Spyware Paragon/Graphite en Italie : enquêtes judiciaires, contrats AISI/AISE et contradictions institutionnelles

🗓️ Contexte Source : Wired Italia, publié le 28 avril 2026. L’article fait le point sur l’avancement de l’affaire Paragon/Graphite en Italie, un scandale de surveillance impliquant des journalistes et des activistes ciblés par le spyware Graphite développé par la société israélienne Paragon Solutions. 📱 Victimes identifiées 29 avril 2025 : Apple envoie des notifications à des clients italiens les avertissant d’être ciblés par « un attaquant sophistiqué », sans préciser le nombre ni impliquer explicitement Paragon. Ciro Pellegrino, journaliste de Fanpage, reçoit en juin 2025 du Citizen Lab la confirmation de traces de Graphite sur son téléphone, « avec un haut degré de confiance ». Les analyses techniques déposées en février 2026 auprès des parquets de Rome et Naples révèlent des anomalies compatibles avec une activité de Graphite dans les bases de données WhatsApp liées à trois téléphones Android : ceux de deux activistes de Mediterranea et de Cancellato. 📄 Contrats et acteurs institutionnels Deux contrats entre Paragon et les autorités italiennes ont été identifiés, pour un montant total de 2 millions d’euros : Un contrat avec l’AISI (renseignement intérieur) Un contrat avec l’AISE (renseignement extérieur), jugé le plus significatif car permettant d’intercepter un plus grand nombre de cibles, y compris à l’étranger. L’enquête s’articule également autour de Giuseppe Del Deo, ex-directeur adjoint du DIS (Département des informations pour la sécurité), soupçonné d’avoir utilisé des bases de données et outils des services secrets « à des fins privées ». Le décret de perquisition du 17 avril 2026 mentionne un « produit israélien ». ⚖️ Renvoi de responsabilités Paragon affirme (via Haaretz, février 2025) avoir proposé aux autorités italiennes une vérification des faits et avoir résilié les contrats après leur refus. Le Copasir (comité parlementaire de surveillance des services secrets) conteste cette version, affirmant que la rupture était mutuelle et que la vérification pouvait être conduite de manière autonome. Les services de renseignement italiens eux-mêmes ont conseillé au Copasir de refuser le soutien de Paragon, jugeant cette proposition « inacceptable » car susceptible de compromettre l’image de l’intelligence italienne et d’exposer des données classifiées. Le Copasir a menacé de rendre publique l’audition de Paragon, sans jamais le faire. Le Copasir a conclu que le journaliste Cancellato n’avait pas été espionné par les services secrets via Graphite, et ne s’est jamais penché sur le cas de Ciro Pellegrino. 🔍 Type d’article Article de presse spécialisée à visée investigative, documentant l’état d’avancement des enquêtes judiciaires et parlementaires italiennes sur l’utilisation du spyware Graphite par des entités étatiques italiennes. ...

1 mai 2026 · 3 min

Découverte du wiper Lotus ciblant PDVSA, la compagnie pétrolière d'État vénézuélienne

📰 Source : Zero Day (Kim Zetter) — Date de publication : 24 avril 2026 En décembre 2025, PDVSA (Petróleos de Venezuela), la compagnie pétrolière d’État vénézuélienne, a été victime d’une cyberattaque survenue le 13 décembre 2025. L’entreprise a reconnu l’incident le 15 décembre, minimisant son impact sur les opérations. Des rapports ultérieurs ont cependant indiqué des perturbations significatives des exportations pétrolières et une atteinte aux systèmes SCADA gérant les raffineries, usines de compression et pipelines. ...

29 avril 2026 · 4 min

Un ingénieur chinois vole des logiciels militaires US et NASA pendant 4 ans via usurpation d'identité

🗓️ Contexte Article publié le 28 avril 2026 sur Malwarebytes par Danny Bradbury. Il couvre une affaire d’espionnage industriel et militaire menée par un ressortissant chinois contre des institutions américaines sur une période de quatre ans. 👤 Acteur de la menace Song Wu, ingénieur de jour à l’Aviation Industry Corporation of China (AVIC), conglomérat aérospatial et de défense détenu par l’État chinois, basé à Pékin, comptant plus de 400 000 employés. AVIC et plusieurs de ses filiales figurent sur la liste des sanctions américaines. Song Wu est inscrit sur la liste des personnes recherchées par le FBI depuis septembre 2024, inculpé de 14 chefs de fraude électronique et 14 chefs de vol d’identité aggravé. Il est toujours en fuite. ...

29 avril 2026 · 3 min

73 extensions Open VSX dormantes liées à GlassWorm activent une nouvelle campagne malveillante

🗓️ Contexte Publié le 26 avril 2026 sur CyberAccord, cet article rapporte l’escalade de l’opération GlassWorm, une campagne de supply chain ciblant le marketplace Open VSX (alternative open source au VS Code Marketplace). Cette vague fait suite à une première découverte en mars 2026 de 72 extensions malveillantes liées à la même opération. 🎯 Stratégie des extensions dormantes (Sleeper Extensions) Les attaquants publient des extensions initialement inoffensives pour gagner en crédibilité et accumuler des téléchargements avant de les weaponiser via une mise à jour malveillante. Les techniques employées incluent : ...

26 avril 2026 · 3 min

Fast16 : un malware de sabotage antérieur à Stuxnet ciblant potentiellement le programme nucléaire iranien

🔍 Contexte Publié le 23 avril 2026 par Andy Greenberg sur Wired, cet article rapporte la présentation des chercheurs Vitaly Kamluk et Juan Andrés Guerrero-Saade de SentinelOne à la conférence Black Hat Asia à Singapour. Ils y dévoilent leur analyse complète du malware Fast16, dont l’existence était connue depuis 2017 mais dont le fonctionnement réel était resté inexpliqué pendant 21 ans. 🧬 Découverte et historique 2005 : compilation du driver kernel Fast16.sys, date probable de création du malware 2017 : révélation de l’existence de Fast16 via la fuite des outils NSA par les Shadow Brokers, dans l’outil Territorial Dispute — avec la mention interne “NOTHING TO SEE HERE—CARRY ON” 2019 : Juan Andrés Guerrero-Saade retrouve un échantillon sur VirusTotal sous le nom svcmgmt.exe, contenant le driver Fast16.sys 2026 : Vitaly Kamluk procède au reverse engineering complet, révélant la véritable nature du malware ⚙️ Fonctionnement technique Fast16 n’est pas un rootkit comme supposé initialement (cinq outils IA de premier plan l’ont incorrectement classifié comme tel). Il s’agit d’un malware de sabotage à propagation automatique : ...

24 avril 2026 · 4 min

Vol de 290 M$ sur Kelp : TraderTraitor (Lazarus) exploite une faille de configuration LayerZero

🗓️ Contexte Source : The Record Media, publié le 20 avril 2026. L’article couvre un incident majeur survenu le week-end précédent, impliquant le vol de près de 290 millions de dollars en cryptomonnaies sur la plateforme Kelp, attribué au groupe nord-coréen TraderTraitor, une composante de l’opération Lazarus. 🎯 Déroulement de l’attaque L’attaque a débuté un samedi après-midi, détectée par des sociétés de sécurité blockchain. La chaîne d’attaque est la suivante : ...

23 avril 2026 · 3 min

Un tracker Bluetooth à 5€ révèle la position d'une frégate néerlandaise en mission

🗓️ Contexte Article publié le 16 avril 2026 par Omroep Gelderland (source néerlandaise), relatant une enquête journalistique sur les vulnérabilités de sécurité physique et opérationnelle au sein de la marine néerlandaise. 🔍 Faits établis Un journaliste d’Omroep Gelderland a réussi à suivre en temps réel la position de la frégate Zr.Ms. Evertsen — un navire de guerre de 500 millions d’euros en mission active de protection d’un porte-avions français — en utilisant : ...

22 avril 2026 · 3 min

Mastodon victime d'une attaque DDoS majeure, quelques jours après Bluesky

📰 Source : Engadget, publié le 20 avril 2026. L’article rapporte deux incidents DDoS distincts ayant ciblé des plateformes décentralisées de réseaux sociaux en l’espace de quelques jours. 🎯 Incident Mastodon : L’instance principale mastodon.social, opérée directement par l’organisation à but non lucratif Mastodon, a été rendue inaccessible suite à une attaque DDoS qualifiée de « majeure » par Andy Piper, responsable de la communication de Mastodon. L’attaque a débuté tôt le lundi matin. Des contre-mesures ont été mises en place dans les heures suivantes, permettant le rétablissement du service, bien qu’une instabilité résiduelle ait été signalée. L’auteur de l’attaque n’a pas été identifié. ...

21 avril 2026 · 2 min

Les éditeurs d'IA refusent d'assumer la responsabilité des failles de sécurité dans leurs produits

🗞️ Contexte Article d’opinion publié le 19 avril 2026 par Jessica Lyons sur The Register, portant sur la posture des grands éditeurs d’IA face aux vulnérabilités découvertes dans leurs produits. 🔍 Faits principaux Des chercheurs ont démontré que trois agents IA populaires intégrés à GitHub Actions peuvent être détournés pour voler des clés API et des jetons d’accès : Anthropic Claude Code Security Review Google Gemini CLI Action Microsoft GitHub Copilot Les trois éditeurs ont versé des bug bounties : ...

19 avril 2026 · 2 min

Omnistealer : un malware nord-coréen persistant dans la blockchain vole 300 000 credentials

🗞️ Contexte Article de presse spécialisée publié le 11 avril 2026 par PCMag, basé sur des informations exclusives fournies par les chercheurs de Ransom-ISAC et Crystal Intelligence. L’enquête a débuté lorsque le vice-président ingénierie de Crystal Intelligence a reçu une fausse offre d’emploi sur LinkedIn, révélant une campagne d’attaque d’envergure mondiale. 🎯 Description de l’attaque La chaîne d’attaque repose sur plusieurs étapes : Vecteur initial : fausses offres d’emploi diffusées via LinkedIn, Upwork, Telegram et Discord, ciblant des développeurs freelance (notamment en Inde et en Asie du Sud) Infection : les cibles sont invitées à exécuter du code depuis des dépôts GitHub infectés Infrastructure C2 blockchain : le code malveillant contacte les blockchains TRON ou Aptos pour récupérer un pointeur vers la Binance Smart Chain, qui héberge le payload final Persistance : le malware est encodé dans des transactions blockchain, le rendant impossible à supprimer et de plus en plus difficile à tracer 🦠 Malware : Omnistealer Le malware baptisé Omnistealer est compatible avec : ...

19 avril 2026 · 3 min
Dernière mise à jour le: 4 juillet 2026 📝