L’OFCS alerte sur la montée des cyberattaques ciblées dopées à l’IA

(Source: Paisan/AdobeStock)

(Source: Paisan/AdobeStock)

Dans son dernier rapport semestriel, l’Office fédéral de la cybersécurité (OFCS) dresse le bilan du second semestre 2025 marqué par une montée en précision des attaques. Pour la première fois, le document intègre les données issues de l’obligation de signaler les cyberattaques visant les infrastructures critiques, entrée en vigueur en avril 2025. Sur les 325 signalements reçus depuis le lancement de cette mesure, 145 ont été enregistrés durant la période sous revue, provenant majoritairement de l’administration publique (25%), de l’informatique et des télécommunications (18%), ainsi que de la finance et des assurances (15,7%).

Le rapport montre que si le volume global des annonces volontaires reste stable, avec environ 29’000 cas, la fraude représente encore plus de la moitié des signalements. Mais derrière ce socle toujours dominant, les modes opératoires évoluent vers des offensives plus ciblées et individualisées. L’intelligence artificielle joue ici un rôle moteur, en permettant de créer des scénarios d’hameçonnage ultra-réalistes exploitant des particularités locales, à l’image des programmes de fidélité de grands détaillants suisses. Les attaquants combinent désormais ces campagnes à des publicités frauduleuses sur les moteurs de recherche et à des techniques de SEO poisoning, afin de faire remonter leurs pages malveillantes dans les résultats.

L’émergence du SMS-Blaster et du double hameçonnage

L’une des découvertes majeures de l’été 2025 concerne des cas de recours à un SMS-Blaster. Ce dispositif, capable d’usurper l’identité d’une antenne de téléphonie mobile, permet aux attaquants de diffuser des messages malveillants directement sur les smartphones à proximité, en contournant les filtres de sécurité des opérateurs.

Le rapport fait également état de nouvelles campagnes de double hameçonnage: après une première page frauduleuse, les victimes reçoivent rapidement un appel téléphonique se faisant passer pour le service de sécurité de leur banque. L’objectif est d’obtenir un accès à distance à leur ordinateur ou de contourner les mécanismes de protection de l’e-banking.

Les rançongiciels et les réseaux ORB restent sous surveillance

La menace des rançongiciels demeure également au premier plan. Avec 57 cas signalés au second semestre, le groupe Akira s’est montré particulièrement actif en exploitant une vulnérabilité découverte en 2024 sur des équipements SonicWall. Le rapport souligne que l’absence de mise à jour de certaines installations a largement facilité ces compromissions.

Le document fait également état d’une multiplication des réseaux clandestins dits ORB (Operational Relay Boxes). Ces infrastructures s’appuient sur des routeurs et des objets connectés infectés pour masquer l’origine des attaques, rendant l’identification des auteurs toujours plus complexe. Elles ne servent toutefois pas uniquement à la cybercriminalité: depuis 2024, elles sont aussi exploitées par des acteurs étatiques à des fins d’espionnage et de sabotage.

Une dépendance critique aux composants open source

Le rapport pointe enfin une vulnérabilité plus systémique: la chaîne d’approvisionnement logicielle. Les cybercriminels ciblent de plus en plus les composants open source utilisés à large échelle. Comme la plupart des applications modernes reposent sur ces briques partagées, une seule faille peut produire des effets en cascade sur de nombreuses organisations, en Suisse comme à l’international.

Face à ce constat, le rapport insiste sur le fait qu’une protection efficace passe par une collaboration étroite entre l’État, l’économie et la société afin de sécuriser des dépendances numériques qui dépassent largement les frontières organisationnelles.

L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!