la sécurisation des emails, Altospam propose notamment Mailsafe, un logiciel SaaS de protection des boîtes mail, ainsi que des outils de filtrage et des formations anti-phishing.
Pourquoi c’est important :
Cette acquisition s’inscrit dans l’ambition de Hornetsecurity de devenir un acteur majeur de la cybersécurité en Europe. Le groupe allemand, qui revendique plus de 125 000 clients dans 120 pays, poursuit sa stratégie de croissance externe en ciblant des entreprises spécialisées dans la sécurisation des emails. Cette consolidation du marché européen de la cybersécurité reflète l’importance croissante de la protection des communications numériques.
Ton avis est précieux pour améliorer les futures éditions. En bas de cette newsletter, utilisez les boutons « Contenu apprécié » pour les sujets qui vous intéressent, « Contenu à éviter » pour ceux moins pertinents pour vous, ou « Commentaire » pour partager ton analyse sur l’un des articles.
Si vous avez trouvé cette newsletter pertinente, n’hésitez pas à la transférer à vos collègues et partenaires.
Quel article vous a semblé le plus intéressant ? Partagez votre avis en répondant simplement à ce mail, vos retours nous aident à affiner notre veille.