Fuite De Données

TechCrunch (Zack Whittaker) détaille l’ampleur croissante de la fuite de données liée à l’attaque au ransomware subie par Conduent, géant govtech et important contractant des administrations américaines. Type d’attaque : ransomware ayant perturbé les opérations de Conduent pendant plusieurs jours en janvier 2025, avec des pannes de services gouvernementaux à travers les États-Unis 🔐. Portée : l’incident semble toucher bien plus de personnes qu’initialement annoncé. Impact chiffré et zones touchées 🇺🇸: ...

Selon BleepingComputer, la plateforme de partage de photos Flickr a commencé à notifier ses utilisateurs d’une potentielle fuite de données à la suite d’une vulnérabilité chez un prestataire tiers de services email. Type d’incident : potentielle fuite de données liée à une vulnérabilité chez un fournisseur tiers d’email ⚠️ Service affecté : Flickr (plateforme de partage de photos) Impact signalé : des informations personnelles auraient été exposées, incluant : Noms réels Adresses email Adresses IP Activité de compte 🔓 Contexte et vecteur : l’exposition découle d’une vulnérabilité au niveau d’un prestataire de services email tiers, ce qui place l’incident dans un scénario d’atteinte à la chaîne d’approvisionnement (tierce partie) sans détail supplémentaire fourni dans l’extrait. ...

Selon Have I Been Pwned (HIBP), en janvier 2026, la plateforme d’investissement automatisée Betterment a confirmé une violation de données liée à une attaque d’ingénierie sociale. Les clients ont reçu des messages frauduleux liés aux crypto-monnaies promettant de forts rendements en échange de fonds envoyés vers un portefeuille crypto contrôlé par l’attaquant. 💸 Données exposées : 1,4 million d’adresses e-mail uniques, ainsi que des noms et des données de localisation géographique. Pour un sous-ensemble d’enregistrements, des dates de naissance, numéros de téléphone et adresses postales ont également été exposés. 🪪📧📍 ...

Selon TechCrunch, le groupe cybercriminel prolifique ShinyHunters a revendiqué le piratage de Harvard et de l’Université de Pennsylvanie, et a mis en ligne les données volées. Le groupe d’extorsion ShinyHunters affirme être à l’origine des violations de données ayant touché Harvard et l’Université de Pennsylvanie (UPenn) en 2025, et a publié sur son site de fuite ce qu’il présente comme plus d’un million d’enregistrements par université. UPenn avait confirmé en novembre une compromission de systèmes liés aux activités “development & alumni” (collecte de fonds / relations alumni). Les attaquants auraient aussi envoyé des emails aux alumni depuis des adresses officielles de l’université. UPenn avait attribué l’incident à de la social engineering. Harvard avait également confirmé une compromission en novembre, attribuée à du vishing (voice phishing). Harvard indiquait que les données volées incluaient : emails, numéros de téléphone, adresses (domicile et pro), participation à des événements, détails de dons, et informations biographiques liées aux activités de fundraising/alumni. Des vérifications (échantillon) ont corroboré la cohérence d’une partie des données (ex. recoupements avec personnes concernées / registres publics). Les attaquants expliquent publier les données car les universités auraient refusé de payer la rançon. Lors du cas UPenn, le message aux alumni contenait un vernis “politique” (affirmative action), mais ShinyHunters n’est pas réputé pour des motivations politiques, ce qui suggère une mise en scène opportuniste. ...

Selon Wiz (blog), une analyse non intrusive du réseau social d’agents IA Moltbook a mis au jour une clé Supabase exposée dans le JavaScript client, pointant vers une base de production sans Row Level Security, ce qui a permis un accès anonyme en lecture et en écriture à de nombreuses tables jusqu’à la correction appliquée en plusieurs étapes. Impact et données exposées. L’équipe Wiz a constaté l’exposition de 1,5 million de tokens d’authentification d’API, d’environ 35 000 adresses e‑mail (tables owners et observers) et de 4 060 messages privés entre « agents », certains contenant des clés OpenAI en clair. Les enregistrements d’agents incluaient des secrets sensibles (api_key, claim_token, verification_code), rendant possible une usurpation complète d’identité et l’interaction à la place de n’importe quel agent, y compris des comptes à forte « karma ». ...

Selon VentureBeat, l’agent IA open source OpenClaw (ex-Clawdbot/Moltbot) connaît un essor fulgurant, mais des scans Internet ont révélé plus de 1 800 instances exposées divulguant des clés API, des historiques de chats et des identifiants. Des chercheurs et des équipes sécurité (Cisco, IBM Research) soulignent que les agents IA créent une surface d’attaque sémantique que pare-feu, EDR et SIEM voient mal, en particulier sur du BYOD. • Pourquoi les périmètres échouent ⚠️: les attaques visent la sémantique (ex. « Ignore previous instructions ») plutôt que des signatures de malware. La « trifecta létale » décrite par Simon Willison — accès à des données privées, exposition à du contenu non fiable, et communication externe — est réunie dans OpenClaw, permettant des fuites sans alerte. Les SOC voient un HTTP 200 et du comportement process standard, alors que l’attaque est dans le raisonnement du modèle. ...

Selon la NZZ am Sonntag, une révision interne du Département fédéral des affaires étrangères (DFAE/EDA) a mis en évidence une faille dans les dispositifs de protection: des documents classés «internes» ont été stockés dans le cloud de Microsoft, malgré des règles censées empêcher l’upload de contenus sensibles. Contexte: alors que la France écarte Zoom/Teams des administrations, la Chancellerie fédérale a généralisé Microsoft 365 à quelque 54 000 postes de la Confédération. Des mécanismes de sécurité prévoient que les contenus sensibles soient étiquetés et bloqués pour tout stockage dans le cloud. Or, ces mesures ne fonctionnent que partiellement. ...

Selon Have I Been Pwned, Panera Bread a subi en janvier 2026 une fuite de données touchant 14 millions d’enregistrements. Après l’échec d’une tentative d’extorsion, les attaquants ont publié publiquement le jeu de données. 🔓🗂️ Le lot comprend 5,1 millions d’adresses e‑mail uniques et des informations de compte associées, notamment : Noms Numéros de téléphone Adresses postales Panera Bread a confirmé que « les données concernées sont des coordonnées » et a précisé que les autorités ont été notifiées. ...

Selon L’Équipe (avec AFP), la Fédération française de golf (FFG) a annoncé avoir été victime d’une cyberattaque ayant conduit au vol de certaines données de ses adhérents. L’instance indique que les données bancaires et les mots de passe ne sont pas concernés. Elle compte environ 450 000 membres et a déposé plainte. Le nombre précis de personnes affectées n’est pas communiqué à ce stade. Un compte X spécialisé en sécurité affirme que des dirigeants d’entreprise figureraient parmi les victimes. La FFG ne confirme ni n’infirme cette information. Le DTN, Christophe Muniesa, mentionne que certaines personnalités demandent à ce que leurs données personnelles n’apparaissent pas dans les fichiers et rappelle l’existence d’un dispositif de « liste rouge » permettant une anonymisation totale des licenciés qui le souhaitent. Il précise ne pas disposer d’une liste exhaustive des personnalités potentiellement concernées. ...

Type d’article :* fuite massive de données / menace liée aux infostealers Source : WIRED Découverte : Jeremiah Fowler (chercheur en sécurité) Nature de l’incident : base de données publique non protégée Période d’observation : plusieurs semaines avant suppression 🎯 Faits clés Une base de données non sécurisée contenant 149 millions de paires identifiants/mots de passe a été découverte puis supprimée après signalement. Les données étaient librement accessibles via un simple navigateur web et continuaient de croître pendant la période d’observation. ...