📢 Actualité Cybersécurité – Semaine du 02 au 08 mars 2026

🙋‍♂️Introduction

La première semaine de mars 2026 a confirmé la forte intensité de la menace cyber à l’échelle mondiale. Entre cyberattaques ciblant des organisations publiques et privées, révélations de fuites de données et nouvelles vulnérabilités logicielles majeures, les acteurs de la cybersécurité ont dû faire face à un environnement toujours plus complexe. Cette période illustre également l’influence croissante des tensions géopolitiques sur les cyber opérations et l’importance des politiques de gestion des vulnérabilités et de protection des données.

🗼Zoom France

1- Cyberattaque par rançongiciel contre le Centre des Monuments Nationaux

Le 2 mars 2026, le Centre des monuments nationaux (CMN) a été touché indirectement par une cyberattaque de type rançongiciel visant son prestataire de billetterie en ligne. Cette attaque a perturbé le fonctionnement du système de réservation de billets pour plusieurs sites culturels français.

Selon les informations communiquées aux clients, certaines données personnelles pourraient avoir été exposées, notamment les adresses e-mail, les noms, les prénoms, les pays ou codes postaux, l’historique d’achats ainsi que des mots de passe stockés sous forme chiffrée.

En revanche, les autorités ont précisé que les données bancaires ne sont pas concernées, car elles sont gérées par un prestataire de paiement distinct du système de billetterie compromis.

L’incident a été signalé aux autorités compétentes, notamment la Commission nationale de l’informatique et des libertés (CNIL) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui suivent l’enquête avec le ministère de la Culture.

Le CMN, qui gère plus d’une centaine de monuments comme l’Arc de Triomphe ou le Mont-Saint-Michel, travaille avec son prestataire pour restaurer le service et sécuriser les systèmes. Les utilisateurs sont invités à rester vigilants face à d’éventuels emails frauduleux et à modifier leurs mots de passe par précaution.

Un post Reddit relaie essentiellement ces informations et souligne que l’attaque pourrait être liée à une faille dans la chaîne d’approvisionnement (supply chain), puisque le point d’entrée se situe chez un prestataire externe plutôt que dans l’infrastructure directe de l’institution.

✅ En résumé

Une cyberattaque par rançongiciel visant le prestataire de billetterie du Centre des monuments nationaux a potentiellement exposé certaines données personnelles de visiteurs, sans compromettre les informations bancaires. L’incident fait l’objet d’une enquête par les autorités françaises et souligne les risques liés à la sécurité des prestataires tiers dans les infrastructures numériques.

(sources : franceinfo.fr, reddit.com, lechotouristique.com)

2- Un outil d’audit de confidentialité pour les modèles d’IA

L’Agence nationale de la sécurité des systèmes d’information et la Commission nationale de l’informatique et des libertés ont lancé un appel à participation pour tester un nouvel outil destiné à évaluer la confidentialité des modèles d’intelligence artificielle. Cet outil s’inscrit dans le projet PANAME (Privacy Auditing of AI Models), lancé en 2025 avec plusieurs partenaires de la recherche et de l’administration française.

Le projet PANAME vise à développer une bibliothèque logicielle permettant d’auditer les modèles d’IA, notamment ceux entraînés avec des données personnelles. L’objectif est de vérifier si ces modèles peuvent révéler ou mémoriser des informations issues de leurs données d’entraînement.

Concrètement, l’outil doit permettre de réaliser des tests techniques d’extraction ou de réidentification de données afin d’évaluer les risques de fuite d’informations et la conformité des systèmes d’IA au Règlement général sur la protection des données (RGPD).

Ces tests sont importants car certains modèles d’IA peuvent involontairement mémoriser des données personnelles, ce qui pose des questions juridiques et de sécurité.

🤝 Un projet collaboratif entre institutions publiques et recherche

Le projet PANAME repose sur un consortium associant plusieurs acteurs publics :

• la Commission nationale de l’informatique et des libertés (pilotage et cadrage juridique),
• l’Agence nationale de la sécurité des systèmes d’information (expertise cybersécurité),
• le Pôle d’expertise de la régulation numérique (développement technique),
• et Inria via le projet de recherche IPoP (direction scientifique).

Le développement de cet outil s’étend sur environ 18 mois et devrait aboutir à une librairie logicielle partiellement open source afin de faciliter son adoption par les organisations.

📝 Une phase de test ouverte aux entreprises et administrations

Après une phase initiale de conception, les institutions ont lancé un appel à manifestation d’intérêt afin d’impliquer des administrations et des entreprises dans la phase de test de l’outil.

Les organisations sélectionnées pourront expérimenter l’outil sur leurs propres systèmes d’IA pour vérifier sa pertinence dans des cas d’usage réels. Les candidatures sont ouvertes aux entités publiques et privées établies dans l’Union européenne, avec une échéance fixée au 28 mars 2026.

🎯 Objectif : faciliter la conformité des systèmes d’IA

Au-delà de la recherche technique, l’objectif est de standardiser et simplifier l’évaluation de la confidentialité des modèles d’IA, aujourd’hui difficile à mettre en œuvre dans les environnements industriels.

L’outil doit ainsi permettre aux entreprises et administrations de vérifier plus facilement si leurs modèles d’IA respectent les exigences réglementaires européennes en matière de protection des données.

✅ En résumé

L’ANSSI et la CNIL développent, via le projet PANAME, un outil permettant d’auditer la confidentialité des modèles d’intelligence artificielle. Une phase de test ouverte aux entreprises et administrations européennes vise à valider son efficacité avant sa publication. L’objectif est de faciliter l’évaluation des risques liés aux données d’entraînement et d’aider les organisations à respecter le RGPD.

(sources : lemondeinformatique.fr, cnil.fr)

3- Fuite de données touchant la Ville de Paris via la plateforme des Cours d’adultes

Début mars 2026, la Ville de Paris a annoncé avoir été victime d’un incident de cybersécurité entraînant la diffusion non autorisée de données provenant de la plateforme “Cours d’Adultes de Paris”, un service municipal qui propose plusieurs centaines de formations pour les personnes majeures.

📝 Nature des données compromises

Le fichier divulgué contenait différentes données personnelles d’usagers inscrits entre 2019 et 2025, notamment :

• noms et prénoms
• dates de naissance
• adresses e-mail
• adresses postales
• numéros de téléphone

Ces informations pourraient concerner des dizaines de milliers de personnes, même si le nombre exact de victimes n’a pas été communiqué.

Les autorités municipales ont toutefois précisé que les mots de passe et les données bancaires ne figurent pas dans le fichier exposé, ce qui limite les risques d’usurpation financière directe.

🔎 Origine et découverte de l’incident

La fuite proviendrait d’un fichier ancien, antérieur à mai 2025, qui aurait été diffusé à la suite d’une attaque ou d’un accès non autorisé aux systèmes de la plateforme.

L’alerte aurait d’abord circulé sur les réseaux sociaux, où un expert en cybersécurité a signalé la présence de ces données en ligne, avant que la mairie de Paris ne confirme officiellement l’incident.

🚀 Mesures prises par la Ville de Paris

Face à cet incident, la municipalité a :

• informé les personnes potentiellement concernées,
• déposé plainte contre X,
• signalé l’incident à la Commission nationale de l’informatique et des libertés,
• lancé une enquête interne pour déterminer l’origine exacte de la fuite et renforcer la sécurité des systèmes.

⚠️ Risques pour les utilisateurs

Même si les informations financières n’ont pas été compromises, les données exposées peuvent être utilisées pour des attaques d’ingénierie sociale ou des campagnes de phishing ciblées. Les victimes sont donc invitées à rester vigilantes face aux messages frauduleux.

✅ En résumé :
La Ville de Paris a subi une fuite de données liée à la plateforme des Cours d’Adultes de Paris. Des informations personnelles d’utilisateurs (identité, coordonnées, date de naissance) ont été diffusées, mais aucun mot de passe ni donnée bancaire n’a été compromis. Une enquête est en cours pour déterminer l’origine de la fuite et renforcer la sécurité des systèmes municipaux.

(sources : usine-digitale.fr, leparisien.fr, databreach.com)

---

🌍Zoom International

1- Avis aux utilisateurs d’iPhones, prenez garde a Coruna

Cet article paru sur lemondeinformatique.fr explique la découverte d’un kit d’exploitation très sophistiqué nommé “Coruna”, capable de compromettre des iPhone en exploitant plusieurs vulnérabilités du système iOS. Identifié par des chercheurs du Google Threat Intelligence Group et par la société de sécurité iVerify, cet arsenal regroupe 23 exploits différents visant des versions d’iOS entre 13.0 et 17.2.1.

🦾 Un kit d’attaque extrêmement avancé

Coruna n’est pas une simple vulnérabilité mais un ensemble d’outils capables d’exploiter plusieurs failles en chaîne pour prendre le contrôle d’un iPhone.
Dans certains cas, l’infection peut se produire sans interaction de l’utilisateur, par exemple lors de la visite d’un site web compromis contenant du code malveillant.

Une fois l’appareil compromis, l’attaquant peut obtenir un accès très profond au système, voire au noyau d’iOS, ce qui lui permet d’installer des logiciels espions ou de voler des données sensibles.

🕵🏻‍♂️ Une menace passée de l’espionnage au cybercrime

Au départ, ce type d’outil était principalement utilisé par des services de renseignement ou des sociétés de surveillance dans des opérations d’espionnage ciblées.

Mais l’analyse de Coruna montre que la situation évolue :

• l’outil aurait d’abord été utilisé dans des opérations d’espionnage contre des utilisateurs en Ukraine,
• puis récupéré par d’autres groupes,
• avant d’être finalement utilisé par des cybercriminels pour voler des cryptomonnaies ou des données financières.

Cette diffusion d’outils sophistiqués hors du cadre étatique inquiète les experts, car elle abaisse la barrière technique pour des attaques de grande ampleur.

💰 Des attaques ciblant les portefeuilles crypto et les données personnelles

Dans certaines campagnes observées, le malware installé par Coruna cherche notamment à :

• accéder aux applications de portefeuilles de cryptomonnaies,
• récupérer les phrases de récupération (seed phrases),
• voler les mots de passe et données sensibles,
• accéder à des informations stockées dans iCloud ou dans les notes du téléphone.

🔓 Une vulnérabilité corrigée… mais encore exploitable

La bonne nouvelle est qu’Apple a corrigé les failles utilisées par Coruna dans des versions récentes d’iOS.
Cependant, la menace persiste pour les utilisateurs qui n’ont pas mis à jour leur appareil, car le kit cible précisément les versions plus anciennes du système.

Les chercheurs recommandent donc :

• de mettre à jour iOS vers les dernières versions,
• d’activer le Lockdown Mode (mode isolement) pour les utilisateurs à haut risque.

✅ En résumé :

Coruna est un kit de piratage d’iPhone extrêmement avancé qui exploite plusieurs vulnérabilités d’iOS pour compromettre les appareils. Initialement utilisé dans des opérations d’espionnage étatiques, cet outil circule désormais dans l’écosystème cybercriminel et peut servir à voler des données ou des cryptomonnaies. Bien que les failles aient été corrigées par Apple, les iPhone non mis à jour restent vulnérables.

(sources : lemondeinformatique.fr, lemagit.fr, zdnet.fr)

2- Correction de failles critiques dans les pare-feu de Cisco

L’équipementier réseau Cisco a publié début mars 2026 un important correctif de sécurité pour ses solutions de pare-feu. La mise à jour corrige 48 vulnérabilités affectant plusieurs produits de la gamme Secure Firewall, notamment ASA (Adaptive Security Appliance), FTD (Firepower Threat Defense) et FMC (Firewall Management Center).

💯 Deux failles critiques notées 10/10

Parmi ces vulnérabilités, deux sont particulièrement critiques, avec un score CVSS de 10/10, le niveau maximal de gravité. Elles concernent le composant Secure Firewall Management Center, qui permet d’administrer et de superviser les pare-feux Cisco.

Les deux failles sont :

• CVE-2026-20079 : contournement de l’authentification
• CVE-2026-20131 : exécution de code à distance

Exploitées ensemble, elles peuvent permettre à un attaquant non authentifié d’obtenir un accès root complet au système.

Un tel accès donnerait la possibilité de prendre le contrôle du pare-feu et de manipuler la sécurité du réseau, ce qui représente un risque majeur pour les infrastructures d’entreprise.

🚨 D’autres vulnérabilités importantes

Outre ces deux failles critiques, le correctif inclut plusieurs vulnérabilités de gravité élevée.

Par exemple :

• CVE-2026-20039 (score 8,6) : peut provoquer un déni de service via le serveur web VPN des pare-feux ASA et FTD.
• CVE-2026-20082 (score 8,6) : peut perturber le traitement des paquets TCP SYN et perturber le trafic réseau.

Le logiciel de gestion FMC est également affecté par trois failles d’injection SQL permettant à un utilisateur authentifié de manipuler la base de données du système.

⏳ Pas d’exploitation confirmée pour l’instant

Selon Cisco, aucune exploitation active de ces vulnérabilités n’a été détectée au moment de la publication des correctifs. Toutefois, la divulgation publique des détails techniques pourrait faciliter leur exploitation par des attaquants.

Les administrateurs sont donc invités à installer les mises à jour de sécurité dès que possible, en donnant la priorité aux correctifs pour Secure Firewall Management Center, qui constitue le point central de gestion des pare-feu.

✅ En résumé :

Cisco a publié une mise à jour critique corrigeant 48 vulnérabilités dans ses solutions de pare-feu. Deux failles particulièrement graves permettent à un attaquant non authentifié d’obtenir un accès root et d’exécuter du code à distance. Même si aucune exploitation n’a été observée pour l’instant, les entreprises utilisant ces équipements doivent appliquer les correctifs rapidement afin de protéger leurs infrastructures réseau.

(sources : lemondeinformatique.fr, notebookcheck.biz)

3- Démantèlement de la plateforme de phishing-as-a-service Tycoon2FA

Une opération internationale coordonnée par Europol a permis début mars 2026 de démanteler Tycoon2FA, l’une des principales plateformes de phishing-as-a-service (PhaaS) utilisées par des cybercriminels pour mener des campagnes d’hameçonnage à grande échelle.

Cette opération a été menée en collaboration avec plusieurs forces de l’ordre européennes (dont celles du Royaume-Uni, d’Espagne, de Pologne ou du Portugal) ainsi que des entreprises privées comme Microsoft, Cloudflare ou Trend Micro.

🌍 Une plateforme criminelle clé du phishing mondial

Tycoon2FA fonctionnait comme un service commercial destiné aux cybercriminels : les utilisateurs pouvaient s’abonner pour accéder à un kit complet permettant de créer facilement des campagnes de phishing.

La plateforme offrait notamment :

• des pages de connexion frauduleuses imitant des services populaires (Microsoft 365, Gmail, Outlook…)
• des outils permettant de capturer identifiants et codes d’authentification à deux facteurs
• une infrastructure pour gérer et automatiser les campagnes d’attaque.

Le système reposait sur une technique appelée “Adversary-in-the-Middle” (AiTM) : les victimes saisissaient leurs identifiants sur une page malveillante qui relayait la connexion en temps réel vers le vrai service, permettant aux attaquants d’intercepter les identifiants et les cookies de session même lorsque l’authentification multifactorielle était activée.

☠️ Une menace massive pour les organisations

Depuis son apparition en 2023, Tycoon2FA est devenu l’un des outils de phishing les plus utilisés :

• des dizaines de millions d’e-mails frauduleux envoyés chaque mois,
• plus de 500 000 organisations ciblées mensuellement,
• environ 96 000 victimes identifiées dans le monde, dont de nombreuses entreprises et institutions publiques.

Selon Microsoft, la plateforme représentait près de 62 % des tentatives de phishing bloquées par l’entreprise en 2025, ce qui montre son importance dans l’écosystème cybercriminel.

⛓️‍💥 Une infrastructure démantelée mais une menace persistante

L’opération internationale a permis de saisir environ 330 noms de domaine constituant l’infrastructure principale du service (portails de phishing et panneaux de contrôle des attaquants).

Toutefois, les experts rappellent que ce type d’opération ne supprime pas complètement la menace :

• les opérateurs peuvent reconstruire l’infrastructure ailleurs,
• les identifiants déjà volés continuent de circuler,
• les cybercriminels peuvent migrer vers d’autres services similaires.

✅ En résumé :

Une vaste opération internationale coordonnée par Europol a démantelé Tycoon2FA, une plateforme de phishing-as-a-service qui permettait à des cybercriminels de lancer facilement des attaques capables de contourner l’authentification multifactorielle. Utilisée pour envoyer des millions de messages frauduleux et compromettre des dizaines de milliers de comptes, elle représentait une part importante du phishing mondial. Malgré le démantèlement de son infrastructure, les autorités et les experts restent vigilants face au risque de réapparition de ce type de service.

(sources : usine-digitale.fr, securityweek.com, techradar.com, thehackernews.com)

---

🎯 Conclusion

La semaine du 2 au 8 mars 2026 confirme plusieurs tendances fortes dans le paysage de la cybersécurité. En France, les organisations publiques et les particuliers restent exposés à des attaques variées allant du phishing aux intrusions visant les infrastructures numériques. À l’international, les vulnérabilités logicielles et les cyber opérations liées à des tensions géopolitiques continuent de représenter des risques majeurs. Ces événements soulignent la nécessité pour les organisations de renforcer leurs capacités de détection, de gestion des vulnérabilités et de sensibilisation afin de faire face à une menace cyber toujours plus structurée et globalisée.