News

L’Événement qui Confirme une Ambition Le 26 février 2026, à Madrid, le Maroc franchit un nouveau cap symbolique dans sa stratégie de cybersécurité. Invité d’honneur du Sommet pré-ministériel sur la piraterie, la cybersécurité et la justice, le Royaume ne se contente pas d’assister : il présente, inspire, et reçoit une distinction internationale pour son engagement dans la transformation digitale. Ce n’est pas un hasard. Ce n’est pas de la diplomatie de façade. C’est la reconnaissance concrète d’une décennie de réformes structurantes qui ont positionné le Maroc au 34ᵉ rang mondial du Global Cybersecurity Index, consolidant ainsi son statut de leader régional en cybersécurité. Pour les acteurs marocains de la cybersécurité comme NextDefense, cet événement n’est pas qu’une fierté nationale. C’est la validation d’un écosystème en pleine maturité, porteur d’opportunités économiques majeures et de défis opérationnels qu’il faut maintenant relever. De la Vision Royale à la Réalité Opérationnelle Une Stratégie Nationale Ambitieuse Sous la conduite éclairée de Sa Majesté le Roi Mohammed VI, le Maroc a fait de la cybersécurité un pilier stratégique de son développement économique et social. La Stratégie Nationale de Cybersécurité (SNC) à l’horizon 2030, portée par la Direction Générale de la Sûreté des Systèmes d’Information (DGSSI), définit une feuille de route claire : Gouvernance renforcée : Cadre juridique et institutionnel adapté aux enjeux du cyberespace Capital humain : Formation et développement des compétences cyber Protection des infrastructures critiques : Résilience des systèmes d’information sensibles Coopération internationale : Engagement actif pour la paix et la sécurité dans le cyberespace Des Résultats Mesurables Comme l’a souligné l’ambassadrice Karima Benyaich à Madrid, ces efforts ont produit des résultats tangibles : Positionnement international : 34ᵉ rang mondial au Global Cybersecurity Index Leader régional en Afrique et dans le monde arabe Hub technologique reconnu pour l’attractivité des investissements Modernisation technologique : Infrastructures numériques de nouvelle génération Déploiement de SOC (Security Operations Centers) publics et privés Adoption de standards internationaux (ISO 27001, NIST Framework) Attractivité économique : Renforcement de la confiance des investisseurs internationaux Stabilité politique et sécurité juridique reconnues Premier investisseur en Afrique subsaharienne Ce Que Madrid Révèle : Les Enjeux Réels de la Cybersécurité Marocaine 1. La Pénurie de Talents Reste Critique Le succès diplomatique ne doit pas masquer la réalité du terrain. Comme le révèle le Baromètre AUSIM 2025, 64% des entreprises marocaines externalisent leur cybersécurité. Pourquoi ? Parce que le gap de compétences reste béant : 6 000 professionnels cyber disponibles au Maroc 12 000 postes nécessaires pour couvrir les besoins 25% de turnover annuel dans les équipes internes 6 mois minimum pour recruter un analyste SOC qualifié Cette pénurie structurelle explique pourquoi l’externalisation est devenue une nécessité stratégique, pas un choix de confort. Les entreprises marocaines ne peuvent plus se permettre de gérer leur cybersécurité en interne sans compétences adéquates. 2. La Sophistication des Menaces Augmente Le positionnement international du Maroc en fait également une cible privilégiée pour les cybercriminels. Nos équipes NextDefense observent quotidiennement : Menaces émergentes sur le marché marocain : Ransomwares ciblés sur le secteur bancaire et les infrastructures critiques Campagnes de phishing sophistiquées visant les entreprises exportatrices APT (Advanced Persistent Threats) sur les secteurs stratégiques Supply chain attacks exploitant les failles des prestataires tiers Statistiques clés : Augmentation de 300% des tentatives d’intrusion sur les entreprises marocaines en 2025 Coût moyen d’une cyberattaque : 4,5 millions de DH Temps de détection moyen sans SOC : 287 jours 3. Le Défi de la Conformité Réglementaire La reconnaissance internationale implique des obligations croissantes. Les entreprises marocaines doivent désormais naviguer dans un environnement réglementaire complexe : Loi 43-20 relative aux services de confiance pour les transactions électroniques Exigences sectorielles (BFSI, télécoms, énergie) Standards internationaux pour les entreprises exportatrices (RGPD, NIS2) Audits de conformité obligatoires pour les infrastructures critiques L’Analyse NextDefense : Entre Opportunités et Défis Ce Que Madrid Signifie pour les Entreprises Marocaines ✅ Opportunités 1. Accès facilité aux technologies internationales Le statut de hub technologique du Maroc facilite les partenariats avec les géants mondiaux de la cybersécurité. Chez NextDefense, nous sommes certifiés par Cisco, CrowdStrike, Palo Alto Networks, Fortinet, Check Point et SentinelOne. Ce positionnement permet aux entreprises marocaines d’accéder aux meilleures technologies mondiales via des intégrateurs locaux. 2. Confiance des investisseurs La reconnaissance internationale renforce la crédibilité du Maroc comme destination d’investissement sécurisée. Pour les entreprises locales, c’est un argument commercial majeur auprès de clients internationaux exigeants. 3. Écosystème cyber mature L’émergence d’un écosystème local de cybersécurité (MSSP, consultants, formateurs) offre aux entreprises des alternatives crédibles à l’internalisation coûteuse. ⚠️ Défis 1. L’illusion de la sécurité Le risque majeur : croire que le positionnement international suffit. Une entreprise marocaine sans SOC adéquat reste vulnérable, quel que soit le classement du pays. 2. La course aux compétences Le gap de talents va s’accentuer. Les entreprises doivent anticiper en externalisant ou en investissant massivement dans la formation. 3. L’adaptation aux menaces évolutives Les cyberattaquants s’adaptent. Les entreprises marocaines doivent passer d’une approche réactive (antivirus, firewall) à une posture proactive (threat hunting, threat intelligence). Les Recommandations NextDefense pour les Entreprises Marocaines 1. Évaluez Votre Posture Réelle Ne vous contentez pas du sentiment de sécurité. Posez-vous ces questions critiques : Quel est votre temps de détection actuel en cas d’intrusion ? Combien de temps pour contenir une menace active ? Votre couverture de monitoring est-elle exhaustive (endpoints, réseau, cloud) ? Vos équipes ont-elles les compétences pour analyser les alertes ? Action concrète : Réalisez un audit de sécurité 360° pour identifier vos gaps réels. Chez NextDefense, nous proposons des évaluations complètes alignées sur les standards internationaux. 2. Externalisez Intelligemment 64% des entreprises marocaines ont franchi le pas. Mais attention : tous les partenaires ne se valent pas. Critères de sélection d’un SOC externalisé : ✅ Expertise locale + standards internationaux Un bon partenaire connaît les menaces spécifiques au Maroc (phishing en darija, ciblage sectoriel) tout en appliquant les meilleures pratiques mondiales. ✅ SLA transparents et mesurables Exigez des engagements contractuels : temps de détection garanti (< 15 min), temps de réponse aux incidents (< 30 min), disponibilité du

Meta vient d’annoncer le déploiement de « Strict Account Settings » (Paramètres de compte stricts), une nouvelle fonctionnalité de sécurité sur WhatsApp conçue pour protéger les utilisateurs à haut risque contre les cyberattaques sophistiquées. Ce mode de type « lockdown » se positionne comme une réponse aux menaces croissantes de logiciels espions et d’attaques ciblées. 🎯 Une protection destinée aux utilisateurs à risque Similaire au Lockdown Mode d’Apple et au Advanced Protection d’Android, cette fonctionnalité s’adresse principalement à un groupe restreint d’utilisateurs particulièrement vulnérables aux cyberattaques avancées. Meta précise que cette protection est particulièrement pertinente pour les journalistes, les activistes, les personnalités publiques et les figures politiques qui peuvent être la cible d’attaques parrainées par des États ou de campagnes de surveillance sophistiquées. 📊 Contexte et tendance du marché Le lancement de cette fonctionnalité s’inscrit dans une tendance plus large de l’industrie technologique. Les géants de la tech reconnaissent désormais la nécessité d’offrir des modes de sécurité renforcés qui échangent une partie des fonctionnalités contre une protection maximale. Cette évolution reflète la sophistication croissante des menaces cybernétiques ciblant les utilisateurs à haut profil. 🛡️ Fonctionnalités de protection activées Lorsque le mode « Strict Account Settings » est activé, WhatsApp verrouille automatiquement le compte avec les paramètres de confidentialité les plus restrictifs. Voici un aperçu détaillé des protections mises en place : 🚫 Blocage des médias inconnus Tous les fichiers, pièces jointes et contenus multimédias provenant de contacts non enregistrés sont automatiquement bloqués, empêchant l’exécution de fichiers malveillants. 🔗 Désactivation des aperçus de liens Les aperçus d’URL sont désactivés pour éviter le suivi des adresses IP et les attaques par liens malveillants, réduisant ainsi la surface d’attaque. 📞 Filtrage des appels Les appels provenant de numéros inconnus sont automatiquement mis en sourdine, prévenant les exploits « zero-click » et les tentatives de phishing vocal. 👁️ Restrictions de visibilité Le statut « vu en dernier », le statut en ligne, les photos de profil et les informations du compte sont limités aux contacts uniquement. 👥 Contrôle des groupes Restriction stricte de qui peut ajouter l’utilisateur à des groupes, évitant ainsi l’exposition non désirée à des conversations potentiellement dangereuses. 🔐 Vérification renforcée Activation automatique de la vérification en deux étapes et notifications lorsque les clés de chiffrement d’un contact sont modifiées. 💾 Sauvegardes chiffrées Le système encourage les sauvegardes chiffrées de bout en bout pour les utilisateurs qui ont déjà activé les sauvegardes. 📨 Filtrage des messages massifs Blocage des volumes élevés de messages provenant de comptes inconnus, protégeant contre le spam et les campagnes de phishing. 🔧 Comment activer le mode de sécurité strict Procédure d’activation 1 Ouvrir WhatsAppLancez l’application WhatsApp sur votre appareil mobile principal (smartphone Android ou iOS). 2 Accéder aux ParamètresAppuyez sur l’icône des paramètres (généralement située dans le coin supérieur droit ou dans le menu principal). 3 Naviguer vers ConfidentialitéDans le menu des paramètres, sélectionnez « Confidentialité » ou « Privacy ». 4 Accéder aux options avancéesFaites défiler vers le bas et sélectionnez « Avancé » ou « Advanced ». 5 Activer le mode strictActivez le bouton « Strict Account Settings » pour verrouiller votre compte avec les paramètres de sécurité maximaux. ⚠️ Points importants à noter Limitation de fonctionnalité : Ce mode réduit certaines fonctionnalités de l’application en échange d’une sécurité maximale. Mobile uniquement : L’activation ne peut se faire que depuis l’application mobile, pas depuis WhatsApp Web ou l’application desktop. Déploiement progressif : La fonctionnalité est déployée graduellement au cours des prochaines semaines. Utilisation ciblée : Meta précise que la plupart des utilisateurs n’ont pas besoin de ce mode et ne devraient l’activer que s’ils estiment faire face à des menaces sophistiquées. 💻 Innovation technique : L’adoption de Rust Parallèlement au lancement de cette fonctionnalité, Meta a annoncé une avancée technique majeure : le remplacement de l’ancienne bibliothèque de traitement des médias écrite en C++ par une nouvelle version développée en Rust. Cette transition représente le plus grand déploiement mondial d’une bibliothèque écrite en Rust à ce jour. 🦀 Pourquoi Rust ? Le langage de programmation Rust offre des garanties de sécurité mémoire qui éliminent une classe entière de vulnérabilités courantes. La nouvelle bibliothèque « wamedia » gère le traitement des photos, vidéos et messages avec des vérifications de format et de cohérence renforcées, réduisant considérablement les risques d’exploitation par des fichiers malveillants. Meta indique que cette approche s’inscrit dans une stratégie de défense en profondeur comprenant trois volets : réduire la surface d’attaque, investir dans la sécurité du code C/C++ existant, et privilégier les langages à mémoire sécurisée pour le nouveau code. 📱 Comparaison avec les solutions concurrentes Plateforme Fonctionnalité Année de lancement Public cible WhatsApp Strict Account Settings 2026 Journalistes, activistes, personnalités publiques Apple Lockdown Mode 2022 Utilisateurs à haut risque face aux logiciels espions Google Android Advanced Protection 2025 Utilisateurs nécessitant une sécurité maximale 🌐 Contexte et réactions de l’industrie Le lancement de cette fonctionnalité intervient dans un contexte de débat intense sur la sécurité des messageries. Récemment, Elon Musk a publiquement remis en question la sécurité de WhatsApp sur X (anciennement Twitter), affirmant que « WhatsApp n’est pas sécurisé » et suggérant aux utilisateurs d’opter pour d’autres alternatives. Le PDG de WhatsApp, Will Cathcart, a vigoureusement défendu la plateforme, soulignant son chiffrement de bout en bout basé sur le protocole open-source Signal. John Scott-Railton, chercheur au Citizen Lab de l’Université de Toronto, a salué cette initiative comme « un développement très bienvenu » qui aidera à protéger les dissidents et activistes tout en encourageant d’autres entreprises technologiques à améliorer leurs standards de sécurité. 🔒 Implications pour la cybersécurité des organisations Pour les entreprises et organisations du secteur de la défense et de la cybersécurité, cette évolution soulève plusieurs points d’attention : Sensibilisation accrue : Les organisations doivent informer leur personnel à risque (cadres dirigeants, porte-parole, chercheurs) de l’existence de ces modes de sécurité renforcés et encourager leur activation lorsque nécessaire. Politique d’entreprise : Il peut être judicieux d’intégrer l’activation de ces modes dans les politiques de sécurité pour les employés occupant des postes sensibles. Évaluation continue : Les équipes de sécurité doivent rester à l’affût des nouvelles fonctionnalités de protection offertes par les plateformes de communication et évaluer leur pertinence pour leur contexte organisationnel. Formation : Les utilisateurs doivent être formés aux compromis entre fonctionnalité

Une levée de fonds stratégique Nucleon Security, entreprise spécialisée dans la cybersécurité basée en Afrique, a récemment finalisé une levée de fonds de 3 millions d’euros. Ce financement, soutenu par un consortium d’investisseurs africains et internationaux — dont le groupe Axian — aura pour objectif d’accélérer le déploiement et l’industrialisation de technologies innovantes dans la région. APAnews – Agence de Presse Africaine Objectifs et ambitions Avec ce capital frais, Nucleon Security prévoit notamment de : Développer ses plateformes avancées de sécurité, particulièrement dans les domaines du Zero Trust et des systèmes d’IA agentielle (agentic AI), qui permettent une surveillance proactive, une réponse automatisée aux menaces et une adaptation continue. APAnews – Agence de Presse Africaine Étendre son ancrage territorial à plusieurs pays africains — notamment le Maroc, la Tunisie, le Bénin, le Togo, la Côte d’Ivoire et Madagascar — afin de mieux répondre aux vulnérabilités spécifiques des infrastructures locales. APAnews – Agence de Presse Africaine Servir davantage de clients : aujourd’hui déjà plus de 100 organisations utilisent les solutions de Nucleon. Le financement doit permettre d’augmenter cette base et d’offrir des services de cybersécurité plus robustes, évolutifs et adaptés aux réalités africaines. APAnews – Agence de Presse Africaine Contexte : un besoin criant de sécurité numérique Les cyberattaques en Afrique connaissent une croissance rapide, dans les secteurs public, privé et infrastructures critiques. Le coût global de la cybercriminalité à l’échelle mondiale pourrait atteindre 10,5 billions de dollars d’ici la fin de 2025 selon Cybersecurity Ventures. Cela montre l’ampleur des enjeux que les entreprises comme Nucleon cherchent à adresser. APAnews – Agence de Presse Africaine Le soutien du groupe Axian, acteur régional, souligne une tendance importante : les investisseurs africains s’impliquent de plus en plus dans les technologies de sécurité locale, reconnaissant à la fois la vulnérabilité des systèmes existants et le potentiel de marché. APAnews – Agence de Presse Africaine Pourquoi c’est significatif Indépendance technologique & souveraineté numériqueLe renforcement de capacités locales est essentiel pour réduire la dépendance aux fournisseurs étrangers et pour mieux répondre aux besoins spécifiques d’Afrique (réglementations, langues, infrastructures, contextes de connectivité). Réactivité face à des menaces spécifiquesLes solutions Zero Trust et IA proactive permettent de détecter, réagir et neutraliser des attaques avant qu’elles ne causent des dommages majeurs. Effet démultiplicateurEn se développant dans plusieurs pays, Nucleon peut favoriser le partage de bonnes pratiques, la mutualisation de ressources (formations, pools de talents, normes de sécurité), ce qui profite à l’ensemble de l’écosystème. Recommandations & pistes d’actions Pour les organisations, autorités et investisseurs intéressés par cette dynamique, voici quelques idées à considérer : Renforcer les politiques publiques : encourager les gouvernements à adopter des cadres réglementaires (cyberlois, normes, exigences de conformité) qui favorisent les acteurs locaux. Investir dans la formation : préparer une main-d’œuvre qualifiée en cybersécurité (analystes SOC, ingénieurs de red team, etc.), afin que la croissance technologique soit soutenable. Promouvoir la recherche locale : soutenir les partenariats entre entreprises, universités et laboratoires pour développer des solutions adaptées aux réalités africaines. Adopter une approche “cyber-résilience” : ne pas seulement se protéger contre les attaques, mais préparer la détection, la réponse et la récupération. Conclusion Cette levée de fonds de 3 millions d’euros par Nucleon Security représente plus qu’un simple investissement : c’est un signal fort. Cela montre que la cybersécurité africaine évolue, que l’on prend conscience de ses enjeux, et que des acteurs locaux montent en puissance. En soutenant des technologies comme le Zero Trust et l’IA proactive, Nucleon se positionne pour offrir des défenses adaptées, réactives, et étendues dans toute l’Afrique, et pour participer à la construction d’un écosystème numérique plus sûr et plus souverain.

Juillet 2025 – Une nouvelle campagne de cyberattaque sophistiquée a été mise au jour par les chercheurs en cybersécurité de Sekoia et Trend Micro. Cette opération, en apparence discrète, exploite des sites web compromis pour rediriger les internautes vers des serveurs malveillants, à travers une chaîne complexe de redirections multi-niveaux. Plutôt que de se reposer sur une attaque directe, les cybercriminels misent ici sur une approche furtive et conditionnelle, ciblant uniquement les utilisateurs qui répondent à certains critères, afin d’éviter la détection par les systèmes de sécurité et les chercheurs. Une architecture d’infection en plusieurs couches La particularité de cette campagne réside dans sa structure en couches, qui permet de masquer le but final jusqu’au dernier moment. Le schéma d’attaque suit généralement les étapes suivantes : Infection initiale via site compromisL’utilisateur visite un site web légitime, souvent basé sur WordPress, qui a été compromis par les attaquants. Redirections multiples via des scripts obfusquésLe site initial déclenche une série de redirections via du JavaScript obscurci, souvent vers plusieurs domaines relais contrôlés par les attaquants. Filtrage comportemental et environnementalAvant de livrer la charge utile, le système analyse le profil de la victime (géolocalisation, système d’exploitation, signatures de sandbox, outils d’analyse, etc.). Déclenchement conditionnel du malwareSi l’environnement est jugé « légitime » (non-analytique, non-automatisé), l’utilisateur est redirigé vers une page contenant soit un malware, soit du phishing. Une exploitation massive des sites WordPress vulnérables Les attaquants ont ciblé en priorité des sites WordPress mal sécurisés. Ces derniers sont utilisés comme : Relais de redirection : des scripts injectés dans les pages redirigent l’utilisateur vers un second domaine contrôlé par les attaquants. Stockage de scripts malveillants : certains sites servent directement des charges utiles déguisées (ex. : fichiers JS, ZIP, EXE, extensions de navigateur). Serveurs de commandes temporaires : les domaines changent régulièrement pour échapper aux listes de blocage. Les chercheurs notent que le nombre de sites compromis est élevé, avec une infrastructure en constante évolution pour maintenir la pérennité de l’attaque. Un ciblage intelligent basé sur des critères contextuels L’un des éléments les plus pernicieux de cette campagne est sa capacité à filtrer les cibles avant de livrer son contenu malveillant. Parmi les critères utilisés : Adresse IP et localisation géographiquePour éviter certains pays ou services de renseignement. Empreintes de navigateur et système d’exploitationPour adapter la charge utile au système ciblé (Windows, macOS, Android, etc.). Présence d’outils de surveillance ou de sandboxPour éviter d’être analysé dans un environnement virtuel. Historique de navigation ou cookiesPour déterminer si la cible est un utilisateur légitime ou un chercheur en sécurité. Ce filtrage rend la détection extrêmement difficile, car la charge malveillante n’apparaît que dans des conditions très spécifiques. Objectifs finaux : phishing, malwares, vols de données Selon les analyses, les redirections aboutissent principalement à deux types de contenus : Pages de phishing personnaliséesDéguisées en fausses pages de connexion (Google, Microsoft, Apple, etc.) ou en portails bancaires. Téléchargements malveillants Faux installeurs d’outils populaires (ex. : VLC, Adobe, Zoom) Extensions de navigateur corrompues Fichiers ZIP ou EXE contenant des chevaux de Troie (trojans), stealers ou ransomware Dans certains cas, les chercheurs ont également observé des malwares de type infostealer, conçus pour siphonner les informations d’identification et les données bancaires, ou encore des loaders servant à installer d’autres malwares à distance. Évasion active et renouvellement constant des domaines Les cybercriminels derrière cette opération démontrent une stratégie d’évasion avancée : Changement fréquent des noms de domaine utilisés dans les redirections Utilisation de services de CDN et d’obfuscation de DNS Hébergement des scripts sur des services cloud temporaires Injection dynamique de scripts via des plugins vulnérables Ces techniques permettent de prolonger la durée de vie de la campagne et de rendre son démantèlement plus complexe pour les équipes de réponse à incident. Recommandations pour les entreprises et les webmasters Face à cette menace, les experts recommandent une vigilance accrue, notamment sur les plateformes web exposées. Voici quelques bonnes pratiques : Mettre à jour régulièrement WordPress et ses extensions Surveiller les modifications de fichiers système ou de thèmes Mettre en place une détection comportementale côté serveur Utiliser des solutions EDR/NGAV dotées d’analyse heuristique Bloquer les redirections suspectes au niveau du proxy ou DNS Mettre en quarantaine automatiquement les URL issues de sites compromis connus Conclusion : une campagne symptomatique de l’évolution des menaces web Cette campagne de redirections multi-niveaux marque une nouvelle étape dans la sophistication des attaques par le web. En combinant des techniques de compromission de sites légitimes, de filtrage conditionnel et de diffusion ciblée de malware, les cybercriminels parviennent à contourner les barrières classiques de sécurité. Elle met en lumière plusieurs enjeux : La nécessité de renforcer la sécurité des CMS open source largement utilisés Le besoin d’une détection basée sur le comportement, et non uniquement sur des signatures L’importance de surveiller en permanence les flux web, même lorsqu’ils semblent provenir de domaines « sûrs » Enfin, cette attaque illustre le fait que la confiance dans les sites légitimes ne suffit plus. Dans un contexte de menaces évolutives, la sécurité web doit être abordée de manière globale, dynamique et proactive.

Une vulnérabilité majeure a été identifiée dans la pile logicielle eSIM (eUICC) développée par Kigen, un fournisseur basé en Irlande dont la technologie équipe plus de 2 milliards de dispositifs IoT à travers le monde. Cette faille permet à un attaquant ayant un accès physique à un appareil de compromettre l’eUICC, d’en extraire les certificats cryptographiques sensibles et d’accéder frauduleusement à des profils opérateurs mobiles. La vulnérabilité, révélée par la société de cybersécurité Security Explorations, remet en question les fondations de la chaîne de confiance sur laquelle repose l’écosystème eSIM. Détails techniques Le problème provient d’un composant standardisé : le Generic Test Profile défini par la spécification TS.48 de la GSMA, utilisé pour les tests radio lors de la certification des appareils. Les versions de cette spécification antérieures à la v7.0 présentent une faiblesse importante : elles permettent le chargement d’applets JavaCard non authentifiées, à l’aide de clés connues et non sécurisées. Une fois qu’un attaquant a installé une applet malveillante, il est en mesure de déverrouiller le contenu sécurisé de la carte eUICC, y compris les clés privées et les certificats d’identité. Ces éléments permettent ensuite de télécharger ou modifier des profils eSIM légitimes à distance, tout en contournant les restrictions imposées par les opérateurs. Chaîne d’exploitation Le scénario d’attaque comprend plusieurs étapes critiques : Accès physique à l’appareil ciblé : condition préalable pour toute exploitation. Activation du profil de test générique (GTP) : souvent laissé activé pendant les phases de fabrication ou de certification. Utilisation de clés par défaut pour installer un applet malveillant. Extraction des identifiants (certificats et clés) de la carte eSIM. Utilisation frauduleuse de profils eSIM : téléchargement, modification ou clonage des profils opérateurs. Conséquences potentielles Les impacts de cette vulnérabilité sont graves, en particulier dans les cas d’attaques ciblées ou d’espionnage à grande échelle : Vol d’identité numérique des appareils. Manipulation des communications mobiles en modifiant les profils opérateurs. Surveillance des utilisateurs via des canaux eSIM compromis. Propagation à grande échelle, car les profils compromis peuvent être réutilisés pour attaquer d’autres dispositifs. Références aux vulnérabilités passées Cette faille s’inscrit dans la continuité de découvertes similaires effectuées en 2019, lorsque des vulnérabilités JavaCard avaient été révélées par la même société de recherche, affectant notamment les cartes SIM de marques comme Gemalto. Mesures correctives Face à cette menace, plusieurs actions ont été engagées : La GSMA a publié une nouvelle version TS.48 (v7.0), corrigeant les failles identifiées. Kigen a diffusé un bulletin de sécurité et recommande vivement à ses clients de mettre à jour leur firmware. Les versions antérieures de la spécification TS.48 sont désormais obsolètes et ne doivent plus être utilisées dans les processus de test. Conclusion Cette vulnérabilité met en lumière une faiblesse structurelle dans l’écosystème eSIM, notamment dans les processus de certification et de test. Elle démontre que, sans un contrôle rigoureux de l’accès aux profils de test et une gestion stricte des clés, la sécurité de l’ensemble de la chaîne mobile peut être compromise. Les entreprises, fabricants d’appareils et opérateurs doivent agir rapidement en appliquant les mises à jour nécessaires et en adoptant les dernières recommandations de la GSMA et de Kigen

Des chercheurs de Koi Security ont découvert une campagne de grande ampleur dans le Firefox Add‑ons Store : plus de 40 extensions usurpant des portefeuilles connus (MetaMask, Coinbase, Trust Wallet, Phantom, Exodus, OKX…) ont été repérées. Actives depuis au moins avril 2025, certaines ont été mises en ligne aussi récemment que la semaine dernière arstechnica.com+12thehackernews.com+12bleepingcomputer.com+12.  Méthodes d’usurpation et collecte de données Les extensions se présentent sous les noms et logos officiels de portefeuilles populaires pour masquer leur nature malveillante thehackernews.com. La majorité sont des clones de solutions open-source : le code légitime est reproduit, puis une logique malveillante est insérée pour extraire les clés privées et phrases mnémoniques, et les transmettre à un serveur distant bleepingcomputer.com. Certains scripts interceptent les champs de saisie dès que l’utilisateur entre plus de 30 caractères—typiquement la longueur d’une vraie clé ou phrase de récupération . Les extensions affichent de faux avis 5 étoiles en grand nombre pour tromper l’utilisateur quant à leur popularité thehackernews.com. Profil de l’attaquant Les analyses du code source et des métadonnées révèlent des indices d’un groupe parlant russe .  Réponse de Mozilla La quasi-totalité de ces extensions (sauf MyMonero Wallet) ont été retirées du store cryptonews.com+2thehackernews.com+2bleepingcomputer.com+2. Mozilla a également indiqué avoir mis en place un système de détection précoce pour bloquer les extensions de portefeuille crypto malicieuses dès qu’elles sont identifiées thehackernews.com.  Recommandations pour les utilisateurs N’installez que depuis des auteurs vérifiés, et évitez les versions VSIX ou sources non officielles. Vérifiez les statistiques de téléchargement et les avis : un écart anormal entre nombre d’installations et reviews est suspect. Si vous avez déjà installé une extension de portefeuille, supprimez-la immédiatement et surveillez vos comptes pour toute activité inhabituelle. Privilégiez les solutions open source et transparentes, comme uBlock Origin, pour limiter les risques d’expositions en.wikipedia.org.  Contexte général Cette vague malveillante s’inscrit dans une montée en puissance des menaces sur les extensions navigateur. Firefox, avec ses API souples, facilite l’injection de comportements malveillants, comme le démontre une étude récente signalant qu’un tiers des extensions malveillantes détectées sur Chrome étaient encore actives malgré les contrôles réguliers . À retenir Impact : des crypto-actifs volés directement via le navigateur, irréversibles et invisibles à l’utilisateur. Souplesse exploitée : les API Firefox permettent cette manipulation, car elles sont plus permissives que celles de Chrome . Nécessité : vigilance accrue lors de l’ajout d’extensions, contrôles réguliers, et utilisation de sources fiables.

Dans le domaine de la cybersécurité offensive, l’innovation est constante, mais certaines avancées marquent un véritable tournant. C’est le cas de Kali GPT, un assistant intelligent basé sur l’architecture GPT‑4, conçu spécifiquement pour s’intégrer à l’environnement Kali Linux. Cette nouvelle génération d’outil IA transforme profondément la manière dont les professionnels et les étudiants abordent les tests d’intrusion. Un copilote IA pour les experts en cybersécurité Développé pour accompagner les spécialistes de la sécurité offensive, Kali GPT agit comme un copilote intelligent capable de comprendre les requêtes, de générer automatiquement des payloads, d’expliquer des outils complexes comme Metasploit, Nmap ou Burp Suite, et de proposer des scénarios d’exploitation adaptés – le tout directement depuis le terminal Linux. Pour les professionnels chevronnés, cet outil permet de réduire drastiquement le temps de recherche et d’accroître la productivité lors des audits de sécurité. Il automatise certaines tâches chronophages et fournit des réponses contextuelles précises, accélérant les analyses et les prises de décision. « Dans un paysage numérique en perpétuelle mutation, la cybersécurité n’est pas seulement une nécessité, c’est un art où la maîtrise fait toute la différence. Kali GPT agit comme la baguette magique du maestro », souligne un expert du secteur. Un mentor numérique pour les débutants Kali GPT ne se contente pas d’assister les experts : il agit également comme un mentor numérique pour les apprenants en cybersécurité. Grâce à ses capacités pédagogiques, il rend accessibles des concepts techniques souvent complexes, facilitant l’apprentissage de méthodologies comme l’exploitation de failles, la reconnaissance réseau ou la rédaction de rapports de vulnérabilités. Les établissements d’enseignement supérieur intègrent déjà Kali GPT dans leurs programmes de formation, où il fournit des exemples interactifs et des démonstrations en temps réel, renforçant considérablement l’engagement des étudiants. Un levier d’automatisation pour les entreprises Dans un cadre professionnel, Kali GPT s’impose comme un outil d’automatisation stratégique. Il permet de lancer des scans de sécurité réguliers, de détecter automatiquement les vulnérabilités réseau, et d’optimiser les processus de contrôle technique. Cette automatisation permet de libérer du temps pour des analyses approfondies, tout en réduisant les ressources nécessaires aux évaluations de sécurité. Une IA adaptative et personnalisée L’une des forces majeures de Kali GPT réside dans son adaptabilité au niveau d’expertise de l’utilisateur. Débutant ou professionnel confirmé, l’outil ajuste ses réponses : de simples explications didactiques à des guides techniques pointus, Kali GPT propose une assistance personnalisée et contextuelle. Ses capacités d’apprentissage en temps réel assurent des réponses instantanées aux commandes et scénarios soumis. Ce retour rapide facilite le dépannage, l’analyse, et l’expérimentation, accélérant les cycles d’apprentissage et d’exécution. Vers une cybersécurité plus accessible Kali GPT participe activement à la démocratisation de la cybersécurité. En rendant les techniques de hacking éthique plus accessibles, il ouvre la voie à une nouvelle génération de talents dans un secteur en tension, où la pénurie de compétences reste un défi mondial. Les limites : l’IA ne remplace pas l’humain Malgré ses nombreux avantages, les concepteurs de Kali GPT insistent sur un point crucial : l’intelligence artificielle ne remplace pas l’expertise humaine. Le contenu généré par l’assistant doit être validé manuellement, car il peut produire à l’occasion des faux positifs ou des scripts peu optimisés. L’outil est un accélérateur de compétences, mais non un substitut aux connaissances fondamentales en systèmes, réseaux et sécurité offensive. En conclusion Kali GPT s’impose comme une avancée majeure dans l’écosystème des outils de cybersécurité offensive. À la fois assistant, formateur et automate, il redéfinit le quotidien des pentesters, facilite l’apprentissage, et optimise les ressources dans les environnements professionnels. Une innovation à suivre de près — mais à utiliser avec discernement.