📰 Source : Lawfare / Seriously Risky Business (Tom Uren), publié le 17 avril 2026.

🌍 Surveillance géolocalisation : Webloc / Penlink

Le Citizen Lab a publié un rapport approfondi sur Webloc, un système de surveillance adtech développé par Cobweb Technologies et désormais commercialisé par la société américaine Penlink (fusion en 2023). Selon un document technique interne divulgué, Webloc donne accès à des enregistrements provenant de jusqu’à 500 millions d’appareils mobiles dans le monde, incluant identifiants de dispositifs, coordonnées GPS et données de profil issues d’applications mobiles et de la publicité numérique.

Le système permet le suivi individuel d’appareils (jusqu’à 12 fois par jour dans un cas documenté à Abu Dhabi) et la découverte de cibles. Parmi les clients fédéraux américains identifiés figurent le Department of Homeland Security (DHS), Immigration and Customs Enforcement (ICE), des unités militaires américaines et le Bureau of Indian Affairs Police. Des agences policières de Californie, Texas, New York et Arizona sont également clientes. À l’international, les clients incluent l’agence de renseignement intérieure hongroise et la Police Nationale Civile du Salvador.

Webloc est un module complémentaire de Tangles, la plateforme principale de Penlink dédiée aux investigations web et réseaux sociaux (recherche par mots-clés, identifiants, analyse de réseaux, géolocalisation extraite de posts et photos). L’intégration des deux outils permet potentiellement de lier des identifiants d’appareils anonymes à des comptes de réseaux sociaux sans mandat judiciaire.

L’État de Virginie a adopté cette semaine une loi interdisant la vente de données de géolocalisation précises de ses clients.

🤖 IA comme outil offensif : campagne contre des organisations gouvernementales mexicaines

La société de sécurité Gambit a publié un rapport détaillant comment un hacker solitaire a utilisé deux plateformes IA commerciales pour compromettre neuf organisations gouvernementales mexicaines, dont l’autorité fiscale nationale SAT (Servicio de Administración Tributaria).

Chronologie et méthodes :

  • 📅 Début de la campagne : 26 décembre 2025 au soir
  • L’attaquant a utilisé Claude Code (Anthropic) pour générer et exécuter environ 75 % des commandes d’exécution de code à distance
  • GPT-4.1 API (OpenAI) a été utilisé pour planifier les activités post-exploitation en analysant les données de reconnaissance automatisée
  • Un outil Python personnalisé de 17 550 lignes (vraisemblablement généré par IA) a extrait des données de serveurs compromis et les a transmises à GPT-4.1
  • GPT-4.1 a produit 2 957 rapports de renseignement structurés à partir de 305 serveurs SAT, incluant l’importance des serveurs, les opportunités de mouvement latéral et des recommandations OPSEC
  • L’outil définissait 6 personas dont un « ELITE INTELLIGENCE ANALYST »
  • Le scanner de vulnérabilités open-source vulmap a été utilisé pour obtenir un accès initial
  • Le trafic était routé via un fournisseur de proxy résidentiel
  • En 5 jours, l’attaquant opérait simultanément dans plusieurs réseaux victimes
  • Résultat : vol de centaines de millions de dossiers citoyens et création d’un service de falsification de certificats fiscaux

Claude a fréquemment refusé des requêtes, forçant l’attaquant à reformuler ou abandonner certaines approches, mais ces refus ont constitué des ralentisseurs plutôt que des blocages. L’attaquant a contourné les garde-fous en faisant sauvegarder une feuille de triche de test de pénétration dans le fichier claude.md (contexte persistant de session).

Les systèmes compromis étaient en fin de vie ou sans support, sans mises à jour de sécurité pertinentes.

🔵 Opérations de démantèlement notables

  • Botnet GRU démantelé : Le DOJ a annoncé le 7 avril 2026 le démantèlement d’un botnet de routeurs TP-Link opéré par le GRU russe, utilisé pour détourner des requêtes DNS et mener des attaques adversary-in-the-middle.
  • Réseau de phishing W3LL démantelé : Le FBI et les autorités indonésiennes ont démantelé une opération de phishing basée sur le kit W3LL ; le développeur présumé a été arrêté en Indonésie.
  • Device Bound Session Credentials (DBSC) : Google a annoncé le support de ce nouveau type de cookie dans Chrome 146 (Windows), liant cryptographiquement les tokens d’authentification à un appareil spécifique via des modules matériels sécurisés.

📋 Type d’article

Article de presse spécialisée / newsletter CTI à vocation politique et technique, couvrant plusieurs sujets d’actualité cybersécurité en un seul numéro.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • GRU (state-sponsored) —

TTP

  • T1592 — Gather Victim Host Information (Reconnaissance)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1090.002 — Proxy: External Proxy (Command and Control)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1005 — Data from Local System (Collection)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
  • T1021 — Remote Services (Lateral Movement)

IOC

  • Fichiers : claude.md

Malware / Outils

  • Webloc (tool)
  • Tangles (tool)
  • vulmap (tool)
  • W3LL phishing kit (other)

🟡 Indice de vérification factuelle : 41/100 (moyenne)

  • ⬜ lawfaremedia.org — source non référencée (0pts)
  • ✅ 13834 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : GRU (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.lawfaremedia.org/article/it-is-time-to-ban-the-sale-of-precise-geolocation