Le nouveau malware Android Antidot

Aperçu du malware « Antidot »

Le rapport « Overview » publié par Prodaft décrit en détail une nouvelle famille avancée de malwares Android nommée Antidot, orchestrée au sein d’une plateforme de type Malware-as-a-Service (MaaS), dominée par l’acteur identifié sous le nom LARVA-398. L’étude révèle que plus de 3 775 terminaux ont été compromis dans le cadre de 273 campagnes distinctes, destinées à un large éventail de cibles en Europe, en Asie et ailleurs.

Architecture et modus operandi

Antidot propose une triple capacité redoutable :

• enregistrement à l’écran via les services d’accessibilité Android ;
• interception des SMS ;
• extraction de données sensibles dans des applications tierces (services bancaires, crypto-wallets, etc.).

Ces fonctionnalités, couplées à une large distribution via des campagnes de phishing ciblé et des réseaux publicitaires malveillants, positionnent Antidot comme un outil sophistiqué de collecte massive d’informations.

Dangers liés aux services d’accessibilité

En tirant parti des services d’accessibilité d’Android, le malware obtient des privilèges étendus, souvent sans que l’utilisateur ne soit pleinement conscient des permissions accordées. Cette escalade de privilèges permet à Antidot de fonctionner en arrière-plan, de surveiller les activités et de voler les données sans alerter l’utilisateur.

Modèle économique et ciblage géographique

En tant que MaaS, Antidot est proposé à des acteurs souhaitant diffuser des campagnes ciblées. Les campagnes identifiées s’adressaient à des victimes localisées selon la langue et la géolocalisation, montrant une dimension stratégique dans la sélection des cibles.

Limites des défenses traditionnelles

Les chercheurs soulignent une limite majeure des protections Android : les mises à jour de sécurité sont fragmentées selon les fabricants et opérateurs, ce qui crée des fenêtres d’exposition pouvant durer plusieurs mois. En conséquence, protéger le système uniquement par des correctifs s’avère insuffisant face à des menaces comme Antidot.

Ressurgence du malware Android : AntiDot, GodFather & SuperCard X

Un article récent de The Hacker News met en lumière deux menaces actuellement actives : la progression explosive d’AntiDot et le malware baptisé GodFather, ainsi que l’apparition d’un nouveau vecteur nommé SuperCard X pour les attaques NFC.

AntiDot : extension des capacités et escalade

Confirmant les données de Prodaft, l’article précise qu’AntiDot est actif sur 3 775 appareils via 273 campagnes différentes, distribué en tant que MaaS par LARVA-398. Il concrétise sa dangerosité avec l’exploitation des services d’accessibilité, la surveillance SMS et la capture d’écran.

GodFather : vol de données bancaires et crédentiels de verrouillage

Contrairement à AntiDot, GodFather s’en prend directement aux institutions financières, notamment en Turquie. Il utilise des fonctionnalités de virtualisation pour subtiliser :

• les identifiants de verrouillage (schéma, PIN ou mot de passe) ;
• informations bancaires sensibles en profitant de surcouches applicatives intégrées dans les apps financières.

L’exfiltration de données bancaires devient encore plus critique, car l’accès physique à l’appareil n’est plus nécessaire pour compromettre le compte financier.

SuperCard X : détournement via NFC

SuperCard X est un malware de type relais NFC, dérivé de l’outil légitime NFCGate. Il permet d’intercepter les communications NFC destinées à des cartes bancaires, puis de les reproduire depuis un appareil contrôlé par l’attaquant afin de mener des transactions frauduleuses. D’abord détecté en Italie, il ciblait ensuite des institutions financières en Europe, aux États-Unis et en Australie.

Modes de distribution et méthodes de social engineering

Les infections sont initiées via du smishing : l’utilisateur reçoit un message incitant à installer une APK malveillante déguisée en application utile. Dans certains cas, des apps malveillantes sont hébergées sur le Play Store ou l’App Store, comme RapiPlata, un SpyLoan ciblant des utilisateurs colombiens avec 150 000 téléchargements, capable de voler SMS, journaux d’appels, calendriers, applications installées, et même des phrases mnémoniques de porte-monnaie crypto.

Dangers accrus et tendances émergentes

Multiplication des vecteurs d'attaque

Batting sur plusieurs fronts, ces malwares Android opèrent via :

• services d’accessibilité Android (Antidot, GodFather) ;
• relai NFC (SuperCard X), un vecteur inédit pour le grand public ;
• applications discrètes dans les stores officiels (SpyLoan).

Cette convergence technologique rend la menace plus complexe et difficile à surveiller.

Malware-as-a-Service (MaaS)

Antidot et GodFather étant proposés en tant que MaaS, cela abaisse les barrières techniques pour les cybercriminels. Cette généralisation d’un modèle à la Uber multiplie le nombre d’acteurs semi-professionnels capables de déployer des campagnes ciblées.

Escalade de privilèges et furtivité

Le recours aux services d’accessibilité, aux seize captages d’écran, aux interceptions SMS, au phishing NFC et à l’ingénierie sociale permet aux malwares d’opérer discrètement, sans alerter les utilisateurs ou systèmes de protection active.

Impact mondial

Les campagnes visent un public international : Europe (Turquie, Italie, Colombie), Amériques, Océanie. La diversité des cibles financières et bancaires montre l’atteinte d’un niveau de sophistication industriel, exploitant des niches spécifiques comme la crypto, la finance et le mobile banking.

Recommandations et stratégies de défense

Sensibilisation et vigilance utilisateur

Les utilisateurs doivent être formés pour reconnaître les messages frauduleux (smishing) et comprendre les risques liés à l’installation d’applications hors des stores officiels. Toute demande de permissions étendues ou de bypass doit être considérée avec suspicion.

Renforcement des politiques de sécurité Android

Les organisations doivent :

• restreindre l’accès aux services d’accessibilité Android aux seules applications légitimes ;
• bloquer le sideloading d’APK quand cela est possible ;
• mettre en place des solutions de Mobile Threat Defense (MTD) sur les terminaux.

De plus, l’intervention proactive sur les systèmes fragmentés est essentielle pour combler les lacunes mises en lumière par Prodaft.

Détection comportementale et réponse aux incidents

Mettre en place une surveillance active des comportements suspects (captures d’écran, lecture SMS, transactions NFC), détecter les signaux faibles via l’analyse des logs et déployer des réponses rapides (isolation de l’appareil, analyse forensic).

Collaboration internationale

La nature transversale des attaques sur des utilisateurs situés dans plusieurs pays invite à une collaboration renforcée entre les institutions de sécurité, les forces de l’ordre et les fournisseurs de mobilité pour partager les indicateurs de compromission (IoC) et démanteler les infrastructures malveillantes.

En résumé

La combinaison révélée par Prodaft et The Hacker News montre que les malwares Android comme Antidot, GodFather et SuperCard X représentent une menace nouvelle : avancée, multiforme et difficile à détecter. Ils s’appuient sur des techniques de pointe (services d’accessibilité, NFC, virtualisation, phishing), sont revendus sous forme de services, et touchent des secteurs critiques (banque, finance, crypto).

Pour y répondre de manière efficace, il ne suffit plus de patcher les systèmes ou d’installer un antivirus. La stratégie doit être holistique : sensibilisation humaine, contrôle des permissions, détection comportementale, interdiction du sideloading, et coordination internationale. Cette vision globale est indispensable pour anticiper, détecter et neutraliser les menaces mobiles qui prolifèrent aujourd’hui.

Sources :
The Hacker News - New Android Malware Surge Hits Devices via Overlays, Virtualization Fraud and NFC Theft.
Rapport Prodaft - Antidot.

Lire la suite

Le groupe de hackers russes APT29 cible Gmail App

Contexte général de la campagne

Depuis avril 2025, le groupe de cyberespionnage APT29 (aussi appelé UNC6293, Cozy Bear ou Midnight Blizzard) mène une campagne sophistiquée visant principalement des universitaires et critiques du gouvernement russe. Ces attaques exploitent une faille d’usage dans les comptes Google en contournant l’authentification à deux facteurs grâce aux « App Passwords ».

Fonctionnement des App Passwords

Les App Passwords sont des codes à usage unique générés par l’utilisateur depuis son compte Google pour permettre à des applications moins sécurisées d’accéder aux données. Or, ces codes permettent un accès sans déclenchement du système de vérification à deux facteurs, créant une porte dérobée idéale pour les attaquants une fois qu’ils l’obtiennent.

Méthodologie des attaques

Techniques de phishing ciblé

Les attaquants contactent leurs cibles via de faux courriels en anglais impeccable, imitant des employés du Département d’État américain. Ils utilisent des adresses en @state.gov (inexistantes mais sans retour d’erreur) et établissent un échange prolongé visant à instaurer la confiance.

Le piège final via un faux PDF

Après plusieurs échanges, la victime reçoit un document PDF d’apparence officielle contenant des instructions précises pour générer un App Password Google nommé « ms.state.gov ». Pensant participer à un projet sécurisé gouvernemental, la victime transmet ce code aux attaquants, leur ouvrant un accès total à sa messagerie.

Accès aux comptes Gmail

Le code transmis permet à APT29 de configurer un client mail ou un accès programmatique qui contourne complètement la 2FA. Les attaquants peuvent alors lire, surveiller et extraire les emails sans être détectés.

Étude de cas : Keir Giles

Parmi les victimes figure Keir Giles, chercheur britannique spécialiste de la Russie. Il a échangé avec un faux fonctionnaire américain avant de recevoir un PDF sophistiqué. Ce document, long de six pages, sans aucune faute, pourrait avoir été généré ou affiné par une intelligence artificielle pour maximiser son réalisme.

Infrastructure technique de l’attaque

Les connexions malveillantes sont effectuées via des proxies résidentiels et des serveurs VPS, rendant la détection géographique difficile. Deux vagues ont été observées : une orientée vers le milieu académique américain, l’autre autour de thèmes ukrainiens.

Réaction de Google

Contre-mesures mises en œuvre

Google a collaboré avec Citizen Lab pour identifier les attaques, révoquer les App Passwords compromis, verrouiller les comptes ciblés et avertir les victimes potentielles. Les mesures préventives recommandées incluent l’activation du programme Advanced Protection et la suppression de tous les App Passwords inutilisés.

Analyse des tactiques APT29

APT29 est connu pour ses campagnes ciblées (comme SolarWinds ou le phishing OAuth). Sa méthode actuelle repose moins sur l’exploitation technique que sur le social engineering avancé, rendant la détection plus difficile et les dégâts potentiellement importants.

Conséquences en matière de cybersécurité

Failles liées aux App Passwords

Malgré leur rôle initialement utile, les App Passwords représentent une faille critique dans les environnements où la sécurité est primordiale. Ils permettent un accès furtif à des comptes protégés par 2FA, sans alerter l’utilisateur.

Amélioration du phishing grâce à l’IA

L’usage potentiel d’intelligence artificielle pour rédiger des messages et documents sans fautes grammaticales ou incohérences rend les tentatives de phishing plus convaincantes que jamais, surtout auprès de cibles éduquées et habituées à filtrer les fraudes classiques.

Recommandations de sécurité

Les organisations et individus à risque élevé doivent activer le programme Advanced Protection, auditer régulièrement leurs App Passwords, former les employés à détecter les signes de rapport-building suspect, et intégrer des solutions d’analyse comportementale capables de détecter des anomalies d’accès.

En résumé

La campagne de phishing d’APT29 exploitant les App Passwords de Gmail révèle un changement stratégique dans l’arsenal des cyberattaques étatiques. Au-delà des vulnérabilités techniques, elle exploite les failles humaines avec une précision redoutable. Cette menace souligne l’importance d’un modèle de sécurité centré sur l’utilisateur, reposant autant sur la technologie que sur la formation, la gouvernance des accès et l’analyse proactive des comportements numériques.

Sources :
The Hacker News - Russian APT29 Exploits Gmail App Passwords to Bypass 2FA in Targeted Phishing Campaign.
Security Week - Russian Hackers Bypass Gmail MFA With App-Specific Password Ruse.

Lire la suite

Une vulnérabilité de Gerrit compromet Google Chromium

Une vulnérabilité critique dans le système de revue de code open source Gerrit, utilisé par Google, a été détectée et nommée « GerriScary » (CVE‑2025‑1568). Cette faille a permis à des utilisateurs enregistrés, sans droits administratifs, d’injecter du code malveillant dans plusieurs projets Google majeurs, compromettant notamment ChromiumOS, Chromium, Dart, Bazel et d’autres.

Contexte et découverte

Découverte par les chercheurs de Tenable Cloud Research (notamment Liv Matan), la vulnérabilité s’est manifestée à travers une mauvaise configuration des permissions dans Gerrit et une condition exploitée par les attaquants. Dénommée « GerriScary », elle a été attribuée au CVE‑2025‑1568.

Gerrit est un outil web de revue de code développé par Google, largement utilisé tant en interne qu’en open-source. Comme tout projet Gerrit, n’importe qui peut s’enregistrer et obtenir des permissions minimales telles que addPatchSet, permettant d’ajouter des révisions de patches aux changements existants.

Nature de la vulnérabilité

Le cœur du problème tient à deux failles :

a. Permissions par défaut trop larges : tout utilisateur enregistré pouvait ajouter une nouvelle version d’un patch pré-approuvé, via addPatchSet.

b. Copy Conditions mal configurées : les étiquettes d’approbation (« labels »), comme **Code‑Review** ou **Commit‑Queue**, étaient copiées automatiquement vers les patch sets suivants sans exiger une nouvelle validation. Cette configuration erronée a empêché une revalidation du nouveau patch, ouvrant la voie à des injections malveillantes.

Exploitation via condition de course

Les chercheurs ont observé que lorsqu’un patch recevait une approbation « Commit‑Queue +2 », un bot Gerrit lançait la fusion automatique après un délai de quelques minutes. Les attaquants pouvaient alors profiter de cette fenêtre pour modifier le patch approuvé en injectant du code malicieux, lequel était fusionné sans revalidation.

Concrètement, le scénario se déroulait en trois étapes :

• Soumission d’un patch innocent accepté par un développeur.
• Dès que l’étiquette **Commit‑Queue +2** est attribuée, le script de reconnaissance la détecte.
• Le script injecte un patch malveillant via addPatchSet avant l’exécution du bot, contournant la nécessité d’une nouvelle approbation.

Le délai entre la pose de l’étiquette et la fusion varie selon les projets : quelques secondes à une minute pour certains, jusqu’à cinq minutes pour ChromiumOS et Dart.

Étendue des projets compromis

Au moins 18 projets Google étaient concernés, parmi lesquels :

ChromiumOS, Chromium, Dart, Bazel, Dawn, BoringSSL, GN, Gerrit, Ceres Solver, Quiche, Android‑KVM, Opensecura, Cue, Linux, Plan9port, Hafnium, Nginx….

Ces projets sont stratégiques : ChromiumOS équipe les Chromebooks, Chromium est au cœur de Chrome, Dart sert la plateforme Flutter et Bazel constitue le moteur de construction. Une compromission aurait pu avoir un impact global massif.

Preuve de concept

Pour valider leur découverte, les chercheurs ont conçu des preuves de concept :

- Injection d’un simple commentaire dans le dépôt ChromiumOS, visible via Code Search.
- Pas de test complet en production par précaution éthique, mais démonstration technique dans plusieurs projets.

Scan automatisé et identification des cibles

Les chercheurs ont déployé un outil de scan capable de détecter les projets vulnérables sans provoquer d’erreurs visibles. En analysant les codes de réponse HTTP (200 ou 209) des requêtes visant à modifier un message de commit, ils pouvaient déterminer si le patch set pouvait être modifié via addPatchSet.

Réponse et remédiation par Google

Google a répondu rapidement après divulgation (octobre 2024) :

• Désactivation de addPatchSet pour les utilisateurs non fiables sur les projets critiques, notamment ChromiumOS.
• Correction des conditions de copie pour obliger une revalidation des labels à chaque patch set.
• Déploiement d’audits sur d’autres projets Gerrit similaires.
• Attribution d’un bug bounty de 5 000 $ pour le signalement.
• Publication du CVE‑2025‑1568 en février 2025.

Gravité technique et notation CVSS

Le NVD attribue une note CVSS 3.1 de 8.8 (« High ») à CVE‑2025‑1568, indiquant un risque important potentiellement aboutissant à une exécution de code à distance ou une interruption des services via la chaîne logistique de développement.

Enseignements et bonnes pratiques

Plusieurs leçons majeures émergent de l’incident :

• Ne jamais accorder l’accès addPatchSet par défaut à des utilisateurs non triés. Restreindre ce droit aux collaborateurs de confiance.
• Activer la revalidation des labels à chaque patch set pour éviter toute continuation implicite d’une approbation antérieure.
• Mettre en place des contrôles temporels entre approbation et fusion ; analyser les délais automatisés pour éviter les attaques par condition de course.
• Auditer systématiquement les configurations Gerrit, notamment Copy Conditions et étiquettes personnalisées comme “Commit‑Queue”.
• Standardiser des pipelines CI/CD avec revalidation cryptographique, signatures de commit et vérifications automatisées (“zero trust”).

Répercussions globales

L’incident souligne que même des géants comme Google restent vulnérables à des failles de configuration dans leurs outils de développement. Il rappelle que la chaîne logistique logicielle est aussi critique que le code final, et que toute faiblesse dans le processus de revue peut exploiter massivement des projets open-source.

En résumé

GerriScary (CVE‑2025‑1568) a révélé que des permissions trop larges et l’absence de revalidation dans Gerrit peuvent conduire à des injections silencieuses de code malveillant dans des projets majeurs. Grâce à la divulgation responsable de Tenable, Google a mis en place des mesures correctives : retrait des droits pour les utilisateurs non fiables et validation stricte des étiquettes. Toutefois, cette affaire reste un signal d’alerte global dans l’écosystème open source et DevOps. Chaque mainteneur doit désormais considérer la sécurité des accès, le temps système et la revalidation comme des axes critiques de protection.

Sources :
Rapport Tenable - GerriScary: Hacking the Supply Chain of Popular Google Products (ChromiumOS, Chromium, Bazel, Dart & More).
Security Week - Gerrit Misconfiguration Exposed Google Projects to Malicious Code Injection.

Lire la suite

Cyber-attaque de Stargazers sur Minecraft

Contexte et surface de l’attaque

Les cibles principales de cette campagne sont les joueurs du célèbre jeu Minecraft, attirés par des mods censés améliorer l’expérience de jeu (comme des cheats ou des addons). L’objectif malveillant est d’installer un infostealer sur les dispositifs Windows, capable de récupérer mots de passe, tokens d’authentification et même des portefeuilles de cryptomonnaie. Pour cela, les attaquants proposent ces mods sur des plateformes populaires, notamment des forums, des sites alternatifs ou encore Discord, souvent sous une apparence légitime.

Méthodologie du malware

Le mode opératoire des « Stargazers » se déroule en plusieurs phases. D’abord, l’utilisateur installe un mod Minecraft falsifié, apparemment légitime, mais qui contient du code malveillant. Ce code contacte ensuite un serveur distant (C2) pour télécharger un fichier nommé dl.jar, qui sert de passerelle. Le malware s’installe ensuite de façon persistante sur Windows via la clé de registre Run, ou sur Linux via un service systemd. Un second composant, appelé client.jar ou hook.dll, est ensuite exécuté. Ce dernier, fortement obfusqué, est chargé de voler les données sensibles de l’utilisateur. Il recherche les cookies et identifiants dans les navigateurs, intercepte les tokens Minecraft, Microsoft ou Discord, altère les adresses cryptographiques copiées dans le presse-papier, se réplique dans d’autres fichiers Java pour se propager, et met en place un système de mise à jour automatique pour se maintenir actif.

Domaines touchés et vecteurs de distribution

Les plateformes de distribution utilisées par les cybercriminels incluent des sites communautaires de fans, des forums de jeux vidéo, des groupes Discord et des sites de mods tiers. Les fichiers malveillants sont souvent déguisés en outils recherchés, comme des cheats ou des améliorations esthétiques, parfois même inspirés de mods existants. La campagne vise un large public de joueurs, souvent jeunes et peu méfiants, attirés par des fonctionnalités interdites ou premium gratuites.

Risques encourus par les victimes

Les conséquences d’une infection par ce malware sont particulièrement graves. Le voleur d’informations est capable de compromettre de nombreux comptes, notamment ceux liés à Microsoft (utilisés pour Minecraft), Discord, ainsi que les navigateurs web. Il peut aussi détourner des transactions cryptographiques en modifiant les adresses copiées dans le presse-papier. Par ailleurs, les données personnelles comme les cookies, historiques de navigation ou sessions actives sont également exposées. Enfin, en se répliquant dans d’autres fichiers Java présents sur le système, le malware augmente considérablement son impact et sa longévité.

Mécanismes de persistance et mise à jour

Pour assurer sa persistance sur les systèmes infectés, le malware ajoute une clé dans le registre Windows ou installe un service sur Linux. Il télécharge régulièrement des composants depuis un serveur distant via un script de mise à jour. De plus, il analyse les dossiers de l’utilisateur à la recherche de fichiers JAR dans lesquels il peut s’injecter pour se relancer automatiquement, même après une tentative de suppression manuelle.

Recommandations de sécurité

Pour se protéger contre cette menace, il est impératif d’éviter les mods Minecraft provenant de sources non officielles. Il est recommandé de limiter ses téléchargements au launcher Minecraft officiel ou à des plateformes reconnues et vérifiées. Il convient également de scanner régulièrement son système avec un anti-malware fiable, capable de détecter les infostealers Java. En cas d’infection suspectée, il est conseillé de réinstaller complètement le système, de modifier tous ses mots de passe, de révoquer les sessions actives et de sécuriser ses portefeuilles de cryptomonnaies avec de nouvelles clés. Enfin, activer la double authentification (MFA) sur tous les comptes sensibles constitue une mesure préventive essentielle.

En résumé

La campagne Stargazers constitue un exemple concret d’attaque par la chaîne d’approvisionnement logicielle, où le vecteur malveillant se dissimule dans des contenus tierce partie apparemment inoffensifs. Elle met en lumière la facilité avec laquelle des cybercriminels peuvent exploiter l’enthousiasme des joueurs pour propager des logiciels espions sophistiqués. Il est donc crucial, même dans un contexte ludique, de rester vigilant, de ne jamais baisser la garde et de faire preuve d’un strict discernement dans le choix des outils téléchargés.

Source : Bleeping Computer - 'Stargazers' use fake Minecraft mods to steal player passwords

Lire la suite

Cyber-attaque contre la banque iranienne Sepah

Contexte géopolitique

L’article s’inscrit dans le cadre d’une escalade militaire entre Israël et l’Iran. Les deux pays s’engagent dans des opérations offensives tel qu’attesté par des frappes aériennes israéliennes visant des installations nucléaires iraniennes – suivies de représailles iraniennes. Dans ce contexte, des cyber‑opérations font aussi rage : notamment des attaques lancées par des groupes de hackers liés à l’un ou l’autre camp.

Le groupe « Predatory Sparrow »

Le principal acteur évoqué est un collectif de hackers appelé Predatory Sparrow (« Gonjeshke Darande » en persan), et soupçonné d’être affilié à l’Israël. Le groupe se présente comme des hacktivistes pro-Israël, prêts à passer à l’offensive par représailles, spécialement contre des objectifs liés au financement militaire iranien.

Attaque contre Bank Sepah

L’attaque ciblée a visé Bank Sepah, un établissement financier d’État iranien réputé pour financer des programmes liés au Corps des Gardiens de la Révolution islamique (IRGC). Selon les médias iraniens proches de l’IRGC, l’attaque a perturbé :

• L’accès aux services bancaires en ligne
• L’utilisation des cartes bancaires (paiements, retraits)
• Le fonctionnement des distributeurs automatiques (ATM)
• Les stations‑service dépendantes du système de paiement de la banque

Plusieurs agences bancaires ont été fermées temporairement et certains agents publics et militaires ont vu leurs salaires retardés.

Déclaration des hacktivistes

Sur X (anciennement Twitter), Predatory Sparrow a revendiqué l’opération, assurant avoir « détruit l’infrastructure de la banque, avec l’aide de courageux Iraniens ». Le groupe accuse l’institution de servir les aspirations « terroristes de dictateurs » (en référence indirecte au régime iranien).

Élargissement du conflit au cyber‑espace

Cette attaque s’inscrit dans une stratégie plus large : Israël et ses alliés, via des groupes clandestins, étendraient leurs actions offensives au domaine cyber, en parallèle des frappes physiques (infrastructures nucléaires, militaires). Des firmes comme Radware ont observé une montée des incidents attribués à des groupes pro-Israël visant des cibles iraniennes (chemins de fer, centrales, usines, etc.).

Riposte et mouvements adverses

Cette cyber‑attaque a provoqué une réaction de la part de groupes pro‑Iran : les services Telegram et X ont vu augmenter les messages de menace, notamment de cyber‑attaques contre Israël ou des pays soutenant Israël, comme la Jordanie ou l’Arabie saoudite.

Silence des parties prenantes officielles

Ni les autorités iraniennes ni Bank Sepah n’ont fait de déclaration officielle sur l’attaque ou sa portée. Israël, de son côté, ne commente jamais publiquement les cyber‑opérations. Ce silence nourrit la théorie d'une opération clandestine menée par un groupe non officiel mais lié au renseignement israélien.

Antécédents récents

Predatory Sparrow n’est pas un acteur nouveau : dans le passé, le groupe a déjà revendiqué des attaques similaires :

• contre des chemins de fer iraniens
• contre des stations‑service iraniennes
• d’une manière générale, sur diverses infrastructures critiques

Ces faits renforcent la crédibilité de leur revendication actuelle.

Implications et portée

Stratégiquement, cette attaque marquerait un tournant important : un élargissement du théâtre des opérations au cyber, dans un affrontement asymétrique : l’attaque d’un organisme financier majeur représente un signal fort, destiné à fragiliser le financement de l’appareil militaire iranien.

Civilement, l’impact est lourd : mise à l’arrêt d’un pan de la vie économique, fermetures de guichets, perturbation de salaires pour des millions d’Iraniens, blocage des stations‑service.

Géopolitiquement, cela révèle une nouvelle dimension du conflit : les cyber‑hackers sont instrumentalisés comme bras armé non officiel, susceptible d’agir sans reconnaissance diplomatique. Le risque d’escalade est réel : une cyber‑réponse iranienne pourrait frapper des pays tiers ou des infrastructures civiles occidentales.

Reprise du contrôle en Iran

Selon des rapports ultérieurs, les autorités iraniennes ont réagi en limitant l’accès à Internet et en renforçant la surveillance des appareils connectés des cadres de l’IRGC (traitement plus strict des communications numériques). L’article n’offre pas de confirmation sur la remise en service des services, mais suggère que la perturbation est importante et durable.

Résumé des faits

1. Attaque menée le 17 juin 2025 contre Bank Sepah.
2. Groupe Predatory Sparrow revendique via X la destruction infrastructurelle.
3. Impacts tangibles : retraits impossibles, stations‑service paralysées, salaires retardés.
4. Contexte : montée en puissance des cyber‑opérations dans le conflit Israël‑Iran.
5. Absence de commentaires officiels ; apparition d’acteurs non‑étatiques dans les opérations.
6. Possibilité d’escalade cyber‑géopolitique à l’échelle régionale voire globale.

Perspectives et enjeux futurs

Risque d’escalade : une réaction iranienne dans le cyber‑espace pourrait cibler les infrastructures civiles en Israël, dans les pays alliés ou même en Occident.
Évolution du champ de bataille : le cyber‑conflit devient central, plus rapide, moins visible mais potentiellement plus destructeur économiquement.
Enjeux de cyber‑défense : la vulnérabilité des infrastructures critiques (banques, énergie, transports…) pose question à l’échelle mondiale. L’attaque de Bank Sepah est un exemple frappant de l’efficacité d’une attaque ciblée sur l’économie civile, sans visée militaire directe.
Effets politiques internes : les citoyens iraniens sont exposés à un choc majeur : perturbation de leurs besoins quotidiennes (salaires, carburant), ce qui peut alimenter des mécontentements internes et affecter la stabilité du régime.

En résumé

Cet incident de 17 juin 2025 marque un pas significatif dans l’escalade entre Israël et l’Iran : il révèle l’utilisation systématique du cyber‑espace comme terrain d’opérations, et non plus comme simple support aux attaques physiques. En s’en prenant à une institution vitale comme Bank Sepah, les hackers pro‑Israël ont infligé un dommage économique et psychologique lourd, tout en envoyant un signal politique puissant. L’absence de reconnaissance officielle et l’usage d’acteurs extra‑étatiques rendent la situation d’autant plus périlleuse : difficile à contrôler, sujette à des représailles imprévisibles, elle expose à une spirale de contre‑attaques cybernétiques aux conséquences globales.

Lire la suite

Démantèlement d'Archetyp Market

En juin 2025, Europol et ses partenaires internationaux ont mené une vaste opération visant à démanteler Archetyp Market, un des plus pérennes marchés noirs du Dark Web. Les actions coordonnées entre l’Allemagne, les Pays‑Bas, l’Espagne, la Roumanie, la Suède et les États‑Unis ont permis la mise hors ligne de l’infrastructure, l’arrestation de l’administrateur principal, et la saisie de biens importants.

Contexte et historique du marché

Lancé en mai 2020 par un individu se faisant appeler « ASNT », également identifié sous le pseudonyme YosemiteGhostWrite, Archetyp Market fonctionnait exclusivement sur Tor. Il utilisait la crypto‑monnaie Monero afin de préserver l’anonymat de ses utilisateurs (≃ 612 000 inscrits) et du trafic estimé à plus de 250 millions d’euros depuis sa création.

Le marché se démarquait par sa spécialisation dans la vente de drogues : cocaïne, MDMA, amphétamines, et surtout des opioïdes synthétiques très puissants comme le fentanyl, accessibles via plus de 17 000 annonces.

Opération de démantèlement

Entre le 11 et le 13 juin 2025, une coalition d’environ 300 policiers a opéré simultanément dans plusieurs pays, avec le soutien opérationnel d’Europol et d’Eurojust :contentReference[oaicite:3]{index=3}.

• Aux Pays‑Bas : les serveurs hébergeant la plateforme ont été saisis et mis hors ligne.
• En Espagne : un Allemand de 30 ans, soupçonné d’être l’administrateur principal (ASNT), a été arrêté à Barcelone.
• En Allemagne et en Suède : des personnes identifiées comme modérateurs ou vendeurs majeurs ont été ciblées.

Saisies et preuves

Les autorités ont saisi des actifs d’une valeur estimée à 7,8 millions d’euros (~9 millions USD), incluant véhicules de luxe et crypto‑monnaies.

L’opération s’appuie sur plusieurs années d’enquêtes : analyse criminelle, suivi des flux financiers, expertise numérique, cartographie des infrastructures et collaboration inter‑services.

Un bandeau de saisie « seizure notice » a été apposé sur la page d’accueil d’Archetyp, accompagné d’une vidéo stylisée mettant en scène l’opération.

Réactions institutionnelles

Jean‑Philippe Lecouffe, directeur adjoint d’Europol pour les opérations, a souligné l’importance du démantèlement : « un message clair : il n’y a pas de refuge sûr pour ceux qui tirent profit du mal ».

L’opération montre l’ampleur des liens entre les services de plusieurs pays et leur capacité à viser les racines logistiques des marchés criminels en ligne, notamment ceux spécialisés dans les opiacés très dangereux comme le fentanyl.

Contexte plus large

Le démantèlement d’Archetyp s’inscrit dans une série de vastes opérations internationales contre les marchés du Dark Web, comme Incognito, Nemesis, Bohemia, Tor2Door ou Kingdom Markets.

En mai 2025, l’opération RapTor a conduit à l’arrestation de 270 individus, et à la saisie de plus de 200 millions USD, de 144 kg de fentanyl et de 180 armes à feu.

Ces actions illustrent la stratégie continuelle des forces de l’ordre : utiliser l’analyse de données issues des saisies antérieures pour cibler vendeurs, acheteurs et infrastructures à l’échelle mondiale.

Enjeux et enseignements

• Affaiblissement des réseaux mondiaux : le démantèlement freine le trafic de substances dangereuses à l’échelle transnationale.
• Importance du travail d’enquête long terme : la collecte d’éléments numériques et financiers est essentielle pour construire des dossiers solides avant intervention.
• Effet dissuasif accru : ces opérations démontrent à la communauté criminelle en ligne qu’ils ne sont pas à l’abri.
• Jeu du “Whac‑a‑mole” : malgré chaque fermeture, de nouveaux marchés apparaissent rapidement, exigeant une pression constante des autorités.
• Rôle des crypto‑monnaies : la traçabilité devient un levier contre ces réseaux grâce à une collaboration avec les plateformes.

En résumé

L’opération visant Archetyp Market marque un coup de force significatif contre le trafic de drogues sur le Dark Web. Elle s’inscrit dans un schéma persistant d’actions coordonnées transfrontalières. Si chaque marché peut être remplacé, la pression cumulée nuit à leur viabilité à long terme. Cependant, tant que la demande subsiste, les autorités devront entretenir une vigilance permanente et renforcer les outils techniques et législatifs de lutte contre cette criminalité numérique.

Sources :

• The Record - Police dismantle Archetyp dark web drug market, arrest administrator
• SecurityWeek - Archetyp Dark Web Market Shut Down by Law Enforcement

Lire la suite

Cyber-attaque contre Sorbonne Université

Une cyber-attaque a ciblé l'Université de la Sorbonne en juin 2025 faisant suite à une cyber-attaque contre l'Éducation Nationale il y a quelques jours.

L'attaque a plus particulièrement ciblé les fonctions Ressources Humaines et Paye de la Sorbonne, et à consisté à recopier les données personnelles des salariés de la Sorbonne, ainsi que des anciens salariés dont les données étaient archivées. 32.000 comptes sont concernés par cette attaque qui n'a pour l'instant pas été revendiquée. Les données concernées par la cyber-attaque sont l'identité complète, l'IBAN, le numéro de Sécurité Sociale et des données ayant trait à la rémunération.

Il s'agit de la 3ème cyber-attaque contre la Sorbonne en un an, comme le souligne Clément Domingo sur Twitter. Cette attaque souligne la vulnérabilité des établissements universitaires, fruit d'un sous-investissement en infrastructures de sécurité.

Les préconisations :

• changer le mot de passe des adresses emails contenues dans le profil ;
• changer le mot de passe lié au compte bancaire ;
• prévenir sa banque d'un risque de fraude ;
• faire particulièrement attention aux tentatives de spear phishing ;
• émettre une alerte d'usurpation d'identité sur France Identité.

Lire la suite