📢 Actualité Cybersécurité – Semaine du 02 au 08 février 2026

🙋‍♂️Introduction

La première semaine complète de février 2026 confirme que les cybermenaces et les réponses institutionnelles continuent d’évoluer rapidement, influencées par l’intelligence artificielle, la géopolitique et les besoins de sécurité des États et des entreprises. On observe une multiplication des actions judiciaires, des attaques motivées politiquement et une pression accrue sur les défenses numériques à l’échelle globale.

🗼Zoom France

1- L’IA générative face aux attaques informatiques

L’IA générative – notamment les grands modèles de langage (GLM) ou large language model (LLM) – est de plus en plus intégrée dans des outils, services et processus numériques. Cela apporte des bénéfices significatifs (création de contenu, automatisation, aide à la décision), mais aussi des risques nouveaux en cybersécurité.

🛡️ IA générative utilisée comme levier par des attaquants

L’ANSSI souligne que les outils d’IA générative sont déjà utilisés par des acteurs malveillants pour :

Profilage et veille : analyser des cibles et identifier leurs vulnérabilités plus rapidement.
Ingénierie sociale améliorée : création de messages, courriels ou contenus convaincants pour du phishing ou du social engineering.
Soutien au développement de code malveillant : automatisation de certaines étapes dans la création ou l’adaptation de programmes malveillants.

Cependant, à ce stade, l’ANSSI précise qu’aucun système d’IA générative n’a été capable de mener de manière totalement autonome une attaque informatique complète.

🎯 IA générative, aussi cible des cyberattaques

Les systèmes d’IA eux-mêmes peuvent être victimes d’attaques, par exemple :

Empoisonnement de modèles (data poisoning) : altération des données d’entraînement pour manipuler les réponses ou comportements.
Compromission de chaînes logicielles : attaques visant les dépendances ou pipelines DevOps qui entourent les systèmes d’IA.
Exfiltration de données sensibles depuis des environnements où des modèles sont entraînés ou opérés.

⏩ Évolution rapide de la menace

L’ANSSI insiste sur la rapidité d’évolution de l’usage de l’IA dans les attaques et le besoin constant de réévaluer régulièrement les risques associés.

📌 Points clés complémentaires

Pour bien comprendre l’environnement global :

Les cybercriminels utilisent déjà des IA pour créer :
- des emails de phishing plus convaincants et personnalisés, plus difficiles à détecter par des filtres classiques.
- des sites frauduleux imitant des portails légitimes en quelques secondes (phishing web automatisé).

Types d’attaques spécifiques identifiés par des experts :
- Prompt injection et manipulation des modèles par des requêtes malveillantes pour altérer leurs comportements attendus.
- Malwares et campagnes sophistiquées assistés par IA (création de codes malveillants ou outils dédiés à la fraude).

La menace s’étend aussi au niveau géopolitique :
- Des acteurs étatiques utilisent l’IA pour automatiser et intensifier les cyber opérations offensives (phishing, désinformation, intrusion), comme indiqué dans plusieurs rapports récents.

🧠 En résumé

L’IA générative est un outil à double tranchant :

Elle amplifie les capacités des cyberattaquants (phishing, profilage, développement), mais
Elle n’est pas encore autonome dans la conduite complète d’attaques complexes, selon l’ANSSI.

De plus, les systèmes d’IA eux-mêmes sont des cibles potentiels pour des attaques visant à compromettre leur intégrité ou voler des données.

La menace évolue rapidement, ce qui nécessite une vigilance accrue, des approches de sécurité dédiées à l’IA, et une actualisation régulière des mesures de défense.

(sources : cyber.gouv.fr, powerdmarc.com, axios.com)

2- Perquisition des locaux de X en France

Le mardi 3 février 2026, les autorités françaises ont perquisitionné les bureaux de la plateforme sociale X (anciennement Twitter) à Paris, dans le cadre d’une enquête judiciaire ouverte en janvier 2025. Cette action a été conduite par la section de lutte contre la cybercriminalité du parquet de Paris, avec l’appui de la Gendarmerie nationale et d’Europol.

L’enquête avait initialement porté sur des soupçons de manipulation algorithmique et d’extraction frauduleuse de données, suite à des signalements de responsables politiques et de cybersécurité concernant des changements dans les algorithmes de X qui auraient favorisé certains contenus.

L’attention portée à Grok

L’investigation s’est étendue récemment à Grok, l’outil d’intelligence artificielle intégré à X par la filiale xAI. Des utilisateurs ont exploité Grok pour générer deepfakes à caractère pornographique – parfois impliquant des mineurs ou des personnes réelles sans consentement.

En France, ce type de contenu illégal est puni par la loi : le montage ou la diffusion sans consentement de telles images peut entraîner jusqu’à deux ans d’emprisonnement et 60 000 € d’amende.

Conséquences pour Elon Musk et X

Le parquet a convoqué Elon Musk (propriétaire de X) ainsi que Linda Yaccarino (ancienne directrice générale de X) pour une audition libre programmée le 20 avril 2026 pour leur rôle dans la gestion de la plateforme.
Cette perquisition ne signifie pas une mise en accusation immédiate, mais marque une étape importante dans l’enquête visant à déterminer si X et son IA ont enfreint la loi.

Réactions

Le groupe X a qualifié l’opération de “motivée politiquement” et infondée, affirmant qu’il n’a commis « la moindre infraction », et dénonçant un acte judiciaire abusif.

Contexte plus large

L’autorité française Arcom a déjà alerté publiquement sur la diffusion de contenus intimes non consentis générés par Grok, incitant à signaler ces contenus pour faire respecter le Digital Services Act (DSA) de l’UE.
L’enquête en France s’inscrit dans une série d’actions réglementaires européennes contre X et ses outils d’IA, notamment autour de la modération des contenus et de la conformité au DSA.

(sources : journaldugeek.com, francesoir.fr, french.news.cn, arcom.fr)

3- Numspot en bonne voie vers la certification SecNumCloud

Numspot, le fournisseur de cloud né d’une alliance entre Docaposte, Bouygues Telecom, Dassault Systèmes et la Banque des Territoires, annonce une renforcement de ses garanties sécuritaires pour mieux répondre aux besoins des secteurs régulés (santé, finance, administrations).

🔐 Nouvelles certifications

Extension de la certification ISO 27001 aux services managés cloud et IA : cela signifie que non seulement l’infrastructure interne, mais aussi les services opérationnels (cloud et IA) sont désormais couverts par un système de gestion de la sécurité de l’information conforme à la norme internationale la plus reconnue.
Obtention du label Hébergeur de Données de Santé (HDS) : indispensable pour héberger légalement des données de santé en France et dans l’Union européenne.

Ces jalons permettent à Numspot d’adresser des projets critiques réglementés (santé, industries sensibles, fintechs, etc.) avec une sécurité et une conformité reconnues. L’entreprise met aussi en avant une architecture hybride et indépendante facilitant les déploiements en environnements mixtes (cloud public, privé ou on-premise).

🎯 Objectif : obtenir le label SecNumCloud

L’article précise que Numspot est en train de finaliser son dossier pour obtenir la qualification SecNumCloud, délivrée par l’ANSSI – considéré comme le plus haut niveau de sécurisation pour les clouds opérant en France. Ce label n’est pas seulement technique : il impose également des critères de gouvernance, d’indépendance juridique et de protection contre les lois extraterritoriales (comme le Cloud Act américain), ce qui est un facteur différenciant pour les marchés publics ou régulés.

Si vous voulez plus de détails sur la certification SecNumCloud, je vous invite à jeter un œil à l’article que j’ai rédigé ici : SecNumCloud.

📊 Contexte & importance du sujet

1. La souveraineté des données pèse désormais dans les choix des entreprises
- Selon une étude récente, 60 % des RSSI français considèrent la souveraineté numérique comme un critère essentiel dans le choix de leurs fournisseurs cloud, reflétant une demande forte de solutions locales et contrôlées.
2. Le label SecNumCloud reste un objectif stratégique
- D’autres acteurs français (comme Scaleway ou Free Pro) s’engagent également dans des démarches similaires pour obtenir la qualification SecNumCloud, ce qui illustre la montée en puissance de ce référentiel comme norme de facto sur le marché français du cloud sécurisé.
3. Contexte réglementaire européen
- Au niveau européen, la certification des services cloud est en cours de révision dans le cadre du Cybersecurity Act, mais sans critères juridiques liés à la localisation ou à l’exposition aux lois étrangères, ce qui renforce l’attrait pour des labels nationaux comme SecNumCloud pour les données sensibles.

🧠 Pourquoi c’est pertinent pour la cybersécurité

1- Sécurité renforcée : l’extension ISO 27001 et HDS montre que Numspot sécurise non seulement son infrastructure, mais aussi les services cloud et IA, ce qui est crucial face aux menaces modernes.
2- Conformité réglementaire : obtenir et afficher des certifications reconnues rassure les organisations régulées (santé, finance, assurance).
3- Souveraineté numérique : en visant SecNumCloud, Numspot répond à un besoin stratégique français et européen de garder le contrôle des données sensibles en dehors des juridictions étrangères.

(sources : numspot.com, usine-digitale.fr, usine-digitale.fr, usine-digitale.fr, usine-digitale.fr)

🌍Zoom International

1- Mécanismes de mise à jour de Notepad++ détournés

Entre juin et décembre 2025, le mécanisme de mise à jour automatique de Notepad++ – un éditeur de texte très utilisé – a été compromis dans le cadre d’une attaque ciblée de la chaîne d’approvisionnement.

🎯 Comment l’attaque a fonctionné

Les pirates ont compromis l’infrastructure d’hébergement mutualisé du site officiel (notepad-plus-plus.org). Cela leur a permis d’intercepter et rediriger le trafic de mise à jour.
Ce n’était pas une faille dans le logiciel lui-même, mais une compromission au niveau de l’infrastructure.
Lorsqu’un utilisateur lançait une mise à jour depuis le logiciel, sa requête pouvait être détournée vers un serveur contrôlé par les attaquants, qui fournissait alors une version malveillante.

🕵️‍♂️ Qui était visé ?

L’attaque était hautement ciblée, visant certains utilisateurs spécifiques plutôt que tous les utilisateurs. Les détails techniques suggèrent que les victimes représentaient des organisations avec intérêts en Asie de l’Est.
Plusieurs chercheurs et entreprises de cybersécurité estiment que les responsables sont probablement liés à un groupe soutenu par l’État chinois.

‍💻 Durée et déroulement

La compromission a débuté en juin 2025.
Le fournisseur d’hébergement a perdu un accès direct lors d’une maintenance le 2 septembre 2025, mais les attaquants avaient déjà obtenu des identifiants internes, ce qui leur a permis de continuer à détourner du trafic jusqu’au 2 décembre 2025.
Cela représente donc ≈ 6 mois de détournement.

🛡️ Réponse et correctifs

Pour répondre à l’incident, l’équipe de Notepad++ a mis en place plusieurs mesures :

Migration et sécurité de l’infrastructure
- Le site a été déplacé vers un nouvel hébergement plus sécurisé.
Renforcement du mécanisme de mise à jour
- L’outil de mise à jour WinGup a été modifié pour :
  - Vérifier à la fois le certificat et la signature numérique de chaque installateur téléchargé.
  - Ajouter une signature XML pour le manifeste de mise à jour, ce qui rend plus difficile toute modification malveillante.
Versions recommandées
- Les versions 8.8.9 et ultérieures intègrent ces renforcements ; des vérifications encore plus strictes arriveront avec la version 8.9.2.

📌 Ce que cela montre

Cette attaque rappelle qu’une chaîne d’approvisionnement logicielle peut être attaquée au niveau de ses infrastructures de distribution – même si le logiciel lui-même est sain.
L’affaire met en lumière l’importance des vérifications de signatures numériques, des serveurs sécurisés et des audits réguliers des mécanismes de mise à jour.

(sources : it-connect.fr, secure.com, arstechnica.com)

2- Deux failles critiques exploitées dans EPMM (Ivanti)

L’éditeur Ivanti a publié fin janvier 2026 des correctifs d’urgence pour son outil Endpoint Manager Mobile (EPMM), une solution de gestion des terminaux mobiles en entreprise.

🛠️ Les vulnérabilités corrigées

Ivanti a identifié et corrigé deux failles critiques :

CVE-2026-1281
CVE-2026-1340

Type et impact :

Ce sont des vulnérabilités d’injection de code pouvant permettre à un attaquant non authentifié d’exécuter du code arbitraire à distance (Remote Code Execution).
Elles ont chacune un score de gravité CVSS de 9,8/10, ce qui les classe comme extrêmement critiques.

Ces deux failles permettent à des attaquants externes sans authentification de compromettre un serveur EPMM vulnérable.

📌 Exploitation réelle

Ivanti a indiqué que un nombre très limité de clients a déjà été exploité par ces failles avant leur divulgation publique.
Une des deux CVE a été ajoutée au catalogue des vulnérabilités exploitées (KEV) par la CISA américaine, soulignant l’exploitation active.

🧰 Produits et versions concernées

Les vulnérabilités affectent plusieurs versions d’EPMM notamment :

Versions 12.5.0.x, 12.6.0.x, 12.7.0.x
Versions 12.5.1.0 et 12.6.1.0

🩹 Comment corriger

Ivanti n’a pas publié de version totalement mise à jour, mais des correctifs autonomes (RPM) à appliquer manuellement :

Un patch pour la gamme 12.x.0.x
Un autre pour la gamme 12.x.1.x

⚠️Ces scripts doivent être réinstallés après chaque mise à jour de version, car ils ne « survivent » pas à un upgrade logiciel.

La correction permanente est prévue pour la version 12.8.0.0 d’EPMM.

🕵️‍♂️ Risques annexes et recommandations

Impact sur Sentry
- Bien que le produit Sentry Gateway – qui achemine le trafic des terminaux mobiles vers l’infrastructure interne – ne soit pas directement vulnérable, un EPMM compromis pourrait permettre de compromettre Sentry aussi, car EPMM peut exécuter des commandes sur ce dernier.
Ivanti fournit des conseils pour analyser un système potentiellement compromis, notamment :
- Examiner les journaux HTTP pour repérer des requêtes suspectes.
- Chercher des fichiers WAR ou JAR inattendus, signe d’implantation malveillante.
- Vérifier les comptes administrateurs, politiques et configurations réseau pour détecter des modifications non autorisées.
Si un appareil EPMM a été compromis, Ivanti recommande :
- Restaurer depuis des sauvegardes propres.
- Réinitialiser tous les mots de passe d’administration et de services.
- Révoquer et remplacer les certificats publics.
- Examiner les systèmes auxquels le serveur pourrait avoir accès.

📌 En résumé

Ivanti corrige deux failles critiques d’exécution de code à distance sur EPMM déjà exploitées dans la nature.
Ces vulnérabilités permettent à des attaquants non authentifiés de prendre le contrôle de serveurs EPMM vulnérables.
Des patchs manuels sont disponibles et doivent être appliqués rapidement, avec une mise à jour complète prévue pour la version 12.8.0.0.
Une analyse de compromission est recommandée même après l’application des correctifs.

(sources : lemondeinformatique.fr, bleepingcomputer.com, cert.europa.eu)

3- Chasse aux réseaux IPTV illégaux

Une opération policière internationale appelée Operation Switch Off qui a mis fin à l’un des plus importants réseaux IPTV illégaux au monde. Ce réseau était organisé comme une véritable infrastructure criminelle, diffusant des flux TV piratés à des millions d’utilisateurs tout en générant des revenus à travers des mécanismes sophistiqués de fraude et de blanchiment d’argent.

📌 Points clés de l’enquête

L’opération a été coordonnée par le parquet de Catane (Italie) avec l’appui d’Eurojust, Europol et Interpol, ce qui souligne la dimension transnationale de l’affaire.
31 personnes soupçonnées d’appartenir à ce réseau ont été identifiées comme faisant partie d’une organisation structurée.
Des perquisitions ont été menées dans 11 villes italiennes, et des actions coordonnées ont eu lieu dans au moins 14 pays (dont le Royaume-Uni, l’Espagne, la Roumanie, le Canada, l’Inde et d’autres).
La structure illégale captait et rediffusait des contenus de plateformes majeures (Sky, Amazon Prime, Netflix, Disney+, etc.) sans autorisation, attirant une large audience mondiale.
En Italie, l’opération a perturbé près de 1 000 revendeurs et interrompu les services pour plus de 100 000 utilisateurs, tandis que des millions de personnes ont été affectées dans le monde selon les autorités.

💰 Fraude, blanchiment et cryptomonnaies

L’article met aussi en lumière la dimension financière et criminelle du réseau, montrant comment les suspects utilisaient :

des cryptomonnaies,
des sociétés écrans,
et des actifs fictifs enregistrés,
pour masquer les profits générés par la diffusion illégale des contenus.

🔎 Contexte et éléments complémentaires

Pour mieux saisir l’importance de ce démantèlement, voici quelques éléments de contexte tirés d’autres sources :

1- Une action coordonnée à l’échelle mondiale
- Des médias internationaux confirment que Operation Switch Off est une action conjointe entre plusieurs pays contre des réseaux IPTV dit “industrial-scale”. L’opération a ciblé des infrastructures entières, pas seulement des sites isolés, ce qui est rare dans la lutte contre le piratage vidéo.
2- Arrestations au Royaume-Uni
- En parallèle à cette opération globale, la Police Intellectual Property Crime Unit (PIPCU) au Royaume-Uni a arrêté quatre personnes à Manchester et saisi des serveurs dans le cadre d’une action contre une autre grande opération IPTV illégale estimée à ~750 000 £.

📌 Qu’est-ce que l’IPTV illégale ?

L’IPTV illégale consiste à retransmettre ou redistribuer des chaînes de télévision ou des contenus protégés par droits d’auteur sans autorisation des ayants droit. Cela peut être réalisé via des serveurs pirates, des réseaux peer-to-peer ou des services web non autorisés.

Selon le droit français et européen :

l’accès conscient à des contenus piratés peut être considéré comme du recel de contrefaçon.
la peine potentielle peut aller jusqu’à 5 ans d’emprisonnement et 375 000 € d’amende pour les utilisateurs et opérateurs selon les juridictions concernées.

🧠 Pourquoi cette opération est importante

Dimension criminelle industrielle : ici, il ne s’agissait pas d’une simple petite plateforme pirate, mais d’une infrastructure complète organisée comme une entreprise avec serveurs, revendeurs et systèmes de blanchiment.
Coopération internationale renforcée : l’action coordonnée de multiples pays montre une volonté accrue des autorités de lutter contre la piraterie numérique à grande échelle.
Impact sur les modèles économiques des pirates : fermer des services qui desservaient des millions d’utilisateurs perturbe significativement les circuits de distribution illégale.

(sources : zataz.com, telecompaper.com, cityoflondon.police.uk)

🎯 Conclusion

La semaine du 2 au 8 février 2026 illustre une cybersécurité en mouvement, marquée par :

Des réponses institutionnelles plus fermes en France,
Des enquêtes approfondies sur la fraude numérique,
Des attaques coordonnées et géopolitiquement motivées à l’international,
Et des défis technologiques croissants liés à l’usage de l’IA.

La convergence de ces faits montre que les acteurs publics comme privés doivent renforcer leurs stratégies de sécurité, intégrer des approches basées sur l’IA défensive, et coopérer au-delà des frontières pour faire face à la criminalité numérique en constante évolution.