Rapport D'incident

Source: GFW Report — Le 20 août 2025 entre 00:34 et 01:48 (UTC+8), la GFW a provoqué une perturbation massive des connexions Internet entre la Chine et l’international en injectant de façon inconditionnelle des paquets TCP RST+ACK visant le port 443. Le rapport détaille les mesures, l’empreinte réseau observée et une attribution encore ouverte. Principales observations: Blocage ciblé sur TCP 443 uniquement; d’autres ports communs (dont 22, 80, 8443) n’étaient pas affectés. Injection RST+ACK inconditionnelle: trois paquets RST+ACK sont injectés par tentative, interrompant la connexion. Déclenchement asymétrique: depuis la Chine, le SYN client et le SYN+ACK serveur déclenchent des RST; vers la Chine, seul le SYN+ACK serveur déclenche des RST. Détails techniques (mesures inside-out et outside-in): ...

Selon Straight Arrow News (SAN), un hacker se faisant appeler ByteToBreach a revendiqué sur un forum du dark web le vol d’un vaste jeu de données attribué à Uzbekistan Airways, incluant des documents d’identité et des informations sur des centaines de milliers de personnes. SAN a obtenu et examiné des échantillons, confirmant la présence de scans de passeports et autres pièces sensibles. Les échantillons fournis et/ou observés incluent: un lot revendiqué de 300 Go; environ 500 000 adresses e‑mail de passagers; 285 e‑mails d’employés de la compagnie; un fichier de 379 603 membres du programme de fidélité avec noms, genres, dates de naissance, nationalités, e‑mails, numéros de téléphone et IDs de membre; ainsi que 2 626 photos de documents d’identité (passeports, cartes d’identité, certificats de naissance et de mariage). Le post de fuite montrait aussi des « identifiants » présumés de serveurs/logiciels de la compagnie, des extraits de données de réservation/billetterie mentionnant compagnies, aéroports et numéros de vol, et des scans de 75 passeports provenant de plus de 40 pays. Le hacker a également affirmé la présence de données partielles de cartes bancaires, sans vérification indépendante par SAN. ...

Source: TechRadar (22 août 2025). L’article rapporte qu’un rançongiciel opéré par le gang Qilin a visé Nissan Creative Box, le studio de design créatif de Nissan, et que les auteurs menacent de divulguer les données. L’acteur de menace Qilin a ajouté Nissan Creative Box à son site de fuite et affirme avoir exfiltré plus de 4 To de fichiers sensibles. Il s’agit d’une attaque par ransomware avec menace de publication en ligne des données dérobées. ...

Selon bitdefender.com (19.08.2025), l’Openbaar Ministerie (OM) des Pays-Bas a subi une faille de sécurité qui a conduit à la mise hors ligne de ses systèmes, entraînant des impacts inattendus sur l’application du code de la route. — Contexte et intrusion présumée — • Les autorités nationales (NCSC) et le régulateur de la protection des données ont été informés d’une possible fuite. Un mémo interne mettait en garde contre la reconnexion à Internet tant que les intrus n’étaient pas évincés. • Les hackers sont soupçonnés d’avoir exploité des vulnérabilités dans des appareils Citrix pour obtenir un accès non autorisé. ...

Selon 404 Media, le site web de Grok (xAI) exposait publiquement les prompts internes de nombreuses personas (compagnon, comédien « unhinged », ami loyal, aide aux devoirs, « doc », « thérapeute », et des compagnons animés comme Ani et Bad Rudy), permettant de consulter leur configuration détaillée et leur ton. Les documents exposés incluent des instructions explicites, notamment pour un persona complotiste (« ELEVATED and WILD voice », références à 4chan/Infowars, incitation à tenir des propos extrêmes et à maintenir l’engagement), un comédien “unhinged” avec un langage volontairement vulgaire et provocateur, un persona “docteur” présenté comme « génie » donnant « les meilleurs conseils médicaux », et un persona “thérapeute” encourageant l’introspection (le terme ‘therapist’ étant entre guillemets). Pour Ani (anime girl), le profil décrit des traits de caractère, un système de points de romance, et des récompenses pour la créativité et la gentillesse. Bad Rudy est décrit comme un panda roux au ton caricatural et changeant. ...

Selon un billet de l’équipe HvS IR, un incident de ransomware mené par le groupe INC Ransom a tiré parti d’une vulnérabilité FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnérabilités connues et de mauvaises configurations. Faits saillants: Les assaillants ont délibérément détruit des données. Ils ont fourni de fausses informations lors des négociations 💬. L’environnement a été entièrement chiffré en 48 heures après l’accès initial 🔐. Vecteur et conditions d’exploitation: ...

Selon Numerama, le Muséum national d’Histoire naturelle (MNHN) de Paris fait face depuis fin juillet 2025 à une cyberattaque « massive » paralysant une partie de ses réseaux et outils de recherche. Révélé le 31 juillet par La Tribune, l’incident n’était toujours pas résolu au 12 août, selon le président Gilles Bloch, qui ne peut pas encore fixer de calendrier de retour à la normale. L’impact est majeur pour la communauté scientifique : des bases de données essentielles, utilisées par les chercheurs du Muséum et du centre PATRINAT, sont inaccessibles, perturbant fortement la recherche en sciences naturelles et biodiversité. 🧬 ...

Le prestataire Francelink a publie sur sa page de status (status.francelink.net) un rapport d’incident détaillant la cyberattaque subie le 28 juillet 2025 à 20h30. 🔐 Détails de l’attaque Le rapport attribue l’attaque au groupe AKIRA. Deux actions coordonnées ont été menées : chiffrement des données sur les serveurs de production et chiffrement des serveurs de sauvegarde. Les éléments disponibles indiquent une probable extraction de données conforme au mode opératoire du groupe. Environ 93 % des serveurs ont été affectés, impactant la quasi-totalité des services et des clients. ...

BleepingComputer rapporte que le géant des RH Workday a divulgué une fuite de données liée à un fournisseur CRM tiers (Salesforce?), à la suite d’une attaque de social engineering. — L’essentiel Type d’attaque : social engineering Vecteur : accès non autorisé à une plateforme CRM tierce Impact : divulgation d’une fuite de données Organisation concernée : Workday (secteur RH) — Détails connus Selon l’annonce, des attaquants ont obtenu un accès au CRM d’un tiers utilisé par Workday, ce qui a conduit l’entreprise à déclarer une violation de données. L’incident est attribué à une manipulation sociale récente. ...

Huntress — Le fournisseur a publié un rapport décrivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a été détectée et contenue avant un impact organisationnel étendu. Le scénario débute par une compromission RDP via un compte compromis. Les attaquants déploient des utilitaires pour désactiver les outils de sécurité (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une énumération réseau est menée avec advancedportscanner.exe, suivie de tentatives de mouvement latéral via PsExec. ...