📢 Actualité Cybersécurité – Semaine du 19 au 25 janvier 2026

🙋‍♂️Introduction

La semaine du 19 au 25 janvier 2026 a été intense dans le domaine de la cybersécurité, marquée par de violations de données majeures, des alertes réglementaires, et une reprise des tensions numériques globales. Cela illustre une fois de plus l’importance cruciale de la cybersécurité dans les secteurs public et privé, tant en France qu’à l’international.

---

🗼Zoom France

1- Incident de cybersécurité à l’Urssaf

L’Urssaf a annoncé avoir détecté un accès frauduleux à une interface de programmation (API) utilisée pour la Déclaration préalable à l’embauche (DPAE), un service qui permet aux employeurs de déclarer leurs salariés. Cet accès non autorisé a été réalisé via un compte partenaire habilité, dont les identifiants avaient été volés lors d’un acte de cybermalveillance antérieur visant ce partenaire, et non par une intrusion directe dans les serveurs de l’Urssaf.

👥 Données potentiellement consultées

L’accès frauduleux aurait permis de consulter – et potentiellement d’extraire – certaines données personnelles de salariés ayant fait l’objet d’une nouvelle embauche au cours des trois dernières années (soit environ 12 millions de personnes).

Les informations concernées comprennent :

• noms et prénoms ;
• dates de naissance ;
• dates d’embauche ;
• numéro SIRET de l’employeur.

En revanche, aucun numéro de Sécurité sociale, adresse e-mail, adresse postale, numéro de téléphone ou donnée bancaire n’aurait été exposé, selon l’organisme.

🚨 Appel à vigilance

L’Urssaf a lancé un appel à la vigilance accrue, en particulier face au risque d’hameçonnage (phishing). Même si les données volées ne sont pas directement sensibles, elles peuvent être utilisées pour construire des arnaques personnalisées visant à tromper les victimes – par exemple en se faisant passer pour un service officiel ou un employeur, en se basant sur des informations réelles.

🛡️ Mesures prises

Dès la détection de l’incident :

• l’organisme a suspendu l’accès du compte compromis ;
• il a renforcé les mécanismes de sécurité et les habilitations des partenaires ;
• il a déposé une plainte auprès du procureur de la République ;
• il a notifié l’incident à la CNIL (Commission Nationale de l’Informatique et des Libertés) et à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

L’Urssaf a également assuré que la continuité des services de déclaration reste garantie et que les employeurs peuvent continuer à utiliser le service DPAE normalement.

🧠 En résumé

L’incident n’est pas un piratage direct des serveurs de l’Urssaf, mais une compromission d’accès via un tiers partenaire, qui a permis à des attaquants de consulter des données personnelles de millions de salariés. L’accent est mis sur la vigilance contre les escroqueries ciblées, tandis que l’organisme prend des mesures pour renforcer la sécurité de ses systèmes et suit les obligations légales de notification des autorités compétentes.

(sources : urssaf.org, estrepublicain.fr)

2- Négociations autour du rachat de la start-up en quantique Quobly

La société suisse SEALSQ (filiale du groupe WISeKey) a entamé des négociations exclusives avec la jeune pousse grenobloise Quobly pour un rachat stratégique majeur dans le domaine de l’informatique quantique.

🔎 L’accord est structuré en plusieurs phases :

• d’abord un investissement minoritaire initial,
• puis potentiellement une prise de participation majoritaire dans Quobly, si toutes les conditions (audits, autorisations réglementaires, accords définitifs) sont remplies.

La transaction pourrait atteindre environ 172 M€ (ou ~200 millions de dollars) si elle se concrétise entièrement.

🚀 Pourquoi ce rachat ?

Cette opération s’inscrit dans la stratégie quantique de SEALSQ, qui vise à développer des technologies quantiques souveraines, sécurisées et industrialisables à l’échelle européenne – notamment dans les secteurs de la défense, du renseignement, des services financiers et de la pharmacie.

Le rachat de Quobly doit également renforcer la présence des deux acteurs sur les marchés européen et américain, en tirant parti de leurs compétences complémentaires.

🧪 Quobly : une start-up quantique prometteuse

Créée en 2022 à Grenoble, Quobly est une spin-off du CEA-Leti et du CNRS spécialisée dans les processeurs quantiques à base de silicium – une technologie compatible avec la fabrication industrielle de semi-conducteurs.

Elle développe notamment :

• des puces quantiques avec qubits de spin en silicium ;
• un projet de puce à ~100 qubits tolérante aux pannes ;
• des émulateurs quantiques résistants aux erreurs.

Quobly a déjà levé des fonds importants (19 M€ en 2023, puis 21 M€ en 2025) pour avancer sur ces technologies.
Avant l’annonce du rachat, Quobly préparait également une levée de fonds d’environ 100 M€ pour poursuivre son développement industriel.

🤝 Collaboration préalable

Cette démarche de rachat fait suite à un partenariat stratégique signé en novembre 2025 entre SEALSQ et Quobly, visant à converger technologies quantiques et sécurité post-quantique – une combinaison essentielle pour que les futurs systèmes quantiques soient sécurisés dès leur conception.

💡 Réactions et perspectives

L’annonce met en lumière que des start-ups françaises très prometteuses dans le quantique attirent désormais l’intérêt des grands acteurs internationaux, parfois plus que des industriels français.

Cela soulève des questions sur la souveraineté technologique européenne et l’impact de financements étrangers dans des technologies stratégiques, malgré des programmes nationaux comme French Tech 2030.

📌 En résumé

• SEALSQ négocie l’acquisition de Quobly, avec un investissement total envisagé autour de 172 M€ (~200 M$).
• L’accord prévoit d’abord une participation minoritaire, avec possibilité de devenir majoritaire.
• Quobly, start-up grenobloise, développe des puces quantiques en silicium et était en train de préparer une très forte levée de fonds.
• Le deal s’inscrit dans une stratégie européenne de technologies quantiques sécurisées, en mettant l’accent sur sécurité post-quantique et industrialisation.

(sources : lemondeinformatique.fr, sealsq.com, frenchweb.fr)

3-Stoïk lève 20 millions d’euros pour transformer l’assurance cyber

La start-up Stoïk, basée à Paris et spécialisée dans l’assurance cyber pour entreprises, a bouclé une levée de fonds de 20 millions d’euros en série C, menée par le fonds Impala (famille Veyrat) et Opera Tech Ventures, avec la participation des investisseurs historiques Alven et Andreessen Horowitz.
Cette opération porte le total des financements levés par l’entreprise à environ 70 millions d’euros.

🎯 Un modèle d’assurance « proactive » plutôt que réactive

Contrairement aux assurances cyber classiques qui ne couvrent que les indemnités après une attaque, Stoïk veut aller plus loin : elle propose une offre intégrée couvrant la prévention, la détection et la réponse opérationnelle aux cybermenaces, structurée autour de trois piliers principaux :

1. Couverture financière des incidents – y compris interruption d’activité, restauration des systèmes, gestion de crise, coûts juridiques et communication.
2. Outils d’évaluation et de prévention des risques – Stoïk analyse l’exposition des entreprises aux menaces à partir de données accessibles publiquement.
3. Réponse aux incidents avec équipe interne – l’entreprise dispose de sa propre CERT (équipe d’intervention) pour analyser, contenir et remédier aux attaques en temps réel.

Stoïk intègre aussi de l’intelligence artificielle propriétaire dans ses capacités de prévention, de détection et de réponse, avec des agents d’IA conçus pour accélérer l’identification et le traitement des signaux d’attaque.

🌍 Une offre qui s’étend en Europe

Stoïk s’adresse principalement aux PME et ETI, en distribuant ses produits via un réseau de plus de 2000 courtiers. Plus de 10 000 entreprises européennes sont déjà couvertes, et la start-up est présente dans plusieurs pays :

• France,
• Allemagne,
• Espagne,
• Belgique,
• Autriche,
• Luxembourg.

L’objectif avec cette levée de fonds est d’accélérer le déploiement de la solution en Europe, d’investir davantage dans des capacités d’IA avancées et de faire croître les effectifs – visant à passer de ~130 à ~200 salariés dans l’année à venir.

📈 Pourquoi c’est important

Cette levée illustre deux grandes tendances actuelles du marché de la cybersécurité :

• Les assurances cyber évoluent vers des offres globales qui combinent couverture financière et prévention/détection/gestion d’incidents – répondant à la multiplication des attaques sophistiquées et à l’exigence de résilience des entreprises.
• La demande de solutions intégrées, notamment pour les PME et ETI, augmente dans un contexte où de nombreuses entreprises sont directement exposées à des incidents de sécurité, notamment liés à l’IA ou aux attaques ciblées.

📌 En résumé

Stoïk lève 20 M€ pour renforcer son assurance cyber proactive, qui combine couverture complète, prévention des risques, détection automatisée et réponse opérationnelle. L’entreprise accélère ainsi son expansion européenne et investit dans des fonctions d’IA pour mieux anticiper et gérer les cybermenaces.

(sources : usine-digitale.fr, reddit.com, usine-digitale.fr)

---

🌍Zoom International

1- Mandiant incite les entreprises à abandonner NTLMv1

Mandiant – la division cybersécurité de Google – a lancé une campagne musclée pour inciter les entreprises à abandonner le protocole d’authentification obsolète NTLMv1, encore utilisé dans certains environnements Windows malgré ses failles connues depuis des décennies.

Le message clé est que NTLMv1 n’est plus sûr et expose les organisations à des attaques par vol de credentials, élévation de privilèges et compromission de comptes critiques – notamment dans des environnements Active Directory.

📉 Pourquoi NTLMv1 est dangereux

NTLMv1 (Network LAN Manager version 1) est un ancien protocole d’authentification utilisé dans les réseaux Windows pour valider l’identité des utilisateurs. Bien qu’il soit déconseillé et dépassé depuis longtemps, des systèmes l’utilisent encore, souvent pour la compatibilité avec des applications héritées.

Le problème principal est la faiblesse cryptographique du protocole :

• Il repose sur un chiffrement faible (DES) et une poignée de valeurs fixes, ce qui rend les hachages très faciles à casser.
• Des outils malveillants peuvent extraire un hachage NTLMv1 intercepté et retrouver le mot de passe associé en quelques heures sur du matériel grand public.

🚨 L’initiative de Mandiant

Pour renforcer l’urgence de migrer vers des protocoles plus sécurisés (comme NTLMv2 ou Kerberos), Mandiant a publié publiquement un ensemble de « rainbow tables » pour NTLMv1 – des tables pré-calculées qui permettent de retrouver très rapidement un mot de passe à partir d’un hachage NTLMv1.

Traditionnellement, exploiter un hachage NTLMv1 nécessitait des ressources importantes ou l’usage de services tiers ; avec ces tables, la récupération de clefs devient accessible en moins de 12 heures avec un PC à ~600 USD.

Cette démarche vise à :

• illustrer concrètement le risque technique,
• pousser les responsables informatiques à agir rapidement,
• et mettre fin à la « tolérance » des environnements utilisant ce protocole.

🔁 Adoption et difficultés

Même si Microsoft a officiellement déprécié NTLM (toutes versions confondues) et prévoit de le supprimer dans les futures versions de Windows (Windows 11 24H2, Server 2025), il reste présent dans de nombreux systèmes pour des raisons de compatibilité avec d’anciens logiciels ou infrastructures.

Cette inertie est un des obstacles à l’abandon de NTLMv1 malgré sa faiblesse évidente : certaines applications critiques ne fonctionnent qu’avec ce protocole, ce qui complique la migration sans tests et refontes d’authentification.

📌 En résumé

• Mandiant (Google) publie des rainbow tables NTLMv1 pour montrer à quel point il est facile de cracker des identifiants chiffrés avec ce protocole.
• Cette initiative a pour but de forcer les organisations à arrêter d’utiliser NTLMv1, qui est obsolète et hautement vulnérable.
• Malgré des avertissements et la dépréciation officielle par Microsoft, NTLMv1 continue d’être trouvé en production, posant un risque important pour les réseaux d’entreprise.
• Les alternatives plus sûres incluent NTLMv2 et surtout Kerberos, qui doivent être mises en place partout où c’est possible.

(sources : lemondeinformatique.fr, privacyguides.org, cybernews.com, csoonline.com)

2- Nouvelle faille exploitée dans FortiCloud SSO

FortiCloud SSO est une fonctionnalité d’authentification Single Sign-On (SSO) intégrée aux produits de sécurité Fortinet (comme les pare-feu FortiGate). Elle permet aux administrateurs de se connecter via un système centralisé sécurisé plutôt que via des logins locaux classiques.

📍 Situation en cours

Fortinet a confirmé qu’une faille critique d’authentification dans FortiCloud SSO continue d’être exploitée, même sur des appareils déjà patchés. L’exploitation permet à des attaquants de contourner complètement la sécurité du login SSO pour accéder à la console d’administration de dispositifs FortiGate.

🧠 Comment l’exploitation se déroule

• La vulnérabilité (tracée comme CVE-2025-59718 et associée à CVE-2025-59719) permet à un attaquant de contourner l’authentification SSO en envoyant des messages SAML malformés, sans avoir besoin de crédentiel valide.
• Une fois l’accès obtenu, les attaquants peuvent :
  • créer des comptes administrateurs persistants,
  • activer l’accès VPN pour ces comptes,
  • exfiltrer la configuration complète des appareils (y compris règles, topologie réseau, paramètres sensibles).

🧪 Menace active et campagnes automatisées

Les chercheurs en sécurité, notamment Arctic Wolf, ont observé une campagne d’attaques automatisées qui exploitent cette faille sur de nombreuses installations Fortinet à travers le monde depuis mi-janvier 2026. Ces attaques ressemblent à celles déjà vues en décembre 2025, peu après la publication de la vulnérabilité.

💥 Patches insuffisants pour le moment

Fortinet a publié des mises à jour pour corriger la vulnérabilité, mais des cas d’exploitation continuent d’être observés sur des appareils supposés patchés, suggérant que :

• soit la correction n’est pas complète,
• soit une nouvelle voie d’attaque a été découverte par les attaquants.

🏠 Surface d’attaque

La fonction FortiCloud SSO n’est pas activée par défaut, mais elle peut être activée automatiquement lors de l’enregistrement des appareils via FortiCare. Cela a exposé involontairement de nombreux systèmes.

🔧 Mesures recommandées (par Fortinet et les experts)

Pour limiter l’exposition en attendant une correction complète :

1. Désactiver FortiCloud SSO sur les appareils vulnérables.
2. Restreindre l’accès administratif à l’interface de gestion (par exemple via des politiques réseau locales).
3. Appliquer immédiatement les patchs disponibles et surveiller les versions spécifiques mises à jour par Fortinet.
4. Activer des contrôles de journalisation et d’alerte pour détecter les connexions SSO suspectes et les modifications de configuration.

📊 En résumé

• Une nouvelle exploitation active d’une vulnérabilité FortiCloud SSO a été rapportée, même sur des appareils patchés.
• Cette vulnérabilité permet à des attaquants de contourner l’authentification SSO, de créer des comptes administrateurs et de voler des configurations.
• Des campagnes automatisées d’attaque sont en cours, affectant de nombreux pare-feu FortiGate dans le monde.
• Des mesures de mitigation immédiates sont recommandées, notamment désactiver le SSO et appliquer restrictions d’accès.

(sources : lemondeinformatique.fr, fortinet.com, thehackernews.com, securityweek.com)

3- Des clés BitLocker fournies au FBI par Microsoft

Microsoft a confirmé avoir remis au FBI des clés de récupération BitLocker dans le cadre d’une enquête pénale menée aux États-Unis, cela après qu’une autorité judiciaire a émis un mandat légal exigeant cette remise.

BitLocker est la solution de chiffrement intégrale des disques durs sous Windows : lorsqu’elle est activée, elle protège l’intégralité du contenu d’un PC contre tout accès non autorisé. Ce chiffrement est si solide que, sans la clé de récupération, il est pratiquement impossible d’accéder aux données – même en recourant à des méthodes analytiques ou forensiques classiques.

📌 Ce qui s’est passé

Dans une enquête du FBI liée à une fraude sur l’île de Guam, les autorités ont saisi plusieurs ordinateurs portables verrouillés par BitLocker. Incapables d’accéder aux données eux-mêmes, les enquêteurs ont obtenu un mandat judiciaire obligeant Microsoft à fournir les clés BitLocker détenues sur ses serveurs. Microsoft a alors transmis ces clés au FBI, permettant aux enquêteurs de déchiffrer les disques et d’examiner le contenu.

Selon Microsoft, l’entreprise reçoit environ 20 demandes de ce type par an et se conforme à celles qui sont accompagnées de mandats légaux valides.

🔐 Pourquoi c’est possible (et controversé)

• Par défaut, BitLocker sauvegarde la clé de récupération dans le cloud Microsoft (associée à un compte Microsoft ou à Azure AD), ce qui facilite la restauration des données si un utilisateur oublie son mot de passe ou que le système exige une récupération.
• Tant que la clé est stockée dans le cloud, Microsoft y a lui-même accès, ce qui signifie qu’avec un mandat légal, elle peut la remettre à des autorités comme le FBI.
• C’est exactement ce qui s’est produit dans l’enquête de Guam – ce n’est pas une « faille » pure en tant que telle, mais l’illustration d’un risque inhérent à la manière dont BitLocker gère les clés de récupération dans le cloud.

Des experts en cybersécurité et des élus (par exemple le sénateur américain Ron Wyden) ont critiqué cette approche, estimant qu’elle porte atteinte à la confidentialité des données et pose des risques pour la vie privée, car elle donne potentiellement accès à tout le contenu d’un appareil si les conditions légales sont réunies.

🛡️ Options pour les utilisateurs

Un point important souligné dans les analyses : il est possible de configurer BitLocker pour que les clés ne soient pas stockées sur les serveurs de Microsoft, mais plutôt sur :

• un disque USB,
• une impression papier,
• ou un stockage local propre, ce qui empêche Microsoft de détenir la clé de récupération.

Cependant, ces options ne sont pas toujours mises en avant par défaut, notamment dans les éditions « Home » de Windows où la sauvegarde automatique est fréquemment activée sans que l’utilisateur s’en rende compte.

🧾 En résumé

• Microsoft a fourni au FBI des clés de déchiffrement BitLocker dans le cadre d’une enquête judiciaire, en vertu d’un mandat légal.
• Cela met en lumière le fait que, lorsque les clés de récupération sont stockées dans le cloud Microsoft, la société peut non seulement y accéder mais aussi les transmettre à des autorités.
• L’affaire soulève des préoccupations en matière de vie privée et de protection des données personnelles, puisque la possibilité d’accéder à des données chiffrées dépend autant de la politique de stockage des clés que du chiffrement lui-même.
• Il existe des options permettant d’éviter que Microsoft ne détienne ces clés, mais elles requièrent une configuration explicite de l’utilisateur ou de l’entreprise.

(sources : lemondeinformatique.fr, cybernews.com, techradar.com, forbes.com)

---

🎯 Conclusion

La cybersécurité reste un enjeu omniprésent et dynamique, avec des incidents à grande échelle en France (comme la fuite chez l’Urssaf) et des défis technologiques à l’international (failles critiques, attaques DDoS, restrictions numériques politiques).

Cette période met particulièrement en lumière la nécessité d’une vigilance accrue, de pratiques de sécurité renforcées, et d’une collaboration continue entre acteurs publics et privés pour anticiper et contrer les menaces émergentes.