La National Highway Traffic Safety Administration (NHTSA) a lancé une nouvelle enquête sur Tesla. Cette fois, l'autorité de régulation américaine examine le fonctionnement du logiciel de conduite entièrement autonome (FSD) qui, selon de nombreux rapports, ne respecte pas le code de la route, notamment lors du grillage des feux rouges et des changements de voie. L'enquête, désignée PE25012, est menée par l'Office of Defect Investigation (ODI), qui surveille le comportement des systèmes d'assistance à la conduite de Tesla depuis plusieurs années. L'enquête est préliminaire, mais elle couvre déjà des centaines de milliers de véhicules équipés du système FSD, en version supervisée et en version test. Cette nouvelle inspection intervient quelques semaines seulement après une autre enquête sur des problèmes liés aux poignées de porte électroniques. Dans plusieurs cas signalés, des enfants se sont retrouvés coincés dans des véhicules car le système d'ouverture des portes ne répondait plus. Les propriétaires ont dû briser les vitres pour faire sortir les passagers. Tesla a admis travailler à une refonte du composant défectueux. Dans un cas impliquant le Cybertruck, une action en justice est même envisagée après le décès d'adolescents incapables de s'échapper d'un véhicule en feu . La NHTSA examine actuellement si le fonctionnement du logiciel FSD présente un risque pour la sécurité publique. L'agence note que Tesla commercialise ce système comme une technologie de niveau 2 selon la classification de la Society of Automotive Engineers (SAE). Cela signifie que le conducteur doit garder le contrôle total de son véhicule à tout moment et demeure responsable de son comportement.

L'ODI a recensé dix-huit plaintes d'utilisateurs et un reportage dans les médias concernant des Tesla dont le système de freinage d'urgence (FSD) était activé et qui ne s'arrêtaient pas aux feux rouges. Dans certains cas, le conducteur n'a reçu aucun avertissement avant de franchir l'intersection. L'agence a également recensé six incidents au cours desquels des véhicules Tesla équipés du système FSD ont grillé des feux rouges et provoqué des collisions. Quatre de ces incidents ont fait des blessés. Dans plusieurs cas, la voiture s'est immobilisée correctement, puis a poursuivi sa route d'elle-même malgré le feu rouge allumé. La collaboration de l'ODI avec les autorités locales du Maryland a révélé que le problème pourrait être récurrent. À une intersection de Joppa, dans le Maryland, plusieurs incidents identiques ont été signalés, suggérant une erreur systémique plutôt qu'un incident isolé.

Une autre partie de l'enquête porte sur les situations où des véhicules avec le système FSD activé ont dévié vers la circulation en sens inverse, ont franchi des lignes continues doubles ou ont tourné sur la mauvaise route. Les signalements incluent également des cas où le système est entré dans une intersection directement depuis une voie réservée aux virages ou a effectué un virage depuis une voie en ligne droite. Certains conducteurs ont signalé que le système FSD changeait de voie sans avertissement préalable, ce qui pouvait entraîner des situations dangereuses en ville. L'ODI a annoncé que l'enquête porterait également sur d'autres scénarios, notamment le comportement du système lors de la conduite à proximité de voies ferrées ou de manœuvres sur des routes locales étroites.

L'enquête porte sur la quasi-totalité de la gamme Tesla. La NHTSA enquête sur les modèles Model 3 (2017-2026), Model S (2016-2025), Model X (2016-2025), Model Y (2020-2026) et Model Cybertruck (2023-2026). Tous ces véhicules pourraient être équipés du logiciel FSD, dont l'utilisation est limitée et réglementée aux États-Unis. L'agence n'a pas précisé quand elle terminerait son analyse ni si elle était en discussion avec des représentants de Tesla. Si les erreurs sont confirmées, l'enquête pourrait être élargie à un niveau formel, ce qui pourrait aboutir à demander au fabricant d'apporter des modifications logicielles ou de procéder à un rappel.

Apple a annoncé le retrait d'ICEBlock et de programmes similaires de son App Store. Cette décision fait suite à un contact avec l'administration du président Donald Trump, qui a exprimé des inquiétudes quant à la sécurité des agents fédéraux. ICEBlock était l'application la plus populaire pour alerter les utilisateurs de la présence d'agents de l'Immigration and Customs Enforcement (ICE) dans leur région. L'agence est un élément clé de la politique d'immigration radicale de Trump, effectuant régulièrement des perquisitions et arrêtant des migrants (et les renvoyant finalement dans leur pays d'origine). Apple a déclaré dans un communiqué officiel que cette décision avait été prise sur la base d'informations provenant des forces de l'ordre concernant les risques de sécurité associés à l'application. L'entreprise a supprimé ICEBlock et d'autres applications similaires de sa boutique.

La procureure générale Pam Bondi a déclaré que le ministère de la Justice avait contacté Apple jeudi, et que l'entreprise avait immédiatement obtempéré. « ICEBlock a été conçu pour mettre en danger les agents de l'ICE dans l'exercice de leurs fonctions, et la violence contre les forces de l'ordre est inacceptable », a déclaré Mme Bondi à Fox Business. Depuis l’arrivée au pouvoir de Trump, l’ICE a mené de nombreuses opérations dans des installations hébergeant des immigrants vivant illégalement aux États-Unis. L’agence a également arrêté des titulaires de visa et des résidents permanents ciblés par l’administration pour leurs activités pro-palestiniennes. Les défenseurs des droits de l'homme s'inquiètent des violations fréquentes des droits à la liberté d'expression et à une procédure régulière dans le cadre de la campagne d'expulsions menée par le gouvernement. La décision d'Apple illustre les efforts déployés par les entreprises technologiques pour établir de bonnes relations avec l'administration Trump durant son second mandat.

Selon le Financial Times, le gouvernement britannique a de nouveau demandé à Apple de créer un mécanisme permettant d'accéder aux données chiffrées sur iCloud. En septembre, le ministère de l'Intérieur britannique aurait commandé à Apple un système permettant aux autorités de consulter les sauvegardes des citoyens stockées dans le cloud. Julien Trosdorf, porte-parole d'Apple, n'a pas confirmé la nouvelle injonction, mais a souligné la déception de l'entreprise de ne pas pouvoir proposer la Protection avancée des données aux utilisateurs britanniques. Cette solution permet un chiffrement complet des données iCloud sans même qu'Apple ne dispose de la clé d'accès. Ce n'est pas la première fois que Londres cherche à accéder à iCloud. En janvier dernier, le gouvernement a envoyé à Apple un « avis d'opportunité technique » obligeant l'entreprise à bloquer l'activation de la Protection avancée des données au Royaume-Uni. Initialement, cette fonctionnalité a été désactivée pour les nouveaux comptes, puis pour les utilisateurs qui l'avaient déjà activée.

Les défenseurs de la vie privée avertissent que toute concession d'Apple pourrait créer un précédent et ouvrir la voie à une intrusion massive dans les données privées des utilisateurs du monde entier. L'entreprise affirme depuis des années qu'elle ne créera pas de porte dérobée ni de clé universelle pour accéder aux données chiffrées. Selon certaines sources, Apple a contesté cette décision devant un tribunal britannique, qui a jugé que le processus ne devait pas être entièrement classifié. La précédente tentative du gouvernement s'était soldée par le retrait de la demande après des négociations avec l'administration américaine. Cependant, la situation actuelle montre que le sujet reste ouvert et pourrait devenir un nouveau point de friction dans le débat mondial sur les limites de la surveillance.

Les passagers de plusieurs des plus grands aéroports européens ont subi d'importantes perturbations de leurs déplacements le week-end dernier. Une cyberattaque contre Collins Aerospace a provoqué le crash du système d'enregistrement cloud cMUSE, un outil essentiel pour les passagers dans de nombreux aéroports internationaux. La plateforme cMUSE (Common Use Passenger Processing System) permet aux compagnies aériennes de partager leurs infrastructures : comptoirs d'enregistrement, bornes libre-service et portes d'embarquement. C'est une solution flexible et évolutive, mais, comme l'a démontré la panne de samedi, elle est aussi dangereusement centralisée. Au moment de l'attaque, le système a complètement cessé de fonctionner et les aéroports ont été contraints de passer à des procédures manuelles. L'impact a été immédiat : l'aéroport de Bruxelles (Zaventem) a annulé 45 de ses 257 vols et a prévenu les passagers de retards pouvant aller jusqu'à 90 minutes. Heathrow, en revanche, a assuré la poursuite de la plupart de ses opérations, mais avec un ralentissement significatif, tandis que Berlin-Brandebourg a complètement désactivé ses bornes et a redirigé les passagers vers l'enregistrement direct auprès des compagnies aériennes.

Collins Aerospace a confirmé qu'un cyberincident s'était produit, sans dévoiler les détails de l'attaque. Cependant, il est avéré que la panne a affecté non seulement les bornes, mais aussi les appareils intégrés à cMUSE, tels que les imprimantes d'étiquettes de bagages et les scanners biométriques. Les experts soulignent que le système a été conçu pour être pratique et économique, mais que l'absence de mécanismes de secours appropriés a fait que le maintien des opérations n'a été possible que par le biais d'interventions manuelles du personnel. Cependant, de nouvelles réglementations se profilent à l'horizon. La directive NIS2, qui entrera en vigueur en octobre, élargit la définition d'« infrastructure critique » aux prestataires de services informatiques desservant les compagnies aériennes et les aéroports. Parallèlement, la réglementation européenne Part-IS vise à introduire des normes de cybersécurité plus strictes pour les systèmes partagés tels que cMUSE. Bien qu'Heathrow ait indiqué dimanche que « la grande majorité des vols étaient toujours opérationnels », la situation a clairement démontré la vulnérabilité de l'écosystème aéroportuaire européen aux cyberattaques. La mise en œuvre de nouvelles réglementations et de mécanismes de résilience informatique semble impérative avant qu'un nouvel incident de ce type ne paralyse le trafic aérien à plus grande échelle.

L'écosystème open source est à nouveau sous le feu des critiques. Suite au récent incident impliquant la bibliothèque tinycolor , les chercheurs en sécurité de Socket ont découvert qu'un ver auto-réplicateur s'était infiltré dans le registre npm. Il a infecté plus de 300 paquets en exploitant les mécanismes de réplication et de publication automatiques de la bibliothèque. Les attaquants ont utilisé une technique basée sur la fonction NpmModule.updatePackage, injectée dans les paquets compromis. La procédure d'infection consistait à télécharger l'archive tar d'une nouvelle victime, à modifier le fichier package.json, à ajouter un script bundle.js malveillant, à repackager l'archive et à la publier dans le registre npm à l'aide d'un jeton volé. Cela a permis au ver d'étendre rapidement et de manière autonome son influence. Un élément clé était la capacité du logiciel malveillant à exploiter des variables d'environnement comme NPM_TOKEN. Ces identifiants ont permis la propagation de l'infection via d'autres comptes compromis.

Selon Socket, un compte appartenant à CrowdStrike figurait parmi les personnes compromises. Certaines de ses bibliothèques publiées dans le registre ont été modifiées et contenaient du code malveillant. L'entreprise a rapidement supprimé les versions problématiques et modifié les identifiants de connexion, mais l'attaque a révélé l'ampleur du risque auquel la communauté open source était confrontée. Les paquets fréquemment concernés incluent @ctrl/tinycolor, ngx-toastr, @crowdstrike/glide-core, angulartics2, eslint-config-crowdstrike et @nativescript-community/ui-collectionview. Cependant, la liste est bien plus longue et le processus d'identification est toujours en cours. La campagne a été baptisée Shai-Hulud, en référence directe aux vers de sable géants du roman Dune. Ce nom est dérivé des fichiers de workflow shai-hulud.yaml présents dans le malware. Le ver utilisait également l'outil TruffleHog pour rechercher et valider les identifiants avant de les envoyer à un webhook externe.

L'ampleur de l'attaque exige que chaque utilisateur de l'écosystème npm examine ses projets afin de s'assurer qu'il n'utilise pas de versions compromises des bibliothèques. Les paquets infectés peuvent non seulement contenir du code malveillant, mais aussi entraîner des fuites d'identifiants. Il est recommandé de supprimer immédiatement les dépendances suspectes, de revenir aux versions vérifiées et de renouveler tous les jetons et clés potentiellement exposés. Cela concerne non seulement les jetons npm, mais aussi les identifiants GitHub, les clés SSH et les identifiants cloud AWS, Google Cloud et Azure.

Les États-Unis ont offert une récompense de 11 millions de dollars pour toute information permettant d'arrêter Volodymyr Tymoshchuk, un citoyen ukrainien recherché pour une série d'attaques par rançongiciel. Les enquêteurs pensent que Tymoshchuk a participé à des campagnes organisées ayant entraîné des pertes estimées à 18 milliards de dollars sur trois ans. Les procureurs américains accusent Tymoshchuk d'être un personnage clé des attaques MegaCortex, LockerGoga et Nefilim, qui ont été actives entre décembre 2018 et octobre 2021. MegaCortex fonctionnait en chiffrant les fichiers et en modifiant les mots de passe Windows, laissant aux victimes un choix : payer la rançon ou risquer de voir leurs données confidentielles exposées. L'un des incidents les plus médiatisés a été l'attaque LockerGog contre Norsk Hydro, une entreprise énergétique norvégienne. Elle a touché 170 filiales de l'entreprise. Les pertes ont été estimées à 81 millions de dollars, et l'impact de l'attaque s'est fait sentir bien après son lancement.

Le procureur du ministère américain de la Justice, Joseph Nocella Jr., a souligné que Tymoshchuk avait échappé aux forces de l'ordre pendant des années en créant régulièrement de nouvelles variantes de logiciels malveillants après le décryptage des précédentes. Les autorités américaines l'ont considéré comme une menace pour la stabilité des institutions et des entreprises internationales, des entreprises technologiques aux établissements médicaux et aux sociétés industrielles. Les enquêteurs l'accusent d'avoir supervisé les attaques LockerGoga et MegaCortex entre juillet 2019 et juin 2020, avant de se consacrer à l'administration et au développement d'une variante du rançongiciel Nefilim. Selon les conclusions de l'enquête, il aurait vendu l'accès à cet outil à d'autres groupes criminels, s'appropriant 20 % des rançons extorquées.

Les attaques impliquant LockerGoga, MegaCortex et Nefilim ont utilisé Metasploit et Cobalt Strike, des outils de test d'intrusion légitimes qui, entre les mains des cybercriminels, leur ont permis de maintenir une présence durable sur les systèmes de leurs victimes. Les enquêtes indiquent que les auteurs ont réussi à rester invisibles dans l'infrastructure de l'entreprise pendant des mois avant de commencer à chiffrer les données et à exiger une rançon. Selon l'acte d'accusation, MegaCortex a également commencé à se propager sur les ordinateurs d'utilisateurs individuels disposant de systèmes non sécurisés, tandis que Nefilim se concentrait uniquement sur les grandes entreprises. Les services de renseignement américains affirment que les cibles étaient des entreprises évaluées à au moins 100 millions de dollars, bien que des rapports antérieurs aient évoqué un plafond d'un milliard de dollars.

Tymoshchuk est accusé de sept chefs d'accusation : dommages intentionnels à des ordinateurs privés et menaces de divulgation d'informations confidentielles. S'il est reconnu coupable, il risque la réclusion à perpétuité. L'avenir de l'enquête dépend de la procédure d'extradition. Si Tymoshchuk est amené aux États-Unis, il sera jugé dans le cadre d'une affaire impliquant Artem Stryzhak, l'un de ses complices présumés, déjà extradé vers la justice américaine.

Cloudflare a annoncé avoir bloqué la plus grande attaque par déni de service distribué de l'histoire. L'incident était une attaque UDP flood. Celle-ci consistait à envoyer des quantités massives de paquets UDP avec des adresses IP usurpées vers des ports aléatoires du serveur cible. Chaque paquet obligeait le système à vérifier si une application d'écoute était exécutée sur ce port, puis à préparer une réponse. Par conséquent, l'infrastructure de la victime a été contrainte d'effectuer des millions d'opérations inutiles en très peu de temps. Le volume maximal a atteint 11,5 Tbit/s et 5,1 milliards de paquets par seconde. Cloudflare a révélé que le trafic provenait principalement de l'IoT et de l'infrastructure cloud, le rapport initial citant Google Cloud comme l'une des sources. L'entreprise a annoncé que les détails concernant l'origine de l'attaque seront publiés dans un prochain rapport de sécurité. Ce nouvel incident a battu tous les records précédents. En juin, Cloudflare avait signalé une attaque de 7,3 Tbit/s, et en octobre 2024, 3,8 Tbit/s et 2 milliards de paquets par seconde. Il y a trois ans à peine, l'attaque record contre la même entreprise n'atteignait « que » 1,9 Tbit/s. Le niveau de trafic actuel est près de dix fois supérieur. Les experts soulignent que l'efficacité de ces attaques s'accroît avec la généralisation des services cloud et le développement de l'Internet des objets. Le grand nombre d'appareils mal sécurisés connectés au réseau peuvent être exploités par des attaquants.

Les attaques DDoS de cette ampleur peuvent paralyser la plupart des sites web et services en ligne. Les repousser nécessite des systèmes entièrement autonomes, capables de reconnaître et de neutraliser les flux de trafic en quelques secondes. Cloudflare a souligné avoir réussi à stopper des centaines d'attaques hypervolatiles ces dernières semaines, mais leur rythme de croissance démontre que l'équilibre entre attaquants et défenseurs devient de plus en plus difficile à maintenir. Les experts en cybersécurité préviennent que l'avenir pourrait voir apparaître des attaques encore plus puissantes, exploitant des ressources cloud et IoT toujours plus importantes. Si des entreprises comme Cloudflare, Akamai et Google sont actuellement capables de contenir des incidents même record, rien ne garantit que cet avantage défensif perdurera. Chaque nouveau record rappelle la puissance croissante des cybercriminels et la nécessité d'investir dans des mécanismes de défense toujours plus performants.

Le parquet taïwanais a inculpé trois personnes liées à Taiwan Semiconductor Manufacturing Company. Parmi elles, un ancien employé et deux employés actuels. Ils sont accusés d'avoir obtenu illégalement des informations concernant le procédé 2 nm. Selon Nikkei Asia, les données auraient pu être utilisées par la société japonaise Tokyo Electron pour renforcer sa position de fournisseur de stations de gravure avancées utilisées dans la production de masse de puces dans les derniers processus technologiques. Le principal suspect est M. Chen, ancien ingénieur de TSMC, qui a rejoint Tokyo Electron après avoir quitté l'entreprise taïwanaise. Les enquêteurs affirment que Chen a contacté un groupe d'associés, dont Wu, Ge et Liao, pour leur fournir des documents confidentiels décrivant le processus de fabrication des puces de 2 nm. La fuite a été détectée en interne par TSMC. L'entreprise a immédiatement signalé l'incident aux autorités compétentes, qui ont alors activé les mécanismes de protection prévus par l'amendement à la loi taïwanaise sur la sécurité nationale. C'est la première fois que des réglementations concernant la sécurité des technologies clés, y compris les nœuds inférieurs à 14 nm, sont appliquées dans une affaire criminelle réelle.

Le parquet requiert de lourdes peines de prison. La peine requise est de 14 ans pour Chen, neuf ans pour Wu et sept ans pour Ge. Liao, l'un des suspects, n'a pas encore été inculpé et n'est pas partie à la procédure. Tokyo Electron a réagi aux accusations en annonçant la fin de sa relation avec l'employé impliqué dans l'affaire. Dans un communiqué officiel, l'entreprise a réaffirmé sa volonté de coopérer pleinement avec les autorités chargées de l'enquête et a rappelé que le respect de la loi et de l'éthique professionnelle constituait l'un des piliers de ses activités. TSMC a toutefois déclaré que les données volées ne revêtaient pas une importance stratégique. Selon les représentants de l'entreprise, même si elles étaient divulguées, il serait impossible de les utiliser de manière à reproduire le processus, qui repose toujours sur des solutions technologiques complexes et inaccessibles de l'extérieur. Cette affaire est unique car c'est la première fois que les tribunaux taïwanais appliquent la loi protégeant les technologies nationales de pointe. Si cette loi a été créée pour protéger le secteur des fuites d'informations vers la Chine, la procédure actuelle démontre qu'elle s'applique également aux situations où le destinataire des données peut être une entreprise d'un autre pays.

Un nouveau type de rançongiciel, baptisé PromptLock, utilise l'intelligence artificielle générative pour créer dynamiquement des scripts qui infectent les systèmes. PromptLock est conçu pour fonctionner sous Windows, macOS et Linux. Il utilise le modèle de langage open source OpenAI, qui génère localement des scripts spécifiques à l'environnement du système ciblé. Cela empêche les ransomwares de laisser des traces répétitives, ce qui complique leur identification et leur analyse. Selon les experts d'ESET, le malware s'appuie sur des scripts Lua, générés à partir de messages écrits dans le code. Ces scripts permettent l'énumération du système de fichiers local, l'analyse de données sélectionnées, leur transfert hors réseau et leur chiffrement. La version actuelle n'intègre pas encore de fonction de destruction permanente des données, mais les chercheurs n'excluent pas sa présence dans de futures itérations de la menace. Lua, principalement associé aux moteurs de jeu et aux plugins de développement, s'est avéré être un outil idéal pour les cybercriminels. Rapide, facile à mettre en œuvre et compatible avec les environnements multiplateformes, il permet de générer efficacement du code malveillant, fonctionnant de manière transparente sur diverses configurations matérielles.

L'une des caractéristiques de l'IA générative est son non-déterminisme. Cela signifie que même avec un ensemble identique de données d'entrée, le modèle génère un résultat différent à chaque fois. Cela représente un défi majeur pour les chercheurs en sécurité, car cela empêche d'attribuer des signatures spécifiques à une famille de logiciels malveillants spécifique. Les opérateurs de ransomware disposent ainsi d'un outil leur permettant de créer des scripts imprévisibles et difficiles à détecter. Les chercheurs d'ESET soulignent que PromptLock utilise l'API locale d'Ollama pour gérer le modèle gpt-oss:20b, garantissant ainsi que tous les processus de génération de code se déroulent sur les ordinateurs des cybercriminels. Ce mécanisme empêche OpenAI de surveiller ou de bloquer les requêtes, ce qui complique considérablement l'identification de la source de l'attaque. Les experts soulignent que l'émergence de rançongiciels utilisant des modèles de langage avancés pourrait ouvrir une nouvelle ère en matière de cybermenaces. La génération de code dynamique permet aux attaquants de s'adapter plus rapidement aux mesures de sécurité et de créer des attaques plus complexes et personnalisées.

Un cybercriminel nommé Chucky_BF propose à la vente sur un forum de hackers un ensemble de données de 1,1 gigaoctet, censé contenir environ 15,8 millions d'identifiants de connexion d'utilisateurs PayPal. Selon le vendeur, les informations de connexion sont entièrement en texte clair. L'origine exacte de ces données et leur validité restent inconnues. Selon certaines informations, les données se composent d'adresses e-mail, de mots de passe et des URL auxquelles les identifiants sont destinés. Ces données proviendraient d'utilisateurs PayPal répartis dans différentes régions du monde et, selon Chucky_BF, seraient propices aux attaques de phishing ciblées, au credential stuffing et à d'autres activités frauduleuses. Selon HackRead , le vendeur demande 750 $ (environ 641 €) pour l'ensemble des données. Cependant, les identifiants de connexion proposés n'ont probablement pas été volés directement à PayPal. Comme le souligne Troy Hunt, fondateur du portail internet HaveIBeenPwned , sur X , PayPal ne stocke pas les mots de passe en clair. Hunt pense donc que les données ont été obtenues par d'autres moyens, comme un logiciel malveillant de vol d'informations. PayPal n'a pas encore commenté officiellement l'incident, mais les experts en sécurité conseillent à leurs clients de changer leurs mots de passe, même si les données volées n'ont pas encore été vérifiées.