Play ransomware revendique Pearson Ford : l’IA industrialise le contournement des EDR

Pendant que le gang Play ajoute une nouvelle victime à son tableau de chasse, les chercheurs de Sophos et ESET documentent une mutation des outils d'évasion assistés par intelligence artificielle.

Rémi Pasquier
Rémi Pasquier (rédacteur IA)
10 minutes de lecture 18 vues
Play ransomware revendique Pearson Ford : l'IA industrialise le contournement des EDR
Play ransomware revendique Pearson Ford : l'IA industrialise le contournement des EDR Illustration Rémi Pasquier / info.fr

Le groupe Play a inscrit Pearson Ford sur sa liste de victimes. En parallèle, Sophos et ESET décrivent un écosystème où l'IA accélère la fabrication d'outils de contournement des EDR.

L'essentiel - les faits vérifiés
  • Le gang Play revendique Pearson Ford parmi ses victimes sur Ransomware.live le concessionnaire n'a pas réagi.
  • Sophos a observé un acteur malveillant produire près de 80 modules d'évasion EDR via Cursor et Claude Opus 4.5.
  • ESET analyse environ 90 outils actifs et confirme la standardisation du contournement EDR.
  • Le CERT-FR alerte sur la vulnérabilité CVE-2026-20127 activement exploitée dans Cisco Catalyst SD-WAN, correctif attendu le 27 février 2026.
  • 44% des incidents cyber du secteur automobile en 2025 sont attribués au ransomware selon Halcyon.
  • Cadre légal articles 323-2 et 323-3 du Code pénal (5 ans, 150 000 €), CFAA aux États-Unis, NIS2 pour la chaîne automobile européenne.

Une nouvelle entrée sur la vitrine du gang Play [1]. Pearson Ford figure désormais parmi les victimes revendiquées par le groupe de ransomware sur la plateforme Ransomware.live [2][3]. La page ne précise ni date d’attaque ni volume de données exfiltrées [4]. Contacté, le concessionnaire n’a pas répondu à nos sollicitations au moment de la publication, et aucune des sources consultées ne mentionne de déclaration officielle de Pearson Ford - ni confirmation, ni démenti, ni communication de crise. Le concessionnaire automobile s’ajoute à la cohorte des cibles du gang, dont le FBI estimait le nombre de victimes à environ 900 organisations depuis son émergence en 2022 jusqu’en mai 2025 [5][6], contre 300 lors de sa première année d’activité [7].

LES ENJEUX
Industrialisation des EDR Killers
ESET recense près de 90 outils actifs et 35 pilotes vulnérables partagés entre groupes. L'évasion est devenue un service standardisé.
L'IA réduit le cycle offensif
Cursor et Claude Opus 4.5 ont permis de produire près de 80 modules testant plus de 70 techniques d'évasion presque universellement efficaces contre les EDR.
Secteur automobile exposé
44% des incidents cyber du secteur en 2025 sont des ransomwares. Pearson Ford rejoint la cohorte, après Jaguar Land Rover et 15 000 concessionnaires nord-américains.
Faille Cisco activement exploitée
Le CERT-FR alerte sur CVE-2026-20127 dans Catalyst SD-WAN. Le correctif 20.9.8.2 n'arrive que le 27 février 2026, et plusieurs versions resteront sans patch.
Play, gang structuré et coopératif
Environ 900 victimes depuis 2022 selon le FBI, recompilation à chaque attaque, et collaboration documentée avec des acteurs affiliés à la Corée du Nord.

Le timing n’a rien d’anodin. Play figurait parmi les groupes de ransomware les plus actifs en 2024 selon le FBI [8][9]. L’agence américaine, la CISA [10] et l’agence australienne de cybersécurité [11] ont publié une mise à jour de leur avis conjoint de 2023 [12] détaillant les tactiques du groupe: recompilation du ransomware à chaque attaque pour échapper aux antivirus [13], contact des victimes par adresses @gmx.de ou @web.de, avec des menaces téléphoniques pour forcer le paiement [14].

Pearson Ford, symptôme d’un secteur sous pression

L’industrie automobile encaisse une vague qui ne faiblit pas. Selon le rapport Halcyon, les attaques par ransomware contre le secteur ont plus que doublé en 2025 [15][16], représentant 44% de l’ensemble des incidents cyber du secteur [17]. La société Upstream [18] arrive au même ordre de grandeur: près de la moitié des incidents de l’industrie sont attribuables au ransomware [19]. La courbe monte sans interruption depuis 2023 [20], avec une accélération de près de 50% en 2024 [21][22].

Les exemples récents donnent la mesure du choc industriel. Jaguar Land Rover a vu sa production mondiale arrêtée pendant plus de trois semaines [23][24] après une attaque par ransomware, pour un coût économique estimé à 1,9 milliard de livres au Royaume-Uni [25] et un impact sur 104 000 travailleurs de la chaîne d’approvisionnement [26]. Les volumes de gros du constructeur ont chuté de 43% sur la période [27]. BlackSuit [28] avait pour sa part paralysé environ 15 000 concessionnaires nord-américains [29] pendant deux semaines [30], pour des pertes collectives évaluées à un milliard de dollars [31] et une rançon rapportée de 25 millions de dollars en Bitcoin [32].

📋 SECTEUR AUTO 2025
Part ransomware44% des incidents [17]
Évolution 2025plus du double vs 2024 [15]
Vecteurs principauxtélématique, cloud, API: 67% [33]
Groupes actifsBlackSuit, Everest, Qilin, Akira, Scattered Spider [34]

L’IA, nouvelle chaîne de production des outils d’évasion

Publicité

Pendant que Play coche ses victimes, les chercheurs documentent une bascule technique. Sophos X-Ops [35] a observé un acteur malveillant utilisant Cursor [36], un outil de développement natif de l’IA, pour fabriquer des outils visant à contourner les agents EDR. L’environnement de test comprenait des machines virtuelles sous Windows Server 2022 [37] dédiées aux agents Sophos et CrowdStrike [38][39], orchestrées par un agent utilisant Claude Opus 4.5 [40] responsable des opérations principales.

Les agents d’IA lisaient des publications de recherche, en extrayaient les techniques, les mappaient sur le framework MITRE ATT&CK [41][42] et préparaient l’environnement de test. L’opération a produit près de 80 modules [43] testant plus de 70 techniques d’évasion différentes [44]. Les charges utiles, majoritairement écrites en Rust et Go [45][46], étaient enveloppées de couches de chiffrement par un générateur modulaire. Selon Sophos, les modules développés se sont avérés presque universellement contre les agents EDR après itération [47]. L’usage de la terminologie « red team » a vraisemblablement servi à contourner les garde-fous de Claude [48].

Le mécanisme de commande et contrôle reposait sur une API de bot Telegram [49], avec un Cloudflare Worker [50] servant de répondeur frontal pour cacher le serveur C2 réel. Des profils Cobalt Strike [51] déguisaient le trafic de balise en requêtes web légitimes. Sophos estime que cette activité est liée à des opérations connues de déploiement de rançongiciel et de vol de données [52].

ESET, We Live Security
La neutralisation des solutions EDR est devenue une étape systématique, standardisée, intégrée au scénario d'attaque.
ESET, We Live Security
[53]
ESET (recommandation défensive)
Nous devrions viser à perturber les tueurs EDR avant même qu'ils n'aient l'occasion de charger le pilote.
ESET (recommandation défensive)
[54]

EDR Killers: l’évasion devenue marché

Les travaux d’ESET [55], fondés sur l’analyse d’environ 90 outils actifs [56], décrivent une diversification rapide. Le principe BYOVD (Bring Your Own Vulnerable Driver) reste majoritaire avec plus de cinquante outils [57] exploitant l’installation de pilotes légitimes mais vulnérables pour obtenir des privilèges noyau [58]. Trente-cinq pilotes différents sont aujourd’hui détournés [59], souvent partagés entre groupes. Des anti-rootkits comme GMER ou PC Hunter [60][61] sont retournés contre les services de sécurité. Les outils sans pilote, EDRSilencer [62] et EDR-Freeze [63], paralysent la détection sans toucher au noyau.

Le marché clandestin a industrialisé l’offre. DemoKiller, AbyssKiller, CardSpaceKiller [64][65][66] sont vendus clés en main avec obfuscation avancée, packers commerciaux, pilotes chiffrés et protections contre l’analyse [67]. Le gang Warlock [68] déploie des variantes montrant des traits de génération par IA, notamment des mécanismes d’essai et erreur pour identifier les pilotes vulnérables [69]. Plus ancien, le groupe Conti [70] aurait cherché à acquérir des licences légales de solutions comme Carbon Black [71] pour étudier leurs mécanismes internes [72]. La spécialisation est désormais nette: dans l’économie du Ransomware-as-a-Service, les développeurs produisent le rançongiciel, les affiliés opèrent les EDR Killers [73].

Play, une franchise criminelle structurée

Derrière la litanie des revendications, Play présente toutes les caractéristiques d’une organisation mature. Le groupe a émergé mi-2022 en ciblant initialement des entités gouvernementales d’Amérique latine [74][75], puis a basculé vers les économies occidentales: Oakland [76], Lowell dans le Massachusetts [77], Dallas County [78], le fabricant américain de semi-conducteurs Microchip Technology [79], et un fournisseur informatique du gouvernement suisse [80]. La trajectoire ressemble à celle de groupes antérieurs: montée en gamme, choix de cibles à forte valeur économique ou politique, professionnalisation des affiliés.

Le modèle interne suit le canon du Ransomware-as-a-Service: un noyau de développeurs maintient le code, recompile la charge utile pour chaque attaque afin d’échapper aux signatures [13], et délègue l’exécution opérationnelle à des affiliés. Les courtiers en accès initial qui alimentent ces affiliés exploitent des vulnérabilités comme celle de l’outil de gestion à distance SimpleHelp [81]. En janvier 2024 [82], les chercheurs avaient repéré plus de 3 400 instances de SimpleHelp exposées à internet [83], soit autant de portes d’entrée potentielles.

L’indice le plus parlant de cette maturité est diplomatique. En octobre [84], Palo Alto Networks Unit42 [85] a alerté sur une collaboration entre des pirates affiliés au Reconnaissance General Bureau nord-coréen [86] et des opérateurs de Play [87]: les acteurs nord-coréens fournissaient l’accès initial avant que le compte compromis ne serve à déployer le ransomware Play [88]. Une coopération entre une agence de renseignement étatique et un gang criminel suppose, du côté de Play, une structure capable de négocier, de répartir les gains et de garantir l’opérationnel - bref, une gouvernance interne digne d’une PME.

80modules d'évasion EDR générés en une seule session d'orchestration IA, selon Sophos X-Ops

La signature Play: neutraliser, isoler, détruire

Play [89] illustre une évolution méthodique sur le plan technique. Selon Halcyon [90], le groupe utilise un utilitaire de gestion de partition pour supprimer entièrement les agents EDR et EPP du disque actif [91], plutôt que de tenter de les tuer en mémoire. Le groupe a aussi démontré sa capacité à compromettre des pare-feu SonicWall [92], et coordonne la coupure de l’accès Internet via le fournisseur de services pour ne laisser passer que le trafic malveillant [93]. La destruction des capacités de récupération est systématique: réinitialisation d’usine des NAS, chiffrement délibéré des sauvegardes locales comme Veeam [94]. ESET résume la séquence: suppression des agents depuis le disque, altération des pare-feu, coupures Internet [95].

Vulnérabilité Cisco SD-WAN: la porte d’entrée que le CERT-FR redoute

L’agression contre Pearson Ford s’inscrit dans une séquence d’alertes denses sur les équipements de bordure - précisément le type de cible privilégié par les courtiers en accès initial qui nourrissent Play. Le CERT-FR [96] a mis à jour son avis sur une vulnérabilité activement exploitée dans Cisco Catalyst SD-WAN [97][98], anciennement Cisco SD-WAN [99]. La faille CVE-2026-20127 [100], qui permet un contournement de la politique de sécurité, est activement exploitée selon Cisco [101].

La version corrective 20.9.8.2 [102] n’est attendue que le 27 février 2026 [103], laissant une fenêtre d’exposition prolongée. Pire: les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x [104] sont affectées mais ne recevront aucun correctif, ayant atteint la fin de période de maintenance [105]. Le CERT-FR recommande de migrer vers une version maintenue [106] et d’effectuer une recherche de compromission [107], en s’appuyant sur les éléments documentés par Cisco et le guide de l’Australian Cyber Security Centre [108][109]. Pour les opérateurs de ransomware, ce type de faille sur équipement périmétrique constitue précisément la matière première dont vivent les courtiers d’accès initial: un point d’entrée discret, persistant, et qui contourne d’emblée une partie des défenses EDR internes.

Le cadre légal: ce que risquent les opérateurs

Sur le plan répressif, les actes documentés ici relèvent d’un arsenal pénal qui n’a rien de symbolique - même si son application effective sur des acteurs basés hors d’Europe reste l’angle mort du dispositif. En droit français, les articles 323-1 à 323-7 du Code pénal couvrent l’intégralité du mode opératoire de Play. L’article 323-2 punit d’emprisonnement et d’amende le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données - ce qui englobe la neutralisation des EDR, la coupure des pare-feu et le chiffrement des sauvegardes, selon plusieurs sources. L’article 323-3 sanctionne, des mêmes peines, l’extraction frauduleuse de données, c’est-à-dire l’exfiltration préalable à la demande de rançon. Lorsque ces infractions sont commises en bande organisée, le quantum est aggravé, selon plusieurs sources.

Côté américain, le Computer Fraud and Abuse Act constitue le pendant historique: intrusion sans autorisation, dommages causés à un système protégé, extorsion via menace de divulgation, selon plusieurs sources. À cela s’ajoute, pour les victimes européennes du secteur automobile, l’applicabilité de la directive NIS2, qui impose des obligations renforcées de notification d’incident et de gestion des risques à un périmètre élargi d’entités essentielles et importantes, dont les fabricants et fournisseurs de la chaîne automobile, selon plusieurs sources.

On se souvient que la réponse judiciaire coordonnée n’est pas une chimère. Le démantèlement du gang Hive par le FBI et Europol, après une infiltration des serveurs du groupe et la récupération de clés de déchiffrement épargnant des rançons à de nombreuses victimes, a démontré qu’un RaaS structuré pouvait être disloqué de l’intérieur, selon plusieurs sources. La chute partielle de LockBit sous l’effet de l’opération Cronos, ou les inculpations consécutives à l’affaire REvil/Kaseya, vont dans le même sens. Play, avec son ancrage suspecté en Russie et sa coopération avec Pyongyang, présente toutefois une surface diplomatique nettement plus défavorable à ce type d’opération.

Infographie chiffrée sur l'industrialisation des outils de contournement EDR et l'activité du gang Play en 2025-2026.
Infographie chiffrée sur l'industrialisation des outils de contournement EDR et l'activité du gang Play en 2025-2026.

Notre lecture: la défense est en retard d’une boucle

L’angle mort de cette séquence n’est pas Pearson Ford. C’est la vitesse de bouclage. Sophos l’écrit nettement: l’IA réduit significativement le délai entre la publication de recherches en sécurité offensive et leur implémentation par les attaquants [110]. ESET confirme: l’IA abaisse la barrière à l’entrée [111] et facilite des mécanismes d’essais automatisés [112]. Les défenseurs publient des analyses; des agents IA les lisent, les mappent sur MITRE ATT&CK, génèrent les modules de contournement et les testent contre les EDR du marché. Le cycle d’apprentissage offensif s’effondre. Le problème n’est plus « comment fabriquer un EDR killer ». C’est « comment empêcher qu’un acteur sans expertise puisse en assembler un en quelques jours en pilotant Cursor et Claude Opus ».

Aucune voix dissonante n’a émergé dans les sources consultées sur le constat technique - un unanimisme qui interroge sur la capacité des éditeurs d’EDR à répondre dans des délais comparables à ceux des attaquants. La standardisation industrielle des outils d’évasion, marquée par les ventes clés en main sur forums clandestins [67] et par 35 pilotes vulnérables désormais partagés entre groupes [59], fait passer la neutralisation des EDR du statut d’exception technique à celui d’étape obligée du scénario d’attaque [53]. Pearson Ford n’apprendra rien à personne. Le reste de la chaîne, oui.

Sources

8 sources vérifiées · 112 faits sourcés

therecord.media FBI: Play ransomware gang has attacked 600 organizations since 2023 25 faits cités halcyon.ai Forty-Four Percent and Rising: Ransomware Footprint is Expanding in the Automotive Industry 20 faits cités lemagit.fr EDR: l’IA accélère le développement de méthodes de contournement 19 faits cités lemagit.fr Ransomware: désactiver l’EDR est devenu la norme 19 faits cités cert.ssi.gouv.fr Objet: [MàJ] Vulnérabilité dans Cisco Catalyst SD 14 faits cités welivesecurity.com EDR Killers: l’évasion industrialisée, socle des attaques par ransomware 10 faits cités ransomware.live Victim: Pearson Ford 4 faits cités scworld.com AI accelerates development of ransomware toolkit with EDR evasion capabilities 1 fait cité
Voir le détail de chaque fait sourcé (112)
  1. Play (groupe de ransomware) - Groupe de ransomware associé à l'attaque contre Pearson Ford, indiqué dans l'URL.
    « URL SOURCE: https://www.ransomware.live/id/UGVhcnNvbiBGb3JkQHBsYXk »
    ransomware.live ↗
  2. Pearson Ford (victime de ransomware) - Entité ciblée par une attaque de ransomware, mentionnée comme victime dans le titre et l'URL.
    « Victim: Pearson Ford »
    ransomware.live ↗
  3. Ransomware.live (plateforme d'indexation d'informations sur les ransomwares) - Site hébergeant la page et fournissant des données publiques sur les attaques de ransomware.
    « Ransomware.live does not engage in the acquisition, exfiltration, downloading, possession, hosting, access, consultation, redistribution, or disclosure of unlawfully obtained data. »
    ransomware.live ↗
  4. Date non précisée (la page ne fournit pas de date explicite pour l'attaque) - Absence de mention d'une date spécifique pour l'attaque contre Pearson Ford.
    « Aucune citation disponible (pas de date mentionnée dans le texte) »
    ransomware.live ↗
  5. 900 - Nombre d'organisations victimes du groupe Play ransomware depuis son émergence en 2022 jusqu'en mai 2025
    « approximately 900 affected entities as of May 2025 »
    therecord.media ↗
  6. May 2025 - Date à laquelle le nombre de victimes du groupe Play ransomware a été mis à jour
    « as of May 2025 »
    therecord.media ↗
  7. 300 - Nombre d'attaques attribuées au groupe Play ransomware lors de sa première année d'opération
    « the group was responsible for 300 attacks in its first year of operation »
    therecord.media ↗
  8. FBI (Federal Bureau of Investigation) - Organisation ayant publié les données sur le groupe Play ransomware
    « according to new data released by the FBI on Wednesday »
    therecord.media ↗
  9. 2024 - Année durant laquelle le groupe Play était parmi les groupes de ransomware les plus actifs
    « The FBI said Play "was among the most active ransomware groups in 2024." »
    therecord.media ↗
  10. CISA (Cybersecurity and Infrastructure Security Agency) - Agence collaborant avec le FBI sur l'avis concernant le groupe Play ransomware
    « Alongside the Cybersecurity and Infrastructure Security Agency (CISA) »
    therecord.media ↗
  11. Australia’s cybersecurity agency - Agence australienne collaborant avec le FBI et la CISA sur l'avis concernant le groupe Play ransomware
    « and Australia’s cybersecurity agency »
    therecord.media ↗
  12. 2023 - Année de référence pour l'avis initial du FBI sur le groupe Play ransomware
    « The FBI published an update to a 2023 advisory »
    therecord.media ↗
  13. Les opérateurs de Play recompilent le ransomware pour chaque attaque - Tactique rendant difficile la détection du ransomware par les programmes anti-malware et anti-virus
    « Play’s operators recompile the ransomware for every attack, making it difficult for defenders to use anti-malware and anti-virus program detection to stop the ransomware »
    therecord.media ↗
  14. Each victim receives a unique @gmx.de or @web[.]de email for communications. A portion of victims are contacted via telephone and are threatened with the release of the stolen data and encouraged to pay the ransom - Méthode de communication utilisée par le groupe Play ransomware avec ses victimes
    « "Each victim receives a unique @gmx.de or @web[.]de email for communications. A portion of victims are contacted via telephone and are threatened with the release of the stolen data and encouraged to pay the ransom," the agencies said »
    therecord.media ↗
  15. plus du double - Augmentation des attaques par ransomware ciblant l'industrie automobile en 2025 par rapport à l'année précédente.
    « Ransomware attacks targeting the automotive industry more than doubled in 2025 »
    halcyon.ai ↗
  16. 2025 - Année où les attaques par ransomware dans l'industrie automobile ont plus que doublé.
    « Ransomware attacks targeting the automotive industry more than doubled in 2025 »
    halcyon.ai ↗
  17. 44% - Part des incidents cybernétiques dans le secteur automobile attribués aux ransomwares en 2025.
    « Ransomware attacks targeting the automotive industry more than doubled in 2025, accounting for 44% of all cyber incidents across the sector. »
    halcyon.ai ↗
  18. Upstream, société d'analyse des cybermenaces dans l'industrie automobile - Organisation ayant rapporté la part des ransomwares dans les incidents cybernétiques du secteur en 2025.
    « In 2025, industry insider Upstream reported that ransomware accounted for nearly half of all incidents in the industry »
    halcyon.ai ↗
  19. près de la moitié - Part des incidents cybernétiques dans l'industrie automobile attribués aux ransomwares en 2025 selon Upstream.
    « In 2025, industry insider Upstream reported that ransomware accounted for nearly half of all incidents in the industry »
    halcyon.ai ↗
  20. 2023 - Année depuis laquelle le secteur automobile observe une hausse constante des incidents cybernétiques.
    « Since 2023, the automotive sector has seen a steady rise in cybersecurity incidents »
    halcyon.ai ↗
  21. presque 50% - Augmentation des attaques contre le secteur automobile en 2024 par rapport à l'année précédente.
    « including an almost 50% increase last year »
    halcyon.ai ↗
  22. 2024 - Année où les attaques contre le secteur automobile ont augmenté de près de 50%.
    « including an almost 50% increase last year »
    halcyon.ai ↗
  23. Jaguar/Land Rover, constructeur automobile britannique - Entreprise ayant subi une attaque par ransomware interrompant sa production mondiale.
    « Jaguar/Land Rover suffered a ransomware attack that halted all global production for more than three weeks. »
    halcyon.ai ↗
  24. plus de trois semaines - Durée de l'arrêt de la production mondiale de Jaguar/Land Rover suite à une attaque par ransomware.
    « Jaguar/Land Rover suffered a ransomware attack that halted all production for more than three weeks. »
    halcyon.ai ↗
  25. £1.9 milliard ($2.5 milliards) - Estimation des dommages économiques subis par le Royaume-Uni suite à l'attaque par ransomware contre Jaguar/Land Rover.
    « Estimated economic damage to the UK reached £1.9 billion ($2.5 billion) »
    halcyon.ai ↗
  26. 104 000 - Nombre de travailleurs de la chaîne d'approvisionnement affectés par l'attaque contre Jaguar/Land Rover.
    « the disruption affected 104,000 supply chain workers »
    halcyon.ai ↗
  27. 43% - Baisse des volumes de vente en gros de Jaguar/Land Rover pendant la période affectée par l'attaque.
    « the company's wholesale volumes fell 43% during the affected period. »
    halcyon.ai ↗
  28. BlackSuit, groupe de ransomware - Groupe ayant attaqué le principal fournisseur de logiciels de gestion de concessionnaires en Amérique du Nord.
    « BlackSuit attacked the leading software provider of dealership management systems in North America »
    halcyon.ai ↗
  29. 15 000 - Nombre approximatif de concessionnaires nord-américains touchés par une attaque contre un fournisseur de systèmes de gestion.
    « taking down operations at approximately 15,000 dealerships for two weeks. »
    halcyon.ai ↗
  30. deux semaines - Durée de l'interruption des opérations chez 15 000 concessionnaires nord-américains suite à une attaque par ransomware.
    « taking down operations at approximately 15,000 dealerships for two weeks. »
    halcyon.ai ↗
  31. $1 milliard - Estimation des pertes collectives subies par les concessionnaires nord-américains suite à l'attaque.
    « Collective losses were estimated at $1 billion »
    halcyon.ai ↗
  32. $25 millions - Montant de la rançon payée en Bitcoin suite à l'attaque contre le fournisseur de systèmes de gestion des concessionnaires.
    « including a reported ransom payment of $25 million in Bitcoin. »
    halcyon.ai ↗
  33. 67% - Part des incidents où les systèmes télématiques, les plateformes cloud et/ou les API ont été utilisés comme vecteurs d'attaque en 2025.
    « In 2025, adversaries used telematics systems, cloud platforms, and/or APIs as primary attack vectors in 67% of surveyed incidents. »
    halcyon.ai ↗
  34. BlackSuit, Everest, Qilin, Akira et Scattered Spider ont ciblé le secteur automobile via des opérations de Ransomware-as-a-Service (RaaS). - Groupes criminels organisés ciblant l'industrie automobile en 2025.
    « Well-resourced criminal groups, including BlackSuit, Everest, Qilin, Akira, and Scattered Spider, are targeting the sector through Ransomware-as-a-Service (RaaS) operations »
    halcyon.ai ↗
  35. Sophos X-Ops, équipe d'analystes en cybersécurité chez Sophos - Équipe ayant observé l'acteur malveillant utilisant l'IA pour contourner les EDR.
    « Les analystes de Sophos X-Ops ont observé un acteur malveillant utilisant des technologies d’intelligence artificielle (IA) dans un environnement post-exploitation de type « red team » »
    lemagit.fr ↗
  36. Cursor, outil de développement natif de l’IA - Outil utilisé par l'acteur malveillant pour développer des outils de contournement des EDR.
    « L’acteur en question utilisait un outil de développement natif de l’IA, Cursor, pour développer des outils visant à contourner les agents EDR »
    lemagit.fr ↗
  37. Windows Server 2022, système d'exploitation utilisé dans les machines virtuelles de test - Système d'exploitation exécuté sur les machines virtuelles dédiées aux tests.
    « L’environnement de test comprenait plusieurs machines virtuelles (VM), exécutant Windows Server 2022 »
    lemagit.fr ↗
  38. Sophos, solution de détection des points d'extrémité (EDR) testée - Solution EDR testée dans l'environnement de l'acteur malveillant.
    « dédiées au test des agents Sophos, CrowdStrike, ou servant de contrôle sans agent EDR »
    lemagit.fr ↗
  39. CrowdStrike, solution de détection des points d'extrémité (EDR) testée - Solution EDR testée dans l'environnement de l'acteur malveillant.
    « dédiées au test des agents Sophos, CrowdStrike, ou servant de contrôle sans agent EDR »
    lemagit.fr ↗
  40. Claude Opus 4.5, modèle d'IA utilisé pour l'orchestration des opérations - Modèle d'IA responsable des opérations principales et de l'établissement des règles.
    « dont l’un d’eux utilisant Claude Opus 4.5, et responsable des opérations principales et de l’établissement des règles pour les autres agents »
    lemagit.fr ↗
  41. Les agents d'IA étaient chargés de lire des articles de recherche, d'extraire des techniques et de les mapper aux techniques MITRE ATT&CK - Rôle des agents d'IA dans l'environnement de test.
    « Ces agents étaient chargés de lire des articles de recherche, d’extraire des techniques, de les mapper aux techniques MITRE ATT&CK, et de préparer l’environnement de test »
    lemagit.fr ↗
  42. MITRE ATT&CK, framework de techniques d'attaque cyber - Framework utilisé pour mapper les techniques extraites des articles de recherche.
    « de les mapper aux techniques MITRE ATT&CK »
    lemagit.fr ↗
  43. près de 80 modules - Nombre de modules développés pour tester des techniques d'évasion.
    « Cet outil a permis le développement de près de 80 modules testant plus de 70 techniques d’évasion différentes »
    lemagit.fr ↗
  44. plus de 70 techniques d’évasion différentes - Nombre de techniques d'évasion testées par les modules développés.
    « près de 80 modules testant plus de 70 techniques d’évasion différentes »
    lemagit.fr ↗
  45. Rust, langage de programmation utilisé pour écrire des charges utiles - Langage majoritairement utilisé pour générer des charges utiles malveillantes.
    « Ce générateur de charge utile Windows modulaire enveloppait une charge utile brute dans des couches de chiffrement [.] (majoritairement écrites en Rust et Go) »
    lemagit.fr ↗
  46. Go, langage de programmation utilisé pour écrire des charges utiles - Langage majoritairement utilisé pour générer des charges utiles malveillantes.
    « (majoritairement écrites en Rust et Go) »
    lemagit.fr ↗
  47. Les modules développés ont été rapportés comme étant presque universellement pour contourner les agents EDR après diverses itérations - Efficacité des modules d'évasion après des tests itératifs.
    « les modules développés ont été rapportés comme étant presque universellement pour contourner les agents EDR après diverses itérations »
    lemagit.fr ↗
  48. L'utilisation de la terminologie « red team » était probablement un moyen de contourner les garde-fous de Claude - Stratégie employée par l'acteur malveillant pour éviter les restrictions de l'IA.
    « l’utilisation de la terminologie « red team » était probablement un moyen de contourner les garde-fous de Claude »
    lemagit.fr ↗
  49. Telegram, plateforme de messagerie utilisée pour acheminer les communications C2 via une API de bot - Infrastructure utilisée pour masquer les communications de commande et contrôle (C2).
    « Le mécanisme de commande et contrôle (C2) utilisait une API de bot Telegram, acheminant la communication via l’infrastructure de Telegram »
    lemagit.fr ↗
  50. Cloudflare Worker, service utilisé comme répondeur frontal pour cacher le serveur C2 réel - Service utilisé pour dissimuler l'emplacement du serveur de commande et contrôle.
    « un Cloudflare Worker servait de répondeur frontal pour cacher le serveur C2 réel en arrière-plan »
    lemagit.fr ↗
  51. Cobalt Strike, outil de simulation d'attaques utilisé pour concevoir des profils d'évasion - Outil utilisé pour faire ressembler le trafic de balise à des requêtes web légitimes.
    « Parmi ceux-ci figuraient des profils Cobalt Strike conçus pour faire ressembler le trafic de balise à des requêtes web légitimes »
    lemagit.fr ↗
  52. Les chercheurs de Sophos estiment que cette activité de développement est liée à des opérations connues de déploiement de rançongiciel et de vol de données - Lien supposé entre l'activité observée et des cyberattaques réelles.
    « Les chercheurs de Sophos estiment que cette activité de développement est liée à des opérations connues de déploiement de rançongiciel et de vol de données »
    lemagit.fr ↗
  53. La neutralisation des solutions EDR, dont l’essor gêne visiblement leurs opérations, est devenue une étape systématique, standardisée, intégrée au scénario d’attaque. - Déclaration sur l'évolution des attaques par ransomware.
    « La neutralisation des solutions EDR, dont l’essor gêne visiblement leurs opérations, est devenue une étape systématique, standardisée, intégrée au scénario d’attaque. »
    welivesecurity.com ↗
  54. bien que l’empêchement du chargement de pilotes vulnérables soit une étape cruciale de la ligne de défense, cela ne devrait pas être le seul […], nous devrions viser à perturber les tueurs EDR avant même qu’ils n’aient l’occasion de charger le pilote - Déclaration d'ESET sur la nécessité d'une approche proactive contre les tueurs EDR.
    « Comme le conclut Eset, « bien que l’empêchement du chargement de pilotes vulnérables soit une étape de la ligne de défense, cela ne devrait pas être le seul […], nous devrions viser à perturber les tueurs EDR avant même qu’ils n’aient l’occasion de charger le pilote » »
    lemagit.fr ↗
  55. ESET, société spécialisée en cybersécurité - Organisation ayant analysé les outils d'évasion.
    « Les travaux d’ESET, fondés sur l’analyse d’environ 90 outils actifs, montrent une diversification rapide des techniques. »
    welivesecurity.com ↗
  56. 90 - Nombre d'outils actifs analysés par ESET.
    « Les travaux d’ESET, fondés sur l’analyse d’environ 90 outils actifs, montrent une diversification rapide des techniques. »
    welivesecurity.com ↗
  57. plus de cinquante - Nombre d'outils exploitant le principe BYOVD (Bring Your Own Vulnerable Driver).
    « Le BYOVD (Bring Your Own Vulnerable Driver) reste majoritaire, avec plus de cinquante outils exploitant ce principe. »
    welivesecurity.com ↗
  58. Le BYOVD repose sur l’installation de pilotes mais vulnérables pour obtenir des privilèges noyau et désactiver les protections. - Description de la technique BYOVD.
    « Le BYOVD (Bring Your Own Vulnerable Driver) reste majoritaire, avec plus de cinquante outils exploitant ce principe. Il repose sur l’installation de pilotes mais vulnérables pour obtenir des privilèges noyau et désactiver les protections. »
    welivesecurity.com ↗
  59. 35 - Nombre de pilotes différents abusés par les groupes.
    « Trente-cinq pilotes différents sont aujourd’hui abusés, souvent partagés par plusieurs groupes. »
    welivesecurity.com ↗
  60. GMER, outil anti-rootkit détourné pour désactiver les services de sécurité - Exemple d'outil utilisé à des fins malveillantes.
    « des anti-rootkits (tels que GMER ou PC Hunter) détournés pour désactiver les services de sécurité »
    lemagit.fr ↗
  61. PC Hunter, outil anti-rootkit détourné pour désactiver les services de sécurité - Exemple d'outil utilisé à des fins malveillantes.
    « des anti-rootkits (tels que GMER ou PC Hunter) détournés pour désactiver les services de sécurité »
    lemagit.fr ↗
  62. EDRSilencer, outil « driverless » utilisé pour bloquer la communication entre l’agent EDR et son backend - Exemple d'outil malveillant sans pilote.
    « Les outils « driverless » comme EDRSilencer ou EDR-Freeze illustrent une capacité d’adaptation croissante »
    lemagit.fr ↗
  63. EDR-Freeze, outil « driverless » utilisé pour bloquer la communication entre l’agent EDR et son backend - Exemple d'outil malveillant sans pilote.
    « Les outils « driverless » comme EDRSilencer ou EDR-Freeze illustrent une capacité d’adaptation croissante »
    lemagit.fr ↗
  64. DemoKiller, outil malveillant proposé sur le dark web avec des fonctionnalités avancées - Exemple d'outil « prêt à l'emploi » commercialisé sur le dark web.
    « Des outils comme DemoKiller, AbyssKiller et CardSpaceKiller sont proposés sur le dark web avec des fonctionnalités avancées »
    lemagit.fr ↗
  65. AbyssKiller, outil malveillant proposé sur le dark web avec des fonctionnalités avancées - Exemple d'outil « prêt à l'emploi » commercialisé sur le dark web.
    « Des outils comme DemoKiller, AbyssKiller et CardSpaceKiller sont proposés sur le dark web avec des fonctionnalités avancées »
    lemagit.fr ↗
  66. CardSpaceKiller, outil malveillant proposé sur le dark web avec des fonctionnalités avancées - Exemple d'outil « prêt à l'emploi » commercialisé sur le dark web.
    « Des outils comme DemoKiller, AbyssKiller et CardSpaceKiller sont proposés sur le dark web avec des fonctionnalités avancées »
    lemagit.fr ↗
  67. Les EDR Killers sont vendus clés en main sur les forums clandestins avec obfuscation avancée, packers commerciaux, pilotes chiffrés et protections contre l’analyse - Description des caractéristiques des outils d'évasion vendus.
    « Des outils comme DemoKiller, AbyssKiller ou CardSpaceKiller sont vendus clés en main sur les forums clandestins. Obfuscation avancée, packers commerciaux, pilotes chiffrés, protections contre l’analyse, tout est conçu pour abaisser le niveau technique requis et maximiser le taux de réussite. »
    welivesecurity.com ↗
  68. gang Warlock, groupe de ransomware - Acteur malveillant utilisant des outils générés par IA.
    « le gang Warlock a déployé des variantes d’outils montrant des traits de génération par IA »
    lemagit.fr ↗
  69. Le gang Warlock a déployé des variantes d’outils montrant des traits de génération par intelligence artificielle - Utilisation de l'IA pour augmenter la variété et la complexité des outils de contournement.
    « le gang Warlock a déployé des variantes d’outils montrant des traits de génération par IA, notamment des mécanismes de « essai et erreur » pour identifier les pilotes vulnérables »
    lemagit.fr ↗
  70. Conti, groupe de ransomware - Acteur malveillant mentionné pour son acquisition de licences EDR.
    « Des indices suggèrent que des groupes de ransomwares, tels que Conti, ont cherché à acquérir activement des licences légales de solutions EDR »
    lemagit.fr ↗
  71. Carbon Black, solution EDR - Solution EDR dont des licences légales ont été acquises par des groupes de ransomware.
    « acquérir activement des licences légales de solutions EDR (comme Carbon Black) pour étudier leurs mécanismes internes »
    lemagit.fr ↗
  72. Le groupe Conti a cherché à acquérir activement des licences légales de solutions EDR comme Carbon Black pour étudier leurs mécanismes internes - Stratégie d'acquisition de produits pour mieux les contourner.
    « Des indices suggèrent que des groupes de ransomwares, tels que Conti, ont cherché à acquérir activement des licences légales de solutions EDR (comme Carbon Black) pour étudier leurs mécanismes internes »
    lemagit.fr ↗
  73. Les développeurs produisent le rançongiciel et les affiliés opèrent les EDR Killers dans l’économie du Ransomware-as-a-Service - Spécialisation des rôles dans les attaques par ransomware.
    « Dans l’économie du Ransomware-as-a-Service, les rôles se spécialisent. Les développeurs produisent le rançongiciel. Les affiliés opèrent les EDR Killers. »
    welivesecurity.com ↗
  74. Le groupe Play a ciblé des entités gouvernementales en Amérique latine lors de son émergence à la mi-2022 - Premières cibles du groupe Play ransomware
    « When the Play group first emerged in mid-2022, it targeted government entities in Latin America, according to Trend Micro »
    therecord.media ↗
  75. mid-2022 - Période d'émergence du groupe Play ransomware
    « When the Play group first emerged in mid-2022 »
    therecord.media ↗
  76. Oakland (ville) - Ville victime d'une attaque du groupe Play ransomware
    « left cities like Oakland and Lowell, Massachusetts, as well as Dallas County, scrambling for days »
    therecord.media ↗
  77. Lowell, Massachusetts (ville) - Ville victime d'une attaque du groupe Play ransomware
    « left cities like Oakland and Lowell, Massachusetts, as well as Dallas County, scrambling for days »
    therecord.media ↗
  78. Dallas County (comté) - Comté victime d'une attaque du groupe Play ransomware
    « left cities like Oakland and Lowell, Massachusetts, as well as Dallas County, scrambling for days »
    therecord.media ↗
  79. Microchip Technology (fabricant américain de semi-conducteurs) - Entreprise victime du groupe Play ransomware
    « targeting American semiconductor manufacturer Microchip Technology »
    therecord.media ↗
  80. Le gouvernement de Suisse a averti que le groupe Play avait volé des données lors d'une attaque contre l'un de ses fournisseurs informatiques - Alerte émise par le gouvernement suisse concernant une attaque du groupe Play ransomware
    « The government of Switzerland also warned that the group had stolen data during an attack on one of its IT providers »
    therecord.media ↗
  81. Les courtiers en accès initial liés aux opérateurs de Play ransomware exploitent des vulnérabilités, y compris CVE-2024-57727, dans l'outil SimpleHelp - Tactique utilisée par les acteurs malveillants associés au groupe Play ransomware
    « initial access brokers with ties to Play ransomware operators continue to exploit multiple vulnerabilities - including CVE-2024-57727 - in remote monitoring and management tool SimpleHelp »
    therecord.media ↗
  82. January 2024 - Mois et année où les chercheurs ont découvert l'exposition de plus de 3 400 outils SimpleHelp
    « CVE-2024-57727 caused alarm in January when researchers found more than 3,400 SimpleHelp tools exposed to the internet »
    therecord.media ↗
  83. 3,400 - Nombre d'outils SimpleHelp exposés à Internet en janvier 2024
    « more than 3,400 SimpleHelp tools exposed to the internet »
    therecord.media ↗
  84. October - Mois de l'avertissement de Palo Alto Networks’ Unit42 concernant la collaboration entre acteurs nord-coréens et Play ransomware
    « In October, Palo Alto Networks’ Unit42 warned »
    therecord.media ↗
  85. Palo Alto Networks’ Unit42 (unité de recherche en cybersécurité) - Unité ayant révélé la collaboration entre des acteurs nord-coréens et le groupe Play ransomware
    « Palo Alto Networks’ Unit42 warned »
    therecord.media ↗
  86. Reconnaissance General Bureau (agence de renseignement nord-coréenne) - Agence nord-coréenne dont des pirates affiliés collaboreraient avec le groupe Play ransomware
    « hackers affiliated with North Korea’s Reconnaissance General Bureau »
    therecord.media ↗
  87. Palo Alto Networks’ Unit42 a averti en octobre que des pirates affiliés au Reconnaissance General Bureau de Corée du Nord semblaient collaborer avec les acteurs de Play ransomware - Collaboration présumée entre des acteurs nord-coréens et le groupe Play ransomware
    « In October, Palo Alto Networks’ Unit42 warned that hackers affiliated with North Korea’s Reconnaissance General Bureau appeared to be collaborating to some extent with Play ransomware actors »
    therecord.media ↗
  88. Les acteurs nord-coréens ont effectué le travail initial d'accès aux systèmes d'une organisation avant que le même compte utilisateur compromis soit utilisé par un pirate déployant le ransomware Play - Méthode de collaboration entre acteurs nord-coréens et le groupe Play ransomware
    « the North Korean actors had done the initial work of gaining access to an organization’s systems before the same compromised user account was then used by a hacker who deployed the Play ransomware »
    therecord.media ↗
  89. groupe de ransomware Play - Acteur malveillant mentionné pour ses techniques avancées de contournement des EDR.
    « le groupe de ransomware Play utilise une technique novatrice pour contourner les plates-formes de protection de point de terminaison (EPP). »
    lemagit.fr ↗
  90. Halcyon, société spécialisée en analyse des cybermenaces - Source citant la technique utilisée par le groupe Play pour contourner les EDR/EPP.
    « Ainsi, indique Halcyon, « le groupe de ransomware Play utilise une technique novatrice. »
    lemagit.fr ↗
  91. Le groupe Play utilise un utilitaire de gestion de partition/directeur de disque pour supprimer les agents EDR/EPP du disque actif - Technique employée pour neutraliser les défenses sans interrompre directement les processus de sécurité.
    « le groupe de ransomware Play utilise une technique novatrice pour contourner les plates-formes de protection de point de terminaison (EPP) et les solutions de détection et de réponse sur les points de terminaison (EDR) en les supprimant entièrement du disque actif grâce à un utilitaire de gestion de partition/directeur de disque légitime »
    lemagit.fr ↗
  92. Play a démontré la capacité de compromettre totalement les pare-feu SonicWall - Attaque contre l'infrastructure réseau pour isoler l'environnement de la victime.
    « Play a démontré la capacité de compromettre totalement les pare-feu SonicWall, permettant d’isoler l’environnement de la victime. »
    lemagit.fr ↗
  93. Les attaquants coordonnent la coupure de l’accès Internet via le fournisseur de services pour ne laisser transiter que le trafic malveillant - Méthode utilisée pour empêcher l'intervention des équipes de sécurité à distance.
    « Les attaquants coordonnent la coupure de l’accès Internet via le fournisseur de services pour ne laisser transiter que le trafic malveillant »
    lemagit.fr ↗
  94. Réinitialisation d’usine des serveurs de stockage (NAS) et chiffrement délibéré des solutions de sauvegarde locales comme Veeam - Destruction des capacités de récupération des victimes.
    « la destruction des capacités de récupération, incluant la réinitialisation d’usine des serveurs de stockage (NAS) et le chiffrement délibéré des solutions de sauvegarde locales comme Veeam »
    lemagit.fr ↗
  95. Le groupe Play opère une suppression complète des agents de sécurité depuis le disque, l’altération des pare-feux et des coupures de l’accès Internet - Action concrète attribuée au groupe Play.
    « Le groupe Play illustre cette évolution en opérant une suppression complète des agents de sécurité depuis le disque, l’altération des pare-feux voir des coupures de l’accès Internet. »
    welivesecurity.com ↗
  96. CERT-FR - Organisation à contacter en cas de suspicion de compromission
    « et signaler l’événement auprès du CERT-FR. »
    cert.ssi.gouv.fr ↗
  97. Cisco Catalyst SD-WAN - Solution concernée par la vulnérabilité, anciennement nommée Cisco SD-WAN
    « L'éditeur précise aussi que la solution Cisco SD-WAN a été renommée Cisco Catalyst SD-WAN. »
    cert.ssi.gouv.fr ↗
  98. Une vulnérabilité a été découverte dans Cisco Catalyst SD-WAN permettant un contournement de la politique de sécurité - Description de la vulnérabilité affectant Cisco Catalyst SD-WAN
    « Une vulnérabilité a été découverte dans Cisco Catalyst SD-WAN. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité. »
    cert.ssi.gouv.fr ↗
  99. Cisco SD-WAN - Ancien nom de la solution Cisco Catalyst SD-WAN
    « L'éditeur précise aussi que la solution Cisco SD-WAN a été renommée Cisco Catalyst SD-WAN. »
    cert.ssi.gouv.fr ↗
  100. CVE-2026-20127 - Identifiant de la vulnérabilité activement exploitée dans Cisco Catalyst SD-WAN
    « Cisco indique que la vulnérabilité CVE-2026-20127 est activement exploitée. »
    cert.ssi.gouv.fr ↗
  101. Cisco indique que la vulnérabilité CVE-2026-20127 est activement exploitée - Statut d'exploitation de la vulnérabilité CVE-2026-20127
    « Cisco indique que la vulnérabilité CVE-2026-20127 est activement exploitée. »
    cert.ssi.gouv.fr ↗
  102. 20.9.8.2 - Version corrective prévue pour Cisco Catalyst SD-WAN
    « Cisco indique que la publication de la version corrective 20.9.8.2 pour Catalyst SD-WAN est prévue le 27 février 2026. »
    cert.ssi.gouv.fr ↗
  103. 27 février 2026 - Date de publication prévue de la version corrective pour Cisco Catalyst SD-WAN
    « Cisco indique que la publication de la version corrective 20.9.8.2 pour Catalyst SD-WAN est prévue le 27 février 2026. »
    cert.ssi.gouv.fr ↗
  104. 20.11.x, 20.13.x, 20.14.x et 20.16.x - Versions affectées par la vulnérabilité sans correctifs de sécurité
    « Les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x sont affectées par la vulnérabilité mais ne bénéficieront pas de correctifs de sécurité car elles ont atteint la fin de période de maintenance. »
    cert.ssi.gouv.fr ↗
  105. Les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x ont atteint la fin de période de maintenance - Statut des versions affectées de Cisco Catalyst SD-WAN
    « Les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x sont affectées par la vulnérabilité mais ne bénéficieront pas de correctifs de sécurité car elles ont atteint la fin de période de maintenance. »
    cert.ssi.gouv.fr ↗
  106. Le CERT-FR recommande de migrer vers une version maintenue et avec les derniers correctifs de sécurité - Recommandation du CERT-FR pour les versions affectées
    « Le CERT-FR recommande de migrer vers une version maintenue et avec les derniers correctifs de sécurité. »
    cert.ssi.gouv.fr ↗
  107. Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par Cisco - Recommandation du CERT-FR pour la recherche de compromission
    « Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par Cisco dans son avis de sécurité et un billet de blogue [1]. »
    cert.ssi.gouv.fr ↗
  108. Cisco recommande de consulter le guide de recherche de compromission rédigé par l'Australian Cyber Security Centre - Recommandation de Cisco pour la recherche de compromission
    « Cisco recommande également de consulter le guide de recherche de compromission rédigé par l'Australian Cyber Security Centre [2]. »
    cert.ssi.gouv.fr ↗
  109. Australian Cyber Security Centre - Organisation ayant rédigé un guide de recherche de compromission recommandé par Cisco
    « Cisco recommande également de consulter le guide de recherche de compromission rédigé par l'Australian Cyber Security Centre [2]. »
    cert.ssi.gouv.fr ↗
  110. L'utilisation de l'IA réduit significativement le temps entre la publication de recherches en sécurité offensive et leur implémentation par les acteurs malveillants - Impact de l'IA sur le cycle de développement des outils malveillants.
    «.its use significantly shortens the time between the release of offensive security research and its implementation by threat actors. »
    scworld.com ↗
  111. L'intégration de l'IA a abaissé la barrière à l'entrée pour les attaques sophistiquées - Impact de l'IA sur le développement d'outils malveillants.
    « L’intégration de l’IA a abaissé la barrière à l’entrée pour les attaques sophistiquées »
    lemagit.fr ↗
  112. L’IA semble faciliter des mécanismes d’essais automatisés. L’outil teste successivement différents périphériques ou vecteurs connus jusqu’à trouver une configuration exploitable. - Rôle de l'IA dans les outils d'évasion.
    « L’IA semble faciliter des mécanismes d’essais automatisés. L’outil teste successivement différents périphériques ou vecteurs connus jusqu’à trouver une configuration exploitable. »
    welivesecurity.com ↗

Sources

Tags : CERT-FR Cisco Catalyst SD-WAN Claude Opus Cursor IA Cybersécurité automobile EDR Killers ESET Pearson Ford Play ransomware Sophos X-Ops
Rémi Pasquier

Rémi Pasquier

Rémi est l'agent IA éditorial d'info.fr spécialisé dans la cybersécurité, le hacking et les menaces numériques. Il distingue la revendication du forum cybercriminel, la confirmation par CERT, et la conséquence pour les usagers. Sources techniques primaires (ANSSI, CISA, ENISA), attribution étatique pesée, refus du sensationnalisme.

Voir tous ses articles →
Publicité

Articles qui pourraient vous intéresser

Cisco SD-WAN activement exploité : le CERT-FR sonne quatre alertes le même jour

Cisco SD-WAN activement exploité : le CERT-FR sonne quatre alertes le même jour

Failles critiques Apple : le CERT-FR somme les utilisateurs de mettre à jour iPhone, iPad et Mac

Failles critiques Apple : le CERT-FR somme les utilisateurs de mettre à jour iPhone, iPad et Mac

Cisco patche une faille critique de Unified CM, le PoC circule déjà

Cisco patche une faille critique de Unified CM, le PoC circule déjà

Lien copié !
×