États-Unis

Source: ctrlaltnod.com — Contexte: analyse publiée le 29 janvier 2026 détaillant l’enchaînement entre une compromission du cloud MySonicWall (sept. 2025) et une attaque par ransomware contre Marquis Software Solutions (août 2025), avec impacts sectoriels aux États‑Unis. • Événement clé: des acteurs étatiques ont accédé au service cloud MySonicWall via des appels API, exfiltrant des sauvegardes de configurations de pare-feu. SonicWall a d’abord annoncé un impact « < 5% » avant de confirmer que tous les clients du service de sauvegarde cloud étaient touchés. ...

Selon BleepingComputer (Lawrence Abrams, 28 janvier 2026), le FBI a saisi le forum cybercriminel RAMP, utilisé pour promouvoir des opérations de rançongiciel, recruter des affiliés et vendre des accès. Le site Tor et le domaine ramp4u[.]io affichent désormais une bannière de saisie mentionnant la coordination avec le United States Attorney’s Office (Southern District of Florida) et la CCIPS du Department of Justice, agrémentée du slogan de RAMP « THE ONLY PLACE RANSOMWARE ALLOWED! » et d’une image taquine de « Masha and the Bear ». 🚓 ...

Selon l’article, les autorités américaines ont mené une saisie des domaines sur le dark web et le clearnet de RAMP (Russian Anonymous Marketplace), une place de marché en ligne associée à des activités cybercriminelles. 🚓 RAMP était décrit comme un forum favori des groupes de ransomware-as-a-service (RaaS), des extorsionnistes, des brokers d’accès initiaux (IAB) et d’autres acteurs de la criminalité numérique. Les sites de RAMP affichent désormais la mention “This Site Has Been Seized”, attribuant l’opération au FBI, en coordination avec le US Attorney’s Office for the Southern District of Florida et la Computer Crime and Intellectual Property Section (CCIPS) du Department of Justice. ...

Selon l’extrait d’actualité fourni, le Department of Energy (DOE), via l’Office of Cybersecurity, Energy Security, and Emergency Response (CESER), a rassemblé utilities, experts industriels et défenseurs gouvernementaux sur Plum Island (New York) pour l’exercice annuel Liberty Eclipse, visant à renforcer la résilience du réseau électrique américain. L’entraînement s’est déroulé sur un réseau isolé de 840 acres qui reproduit des environnements réels de services publics, offrant un cadre réaliste pour éprouver les capacités opérationnelles. ⚡ ...

Selon Politico (27 janv. 2026), Madhu Gottumukkala, directeur par intérim de la CISA, a importé l’été dernier des documents de contrats marqués FOUO (For Official Use Only) dans la version publique de ChatGPT 🤖, déclenchant des alertes de sécurité automatisées et une évaluation d’impact au niveau du DHS. Les fichiers n’étaient pas classifiés, mais étaient considérés comme sensibles et non destinés à la diffusion publique. Gottumukkala avait obtenu une exception d’accès auprès du bureau du CIO de la CISA alors que l’application était bloquée pour les autres employés. La porte-parole de la CISA affirme qu’il a été autorisé à utiliser ChatGPT avec des contrôles DHS, de manière limitée et temporaire, et soutient que le dernier usage remonterait à mi-juillet 2025; la CISA maintient par défaut le blocage de ChatGPT sauf exception, en ligne avec la volonté d’exploiter l’IA dans le cadre de l’EO de Trump. ...

Source: BleepingComputer — Ivanti a divulgué deux failles critiques dans Endpoint Manager Mobile (EPMM), CVE‑2026‑1281 et CVE‑2026‑1340, exploitées comme zero‑days, et a publié des mesures de mitigation. ⚠️ Nature de la menace: deux vulnérabilités d’injection de code permettant une exécution de code à distance (RCE) sans authentification sur les appliances EPMM. Les deux CVE sont notées CVSS 9.8 (critique). Ivanti signale un nombre très limité de clients touchés au moment de la divulgation. ...

Selon TechCrunch (rubrique In Brief, 26 janvier 2026), Google a accepté de verser 68 millions de dollars pour régler une action collective l’accusant d’interception et enregistrement non autorisés de communications via Google Assistant, sans reconnaître de faute. Les plaignants soutenaient que des « faux déclenchements » (false accepts) amenaient l’assistant à s’activer sans mot d’activation, capturant des communications confidentielles qui auraient été transmises à des tiers pour des publicités ciblées et d’« autres usages ». 🎤 ...

Selon The New York Times, le Pentagone a intégré des effets cyber aux opérations militaires, notamment au Venezuela début janvier, où des cyberopérations auraient coupé l’alimentation électrique, désactivé des radars et perturbé les radios pour faciliter une intrusion américaine, et lors de frappes contre des installations nucléaires iraniennes l’an dernier. — Contexte et faits principaux Utilisation de cyberarmes au Venezuela: coupure de courant, mise hors ligne de radars et perturbation des radios portatives via l’arrêt de tours de transmission, afin de masquer l’entrée de forces américaines visant la capture de Nicolás Maduro. Cette approche illustre l’intégration cyber/kinétique voulue par le Pentagone pour « superposer plusieurs effets » sur le champ de bataille, dégrader le commandement et contrôle (C2) adverse et ouvrir des « fenêtres d’opportunité » pour les forces conventionnelles. Des essais similaires d’intégration auraient eu lieu lors de frappes sur des installations nucléaires iraniennes l’année précédente. — Débat et portée ...

Selon Reuters, BleepingComputer et The Register, Nike enquête sur une possible intrusion après qu’un groupe nommé World Leaks a revendiqué l’exfiltration d’environ 1,4 To de fichiers internes et publié brièvement des éléments avant de les retirer. Le groupe affirme avoir volé près de 1,4 To (environ 190 000 documents) et en a diffusé une partie sur un site de leaks avant un retrait rapide. Nike indique enquêter sans confirmer la réalité du vol ni l’authenticité des fichiers publiés. ...

Selon un billet de blog publié par Daniel Tofan (Blog de Daniel Tofan, 26 janvier 2026), une fausse offre freelance sur LinkedIn l’a conduit vers un dépôt GitLab contenant une application Node.js trojanisée, conçue pour déployer un malware via les hooks du cycle de vie npm. L’attaque s’appuie sur un hook npm postinstall dans package.json qui lance automatiquement l’application et, avec elle, la charge malveillante. Un loader obfusqué dissimulé en fin de fichier (server/controllers/userController.js) décode des variables d’environnement en Base64, récupère un payload distant hébergé sur jsonkeeper.com et l’exécute dynamiquement via Function.constructor. La configuration (server/config/.config.env) encode l’URL du payload et des en-têtes HTTP dédiés. ...