La chronologie des piratages de cette année est délirante

 (ringmast4r.substack.com)
5 points par GN⁺ 16 일 전 | 1 commentaires | Partager sur WhatsApp
  • Pendant environ 100 jours au début de 2026, des cyberattaques massives impliquant des États et des organisations criminelles se sont succédé, à un niveau considéré comme un tournant dans l’histoire de la sécurité informatique
  • Les attaques se répartissent en quatre clusters — Iran, SLH, Corée du Nord, Russie — avec une structure commune : l’exploitation de la supply chain et des relations de confiance
  • Parmi les principaux dommages figurent l’effacement de 200 000 systèmes de Stryker, la revendication d’une fuite de 375 To chez Lockheed Martin, la fuite des e-mails du directeur du FBI, l’infection du package npm Axios, ainsi que des compromissions chez Oracle, Cisco, Rockstar et Mercor
  • Les technologies d’IA sont utilisées pour automatiser les attaques, avec une hausse de 1 265 % du phishing généré par IA, une hausse de 442 % du vishing, ainsi que de nouvelles formes de fraude financière par deepfake IA
  • Les gouvernements et l’industrie réagissent hors de la vue du public, mais le silence du débat public et l’asymétrie de l’information ressortent fortement, au point que ces 100 jours sont jugés comme l’une des périodes les plus critiques de l’histoire du cyber

Vue d’ensemble des incidents cyber majeurs sur les 100 premiers jours de 2026

  • Au cours des quatre premiers mois de 2026, de grandes cyberattaques impliquant des États et des organisations criminelles comme la Chine, l’Iran, la Corée du Nord et la Russie se sont succédé
    • fuite de 10 pétaoctets depuis un supercalculateur d’État chinois, paralysie totale de Stryker dans 79 pays, revendication d’une fuite de 375 To chez Lockheed Martin, fuite des e-mails personnels du directeur du FBI, intrusion dans le réseau d’interception du FBI, et atteintes touchant de nombreuses entreprises comme Rockstar Games, Cisco, Oracle ou Mercor
  • Sur environ 100 jours, ces événements ont de fortes chances d’être retenus comme un tournant dans l’histoire de la sécurité informatique
  • Pourtant, le débat public est presque inexistant, et l’écart entre les réponses non publiques des gouvernements et de l’industrie et le silence du discours public ressort nettement

Les quatre principaux clusters d’attaque

  • Les attaques de 2026 se répartissent en quatre clusters — Iran, SLH, Corée du Nord, Russie — qui partagent tous la même structure : l’exploitation de la supply chain et des relations de confiance

  • Cluster 1 : Iran / Handala / Void Manticore

    • Opérations destructrices pilotées par un État ; Palo Alto Networks Unit 42 a identifié Void Manticore comme un acteur lié au ministère iranien du Renseignement et de la Sécurité (MOIS)
    • Des attaques contre l’industrie, la défense et des organismes gouvernementaux américains ont été menées sous le nom de Handala Hack Team, avec revendication de représailles pour le bombardement de l’école de Minab en février 2026 (175 morts)
    • Victimes : Stryker (effacement de 200 000 équipements), Lockheed Martin (revendication d’une fuite de 375 To, divulgation des données personnelles de 28 ingénieurs), fuite des e-mails personnels du directeur du FBI

  • Cluster 2 : Scattered LAPSUS$ Hunters (SLH)

    • Organisation d’extorsion et de vol massif de données SaaS à but financier, formée en août 2025 par la combinaison de ShinyHunters, Scattered Spider et LAPSUS$
    • Dans la campagne Salesforce, 300 à 400 organisations et 1,5 milliard d’enregistrements Salesforce volés, avec parmi les victimes Google, Cisco, LVMH, Okta, AMD, Snowflake, etc.
    • Les méthodes d’attaque ont évolué du vol de tokens OAuth vers la manipulation de la MFA par téléphone, et le vishing est désigné comme le principal facteur de compromission d’entreprises en 2026

  • Cluster 3 : Corée du Nord / UNC1069

    • Attaques à but financier centrées sur la compromission de la supply chain open source, dont l’affaire du détournement du package npm Axios est emblématique
    • Les attaquants ont gagné la confiance des mainteneurs via de fausses sociétés et de faux environnements Slack et Teams, avant de détourner des comptes npm et d’insérer un RAT dans une bibliothèque téléchargée 100 millions de fois par semaine
    • L’attaque de supply chain contre Trivy chez Cisco suit un schéma comparable fondé sur la confiance

  • Cluster 4 : Russie / APT28

    • Attaques zero-day contre l’Ukraine et l’UE, exploitant une vulnérabilité Microsoft Office (CVE-2026-21509)
    • Plus de 60 comptes e-mail européens et des organismes gouvernementaux ukrainiens ont été visés, avec pour caractéristiques l’exploitation des relations de confiance et la rapidité de l’armement
    • Les quatre clusters exploitent tous une réalité où les périmètres défensifs des entreprises occidentales ont été remplacés par la confiance accordée à la supply chain
    • L’Iran vise la destruction, SLH le vol financier, la Corée du Nord l’infection des développeurs, et la Russie la collecte de renseignement

Détails des principaux incidents

  • Stryker : attaque wiper en temps réel contre un groupe mondial de dispositifs médicaux

    • Le 11 mars 2026, Stryker Corporation a été paralysée à l’échelle mondiale
    • Les attaquants ont compromis un compte administrateur de domaine Windows, créé un administrateur global dans Microsoft Entra et Intune, puis déclenché des commandes d’effacement à distance, entraînant la suppression de 200 000 systèmes
    • Cela a provoqué des retards de soins aux patients, avec notamment des interventions hospitalières reportées ; Handala a revendiqué l’attaque
    • Le FBI a saisi quatre domaines liés à Handala et annoncé une récompense de 10 millions de dollars, à quoi Handala a répondu par une contre-prime de 50 millions de dollars sur Trump et Netanyahou

  • Lockheed Martin : revendication d’une fuite de 375 To et divulgation des données personnelles de 28 ingénieurs

    • Sous le nom « APT Iran », les attaquants ont revendiqué le vol de 375 To de données et leur vente sur le dark web (de 400 à 598 millions de dollars), en affirmant notamment détenir des plans liés au F-35, sans preuve vérifiée
    • Handala a publié les données personnelles et proféré des menaces contre 28 ingénieurs des programmes F-35, F-22 et THAAD, dans ce qui est décrit comme un cas de doxxing piloté par un État

  • Fuite des e-mails personnels du directeur du FBI

    • Le 27 mars 2026, Handala a publié plus de 300 e-mails, photos et CV issus du Gmail personnel du directeur du FBI Kash Patel
    • L’attaque reposait sur du credential stuffing basé sur la réutilisation de mots de passe, avec une complexité technique faible
    • Cette publication de représailles, survenue huit jours après la saisie de domaines par le FBI, constituait une démonstration symbolique : « nous pouvons lire les e-mails du directeur du FBI »

  • Intrusion dans le réseau d’interception du FBI

    • Des anomalies ont été détectées le 17 février 2026, et le 23 mars l’affaire a été classée juridiquement comme major incident
    • Les attaquants ont utilisé l’infrastructure d’un FAI commercial pour contourner les contrôles de sécurité du FBI et accéder à son réseau interne d’interception et de surveillance
    • Il s’agit d’une intrusion exploitant la confiance dans la supply chain, jugée bien plus grave que l’affaire des e-mails personnels de Patel

Cas de compromission d’entreprises et d’infrastructures mondiales

  • Détournement du compte npm d’Axios

    • Le 31 mars 2026, le compte npm de la bibliothèque Axios a été compromis, et les versions malveillantes 1.14.1 et 0.30.4 ont été publiées
    • Pendant environ 2 à 3 heures, un package téléchargé environ 100 millions de fois a été infecté, installant un RAT dans tous les pipelines CI
    • Google Threat Intelligence Group a attribué publiquement l’attaque à UNC1069, lié à la Corée du Nord
    • L’intrusion, fondée sur l’ingénierie sociale avec création de fausses entreprises et manipulation d’environnements collaboratifs Slack et Teams, est considérée comme l’attaque npm la plus sophistiquée depuis la backdoor de XZ Utils

  • Cisco : compromission de la supply chain Trivy et extorsion de données Salesforce

    • En mars 2026, une attaque de supply chain contre Trivy a compromis l’environnement de développement interne de Cisco, avec 300 dépôts GitHub clonés
    • ShinyHunters a revendiqué le vol de 3 millions d’enregistrements Salesforce et formulé des demandes d’argent
    • Cisco a reconnu une partie des faits, montrant que même les entreprises matures en sécurité restent vulnérables à la fois sur la supply chain et sur le SaaS

  • Mercor : un point de faiblesse unique dans le pipeline de données clé de l’industrie IA

    • Startup chargée du pipeline de données d’entraînement de grands laboratoires d’IA comme OpenAI, Anthropic et Meta

      • En mars 2026, la compromission de la bibliothèque LiteLLM a permis de voler des identifiants, ainsi que de faire fuiter des données d’entraînement IA et des protocoles de labellisation
      • Lapsus$ a revendiqué l’intrusion suivante et publié 4 To de données, dont des dumps Slack internes, des clés API et des vidéos de conversations avec des prestataires IA
      • Meta a suspendu son contrat avec Mercor, mettant en lumière la dépendance de l’industrie IA à un petit nombre de startups et de composants open source

  • Oracle Cloud : 6 millions d’enregistrements divulgués et le problème du « cloud legacy »

    • Le 21 mars 2026, le hacker « rose87168 » a revendiqué la vente de 6 millions d’enregistrements Oracle Cloud

    • Compromission d’Oracle Access Manager via la vulnérabilité CVE-2021-35587, avec impact sur 140 000 tenants

      • Après avoir d’abord nié, Oracle a reconnu un accès à un environnement legacy, et la presse a fait état d’une exposition potentielle des données de jusqu’à 80 hôpitaux
      • L’affaire a mis en évidence les risques d’infrastructures anciennes non décommissionnées (Shadow Legacy)

  • Rockstar Games : intrusion via une intégration SaaS

    • Début avril 2026, ShinyHunters a revendiqué une compromission de Rockstar Games, que Rockstar a reliée à une compromission du SaaS Anodot
    • Les attaquants ont volé des tokens d’authentification Anodot puis accédé à une instance Snowflake, révélant la fragilité de la chaîne de confiance entre SaaS et data warehouse

  • Paralysie des systèmes aériens européens

    • Le 6 avril 2026, les systèmes d’enregistrement et de gestion des bagages d’aéroports comme Heathrow, Charles-de-Gaulle, Francfort et Copenhague ont été simultanément paralysés
    • Plus de 1 600 vols annulés ou retardés en une journée, à cause de la plateforme MUSE de Collins Aerospace
    • L’EASA a indiqué qu’entre 2024 et 2025, les cyberattaques visant l’aviation avaient augmenté de 600 %, pour atteindre environ 1 000 incidents par mois

  • Piratage du NSCC chinois

    • Le hacker FlamingChina a revendiqué le vol de 10 pétaoctets de données au National Supercomputing Center de Tianjin (NSCC)
    • Les données incluraient des fichiers de simulation pour l’aéronautique et la défense, ainsi que des documents de l’Université nationale des technologies de défense, selon CNN et d’autres médias occidentaux
    • Après une compromission d’un domaine VPN, l’exfiltration serait restée discrète pendant six mois ; le gouvernement chinois n’a fait aucune déclaration officielle

  • Volt Typhoon et Salt Typhoon

    • Volt Typhoon infiltre les infrastructures critiques américaines depuis 2021, tandis que Salt Typhoon a compromis des opérateurs télécoms et des systèmes d’interception américains entre 2024 et 2025
    • Les incidents de 2026 sont analysés comme des manifestations visibles reposant sur ces intrusions de long terme

  • Honda : une accumulation de compromissions multiples

    • Multiples incidents, dont une vulnérabilité API sur la plateforme e-commerce, une faille dans la procédure de réinitialisation de mot de passe, et une attaque du ransomware PLAY
    • Pris isolément, les dommages sont limités, mais l’ensemble illustre le déséquilibre entre la maturité sécurité des grands groupes et leur surface d’attaque

Signaux anormaux autour de l’IA et réponse des gouvernements

  • Forte hausse des attaques fondées sur l’IA

    • Les données liées à l’IA sur 2025-2026 montrent à la fois une automatisation croissante des attaques et une explosion des menaces
    • Hausse de 1 265 % des e-mails de phishing générés par IA, 82,6 % de l’ensemble du phishing étant généré par IA
    • Pendant la période des congés, la part générée par IA est passée de 4 % à 56 %, tandis que le vishing a augmenté de 442 % et le phishing par QR code de 400 %
    • L’IA peut produire un e-mail de spearphishing en 5 minutes, avec un taux de clic de 54 %, soit plus de 4 fois celui des e-mails rédigés par des humains (12 %)

  • Usage de l’IA par la Corée du Nord

    • Microsoft a explicitement indiqué que deux acteurs nord-coréens, Jasper Sleet et Coral Sleet, utilisent l’IA de la phase de reconnaissance jusqu’aux activités post-intrusion
    • Le groupe Kimsuky a utilisé ChatGPT pour falsifier des cartes d’identité de l’armée et du gouvernement sud-coréens
    • Le département du Trésor américain a sanctionné un réseau de travailleurs IT nord-coréens se faisant embaucher sous couverture grâce à des CV et réponses d’entretien générés par IA

  • Fraude financière au deepfake IA

    • Un incident a vu un transfert de 25 millions de dollars être déclenché lors d’une visioconférence Teams composée de vidéos générées par IA d’un CFO et de collègues

  • Capacités offensives des modèles d’IA

    • Le modèle Mythos d’Anthropic a réalisé des simulations d’intrusion plus rapidement que GPT-4o (6,2 heures contre 10,4 heures) et détecté 73 % des vulnérabilités applicatives
    • Anthropic garde Mythos non public et ne le fournit de façon limitée qu’à 40 entreprises, dont Microsoft et Google
    • OpenAI prévoit aussi une diffusion restreinte d’un modèle similaire via le programme Trusted Access for Cyber

  • Réponse d’urgence du gouvernement américain

    • Le 7 avril 2026, le secrétaire américain au Trésor Scott Bessent et le président de la Réserve fédérale Jerome Powell ont convoqué à Washington les CEO des cinq plus grandes banques
    • Motif : Anthropic aurait signalé que Mythos avait découvert des milliers de vulnérabilités zero-day sur tous les principaux OS et navigateurs
    • Le gouvernement l’a considéré comme une menace de niveau stabilité financière et a organisé un briefing confidentiel au plus haut niveau

Résumé d’ensemble des incidents du 1er trimestre 2026

  • Rien qu’entre janvier et avril, plus de 40 incidents majeurs ont été rendus publics, et le nombre réel se compterait en centaines
    • La seule campagne Salesforce de SLH aurait touché 300 à 400 organisations et entraîné la fuite de 1,5 milliard d’enregistrements
    • 672 attaques par ransomware en mars 2026, dont 40 % attribuées à Qilin, Akira et DragonForce
  • Par rapport à 2025, les attaques par ransomware ont augmenté de 49 %, le secteur de la santé représentant 22 % des cas

Pourquoi un tel silence ?

  • Malgré l’ampleur des incidents, la réaction des médias grand public et du débat public reste faible
    • Parmi les causes avancées : le coût politique de l’attribution à des États, les intérêts commerciaux de l’industrie de la sécurité, la fatigue cyber, et une cohabitation inconfortable avec l’industrie de l’IA

  • Si l’information circule au sommet de l’État, le silence demeure dans le débat public

    • Les 100 premiers jours de 2026 sont considérés comme l’une des périodes les plus importantes de l’histoire du cyber, et le silence même du débat public pourrait être retenu comme un phénomène historique digne d’attention

À lire aussi

1 commentaires

 
GN⁺ 16 일 전
Commentaires sur Hacker News

  • Dans le cadre d’un travail de due diligence technique, je rédige du contenu sur la sécurité à l’ère de la gen-AI du point de vue de l’investissement PE
    Après mes recherches des 6 derniers mois, j’ai réalisé que nous entrons de fait dans une apocalypse du ransomware
    La gen-AI est devenue l’outil parfait pour les cybercriminels. Elle permet de créer automatiquement des milliers de faux sites et profils, de neutraliser les systèmes de confiance basés sur les publicités ou les liens, et les attaques de phishing mêlant voix, texte et vidéo deviennent courantes
    Les attaques sur la supply chain transforment les gestionnaires de paquets en bombes, et les gangs de ransomware vendent désormais leurs outils d’attaque sous forme de SaaS
    Des techniques autrefois réservées à des attaques de niveau étatique se négocient maintenant pour une bouchée de pain. En plus, la gen-AI provoque une explosion du code vulnérable
    Si vous êtes jeune dans la tech, il serait judicieux de vous orienter vers la sécurité. Le monde qui arrive va être vraiment dingue

    • Les gens semblent mal mesurer à quel point la genAI constitue une menace existentielle pour Internet lui-même
      Nous sommes entrés dans une époque où l’on ne peut plus faire confiance aux informations du web, ni même avoir vraiment besoin du web
      J’espère que les mécanismes de défense se mettront en place à temps et que la sécurité imprégnera l’ensemble de la culture informatique
    • Malgré tout, je continue à recommander l’ingénierie logicielle
      Dans la plupart des entreprises, la sécurité reste un poste de coût, et elles ne s’y intéressent que lorsqu’un incident éclate
      En revanche, le SaaS de sécurité génère des revenus, donc ce secteur-là est prometteur
    • Si l’IA peut mener ce type d’attaques, il n’y a pas de raison que les ingénieurs sécurité ne soient pas eux aussi remplacés par l’IA
    • Au final, j’ai l’impression que les gens ordinaires vont être exclus d’Internet. Cela va devenir trop dangereux
    • L’avenir n’appartient pas à ceux qui n’ont que des certifications, comme les CISSP ou opérateurs SOC
      Il faut devenir un véritable ingénieur qui comprend les fondamentaux du développement, les internals des OS, les technologies web, les algorithmes, ainsi que les concepts d’attaque et de défense
      Il est triste de voir que beaucoup de « diplômés en cybersécurité » en Amérique du Nord n’atteignent même pas le niveau d’un support helpdesk L1

  • Ce qui est étrange, c’est que le 7 avril 2026, le secrétaire américain au Trésor et le président de la Fed ont convoqué d’urgence les CEO des grandes banques pour les briefer directement sur les risques cyber liés à Mythos d’Anthropic
    Une réunion similaire a aussi eu lieu au Canada. Il est très inhabituel que plusieurs banques centrales organisent ce type de réunion en même temps

    • Il y a probablement deux possibilités
      1. une vulnérabilité de grande ampleur a été découverte dans des paquets logiciels majeurs, mettant le secteur financier en danger
      2. des vulnérabilités ont été découvertes simultanément dans plusieurs paquets, faisant craindre un choc de marché
        À l’approche des élections, l’instabilité économique représente aussi un risque politique majeur
    • Dans la finance traditionnelle, même si l’argent est volé, il existe des systèmes permettant de revenir en arrière ; je me demande donc comment la sortie des fonds est possible
      Ce n’est pas une architecture irréversible comme dans la crypto
    • Le seul point rassurant, c’est que le gouvernement ne peut pas utiliser les produits d’Anthropic

  • La plupart de ces incidents ont déjà été traités sur Hacker News
    Les entreprises doivent gérer leur niveau de sécurité par couches. On ne peut pas tout protéger, et pour les actifs importants il faut accepter des coûts et des contraintes
    Dans l’aérospatial, dès qu’un projet passait en classification SECRET, les coûts doublaient. En TOP SECRET, c’était encore pire
    Les banques et les sociétés de cartes comprennent cette réalité, mais pas la plupart des entreprises

    • Ce genre de discussion revient régulièrement sur HN, mais le vrai problème est l’attitude moqueuse qui refuse de reconnaître la gravité de la sécurité
      On voit beaucoup de réactions du style : « J’ai déjà tout lu, qu’est-ce qu’il y a de nouveau ? »
    • La méthode de sécurité la plus efficace consiste à séparer complètement le PC connecté à Internet du PC utilisé pour les données sensibles
      Cela dit, c’est peu pratique car il faut utiliser au moins deux ordinateurs
      Une alternative réaliste consiste à n’autoriser l’accès à Internet qu’à une VM temporaire connectée via un protocole comme RDP

  • J’ai fait une bonne carrière comme responsable sécurité et je suis passé par plusieurs entreprises en tant que spécialiste de la gestion des risques
    Mais le jeu a complètement changé. Je prévois de partir à la retraite dans l’année et de me reconvertir dans un métier sans rapport avec l’IA (infirmier, plombier, etc.)
    J’ai le sentiment qu’il faut assurer une indépendance financière à l’épreuve de l’IA avant qu’elle ne domine tout
    Beaucoup de professionnels de la sécurité pensent la même chose
    Si les entreprises ne contrôlent pas l’adoption d’IA qui absorbent des PII à partir des documents internes, le chaos des 0-day façon années 1990 reviendra
    Les équipes sécurité s’effondreront sous la surcharge et le burnout, et l’adoption de l’IA finira par supprimer leurs propres emplois
    La prochaine récession mettra cette réalité en pleine lumière

    • Je comprends ce point de vue, mais jusqu’ici le monde a surtout évolué dans le sens de « rien ne se passe vraiment »
      Il est bon de se préparer financièrement, mais il faut aussi se méfier d’un pessimisme excessif
    • Les infirmiers ou les assistants auront eux aussi du mal à échapper à l’impact de l’IA
      Le travail manuel est pénible et mal payé. Il est même possible que les experts sécurité deviennent encore plus nécessaires
    • Il existe actuellement 4,8 millions de postes vacants dans la sécurité à l’échelle mondiale
      La demande est de 10,2 millions de personnes, mais l’offre n’en couvre qu’environ la moitié
      La croissance du secteur a ralenti à 0,1 %, et avec le départ des seniors, le taux de réussite des attaques augmente fortement
      Il y a presque aucune chance que la situation s’améliore à court terme
    • Si vous êtes ingénieur logiciel, je pense qu’il existe aujourd’hui un devoir moral de participer à la défense contre l’IA
      Il faut se protéger soi-même et protéger la société contre l’IA malveillante
    • D’un côté, il y a le FOMO pour entrer dans la sécurité ; de l’autre, une ambiance de FUD
      La réalité se situe probablement quelque part entre les deux

  • Autrefois, quelques Go de fuite de données suffisaient à faire scandale ; aujourd’hui, on se fait piller à l’échelle du téraoctet et du pétaoctet

    • Mauvaise nouvelle : toutes les données personnelles détenues par les data brokers finiront bientôt par être exposées
      Bonne nouvelle : les données des responsables politiques le seront aussi, ce qui pourrait déclencher un débat sur la régulation

  • Si Mythos a découvert des milliers de zero-day dans les principaux OS et navigateurs, il est probable que les services de renseignement les aient déjà obtenus
    À ce stade, il n’y a même plus besoin de backdoor
    Mais on peut se demander si les éditeurs de logiciels ont bien reçu la liste de ces vulnérabilités

  • Le texte est difficile à lire à cause du style typique des LLM
    Des formulations comme « le silence du débat public n’a pas été brisé » reviennent sans cesse et donnent une impression d’exagération

  • L’équipe marketing d’Anthropic est franchement redoutable. Je me demande si Opus a élaboré cette stratégie

    • Le marketing par la peur est une tradition dans l’industrie de la sécurité
      Les affirmations techniques ne sont peut-être pas exagérées, mais il est absurde de penser qu’une seule entreprise serait la seule digne de confiance
    • Si les capacités de Mythos sont réelles, les grands groupes tech finiront rapidement par le confirmer
      Si c’est du bluff, cela se verra très vite
    • La combinaison de l’IA et de la sécurité semble désormais constituer un genre à part entière

  • En réalité, la situation n’est pas aussi folle que cela. C’est surtout un biais de récence
    La qualité du spam s’améliore, il y a des progrès comme le clonage vocal ou l’automatisation des attaques à grande échelle, mais la plupart des attaques exploitent encore des vulnérabilités n-day

  • En août 2025, il a été intéressant d’apprendre que les groupes de hackers notoires ShinyHunters, Scattered Spider et LAPSUS$ avaient fusionné pour former une alliance cybercriminelle baptisée « Scattered LAPSUS$ Hunters (SLH) »
    On dirait une intégration verticale en mode SaaS, comme dans une opération de M&A entre startups
    Je me demande si une restructuration interne des effectifs a pu être menée de façon « physique »

    • Ces groupes fonctionnent pratiquement comme des entreprises ou des administrations
      L’expérience en interne n’est pas si différente de celle d’une société tech ordinaire