La chronologie des piratages de cette année est délirante

 (ringmast4r.substack.com)
5 points par GN⁺ 15 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Pendant environ 100 jours au début de 2026, des cyberattaques massives impliquant des États et des organisations criminelles se sont succédé, à un niveau considéré comme un tournant dans l’histoire de la sécurité informatique
  • Les attaques se répartissent en quatre clusters — Iran, SLH, Corée du Nord, Russie — avec une structure commune : l’exploitation de la supply chain et des relations de confiance
  • Parmi les principaux dommages figurent l’effacement de 200 000 systèmes de Stryker, la revendication d’une fuite de 375 To chez Lockheed Martin, la fuite des e-mails du directeur du FBI, l’infection du package npm Axios, ainsi que des compromissions chez Oracle, Cisco, Rockstar et Mercor
  • Les technologies d’IA sont utilisées pour automatiser les attaques, avec une hausse de 1 265 % du phishing généré par IA, une hausse de 442 % du vishing, ainsi que de nouvelles formes de fraude financière par deepfake IA
  • Les gouvernements et l’industrie réagissent hors de la vue du public, mais le silence du débat public et l’asymétrie de l’information ressortent fortement, au point que ces 100 jours sont jugés comme l’une des périodes les plus critiques de l’histoire du cyber

Vue d’ensemble des incidents cyber majeurs sur les 100 premiers jours de 2026

  • Au cours des quatre premiers mois de 2026, de grandes cyberattaques impliquant des États et des organisations criminelles comme la Chine, l’Iran, la Corée du Nord et la Russie se sont succédé
    • fuite de 10 pétaoctets depuis un supercalculateur d’État chinois, paralysie totale de Stryker dans 79 pays, revendication d’une fuite de 375 To chez Lockheed Martin, fuite des e-mails personnels du directeur du FBI, intrusion dans le réseau d’interception du FBI, et atteintes touchant de nombreuses entreprises comme Rockstar Games, Cisco, Oracle ou Mercor
  • Sur environ 100 jours, ces événements ont de fortes chances d’être retenus comme un tournant dans l’histoire de la sécurité informatique
  • Pourtant, le débat public est presque inexistant, et l’écart entre les réponses non publiques des gouvernements et de l’industrie et le silence du discours public ressort nettement

Les quatre principaux clusters d’attaque

  • Les attaques de 2026 se répartissent en quatre clusters — Iran, SLH, Corée du Nord, Russie — qui partagent tous la même structure : l’exploitation de la supply chain et des relations de confiance

  • Cluster 1 : Iran / Handala / Void Manticore

    • Opérations destructrices pilotées par un État ; Palo Alto Networks Unit 42 a identifié Void Manticore comme un acteur lié au ministère iranien du Renseignement et de la Sécurité (MOIS)
    • Des attaques contre l’industrie, la défense et des organismes gouvernementaux américains ont été menées sous le nom de Handala Hack Team, avec revendication de représailles pour le bombardement de l’école de Minab en février 2026 (175 morts)
    • Victimes : Stryker (effacement de 200 000 équipements), Lockheed Martin (revendication d’une fuite de 375 To, divulgation des données personnelles de 28 ingénieurs), fuite des e-mails personnels du directeur du FBI

  • Cluster 2 : Scattered LAPSUS$ Hunters (SLH)

    • Organisation d’extorsion et de vol massif de données SaaS à but financier, formée en août 2025 par la combinaison de ShinyHunters, Scattered Spider et LAPSUS$
    • Dans la campagne Salesforce, 300 à 400 organisations et 1,5 milliard d’enregistrements Salesforce volés, avec parmi les victimes Google, Cisco, LVMH, Okta, AMD, Snowflake, etc.
    • Les méthodes d’attaque ont évolué du vol de tokens OAuth vers la manipulation de la MFA par téléphone, et le vishing est désigné comme le principal facteur de compromission d’entreprises en 2026

  • Cluster 3 : Corée du Nord / UNC1069

    • Attaques à but financier centrées sur la compromission de la supply chain open source, dont l’affaire du détournement du package npm Axios est emblématique
    • Les attaquants ont gagné la confiance des mainteneurs via de fausses sociétés et de faux environnements Slack et Teams, avant de détourner des comptes npm et d’insérer un RAT dans une bibliothèque téléchargée 100 millions de fois par semaine
    • L’attaque de supply chain contre Trivy chez Cisco suit un schéma comparable fondé sur la confiance

  • Cluster 4 : Russie / APT28

    • Attaques zero-day contre l’Ukraine et l’UE, exploitant une vulnérabilité Microsoft Office (CVE-2026-21509)
    • Plus de 60 comptes e-mail européens et des organismes gouvernementaux ukrainiens ont été visés, avec pour caractéristiques l’exploitation des relations de confiance et la rapidité de l’armement
    • Les quatre clusters exploitent tous une réalité où les périmètres défensifs des entreprises occidentales ont été remplacés par la confiance accordée à la supply chain
    • L’Iran vise la destruction, SLH le vol financier, la Corée du Nord l’infection des développeurs, et la Russie la collecte de renseignement

Détails des principaux incidents

  • Stryker : attaque wiper en temps réel contre un groupe mondial de dispositifs médicaux

    • Le 11 mars 2026, Stryker Corporation a été paralysée à l’échelle mondiale
    • Les attaquants ont compromis un compte administrateur de domaine Windows, créé un administrateur global dans Microsoft Entra et Intune, puis déclenché des commandes d’effacement à distance, entraînant la suppression de 200 000 systèmes
    • Cela a provoqué des retards de soins aux patients, avec notamment des interventions hospitalières reportées ; Handala a revendiqué l’attaque
    • Le FBI a saisi quatre domaines liés à Handala et annoncé une récompense de 10 millions de dollars, à quoi Handala a répondu par une contre-prime de 50 millions de dollars sur Trump et Netanyahou

  • Lockheed Martin : revendication d’une fuite de 375 To et divulgation des données personnelles de 28 ingénieurs

    • Sous le nom « APT Iran », les attaquants ont revendiqué le vol de 375 To de données et leur vente sur le dark web (de 400 à 598 millions de dollars), en affirmant notamment détenir des plans liés au F-35, sans preuve vérifiée
    • Handala a publié les données personnelles et proféré des menaces contre 28 ingénieurs des programmes F-35, F-22 et THAAD, dans ce qui est décrit comme un cas de doxxing piloté par un État

  • Fuite des e-mails personnels du directeur du FBI

    • Le 27 mars 2026, Handala a publié plus de 300 e-mails, photos et CV issus du Gmail personnel du directeur du FBI Kash Patel
    • L’attaque reposait sur du credential stuffing basé sur la réutilisation de mots de passe, avec une complexité technique faible
    • Cette publication de représailles, survenue huit jours après la saisie de domaines par le FBI, constituait une démonstration symbolique : « nous pouvons lire les e-mails du directeur du FBI »

  • Intrusion dans le réseau d’interception du FBI

    • Des anomalies ont été détectées le 17 février 2026, et le 23 mars l’affaire a été classée juridiquement comme major incident
    • Les attaquants ont utilisé l’infrastructure d’un FAI commercial pour contourner les contrôles de sécurité du FBI et accéder à son réseau interne d’interception et de surveillance
    • Il s’agit d’une intrusion exploitant la confiance dans la supply chain, jugée bien plus grave que l’affaire des e-mails personnels de Patel

Cas de compromission d’entreprises et d’infrastructures mondiales

  • Détournement du compte npm d’Axios

    • Le 31 mars 2026, le compte npm de la bibliothèque Axios a été compromis, et les versions malveillantes 1.14.1 et 0.30.4 ont été publiées
    • Pendant environ 2 à 3 heures, un package téléchargé environ 100 millions de fois a été infecté, installant un RAT dans tous les pipelines CI
    • Google Threat Intelligence Group a attribué publiquement l’attaque à UNC1069, lié à la Corée du Nord
    • L’intrusion, fondée sur l’ingénierie sociale avec création de fausses entreprises et manipulation d’environnements collaboratifs Slack et Teams, est considérée comme l’attaque npm la plus sophistiquée depuis la backdoor de XZ Utils

  • Cisco : compromission de la supply chain Trivy et extorsion de données Salesforce

    • En mars 2026, une attaque de supply chain contre Trivy a compromis l’environnement de développement interne de Cisco, avec 300 dépôts GitHub clonés
    • ShinyHunters a revendiqué le vol de 3 millions d’enregistrements Salesforce et formulé des demandes d’argent
    • Cisco a reconnu une partie des faits, montrant que même les entreprises matures en sécurité restent vulnérables à la fois sur la supply chain et sur le SaaS

  • Mercor : un point de faiblesse unique dans le pipeline de données clé de l’industrie IA

    • Startup chargée du pipeline de données d’entraînement de grands laboratoires d’IA comme OpenAI, Anthropic et Meta

      • En mars 2026, la compromission de la bibliothèque LiteLLM a permis de voler des identifiants, ainsi que de faire fuiter des données d’entraînement IA et des protocoles de labellisation
      • Lapsus$ a revendiqué l’intrusion suivante et publié 4 To de données, dont des dumps Slack internes, des clés API et des vidéos de conversations avec des prestataires IA
      • Meta a suspendu son contrat avec Mercor, mettant en lumière la dépendance de l’industrie IA à un petit nombre de startups et de composants open source

  • Oracle Cloud : 6 millions d’enregistrements divulgués et le problème du « cloud legacy »

    • Le 21 mars 2026, le hacker « rose87168 » a revendiqué la vente de 6 millions d’enregistrements Oracle Cloud

    • Compromission d’Oracle Access Manager via la vulnérabilité CVE-2021-35587, avec impact sur 140 000 tenants

      • Après avoir d’abord nié, Oracle a reconnu un accès à un environnement legacy, et la presse a fait état d’une exposition potentielle des données de jusqu’à 80 hôpitaux
      • L’affaire a mis en évidence les risques d’infrastructures anciennes non décommissionnées (Shadow Legacy)

  • Rockstar Games : intrusion via une intégration SaaS

    • Début avril 2026, ShinyHunters a revendiqué une compromission de Rockstar Games, que Rockstar a reliée à une compromission du SaaS Anodot
    • Les attaquants ont volé des tokens d’authentification Anodot puis accédé à une instance Snowflake, révélant la fragilité de la chaîne de confiance entre SaaS et data warehouse

  • Paralysie des systèmes aériens européens

    • Le 6 avril 2026, les systèmes d’enregistrement et de gestion des bagages d’aéroports comme Heathrow, Charles-de-Gaulle, Francfort et Copenhague ont été simultanément paralysés
    • Plus de 1 600 vols annulés ou retardés en une journée, à cause de la plateforme MUSE de Collins Aerospace
    • L’EASA a indiqué qu’entre 2024 et 2025, les cyberattaques visant l’aviation avaient augmenté de 600 %, pour atteindre environ 1 000 incidents par mois

  • Piratage du NSCC chinois

    • Le hacker FlamingChina a revendiqué le vol de 10 pétaoctets de données au National Supercomputing Center de Tianjin (NSCC)
    • Les données incluraient des fichiers de simulation pour l’aéronautique et la défense, ainsi que des documents de l’Université nationale des technologies de défense, selon CNN et d’autres médias occidentaux
    • Après une compromission d’un domaine VPN, l’exfiltration serait restée discrète pendant six mois ; le gouvernement chinois n’a fait aucune déclaration officielle

  • Volt Typhoon et Salt Typhoon

    • Volt Typhoon infiltre les infrastructures critiques américaines depuis 2021, tandis que Salt Typhoon a compromis des opérateurs télécoms et des systèmes d’interception américains entre 2024 et 2025
    • Les incidents de 2026 sont analysés comme des manifestations visibles reposant sur ces intrusions de long terme

  • Honda : une accumulation de compromissions multiples

    • Multiples incidents, dont une vulnérabilité API sur la plateforme e-commerce, une faille dans la procédure de réinitialisation de mot de passe, et une attaque du ransomware PLAY
    • Pris isolément, les dommages sont limités, mais l’ensemble illustre le déséquilibre entre la maturité sécurité des grands groupes et leur surface d’attaque

Signaux anormaux autour de l’IA et réponse des gouvernements

  • Forte hausse des attaques fondées sur l’IA

    • Les données liées à l’IA sur 2025-2026 montrent à la fois une automatisation croissante des attaques et une explosion des menaces
    • Hausse de 1 265 % des e-mails de phishing générés par IA, 82,6 % de l’ensemble du phishing étant généré par IA
    • Pendant la période des congés, la part générée par IA est passée de 4 % à 56 %, tandis que le vishing a augmenté de 442 % et le phishing par QR code de 400 %
    • L’IA peut produire un e-mail de spearphishing en 5 minutes, avec un taux de clic de 54 %, soit plus de 4 fois celui des e-mails rédigés par des humains (12 %)

  • Usage de l’IA par la Corée du Nord

    • Microsoft a explicitement indiqué que deux acteurs nord-coréens, Jasper Sleet et Coral Sleet, utilisent l’IA de la phase de reconnaissance jusqu’aux activités post-intrusion
    • Le groupe Kimsuky a utilisé ChatGPT pour falsifier des cartes d’identité de l’armée et du gouvernement sud-coréens
    • Le département du Trésor américain a sanctionné un réseau de travailleurs IT nord-coréens se faisant embaucher sous couverture grâce à des CV et réponses d’entretien générés par IA

  • Fraude financière au deepfake IA

    • Un incident a vu un transfert de 25 millions de dollars être déclenché lors d’une visioconférence Teams composée de vidéos générées par IA d’un CFO et de collègues

  • Capacités offensives des modèles d’IA

    • Le modèle Mythos d’Anthropic a réalisé des simulations d’intrusion plus rapidement que GPT-4o (6,2 heures contre 10,4 heures) et détecté 73 % des vulnérabilités applicatives
    • Anthropic garde Mythos non public et ne le fournit de façon limitée qu’à 40 entreprises, dont Microsoft et Google
    • OpenAI prévoit aussi une diffusion restreinte d’un modèle similaire via le programme Trusted Access for Cyber

  • Réponse d’urgence du gouvernement américain

    • Le 7 avril 2026, le secrétaire américain au Trésor Scott Bessent et le président de la Réserve fédérale Jerome Powell ont convoqué à Washington les CEO des cinq plus grandes banques
    • Motif : Anthropic aurait signalé que Mythos avait découvert des milliers de vulnérabilités zero-day sur tous les principaux OS et navigateurs
    • Le gouvernement l’a considéré comme une menace de niveau stabilité financière et a organisé un briefing confidentiel au plus haut niveau

Résumé d’ensemble des incidents du 1er trimestre 2026

  • Rien qu’entre janvier et avril, plus de 40 incidents majeurs ont été rendus publics, et le nombre réel se compterait en centaines
    • La seule campagne Salesforce de SLH aurait touché 300 à 400 organisations et entraîné la fuite de 1,5 milliard d’enregistrements
    • 672 attaques par ransomware en mars 2026, dont 40 % attribuées à Qilin, Akira et DragonForce
  • Par rapport à 2025, les attaques par ransomware ont augmenté de 49 %, le secteur de la santé représentant 22 % des cas

Pourquoi un tel silence ?

  • Malgré l’ampleur des incidents, la réaction des médias grand public et du débat public reste faible
    • Parmi les causes avancées : le coût politique de l’attribution à des États, les intérêts commerciaux de l’industrie de la sécurité, la fatigue cyber, et une cohabitation inconfortable avec l’industrie de l’IA

  • Si l’information circule au sommet de l’État, le silence demeure dans le débat public

    • Les 100 premiers jours de 2026 sont considérés comme l’une des périodes les plus importantes de l’histoire du cyber, et le silence même du débat public pourrait être retenu comme un phénomène historique digne d’attention

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.