Les États-Unis ont offert une récompense de 11 millions de dollars pour toute information permettant d'arrêter Volodymyr Tymoshchuk, un citoyen ukrainien recherché pour une série d'attaques par rançongiciel. Les enquêteurs pensent que Tymoshchuk a participé à des campagnes organisées ayant entraîné des pertes estimées à 18 milliards de dollars sur trois ans. Les procureurs américains accusent Tymoshchuk d'être un personnage clé des attaques MegaCortex, LockerGoga et Nefilim, qui ont été actives entre décembre 2018 et octobre 2021. MegaCortex fonctionnait en chiffrant les fichiers et en modifiant les mots de passe Windows, laissant aux victimes un choix : payer la rançon ou risquer de voir leurs données confidentielles exposées. L'un des incidents les plus médiatisés a été l'attaque LockerGog contre Norsk Hydro, une entreprise énergétique norvégienne. Elle a touché 170 filiales de l'entreprise. Les pertes ont été estimées à 81 millions de dollars, et l'impact de l'attaque s'est fait sentir bien après son lancement.

Le procureur du ministère américain de la Justice, Joseph Nocella Jr., a souligné que Tymoshchuk avait échappé aux forces de l'ordre pendant des années en créant régulièrement de nouvelles variantes de logiciels malveillants après le décryptage des précédentes. Les autorités américaines l'ont considéré comme une menace pour la stabilité des institutions et des entreprises internationales, des entreprises technologiques aux établissements médicaux et aux sociétés industrielles. Les enquêteurs l'accusent d'avoir supervisé les attaques LockerGoga et MegaCortex entre juillet 2019 et juin 2020, avant de se consacrer à l'administration et au développement d'une variante du rançongiciel Nefilim. Selon les conclusions de l'enquête, il aurait vendu l'accès à cet outil à d'autres groupes criminels, s'appropriant 20 % des rançons extorquées.

Les attaques impliquant LockerGoga, MegaCortex et Nefilim ont utilisé Metasploit et Cobalt Strike, des outils de test d'intrusion légitimes qui, entre les mains des cybercriminels, leur ont permis de maintenir une présence durable sur les systèmes de leurs victimes. Les enquêtes indiquent que les auteurs ont réussi à rester invisibles dans l'infrastructure de l'entreprise pendant des mois avant de commencer à chiffrer les données et à exiger une rançon. Selon l'acte d'accusation, MegaCortex a également commencé à se propager sur les ordinateurs d'utilisateurs individuels disposant de systèmes non sécurisés, tandis que Nefilim se concentrait uniquement sur les grandes entreprises. Les services de renseignement américains affirment que les cibles étaient des entreprises évaluées à au moins 100 millions de dollars, bien que des rapports antérieurs aient évoqué un plafond d'un milliard de dollars.

Tymoshchuk est accusé de sept chefs d'accusation : dommages intentionnels à des ordinateurs privés et menaces de divulgation d'informations confidentielles. S'il est reconnu coupable, il risque la réclusion à perpétuité. L'avenir de l'enquête dépend de la procédure d'extradition. Si Tymoshchuk est amené aux États-Unis, il sera jugé dans le cadre d'une affaire impliquant Artem Stryzhak, l'un de ses complices présumés, déjà extradé vers la justice américaine.

Cloudflare a annoncé avoir bloqué la plus grande attaque par déni de service distribué de l'histoire. L'incident était une attaque UDP flood. Celle-ci consistait à envoyer des quantités massives de paquets UDP avec des adresses IP usurpées vers des ports aléatoires du serveur cible. Chaque paquet obligeait le système à vérifier si une application d'écoute était exécutée sur ce port, puis à préparer une réponse. Par conséquent, l'infrastructure de la victime a été contrainte d'effectuer des millions d'opérations inutiles en très peu de temps. Le volume maximal a atteint 11,5 Tbit/s et 5,1 milliards de paquets par seconde. Cloudflare a révélé que le trafic provenait principalement de l'IoT et de l'infrastructure cloud, le rapport initial citant Google Cloud comme l'une des sources. L'entreprise a annoncé que les détails concernant l'origine de l'attaque seront publiés dans un prochain rapport de sécurité. Ce nouvel incident a battu tous les records précédents. En juin, Cloudflare avait signalé une attaque de 7,3 Tbit/s, et en octobre 2024, 3,8 Tbit/s et 2 milliards de paquets par seconde. Il y a trois ans à peine, l'attaque record contre la même entreprise n'atteignait « que » 1,9 Tbit/s. Le niveau de trafic actuel est près de dix fois supérieur. Les experts soulignent que l'efficacité de ces attaques s'accroît avec la généralisation des services cloud et le développement de l'Internet des objets. Le grand nombre d'appareils mal sécurisés connectés au réseau peuvent être exploités par des attaquants.

Les attaques DDoS de cette ampleur peuvent paralyser la plupart des sites web et services en ligne. Les repousser nécessite des systèmes entièrement autonomes, capables de reconnaître et de neutraliser les flux de trafic en quelques secondes. Cloudflare a souligné avoir réussi à stopper des centaines d'attaques hypervolatiles ces dernières semaines, mais leur rythme de croissance démontre que l'équilibre entre attaquants et défenseurs devient de plus en plus difficile à maintenir. Les experts en cybersécurité préviennent que l'avenir pourrait voir apparaître des attaques encore plus puissantes, exploitant des ressources cloud et IoT toujours plus importantes. Si des entreprises comme Cloudflare, Akamai et Google sont actuellement capables de contenir des incidents même record, rien ne garantit que cet avantage défensif perdurera. Chaque nouveau record rappelle la puissance croissante des cybercriminels et la nécessité d'investir dans des mécanismes de défense toujours plus performants.

Le parquet taïwanais a inculpé trois personnes liées à Taiwan Semiconductor Manufacturing Company. Parmi elles, un ancien employé et deux employés actuels. Ils sont accusés d'avoir obtenu illégalement des informations concernant le procédé 2 nm. Selon Nikkei Asia, les données auraient pu être utilisées par la société japonaise Tokyo Electron pour renforcer sa position de fournisseur de stations de gravure avancées utilisées dans la production de masse de puces dans les derniers processus technologiques. Le principal suspect est M. Chen, ancien ingénieur de TSMC, qui a rejoint Tokyo Electron après avoir quitté l'entreprise taïwanaise. Les enquêteurs affirment que Chen a contacté un groupe d'associés, dont Wu, Ge et Liao, pour leur fournir des documents confidentiels décrivant le processus de fabrication des puces de 2 nm. La fuite a été détectée en interne par TSMC. L'entreprise a immédiatement signalé l'incident aux autorités compétentes, qui ont alors activé les mécanismes de protection prévus par l'amendement à la loi taïwanaise sur la sécurité nationale. C'est la première fois que des réglementations concernant la sécurité des technologies clés, y compris les nœuds inférieurs à 14 nm, sont appliquées dans une affaire criminelle réelle.

Le parquet requiert de lourdes peines de prison. La peine requise est de 14 ans pour Chen, neuf ans pour Wu et sept ans pour Ge. Liao, l'un des suspects, n'a pas encore été inculpé et n'est pas partie à la procédure. Tokyo Electron a réagi aux accusations en annonçant la fin de sa relation avec l'employé impliqué dans l'affaire. Dans un communiqué officiel, l'entreprise a réaffirmé sa volonté de coopérer pleinement avec les autorités chargées de l'enquête et a rappelé que le respect de la loi et de l'éthique professionnelle constituait l'un des piliers de ses activités. TSMC a toutefois déclaré que les données volées ne revêtaient pas une importance stratégique. Selon les représentants de l'entreprise, même si elles étaient divulguées, il serait impossible de les utiliser de manière à reproduire le processus, qui repose toujours sur des solutions technologiques complexes et inaccessibles de l'extérieur. Cette affaire est unique car c'est la première fois que les tribunaux taïwanais appliquent la loi protégeant les technologies nationales de pointe. Si cette loi a été créée pour protéger le secteur des fuites d'informations vers la Chine, la procédure actuelle démontre qu'elle s'applique également aux situations où le destinataire des données peut être une entreprise d'un autre pays.

Un nouveau type de rançongiciel, baptisé PromptLock, utilise l'intelligence artificielle générative pour créer dynamiquement des scripts qui infectent les systèmes. PromptLock est conçu pour fonctionner sous Windows, macOS et Linux. Il utilise le modèle de langage open source OpenAI, qui génère localement des scripts spécifiques à l'environnement du système ciblé. Cela empêche les ransomwares de laisser des traces répétitives, ce qui complique leur identification et leur analyse. Selon les experts d'ESET, le malware s'appuie sur des scripts Lua, générés à partir de messages écrits dans le code. Ces scripts permettent l'énumération du système de fichiers local, l'analyse de données sélectionnées, leur transfert hors réseau et leur chiffrement. La version actuelle n'intègre pas encore de fonction de destruction permanente des données, mais les chercheurs n'excluent pas sa présence dans de futures itérations de la menace. Lua, principalement associé aux moteurs de jeu et aux plugins de développement, s'est avéré être un outil idéal pour les cybercriminels. Rapide, facile à mettre en œuvre et compatible avec les environnements multiplateformes, il permet de générer efficacement du code malveillant, fonctionnant de manière transparente sur diverses configurations matérielles.

L'une des caractéristiques de l'IA générative est son non-déterminisme. Cela signifie que même avec un ensemble identique de données d'entrée, le modèle génère un résultat différent à chaque fois. Cela représente un défi majeur pour les chercheurs en sécurité, car cela empêche d'attribuer des signatures spécifiques à une famille de logiciels malveillants spécifique. Les opérateurs de ransomware disposent ainsi d'un outil leur permettant de créer des scripts imprévisibles et difficiles à détecter. Les chercheurs d'ESET soulignent que PromptLock utilise l'API locale d'Ollama pour gérer le modèle gpt-oss:20b, garantissant ainsi que tous les processus de génération de code se déroulent sur les ordinateurs des cybercriminels. Ce mécanisme empêche OpenAI de surveiller ou de bloquer les requêtes, ce qui complique considérablement l'identification de la source de l'attaque. Les experts soulignent que l'émergence de rançongiciels utilisant des modèles de langage avancés pourrait ouvrir une nouvelle ère en matière de cybermenaces. La génération de code dynamique permet aux attaquants de s'adapter plus rapidement aux mesures de sécurité et de créer des attaques plus complexes et personnalisées.

Un cybercriminel nommé Chucky_BF propose à la vente sur un forum de hackers un ensemble de données de 1,1 gigaoctet, censé contenir environ 15,8 millions d'identifiants de connexion d'utilisateurs PayPal. Selon le vendeur, les informations de connexion sont entièrement en texte clair. L'origine exacte de ces données et leur validité restent inconnues. Selon certaines informations, les données se composent d'adresses e-mail, de mots de passe et des URL auxquelles les identifiants sont destinés. Ces données proviendraient d'utilisateurs PayPal répartis dans différentes régions du monde et, selon Chucky_BF, seraient propices aux attaques de phishing ciblées, au credential stuffing et à d'autres activités frauduleuses. Selon HackRead , le vendeur demande 750 $ (environ 641 €) pour l'ensemble des données. Cependant, les identifiants de connexion proposés n'ont probablement pas été volés directement à PayPal. Comme le souligne Troy Hunt, fondateur du portail internet HaveIBeenPwned , sur X , PayPal ne stocke pas les mots de passe en clair. Hunt pense donc que les données ont été obtenues par d'autres moyens, comme un logiciel malveillant de vol d'informations. PayPal n'a pas encore commenté officiellement l'incident, mais les experts en sécurité conseillent à leurs clients de changer leurs mots de passe, même si les données volées n'ont pas encore été vérifiées.

Une nouvelle fuite de données effrayante vient de pulvériser tous les records : 16 milliards d’identifiants ont été retrouvés en ligne, accessibles dans les profondeurs du web et potentiellement à la portée de tous. Un chiffre difficile à imaginer, mais qui donne une idée du risque énorme auquel nos comptes en ligne sont aujourd’hui exposés. Derrière cette vaste collection se cachent les « infostealers » , des logiciels malveillants conçus pour voler les données sensibles des ordinateurs infectés. Ils ont été découverts par une équipe de chercheurs, qui a découvert plus de 30 bases de données disséminées sur le réseau, contenant des combinaisons de noms d'utilisateur , de mots de passe , de cookies et d'autres éléments critiques. Le plus remarquable est qu'il ne s'agit pas de vieux fichiers recyclés : les chercheurs confirment qu'une bonne partie des informations sont récentes et structurées , ce qui les rend immédiatement utilisables pour des activités criminelles. Le plus grand danger ? Les identifiants volés peuvent être utilisés pour prendre le contrôle de comptes , commettre des usurpations d'identité ou lancer des attaques d'hameçonnage ciblées .

Les collections découvertes contiennent des millions de combinaisons d'URL de connexion, de noms d'utilisateur et de mots de passe. Souvent, on y trouve également des cookies , des jetons de session et des métadonnées sensibles. C'est précisément cette structure qui rend le matériel si dangereux : avec les bonnes informations, un attaquant peut accéder directement aux comptes , même en contournant l'authentification à deux facteurs. Les services concernés sont parmi les plus populaires : des pages de connexion de Facebook , Google , Apple et Telegram aux portails de développeurs comme GitHub , en passant par des outils de communication comme Zoom et Twitch , et même des services gouvernementaux . Il ne s’agit pas d’une attaque ciblée, mais d’une collecte mondiale alimentée par des voleurs d’informations actifs dans le monde entier . Il convient toutefois de préciser qu'il n'y a pas eu de violation directe des serveurs de ces grandes entreprises. Les données semblent avoir été collectées à partir d'ordinateurs infectés , sur lesquels les utilisateurs s'étaient connectés. Cela ne rend pas le problème moins grave : les informations existent , elles ont été trouvées et elles peuvent être exploitées par quiconque sait où les chercher.

Toute personne craignant d'avoir été infectée par un voleur d'informations doit :

- Analysez votre système avec un antivirus mis à jour
- Changez immédiatement tous les mots de passe principaux
- Surveillez toute activité inhabituelle (connexions anormales, e-mails de notification suspects)
- Contactez le support des services concernés en cas de doute

Le CA/Browser Forum a voté une réduction significative de la durée de vie des certificats SSL/TLS au cours des quatre prochaines années, pour une durée finale de seulement 47 jours à compter de 2029. Parmi ses membres figurent des autorités de certification majeures comme DigiCert et GlobalSign, ainsi que des éditeurs de navigateurs comme Google, Apple, Mozilla et Microsoft. Plus tôt cette année, Apple a proposé une motion visant à réduire la durée de vie des certificats, approuvée par Sectigo, l'équipe Google Chrome et Mozilla. Cette proposition réduirait progressivement la durée de vie des certificats au cours des quatre prochaines années, passant de 398 jours actuellement à 47 jours en mars 2029. L'objectif est de minimiser les risques liés à l'obsolescence des données de certificat, à l'obsolescence des algorithmes cryptographiques et à l'exposition prolongée aux informations d'identification compromises. Elle encourage également les entreprises et les développeurs à automatiser le renouvellement et la rotation des certificats TLS, réduisant ainsi le risque que les sites fonctionnent avec des certificats expirés.

Le kit de phishing Tycoon 2FA, déjà bien connu, a évolué et utilise désormais des techniques encore plus sophistiquées pour contourner l'authentification à deux facteurs (2FA) utilisée par Google et Microsoft. Les nouvelles techniques d’obfuscation découvertes début avril 2025 rendent la détection des attaques beaucoup plus difficile pour les systèmes de sécurité. Le kit crée des répliques trompeusement réelles de pages de connexion qui interceptent non seulement les informations de connexion d'origine, mais également les jetons 2FA. La combinaison de multiples techniques d’obscurcissement qui, ensemble, forment une barrière efficace contre les mesures de sécurité conventionnelles est particulièrement préoccupante. Une méthode particulièrement sophistiquée du kit est l'obscurcissement du code JavaScript en utilisant des caractères Unicode invisibles. Selon une analyse détaillée de Trustwave , le code malveillant utilise délibérément de tels caractères pour échapper à la détection visuelle et aux mécanismes de sécurité conventionnels. Cela signifie que le code malveillant reste invisible à l’œil humain et n’est pas reconnu comme une menace par de nombreux systèmes de sécurité.

De plus, Tycoon 2FA a abandonné l'utilisation de services CAPTCHA tiers tels que Cloudflare et s'appuie plutôt sur son propre système CAPTCHA, qui est rendu à l'aide de HTML5 Canvas. Cette solution personnalisée rend l’analyse automatisée plus difficile et prolonge considérablement la durée de vie des campagnes de phishing. Le kit met également en œuvre des mesures anti-débogage agressives qui détectent l'automatisation du navigateur, bloquent les outils de développement et redirigent même vers d'autres sites Web si des outils d'analyse sont détectés. Que peut-on faire contre cette attaque et d’autres ? « Les clés d'accès réduisent considérablement l'impact du phishing et d'autres attaques d'ingénierie sociale », a expliqué un porte-parole de Google, selon Forbes . « Les recherches de Google ont montré que les clés de sécurité offrent une meilleure protection contre les robots automatisés, les attaques de phishing de masse et les attaques ciblées que les SMS, les mots de passe à usage unique basés sur des applications et d'autres formes d'authentification à deux facteurs traditionnelles. »

Microsoft recommande également la prudence : « Nous recommandons d'utiliser des clés d'accès dans la mesure du possible et d'utiliser des applications d'authentification comme Microsoft Authenticator, qui avertissent les utilisateurs des tentatives potentielles de phishing », a déclaré un porte-parole de Microsoft. Pour les équipes de sécurité, les experts recommandent une surveillance basée sur le comportement, un sandboxing du navigateur et une inspection plus approfondie des modèles JavaScript pour garder une longueur d'avance sur ces menaces. Trustwave a également publié une règle de détection YARA ciblant spécifiquement les modèles d'obfuscation Unicode des dernières variantes de Tycoon 2FA.

X (anciennement Twitter) connaît sa troisième panne majeure de la journée, les utilisateurs signalant des problèmes de connexion et de chargement généralisés. Le groupe de hackers Dark Storm Team aurait revendiqué la responsabilité d'une attaque DDoS sur la plateforme, selon un message public publié sur Telegram. Check Point Research (CPR), une équipe de recherche sur les cybermenaces, a déclaré à Newsweek que The Dark Storm Team, un groupe de cyberattaque pro-palestinien connu pour avoir lancé des attaques par déni de service distribué (DDoS), a refait surface après une période d'inactivité. Le groupe cible principalement des entités occidentales, notamment celles des États-Unis, d'Ukraine, des Émirats arabes unis et d'Israël. Au cours du mois dernier, la Dark Storm Team a attaqué avec succès des infrastructures critiques, notamment l'aéroport international de Los Angeles (LAX), le port de Haïfa en Israël et le ministère de la Défense des Émirats arabes unis. Dans un communiqué, CPR a souligné le rôle du groupe dans la déstabilisation des plateformes numériques, notamment l'attaque récente contre X, soulignant la nécessité d'une cybersécurité renforcée pour les plateformes de médias sociaux, qui sont vitales pour la communication mondiale. CPR a également noté qu'en février, les organisations américaines ont été confrontées à une moyenne de 1 323 cyberattaques par semaine, le secteur des médias et du divertissement étant le quatrième plus ciblé.

La plateforme d'échange de cryptomonnaies Bybit a fait appel aux « esprits les plus brillants » en matière de cybersécurité pour l'aider à récupérer 1,5 milliard de dollars volés par des pirates informatiques dans ce qui est considéré comme le plus grand vol numérique de l'histoire. La plateforme crypto basée à Dubaï a déclaré qu'un attaquant avait pris le contrôle d'un portefeuille d'Ethereum, l'une des monnaies numériques les plus populaires après le bitcoin, et avait transféré le contenu vers une adresse inconnue. Bybit a immédiatement cherché à rassurer ses clients sur la sécurité de leurs avoirs en cryptomonnaies, tandis que son directeur général a déclaré sur les réseaux sociaux que Bybit rembourserait toutes les personnes concernées, même si la monnaie piratée n'était pas restituée. « Bybit est solvable même si cette perte due au piratage n'est pas récupérée, tous les actifs des clients sont garantis 1 pour 1, nous pouvons couvrir la perte », a déclaré Ben Zhou, cofondateur et directeur général de Bybit, sur X. Il a ajouté que la société détenait 20 milliards de dollars d'actifs clients et serait en mesure de couvrir elle-même les fonds non récupérés ou par le biais de prêts de partenaires.

Bybit, qui compte plus de 60 millions d'utilisateurs dans le monde et est la deuxième plus grande bourse de crypto-monnaie au monde en termes de volume d'échanges, a déclaré que la nouvelle du piratage avait entraîné une augmentation des demandes de retrait. Zhou a écrit que la société avait reçu plus de 350 000 demandes de clients pour retirer leurs fonds, ce qui pourrait entraîner des retards dans le traitement. Bybit a déclaré que le piratage s'est produit alors que la société effectuait un transfert de routine d'Ethereum d'un portefeuille « froid » hors ligne vers un portefeuille « chaud », qui couvre ses échanges quotidiens. Un attaquant a exploité les contrôles de sécurité et a pu transférer les actifs. Zhou a déclaré que tous les autres portefeuilles de la bourse n'ont pas été affectés. Le prix de l'Ethereum a chuté de près de 4 % après l'annonce du piratage vendredi, mais est depuis presque revenu aux niveaux précédents. La société a fait appel aux « esprits les plus brillants de la cybersécurité et de l'analyse crypto » pour l'aider à tenter de récupérer les fonds piratés, et offre une récompense de 10 % du montant récupéré, ce qui pourrait totaliser 140 millions de dollars si la totalité du montant piraté était récupérée.

« Bybit est déterminé à surmonter ce revers et à transformer fondamentalement notre infrastructure de sécurité, à améliorer la liquidité et à être un partenaire fidèle pour nos amis de la communauté crypto », a déclaré Zhou dans un communiqué. Le piratage est un revers pour l'industrie de la cryptographie, qui a rebondi ces derniers mois après avoir bénéficié du retour de Donald Trump à la Maison Blanche et de ses promesses de faire des États-Unis la « capitale mondiale de la cryptographie » dans un contexte de réglementation plus souple. Bien que l'identité de l'attaquant de Bybit soit inconnue, certains rapports ont suggéré que les auteurs pourraient être des pirates informatiques d'État nord-coréens, tels que le groupe Lazarus, qui ont été accusés de précédents braquages ​​à grande échelle, notamment le vol de 615 millions de dollars du projet de blockchain Ronin Group en 2022.