Rapport D'incident

Source et contexte: Morphisec Threat Labs publie un bulletin d’alerte détaillant une compromission de la chaîne d’approvisionnement d’eScan (MicroWorld Technologies) identifiée le 20 janvier 2026, où des mises à jour légitimes ont distribué un malware multi‑étapes à l’échelle mondiale. • Chronologie: Le 20/01, un package de mise à jour malveillant est diffusé via l’infrastructure d’update d’eScan et Morphisec bloque l’activité chez ses clients. Le 21/01, Morphisec contacte eScan. eScan indique avoir détecté l’incident par supervision interne, isolé l’infrastructure affectée en 1 h et mis hors ligne le système de mises à jour global pendant plus de 8 h. Après l’incident, la plupart des clients Morphisec ont dû contacter proactivement eScan pour obtenir la remédiation. ...

Source: DataBreaches.net (24 janvier 2026). Un vendeur sur un forum de hacking affirme avoir exfiltré début décembre 1,144,223 dossiers de patients de Call-On-Doc, un prestataire de télémédecine, et met ces données en vente. • Nature et impact de l’incident: fuite/exfiltration de données présumée touchant 1,144,223 enregistrements. Les champs incluraient: Patient Code, Transaction Number, nom, adresse, ville, état, code postal, pays, téléphone, email, catégorie médicale, condition, service/prescription, montant payé. Des pathologies sensibles (STD) sont visibles dans les captures d’écran. 📄🩺 ...

Selon Zero Day (Kim Zetter), une opération de cyberattaque visant le réseau énergétique polonais fin décembre a employé un malware de type wiper — baptisé DynoWiper par ESET — dans une tentative délibérée de provoquer des coupures de courant et des perturbations de services, finalement déjouée par les autorités polonaises. 🎯 Cibles: deux centrales chaleur-électricité et un système de gestion de l’électricité renouvelable (éolien, solaire), au sein de la chaîne production + distribution. 💥 Type d’attaque: wiper (effacement/sabotage de fichiers critiques pour rendre les systèmes inopérants). ⚠️ Impact potentiel: jusqu’à 500 000 personnes privées d’électricité selon les autorités, mais aucune interruption constatée. ESET, qui a obtenu un échantillon du malware et l’a nommé DynoWiper, qualifie l’opération d’inédite en Pologne par son intention disruptive/destructive. Bien que l’attaque ait été neutralisée à temps, les chercheurs estiment qu’elle aurait pu être substantielle si elle avait abouti. Les autorités polonaises et ESET attribuent avec une confiance moyenne l’opération à Sandworm (lié au GRU), en raison de tactiques et techniques similaires à des campagnes de wipers en Ukraine. ...

Selon BleepingComputer, PcComponentes, grand revendeur de technologie en Espagne, a démenti une fuite de données prétendument liée à 16 millions de clients, mais a confirmé avoir subi une attaque par bourrage d’identifiants (credential stuffing). Le distributeur technologique espagnol PcComponentes a fermement démenti avoir subi une fuite de données massive affectant 16 millions de clients, comme l’affirmait un acteur malveillant sur des forums clandestins. En revanche, l’entreprise confirme avoir été ciblée par une attaque de type credential stuffing, ayant entraîné la compromission d’un nombre limité de comptes clients. ...

Selon Cybernews, un cartel de ransomware nommé RansomHub affirme avoir compromis Luxshare, partenaire majeur d’Apple pour l’assemblage d’iPhone, d’AirPods, d’Apple Watch et de Vision Pro, et menace de publier des données sensibles liées à Apple, Nvidia et LG si une rançon n’est pas versée. Les assaillants ont annoncé la prétendue violation sur un forum du dark web, indiquant que les données des partenaires de Luxshare auraient été chiffrées le 15 décembre 2025. Ils exhortent l’entreprise à les contacter pour éviter la fuite de « documents confidentiels et projets ». ...

Selon BleepingComputer (Lawrence Abrams, 15 janvier 2026), Grubhub a confirmé qu’« des individus non autorisés ont récemment téléchargé des données de certains systèmes », tout en affirmant que les informations sensibles telles que les données financières ou l’historique de commandes n’ont pas été affectées. L’entreprise dit avoir stoppé l’activité, renforcé sa posture de sécurité, engagé un prestataire cybersécurité tiers et notifié les forces de l’ordre. Des sources citées par le média indiquent que le groupe cybercriminel ShinyHunters extorque Grubhub 💸. Les acteurs exigeraient un paiement en Bitcoin pour empêcher la divulgation de données Salesforce (février 2025) et de nouvelles données Zendesk dérobées lors de l’intrusion récente. Grubhub exploite Zendesk pour son support en ligne (chat, comptes, facturation). ...

Selon 01net (article de Florian Bayard, 16 janvier 2026), Relais Colis a confirmé avoir subi une fuite de données à la suite d’un incident de sécurité chez l’un de ses prestataires techniques. — Contexte et confirmation — Relais Colis indique qu’un incident de sécurité informatique chez un prestataire a conduit à la compromission de données à caractère personnel. L’entreprise précise avoir pris des mesures correctives et renforcé ses dispositifs de sécurité, et déclare avoir notifié la CNIL. ...

Selon BleepingComputer, des hackers affirment vendre du code source interne de Target après avoir publié un échantillon sur Gitea. Des employés actuels et anciens ont confirmé que ces éléments correspondent à des systèmes réels de l’entreprise, et Target a durci en urgence l’accès à son serveur Git interne. 🧑‍💻 Confirmation d’authenticité: des sources familières des pipelines CI/CD et de l’infrastructure de Target attestent que les noms de systèmes tels que BigRED et TAP [Provisioning], des datasets Hadoop, ainsi que des éléments de la stack (plateforme CI/CD personnalisée basée sur Vela, JFrog Artifactory) et des taxonomies internes (« blossom IDs ») présents dans l’échantillon correspondent à l’environnement réel. La présence de noms d’employés, de projets et d’URL internes renforce l’authenticité du leak. ...

Source: Bitdefender — Bitdefender rapporte que l’Agence spatiale européenne (ESA) a confirmé une nouvelle violation de cybersécurité impliquant des serveurs externes utilisés pour des activités d’ingénierie collaborative, tandis qu’un acteur malveillant revendique une exfiltration massive. — Contexte et confirmation officielle — L’ESA indique que des pirates ont obtenu un accès non autorisé à des serveurs situés hors de son réseau d’entreprise. L’agence précise que « seul un très petit nombre de serveurs externes » pourrait être concerné et qu’ils supportent des activités d’ingénierie collaborative « non classifiées ». Une analyse de sécurité judiciaire est en cours et des mesures ont été prises pour sécuriser les appareils potentiellement affectés. — Revendications et portée potentielle — ...

Selon The Record (therecord.media), Sedgwick a confirmé qu’une cyberattaque touche sa filiale dédiée au secteur public, Sedgwick Government Solutions, après la revendication du groupe ransomware TridentLocker d’un vol de 3,4 Go de données publié le soir du Nouvel An. 🚨 La filiale fournit des services de gestion de sinistres et de risques à des agences fédérales sensibles, notamment le Department of Homeland Security (DHS), ICE, CBP, USCIS, le Department of Labor et la CISA. Elle intervient aussi pour des agences municipales dans les 50 États, ainsi que pour le Smithsonian et la Port Authority of New York and New Jersey. ...