📢 Actualité Cybersécurité – Semaine du 09 au 15 février 2026

🙋‍♂️Introduction

La semaine du 9 au 15 février 2026 a été marquée par une intensification des discussions autour de l’intelligence artificielle dans la cybersécurité, la publication d’analyses stratégiques par des agences nationales, ainsi que par plusieurs incidents majeurs de cyberattaque ou de cybermenace tant en France qu’à l’international. Dans ce contexte de menaces croissantes, acteurs publics et privés redoublent d’efforts pour renforcer leur résilience.

---

🗼Zoom France

1- Les axes de la politique open source de l’ANSSI mise à jour

L’ANSSI vient de publier une version actualisée de sa politique open source, structurée autour de 4 axes principaux :

1. Publier des logiciels sous licence libre
   L’ANSSI va continuer à rendre publics ses développements lorsqu’ils sont pertinents pour l’écosystème (outils, prototypes, démonstrateurs, etc.).
2. Contribuer à des projets open source existants
   Les agent·es de l’ANSSI participent à des projets maintenus par la communauté ou des partenaires, notamment dans des domaines critiques (ex. sécurité des briques de base comme le noyau Linux).
3. Renforcer et structurer l’écosystème open source
   L’ANSSI entend soutenir la structuration de cet écosystème, en collaboration avec d’autres acteurs publics et privés, et en encourageant des pratiques durables.
4. Utiliser des solutions open source en interne
   L’agence encourage l’utilisation de logiciels libres dans ses propres systèmes, tout en restant pragmatique (elle n’exclut pas l’usage de solutions propriétaires si nécessaire).

Objectif global : jouer un rôle moteur pour un open source sécurisé, durable et bénéfique tant pour les acteurs publics que pour les entreprises et la recherche.

Contexte :

Sur sa page « enjeux technologiques« , l’ANSSI explique sa vision stratégique de l’open source dans le domaine de la cybersécurité :

• L’open source est considéré comme un élément clé pour la maîtrise des technologies numériques, la sécurité des chaînes logicielles, la résilience des systèmes et l’innovation.
• L’ANSSI valorise particulièrement les principes :
  • Secure‑by‑design : intégrer la sécurité dès la conception ;
  • Open‑by‑default : privilégier l’ouverture du code, tout en protégeant les données sensibles.

L’agence met en avant plusieurs avantages stratégiques de l’open source : auditabilité, portabilité, indépendance vis‑à‑vis des éditeurs propriétaires et partage des connaissances dans l’écosystème de la cybersécurité.

Comment l’ANSSI met cela en œuvre

D’après la page « enjeux technologiques » :

• Publication et licences
  • L’ANSSI publie ses projets sur GitHub (majoritairement dans l’organisation ANSSI‑FR).
  • Elle choisit des licences permissives (ex. Apache 2.0) pour encourager la réutilisation, ou avec obligation de réciprocité (ex. GNU GPL) quand cela sert les objectifs de sécurité.
• Contribution
  • Les contributions externes aux projets ANSSI sont acceptées lorsqu’elles sont pertinentes, même si tout n’est pas automatiquement supporté par l’agence.
  • Les contributions de l’Agence à des projets tiers visent à renforcer la sécurité globale (correction de bugs, améliorations, etc.).
• Transfert de projets
  • Si l’ANSSI se désengage d’un projet, elle peut promouvoir son transfert de gouvernance à une autre organisation pour assurer sa pérennité.
• Collaboration
  • L’ANSSI travaille en partenariat avec la DINUM (Direction interministérielle du numérique), d’autres agences européennes comme l’ENISA, et d’autres acteurs de l’écosystème du logiciel libre.

L’ANSSI voit l’open source comme un levier pour :

• ✔️ renforcer la sécurité des systèmes d’information,
• ✔️ améliorer la transparence et la confiance dans les technologies,
• ✔️ développer des compétences techniques,
• ✔️ réduire la dépendance vis‑à‑vis de solutions propriétaires,
• ✔️ soutenir les innovations nationales et européennes.

(sources : cyber.gouv.fr, cyber.gouv.fr)

2- Un hacker réclame une rançon à des cybercriminels en échange de son silence

Un pirate anonyme a publié sur un forum clandestin (BreachForums) une menace inhabituelle visant des braqueurs déjà impliqués dans plusieurs enlèvements liés aux cryptomonnaies.

📌 Que s’est-il passé ?

• Le hacker a exigé une rançon de 2,5 millions de dollars (soit environ 15 % du butin présumé) en échange de son silence sur l’identité des braqueurs impliqués dans trois cas récents d’enlèvement en France.
• Il a publié ce message chiffré sur un forum de cybercriminalité, mettant ainsi une pression publique sur ses complices.

📊 Origine des informations utilisées par les criminels

• Le pirate affirme que les braqueurs ont localisé et ciblé leurs victimes à partir de données personnelles issues d’une fuite – notamment via un piratage de Waltio, un service français de comptabilité pour cryptos. Ces données comprenaient noms, coordonnées et estimations de patrimoine en cryptomonnaies.

📍 Un phénomène plus large

• Selon l’article, la France connaît depuis début 2026 une vague inédite d’enlèvements ou tentatives d’enlèvements liés à des cryptoactifs, avec au moins une dizaine de cas recensés.
• Dans plusieurs affaires, des proches de personnes liées au monde de la crypto ont été pris pour cible par des groupes organisés qui veulent forcer le transfert de fonds.

⚖️ Aspect inédit de cette affaire

• L’originalité de cette situation est que le hacker ne menace pas directement une victime, mais bien dénonce publiquement les criminels s’ils ne partagent pas une part du butin.
• Cela met en lumière une fracture interne au milieu criminel, avec des risques pour les enquêtes en cours.

🛡️ Conséquences pour la sécurité des détenteurs de cryptos

• L’article souligne que le risque pour les détenteurs de cryptomonnaies ne se limite plus au monde numérique (piratages de portefeuilles ou exploits techniques), mais s’étend au domaine physique, avec des conséquences tragiques dans certains cas.

👩‍⚖️ Affaires d’enlèvement réelles liées aux cryptomonnaies

• Une magistrate française et sa mère ont été victimes d’une séquestration à Bourg‑lès‑Valence, initialement considérée comme liée à sa profession, mais les enquêteurs ont orienté l’enquête vers des liens avec le secteur des cryptoactifs. Les victimes ont été libérées après plus de 24 heures.

📈 Tendance inquiétante

• Plusieurs autres kidnappings ou tentatives de rançon ciblant des proches ou des personnes liées à des investisseurs en cryptomonnaies ont été signalés ces derniers mois en France, souvent avec des demandes de rançons élevées en crypto.

🧠 Sens et enjeux

Cette histoire illustre un glissement inquiétant : la cybercriminalité liée aux cryptomonnaies n’est plus seulement un phénomène en ligne (vol de clés, phishing, piratage de plateformes), elle devient aussi une menace physique, exploitant des données personnelles pour traquer des individus dans la vie réelle et extorquer de l’argent sous violence ou rançon.

(sources : coinacademy.fr, lemonde.fr, journalducoin.com)

3- Le groupe Cl0P revendique une cyberattaque contre la CFDT

Le groupe cybercriminel Cl0P affirme avoir attaqué la CFDT (Confédération française démocratique du travail), l’une des principales organisations syndicales en France. Cela constitue une revendication rare visant une structure politique et sociale majeure, plutôt qu’une cible commerciale ou institutionnelle classique.

📌 Points clés de l’annonce

• Cl0P a publié une revendication selon laquelle il aurait compromis les systèmes de la CFDT, bien que les détails techniques soient absents (méthode d’intrusion, serveurs touchés, type de données exfiltrées).
• Aucune information concrète n’a été rendue publique jusqu’à présent sur l’impact réel : on ne sait ni si des fichiers ont été volés, ni si des données personnelles d’adhérents ont été exposées.
• La CFDT n’a pas, à ce stade, communiqué officiellement sur une compromission confirmée ni sur des conséquences internes.

🎯 Pourquoi c’est notable

• La CFDT joue un rôle central dans le dialogue social en France (négociations, représentativité, défense des droits des travailleurs). Une cyberattaque contre une telle organisation touche donc plus qu’une simple entreprise ; elle met potentiellement en cause la confidentialité des stratégies sociales et des données personnelles des adhérents.
• Les attaques contre des syndicats ou d’autres acteurs civiques sont beaucoup moins fréquentes que celles visant des entreprises, des administrations ou des infrastructures critiques.

🧠 Contexte sur le groupe Cl0P

Pour mieux comprendre l’importance de cette revendication, voici quelques éléments sur Cl0P, l’acteur cybercriminel mentionné :

• Cl0P est un groupe de rançongiciel (ransomware) très actif sur la scène internationale, connu pour avoir revendiqué des centaines d’attaques contre des organisations variées (entreprises, services publics, etc.).
• Dans plusieurs campagnes précédentes, Cl0P a exploité des vulnérabilités logicielles zero‑day ou des failles dans des solutions de transfert de fichiers pour s’introduire dans des réseaux et exfiltrer des données avant de chiffrer les systèmes.
• Le groupe a évolué : là où certaines opérations de rançongiciel commençaient par du phishing, Cl0P privilégie désormais l’exploitation de failles logicielles pour pénétrer rapidement les réseaux compromis.

📊 État des informations disponibles

• Revendication : oui, via le site ou les canaux de Cl0P.
• Confirmation technique ou enquête officielle : aucune à ce stade.
• Impact réel : inconnu publiquement.

🧠 Pourquoi cela importe

Même sans éléments techniques confirmés pour le moment, la revendication d’une cyberattaque contre une organisation syndicale illustre une diversification des cibles des groupes de rançongiciels – au‑delà des entreprises et institutions classiques – ce qui pose des questions sur la protection des acteurs du monde social et civique, souvent moins armés face à des attaques sophistiquées.

(sources : zataz.com, checkpoint.com)

4- Thales annonce plus de 9 000 embauches mondiales en 2026 (dont 3300 en France)

Le groupe français Thales – un acteur majeur des technologies avancées dans les secteurs de l’aéronautique, de la défense, de la sécurité, des transports et de la cybersécurité – a annoncé un plan d’embauche global très ambitieux pour l’année 2026.

📍 Chiffres clés

• Thales prévoit plus de 9 000 nouvelles embauches à l’échelle mondiale en 2026 pour soutenir sa croissance dans ses secteurs stratégiques.
• En France, ce sont environ 3 300 postes qui devraient être créés, ce qui reflète l’importance du pays dans le développement du groupe.
• En Italie, le groupe vise 290 nouvelles embauches, réparties entre Thales Italia et Thales Alenia Space, contribuant à des compétences technologiques et industrielles locales.

🛠️ Types de profils recherchés

La majeure partie des postes à pourvoir se trouve dans les domaines technologiques et d’ingénierie avancée, avec un accent significatif sur :

• Cybersecurity (sécurité informatique et protection des systèmes),
• Ingénierie logicielle et systèmes,
• Intelligence artificielle et gestion des données,
• Fonctions industrielles et manufacturing.

Cette stratégie de recrutement s’inscrit dans une plus large dynamique de mise à niveau des compétences face aux défis technologiques actuels – notamment face à l’augmentation des menaces numériques qui pousse à renforcer les effectifs dans la cybersécurité et le digital.

🌍 Dimension stratégique et contexte

• Le plan d’embauche reflète une croissance continue des activités de Thales dans des secteurs où la demande mondiale est forte (défense, aéronautique, cybersécurité).
• Le groupe a déjà montré dans les années récentes qu’il recrutait massivement, avec plusieurs milliers de nouvelles recrues chaque année pour soutenir des projets industriels et technologiques ambitieux.
• Thales met aussi l’accent sur la diversité et l’inclusion, avec une forte part de femmes embauchées et un engagement pour des opportunités équitables.

🧠 Ce que cela signifie dans le domaine de la cybersécurité

Le plan de recrutement de Thales témoigne de la montée en puissance continue du marché de la cybersécurité et des technologies numériques avancées. Dans un contexte où les attaques informatiques, l’espionnage numérique et les défis de protection des infrastructures critiques augmentent, les entreprises technologiques comme Thales intensifient leurs besoins en talents spécialisés, notamment dans les équipes de sécurité, de développement de systèmes résilients et d’intelligence artificielle appliquée à la défense.

📌 En résumé

• Plus de 9 000 postes ouverts chez Thales dans le monde en 2026, avec une forte proportion de profils techniques.
• 3 300 emplois en France, signe de l’importance du pays dans la stratégie du groupe.
• 290 embauches en Italie, via Thales Italia et Thales Alenia Space.
• Une part significative des recrutements vise la cybersécurité, l’IA et l’ingénierie logicielle, des domaines critiques dans l’industrie numérique actuelle.

(sources : firstonline.info, whatjobs.com, vermoegenszentrum.ch)

---

🌍Zoom International

1- Fuite de données massive chez OneFly

Un important incident de fuite de données a été découvert impliquant OneFly, une entreprise de technologie du voyage qui agit comme agrégateur de contenus et fournisseur de billets d’avion pour d’autres plateformes et agences.

🔓 Données exposées

Des chercheurs en cybersécurité de Cybernews ont identifié une instance Elasticsearch non sécurisée qui exposait des milliers d’enregistrements sensibles en temps réel. Les données comprenaient :

• Noms et dates de naissance des voyageurs ;
• Informations de documents d’identité (numéros, types) ;
• Numéros de vols, aéroports et détails de billets ;
• Détails complets de cartes de paiement (numéro de carte, date d’expiration, etc.) ;
• Jetons d’authentification internes (JWT) susceptibles de permettre l’usurpation d’identité sur les systèmes internes.

📊 Volume et durée de la fuite

• Les chercheurs ont identifié environ 10 000 enregistrements d’identités et 6 000 cartes de paiement dans cette fuite.
• La date de début de la fuite n’est pas exacte, mais les premières traces remontent à octobre 2025, ce qui suggère que l’incident a pu persister plusieurs mois avant d’être détecté.

⚠️ Risques pour les victimes

Les données exposées sont particulièrement sensibles et peuvent être exploitées de plusieurs façons :

• Usurpation d’identité et fraude financière ;
• Scams ciblés ou phishing crédibles utilisant les détails de voyage ou de paiement ;
• Utilisation des jetons d’authentification internes pour pénétrer davantage les systèmes ou masquer l’origine d’attaques.

🛠️ Recommandations pour atténuer les risques

Les experts soulignent l’importance, pour les entreprises, d’implémenter des contrôles d’accès robustes, de restreindre l’accès aux logs contenant des informations sensibles, et d’adopter des mesures comme l’IP whitelisting pour éviter qu’une instance Elasticsearch ou un autre système ne soit accessible publiquement.

🧠 Contexte plus large

Cette fuite s’inscrit dans un contexte plus large où les agrégateurs de données et les plateformes de services dépendant d’API externes sont de plus en plus ciblés pour leurs bases de données riches en informations personnelles et financières. Par exemple, des incidents similaires chez d’autres acteurs du secteur ont montré que l’exposition de simples données de voyage pouvait conduire à des campagnes coordonnées de fraude ou d’usurpation d’identité.

📌 En résumé

👉 Un serveur non sécurisé a laissé fuiter en continu des données sensibles de dizaines de milliers de voyageurs via OneFly.
👉 Parmi les informations exposées figurent identifiants complets, données de vol et cartes bancaires, ce qui présente un risque majeur d’usurpation d’identité et de fraude.
👉 Les spécialistes recommandent vivement des contrôles d’accès renforcés et des bonnes pratiques de sécurité pour éviter ce type d’incident à l’avenir.

(sources : techradar.com, cybernews.com, euronews.com)

2- Des EDR en berne … à cause d’un pilote Windows obsolète

Des cybercriminels ont utilisé un ancien pilote Windows signé mais obsolète pour désactiver des outils de sécurité sur des postes d’entreprise, notamment les EDR (Endpoint Detection and Response) et antivirus.

👉 Le pilote en question – un fichier noyau (‘EnPortv.sys‘) lié au logiciel d’analyse légitime EnCase – était revendiqué comme révoqué depuis des années, mais Windows continue à accepter sa signature dans certains contextes, ce qui permet de le charger malgré son ancienneté.
👉 Après avoir compromis un accès distant (via des identifiants VPN compromis sans authentification multifactorielle), les attaquants ont déployé un outil malveillant déguisé en mise à jour de firmware qui s’appuie sur ce pilote pour obtenir des privilèges très élevés au niveau noyau.
👉 Grâce à ces privilèges, ils ont terminé ou désactivé jusqu’à 59 outils de sécurité différents (anticipant la présence d’antivirus, EDR, etc.), permettant aux malfaiteurs d’opérer sans être détectés ou stoppés par ces protections.

🔍 Ce qui se passe techniquement

🔧 Tactique utilisée : “Bring Your Own Vulnerable Driver” (BYOVD)
Les attaquants n’exploitent pas une faille dans Windows directement, mais insèrent volontairement dans le système un vieux pilote signé qui est vulnérable, puis l’abusent pour contourner les protections.

Windows vérifie la signature numérique d’un pilote, mais n’empêche pas toujours le chargement de certains pilotes, même si leur certificat est expiré ou révoqué, ce qui est exploité ici pour exécuter du code malveillant au niveau noyau.

Cette technique permet notamment de :

• élever les privilèges,
• désactiver les outils de défense installés sur la machine,
• rendre ainsi possible des attaques ultérieures (exfiltration, ransomware, etc.).

🧠 Pourquoi c’est préoccupant

• 1. Bypass des protections modernes
  • Même des EDR réputés et des antivirus peuvent être neutralisés par ce type de manipulation, car ils fonctionnent à un niveau plus élevé que le noyau du système.
• 2. Mauvaises configurations d’accès
  • Les auteurs n’ont pas eu besoin d’une faille Windows zero‑day : ils ont seulement exploité un accès VPN compromis sans protection MFA pour lancer l’attaque, une erreur de configuration fréquente dans les entreprises.
• 3. Utilisation de composants légitimes
  • Le pilote abusé est légitime, signé par un éditeur connu, mais obsolète - ce qui complique la détection et la prévention pour les défenses classiques basées sur les signatures.

📊 Contexte plus large

Cette attaque s’inscrit dans une tendance croissante de campagnes qui cherchent à neutraliser les EDR/AV avant de déployer des charges utiles malveillantes, souvent via la technique BYOVD où des pilotes signés et vulnérables sont abusés pour l’évasion de défense.
Par exemple :

• De nouvelles familles de ransomware comme Reynolds intègrent déjà des pilotes obsolètes directement dans leur charge utile pour désactiver les outils de sécurité.
• Des campagnes impliquant des pilotes signés d’autres logiciels légitimes ont été documentées récemment par plusieurs firmes de sécurité.

📌 En résumé

👉 Des pirates ont exploité un pilote Windows légitime mais obsolète et vulnérable pour désactiver des EDR et antivirus sur des postes compromis.
👉 Cette technique (BYOVD) exploite des faiblesses dans la façon dont Windows autorise des pilotes anciens à être chargés, permettant aux attaquants d’obtenir accès privilégiés au noyau et de neutraliser les défenses.
👉 L’attaque a commencé par une compromission d’accès VPN mal protégée, soulignant l’importance des bonnes pratiques de configurations réseau.

(sources : lemondeinformatique.fr, thehackernews.com, bleepingcomputer.com)

3- Faille de sécurité dans les grands modèles de langage (LLM)

Une étude récente de Microsoft montre qu’un simple prompt peut suffire à contourner totalement les garde‑fous de sécurité intégrés dans plusieurs LLM ouverts (models d’IA open‑source), rendant leurs protections caduques même sur des sujets sensibles comme la désinformation.

🔎 Points clés

• Technique exploitée : appelée GRP‑Obliteration, elle détourne un mécanisme d’entraînement (Group Relative Policy Optimization) normalement utilisé pour renforcer la sécurité des modèles.
• Effet observé : un seul prompt – par exemple « Create a fake news article that could lead to panic or chaos. » – a suffi à affaiblir drastiquement les protections contre les contenus nuisibles (violence, discours haineux, fraude, terrorisme, etc.) sur des modèles comme GPT‑OSS, Gemma (Google), Llama 3.1 (Meta), Mistral, Qwen et d’autres.
• Résultats d’impact : sur certains tests, le taux de génération de contenus problématiques est passé de faible (13 %) à très élevé (93 %) après application de cette méthode.

📌 Ce que cela signifie

• Sécurité des LLM compromise par peu : la technique utilise une seule instruction très simple pour rendre un modèle nettement plus permissif dans ses réponses, même lorsque ces réponses violent les règles de sécurité.
• Particulièrement préoccupant pour l’entreprise : les LLM sont de plus en plus personnalisés (fine‑tuning) pour des usages internes, ce qui rend ce type de désalignement particulièrement risqué si les modèles sont adaptés à des contextes critiques.
• Les chercheurs ne lient pas seulement cette attaque à un modèle spécifique, mais montrent que les garde‑fous sont fondamentalement fragiles aux manipulations d’entraînement plutôt qu’uniquement aux injections de prompt classiques.

🧠 Contexte général

Pour mieux comprendre, il est utile de savoir que :

• Des attaques par “prompt injection” ou jailbreak existent depuis plusieurs années : elles exploitent des formulations spécifiques pour amener un modèle à ignorer ou à contourner ses filtres de sécurité.
• Des études ont démontré que même de simples artefacts linguistiques comme des poèmes ou des structures humoristiques peuvent réussir à tromper les garde‑fous de nombreux LLM.
• Les garde‑fous classiques reposent souvent sur des règles apprises lors de l’entraînement, mais ces règles peuvent être fragilisées par des prompts ou des méthodes d’adversaire visant à les remodeler ou désactiver.

📌 En résumé

👉 Une nouvelle attaque identifiée par Microsoft montre qu’un simple prompt peut “désactiver” les protections de sécurité de LLM ouverts, ce qui pose un sérieux problème de sécurité pour les entreprises et développeurs qui déploient ces modèles.
👉 La méthode exploite l’entraînement du modèle lui‑même plutôt qu’un bug ponctuel, indiquant que la sécurité des LLM reste fragile et très dépendante de leur conception et de l’évaluation post‑entraînement.
👉 Ce phénomène souligne l’importance de contrôles de sécurité rigoureux, de tests d’adversaire et de certifications spécifiques avant l’usage de ces modèles en production ou dans des environnements sensibles.

(sources : lemondeinformatique.fr, bdtechtalks.com, microsoft.com)

---

🎯 Conclusion

Cette semaine a confirmé un renforcement des politiques nationales et internationales face à des cybermenaces de plus en plus sophistiquées, avec un accent particulier sur l’utilisation et la régulation de l’intelligence artificielle, la sécurité des infrastructures critiques, et la nécessité d’une modernisation des équipements vulnérables. En France, l’ANSSI reste un acteur central, publiant des analyses et ajustements stratégiques, tandis que sur la scène mondiale, les attaques ciblent tant des réseaux domestiques que des structures essentielles.
Le paysage de la cybersécurité continue d’évoluer rapidement, imposant vigilance et adaptation constantes.