France

📅 Source : Clubic, publié le 5 avril 2026. Contexte La SNCF a diffusé un courrier électronique d’alerte à ses voyageurs pour les prévenir de campagnes malveillantes actives usurpant l’identité de SNCF Connect. Ces campagnes sont diffusées via plusieurs canaux : e-mail, SMS (SMiShing), Messenger et WhatsApp. Techniques d’attaque observées Reproduction fidèle du logo, des couleurs et de la mise en page des communications officielles SNCF Connect Fausses promotions : réduction de 95% sur la Carte Avantage, valable 48 heures, incitant à cliquer en urgence Prétexte de remboursement : exploitation de grèves ou perturbations récentes pour soutirer des coordonnées bancaires SMiShing : envoi de SMS frauduleux Faux comptes sur Messenger et WhatsApp se faisant passer pour SNCF Connect Reproduction de l’apparence de l’application mobile SNCF Connect Objectif des attaquants Vol de données personnelles et de coordonnées bancaires des victimes. ...

📰 Source : France 3 Nouvelle-Aquitaine — publié le 8 avril 2026 Contexte Ymed, entreprise bordelaise spécialisée dans le développement informatique, notamment de solutions de prise de rendez-vous en ligne pour des centres d’imagerie médicale, a été victime d’une cyberattaque majeure entre le 4 et le 6 avril 2026. Déroulement de l’attaque Le groupe de hackers xp95 a ciblé le logiciel SoonCare, plateforme de prise de rendez-vous médicaux en ligne développée par Ymed. La méthode utilisée est un ransomware (rançongiciel), ayant permis l’exfiltration de données personnelles et médicales d’environ 250 000 personnes. Les attaquants ont adressé une demande de rançon de 20 000 dollars en bitcoins par e-mail à la société. Impact ~250 000 personnes potentiellement affectées (données personnelles et médicales). Suspension temporaire du service SoonCare décidée par Ymed pour prévenir toute nouvelle intrusion. La CNIL a été notifiée afin d’alerter les victimes. Les forces de l’ordre sont mobilisées dans le cadre d’une enquête. Position de la victime La présidente d’Ymed indique qu’aucune preuve de divulgation ou d’exploitation frauduleuse des données n’a été établie à ce stade des investigations. ...

📰 Contexte Source : Clubic, publié le 8 avril 2026. L’article rapporte une cyberattaque contre KFC France, filiale française de la chaîne de restauration rapide, ayant conduit à une fuite de données personnelles de clients membres du programme de fidélité Colonel Club. 🎯 Nature de l’incident Des accès illégitimes au système d’information de KFC France ont été détectés. Ces accès ont permis aux attaquants de consulter et exfiltrer des données issues du programme de fidélité Colonel Club. ...

🗓️ Contexte Article de presse généraliste publié le 6 avril 2026 par Le Dauphiné Libéré, relayant une information des Dernières Nouvelles d’Alsace. L’événement s’est produit à Strasbourg (Bas-Rhin, France). 📋 Faits Un homme de 37 ans domicilié à Strasbourg a évoqué, lors d’une conversation avec une intelligence artificielle, son intention d’acheter une arme pour « tuer un agent du renseignement de la CIA, du Mossad ou de la DGSI ». ...

🗓️ Contexte Article publié le 9 avril 2026 par Malwarebytes sur Security Boulevard. Il s’agit d’une analyse technique d’une campagne de distribution de malware via un faux site de support Windows, ciblant principalement les utilisateurs francophones. 🎣 Vecteur d’infection La campagne repose sur le domaine typosquatté microsoft-update[.]support, qui imite une page officielle Microsoft. Le site, rédigé entièrement en français, propose une fausse mise à jour cumulative Windows 24H2 avec un numéro d’article KB plausible. Le fichier distribué est WindowsUpdate 1.0.0.msi (83 Mo), construit avec WiX Toolset 4.0.0.5512, créé le 4 avril 2026, avec des métadonnées usurpant l’identité de Microsoft. ...

📋 Contexte : Le Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA) publie son rapport d’activité 2025, couvrant l’ensemble des menaces cyber observées en France sur l’année. Ce document constitue la septième édition du rapport annuel de Cybermalveillance.gouv.fr. 📊 Chiffres clés : 5,1 millions de visiteurs uniques sur la plateforme (2e année consécutive au-dessus de 5M) 504 000 demandes d’assistance enregistrées, en hausse de +20 % Répartition : 93 % particuliers, 6 % entreprises/associations, 1 % collectivités/administrations Hausse marquée pour les professionnels : +73 % entreprises/associations, +22 % collectivités 🎯 Principales menaces pour les particuliers : ...

📰 Contexte Source : korben.info (via TorrentFreak), publié le 2 avril 2026. La cour d’appel de Paris a rendu une décision confirmant les ordonnances de première instance du tribunal judiciaire de Paris dans cinq affaires distinctes opposant Canal+ à des fournisseurs de DNS alternatifs. ⚖️ Décision judiciaire La cour d’appel de Paris a rejeté cinq appels simultanés formés par Google (Google Public DNS), Cloudflare (1.1.1.1) et Cisco (OpenDNS). Ces entreprises sont désormais contraintes de bloquer des centaines de noms de domaine liés au streaming illégal et à l’IPTV pirate. ...

📋 Contexte Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ». 🎯 Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas déterminés) Les attaques ciblées ne représentent que 17% de l’échantillon La motivation financière domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%) 🦠 Outils et techniques Près d’une attaque outillée sur trois utilise un rançongiciel Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware 34% des systèmes ciblés sont des environnements Microsoft 💥 Rançongiciels — focus 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchées proportionnellement Double levier de négociation : chiffrement du SI + chantage à la fuite de données 🕵️ Infostealers — focus Hausse importante des incidents impliquant des infostealers en 2025 Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel Dans 1 cas sur 3, combinés avec des backdoors ou RATs Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%) Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs 🌐 Attaques non-lucratives — focus Échantillon de 44 incidents à motivation non-lucrative Majorité liée à l’espionnage et au pré-positionnement Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisés à des fins de pré-positionnement Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives 📊 Type d’article Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024. ...

📰 Source : Clubic — Article publié le 29 mars 2026, relatant une annonce faite sur un forum cybercriminel concernant un prétendu piratage d’OVH Cloud. 🎯 Allégation de l’attaquant Un individu disposant du statut d’administrateur sur un forum cybercriminel affirme avoir eu accès à un compte parent d’OVH ainsi qu’à des serveurs. Il revendique : La récupération de 590 To de données La compromission des données de 1,6 million de clients La vente partielle des données à ce jour 🛡️ Réaction d’OVH Aucune confirmation officielle n’a été émise par OVH. Le fondateur Octave Klaba a répondu sur X (ex-Twitter) à une publication relayant l’annonce du forum, indiquant de manière concise que « le sample [échantillon] cité ne se trouve pas dans nos bases », remettant en cause l’authenticité des preuves présentées. ...

📋 Contexte Le Centre national des œuvres universitaires et scolaires (Cnous) a publié le 29 mars 2026 une annonce officielle concernant une exfiltration de données détectée le 23 mars 2026 sur la plateforme mesrdv.etudiant.gouv.fr, utilisée pour la prise de rendez-vous avec les services sociaux et logement des Crous. 🎯 Périmètre de l’incident 774 000 personnes au total sont concernées, issues de rendez-vous pris sur les dix dernières années 139 000 personnes ont subi une exfiltration de pièces jointes déposées dans l’application 635 000 personnes ont subi une exfiltration de données limitées : nom, prénom, adresse mail, objet et date du rendez-vous 🔧 Réponse à l’incident Les accès concernés ont été immédiatement sécurisés dès la détection Une investigation technique approfondie a été lancée L’accès au site est temporairement suspendu Une déclaration a été faite auprès de la CNIL Un dépôt de plainte est en cours Chaque personne concernée sera notifiée individuellement par le Cnous 📌 Type d’article Il s’agit d’une annonce d’incident officielle publiée par l’organisation victime, visant à informer les personnes concernées et le public de la nature, du périmètre et des mesures prises suite à la violation de données. ...