Exfiltration De Données

📰 Source : Reuters | Date : 11 juin 2026 Novo Nordisk, le géant pharmaceutique danois, a publié une déclaration officielle confirmant avoir identifié un incident de sécurité au cours duquel des informations ont été copiées sans autorisation depuis ses systèmes informatiques internes vers l’extérieur. 🎯 Données affectées L’incident a touché un volume limité d’informations relatives à des patients participant à certains essais cliniques. Les catégories de données personnelles potentiellement concernées incluent : ...

🔍 Contexte Publié le 15 juin 2026 par Varonis Threat Labs sur le blog officiel de Varonis, cet article présente la découverte de SearchLeak, une chaîne de vulnérabilités critiques affectant Microsoft 365 Copilot Enterprise. La vulnérabilité a été corrigée par Microsoft sous l’identifiant CVE-2026-42824, avec une sévérité maximale critique. ⚙️ Mécanisme d’attaque : une chaîne en trois étapes SearchLeak combine trois failles distinctes pour former une chaîne d’exploitation complète : Parameter-to-Prompt (P2P) Injection : Le paramètre q de l’URL de Copilot Enterprise Search est transmis directement au moteur IA comme une instruction exécutable, permettant à un attaquant d’injecter des commandes arbitraires. HTML Rendering Race Condition : Pendant la phase de streaming de la réponse Copilot, une balise <img> est rendue par le navigateur avant que le sanitizer de sortie ne s’active, permettant l’envoi d’une requête HTTP vers une URL contrôlée par l’attaquant. CSP Bypass via Bing SSRF : Le domaine *.bing.com étant autorisé dans la Content Security Policy, l’attaquant exploite l’endpoint Bing searchbyimage qui effectue une requête côté serveur vers une URL arbitraire, contournant ainsi la CSP du navigateur. 🎯 Déroulement de l’attaque L’attaquant envoie à la victime un lien vers m365.cloud.microsoft (domaine légitime Microsoft) La victime clique → Copilot interprète le paramètre q comme des instructions Copilot recherche dans la boîte mail, le calendrier, SharePoint, OneDrive Une balise <img> est générée avec les données volées encodées dans l’URL Le navigateur envoie la requête à Bing (autorisé par CSP) Bing effectue un fetch côté serveur vers attacker.com/<DONNÉES_VOLÉES>/img.png L’attaquant récupère les données dans les logs de son serveur 💥 Impact Les données potentiellement exfiltrables incluent : ...

🏥 Contexte Source : communiqué officiel publié sur le site unimed.de, daté du 29 mai 2026 (publication CTI le 4 juin 2026). unimed Abrechnungservice für Kliniken und Chefärzte GmbH est une société allemande basée à Wadern, spécialisée dans la gestion de la facturation médicale pour cliniques et médecins-chefs. 🔍 Déroulement de l’incident Date de détection : 14 avril 2026 Type d’incident : cyberattaque avec exfiltration de données Le lendemain de la détection, les premiers clients identifiés ont été notifiés L’incident a été signalé à l’autorité de protection des données compétente et à la police Des experts forensiques IT externes ont été mandatés pour l’investigation Des experts forensiques en données ont été mobilisés pour l’analyse des données exfiltrées Un équipe externe de réponse sur incident (Incident Response) a été engagée 📂 Données compromises Seul un volume très limité de jeux de données a été exfiltré Les données concernent la correspondance relative aux contestations de factures de patients privés et patients payant directement (Privatpatienten und Selbstzahler) La grande majorité des données exfiltrées ne constitue pas des données financières ou de santé particulièrement sensibles L’identification des clients et patients concernés a nécessité une analyse détaillée (données structurées par numéros de facture et flux de paiement) Les résultats de l’analyse ont été communiqués individuellement aux clients concernés à partir de mi-mai 2026 📡 Surveillance post-incident Aucune publication des données volées n’a été détectée à ce jour Selon l’équipe IR externe, une publication des données n’est plus considérée comme probable Un monitoring continu est maintenu sur des sites du clear web et du dark web 🔄 Reprise d’activité Les systèmes IT ont été sécurisés et sont en fonctionnement normal depuis plusieurs semaines La majorité des clients a repris les opérations de facturation immédiatement après la remise en service Un Security Operations Center (SOC) externe assure désormais la surveillance continue des systèmes 📋 Nature du document Il s’agit d’un communiqué de presse officiel post-incident publié par la victime, visant à informer le public, les clients et les patients sur le déroulement de l’incident, les mesures prises et l’état actuel de la situation. ...

🗓️ Contexte Source : nau.ch, publiée le 3 juin 2026. L’article rapporte une cyberattaque ayant touché une joint-venture de Metall Zug, groupe industriel suisse coté. 🎯 Nature de l’incident L’attaque a ciblé Belimed Infection Control, entité spécialisée dans le contrôle des infections. Des données ont été copiées depuis des zones délimitées (abgegrenzte Bereiche) des systèmes IT de Belimed Infection Control. La société sœur Steelco Belimed (basée à Zoug) est également mentionnée dans le contexte de l’incident. ...

🔍 Contexte Publié le 27 mai 2026 par PromptArmor, cet article de recherche documente une attaque d’exfiltration de fichiers affectant Microsoft Copilot Cowork, une fonctionnalité Frontier disponible dans Microsoft 365. L’attaque exploite une injection de prompt indirecte combinée à une approbation automatique non documentée de certaines actions sensibles. ⚙️ Mécanisme d’attaque La chaîne d’attaque repose sur plusieurs étapes : La victime possède des fichiers sensibles (PII, données financières) accessibles via SharePoint ou OneDrive La victime charge un fichier de compétence (Skill) empoisonné dans Copilot Cowork — vecteur courant car les Skills sont automatiquement chargés depuis un chemin OneDrive spécifique La victime demande à Copilot Cowork un récapitulatif de sa semaine, déclenchant la compétence malveillante L’injection manipule l’agent pour qu’il envoie un message Teams contenant des balises HTML image malveillantes pointant vers un site contrôlé par l’attaquant, avec les liens de téléchargement pré-authentifiés des fichiers en paramètres de requête À l’ouverture du message Teams par la victime, les liens sont exfiltrés et l’attaquant peut télécharger les fichiers 🎯 Facteur aggravant : approbation automatique Contrairement à ce qu’indique la documentation Microsoft, l’envoi d’emails et de messages Teams à l’utilisateur actif ne requiert aucune approbation humaine. Les utilisateurs ne disposent d’aucun paramètre pour modifier ce comportement. L’activité malveillante n’est pas visible dans l’interface Copilot Cowork. ...

🏢 Contexte Cet article est une notification officielle de violation de données publiée par Bomco sur le portail du procureur général de l’État du Maine (maine.gov), datée du 20 mai 2026. 📅 Chronologie de l’incident 14-16 juin 2025 : Un acteur non autorisé accède à certains fichiers du réseau de Bomco et les copie potentiellement. 17 juin 2025 : Bomco prend connaissance de l’incident et lance une investigation. 20 avril 2026 : Fin de la revue détaillée des fichiers impliqués, réalisée avec l’aide de spécialistes tiers en revue de données. 20 mai 2026 : Publication de la notification aux personnes concernées. 🔍 Nature de l’incident Un acteur non autorisé a obtenu un accès à certains fichiers au sein du réseau de Bomco. Les fichiers ont potentiellement été copiés. L’investigation a été conduite en interne avec l’assistance de tiers spécialisés. ...

📰 Source : ICTjournal.ch — Article publié le 15 mai 2026, par Yannick Chavanne, relayant un article de la Tribune de Genève. 🎯 Contexte de l’incident La Fondation genevoise pour la formation des adultes (Ifage) a été victime d’une cyberattaque survenue les 11 et 12 avril 2026, détectée le 13 avril 2026. L’incident a conduit à une exfiltration non autorisée de données RH concernant le personnel actuel et ancien de l’organisation. ...

🏛️ Contexte Source officielle : site du gouvernement de Nouvelle-Galles du Sud (nsw.gov.au), publication datée du 21 avril 2026. Le gouvernement australien de l’État de NSW a déclaré un incident cyber significatif à la suite d’une violation de données interne impliquant un membre du personnel du NSW Treasury. 🔍 Déroulement de l’incident La surveillance de sécurité interne a détecté un transfert suspect de documents vers un serveur externe. Les fichiers concernés contiennent des informations commerciales et financières confidentielles couvrant plusieurs départements et projets du gouvernement NSW. Le NSW Treasury a signalé l’affaire à la NSW Police le dimanche précédant la publication. La police a lancé une enquête sous le nom de Strike Force Civic, aboutissant à des inculpations criminelles dans la nuit. 📊 Impact et état de la situation Les autorités estiment que l’ensemble des données présumées volées a été localisé et sécurisé. Aucune compromission externe du système de l’agence n’a été identifiée. L’enquête policière est toujours en cours au moment de la publication. 📌 Nature de l’article Il s’agit d’une annonce d’incident officielle publiée par le gouvernement de NSW, visant à informer le public de la déclaration d’un incident cyber significatif et des mesures prises par les autorités compétentes. ...

🔍 Contexte Rapport technique publié le 10 avril 2026 par Gambit Security (Eyal Sela, Director of Threat Intelligence). L’analyse est basée sur des matériaux forensiques récupérés depuis trois VPS utilisés dans la campagne, incluant des logs de sessions AI, des scripts d’exploitation et des rapports de reconnaissance automatisés. 🎯 Victimes et périmètre Entre fin décembre 2025 et mi-février 2026, neuf organisations gouvernementales mexicaines ont été compromises : SAT (Servicio de Administración Tributaria) : 195M dossiers fiscaux + 52M annuaires exfiltrés, compromission domaine-wide, API de requête live construite et exposée publiquement, mécanisme de falsification de certificats fiscaux opérationnalisé, 305 serveurs internes analysés Estado de Mexico : 15,5M dossiers véhicules, 3,6M propriétaires, millions de dossiers population Registro Civil CDMX : ~220M dossiers civils, centaines de dossiers judiciaires, milliers de credentials employés Jalisco : 50K dossiers patients, 17K victimes violences domestiques, 36K employés santé, 180K dossiers numériques ; infrastructure virtualisation complète compromise (cluster Nutanix 13 nœuds, 37/38 serveurs DB) ; rootkits déployés sur 20 agences INE (Instituto Nacional Electoral) : 13,8K dossiers cartes électeurs exfiltrés, pool estimé à dizaines de millions Michoacán : 2,28M dossiers propriétés, 2K comptes avec mots de passe en clair SADM Monterrey : 3,5K dossiers achats/fournisseurs, 5K dossiers appels d’offres Tamaulipas : Compromission Active Directory Salud CDMX : Exploitation serveur Zimbra 🤖 Rôle des plateformes AI Claude Code (Anthropic) a généré et exécuté ~75% des commandes d’exécution distante via son interface tool-use. Il a servi d’assistant d’exploitation interactif : écriture d’exploits, construction de tunnels, cartographie d’architecture, escalade de privilèges, harvesting de credentials, anti-forensics. ...

📰 Source : Los Angeles Times — Article publié le 8 avril 2026, rédigé par Libor Jany et Richard Winton. Contexte Le bureau du procureur de la ville de Los Angeles (City Attorney’s Office) a été victime d’une violation de données majeure découverte le 20 mars 2026. L’intrusion a ciblé un outil tiers de transfert de documents utilisé pour transmettre des pièces de procédure (discovery) aux parties adverses dans les litiges civils. ...