ANSSI font font les pirates

Dans son rapport d’activité 2025, l’ANSSI revient évidemment sur les cyberattaques qui touchent la France et dresse un sombre portrait de ce qui nous attend, mais elle en profite surtout pour faire le point sur ses dispositifs réglementaires : lanceur d’alertes, détection et blocage de menaces étatiques, déploiement des réseaux 5G…

Cela fait maintenant plusieurs mois que Vincent Strubel (patron de l’Agence nationale de la sécurité des systèmes d’information ou ANSSI) a tenu à Monaco un discours sous forme d’un électrochoc afin de réveiller la conscience collective.

Aux Assises de la cybersécurité en octobre dernier, il rappelait que la France devait être « prête à faire face à une guerre de haute intensité » d’ici 2030, avec un « engagement de nos armées ».

• Vincent Strubel (ANSSI) face à la « brutalisation du monde » et la menace quantique

Se préparer à des attaques informatiques beaucoup plus massives (et avec IA)

Il parlait du risque « d’être submergé » par les attaques, d’en « subir tellement à la fois qu’on ne pourra plus rien faire ». En mars, lors de la présentation du rapport sur la cybermenace 2025, il revenait sur le cas de la France et appelait à ne pas céder à la panique : les niveaux de menaces sont certes très significatifs, mais « on n’est pas sur une explosion ou un raz-de-marée ».

• Cyberattaques en France : des niveaux « très significatifs », mais pas de raz de marée

L’ANSSI vient de mettre en ligne son rapport d’activité 2025 et, dans son édito, Vincent Strubel, tient des propos similaires : la France doit « se préparer à un scénario d’attaques informatiques beaucoup plus massives ». Il ajoute que ce scénario « n’est pas une fatalité », mais qu’il faut se préparer.

3 586 événements de cybersécurité ont été remontés et traités par l’ANSSI. Dans le lot, 1 366 sont des incidents avérés « pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime ». L’année précédente, période des JOP 2024 de Paris, il y en avait eu respectivement 4 386 et 1 361.

L’Agence détaille dans son rapport ses actions passées et à venir. Il est évidemment question d’intelligence artificielle : « notre rôle est d’apporter de la clarté, d’anticiper, de mesurer les risques comme les opportunités – le tout pour accompagner l’écosystème vers la promotion d’une IA à la fois sûre et résiliente ». Une déclaration de Hugo Mania, chef de projet IA à l’ANSSI, qui résonne avec les déclarations d’Anthropic et OpenAI sur les performances de leur IA dédiées à la cybersécurité.

Cette année, une formation de « sensibilisation aux enjeux de cybersécurité liés à l’IA » sera proposée au Centre de formation à la sécurité des systèmes d’information (CFSSI) de l’ANSSI.

• Cybersécurité vs Gen AI : l’ANSSI « n’a pas de preuve d’attaque à 100 % IA »
• OpenAI aussi a son moment Mythos… et assure sa com’ face à Anthropic
• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

Augmentation des attaques contre les environnements cloud

BookMyName, l’un des bureaux d’enregistrement de noms de domaine de Scaleway (groupe iliad) a temporairement suspendu ses services (web et API) mardi 5 mai en raison d’une activité suspecte détectée au niveau de son système d’information.

« Certains clients ont pu constater une modification de leurs informations de contact associées à leurs noms de domaine, a alerté le service en début de journée. En conséquence, nous avons décidé de suspendre l’ensemble des accès publics à BookMyName le temps de mener les investigations nécessaires. »

Vers 17 heures, le bureau a publié un point d’étape affirmant que les informations de contact modifiées avaient été restaurées et que le service était considéré comme sécurisé, annonçant au passage prendre en charge gracieusement le renouvellement des noms de domaine arrivant à échéance dans les 72 heures.

Le rétablissement du service est finalement intervenu mardi 5 mai vers 22 heures, amputé de certaines fonctionnalités secondaires, dont la récupération de mots de passe.

« Compte tenu du rétablissement effectif du service ce jour, les renouvellements automatiques seront assurés sans interruption. Par conséquent, et contrairement à ce qui a pu être communiqué précédemment, nous ne procéderons pas au renouvellement gracieux des domaines arrivant à échéance ce 5 mai 2026. Ces derniers seront traités selon vos modalités de facturation habituelles », a publié à cette occasion le service.

BookMyName a publié dès mercredi 6 mai le post mortem de l’incident. D’après ce rapport, l’intrusion a permis à l’assaillant de modifier les informations de contact associées à 1 868 comptes clients. « L’adresse e-mail, le prénom, le nom, le mot de passe et le pays ont été modifiés », décrit le bureau d’enregistrement, selon qui aucune opération de transfert non sollicitée n’a été constatée.

« L’incident a été causé par une erreur de logique dans le contrôle d’autorisation du point de terminaison de modification des contacts. Cette faille a permis à un attaquant de modifier n’importe quel champ lié aux contacts en ciblant n’importe quel identifiant de compte en manipulant des paramètres de requête HTTP. Il s’agissait principalement d’une attaque à l’aveugle : aucun compte n’était spécifiquement ciblé », décrit le service sur un volet plus technique.

• [Offert] On analyse les 10 millions de noms de domaines en .fr

BookMyName, l’un des bureaux d’enregistrement de noms de domaine de Scaleway (groupe iliad) a temporairement suspendu ses services (web et API) mardi 5 mai en raison d’une activité suspecte détectée au niveau de son système d’information.

« Certains clients ont pu constater une modification de leurs informations de contact associées à leurs noms de domaine, a alerté le service en début de journée. En conséquence, nous avons décidé de suspendre l’ensemble des accès publics à BookMyName le temps de mener les investigations nécessaires. »

Vers 17 heures, le bureau a publié un point d’étape affirmant que les informations de contact modifiées avaient été restaurées et que le service était considéré comme sécurisé, annonçant au passage prendre en charge gracieusement le renouvellement des noms de domaine arrivant à échéance dans les 72 heures.

Le rétablissement du service est finalement intervenu mardi 5 mai vers 22 heures, amputé de certaines fonctionnalités secondaires, dont la récupération de mots de passe.

« Compte tenu du rétablissement effectif du service ce jour, les renouvellements automatiques seront assurés sans interruption. Par conséquent, et contrairement à ce qui a pu être communiqué précédemment, nous ne procéderons pas au renouvellement gracieux des domaines arrivant à échéance ce 5 mai 2026. Ces derniers seront traités selon vos modalités de facturation habituelles », a publié à cette occasion le service.

BookMyName a publié dès mercredi 6 mai le post mortem de l’incident. D’après ce rapport, l’intrusion a permis à l’assaillant de modifier les informations de contact associées à 1 868 comptes clients. « L’adresse e-mail, le prénom, le nom, le mot de passe et le pays ont été modifiés », décrit le bureau d’enregistrement, selon qui aucune opération de transfert non sollicitée n’a été constatée.

« L’incident a été causé par une erreur de logique dans le contrôle d’autorisation du point de terminaison de modification des contacts. Cette faille a permis à un attaquant de modifier n’importe quel champ lié aux contacts en ciblant n’importe quel identifiant de compte en manipulant des paramètres de requête HTTP. Il s’agissait principalement d’une attaque à l’aveugle : aucun compte n’était spécifiquement ciblé », décrit le service sur un volet plus technique.

• [Offert] On analyse les 10 millions de noms de domaines en .fr

OSS 117 facts

Les moyens, humains et financiers, des services de renseignement français ont profondément évolué depuis les attentats de 2015, notamment du fait de la montée en puissance de leurs directions techniques. Le nombre d’emplois liés au numérique a ainsi explosé de + 79 % à la DGSE en 10 ans, quand ceux du renseignement n’ont progressé que de + 18 %. Les services ont cela dit du mal à fidéliser leurs contractuels, malgré de nombreuses initiatives prises en la matière.

Composée de quatre sénateurs et quatre députés, la délégation parlementaire au renseignement (DPR) a pour mission de contrôler l’action du Gouvernement en matière de renseignement et d’évaluer la politique publique en ce domaine. En 2026, elle a « décidé de consacrer le thème central de son rapport annuel aux transformations en cours au sein de la communauté du renseignement ».

Son 17e rapport annuel montre en effet que les services de renseignement n’ont jamais reçu autant d’argent, et recruté autant d’agents, et rappelle que « les attentats de 2015 ont été le catalyseur de cette prise de conscience de la nécessité de réarmer notre appareil de renseignement ».

Cinq milliards d’euros ont en effet été consacrés au renseignement par la loi de programmation militaire (LPM) 2024 - 2030. L’ensemble des services de renseignement ont ainsi « bénéficié d’une augmentation substantielle de leurs moyens budgétaires et humains, en dépit de la crise des finances publiques que traverse notre pays ».

À la direction générale de la sécurité extérieure (DGSE), la moyenne des crédits alloués par la LPM 2019 - 2025 « est en progression de 69 % par rapport à la LPM précédente 2014 - 2018 », et s’est « élevée à 3,3 milliards d’euros sur la période 2019 - 2015 ». La LPM 2024 - 2030 prévoit en outre une ressource en crédits de paiements à hauteur de 4,6 milliards d’euros pour la DGSE, « soit une évolution de + 53 % par rapport à la précédente loi de programmation ».

À la direction générale de la sécurité intérieure (DGSI), le volume de crédits dépensés « a plus que doublé entre 2015 et 2024 », reflétant la priorité fixée en matière de lutte contre le terrorisme après les attentats de 2015. En autorisation d’engagement, le budget de la DGSI est ainsi passé de 41,6 millions d’euros en 2015 à 111,6 millions d’euros en 2024 (+ 168 %). Les crédits de paiement sont quant à eux passés de 44,7 millions d’euros en 2015 à 95,8 millions d’euros en 2025 (+ 114 %).

À la direction du renseignement militaire (DRM), les dépenses de fonctionnement du Service ont « quasiment doublé » entre 2014 et 2024, passant de 24,6 millions d’euros en 2014 à 47,2 millions d’euros en 2024. Si on y ajoute les crédits d’investissements, on atteint un total de dépenses de 62,17 millions en 2024 contre 40,8 millions d’euros dix ans auparavant.

À la direction du renseignement et de la sécurité de la défense (DRSD), chargée des habilitations et du contre-espionnage militaire, la LPM 2014 - 2019 accordait 77 millions d’euros en crédits de paiement, essentiellement fléchés sur des dépenses de fonctionnement. La LPM 2019 - 2025 avait initialement porté ce montant à 120,7 millions d’euros, avant d’être « fortement réévalué pour atteindre près de 220 millions ».

À la direction nationale du renseignement et des enquêtes douanières (DNRED), les crédits de paiement (fonctionnement et investissement) ont quant à eux quasiment triplé, passant de 10,3 millions d’euros en 2019 à 27,6 millions d’euros en 2024 avec la LPM 2019 - 2025.

+ 79 % d’emplois liés au numérique à la DGSE en 10 ans

Les services de renseignement ont également vu leurs effectifs « augmenter significativement » au cours de la décennie écoulée, sans pour autant préciser combien ils étaient en 2015. Tout juste apprend-on qu’ils sont passés de 14 912 en 2020 à 16 150 agents en 2024, et que la hausse des effectifs de la DGSE et de la DGSI s’élèvent respectivement de 9,08 % et de 10,72 % entre 2020 et 2024, reflétant également un élargissement des profils des recrues :

« Cette hausse du nombre des agents est allée de pair avec une importante diversification des profils recrutés, et une proportion plus importante des personnels civils et des contractuels par rapport aux personnels militaires et aux emplois de fonctionnaires. »

À la DGSE, le nombre d’équivalents temps plein (ETP) est en hausse de 29 % sur 10 ans, mais avec des « disparités importantes puisque les emplois créés dans le secteur du numérique ont progressé de 79 % quand ceux du renseignement n’ont évolué qu’à+ 18 % ».

• La DGSE peine à recruter ses futurs maîtres espions en informatique

Toujours l’éternel combat : sécurité vs simplicité

Un chercheur affirme, avec un prototype publié sur GitHub, que le navigateur Edge charge tous les mots de passe de son gestionnaire en clair dans la mémoire de l’ordinateur. N’importe qui peut donc y accéder ? Presque, il faut des droits administrateur tout de même. Microsoft confirme, ajoutant que c’est un comportement voulu.

Le chercheur en cybersécurité Tom Jøran Sønstebyseter Rønning explique sur les réseaux sociaux que le navigateur « Microsoft Edge charge tous vos mots de passe enregistrés en mémoire en clair – même lorsque vous ne les utilisez pas ».

Si vous êtes admin, vous pouvez voir les mots de passe en clair

Il propose un prototype sur GitHub permettant de vérifier ce qu’il en est sur sa machine. Un prérequis limite tout de même fortement la portée de ce que le chercheur présente comme une vulnérabilité : il faut des « droits d’administrateur (pour pouvoir lire la mémoire des processus Edge d’autres utilisateurs) ». Le chercheur confirme dans son fil de discussion sur X « ne pas avoir réussi à le faire fonctionner sans privilèges administrateur ».

Nous avons testé le programme EdgeSavedPasswordsDumper du chercheur, avec succès sous Windows 11 avec Edge 147 (les deux étaient à jour)… à condition de lancer un terminal avec des droits administrateur. Dans ce cas, le programme retourne bien, l’ensemble des identifiants et mots de passe enregistrés dans Edge dans le terminal. Sans les droits administateur, le même terminal répond « [x] Not running elevated ».

Ce sont ceux également visibles dans edge://settings/autofill/passwords, à la différence que pour voir les mots de passe enregistrés dans le navigateur, il faut entrer le mot de passe Windows « pour permettre cette opération », comme l’indique la fenêtre de validation qui s’est ouverte (voir les captures ci-dessous).

La technique utilisée par le chercheur permet de s’affranchir de cette étape à condition, pour rappel, d’avoir déjà des droits d’administrateur. Il est « amusant » de voir Edge demander une validation alors que c’est déjà accessible librement, comme le prouve le programme du chercheur.

« Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi »

Selon Tom Jøran Sønstebyseter Rønning, « Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi. En revanche, Chrome utilise une conception qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe sauvegardés simplement en lisant la mémoire des processus. Le navigateur ne déchiffre les identifiants que lorsque cela est nécessaire, au lieu de garder tous les mots de passe en mémoire en permanence ».

Chrome, toujours selon le chercheur, a d’autres protections, faisant que « les mots de passe en clair ne sont visibles que brièvement lors du remplissage automatique ou lorsque l’utilisateur les consulte, ce qui rend l’extraction massive de données en mémoire beaucoup moins efficace ».

Pour Tom Jøran Sønstebyseter Rønning, le risque est important dans des environnements partagés : « Si un attaquant obtient un accès administrateur sur un serveur, il peut accéder à la mémoire de tous les utilisateurs connectés (ou même les utilisateurs déconnectés) avec Edge en cours d’exécution ». On en revient toujours au même pré-requis important : être administrateur.

Microsoft confirme : c’est voulu et même « by design »

Le chercheur a contacté Microsoft, qui lui a répondu que c’est le comportement « by design » de son navigateur et qu’aucun correctif ne sera publié.

Un porte-parole confirme à Cybernews, en détaillant davantage son point de vue : « Les choix de conception dans ce domaine visent à trouver un équilibre entre performance, facilité d’utilisation et sécurité, et nous continuons de les évaluer face à l’évolution des menaces. Les navigateurs accèdent aux données de mots de passe en mémoire pour permettre aux utilisateurs de se connecter rapidement et en toute sécurité ; il s’agit d’une fonctionnalité normale de l’application ».

« L’accès aux données du navigateur, tel que décrit dans le scénario signalé, nécessiterait que l’appareil soit déjà compromis », ajoute Microsoft. En effet, il faut déjà être administrateur. Comme le montre Chrome avec une surface d’attaque plus limitée, il est tout de même possible de réduire les risques.

Comme le fait remarquer un internaute sur X, cette affaire n’est pas sans en rappeler une autre de 2022 sur Chromium (la base de Chrome, Edge et d’autres navigateurs). Il enregistrait en clair des mots de passe et d’autres informations dans la mémoire de l’ordinateur.

De manière générale, la communauté de la cybersécurité recommande davantage d’utiliser un gestionnaire de mot de passe dédié plutôt que ceux intégrés dans les navigateurs, notamment car la sécurité est leur première raison d’être. C’est également l’argument mis en avant par les gestionnaires de mots de passe qui prêchent évidemment pour leur paroisse.

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)

Toujours l’éternel combat : sécurité vs simplicité

Un chercheur affirme, avec un prototype publié sur GitHub, que le navigateur Edge charge tous les mots de passe de son gestionnaire en clair dans la mémoire de l’ordinateur. N’importe qui peut donc y accéder ? Presque, il faut des droits administrateur tout de même. Microsoft confirme, ajoutant que c’est un comportement voulu.

Le chercheur en cybersécurité Tom Jøran Sønstebyseter Rønning explique sur les réseaux sociaux que le navigateur « Microsoft Edge charge tous vos mots de passe enregistrés en mémoire en clair – même lorsque vous ne les utilisez pas ».

Si vous êtes admin, vous pouvez voir les mots de passe en clair

Il propose un prototype sur GitHub permettant de vérifier ce qu’il en est sur sa machine. Un prérequis limite tout de même fortement la portée de ce que le chercheur présente comme une vulnérabilité : il faut des « droits d’administrateur (pour pouvoir lire la mémoire des processus Edge d’autres utilisateurs) ». Le chercheur confirme dans son fil de discussion sur X « ne pas avoir réussi à le faire fonctionner sans privilèges administrateur ».

Nous avons testé le programme EdgeSavedPasswordsDumper du chercheur, avec succès sous Windows 11 avec Edge 147 (les deux étaient à jour)… à condition de lancer un terminal avec des droits administrateur. Dans ce cas, le programme retourne bien, l’ensemble des identifiants et mots de passe enregistrés dans Edge dans le terminal. Sans les droits administateur, le même terminal répond « [x] Not running elevated ».

Ce sont ceux également visibles dans edge://settings/autofill/passwords, à la différence que pour voir les mots de passe enregistrés dans le navigateur, il faut entrer le mot de passe Windows « pour permettre cette opération », comme l’indique la fenêtre de validation qui s’est ouverte (voir les captures ci-dessous).

La technique utilisée par le chercheur permet de s’affranchir de cette étape à condition, pour rappel, d’avoir déjà des droits d’administrateur. Il est « amusant » de voir Edge demander une validation alors que c’est déjà accessible librement, comme le prouve le programme du chercheur.

« Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi »

Selon Tom Jøran Sønstebyseter Rønning, « Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi. En revanche, Chrome utilise une conception qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe sauvegardés simplement en lisant la mémoire des processus. Le navigateur ne déchiffre les identifiants que lorsque cela est nécessaire, au lieu de garder tous les mots de passe en mémoire en permanence ».

Chrome, toujours selon le chercheur, a d’autres protections, faisant que « les mots de passe en clair ne sont visibles que brièvement lors du remplissage automatique ou lorsque l’utilisateur les consulte, ce qui rend l’extraction massive de données en mémoire beaucoup moins efficace ».

Pour Tom Jøran Sønstebyseter Rønning, le risque est important dans des environnements partagés : « Si un attaquant obtient un accès administrateur sur un serveur, il peut accéder à la mémoire de tous les utilisateurs connectés (ou même les utilisateurs déconnectés) avec Edge en cours d’exécution ». On en revient toujours au même pré-requis important : être administrateur.

Microsoft confirme : c’est voulu et même « by design »

Le chercheur a contacté Microsoft, qui lui a répondu que c’est le comportement « by design » de son navigateur et qu’aucun correctif ne sera publié.

Un porte-parole confirme à Cybernews, en détaillant davantage son point de vue : « Les choix de conception dans ce domaine visent à trouver un équilibre entre performance, facilité d’utilisation et sécurité, et nous continuons de les évaluer face à l’évolution des menaces. Les navigateurs accèdent aux données de mots de passe en mémoire pour permettre aux utilisateurs de se connecter rapidement et en toute sécurité ; il s’agit d’une fonctionnalité normale de l’application ».

« L’accès aux données du navigateur, tel que décrit dans le scénario signalé, nécessiterait que l’appareil soit déjà compromis », ajoute Microsoft. En effet, il faut déjà être administrateur. Comme le montre Chrome avec une surface d’attaque plus limitée, il est tout de même possible de réduire les risques.

Comme le fait remarquer un internaute sur X, cette affaire n’est pas sans en rappeler une autre de 2022 sur Chromium (la base de Chrome, Edge et d’autres navigateurs). Il enregistrait en clair des mots de passe et d’autres informations dans la mémoire de l’ordinateur.

De manière générale, la communauté de la cybersécurité recommande davantage d’utiliser un gestionnaire de mot de passe dédié plutôt que ceux intégrés dans les navigateurs, notamment car la sécurité est leur première raison d’être. C’est également l’argument mis en avant par les gestionnaires de mots de passe qui prêchent évidemment pour leur paroisse.

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)

La célèbre messagerie chiffrée n'attend pas l'arrivée des ordinateurs quantiques pour agir. Proton Mail intègre dès aujourd'hui un nouveau standard de chiffrement pour contrer les hackers qui interceptent vos messages maintenant en vue de les déchiffrer dans quelques années.

C'est une faille vieille comme le web qui aurait permis d'exploiter l'une des bases de données les plus sensibles de l'État français. Le piratage de l'ANTS en avril 2026 aurait été permis par une faille IDOR. Mais, c'est quoi, au juste ?

• lien nᵒ 1 : GitHub
• lien nᵒ 2 : Documentation
• lien nᵒ 3 : Site Web
• lien nᵒ 4 : Discussions

Commentaires : voir le flux Atom ouvrir dans le navigateur

Des chercheurs en sécurité de Wiz ont découvert une vulnérabilité critique dans l'infrastructure interne de GitHub, permettant à n'importe quel utilisateur authentifié d'exécuter du code arbitraire sur les serveurs de la plateforme, le tout avec une seule commande git.

30 outils piégés, près de 10 000 téléchargements, et des agents IA qui travaillent en secret pour une économie de tokens crypto. Le 28 avril 2026, les chercheurs en cybersécurité de Manifold ont mis en lumière la campagne ClawSwarm, qui exploite le manque de supervision des déploiements d’agents autonomes.

Dans un rapport publié le 23 avril 2026, les chercheurs en cybersécurité de Mandiant ont disséqué les méthodes d’intrusion du groupe de hackers UNC6692. Leur stratégie ? Se positionner d’abord comme élément perturbateur, puis comme sauveur.

Il s'appelait « HexDex » sur les forums du dark web, et son nom est devenu familier des équipes de sécurité informatique françaises au fil des mois. Lundi 20 avril 2026, ce hacker de 21 ans a été interpellé en Vendée par la Brigade de lutte contre la cybercriminalité (BL2C), alors qu'il s'apprêtait à publier de nouvelles données volées.

Derrière les notes de mise à jour en apparence banales de Firefox 150 se cache un véritable séisme pour la cybersécurité. En s'alliant avec la nouvelle IA d'Anthropic, Mozilla a débusqué et corrigé près de 300 failles d'un coup. Une avancée historique qui pourrait bien signer la fin des attaques « zero-day » et définitivement inverser le rapport de force entre pirates et défenseurs.