📢 Actualité Cybersécurité – Semaine du 20 au 26 avril 2026

🙋‍♂️Introduction

Cette semaine du 20 au 26 avril 2026 illustre parfaitement l’évolution actuelle de la cybersécurité : les menaces deviennent plus hybrides, plus opportunistes… et parfois plus politiques.

Côté français, l’actualité a été marquée par une nouvelle fuite massive de données touchant un service public critique, rappelant qu’une simple faille applicative ou une mauvaise configuration peut avoir des conséquences systémiques. Dans le même temps, l’État français accélère sa stratégie de souveraineté numérique, avec deux annonces majeures : la migration des données de santé vers un cloud français et la volonté de réduire la dépendance à Windows au profit de Linux.

À l’international, les signaux sont tout aussi préoccupants. Microsoft continue de défendre une fonctionnalité IA controversée malgré de nouvelles démonstrations de compromission potentielles, la chaîne d’approvisionnement open source subit une nouvelle attaque via le package officiel de Bitwarden sur npm, et les cybercriminels innovent désormais dans le monde physique avec des malwares Android capables de détourner les paiements NFC.

Ce qui relie tous ces événements ?

Un même constat : la cybersécurité ne se limite plus aux pare-feux, aux antivirus ou aux ransomwares. Elle touche désormais :

la souveraineté des États
la confiance dans les outils du quotidien
la sécurité de la supply chain logicielle
la protection des données personnelles
et même nos moyens de paiement physiques

Entre dépendances technologiques, attaques de plus en plus créatives et erreurs de sécurité parfois élémentaires, cette semaine rappelle une réalité simple : plus notre écosystème numérique devient complexe, plus chaque maillon faible peut avoir des conséquences majeures.

🗼Zoom France

1- Fuite de données à l’Agence Nationale des Titres Sécurisés 🤨

Un incident de cybersécurité significatif a récemment touché un service public français critique chargé de la gestion de documents officiels (cartes d’identité, passeports, permis de conduire). Détectée mi-avril 2026, cette intrusion pourrait avoir exposé des données personnelles de grande ampleur, concernant à la fois des particuliers et des professionnels.

📊 Une fuite potentiellement massive

Les informations compromises incluraient principalement des données d’identification :

nom, prénom
adresse email
date de naissance
identifiant de compte
parfois adresse postale, téléphone ou lieu de naissance

Selon plusieurs analyses, le volume pourrait atteindre jusqu’à 18 à 19 millions d’enregistrements, ce qui représenterait une part considérable de la population française adulte.

Des éléments plus sensibles indirectement exploitables ont également été évoqués :

indicateurs de validation d’identité
données professionnelles (SIREN, habilitations)
identifiants internes structurés

Ce type de données est particulièrement critique car il permet de construire des profils fiables et exploitables pour des fraudes avancées.

⚠️ Origine probable : une faille applicative simple mais critique

Les premières hypothèses techniques évoquent une vulnérabilité de type IDOR (Insecure Direct Object Reference).

Concrètement :

modification d’un identifiant dans une requête API
absence de contrôle d’accès côté serveur
possibilité d’extraire les données utilisateur une par une

Ce type de faille est connu, documenté… et ne nécessite pas un niveau technique élevé, ce qui soulève des questions sur :

les audits de sécurité applicative
les tests d’intrusion
les contrôles d’accès en production

📉 Une faiblesse structurelle : l’absence de protection des emails (DMARC)

Un point particulièrement critique mis en lumière est l’absence ou l’inactivité prolongée de mécanismes de sécurité liés aux emails, notamment DMARC (Domain-based Message Authentication, Reporting & Conformance).

Pourquoi c’est grave ?

1. DMARC permet de :

authentifier les emails envoyés depuis un domaine
empêcher l’usurpation d’identité (spoofing)
protéger contre le phishing

2. Une configuration inactive depuis plusieurs années signifie que :

des attaquants peuvent envoyer des emails frauduleux en se faisant passer pour l’administration
le risque de phishing ciblé explose, surtout avec des données personnelles réelles

Dans un contexte de fuite, cette faiblesse devient un multiplicateur d’impact.

💣 Risques concrets pour les victimes

Même si les autorités indiquent que les données ne permettent pas un accès direct aux comptes, les risques restent élevés :

1. Phishing ultraciblé

Les attaquants disposent de données fiables → emails crédibles :

faux messages administratifs
demandes de régularisation
fraude bancaire

2. Usurpation d’identité

Création de dossiers frauduleux :

demandes de documents officiels
ouverture de comptes
escroqueries administratives

3. Attaques en chaîne (effet « data fusion »)

Croisement avec d’autres fuites :

enrichissement de profils
attaques personnalisées très difficiles à détecter

⚖️ Réaction des autorités et cadre légal

Suite à l’incident :

signalement au parquet de Paris
enquête confiée à l’Office anti-cybercriminalité
notification aux autorités compétentes (CNIL, ANSSI)

Les usagers concernés sont informés individuellement, conformément au RGPD.

Cependant, la communication officielle insiste sur :

l’absence d’accès direct aux comptes
l’absence d’action obligatoire pour les utilisateurs

Une position jugée insuffisamment proactive par certains observateurs au regard des risques.

🔐 Problèmes de fond révélés

Cet incident met en lumière plusieurs faiblesses structurelles :

1. Sécurité applicative insuffisante

vulnérabilités basiques exploitables
contrôles d’accès défaillants

2. Retard sur les standards de sécurité

absence ou mauvaise configuration de DMARC
manque de généralisation de l’authentification multi-facteurs

3. Gouvernance et priorisation

sécurité encore trop souvent secondaire
dépendance à des systèmes critiques massivement exposés

🧭 Enseignements clés pour la cybersécurité

Cet événement illustre parfaitement plusieurs réalités du paysage actuel :

Les attaques ne reposent pas toujours sur des techniques avancées
Les erreurs de configuration peuvent être aussi critiques qu’une intrusion sophistiquée
La combinaison de plusieurs faiblesses (faille + DMARC + volume de données) crée un effet systémique

✅ Bonnes pratiques à rappeler

Même si aucune action obligatoire n’est demandée, les recommandations implicites sont claires :

changer ses mots de passe
surveiller les communications suspectes
éviter de cliquer sur des liens non vérifiés
privilégier les connexions via des fournisseurs d’identité sécurisés

🧩 Conclusion

Cet incident dépasse le simple cadre d’une fuite de données et révèle une accumulation de vulnérabilités techniques et organisationnelles, venant même à se poser la question de la justification de la composante « Sécurisés » du sigle ANTS ?

Entre faille applicative exploitable, protection email défaillante et volume massif de données exposées, il illustre un point critique : la cybersécurité ne dépend pas d’un seul mécanisme, mais de la cohérence de l’ensemble.

(sources : itsocial.fr, lesnumeriques.com, tf1info.fr)

2- La France retire ses données de santé de Microsoft : un tournant majeur pour la souveraineté numérique

Après plusieurs années de polémique autour de l’hébergement des données de santé françaises chez Microsoft Azure, la France a finalement décidé de changer de cap.

Le gouvernement a officiellement choisi Scaleway pour héberger la Plateforme des données de santé (anciennement Health Data Hub), mettant progressivement fin à la dépendance envers Microsoft pour l’un des ensembles de données les plus sensibles du pays.

Cette migration marque bien plus qu’un simple changement de prestataire cloud : elle symbolise un virage stratégique autour de la souveraineté numérique européenne.

Retour sur une polémique qui dure depuis 2019

Le Health Data Hub a été lancé en 2019 avec un objectif ambitieux :

centraliser les données de santé françaises afin de :

faciliter la recherche médicale
accélérer l’innovation
améliorer les politiques de santé publique
permettre l’exploitation de datasets massifs via l’IA

La plateforme agrège notamment des données issues :

de l’Assurance Maladie
des hôpitaux
des remboursements
des prescriptions médicales
des parcours de soins
de certains projets de recherche

Le problème ?

Le gouvernement avait choisi Azure de Microsoft sans appel d’offres majeur à l’époque, ce qui avait immédiatement déclenché de fortes critiques :

juristes
experts cybersécurité
associations de protection des données
acteurs français du cloud
défenseurs de la souveraineté numérique

Tous dénonçaient le même risque :

confier des données médicales de millions de Français à une entreprise soumise au droit américain.

Le problème du Cloud Act américain

Le sujet central concernait surtout le Cloud Act américain.

Cette législation permet aux autorités américaines de demander l’accès à certaines données détenues par des entreprises américaines, même lorsque ces données sont hébergées hors des États-Unis.

En clair :

même si les serveurs Microsoft étaient localisés en Europe :

Microsoft reste une entreprise américaine
elle demeure soumise au droit américain
elle peut potentiellement recevoir des injonctions judiciaires

Le sujet est devenu encore plus sensible après l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne lors de l’affaire Schrems II en 2020.

Cette décision avait renforcé les inquiétudes autour des transferts de données transatlantiques.

Même Microsoft a reconnu les limites

Lors d’une audition devant le Sénat français en 2025, un représentant de Microsoft aurait reconnu que l’entreprise ne pouvait pas garantir qu’elle refuserait une demande légale américaine visant des données françaises.

Cette déclaration a largement alimenté les critiques contre l’hébergement du Health Data Hub.

L’arrivée de Scaleway change la donne

Après un nouvel appel d’offres lancé en 2026, Scaleway a finalement été retenu.

Selon plusieurs sources :

plus de 350 critères techniques
exigences élevées en sécurité
contraintes réglementaires renforcées
garanties de souveraineté

ont été examinés durant le processus de sélection.

Scaleway devra désormais héberger les données de santé de dizaines de millions de citoyens français.

La migration complète est prévue entre fin 2026 et début 2027.

Le rôle clé de SecNumCloud

L’un des éléments majeurs derrière cette décision est la certification ANSSI SecNumCloud.

Cette certification impose :

des exigences fortes de sécurité
une gouvernance maîtrisée
une protection contre les législations extraterritoriales

Dans les faits, cela exclut largement :

AWS
Google Cloud
Microsoft Azure

ainsi que certaines filiales européennes dépendantes de groupes américains.

Une loi française a accéléré la décision

En 2024, la France a adopté de nouvelles règles imposant que certaines données sensibles soient hébergées sur des infrastructures offrant de véritables garanties souveraines.

Cette évolution réglementaire a rendu la position de Microsoft de plus en plus difficile à maintenir sur ce dossier.

Un signal fort envoyé à toute l’Europe

Cette décision dépasse largement le cadre français.

Elle s’inscrit dans une tendance plus large en Europe :

l’Allemagne réduit sa dépendance à Microsoft
certaines administrations migrent vers l’open source
plusieurs États cherchent des alternatives cloud européennes
l’UE pousse des projets de souveraineté numérique comme GAIA-X

Les défis techniques restent énormes

Changer d’hébergeur sur le papier est une chose.
Migrer concrètement un système aussi critique en est une autre.

Les défis incluent :

migration des datasets massifs
maintien de disponibilité
conformité RGPD
continuité des projets de recherche
sécurisation des accès
compatibilité des workloads IA/Big Data

Le Health Data Hub a indiqué avoir anticipé cette réversibilité technique depuis plusieurs années.

Pourquoi cette décision est symbolique

Pendant des années, l’Europe a largement externalisé ses infrastructures critiques vers les hyperscalers américains :

cloud
SaaS
IA
services collaboratifs
stockage stratégique

Le cas du Health Data Hub montrait jusqu’à quel point cette dépendance pouvait toucher des actifs ultra-sensibles.

En choisissant Scaleway, la France envoie un message clair :

la souveraineté numérique n’est plus seulement un débat politique ou idéologique.

Elle devient désormais une question :

de cybersécurité
de conformité
d’indépendance stratégique
de maîtrise des infrastructures critiques

Et ce dossier pourrait devenir un précédent pour d’autres secteurs sensibles :

défense
justice
administration
énergie
finance
infrastructures critiques

Le véritable enjeu désormais : savoir si cette décision restera un cas isolé … ou le début d’un mouvement beaucoup plus large de « dé-américanisation » du cloud européen.

(sources : usine-digitale.fr, it-connect.fr, reuters.com, cybernews.com)

3- La DINUM prépare sa sortie de Windows : pourquoi l’État français mise désormais sur Linux

La France accélère clairement sa stratégie de souveraineté numérique, et cette fois-ci, le signal est fort : la Direction interministérielle du numérique (DINUM) a confirmé son intention de remplacer progressivement Windows par Linux sur ses propres postes de travail.

Même si certains titres ont rapidement annoncé que « la France abandonne Windows », la réalité est plus nuancée : on parle d’abord d’un projet pilote interne à la DINUM, qui concerne environ 200 à 250 postes, avant une possible extension plus large à d’autres administrations.

Mais derrière ce périmètre limité se cache en réalité une transformation beaucoup plus profonde de l’infrastructure numérique de l’État.

Un objectif : réduire la dépendance aux géants technologiques étrangers

Cette décision s’inscrit dans une feuille de route gouvernementale plus large visant à réduire les dépendances extra-européennes.

Le 8 avril 2026, la DINUM a réuni plusieurs acteurs clés :

ANSSI
Direction générale des entreprises (DGE)
Direction des achats de l’État (DAE)
ministères
opérateurs publics
partenaires industriels

L’objectif affiché :

reprendre le contrôle sur les briques technologiques critiques utilisées par l’administration.

Le périmètre ne concerne pas uniquement le système d’exploitation :

postes de travail
cloud
outils collaboratifs
intelligence artificielle
cybersécurité
bases de données
virtualisation
équipements réseau

Chaque ministère devra désormais présenter son propre plan de réduction de dépendance d’ici l’automne 2026.

Pourquoi Windows pose problème à l’État

Le sujet dépasse largement la simple question technique.

Avec Windows, Microsoft contrôle :

le système d’exploitation
les cycles de mises à jour
la télémétrie
l’écosystème logiciel
les modèles de licences

Pour un État, cela pose plusieurs problèmes :

Dépendance stratégique
- L’administration devient dépendante d’un acteur étranger pour ses infrastructures critiques.
Risques juridiques
- Microsoft reste soumis au droit américain, notamment au Cloud Act, sujet déjà au cœur de nombreuses polémiques sur les données sensibles françaises.
Coûts de licences
- À l’échelle de millions de postes potentiels, les coûts deviennent massifs.
Manque de contrôle technique
- L’État ne maîtrise ni totalement le code source ni certaines évolutions imposées par l’éditeur.
- L’arrivée récente de fonctionnalités comme Windows Recall a aussi renforcé les inquiétudes autour de la confidentialité dans certains environnements sensibles.

Pourquoi Linux devient une alternative crédible

Linux offre plusieurs avantages stratégiques :

Code open source
- Auditabilité plus forte.
Personnalisation
- Création d’environnements adaptés aux besoins métiers.
Réduction des coûts
- Moins de dépendance aux licences propriétaires.
Maîtrise technique accrue
- Possibilité de durcir les environnements selon les exigences de sécurité de l’État.
Souveraineté
- Capacité à développer des briques locales ou européennes.

Selon plusieurs sources, la DINUM expérimente déjà depuis plusieurs mois des postes basés sur NixOS, une distribution Linux orientée infrastructure déclarative.

NixOS permet notamment :

des déploiements reproductibles
une gestion centralisée des configurations
des rollbacks simplifiés
une meilleure standardisation des postes

Un choix assez intéressant pour une administration à grande échelle.

Ce n’est pas la première tentative dans le secteur public

La migration vers Linux dans le secteur public a déjà connu plusieurs précédents.

1- Gendarmerie nationale

La Gendarmerie nationale française utilise depuis des années GendBuntu, une distribution dérivée d’Ubuntu.

Résultat :

réduction importante des coûts
meilleure autonomie technologique
déploiement sur des dizaines de milliers de postes

Cette migration est souvent citée comme l’un des exemples les plus réussis en Europe.

2- Munich (Allemagne)

Le projet LiMux avait migré l’administration municipale vers Linux avant de connaître des revers politiques et organisationnels.

Cette expérience a montré que le principal défi n’est pas toujours technique.

Les vrais défis de cette migration

C’est probablement la partie la plus complexe.
Changer d’OS ne suffit pas, l’État devra gérer :

Compatibilité logicielle
- De nombreux logiciels métiers restent dépendants de Windows.
Formation des agents
- Le facteur humain reste critique.
Support technique
- Créer des équipes capables de maintenir des environnements Linux à grande échelle.
Gestion des périphériques
- Imprimantes, drivers, équipements spécifiques.
Résistance au changement
- Sujet classique dans les grandes organisations. Beaucoup de projets Linux échouent davantage sur l’adoption utilisateur que sur la technologie elle-même.

En parallèle : sortie des autres outils américains

La migration Linux n’est qu’un élément d’un plan plus vaste.

La Caisse nationale d’Assurance Maladie a déjà annoncé la migration de 80 000 agents vers :

Tchap
Visio
FranceTransfert

En parallèle, la migration du Health Data Hub vers Scaleway renforce également cette logique de rapatriement technologique.

Une transformation bien plus politique que technique

Le véritable message derrière cette décision est clair :

l’État français veut reprendre la main sur :

ses infrastructures
ses données
ses outils critiques
ses dépendances stratégiques

Le passage de la DINUM vers Linux reste encore limité en volume.

Mais symboliquement, c’est probablement l’un des mouvements les plus forts de l’administration française en matière de souveraineté numérique depuis plusieurs années.

Et si ce pilote fonctionne, il pourrait devenir le modèle de futures migrations beaucoup plus larges dans l’ensemble du secteur public français.

(sources : lemondeinformatique.fr, lesnumeriques.com, numerique.gouv.fr)

🌍Zoom International

1- Windows Recall : malgré les correctifs de Microsoft, les risques de sécurité persistent

Lors de l’annonce de Windows Recall en 2024, Microsoft avait présenté cette fonctionnalité comme une véritable mémoire photographique pour PC. Le principe est simple sur le papier : l’outil capture régulièrement des captures d’écran de l’activité de l’utilisateur afin de permettre une recherche ultérieure via l’IA.

Concrètement, Recall enregistre périodiquement :

les applications ouvertes
les conversations privées
les emails
les documents consultés
l’historique web
certains contenus affichés à l’écran

L’objectif est de permettre à l’utilisateur de retrouver rapidement une information en langage naturel, par exemple :

retrouve le document PDF ouvert hier contenant le mot budget

montres-moi cette conversation Teams avec tel collègue

Sur le plan fonctionnel, l’idée est impressionnante. Sur le plan sécurité, c’est une autre histoire.

Une fonctionnalité vivement critiquée dès son annonce

Dès sa présentation, Recall a provoqué un tollé dans la communauté cybersécurité.

Le principal problème identifié était simple :

Microsoft créait une gigantesque base de données contenant pratiquement toute l’activité numérique de l’utilisateur.

Pour un attaquant ayant compromis un poste :

historique de navigation
documents sensibles
échanges professionnels
informations personnelles
potentiellement credentials affichés à l’écran

…tout devenait une cible extrêmement attractive.

En juin 2024, plusieurs chercheurs ont démontré que les données de Recall étaient stockées dans une base SQLite relativement facile à extraire.

Le chercheur en sécurité Alexander Hagenah avait notamment développé l’outil TotalRecall, capable d’extraire les données stockées.

De son côté, James Forshaw de Google Project Zero avait également montré que certaines protections pouvaient être contournées sans privilèges administrateur.

Face au bad buzz massif, Microsoft avait repoussé le déploiement de Recall pour revoir son architecture de sécurité.

Microsoft renforce Recall… en apparence

Après plusieurs mois de critiques, Microsoft a relancé Recall avec plusieurs améliorations :

Chiffrement des données

Les snapshots sont désormais chiffrés localement.

Authentification via Windows Hello

L’utilisateur doit s’authentifier biométriquement ou via PIN pour accéder à Recall.

Isolation via VBS Enclave

Microsoft utilise désormais Virtualization-Based Security (VBS) pour isoler les données sensibles dans un environnement plus sécurisé.

Cette technologie est censée empêcher :

les applications tierces
les malwares standards
les processus non autorisés

d’accéder directement aux données.

Sur le papier, cela semblait résoudre les principaux problèmes.

Mais une nouvelle recherche montre que le problème fondamental n’a pas disparu.

TotalRecall Reloaded : la nouvelle démonstration inquiétante

Alexander Hagenah est revenu avec une nouvelle version de son outil :

TotalRecall Reloaded

Cette nouvelle version ne casse pas directement le chiffrement de Recall.

À la place, elle cible un problème architectural bien plus subtil.

Le vrai problème : le moment où les données quittent le coffre-fort

Hagenah résume la situation avec une métaphore particulièrement parlante :

The vault is solid. The delivery truck is not.

Autrement dit :

le stockage est sécurisé
le chiffrement fonctionne
l’enclave VBS fonctionne

Mais les données doivent forcément sortir de cet environnement protégé pour être affichées à l’utilisateur.

C’est précisément à ce moment qu’elles deviennent vulnérables.

L’exploitation via AIXHost.exe

Lorsque l’utilisateur ouvre Recall :

il s’authentifie via Windows Hello
Recall déchiffre les données
celles-ci sont transmises à un processus système nommé AIXHost.exe

C’est là que le problème apparaît.

Selon Hagenah :

ce processus ne bénéficie pas des mêmes protections
il peut être ciblé via injection DLL
un malware peut attendre silencieusement l’authentification utilisateur

Une fois l’utilisateur connecté :

récupération des captures
extraction des données OCR
collecte des métadonnées
suppression potentielle de la base Recall

Le tout sans privilèges administrateur supplémentaires dans certains scénarios.

Pourquoi c’est dangereux

Le problème est particulièrement grave car il transforme Recall en cible de très grande valeur pour :

les stealers
les infostealers
les ransomwares
les APT
les malwares post-exploitation

Un attaquant n’a plus besoin de :

logger le clavier
capturer l’écran
voler l’historique navigateur

Recall centralise déjà tout.

On parle ici d’un potentiel « single point of compromise ».

Si un attaquant compromet un endpoint disposant de Recall activé, il obtient potentiellement :

des secrets professionnels
des échanges confidentiels
des données RH
des informations financières
des accès cloud
des conversations internes

Microsoft refuse de considérer cela comme une vulnérabilité

C’est probablement la partie la plus controversée.

Le chercheur a signalé le problème au Microsoft Security Response Center (MSRC) en mars 2026.

Réponse officielle :

Microsoft considère que ce comportement est « by design ».

L’entreprise affirme que :

aucune frontière de sécurité n’a été réellement franchie
l’utilisateur s’est déjà authentifié
des mécanismes anti-abus existent déjà

Le dossier a donc été classé comme « not a vulnerability ».

Un débat plus large sur l’IA embarquée

Cette affaire dépasse largement Recall.

Elle pose une question fondamentale : jusqu’où peut-on aller dans la collecte de données pour alimenter des fonctionnalités IA ?

On voit apparaître une tendance inquiétante :

assistants IA omniprésents
collecte massive de données locales
mémoire persistante
analyse comportementale

Plus ces outils deviennent puissants, plus leur impact potentiel en cas de compromission devient critique.

Ce que les entreprises devraient faire

Pour les RSSI et équipes sécurité :

Désactiver Recall via GPO / MDM si non nécessaire
Vérifier son activation sur les postes Copilot+
Ajouter Recall dans les audits de surface d’attaque
Surveiller les accès suspects à :
- AIXHost.exe
- processus d’injection DLL
- comportements anormaux liés à Recall
Sensibiliser les utilisateurs
- Beaucoup ignorent encore que leur machine peut enregistrer automatiquement leur activité.

Le vrai problème : une mauvaise philosophie de sécurité

Le problème n’est pas uniquement technique.

Il révèle un biais fréquent dans les produits IA modernes :

on privilégie la fonctionnalité avant de traiter pleinement les implications sécurité

Recall reste l’exemple parfait d’un produit technologiquement impressionnant mais dont le modèle de risque semble sous-estimé.

Même avec :

chiffrement
enclaves sécurisées
authentification biométrique

…si les données finissent exposées à un processus moins protégé, l’architecture reste fragile.

Et dans le monde de la cybersécurité, il suffit souvent d’un seul maillon faible pour compromettre toute la chaîne.

(sources : lemondeinformatique.fr, windowscentral.com, csoonline.com, itnews.com.au)

2- Bitwarden CLI compromis sur npm : quand installer un gestionnaire de mots de passe devient un risque supply chain

Nouvel épisode inquiétant dans la série des attaques contre la supply chain open source : cette fois, c’est Bitwarden CLI qui a été touché via npm.

Le package concerné : @bitwarden/cli@2026.4.0

Pendant environ 93 minutes, une version malveillante du package a été disponible sur npm avant d’être retirée.

Le problème ?

Durant cette courte fenêtre, n’importe quel développeur exécutant :

npm install -g @bitwarden/cli

pouvait installer un malware capable de voler des secrets critiques et de compromettre d’autres projets en cascade.

Une attaque bien plus grave qu’un simple package malveillant

Contrairement aux campagnes classiques de typosquatting (ex : package avec un nom ressemblant à un package légitime), ici les attaquants ont compromis :

un package officiel
un éditeur légitime
une chaîne CI/CD réelle
un workflow de publication npm

Autrement dit :

les victimes ne téléchargeaient pas un faux package.

Elles téléchargeaient le vrai package officiel Bitwarden, mais empoisonné durant son processus de publication.

C’est beaucoup plus dangereux car :

les développeurs font naturellement confiance au package
les outils automatisés de mise à jour peuvent l’installer
les pipelines CI peuvent l’intégrer automatiquement

Selon plusieurs analyses, l’attaque semble liée à la compromission plus large de l’écosystème Checkmarx, notamment via leur GitHub Action compromise.

Comment l’attaque fonctionnait

Les chercheurs ont identifié l’ajout d’un script malveillant :

"preinstall": "node bw_setup.js"

Le problème avec preinstall :

il s’exécute automatiquement avant même que l’utilisateur n’utilise le logiciel.

Aucune interaction supplémentaire n’était nécessaire.

Étape 1 : téléchargement de Bun

Le script bw_setup.js :

détectait l’OS
identifiait l’architecture système
téléchargeait automatiquement Bun
préparait l’exécution du payload principal

Étape 2 : exécution du payload principal

Le malware lançait ensuite bw1.js, fortement obfusqué.

Son rôle :

collecte de secrets
exfiltration
propagation

Les données volées

Le malware cherchait activement :

Credentials cloud

AWS credentials
Azure credentials
Google Cloud credentials

Secrets DevOps

tokens npm
GitHub PAT
secrets CI/CD
credentials GitLab

Clés SSH

Le malware récupérait les clés SSH locales afin de faciliter des compromissions ultérieures.

Secrets IA

C’est l’un des aspects les plus modernes de cette campagne.

Le malware ciblait aussi :

fichiers MCP
configurations d’agents IA
credentials d’outils de coding assisté

Un malware auto-propagateur

C’est probablement l’élément le plus préoccupant.

Le malware ne se contentait pas de voler des secrets.

Il tentait également de se propager automatiquement :

récupération de tokens npm
publication de packages compromis
compromission de dépôts GitHub
injection dans d’autres pipelines CI/CD

En clair : une victime pouvait involontairement devenir un relais de contamination pour d’autres organisations.

Pourquoi le nom « Shai-Hulud » revient encore

Le code contenait la chaîne :

Shai-Hulud: The Third Coming

Référence directe aux précédentes campagnes Shai-Hulud, déjà connues pour :

voler des secrets
compromettre npm
utiliser la propagation automatique

D’autres références à l’univers de Dune ont été retrouvées :

Atreides
Fremen
Sardaukar
Sandworm

Cela suggère soit :

les mêmes attaquants
des imitateurs
une évolution directe de campagnes précédentes

Bitwarden a rapidement réagi

Selon la communication officielle :

package retiré rapidement
accès compromis révoqués
version malveillante dépréciée
enquête interne lancée

Bitwarden affirme également que :

les coffres utilisateurs n’ont pas été compromis
les données des utilisateurs finaux ne semblent pas affectées
l’incident concernait principalement la distribution npm

Pourquoi cette attaque est importante pour toute l’industrie

Cette attaque illustre un problème structurel :

nous faisons confiance à des milliers de dépendances externes.

Un simple :

npm install

peut aujourd’hui :

exécuter du code arbitraire
voler des secrets
compromettre des pipelines
contaminer l’ensemble d’un écosystème

Le modèle de confiance implicite des package managers devient de plus en plus fragile.

Des recherches académiques récentes montrent d’ailleurs que l’écosystème npm reste extrêmement exposé aux packages malveillants et que les mécanismes de détection restent insuffisants face aux nouvelles techniques d’obfuscation et aux attaques multi-stage.

Comment se protéger

Si ton organisation a installé @bitwarden/cli@2026.4.0 durant la fenêtre compromise :

considérer la machine comme compromise
rotation immédiate de tous les secrets
- GitHub
- npm
- AWS
- Azure
- GCP
- SSH
- tokens CI/CD
audit des logs npm
- Identifier qui a téléchargé la version compromise.
vérifier les workflows GitHub Actions
- Chercher toute modification suspecte.
scanner les dépôts publiés récemment
- Pour vérifier qu’aucun package malveillant n’a été redistribué.
renforcer la sécurité supply chain
- Mettre en place :
  - signature des packages
  - SBOM
  - contrôle des dépendances
  - sandboxing
  - revue des workflows CI/CD
  - protection des secrets
- Des outils comme Socket, JFrog, Checkmarx ou Endor Labs travaillent justement sur ces problématiques.

Le vrai enseignement

Le plus inquiétant dans cette affaire n’est pas Bitwarden lui-même.
C’est le fait qu’un outil censé protéger les secrets est devenu temporairement un vecteur de vol de secrets.
Et surtout : l’attaque démontre que les cybercriminels ne ciblent plus uniquement les entreprises.
Ils ciblent désormais la chaîne de confiance elle-même.

Quand ton gestionnaire de mots de passe, ton pipeline CI et ton registry de packages deviennent des points d’entrée… la surface d’attaque explose.

(sources : next.ink, korben.info, bitwarden.com, thehackernews.com, endorlabs.com, securityweek.com)

3- Un malware Android détourne le NFC pour voler de l’argent : l’évolution inquiétante de la fraude sans contact

Les malwares bancaires Android ne se contentent plus de voler des identifiants bancaires ou des SMS d’authentification.

Une nouvelle génération de menaces exploite désormais directement le NFC (Near Field Communication) pour détourner les paiements sans contact et effectuer des retraits frauduleux.

Des chercheurs en cybersécurité ont récemment identifié une nouvelle évolution du malware NGate, capable de relayer les communications NFC entre la carte bancaire de la victime et l’appareil des attaquants. L’objectif : permettre des paiements frauduleux ou des retraits ATM sans que les cybercriminels aient physiquement la carte en leur possession.

Comment fonctionne l’attaque ?

Le scénario repose sur une combinaison de :

malware Android
ingénierie sociale
interception NFC
relais à distance

L’attaque se déroule généralement en plusieurs étapes.

1. Infection de la victime

Les victimes sont attirées via :

faux SMS bancaires
phishing
faux concours
applications frauduleuses
faux sites Google Play

Dans certaines campagnes récentes au Brésil, les victimes recevaient de faux messages leur annonçant un gain financier ou une prétendue opération de sécurité bancaire. Elles étaient ensuite redirigées vers une application piégée.

2. Installation d’une application trojanisée

Les attaquants ne développent pas toujours leur propre application NFC.

Ils détournent parfois des applications légitimes.

Dans cette campagne, les chercheurs ont observé l’utilisation malveillante de HandyPay, une application NFC légitime modifiée pour intégrer du code malveillant.

Cette approche permet aux attaquants :

de réduire leurs coûts
de gagner du temps
de contourner plus facilement certains mécanismes de détection

Selon ESET, certains éléments du code laissent même penser que des outils d’IA générative auraient pu être utilisés dans la création du malware.

3. Vol du code PIN

L’une des évolutions les plus préoccupantes :

le malware ne vole pas seulement les données NFC.

Il demande également à la victime de saisir son code PIN bancaire sous prétexte de vérification de sécurité.

Le malware récupère alors :

les informations NFC de la carte
le PIN
certaines métadonnées de paiement

Ces données sont ensuite exfiltrées vers l’infrastructure des attaquants.

4. Relais NFC à distance

C’est ici que l’attaque devient particulièrement innovante.

Lorsque la victime approche sa carte bancaire ou son téléphone de son smartphone infecté :

les données NFC sont capturées
elles sont transmises en temps réel à un serveur distant
elles sont relayées vers un autre appareil contrôlé par les attaquants

Ce second appareil peut ensuite :

effectuer un paiement sans contact
réaliser un retrait au distributeur
simuler la présence physique de la carte

La victime conserve pourtant sa carte physique.

L’héritage de NFCGate

Ce type d’attaque s’appuie sur des concepts déjà démontrés par le projet open source NFCGate, initialement développé pour la recherche académique et l’analyse du trafic NFC.

L’outil permet notamment :

l’analyse des communications NFC
le relay
le replay
la modification de trafic

À l’origine, il s’agissait d’un outil légitime de recherche en sécurité.

Mais comme souvent, un outil défensif ou académique peut être détourné à des fins offensives.

Le phénomène du « Ghost Tap »

Les chercheurs de Recorded Future parlent désormais de « Ghost Tap » pour désigner ces fraudes NFC à distance.

Le modèle criminel devient industrialisé :

opérateurs malware
mules financières
revendeurs
blanchiment
revente de biens achetés frauduleusement

Des groupes criminels utilisent ces techniques pour acheter :

smartphones
bijoux
produits de luxe
cartes cadeaux

avant de revendre les biens contre du cash ou de la cryptomonnaie.

Pourquoi cette menace est différente des malwares bancaires classiques

Les trojans bancaires traditionnels ciblent généralement :

identifiants bancaires
OTP
cookies
overlays bancaires

Ici, on observe un changement majeur :

les attaquants ciblent directement le paiement physique sans contact.

Ils exploitent :

Google Pay
cartes NFC
terminaux de paiement
distributeurs automatiques

Cela réduit leur dépendance :

aux virements bancaires
aux contrôles anti-fraude classiques
aux mécanismes traditionnels de détection

Pourquoi Android est particulièrement exposé

Android reste plus exposé à ce type d’attaques à cause de :

l’installation d’APK hors Play Store
la fragmentation des versions
les permissions abusives
les stores alternatifs

Google affirme scanner des milliards d’applications via Play Protect, mais les campagnes de sideloading continuent de contourner ces protections.

Comment se protéger

Pour les utilisateurs :

éviter les APK externes
- Ne jamais installer une application bancaire hors store officiel.
refuser les demandes NFC suspectes
- Une application qui demande soudainement l’accès NFC doit éveiller les soupçons.
ne jamais saisir son PIN bancaire dans une application non officielle
- Aucune banque légitime ne demandera cela via une app inconnue.
surveiller les paiements sans contact
- Activer les alertes temps réel.
désactiver le NFC si inutile
- Réduit la surface d’attaque.

Ce que cela révèle

Cette attaque illustre une tendance plus large : les cybercriminels exploitent désormais le monde physique autant que le monde numérique.

Après :

le phishing
les malwares bancaires
le SIM swapping
les OTP bypass

on voit émerger une nouvelle phase : la compromission directe des paiements sans contact.

Le plus inquiétant n’est pas uniquement la sophistication technique.

C’est le fait que les attaquants transforment des fonctionnalités pensées pour simplifier les paiements… en nouveaux vecteurs de fraude à grande échelle.

(sources : lemondeinformatique.fr, welivesecurity.com, helpnetsecurity.com)

🎯 Conclusion

Cette semaine cyber met en lumière une tendance de fond particulièrement marquante : les risques ne viennent plus uniquement d’attaques sophistiquées menées par des groupes APT ou des ransomwares ultra médiatisés.

Parfois, le problème vient :

d’une API mal sécurisée
d’un package npm compromis pendant quelques minutes
d’une fonctionnalité IA pensée sans réelle approche security by design
ou d’une technologie de paiement détournée de son usage initial

En parallèle, les décisions françaises autour de Linux et du cloud souverain montrent que la cybersécurité devient également un sujet stratégique au niveau étatique. La maîtrise des infrastructures, des données et des dépendances technologiques est désormais un enjeu de sécurité nationale autant qu’un enjeu économique.

Le message de cette semaine est clair : la surface d’attaque ne cesse de s’étendre.

Elle ne concerne plus seulement les entreprises ou les experts techniques, mais aussi :