Source et contexte: ANSSI — Le « Panorama de la cybermenace 2025 » (publication ANSSI) présente les tendances observées en France et en Europe : menaces persistantes, brouillage entre acteurs étatiques et cybercriminels, et forte pression sur secteurs publics et privés.

  • Niveau de menace et secteurs touchés. En 2025, 3 586 événements de sécurité traités (−18% vs 2024) dont 1 366 incidents (stable). Quatre secteurs concentrent 76% des incidents: éducation & recherche (34%), ministères & collectivités (24%), santé (10%), télécoms (9%). Les frontières entre acteurs étatiques et cybercriminels s’érodent, complexifiant l’imputation et la détection.

  • Extorsion et rançongiciels. 128 attaques par rançongiciel recensées (légère baisse), mais exfiltrations de données en forte hausse (196 incidents vs 130 en 2024). Des groupes privilégient l’extorsion sans chiffrement. Souches marquantes: Qilin (21%), Akira (9%), LockBit 3.0/Black (5%); apparition de Nova, Warlock, Sinobi. Cas notables: attaque d’Everest contre Collins Aerospace perturbant des aéroports européens; exploitation par Cl0p d’un 0-day Oracle E‑Business Suite (CVE‑2025‑6182) pour des exfiltrations massives. Usage d’infostealers (Lumma, Rhadamanthys, EpiBrowser) et recours aux IAB. Des MOA étatiques (Nord-Corée, Chine) ont déployé du ransomware (ex. NailaoLocker, RA World) à côté d’opérations d’espionnage.

  • Espionnage et déstabilisation. Activités soutenues d’acteurs réputés russes (ex. Callisto, Turla, APT28/Fighting Ursa, Sandworm/APT44) et chinois (ex. APT31, Salt Typhoon, UAT‑5918, UNC6384/RedDelta/Mustang Panda, UNC5221, Houken/UNC5174), visant diplomatie, télécoms, énergie et administrations. Ukraine: poursuite d’opérations destructrices (wipers) attribuées à l’écosystème Sandworm; Pologne visée par des attaques coordonnées contre l’énergie. DDoS toujours fréquents (souvent revendiqués par des hacktivistes pro‑russes), et tentatives de sabotage sur de petites installations industrielles (interfaces d’automates peu sécurisées) en Europe, avec médiatisation amplifiée.

  • Outils et techniques. Forte utilisation de services légitimes et RMM pour l’accès initial, la persistance et le C2: AnyDesk, AteraAgent, SimpleHelp, ScreenConnect, TeamViewer, VNC, MeshAgent; stockage/partage via Koofr, Icedrive, Filen.io, Google Drive/Docs/Sheets, MEGA, Dropbox; services webhook.site, Mocky.io, Pipedream, Cloudflare Workers, AWS Lambda URL. Généralisation du LOLBins, de l’Adversary‑in‑the‑middle, password spraying, et de l’ingénierie sociale avancée (SIM‑swapping, MFA fatigue, vishing). Technique « Clickfix » très utilisée (inciter la victime à exécuter elle-même des commandes). Usage croissant et ciblage des capacités IA (génératives) dans les opérations.

  • Vulnérabilités et vecteurs. Ciblage massif des équipements de bordure (VPN, pare‑feu, passerelles) et serveurs: vulnérabilités notables 2025 sur Ivanti Connect Secure/Policy Secure/ZTA (CVE‑2025‑0282/0283), Ivanti Endpoint Manager Mobile (CVE‑2025‑22457), Fortinet (CVE‑2024‑55591), Citrix NetScaler (CVE‑2025‑5777, CVE‑2025‑6543), SharePoint (CVE‑2025‑49704/49706, puis CVE‑2025‑53770/53771 – campagne « toolshell »), VMware ESXi/Workstation/Fusion (CVE‑2025‑22224/22225/22226), VMware vCenter (filtre Servlet in‑memory, post‑exploitation), Cisco Smart Install (SMI) (faiblesses protocolaires sans auth). Webmail XSS (Roundcube, webmails) employés pour vol de mails/identifiants et redirections. Cloud: plusieurs cas de chiffrement de ressources SaaS/IaaS (dont AWS) et vols de dépôts (ex. Red Hat GitLab). Mobiles: chaînes 0‑click combinant vulnérabilités WhatsApp/Meta, iOS/Android/Samsung (CVE‑2025‑55177, CVE‑2025‑43300, CVE‑2025‑21043). Supply‑chain et sous‑traitants régulièrement exploités (latéralisation via prestataires). L’article est un rapport annuel d’analyse de menace visant à documenter tendances, acteurs, TTPs et vulnérabilités pour éclairer la défense.

IOC(s) principaux (extraits)

  • Identifiants de vulnérabilités: CVE‑2025‑0282, CVE‑2025‑0283 (Ivanti); CVE‑2025‑22457 (Ivanti EPMM); CVE‑2024‑55591 (Fortinet); CVE‑2025‑5777, CVE‑2025‑6543 (Citrix NetScaler); CVE‑2025‑49704, CVE‑2025‑49706, CVE‑2025‑53770, CVE‑2025‑53771 (Microsoft SharePoint); CVE‑2025‑22224/22225/22226 (VMware ESXi/Workstation/Fusion); CVE‑2025‑6182 (Oracle E‑Business Suite); CVE‑2025‑55177 (Meta/WhatsApp), CVE‑2025‑43300 (Apple), CVE‑2025‑21043 (Samsung).
  • Outils/services observés: AnyDesk, AteraAgent, SimpleHelp, ScreenConnect, TeamViewer, VNC, MeshAgent; Koofr, Icedrive, Filen.io, MEGA, Dropbox, Google Drive/Docs/Sheets; webhook.site, Mocky.io, Pipedream, Cloudflare Workers, AWS Lambda URL; Cisco SMI exposé.
  • Malware/charges: Qilin, Akira, LockBit 3.0/Black, Nova, Warlock, Sinobi, NailaoLocker, RA World, Lumma Stealer, Rhadamanthys, EpiBrowser, XWorm, Amadey, PlugX, ShadowPad, KeyPlug, Kazuar v2, Covenant, BeardShell.

TTPs marquantes 🛠️

  • Exploitation de 0‑day/1‑day sur équipements de bordure et serveurs; post‑exploitation furtive (ex. correctifs appliqués par l’attaquant; filtres in‑memory).
  • Living‑off‑the‑land (LOLBins), abus de RMM et de services cloud légitimes pour C2/staging/exfiltration.
  • Ingénierie sociale avancée: SIM‑swapping, MFA fatigue, vishing, « Clickfix », hameçonnage ciblé multi‑canal (Signal/WhatsApp/Email), Adversary‑in‑the‑middle, password spraying.
  • DDoS de nuisance/médiatisation et sabotage d’OT/ICS légers (interfaces non authentifiées/mots de passe défaut).
  • Extorsion sans chiffrement, double/triple extorsion, usage d’IAB, compromission cloud, supply‑chain et latéralisation via prestataires.

🔗 Source originale : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-002/?utm_source=substack&utm_medium=email