Handala, un groupe de hackers liés à l'Iran, vient d'annoncer qu'il aurait pu couper l'eau de 2 millions de Californiens. Le groupe a en effet piraté California Water Service et balancé 5 Go de données pour le prouver.... Mais bon, peu importe ce qu'ils disent, la vérité c'est que non, il n'aurait pas pu.

Et c'est tout l'intérêt de cette histoire que je m'en vais vous conter....

Tout d'abord, quand on regarde ce qu'ils ont vraiment chopé, je vous avoue, on est trèèèèès loin du robinet. Leur point d'entrée, visiblement, c'est un serveur RTKBase, un outil open-source de correction GPS pour les équipes de terrain. Le truc traînait sur Internet, accessible en HTTP sur le port 10000, avec les identifiants admin et les mots de passe en clair. Comme à peu près tous les sites de l'administration française quoi... loool #troll # dataleakasaservice .

Et il tournait comme ça depuis plus de 780 heures d'affilée, soit plus d'un mois en libre accès. A partir de celui-ci, les attaquants ont alors pu sauter vers les systèmes de facturation, parce que rien ne séparait correctement le réseau GPS des données sensibles. Et ça leur a permis de récupérer les infos clients d'au moins 7 districts (Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo...) : noms, adresses, téléphones, numéros de compte, historiques de paiement.

Cela veut dire que ce qu'ils ont chopé en réalité, ce sont des fichiers clients, mais pas du tout un accès à une valve ou une pompe, ni même au moindre petit robinet qui goutte... snif...

Donc oui, grosse fuite de données perso, mais pas une seule ligne du système de traitement ou de distribution de l'eau n'a été touchée ! Pas de SCADA, pas d'automate, rien de ce qui pilote physiquement ce qui sort de votre robinet. Les analystes qui ont épluché les données sont très clairs là-dessus : Rien là dedans ne prouve que Handala peut couper l'eau d'une ville américaine. Le groupe n'a d'ailleurs aucun historique connu de sabotage de système de traitement d'eau. Le "j'aurais pu faire pire", c'est de l'intimidation et rien de plus...

Pour comprendre la différence, faut voir à quoi ressemble une vraie attaque sur une infra. Quand on pense sécurité et systèmes industriels, le premier truc qui vient à l'esprit, c'est en général le SCADA en place dans les usines, qu'on peut parfois croiser au détour d'un Shodan ou autre.

Une vraie attaque, c'est ça qu'elle vise. Je ne sais pas si vous vous souvenez, mais en décembre 2015, environ 230 000 Ukrainiens ont été plongés dans le noir à cause d'un malware qui ciblait directement les systèmes de contrôle électrique. Ou Stuxnet , qui a physiquement détruit un millier de centrifugeuses iraniennes. Ou Oldsmar en 2021, où quelqu'un a brièvement fait grimper le taux de soude dans l'eau potable d'une petite ville de Floride. Ça, c'est toucher l'OT, la partie qui commande les machines pour de vrai.

Désolé Handala.... lol

Maintenant, faut pas non plus les ranger au rayon des script kiddies parce qu' Handala, c'est en réalité la façade "hacktiviste" de Void Manticore, un groupe rattaché au renseignement iranien, avec notamment tout un arsenal de wipers maison pour effacer des disques.

Par exemple en mars dernier, ils ont lancé une attaque destructrice chez Stryker, un géant de l'équipement médical. Leur mode opératoire, c'est de voler les données d'abord, puis de revenir ensuite pour tout casser. D'ailleurs ils sont loin d'être les seuls puisque dès 2023, un autre groupe iranien, CyberAv3ngers, avait piraté 75 automates Unitronics dans des stations d'eau et d'autres infras aux États-Unis, au point que la CISA a dû tirer la sonnette d'alarme. En clair, des hackers iraniens qui s'en prennent aux stations d'eau américaines , c'est devenu la routine....

Bref, Handala n'a pas coupé l'eau mais le jour où un groupe avec un vrai accès SCADA débarquera, faudra pas venir dire qu'on n'était pas prévenus.

Source

Le 31 mai 2026, des milliers d'utilisateurs de Dashlane ont reçu des mails de vérification qu'ils n'avaient jamais demandés. Certains se sont retrouvés bloqués hors de leur compte. L'entreprise française a depuis confirmé avoir subi une attaque par force brute, et reconnu que les coffres-forts chiffrés d'une vingtaine d'utilisateurs ont été copiés.

Selon le média Hackread, un cybercriminel revend une prétendue fuite de 340 millions de comptes OnlyFans. Il ne s’agirait pas d’un piratage de la plateforme : la base aurait été reconstituée à partir d’anciennes données volées et enrichies via le croisement de plusieurs fuites déjà connues.

Les pirates de Coinbase Cartel sont parvenus à compromettre le compte GitHub de Grafana Labs et à voler la codebase après avoir compromis un jeton d'accès.

Le post Grafana se fait voler sa codebase sur GitHub mais refuse de payer la rançon des pirates a été publié sur IT-Connect.

Le groupe Pierre & Vacances - Center Parcs a été victime d'une cyberattaque entraînant la fuite de données relatives à 1,6 million de dossiers de réservation.

Le post Piratage Pierre & Vacances – Center Parcs : 1,6 million de dossiers de réservations concernés a été publié sur IT-Connect.

C'est une faille vieille comme le web qui aurait permis d'exploiter l'une des bases de données les plus sensibles de l'État français. Le piratage de l'ANTS en avril 2026 aurait été permis par une faille IDOR. Mais, c'est quoi, au juste ?

Dans un rapport publié le 23 avril 2026, les chercheurs en cybersécurité de Mandiant ont disséqué les méthodes d’intrusion du groupe de hackers UNC6692. Leur stratégie ? Se positionner d’abord comme élément perturbateur, puis comme sauveur.

Présenté comme un modèle d’IA capable de découvrir des milliers de failles critiques inédites, Mythos d’Anthropic a suscité un véritable emballement après sa fuite. Mais derrière les annonces spectaculaires, la réalité apparaît bien plus nuancée : comme le souligne Tom's Hardware, ces performances reposent en grande partie sur des extrapolations à partir de données limitées.

Dans le jargon de la cybersécurité, le dwell time (ou temps de présence) est une statistique scrutée à la loupe. Elle représente le temps qui s'écoule lors d'une intrusion informatique. Mais contrairement à ce que l'on pourrait penser de prime abord, la façon dont ce délai est calculé cache une subtilité importante.

Dans la nuit du 10 au 11 mars 2026, Stryker, géant américain du matériel médical, a subi une attaque destructrice qui a mis hors ligne des dizaines de milliers de systèmes dans le monde entier. Une opération menée en représailles à l'opération militaire menée par les États-Unis en Iran.