📢 Actualité Cybersécurité – Semaine du 22 au 28 décembre 2025

0xD4M13N

🙋‍♂️Introduction

Entre le 22 et le 28 décembre 2025, l’actualité cybersécurité a été dominée par plusieurs attaques importantes en France, notamment une forte perturbation des services publics en pleine période de fêtes, ainsi que par des évolutions internationales marquantes, tant au niveau des menaces techniques que des mouvements stratégiques dans l’industrie. Les attaques par déni de service, les fuites de données et les vulnérabilités continues ont confirmé la pression constante sur les organisations publiques et privées.

đź—ĽZoom France

1- Vague de dénis de service à la veille de Noël

À partir du 22 décembre 2025, une vague coordonnée d’attaques par déni de service (DDoS) a visé de nombreux services français. Ces attaques, attribuées au collectif prorusse NoName057(16), s’inscrivent dans une stratégie de pression politique et de propagande, en lien avec la position française favorable à l’Ukraine.

Les attaques ont touché :

  • La Poste et La Banque Postale ;
  • des services publics locaux (Rennes MĂ©tropole, sĂ©curitĂ© routière) ;
  • des transports (Eurotunnel/GetLink, tramway d’Angers) ;
  • des acteurs du secteur Ă©nergĂ©tique (EDF) ;
  • l’ARCEP, et des plateformes d’aĂ©roports (Lyon, Marseille, Lille, etc.). Zataz

Certaines revendications évoquent aussi un accès à des systèmes industriels (stations d’eaux usées), mais sans preuve confirmée à ce stade ; elles pourraient viser à amplifier la peur et l’impact narratif.

(source : zataz.com)

2- Un nouveau piratage massif des services de l’État

Le ministère des Sports, de la Jeunesse et de la Vie associative a confirmé le 19 décembre 2025 qu’il avait été victime d’une cyberattaque entraînant la fuite de données personnelles. Cette attaque intervient quelques jours seulement après une intrusion majeure dans les systèmes du ministère de l’Intérieur, soulignant une période particulièrement intense en matière d’incidents touchant des services publics français.

🧾 Données concernées et ampleur de la fuite

  • Environ 3,5 millions de foyers français seraient concernĂ©s par l’exfiltration de donnĂ©es issue d’un système d’information du ministère.
  • La fuite semble liĂ©e aux bĂ©nĂ©ficiaires du dispositif Pass’Sport, une aide financière destinĂ©e Ă  encourager la pratique sportive des jeunes, instituĂ©e dans le cadre du plan gouvernemental.
  • Les informations exposĂ©es incluent notamment des noms, prĂ©noms et adresses Ă©lectroniques, mais pas de mots de passe ni de donnĂ©es bancaires selon les autoritĂ©s.

⚠️ Détails et contexte de l’attaque

Plusieurs éléments issus d’analyses externes complètent le tableau :

  • Le piratage pourrait remonter Ă  dĂ©but novembre 2025, lorsqu’un groupe de hackers aurait exploitĂ© une faille sur la plateforme associations.gouv.fr pour aspirer un très large volume de donnĂ©es (dans les dizaines de millions de lignes), puis publiĂ© ces informations sur un forum criminel.
  • Ce fichier massif, après dĂ©duplication, correspondrait aux 3,5 millions de foyers uniques signalĂ©s par le ministère.
  • Certains analystes Ă©voquent que les donnĂ©es peuvent inclure des informations croisĂ©es entre plusieurs services publics (pas seulement du ministère des Sports), du fait des Ă©changes de donnĂ©es automatisĂ©s entre administrations.

🧑‍⚖️ Réponses officielles

Le ministère a indiqué qu’il allait :

  • DĂ©poser une plainte auprès des autoritĂ©s compĂ©tentes.
  • Saisir la CNIL (Commission nationale de l’informatique et des libertĂ©s) dans les 72 heures, conformĂ©ment Ă  la rĂ©glementation sur la protection des donnĂ©es.
  • Informer les personnes concernĂ©es et leur transmettre des recommandations de sĂ©curitĂ© (changements de mots de passe, vigilance accrue face aux tentatives de phishing, etc.).

(sources : tf1info.fr, figurespubliques.fr, info.fr, cnews.fr)

3- Retour progressif Ă  la normale des services postaux

Après plusieurs jours de perturbations, La Poste a indiqué un quasi retour à la normale à la fin de la semaine, bien que des dysfonctionnements marginaux subsistent sur certaines interfaces. Une enquête judiciaire est en cours avec mobilisation de la DGSI et du parquet de Paris.

(source : tf1info.fr)

🌍Zoom International

1- Exploitation d’une faille utilisant le code d’appairage WhatsApp

L’article (lemondeinformatique.fr) rapporte une faille exploitée dans WhatsApp qui abuse du mécanisme d’appairage (pairing) des appareils pour détourner des comptes utilisateurs. Il s’agit d’une campagne active observée ces dernières semaines, exploitant une fonctionnalité légitime de l’application de messagerie pour obtenir un accès non autorisé aux comptes.

La faille, connue sous le nom de GhostPairing, ne repose pas sur une vulnérabilité logicielle classique telle qu’un débordement de mémoire ou un bug de chiffrement ; elle exploite le mécanisme de liaison d’appareils de WhatsApp, qui sert normalement à connecter plusieurs appareils (comme WhatsApp Web ou Desktop à un compte mobile) en générant un code d’appairage.

🚨 Comment l’attaque fonctionne :

  1. Message piégé envoyé à la victime
    L’attaque débute souvent par un message provenant apparemment d’un contact de confiance, avec une phrase du type « J’ai trouvé cette photo de toi… » et un lien intégré.
  2. Redirection vers une page frauduleuse
    En cliquant sur le lien, l’utilisateur est dirigé vers une page Web factice, souvent imitant Facebook ou un service connu, où on lui demande de saisir son numéro de téléphone WhatsApp pour « voir le contenu ».
  3. Abus du code d’appairage
    En fournissant son numéro, le site malveillant déclenche, en arrière-plan, la fonctionnalité d’appairage légitime de WhatsApp, générant un code d’appairage authentique. Ce code est alors affiché à la victime et présenté comme une étape normale de « vérification ».
  4. Lien du compte au dispositif de l’attaquant
    Si l’utilisateur entre ce code dans WhatsApp pour « valider », il autorise involontairement l’ajout de l’appareil du pirate comme appareil lié à son compte. Une fois cela fait, l’attaquant dispose d’un accès presque total au compte WhatsApp : il peut lire les conversations synchronisées, voir et envoyer des messages, accéder aux photos, vidéos et interagir avec les contacts.

(sources : lemondeinformatique.fr, securityaffairs.com, numerama.com)

2- Faille grave dans MongoDB – CVE-2025-14847 (alias “MongoBleed”)

Une vulnérabilité très sérieuse a été identifiée dans le système de bases de données MongoDB, affectant un très large éventail de versions (de MongoDB 3.6 jusqu’aux lignes 8.x). Elle est cataloguée comme CVE-2025-14847 et reçoit un score de gravité élevé (CVSS ~8,7) en raison de son impact potentiellement très sévère.

La faille provient d’un mauvais traitement des données compressées avec la bibliothèque zlib dans le protocole réseau de MongoDB : des champs de longueur mal gérés peuvent renvoyer au client des données depuis la mémoire vive non initialisée (heap). Cela signifie qu’un attaquant non authentifié peut interroger le serveur et recevoir des fragments de mémoire contenant des données sensibles.

🚨 Exploitation active dans la nature

Des exploitations actives de cette vulnérabilité ont été rapportées « in the wild », c’est-à-dire dans des attaques réelles, avec la mise à disposition de code de preuve de concept qui facilite l’exploitation par des acteurs malveillants.

🌍 Ampleur et portée de l’impact

  • Des dizaines de milliers de serveurs MongoDB exposĂ©s Ă  internet sont vulnĂ©rables – certaines analyses estiment plus de 87 000 instances identifiables publiquement, et des estimations plus larges suggèrent que des centaines de milliers d’instances pourraient ĂŞtre touchĂ©es.
  • La vulnĂ©rabilitĂ© s’applique Ă  de très nombreuses versions, couvrant Ă  la fois des Ă©ditions « Community » et des dĂ©ploiements hĂ©ritĂ©s non maintenus.

🛠️ Comment se protéger

MongoDB a publié des correctifs pour toutes les versions encore supportées. Les versions corrigées incluent notamment :

  • 8.2.3
  • 8.0.17
  • 7.0.28
  • 6.0.27
  • 5.0.32
  • 4.4.30

Les administrateurs sont fortement encouragés à passer à ces versions sans délai, surtout pour les serveurs accessibles depuis internet.

⚠️ Atténuation temporaire

Si l’on ne peut pas appliquer immédiatement la mise à jour :

  • dĂ©sactiver la compression zlib dans la configuration rĂ©seau de MongoDB (en utilisant snappy ou zstd Ă  la place, ou en excluant zlib explicitement) afin de supprimer la surface d’attaque temporairement.

(sources : lemondeinformatique.fr, wiz.io, thehackernews.com, blog.intelligencex.org, thaicert.or.th)

3- Chantage sur fond de comptes premium Pornhub

Un groupe de cybercriminels connu sous le nom de ShinyHunters – spĂ©cialisĂ© dans le vol de donnĂ©es et l’extorsion – a rĂ©cemment visĂ© Pornhub, l’un des plus grands sites de contenu pour adultes au monde, en exigeant une rançon en Ă©change de donnĂ©es prĂ©tendument volĂ©es.

📊 Données visées

ShinyHunters affirme avoir mis la main sur environ 94 Go de données contenant plus de 200 millions d’enregistrements liés à des comptes Pornhub Premium. Ces données n’incluent pas de mots de passe, de numéros de carte ou d’informations financières, mais seraient extrêmement sensibles puisqu’elles couvriraient :

  • Adresses e-mail des membres Premium
  • Historique de recherches
  • Historique de vidĂ©os visionnĂ©es ou tĂ©lĂ©chargĂ©es
  • Mots-clĂ©s associĂ©s aux vidĂ©os
  • Horodatages et potentiellement donnĂ©es de localisation

Ces informations peuvent ĂŞtre utilisĂ©es pour du chantage ou de la sextorsion, car elles rĂ©vèlent les habitudes de visionnage privĂ©es de millions d’utilisateurs – ce qui peut causer une forte gĂŞne ou prĂ©judice personnel si diffusĂ© publiquement.

đź’Ą Origine des donnĂ©es – Mixpanel (tiers)

Selon Pornhub, les données ne proviennent pas de ses propres systèmes, mais auraient été extraites via Mixpanel, une plateforme d’analytique des comportements utilisateurs utilisée par de nombreuses entreprises. Pornhub affirme ne plus travailler avec Mixpanel depuis 2021.

Mixpanel, de son côté, conteste que les données aient été volées dans le cadre de sa récente faille de sécurité, indiquant qu’une compte employé légitime de la société parent de Pornhub y avait encore accès en 2023 et que cela impliquerait plutôt une combinaison de systèmes anciens et de données historiques qu’un nouveau piratage direct du fournisseur d’analytique.

💰 Rançon et chantage

Le groupe ShinyHunters a envoyĂ© des demandes de rançon demandant un paiement en Bitcoin, menaçant de publier ou de monnayer ces donnĂ©es sur Internet si Pornhub ne s’exĂ©cute pas. Ce type de tactique est typique des gangsters du ransomware / extorsion de donnĂ©es – ils n’encryptent pas forcĂ©ment un système, mais menacent directement de rendre publiques des informations sensibles.

Le site ZATAZ confirme qu’ils ont effectué ce chantage spécifiquement contre Pornhub et que cela fait partie de leur stratégie répétée d’extorsion auprès de multiples victimes.

(sources : techradar.com, impreza.host, theregister.com, 01net.com, zataz.com)

🎯 Conclusion

La période du 22 au 28 décembre 2025 a montré un double visage de la cybersécurité mondiale : en France, les attaques ciblent des services essentiels, perturbant l’accès aux plateformes publiques et privées en pleine période de fêtes, tandis qu’à l’international, les risques évoluent à la fois sur le plan technique (diversification des vecteurs de menace) et stratégique (renforcements et acquisitions dans la cybersécurité). Globalement, cette semaine illustre l’importance d’une cybersécurité proactive et résiliente, adaptée à l’évolution rapide des cybermenaces.

Related Posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *