Rapport D'incident

Source: SmarterTools (communiqué de Derek Curtis). Contexte: retour d’expérience après une intrusion constatée le 29 janvier 2026, avec précisions sur l’impact, les correctifs SmarterMail et les comportements malveillants observés chez des clients. SmarterTools indique qu’un serveur SmarterMail Windows non mis à jour (VM oubliée) a servi de point d’entrée, entraînant une intrusion réseau. La segmentation a limité l’impact: le site, la boutique et le portail clients n’ont pas été affectés; aucune application métier ni donnée de compte compromise. Des serveurs de lab/QC au data center ont été restaurés depuis une sauvegarde de 6 h par prudence. ...

Selon Ars Technica, la communauté Wikipedia débat d’un possible blacklistage d’Archive.today (archive.is) après qu’un JavaScript malveillant sur la page CAPTCHA du site a servi à lancer un DDoS contre le blog Gyrovague de Jani Patokallio. Trois options sont discutées: A) suppression/masquage de tous les liens et ajout à la spam blacklist, B) déprécier le service (pas de nouveaux liens) en conservant l’existant, C) statu quo. ⚠️ Détails techniques de l’attaque: le code injecté sur la page CAPTCHA déclenche, toutes les 300 ms, des requêtes vers la fonction de recherche de gyrovague.com en ajoutant une chaîne aléatoire pour éviter le cache, avec referrerPolicy: no-referrer et mode: no-cors, transformant chaque visiteur en participant involontaire au DDoS. L’attaque a cessé brièvement avant d’être réactivée. La page de discussion de Wikipedia a averti: « Ne pas visiter l’archive sans bloquer les requêtes vers gyrovague.com ». ...

Selon BleepingComputer, le fournisseur américain de passerelle et solutions de paiement BridgePay a été victime d’une attaque par ransomware ayant mis des systèmes clés hors ligne, provoquant une panne étendue affectant plusieurs services. L’incident a débuté vendredi et a rapidement évolué en perturbation à l’échelle nationale sur la plateforme de BridgePay. ⚠️💳 L’impact rapporté inclut l’indisponibilité de services de paiement et une interruption généralisée sur l’infrastructure de BridgePay, avec des effets ressentis à travers les États-Unis. ...

TechCrunch (Zack Whittaker) détaille l’ampleur croissante de la fuite de données liée à l’attaque au ransomware subie par Conduent, géant govtech et important contractant des administrations américaines. Type d’attaque : ransomware ayant perturbé les opérations de Conduent pendant plusieurs jours en janvier 2025, avec des pannes de services gouvernementaux à travers les États-Unis 🔐. Portée : l’incident semble toucher bien plus de personnes qu’initialement annoncé. Impact chiffré et zones touchées 🇺🇸: ...

Contexte: Wired Italia rapporte qu’une cyberattaque a visé l’université La Sapienza de Rome en pleine fin de session d’examens, provoquant l’arrêt des services numériques. 🚨 L’université La Sapienza a confirmé être victime d’un attacco informatico (cyberattaque). Par mesure préventive, l’établissement a ordonné le blocage immédiat des systèmes de réseau pour « garantir l’intégrité et la sécurité des données ». Le site officiel est inaccessible depuis le matin, et des dysfonctionnements étaient apparus la veille sur Infostud (plateforme interne de paiement et de réservation d’examens), avec des accès refusés. ...

Selon BleepingComputer, la plateforme de partage de photos Flickr a commencé à notifier ses utilisateurs d’une potentielle fuite de données à la suite d’une vulnérabilité chez un prestataire tiers de services email. Type d’incident : potentielle fuite de données liée à une vulnérabilité chez un fournisseur tiers d’email ⚠️ Service affecté : Flickr (plateforme de partage de photos) Impact signalé : des informations personnelles auraient été exposées, incluant : Noms réels Adresses email Adresses IP Activité de compte 🔓 Contexte et vecteur : l’exposition découle d’une vulnérabilité au niveau d’un prestataire de services email tiers, ce qui place l’incident dans un scénario d’atteinte à la chaîne d’approvisionnement (tierce partie) sans détail supplémentaire fourni dans l’extrait. ...

Selon TechCrunch, le groupe cybercriminel prolifique ShinyHunters a revendiqué le piratage de Harvard et de l’Université de Pennsylvanie, et a mis en ligne les données volées. Le groupe d’extorsion ShinyHunters affirme être à l’origine des violations de données ayant touché Harvard et l’Université de Pennsylvanie (UPenn) en 2025, et a publié sur son site de fuite ce qu’il présente comme plus d’un million d’enregistrements par université. UPenn avait confirmé en novembre une compromission de systèmes liés aux activités “development & alumni” (collecte de fonds / relations alumni). Les attaquants auraient aussi envoyé des emails aux alumni depuis des adresses officielles de l’université. UPenn avait attribué l’incident à de la social engineering. Harvard avait également confirmé une compromission en novembre, attribuée à du vishing (voice phishing). Harvard indiquait que les données volées incluaient : emails, numéros de téléphone, adresses (domicile et pro), participation à des événements, détails de dons, et informations biographiques liées aux activités de fundraising/alumni. Des vérifications (échantillon) ont corroboré la cohérence d’une partie des données (ex. recoupements avec personnes concernées / registres publics). Les attaquants expliquent publier les données car les universités auraient refusé de payer la rançon. Lors du cas UPenn, le message aux alumni contenait un vernis “politique” (affirmative action), mais ShinyHunters n’est pas réputé pour des motivations politiques, ce qui suggère une mise en scène opportuniste. ...

Source: Huntress — Début février 2026, Huntress a répondu à une intrusion où des identifiants SonicWall SSLVPN compromis ont servi d’accès initial, avant le déploiement d’un « EDR killer » exploitant la technique de Bring Your Own Vulnerable Driver (BYOVD) via un driver EnCase (EnPortv.sys) signé mais révoqué, afin de tuer des processus de sécurité depuis le noyau. L’attaque a été interrompue avant une phase probable de rançongiciel. La télémétrie SonicWall ingérée par Huntress Managed SIEM a permis de reconstituer la chronologie: une tentative de connexion portail refusée depuis 193.160.216[.]221 a précédé d’une minute une authentification VPN réussie depuis 69.10.60[.]250. Une reconnaissance réseau agressive a suivi (ICMP ping sweeps, requêtes NetBIOS, activité SMB avec rafales >370 SYN/s). La corrélation SIEM–endpoint a facilité la détection, l’isolement des systèmes et des recommandations de remédiation (activer MFA sur les accès distants, revoir les logs VPN). ...

Source: ctrlaltnod.com — Contexte: analyse publiée le 29 janvier 2026 détaillant l’enchaînement entre une compromission du cloud MySonicWall (sept. 2025) et une attaque par ransomware contre Marquis Software Solutions (août 2025), avec impacts sectoriels aux États‑Unis. • Événement clé: des acteurs étatiques ont accédé au service cloud MySonicWall via des appels API, exfiltrant des sauvegardes de configurations de pare-feu. SonicWall a d’abord annoncé un impact « < 5% » avant de confirmer que tous les clients du service de sauvegarde cloud étaient touchés. ...

Selon CERT Polska (CSIRT NASK), un ensemble d’attaques purement destructrices a visé le 29 décembre 2025 au moins 30 fermes éoliennes/solaires, une grande centrale de cogénération (CHP) et une entreprise manufacturière en Pologne. Les opérations ont touché à la fois l’IT et l’OT, sans demande de rançon, et ont été conduites par un même acteur. • Cible et impact OT (renouvelables) ⚡️ Perte de communication entre les sites et les DSOs via le GCP; production non interrompue mais risque de perturbation. Vecteur: dispositifs FortiGate exposés (SSL‑VPN sans MFA, comptes statiques), réinitialisés usine pour effacer les traces. Actions: exploitation d’identifiants par défaut et interfaces locales pour endommager l’OT: Hitachi RTU560: connexion web avec compte “Default”, téléversement de firmware corrompu (ELF modifié) causant boucle de reboot; sécurisation de mise à jour non activée ou contournée (CVE‑2024‑2617; corrigé en 13.7.7). Mikronika RTUs: SSH root par défaut, suppression massive de fichiers. Hitachi Relion 650 v1.1 (IEDs): FTP par défaut pour supprimer des fichiers critiques → arrêt irréversible. Mikronika HMI (Win10): RDP via admin local connu, ouverture SMB/445, Impacket, déploiement de DynoWiper. Moxa NPort 6xxx: reset usine, mot de passe changé, IP mise à 127.0.0.1 pour retarder la reprise. • Intrusion et tentative de sabotage IT (CHP) 🏭 ...