États-Unis

🏛️ Contexte Ce document est un avis conjoint de cybersécurité (AA26-097A) publié le 7 avril 2026 par le FBI, la CISA, la NSA, l’EPA, le DOE et le CNMF. Il alerte sur une campagne active d’exploitation d’automates programmables industriels (PLC) par des acteurs APT affiliés à l’Iran, ciblant des infrastructures critiques américaines. 🎯 Acteurs et attribution Les agences attribuent cette activité à un groupe APT affilié à l’Iran, distinct mais similaire aux CyberAv3ngers (alias Shahid Kaveh Group, Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691), eux-mêmes affiliés à l’IRGC Cyber Electronic Command (CEC). L’escalade des attaques est probablement liée aux hostilités entre l’Iran, les États-Unis et Israël. ...

🗞️ Contexte Article publié le 8 avril 2026 par The Register, basé sur une interview de Cynthia Kaiser, ancienne directrice adjointe de la division cyber du FBI (départ en juin 2025) et désormais SVP au Halcyon Ransomware Research Center, lors de la RSA Conference. 🎯 Menace 1 : Pay2Key — groupe lié à l’Iran, secteur santé américain Attaque survenue fin février 2026, coïncidant avec les frappes militaires américano-israéliennes contre l’Iran Cible : organisation de santé américaine Accès initial via un compte administrateur compromis, présent sur le réseau plusieurs jours avant l’attaque Chiffrement de l’environnement en 3 heures après activation Aucune exfiltration de données détectée — inhabituel pour ce groupe, suggérant une visée destructrice plutôt que financière Le variant utilisé montre une mise à niveau significative par rapport aux intrusions de juillet 2025 : meilleures capacités anti-détection Parallèle établi avec les attaques contre l’Albanie en 2022 : Iran présent 14 mois sur les réseaux albanais avant de transférer l’accès à un groupe d’attaque 💣 Menace 2 : Sicarii — ransomware amateur au comportement destructeur Groupe apparu en décembre 2025 Défaut critique de conception : l’encrypteur génère une nouvelle paire de clés cryptographiques à chaque exécution mais supprime la clé privée, rendant le déchiffrement impossible Résultat : le ransomware se comporte comme un wiper / destruction-ware Kaiser attribue ce défaut à l’utilisation d’IA pour générer le code, assemblé de façon incohérente (« ugly-chaining ») ⚡ Menace 3 : Akira — vitesse d’exécution extrême Dans la majorité de ses centaines de compromissions sur 12 mois : moins de 4 heures entre accès initial et chiffrement complet Certaines attaques : moins d’une heure Outil de déchiffrement doté d’un système de checkpoint pour garantir la récupération des gros fichiers même en cas d’interruption 📊 Tendances générales Coût combiné ransomware + extorsion pour les entreprises et consommateurs américains : ~155 millions de dollars en 2025 Les wannabes utilisant l’IA représentent une menace croissante par le volume d’attaques, même si leur sophistication reste faible L’IA permet à des acteurs peu qualifiés de passer de 0 % à 5-10 % d’efficacité, augmentant la pression sur les équipes défensives Le dwell time (temps de présence avant détection) a drastiquement diminué chez les groupes sophistiqués 📌 Nature de l’article Article de presse spécialisée sous forme d’interview, visant à présenter l’analyse de menace ransomware d’une experte issue du renseignement fédéral américain, avec des cas concrets investigués par Halcyon. ...

🏥 Contexte Le 6 avril 2026, Signature Healthcare et Signature Healthcare Brockton Hospital (Brockton, Massachusetts, États-Unis) ont publié une alerte sur leur site officiel concernant un incident de cybersécurité en cours affectant certains systèmes d’information de leur réseau. 🔍 Nature de l’incident Une activité suspecte a été détectée sur une portion du réseau de l’établissement. En réponse, l’organisation a immédiatement activé ses protocoles de réponse à incident et mis en place des procédures de fonctionnement en mode dégradé (downtime procedures) afin de garantir la sécurité et la qualité des soins aux patients. ...

🗓️ Contexte Source : The Record Media, publié le 8 avril 2026. Le Los Angeles Police Department (LAPD) a annoncé mardi qu’une violation de données avait touché un système de stockage numérique du bureau du procureur de la ville de Los Angeles (LA City Attorney’s Office). 🎯 Nature de l’incident Les attaquants ont compromis un outil tiers utilisé par le bureau du procureur pour transférer des documents de découverte judiciaire à la partie adverse et aux parties au litige. Le bureau du procureur a pris connaissance de la violation le 20 mars. Aucun système ou réseau de la LAPD n’a été directement compromis. ...

📰 Source : The Record (therecord.media) — Date de publication : 8 avril 2026 Le gouverneur du Minnesota Tim Walz a émis un décret exécutif le mardi 7 avril 2026, ordonnant le déploiement de la Minnesota National Guard dans le comté de Winona à la suite d’une cyberattaque survenue le lundi 6 avril 2026. 🎯 Impact de l’attaque L’attaque a provoqué des perturbations significatives des services d’urgence et des services critiques municipaux. Le comté de Winona, qui compte environ 50 000 habitants, n’a pas publié de déclaration officielle sur cet incident. Le maire de la ville de Winona, Scott Sherman, a précisé que l’attaque n’affectait que le gouvernement du comté et avait un impact minimal sur les opérations municipales. ...

📰 Source : BleepingComputer — Date de publication : 5 avril 2026 Une nouvelle campagne de smishing (phishing par SMS) cible des résidents de plusieurs États américains en usurpant l’identité de tribunaux d’État. Les messages frauduleux se présentent comme des « Notice of Default » concernant des infractions routières non réglées, et incluent une image d’un faux avis de tribunal contenant un QR code embarqué. 🎯 États ciblés identifiés : New York, Californie, Caroline du Nord, Illinois, Virginie, Texas, Connecticut, New Jersey 🔗 Chaîne d’infection : ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement causée par la compromission de la chaîne d’approvisionnement du scanner de vulnérabilités Trivy. 🔓 Vecteur d’attaque initial Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission du pipeline GitHub de Trivy. Ce plugin a permis le vol de credentials CI/CD depuis les environnements de build des organisations utilisant l’outil, dont Cisco. ...

📰 Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 4 avril 2026. L’incident concerne Crunchyroll, plateforme de streaming spécialisée dans les contenus animés japonais. 🔓 Nature de l’incident En mars 2026, Crunchyroll a été victime d’une violation de données alléguée. L’origine de la fuite est attribuée au système de support Zendesk de l’entreprise. 📊 Données exposées Les données suivantes auraient été compromises : Nom Nom de connexion (login name) Adresse e-mail Adresse IP Localisation géographique générale Contenu des tickets de support 📉 Périmètre de l’impact 6,8 millions d’utilisateurs auraient été impactés selon les allégations Un jeu de données de 2 millions d’enregistrements serait en vente Un sous-ensemble de 1,2 million d’adresses e-mail a été fourni à HIBP pour vérification 🗂️ Type d’article Il s’agit d’une annonce d’incident publiée par la plateforme Have I Been Pwned, dont le but principal est d’informer les utilisateurs potentiellement affectés de l’exposition de leurs données personnelles. ...

🏛️ Contexte Le 23 mars 2026, le Bureau de la Sécurité Publique et de la Sécurité Intérieure de la Federal Communications Commission (FCC) a publié l’avis DA 26-278 annonçant l’ajout de tous les routeurs produits dans un pays étranger à la Covered List — la liste des équipements et services jugés comme présentant un risque inacceptable pour la sécurité nationale américaine, en vertu du Secure and Trusted Communications Networks Act of 2019. ...

📰 Source : The Record Media — Date de publication : 3 avril 2026 La Federal Communications Commission (FCC) a proposé une amende de 4,5 millions de dollars à l’encontre du fournisseur de services vocaux américain Voxbeam Telecommunications, pour avoir accepté du trafic d’appels provenant d’un fournisseur étranger non autorisé. 🎯 Contexte de l’incident Le fournisseur incriminé, Axfone, basé en Tchéquie, n’est pas référencé dans la Robocall Mitigation Database (RMD) de la FCC, un registre conçu pour bloquer les fournisseurs à haut risque susceptibles d’émettre des robocalls illégaux. Voxbeam est légalement tenu de bloquer tout trafic provenant de fournisseurs non listés dans ce registre. ...