Amérique du Nord
Gainsight
Google a confirmé que des pirates informatiques avaient dérobé des données stockées par Salesforce et appartenant à plus de 200 entreprises dans le cadre de la violation de données à grande échelle touchant la chaîne d'approvisionnement de Salesforce-Gainsight.
Le 19 novembre, Salesforce a annoncé qu'elle menait une enquête sur une violation de données touchant certains clients dont les informations ont été exposées via des applications publiées par Gainsight, une plateforme dédiée à la réussite client. Le groupe Threat Intelligence de Google a depuis indiqué avoir recensé plus de 200 instances Salesforce potentiellement concernées. Peu après la divulgation de ce problème par Salesforce, le groupe de pirates Scattered Lapsus$ Hunters a revendiqué la responsabilité de l'attaque.
Salesforce a déclaré qu'aucun élément ne permettait de penser que cette violation résultait d'une faille de sécurité de sa propre plateforme. Il semblerait plutôt que cet incident soit lié à la connexion externe de Gainsight à Salesforce. Afin de protéger ses clients, Salesforce a désactivé cette intégration et révoqué tous les jetons actifs et de rafraîchissement associés aux applications publiées par Gainsight.
SourceComment cela pourrait-il affecter votre entreprise ?
Cet incident montre que les pirates n'ont plus besoin de s'introduire directement dans vos systèmes : ils peuvent s'infiltrer via des intégrations de confiance et des applications connectées. Les entreprises doivent recenser toutes les connexions tierces, mettre en place des contrôles stricts des autorisations relatives aux jetons et aux interfaces de programmation d'applications (API), et vérifier en permanence les points d'accès des outils externes afin d'éviter toute porte dérobée cachée.
Royaume-Uni
les municipalités londoniennes
Trois municipalités londoniennes ont signalé une cyberattaque la semaine dernière, ce qui fait craindre que les données des habitants aient pu être compromises.
La municipalité royale de Kensington et Chelsea (RBKC), le conseil municipal de Westminster (WCC) et la municipalité londonienne de Hammersmith & Fulham ont confirmé avoir été victimes d'une cyberattaque le 24 novembre. Ces trois municipalités partagent plusieurs systèmes informatiques, et les responsables indiquent que de nombreux services — y compris les lignes téléphoniques — ont été touchés. Par mesure de précaution, ils ont mis hors service plusieurs systèmes afin d'éviter d'autres dommages. Ces conseils municipaux desservent ensemble plus d'un demi-million d'habitants de Londres.
Dans un communiqué public, RBKC a indiqué que les municipalités collaboraient avec des experts en gestion des incidents cybernétiques et le Centre national de cybersécurité (NCSC) du Royaume-Uni afin de sécuriser les systèmes touchés, de restaurer les données et d'assurer le maintien des services publics essentiels.
SourceComment cela pourrait-il affecter votre entreprise ?
Les cyberattaques visant les services publics montrent à quelle vitesse les activités peuvent être paralysées. Une stratégie solide de continuité des activités et de reprise après sinistre (BCDR) — s'appuyant sur des processus éprouvés de sauvegarde, de basculement et de restauration — permet à votre organisation de maintenir ses services essentiels et de restaurer rapidement ses systèmes, même en cas de perturbations majeures.
États-Unis
Site AMC
Une cyberattaque visant l'un des principaux fournisseurs du secteur bancaire a poussé les grandes banques américaines à se mobiliser pour évaluer les répercussions potentielles.
Le 22 novembre, SitusAMC — un prestataire clé auquel de nombreuses banques font appel pour la gestion de leurs prêts immobiliers et hypothécaires — a confirmé que des pirates informatiques avaient pénétré dans ses systèmes le 12 novembre et dérobé des données sensibles. La société a déclaré que cette violation pourrait avoir exposé des informations d'entreprise concernant ses clients, notamment des documents comptables et des contrats juridiques, ainsi que des données appartenant à certains clients de ses clients. SitusAMC travaille avec plusieurs grandes banques américaines, notamment JPMorgan Chase & Co., Citigroup Inc. et Morgan Stanley.
L'ampleur et les conséquences de cette violation font toujours l'objet d'une enquête, l'entreprise collaborant avec des experts externes en cybersécurité pour analyser l'incident.
SourceComment cela pourrait-il affecter votre entreprise ?
Cet incident montre que même les secteurs bien protégés restent vulnérables lorsque des pirates exploitent les failles des fournisseurs tiers. Les organisations doivent évaluer minutieusement la sécurité des fournisseurs, limiter le partage des données sensibles et les accès, et mettre en place une surveillance continue afin de réduire leur exposition aux failles de la chaîne d'approvisionnement.
États-Unis
OnSolve (Crisis24)
Une cyberattaque contre la plateforme OnSolve CodeRED, utilisée par les autorités étatiques et locales à travers les États-Unis, a perturbé les systèmes d'alerte d'urgence et exposé des données sensibles des utilisateurs.
Cette attaque par ransomware visait le service d'alerte d'urgence OnSolve CodeRED fourni par Crisis24, largement utilisé pour diffuser des alertes de sécurité publique concernant des événements tels que des inondations, des incendies, des fuites de gaz, des déversements de produits chimiques, des disparitions et des alertes à la bombe. Selon certaines informations, les cybercriminels auraient mis la main sur des informations relatives aux utilisateurs, notamment des noms, des adresses e-mail, des adresses postales, des numéros de téléphone et des mots de passe liés à une ancienne version de la plateforme. Cette perturbation a empêché certaines agences d'envoyer des alertes en temps opportun, suscitant des inquiétudes quant à la sécurité publique pendant les situations d'urgence.
Le groupe Inc Ransom a revendiqué la responsabilité de l'attaque et a ajouté OnSolve à la liste publiée sur son site web dédié aux fuites le 22 novembre. Le groupe affirme avoir accédé aux systèmes d'OnSolve le 1er novembre et avoir déployé un ransomware de chiffrement de fichiers le 10 novembre.
SourceComment cela pourrait-il affecter votre entreprise ?
Les attaques par ransomware de ce type montrent comment les cybercriminels posent des bombes à retardement, restant cachés pendant des jours, voire des semaines, avant de déclencher des charges utiles qui perturbent les systèmes critiques. Les entreprises ont besoin d’une détection proactive des menaces pour repérer rapidement toute activité inhabituelle, ainsi que de sauvegardes résistantes aux ransomwares qui ne peuvent être ni modifiées ni chiffrées. Cette combinaison est essentielle pour assurer une reprise rapide et fiable en cas d’attaque.
Amérique du Nord
Antigravity (Google)
Un chercheur en sécurité a découvert une faille majeure dans Antigravity, le nouvel outil de programmation basé sur l'IA et alimenté par Gemini de Google, à peine 24 heures après sa sortie.
Parallèlement au lancement de Gemini 3, Google a présenté Antigravity, un outil permettant le codage autonome via des agents IA, ce qui rend le développement plus rapide et plus automatisé. Cependant, le chercheur Aaron Portnoy a découvert une faille grave presque immédiatement. Il a démontré qu'en modifiant les paramètres de configuration d'Antigravity, il pouvait manipuler les règles de l'IA et insérer du code source malveillant créant une porte dérobée sur l'ordinateur d'un utilisateur. Grâce à cet accès, un attaquant pourrait espionner ses victimes, voler des données ou déployer un ransomware.
Plus inquiétant encore, cette attaque n'a demandé que très peu d'efforts. Il a suffi à Portnoy de convaincre un utilisateur d'Antigravity d'exécuter son code une seule fois et de cliquer sur une invite le désignant comme « fiable ». Les cybercriminels utilisent cette tactique d'ingénierie sociale depuis des années, en se faisant passer pour des développeurs chevronnés partageant des scripts utiles.
SourceComment cela pourrait-il affecter votre entreprise ?
Les vulnérabilités de type « zero-day » comme celle-ci montrent à quelle vitesse de nouveaux outils peuvent se transformer en vecteurs d'attaque. Les entreprises doivent renforcer leurs processus de vérification des logiciels, appliquer des contrôles stricts basés sur le principe du « privilège minimal » et recourir à des systèmes avancés de détection des menaces afin de repérer rapidement tout comportement inhabituel du code. Des formations régulières de sensibilisation des utilisateurs permettent également de réduire le risque que des employés approuvent ou exécutent du code non fiable.
