L’été a été noir sur le front de la cybersécurité. Au programme : des attaques de grande ampleur, une nouvelle technique de piratage via de faux captchas, et l’émergence d’un ransomware boosté à l’intelligence artificielle.
Benoît Grünemwald, expert cybersécurité chez Eset
L'été 2025 a-t-il été marqué par une intensification des cyberattaques ?
Oui, on peut parler d’un été noir. On a assisté à une recrudescence importante des fuites de données, souvent suite à des cyberattaques ciblant aussi bien les grandes entreprises que les PME. Si les grands groupes comme Air France-KLM, Bouygues Télécom, ou encore Orange ont fait la une, il ne faut pas oublier que de nombreuses PME ont également été touchées, ce que nous avions déjà observé dans notre rapport du premier semestre 2025. Cela montre que les cybercriminels déplacent leurs attaques vers des cibles perçues comme moins protégées.
Que sait-on des méthodes utilisées dans ces cyberattaques ?
Dans plusieurs cas, les attaquants ont exploité des identifiants volés, comme chez France Travail, où un compte compromis a permis l’intrusion dans le système. Ces identifiants sont souvent récupérés via des logiciels malveillants appelés infostealers, qui s’introduisent discrètement dans les machines et volent logins et mots de passe stockés dans les navigateurs. Ils sont généralement installés par le biais de campagnes de phishing ou via des sites frauduleux, dont une nouvelle technique particulièrement inquiétante : les CAPTCHA truqués.
CAPTCHA truqué : comment ça fonctionne ?
Les cybercriminels ont réussi à détourner ce mécanisme pourtant banal. Au lieu du classique « trouvez les vélos sur l’image », l’utilisateur est incité à suivre une procédure soi-disant normale : cliquer sur un bouton, ouvrir une commande Windows, coller une ligne de commande… qui va en réalité télécharger un logiciel malveillant. C’est redoutablement efficace, car on ne se méfie pas d’un CAPTCHA. On joue sur les biais cognitifs et sur la méconnaissance technique de certains utilisateurs. Résultat : une explosion des détections d’infostealers, en hausse de plus de 500 % au premier semestre 2025.
L’intelligence artificielle est-elle utilisée dans ces attaques ?
Oui, et c’est une nouvelle étape. Nous avons découvert un rançongiciel appelé PromptLock, qui utilise l’intelligence artificielle en temps réel. Au lieu d’être programmé de manière figée, ce logiciel malveillant génère à la volée des scripts personnalisés selon les fichiers trouvés sur la machine infectée. Il peut décider de ne rien faire si la cible n’a pas d’intérêt ou, au contraire, exfiltrer des documents sensibles avant de déclencher un chiffrement. Cette autonomie rend les attaques plus ciblées, plus efficaces… et donc plus redoutables.
Benoit GRUNEMWALD:
[0:01] On ne se doute pas qu'un CAPTCHA puisse être malveillant. Eh bien, ils ont détourné le CAPTCHA et pour nous faire des opérations malveillantes, notamment faire nous-mêmes installer des logiciels malveillants, dont des infostyleurs sur nos machines.
Monde Numérique :
[0:23] Bonjour, Benoît Grunemwald.
Benoit GRUNEMWALD:
[0:25] Bonjour, Jérôme Colombain.
Monde Numérique :
[0:26] Expert cybersécurité chez ESET. On se retrouve en partenariat entre ESET et Monde Numérique pour faire un point sur l'actualité de la cybercriminalité. Cet été, encore toute une série de cyberattaques, de fuites de données. Il y a une liste à la prévère d'entreprises qui ont été victimes de cyberattaques.
Benoit GRUNEMWALD:
[0:48] Et oui, malheureusement, on voit que l'été a été noir en ce qui concerne les fuites de données. Et ces cyberattaques ont mené à ces fameuses fuites de données. Alors bien entendu, la presse se fait écho des attaques sur les grands groupes, mais il y a fort à parier qu'il y a un certain nombre de petites et moyennes
Benoit GRUNEMWALD:
[1:05] entreprises qui, elles aussi, étaient victimes. Et ça, on l'avait notamment noté au premier semestre 2025 dans notre rapport, où on voyait qu'il y avait un déplacement des cyberattaques, notamment des groupes de rançongiciels, sur les petites et moyennes entreprises. Alors, on peut supposer, malgré l'actualité, que les grandes entreprises ont quand même fait le nécessaire pour augmenter leur niveau de protection en cybersécurité.
Monde Numérique :
[1:31] Alors, on peut les citer, France Travail, Air France KLM, Bouygues Télécom, Orange, Orange France et Orange Belgique en l'occurrence. Déjà, il y a visiblement un focus sur les opérateurs, ça a été chaud pour les opérateurs télécoms, il y avait eu SFR avant. Mais sur toutes ces attaques, est-ce qu'on en sait un peu plus aujourd'hui ? Est-ce qu'on a un peu plus de recul ? Est-ce qu'on sait comment ça s'est passé ?
Benoit GRUNEMWALD:
[1:53] Alors, quand les attaques sont récentes comme celle-ci pendant l'été, ce que l'on sait, c'est ce qui a fuité. On ne sait généralement pas comment les cybercriminels se sont introduits dans les systèmes d'information. Et on ne sait pas malheureusement s'ils sont encore dans les systèmes d'information et où si les données sont utilisées par les cybercriminels. Ce qui est sûr, c'est que pour certaines de ces fuites, on a repéré des données dans le Dark Web, sur des forums qui sont des lieux d'échange de ces données, soit gratuitement, soit par achat. Et ces données vont servir d'ores et déjà pour certaines à des campagnes d'hameçonnage qui sont soit par SMS, soit par email, soit même par appel téléphonique qui généralement suit quand on se fait avoir par un SMS.
Monde Numérique :
[2:46] Donc ça, c'est ce qui risque de nous arriver si notre nom figure dans l'un de ces fichiers. On rappelle qu'il n'y a pas de coordonnées bancaires, par exemple. Enfin, en tout cas, pas de coordonnées bancaires en clair, je crois.
Benoit GRUNEMWALD:
[2:57] Alors, il y a des IBAN, notamment chez vous.
Monde Numérique :
[3:00] Oui, c'est vrai, absolument. Et ça, ça avait fait beaucoup de bruit parce que les IBAN, c'est quand même un peu sensible. C'est l'identifiant de compte bancaire.
Benoit GRUNEMWALD:
[3:07] Oui, alors selon les experts en monétique, Ça peut être à la fois soit facile, soit difficile d'exploiter ces IBAN. Et moi, ça me rappelle surtout un procès qui a eu lieu au début juin ou mi-juin, notamment à Lyon, pour une fuite de données qui avait été orchestrée chez ADECO. Et là, il y avait un certain nombre de prévenus qui avaient été arrêtés, des prévenus français, et qui avaient réussi à exfiltrer des informations et à réaliser des prélèvements juste en dessous de 50 euros pour passer en dessous, j'imagine, de la limite qui fait que la sonnette d'alarme se tire. 70 000 victimes ont été prélevées, plusieurs millions de préjudices, de bénéfices, si je puis dire, pour les cybercriminels, et de préjudices. 5 000 parties civiles au procès, enfin un procès hors norme, et on attend les délibérés pour savoir comment vont être condamnés ces suspects.
Monde Numérique :
[4:04] Donc, ce qu'il faut rappeler aux gens, c'est qu'il faut jeter un coup d'œil sur son compte bancaire, voir s'il n'y a pas des prélèvements un peu étranges et puis alerter sa banque s'il y a un problème. Je reviens sur l'aspect un peu plus technique, Benoît. Est-ce qu'on sait parmi toutes ces cyberattaques un petit peu comment ça s'est passé ?
Benoit GRUNEMWALD:
[4:20] Oui, il y a des fois où dans la cyberattaque, l'origine, c'est la fuite d'informations, notamment un login, un mot de passe. C'est le cas pour France Travail, où le compte en question a été identifié. C'est d'ailleurs son activité suspecte. qui a levé les alertes. Et on sait aussi que ce compte a été compromis. Donc, ce n'est pas la personne qui travaille avec ce compte qui a mené cette opération.
Monde Numérique :
[4:47] Donc, le compte d'un employé de France Travail.
Benoit GRUNEMWALD:
[4:49] Exactement.
Monde Numérique :
[4:50] Qui a été utilisé pour rentrer dans le système.
Benoit GRUNEMWALD:
[4:51] Tout à fait, qui a été compromis parce qu'il y a un logiciel malveillant spécifique qu'on appelle logiciel voleur d'informations. En anglais, un infostyler. Et ce logiciel a un seul objectif, c'est être le plus furtif possible, rentrer sur un maximum de machines et aller chercher notamment dans les navigateurs les mots de passe, logins, mots de passe qui sont enregistrés, mais pas que.
Monde Numérique :
[5:13] D'accord, mais comment il est rentré cet infostealer ?
Benoit GRUNEMWALD:
[5:15] Alors généralement l'infostealer il rentre par de l'hameçonnage, il rentre par des sites web frauduleux qui sont des sites web pirates où on va venir réaliser des manipulations, voire même sur une nouvelle technique ou en tout cas une technique qui se répand de plus en plus. Au premier semestre 2024 on l'a vu exploser à plus de 500% par rapport au premier semestre 2025, par rapport au dernier semestre 2024, plus de 500% d'explosion. Et c'est ce qu'on appelle clic fixe. Ce sont des arnaques qui remplacent des captchas qui vous font croire que vous allez effectuer un captcha et qui en fait...
Monde Numérique :
[5:51] Donc le captcha, c'est le petit système d'authentification où il faut reconnaître les photos.
Benoit GRUNEMWALD:
[5:55] Etc. Oui, c'est ça.
Monde Numérique :
[5:56] Où est-ce qu'il y a un vélo, où est-ce qu'il y a un chat, etc.
Benoit GRUNEMWALD:
[5:58] Exactement. Et qui n'en a jamais rempli, qui n'a jamais déplacé la fameuse pièce de puzzle pour la faire rentrer au bon endroit, chercher les vélos sur une photo découpée en plusieurs. Et ce qu'ont fait les cybercriminels, en clair à le faire. On ne se doute pas qu'un CAPTCHA puisse être malveillant. Ils ont détourné le CAPTCHA pour nous faire des opérations malveillantes, notamment faire nous-mêmes installer des logiciels malveillants, dont des infostyleurs sur nos machines.
Monde Numérique :
[6:29] Ça veut dire que je réponds à la question posée, je fais le petit truc, la petite énigme du CAPTCHA et en fait, je suis en train moi-même de mettre un logiciel malveillant sur mon ordinateur.
Benoit GRUNEMWALD:
[6:41] Exactement. Et vraiment, ça se représente comme un captcha traditionnel. Et la première étape qu'on va vous demander, c'est de cliquer sur un bouton. Et en fait, ce bouton va faire un copier dans votre presse-papier. Et une fois que vous avez fait le copier, ils vont vous dire, très bien, voici la prochaine étape. Vous appuyez sur Windows Air. Là, ça ouvre une invite de commande. Et dans cette invite de commande, on va vous dire, vous faites tout simplement CTRL V. Et là, ça va coller cette fameuse ligne de commande qui, en fait, va télécharger un logiciel malveillant. Alors, soit directement, soit avec plusieurs étapes, mais le fait est que ça va être automatique et préparé par les cybercriminels, et là, vous vous retrouvez avec un logiciel malveillant sur votre ordinateur, dont certains sont, en grande partie d'ailleurs, sont des logiciels infostyleurs, donc ces fameux voleurs de données.
Monde Numérique :
[7:26] Oui, mais Benoît, c'est vrai, ça peut nous arriver à tous, ce genre de choses, mais quand même, accepter le fait d'ouvrir une fenêtre pour taper une ligne de commande, on est déjà dans un process assez élaboré. Est-ce qu'il n'y a pas une petite lumière, normalement, qui doit s'allumer pour dire, attention, qu'est-ce que je suis en train de faire ?
Benoit GRUNEMWALD:
[7:48] Chaque personne qui a un minimum de connaissances en informatique, il y a de fortes chances qu'elle ne se fasse pas avoir. On est bien d'accord. Par contre, je pense à ma belle-mère.
Monde Numérique :
[7:59] J'imagine qu'elle serait capable… On a tous des proches comme ça qui sont plus vulnérables.
Benoit GRUNEMWALD:
[8:04] Qui sont vraiment des utilisateurs lambda. Et surtout, on va jouer sur un biais cognitif. Le biais cognitif, c'est qu'on a l'habitude de remplir des CAPTCHA. Et on a aussi l'habitude, peut-être inconsciemment, que les CAPTCHA sont différents et évoluent. Alors, nous, on sait que c'est parce que l'intelligence artificielle arrive à passer les différents CAPTCHA, donc il faut qu'ils soient à la fois de plus en plus difficiles à passer et en même temps différents. Et bien, moi, si je vois un CAPTCHA qui me dit, tiens, on a changé de méthode maintenant, ce n'est plus reconnaître un avion sur une photo, mais rentrer une ligne de commande. Alors, moi, je sais que c'est une ligne de commande, mais un utilisateur lambda va savoir ce qu'est vraiment une ligne de commande. Le fait est, en tout cas, que ça fonctionne. On a vu, premier semestre 2025, une croissance de 500% des détections dans notre télémétrie, c'est-à-dire ce qui remonte des utilisateurs que l'on protège. Et surtout, on voit que ça fonctionne, parce que derrière, il y a ces fameux logiciels qui sont installés.
Monde Numérique :
[9:01] Est-ce que c'est particulièrement sur Windows que ça se passe ? Et j'allais dire moins sur Mac OS, sur iPad OS aussi, il y a beaucoup de gens qui, je pense notamment à des personnes âgées, qui aiment bien l'iPad. Finalement, c'est une espèce de petit ordinateur facile à dégainer, comme ça.
Benoit GRUNEMWALD:
[9:18] Sur iPad, la réponse, c'est plus compliqué, parce que le système est plus proche d'un système d'exploitation d'un smartphone.
Monde Numérique :
[9:24] IPad ou autre tablette sous Android, etc.
Benoit GRUNEMWALD:
[9:26] Mais par contre, sur Windows et Mac, c'est évident qu'ils sont particulièrement ciblés. Et dans les campagnes que l'on a vues, notamment au premier semestre 2025, on a vu un certain nombre de campagnes qui visaient la récupération des logins et des mots de passe et autres secrets dans Chrome, dans Metamask, qui est un portefeuille de crypto-monnaie, mais également grâce à l'adjonction d'un nouveau programme malveillant dans le Keychain de macOS. Donc, les Macs ne sont pas à l'abri et il y a même, effectivement, des, groupes d'attaquants qui se spécialisent pour aller chercher dans le Keychain et dans le Keychain, c'est d'ailleurs très problématique parce que c'est à la fois un super gestionnaire de mots de passe, très bien intégré, très facile à utiliser, mais c'est également un gestionnaire de secret et le secret c'est quelque chose qui est au sens large notamment si vous avez une authentification sans mot de passe, Donc, l'avenir, j'ai envie de dire, du login, de la sécurité, eh bien, ces informations vont être stockées en partie dans le kitchen.
Monde Numérique :
[10:29] Ce que vous appelez le kitchen, c'est ce qu'on appelle le trousseau.
Benoit GRUNEMWALD:
[10:32] Exactement, en français, c'est le trousseau sur macOS.
Monde Numérique :
[10:36] Voilà, donc on comprend comment ça peut rentrer. Alors, cela dit, ces captchas truqués, on ne les trouve pas n'importe où, j'imagine.
Benoit GRUNEMWALD:
[10:42] Alors, on les trouve. Ils sont distribués par message, donc par e-mail. Ils sont également à part email exactement ils arrivent par email et donc soit vous avez un lien et puis vous cliquez dessus soit vous avez directement une page HTML qui est intégrée dans l'email et donc vous avez ce fameux captcha vous pouvez mais.
Monde Numérique :
[10:59] C'est pour aller quelque part c'est pour aller consulter un site.
Benoit GRUNEMWALD:
[11:01] En particulier alors il y a toujours de l'ingénierie sociale il y a toujours, je dirais une sorte de pied dans la porte un élément qui va vous faire aller cliquer là-dessus qui va vous montrer, qui va faire que vous allez avoir de l'intérêt l'envie d'aller cliquer et puis ensuite vous avez aussi des sites qui ont été compromis, donc parfois des sites légitimes qui ont été compromis et sur lesquels on va rajouter ce fameux CAPTCHA malveillant. Et puis, vous avez des sites qui sont totalement fake et malveillants, qui, eux, peuvent être, par exemple, de la fausse livraison de colis dans laquelle on va, en plus, ajouter ce fameux CAPTCHA.
Monde Numérique :
[11:35] Oui, qui peuvent arriver via un lien, par SMS, etc.
Benoit GRUNEMWALD:
[11:39] Par différentes méthodes, tout à fait.
Monde Numérique :
[11:40] Tout est lié. Bon, donc, on voit qu'on n'est pas à l'abri. Ça, c'était pour nous expliquer comment l'info-styler a pu rentrer sur le poste d'un employé de France Travail pour les autres piratages on n'a pas d'explication à ce jour non.
Benoit GRUNEMWALD:
[11:55] Il y a parfois des partages d'informations de manière fortuite ou pas. On l'a vu avec ADECO, c'est un jeune employé qui a partagé ses identifiants avec les cybercriminels.
Monde Numérique :
[12:05] On sait que souvent, ça passe par des sous-traitants aussi, qui sont moins affûtés sur les questions de cybersécurité.
Benoit GRUNEMWALD:
[12:12] Oui, complètement. Et dans ce cas-là, c'est entre guillemets souvent un mal pour un bien parce que le sous-traitant a accès à moins d'informations que forcément la société elle-même, notamment quand on délègue ses cartes de fidélité, quand on délègue une partie de son CRM, donc ce logiciel qui gère la relation client. Et donc, forcément, généralement, le sous-traitant a moins d'informations et c'est plutôt des données d'État civil qui fuitent.
Monde Numérique :
[12:39] D'accord, donc du coup, c'est effectivement le préjudice a priori est moindre.
Monde Numérique :
[12:44] Benoît, encore un mot sur une nouvelle race, un nouveau type de menace que vous avez également découvert récemment. c'est un système qui se nourrit de l'intelligence artificielle. Ça s'appelle PromptLock. Qu'est-ce que c'est ?
Benoit GRUNEMWALD:
[12:57] C'est le premier rançon logiciel que l'on a découvert qui utilise en temps réel l'intelligence artificielle pour pouvoir à la fois analyser, rechercher et exfiltrer et bien sûr chiffrer des fichiers qui sont sur nos ordinateurs. Et pour ce faire, il n'est pas codé en dur comme un logiciel normal, mais il va utiliser des promptes qui vont requêter via une API, donc une relation machine à machine, une intelligence artificielle qui est dans le cloud, hébergée par le cybercriminel. Et donc, en fonction de la machine et de ce qu'il va trouver, il va écrire des petits scripts qui seront générés par l'intelligence artificielle vraiment en temps réel et en fonction de ce qu'il va trouver sur la machine.
Monde Numérique :
[13:41] Wow ! Donc, c'est du malware qui se crée, qui se génère automatiquement.
Benoit GRUNEMWALD:
[13:49] Exactement, et qui s'adapte surtout à ce qu'il va trouver, ce qui fait qu'en fonction de la machine, il pourrait d'ailleurs dire, tiens, je ne vais pas la chiffrer parce qu'elle n'a aucune importance et je vais passer à la cible suivante. Ou alors, le malware va dire, tiens, là, c'est vraiment des fichiers qui m'intéressent. Il y a beaucoup de docs, il y a beaucoup de fichiers Excel, il y a beaucoup de données bancaires et ou personnelles. Donc, je vais créer des petits scripts qui vont exfiltrer cela et le cybercriminel va pouvoir ensuite regarder si ça l'intéresse vraiment et venir ensuite passer à l'étape supérieure avec lui-même ses manipulations.
Monde Numérique :
[14:23] Et l'intérêt, c'est qu'il peut vraiment s'adapter à chaque situation, en fait ?
Benoit GRUNEMWALD:
[14:27] Oui, l'intérêt, c'est qu'il est quasiment autonome en fonction de ce qu'il va trouver sur la machine, ce qui va économiser énormément de temps au cybercriminel qui, lui, devrait se dire, est-ce que je suis sur une cible qui est intéressante ? Est-ce qu'il y a des données bancaires ? Est-ce qu'il y a des informations personnelles ? Et tout ça est réalisé par cette intelligence artificielle qui va adapter le logiciel malveillant en temps réel à ce qu'il va trouver et à ce qu'il va devoir faire.
Monde Numérique :
[14:50] Merci, Benoît Grunemwald, expert cybersécurité chez ESET.
Monde Numérique :
[14:55] Et donc, on le rappelle à tous ceux qui nous écoutent, faites attention à vos données. N'allez pas sur n'importe quel site web, ne cliquez pas à tort et à travers et puis protégez surtout vos données sur votre ordinateur, votre smartphone. Merci Benoît.
Benoit GRUNEMWALD:
[15:08] Merci Jérôme.
🎤 Interview - Créer des objets connectés grâce à l’IA (Thomas Serval, Baracoda)
Depuis vingt ans, Baracoda conçoit des objets connectés. Avec l’IA générative, l’entreprise franchit un cap décisif en automatisant la conception de produits physiques. Thomas Serval explique comment cette approche peut bouleverser l’innovation industrielle. Interview : Thomas Serval, cofondateur et dirigeant de BaracodaPunchlines - L’IA générative...
🎤 Interview - Twake.ai, l’alternative souveraine aux suites collaboratives américaines (Alexandre Zapolski, Linagora)
Au CES de Las Vegas, le français Alexandre Zapolski défend une vision européenne et souveraine du numérique. Avec Twake.ai, Linagora propose une suite collaborative open source, enrichie par l’IA, pensée pour garder les données des entreprises sous leur contrôle.
🎤 Interview – La longévité, nouvelle frontière de la tech (Arnaud Auger, Cathay Innovation)
La santé sort des cabinets médicaux pour s’installer dans nos objets du quotidien. Au CES, Arnaud Auger décrypte la montée en puissance des wearables, de l’IA et de la longévité comme nouvelle frontière technologique.
🎤 Interview – Body Scan 2, la balance qui anticipe les maladies chroniques (Caroline Lagarde, Withings)
Présentée au CES de Las Vegas, la nouvelle balance connectée de Withings veut transformer la simple pesée en véritable bilan de santé préventif. . Grâce à des capteurs avancés et à l’analyse de plus de 60 biomarqueurs, la balance ambitionne de détecter très tôt les premiers signaux faibles des maladies chroniques.
🎤 Interview - CES 2026 : de la voiture autonome à la brique Lego intelligente (Julien Villeret, EDF)
Voiture autonome, IA embarquée, Lego connectés… Julien Villeret, directeur de l’innovation d’EDF, revient sur les tendances du CES 2026. Une édition sans révolution mais riche en signaux faibles.
📆 L'HEBDO 10/01 - Récap CES 2026 : beaucoup de promesses, peu de révolutions
Le CES 2026 de Las Vegas s’achève sur une impression contrastée : moins de révolutions spectaculaires, mais toujours autant de questions de fond sur l’avenir de la tech. Téléviseurs géants, IA omniprésente, robots hésitants et voitures autonomes bien réelles : décryptage sans langue de bois.
⭐️ CES 26 - Jour #5 : Gadgets futuristes et innovations insolites
Cinquième jour au CES de Las Vegas. L’heure du bilan approche, mais avant de refermer cette édition 2026, place à une sélection de produits qui illustrent parfaitement l’ADN du salon : un mélange de technologies très sérieuses, de concepts futuristes… et d’idées parfois complètement décalées.
⭐️ CES 26 Jour #4 - La tech au service de la longévité
Au CES de Las Vegas, les startups restent au cœur de l’innovation. De la santé connectée aux robots humanoïdes, plongée dans l’effervescence de l’Eureka Park.
⭐️ CES 26 - Jour #3 : TV, robots, lunettes connectées... Au cœur du Convention Center de Las Vegas
Le CES 2026 est officiellement lancé à Las Vegas. Direction le Las Vegas Convention Center, le plus vaste hall du salon, récemment réaménagé, où se concentrent les géants de l’électronique grand public. Des stands monumentaux et une impression générale de continuité : l’innovation progresse, mais sans rupture spectaculaire.
⭐️ CES 26 : À bord de Zoox, le taxi autonome d’Amazon
Depuis les rues de Las Vegas, Jérôme Colombain et Bruno Guglielminetti embarquent dans un véhicule sans volant ni conducteur. Une immersion sonore et visuelle au cœur de l’une des expériences les plus marquantes du CES.