Veille semi-automatisĂ©e en cybersĂ©curitĂ© : articles synthĂ©tisĂ©s et traduits automatiquement Ă partir de sources fiables â triĂ©s par catĂ©gorie.
đŹ Discussions, commentaires et publications issues de la veille disponibles sur la communautĂ© Lemmy : infosec.pub/c/cyberveille
Selon Keystone-SDA rapportĂ© par swissinfo.ch, des inconnus ont exploitĂ© une faille de sĂ©curitĂ© dans un systĂšme gĂ©rĂ© par la police de Lucerne et Ă©galement utilisĂ© par la police cantonale de Schwytz, lequel gĂšre et contrĂŽle lâaccĂšs mobile aux tĂ©lĂ©phones professionnels des employĂ©s. Impact signalĂ©: des donnĂ©es personnelles de membres des corps de police nâĂ©taient pas protĂ©gĂ©es contre tout accĂšs. Les Ă©lĂ©ments concernĂ©s incluent: Nom de famille PrĂ©nom Adresse e-mail NumĂ©ro de tĂ©lĂ©phone fixe de lâentreprise La Chancellerie dâĂtat de Lucerne affirme quâil nây a jamais eu de danger pour les tĂ©lĂ©phones portables ni pour les systĂšmes internes, et que la prĂ©paration opĂ©rationnelle des corps nâa jamais Ă©tĂ© menacĂ©e. đĄïž ...
Source : SecurityScorecard (Ă©quipe STRIKE). Ce billet prĂ©sente lâopĂ©ration WrtHug, une campagne Ă grande Ă©chelle ciblant des routeurs ASUS WRT, principalement des appareils en fin de vie, afin de les intĂ©grer Ă une infrastructure dâespionnage globale. âą PortĂ©e et attribution prĂ©sumĂ©e : plus de 50 000 adresses IP uniques de routeurs compromis ont Ă©tĂ© observĂ©es sur six mois. LâĂ©quipe STRIKE Ă©value avec confiance faible Ă modĂ©rĂ©e quâil sâagit dâune campagne ORB (Operational Relay Box) menĂ©e par un acteur affiliĂ© Ă la Chine đ”ïžââïž. De 30 Ă 50 % des appareils touchĂ©s seraient situĂ©s Ă TaĂŻwan, avec dâautres foyers aux Ătats-Unis, en Russie, en Asie du Sud-Est et en Europe. ...
Source: The Record (therecord.media), article dâAlexander Martin du 21 novembre 2025. Lâarticle couvre les mises en accusation et les auditions de deux suspects britanniques dans une affaire de cyberattaque contre Transport for London (TfL). Deux Britanniques, Thalha Jubair (19 ans) et Owen Flowers (18 ans), ont plaidĂ© non coupable Ă la Southwark Crown Court pour des infractions au Computer Misuse Act liĂ©es Ă la cyberattaque de 2024 contre TfL, une opĂ©ration associĂ©e au collectif Scattered Spider. ArrĂȘtĂ©s en septembre par la National Crime Agency (NCA), ils ont Ă©tĂ© placĂ©s en dĂ©tention provisoire. Flowers avait dĂ©jĂ Ă©tĂ© arrĂȘtĂ© en septembre 2024 puis libĂ©rĂ© sous caution. đ ...
Source : Jamf Threat Labs (blog Jamf) â Analyse technique dâun nouvel infostealer macOS baptisĂ© « DigitStealer », observĂ© comme non dĂ©tectĂ© sur VirusTotal au moment de lâanalyse, distribuĂ© via une image disque se faisant passer pour lâoutil lĂ©gitime DynamicLake. đ DĂ©couverte et distribution Le malware est livrĂ© dans une image disque non signĂ©e « DynamicLake.dmg » et imite lâutilitaire lĂ©gitime DynamicLake (lĂ©gitime signĂ© Team ID XT766AV9R9), mais distribuĂ© via le domaine factice https[:]//dynamiclake[.]org. Le paquet inclut un fichier « Drag Into Terminal.msi » (extension inhabituelle sur macOS) incitant lâutilisateur Ă exĂ©cuter un oneâliner curl | bash pour contourner Gatekeeper et lancer lâinfection en mĂ©moire. âïž ChaĂźne dâexĂ©cution et Ă©vasion ...
Selon une annonce conjointe de lâOFAC (U.S. Department of the Treasury), du DFAT australien et du FCDO britannique, des sanctions coordonnĂ©es visent lâĂ©cosystĂšme dâhĂ©bergement bulletproof (BPH) facilitant des opĂ©rations de ransomware et autres cybercrimes. đ«đ» Les autoritĂ©s sanctionnent Media Land, un prestataire BPH basĂ© en Russie, pour son rĂŽle dans le soutien Ă des opĂ©rations de ransomware et Ă dâautres formes de cybercriminalitĂ©. LâOFAC dĂ©signe Ă©galement trois membres de la direction de Media Land et trois sociĂ©tĂ©s sĆurs, en coordination avec le FBI. ...
Contexte â Le cherhceur en cybersĂ©curitĂ© Kevin Beaumont publie sur son blog DoublePulsar une analyse du jugement de lâICO infligeant 14 MÂŁ Ă Capita pour lâincident de ransomware Black Basta, retenant une « nĂ©gligence » en cybersĂ©curitĂ© et soulignant de graves dĂ©faillances opĂ©rationnelles, notamment dans le SOC. Le montant, initialement visĂ© au maximum prĂ©vu par le RGPD, a Ă©tĂ© rĂ©duit notamment en raison de la capacitĂ© de paiement de Capita. ...
Selon watson.ch, la Poste suisse adopte une stratĂ©gie «Cloud-First» en misant principalement sur les infrastructures dâAWS et Microsoft Azure, soulevant des prĂ©occupations internes et publiques sur la souverainetĂ© numĂ©rique, la dĂ©pendance technologique et la conformitĂ© juridique. La Poste prĂ©voit, dans le cadre de «Future Works», de migrer jusquâĂ 95% des workloads vers la cloud publique de AWS et Microsoft Azure, «lĂ oĂč la loi le permet». La porte-parole prĂ©cise un stockage des donnĂ©es en Suisse et en Allemagne et le respect des exigences lĂ©gales. Certaines activitĂ©s restent On-Premise pour des raisons rĂ©glementaires, notamment lâe-voting et IncaMail. La Poste sâappuyait jusquâici sur des data centers de PostFinance; cette derniĂšre, «propriĂ©taire» de lâinfrastructure, nâa pas dâ«exit strategy», tandis que la Poste veut minimiser lâusage de ces capacitĂ©s. ...
Source: SpecterOps (billet de blog, 19 nov. 2025). Contexte: Publication de recherche dĂ©taillant une vulnĂ©rabilitĂ© de SCCM intĂ©grĂ©e Ă Entra ID, assignĂ©e CVE-2025-59501, avec un correctif publiĂ© le 27 oct. 2025 (KB35360093) et une chronologie de divulgation. Le billet explique que, sur des sites SCCM intĂ©grĂ©s Ă Microsoft Entra ID (CMG/Co-management) et avant le correctif KB35360093, lâAPI AdminService valide un jeton Entra puis extrait lâUPN pour rĂ©aliser une impersonation Kerberos S4U dâun compte Active Directory correspondant, sans contrĂŽle dâautorisation supplĂ©mentaire sur lâUPN. Cela permettait dâexĂ©cuter des opĂ©rations WMI cĂŽtĂ© SMS Provider « au nom » de nâimporte quelle identitĂ© AD mappable via lâUPN. ...
Selon The Register, Salesforce a signalĂ© une nouvelle compromission impliquant des applications publiĂ©es par Gainsight et connectĂ©es Ă des instances clients Salesforce, avec une attribution probable au groupe ShinyHunters (UNC6240) Ă©voquĂ©e par Google Threat Intelligence Group. Salesforce indique que lâactivitĂ© suspecte « a pu permettre un accĂšs non autorisĂ© » Ă certaines donnĂ©es clients via la connexion des applications Gainsight. En rĂ©ponse, lâĂ©diteur a rĂ©voquĂ© tous les tokens dâaccĂšs et de rafraĂźchissement associĂ©s Ă ces applications et les a temporairement retirĂ©es de lâAppExchange pendant lâenquĂȘte. Salesforce prĂ©cise ne voir « aucune indication » dâune vulnĂ©rabilitĂ© de sa plateforme, lâactivitĂ© Ă©tant liĂ©e Ă la connexion externe de lâapp. ...
Selon une communication de Salesforce, une activitĂ© inhabituelle a Ă©tĂ© dĂ©tectĂ©e impliquant des applications publiĂ©es par Gainsight et connectĂ©es Ă Salesforce. LâenquĂȘte interne indique que cette activitĂ© a pu permettre un accĂšs non autorisĂ© Ă certaines donnĂ©es clients Salesforce via la connexion de lâapplication. En rĂ©ponse, Salesforce a rĂ©voquĂ© tous les tokens dâaccĂšs et de rafraĂźchissement liĂ©s aux applications Gainsight connectĂ©es Ă Salesforce. Les applications concernĂ©es ont Ă©tĂ© temporairement retirĂ©es de lâAppExchange pendant la poursuite de lâenquĂȘte. Points clĂ©s: ...