Publication De Recherche

Source : Cyera Research Labs (blog de recherche, 7 janvier 2026). L’article détaille une faille critique dans n8n entraînant une exécution de code à distance non authentifiée et explique la chaîne d’exploitation, l’impact et la correction disponible. 🚨 Problème et impact Vulnérabilité : CVE-2026-21858 (score CVSS 10.0) dans n8n. Type : exécution de code à distance (RCE) non authentifiée via confusion du Content-Type. Impact : prise de contrôle de serveurs n8n localement déployés, estimée à ~100 000 instances affectées. Correctif : mettre à jour en 1.121.0 ou ultérieur; aucun contournement officiel disponible. 🧩 Détails techniques (résumé fidèle) ...

Selon Help Net Security (8 janvier 2026), des chercheurs d’une université texane ont démontré que les protections « anti‑clonage » basées sur l’ajout de bruit aux enregistrements vocaux peuvent être efficacement neutralisées une fois l’audio partagé et modifié, à l’aide d’un système de nettoyage nommé VocalBridge. — Constat principal Les protections actuelles ajoutent de faibles perturbations sonores pour empêcher l’apprentissage de l’identité vocale par les modèles de clonage et de vérification de locuteur. Cette approche suppose que l’audio protégé reste inchangé. Les chercheurs montrent qu’un attaquant peut d’abord retirer ce bruit, puis réutiliser l’audio « nettoyé » pour le clonage ou la vérification, restaurant ainsi l’identité. — Comment fonctionne VocalBridge 🎙️ ...

Help Net Security rapporte une étude qui intègre la consommation d’énergie et les émissions carbone dans l’évaluation des modèles de détection utilisés en sécurité, en plus des métriques classiques de précision. L’objectif est d’aider les équipes SecOps à raisonner sur la performance et le coût compute de leurs pipelines. ♻️ 🔬 Ce qui est mesuré Deux axes: métriques de détection (precision, recall, F1) et consommation d’énergie/émissions lors de l’entraînement et de l’inférence. Environnement: Google Colab, avec CodeCarbon pour estimer la puissance et le CO₂ par région. Modèles évalués (courants en IDS et supervision réseau): régression logistique, random forest, SVM, isolation forest, XGBoost. 📊 Indice proposé ...

Source: Check Point Research (publication du 7 janvier 2026). CPR analyse une variante 2025 de GoBruteforcer (GoBrut), un botnet modulaire en Go qui transforme des serveurs Linux compromis en nœuds de scan et de brute-force, avec un intérêt marqué pour des cibles crypto. Le botnet cible des services exposés (FTP, MySQL, PostgreSQL, phpMyAdmin) et se propage via une chaîne web shell → downloader → bot IRC → bruteforcer. Deux facteurs alimentent la vague actuelle: l’usage massif d’exemples de déploiement générés par IA 🧠 qui recyclent des noms d’utilisateurs/défauts faibles (ex. appuser, myuser) et la persistance de stacks legacy comme XAMPP exposant FTP/phpMyAdmin avec un durcissement minimal. Selon CPR, >50 000 serveurs exposés pourraient être vulnérables; Shodan relève ~5,7 M de FTP, 2,23 M de MySQL et 560 k de PostgreSQL accessibles. L’ensemble de mots de passe utilisé par GoBruteforcer chevauche à 2,44% une base de 10 M de mots de passe fuités, ce qui suggère qu’environ 54,6 k MySQL et 13,7 k PostgreSQL pourraient accepter l’un des mots de passe de l’attaquant. ...

Selon un billet technique de watchTowr Labs (Piotr Bazydlo), s’appuyant sur un avis de la Cyber Security Agency (CSA) de Singapour, une vulnérabilité critique CVE-2025-52691 dans SmarterTools SmarterMail permet une exécution de code à distance pré-authentifiée (CVSS 10), corrigée en build 9413 (10 oct. 2025) alors que l’avis public n’est paru qu’en fin décembre 2025. Le produit concerné est SmarterMail (serveur e-mail/collaboration Windows/Linux). Les chercheurs notent un possible correctif silencieux en octobre (build 9413) précédant la divulgation officielle, les notes de version mentionnant seulement des « general security fixes ». Les versions analysées montrent 9406 vulnérable et 9413 non vulnérable (build 9483 était la plus récente au moment de l’article). ...

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension légitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait même le badge “Featured” de Google. • Impact et périmètre: plus de 900 000 téléchargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgré un signalement à Google le 29 déc. 2025 (statut « in review » au 30 déc. 2025). ...

Source et contexte: Selon un billet de blog signé Davi Ottenheimer (2 janvier 2026), la génération de rapports policiers par l’IA « Draft One » d’Axon (alimentée par GPT‑4) a été induite en erreur par un fond sonore TV, révélant une vulnérabilité systémique qu’il surnomme « exploit Kermit ». 🐸 Fait marquant: à Heber City (Utah), lors de tests des logiciels « Draft One » et « Code Four », l’IA a capté l’audio d’un téléviseur diffusant « La Princesse et la Grenouille » et a injecté des éléments de ce scénario dans un rapport officiel, allant jusqu’à dépeindre un officier comme une grenouille. Le sergent Rick Keel l’a reconnu à Fox 13, soulignant l’importance de corriger les rapports générés. ...

Dans un billet technique publié le 1 janvier 2026, un chercheur en sécurité raconte comment il a abouti à une chaîne d’exploits menant à une RCE pré-auth sur LogPoint SIEM/SOAR après une première divulgation responsable de failles majeures découverte en 24 heures. Le contexte: l’analyse commence par un accès en labo à l’appliance (basée sur Ubuntu), la récupération des sources Python (en partie livrées en .pyc) via décompilation, et la cartographie de l’architecture: un backend historique en Python sur l’hôte et des microservices Java en Docker pour la partie SOAR. ...

Selon CEUR Workshop Proceedings (STPIS25), une étude de l’Université de Portsmouth analyse l’intégration de l’IA (machine learning appliqué) dans les Security Operations Centres (SOC) via une enquête mixte auprès de 58 professionnels de la cybersécurité. Le travail se concentre sur l’IA pour la détection d’anomalies et le tri des alertes, en excluant les modèles génératifs (LLM). Principaux constats quantitatifs: 68% déclarent utiliser au moins une technologie d’IA en opérations SOC. Les cas d’usage dominants sont le tri/détection des menaces, l’analyse de trafic réseau, l’identification de comportements, la détection de phishing et l’automatisation de tickets/réponse. 84% jugent l’IA efficace pour réduire les alertes non pertinentes et l’alert fatigue. La confiance reste conditionnelle: 19% déclarent une forte confiance, 34% une confiance partielle, avec une préférence pour l’IA en corrélation/enrichissement plutôt qu’en scorage de sévérité. ...

Source: NATO Science & Technology Organization (STO) — Chief Scientist Research Report. Le rapport présente la compréhension OTAN de la « guerre cognitive », formalise des cadres d’analyse et recense les activités S&T conduites pour anticiper, contrer et rendre les Alliés plus résilients face aux opérations d’influence soutenues par les technologies émergentes. Le document définit la guerre cognitive comme l’exploitation de la cognition humaine pour « perturber, miner, influencer ou modifier » la prise de décision, via des moyens militaires et non militaires, visant militaires et civils. Il souligne que cette approche dépasse l’InfoOps, les PsyOps et le STRATCOM, en s’attaquant à l’environnement informationnel et à la boucle OODA (Observe–Orient–Decide–Act) à l’échelle individuelle, de groupe et sociétale, souvent sous le seuil du conflit armé, avec des vecteurs comme la désinformation et les deepfakes. ...