🧑‍⚖️ Cyberespionnage : les USA partent en guerre contre la Chine

Au programme :

La Suggestion du Barman : 🧑‍⚖️ Cyberespionnage : 12 pirates chinois inculpés par les USA.
Pétillant : 📊 Le Baromètre Cybersécurité 2025 du CESIN.
Vos shots :
🔓 Les secrets de Black Basta dévoilés.
⚖️ La nouvelle ère du rançongiciel : le chantage numérique de SecP0.
Digestif : 🤫 Deux IA se reconnaissent et adoptent un langage secret.

Temps de lecture estimé : 8 minutes

〜 LA SUGGESTION DU BARMAN 〜

🧑‍⚖️ Cyberespionnage : 12 pirates chinois inculpés par les USA

Le ministère de la Justice des États-Unis a dévoilé des actes d’accusation visant 12 ressortissants chinois, dont deux fonctionnaires d’État, accusés d’avoir mené une campagne mondiale de cyberespionnage.

Selon le FBI et le DOJ, le Ministère chinois de la Sécurité publique (MPS) et le Ministère de la Sécurité d’État (MSS) auraient engagé des pirates mercenaires pour mener des opérations d’espionnage, réprimer la dissidence et voler des données sensibles à travers le monde. Les autorités américaines ont saisi des infrastructures clés utilisées dans ces cyberattaques et annoncé des sanctions contre les auteurs présumés.

🔎 Ce qu’il faut savoir : deux entités sont ciblées

• La première, "i-Soon", une entreprise privée chinoise servant d’intermédiaire pour le gouvernement de Pékin. Cette entreprise avait fait l’objet d’une importante fuite de données, en février 2024, révélant ses activités. On en avait parlé dans le Shake.

• La seconde, le groupe APT27/EmissaryPanda [TG390], connu pour ses cyberattaques à l’échelle internationale depuis 2010. 

• Cibles principales : des agences fédérales américaines (dont le département du Trésor), des médias, des militants des droits de l’homme, des organisations religieuses et des gouvernements étrangers à Taïwan, en Inde, Corée du Sud et Indonésie.

💰 i-Soon, des pirates mercenaires

• i-Soon aurait facturé entre 10 000 et 75 000 dollars par boîte mail piratée et généré des millions de dollars de revenus.

• Ces acteurs ne travaillait pas uniquement directement pour Pékin : il revendait également des données volées sur le marché noir, exposant des milliers de victimes à travers le monde.

🌎 Pourquoi c’est important

Il s’agit de l’une des plus grandes révélations à ce jour sur l’écosystème chinois de cyberespionnage.

Cette action fait suite à une autre action judiciaire dans laquelle le ministère de la Justice américain a également inculpé Linwei Ding, alias Leon Ding, un ingénieur logiciel chinois accusé d’avoir volé des secrets industriels liés à l’intelligence artificielle (IA) chez Google.

Pendant qu’il travaillait chez Google, Ding aurait secrètement collaboré avec deux entreprises technologiques chinoises et fondé sa propre start-up spécialisée dans l’IA en Chine, tout en cherchant à intégrer un programme gouvernemental chinois destiné à attirer des talents technologiques de l’étranger.

💡 Ce qui va suivre

• Des primes sur les pirates : le département d’État américain offre jusqu’à 10 millions de dollars pour toute information menant à l’arrestation des suspects clés.

• D’autres actes d’accusation et sanctions devraient suivre.

• La collaboration avec le secteur privé va se poursuivre : Microsoft, Mandiant Volexity et PwC qui ont assisté les enquêteurs, vont continuer de travailler aux côtés des autorités américaines.

🔮 À retenir

Entre piratage étatique et vol de technologies critiques, ces affaires illustrent la stratégie agressive de la Chine en matière de cyberespionnage et de transferts technologiques. Cette nouvelle action judiciaire marque un durcissement de la réponse américaine face aux opérations numériques de la Chine et à son réseau clandestin de pirates.

〜 PÉTILLANT 〜

📊 Le Baromètre Cybersécurité 2025 du CESIN

Le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) a publié la 10ᵉ édition de son baromètre annuel, en collaboration avec OpinionWay. Cette étude indépendante, réalisée auprès de 401 Directeurs Cybersécurité et RSSI, dresse un état des lieux des menaces et des stratégies de défense des entreprises françaises.

🚀 60 secondes pour comprendre la cybersécurité des entreprises en 2025

💥 Menaces cyber : stables mais plus impactantes : Le volume des cyberattaques reste stable (47% des entreprises touchées), mais leurs conséquences s’aggravent. Le vol de données progresse de 11 points (42%), et 65% des victimes subissent des interruptions d’activité.

→ 60% des attaques passent par du phishing, suivi de l’exploitation de failles (47%) et des DDoS (41%).
→ 23% des entreprises voient leur production directement perturbée après une attaque.

⚠️ Deepfake et ingénierie sociale : nouvelles armes des cybercriminels. Les attaques par Deepfake apparaissent dans 9% des cas. Cette technologie renforce les escroqueries par usurpation d’identité (fraude au président), compliquant la détection des fraudes.

💀 Cyberespionnage : menace persistante sur les secteurs stratégiques : 37% des entreprises considèrent le cyberespionnage comme un risque élevé, avec une forte implication d’acteurs étatiques. L’espionnage industriel reste un défi majeur dans un contexte géopolitique tendu.

🛠️ Défenses renforcées : vers une maturité accrue : Les entreprises adoptent de plus en plus de solutions avancées :

• EDR (95% d’efficacité perçue, +5 points).

• Zero Trust en progression (+7 points, 31% des entreprises).

• VOC (Vulnerability Operation Center) en hausse (+9 points, 26%).

🔍 Cloud et souveraineté numérique : enjeux critiques : La mauvaise visibilité des assets cloud diminue (-7 points, 31%) grâce aux solutions EASM et CAASM. 52% des entreprises privilégient les clouds de confiance, témoignant d’une préoccupation croissante pour la souveraineté numérique.

🧠 IA en cybersécurité : adoption en retard : Si 69% des entreprises intègrent l’IA dans leurs processus (+23 points), seulement 35% l’appliquent à leur cybersécurité. Un retard préoccupant face aux attaques automatisées et aux menaces IA-driven.

📢 Porter plainte, une nécessité sous-exploitée : 62% des victimes signalent les cyberattaques, un chiffre stable mais insuffisant. La collaboration avec les autorités est essentielle pour identifier et neutraliser les menaces.

🏆 Conclusion : anticiper et s’adapter pour rester résilient : Face à des attaques plus sophistiquées, les entreprises doivent renforcer leur posture cyber en 2025 :

✅ Développer des capacités avancées de détection (AI, Zero Trust, EASM).
✅ Former et sensibiliser les collaborateurs aux nouvelles menaces (Deepfake, phishing).
✅ Mieux sécuriser les accès et protéger les données sensibles.
✅ Collaborer avec les autorités pour lutter contre la cybercriminalité.

〜 VOS SHOTS 〜

🔓 Les secrets de Black Basta dévoilés

Une fuite colossale de conversations internes du groupe de ransomware Black Basta révèle son organisation, son mode opératoire et ses figures clés, offrant un aperçu inédit des rouages de l’un des gangs cybercriminels les plus actifs au monde. On te résume l’article de “Oleg”, un analyste francophone.

Les faits marquants :

• Un lanceur d’alerte sous le pseudonyme ExploitWhispers a divulgué près de 200 000 messages issus des discussions internes de Black Basta entre 2023 et 2024.

• La fuite laisse entrevoir des tensions internes, possiblement liées à la décision du groupe de s’attaquer à des banques russes.

• Le chef du groupe, Tramp (alias gg), aurait été identifié comme Oleg Nefedov, un entrepreneur russe bénéficiant d’une supposée protection haut placée.

Ce que révèle la fuite :

• Une organisation hiérarchisée, avec des employés travaillant dans des bureaux à Moscou et des affiliés externes menant les cyberattaques de manière indépendante.

• Des infrastructures hébergées sur des fournisseurs légitimes (comme Hetzner), via des revendeurs acceptant les paiements en cryptomonnaie.

• L’utilisation de Cobalt Strike pour les actions post-exploitation et de techniques d’ingénierie sociale pour infiltrer les réseaux d’entreprises.

Ce que cela signifie :

• Black Basta aurait engrangé plus de 100 millions de dollars en rançons, mais reste silencieux depuis janvier. Son site de fuite est désormais hors ligne.

• Ces révélations pourraient accélérer les actions des forces de l’ordre, en facilitant l’identification des membres clés et la démantèlement de leur infrastructure.

• Comme souvent après de telles fuites, il faut s’attendre à une reformation sous une autre identité.

La suite : Les enquêteurs analysent ces données pour traquer les portefeuilles crypto, identifiants TOX et profils sur les forums avant que les membres ne se réorganisent.

👉 Retrouve le graphique complet ici

⚖️ La nouvelle ère du rançongiciel : le chantage numérique de SecP0

Un nouveau groupe de rançongiciel, SecP0, bouscule le paysage de la cybercriminalité. Leur méthode ? Menacer de divulguer des failles logicielles critiques non corrigées à moins que les entreprises ne paient une rançon.

Pourquoi c’est important : Cette tactique détourne le processus de divulgation des vulnérabilités, obligeant les entreprises à choisir entre payer ou risquer que des cybercriminels et des États hostiles exploitent ces failles à grande échelle. Les infrastructures critiques (énergie, santé, transport) sont particulièrement exposées.

Les enjeux :

• Un nouveau type de prise d’otage : Au lieu de chiffrer les données, les attaquants prennent en otage des pans entiers de l’industrie en exploitant les failles de sécurité.

• Un effet domino : Une fois une faille rendue publique, d’autres acteurs malveillants peuvent l’exploiter avant qu’un correctif ne soit déployé.

• Une pression croissante sur les gouvernements : Les autorités doivent réagir face à la menace en régulant les paiements de rançon et en renforçant la cybersécurité.

L’industrie de la cybersécurité cherche des solutions : outils prédictifs basés sur l’IA, systèmes de divulgation transparents via la blockchain, architecture zéro confiance. Mais ces approches restent en phase expérimentale.

Les experts redoutent que la stratégie de SecP0 fasse des émules ou soit reprise par des États hostiles, intensifiant ainsi la guerre numérique.

〜 DIGESTIF 〜