StealTok : 12 extensions navigateur malveillantes compromettent 130 000 utilisateurs TikTok

🔍 Contexte PubliĂ© le 20 avril 2026 par LayerX Security, cet article prĂ©sente les rĂ©sultats d’une recherche interne sur une campagne baptisĂ©e StealTok, impliquant au moins 12 extensions navigateur malveillantes distribuĂ©es sur les marketplaces Google Chrome et Microsoft Edge. 🎯 Nature de la campagne Les extensions se prĂ©sentent comme des tĂ©lĂ©chargeurs de vidĂ©os TikTok (sans filigrane) tout en implĂ©mentant des mĂ©canismes couverts de collecte de donnĂ©es et de configuration distante. Elles partagent toutes une base de code commune (Manifest V3), indiquant une opĂ©ration coordonnĂ©e par un acteur unique ou un groupe Ă©troitement coordonnĂ©. ...

24 avril 2026 Â· 3 min

Vulnérabilité de fingerprinting IndexedDB dans Firefox et Tor Browser corrigée dans Firefox 150

🔍 Contexte PubliĂ© le 22 avril 2026 par Fingerprint sur leur blog technique, cet article dĂ©crit la dĂ©couverte et la divulgation responsable d’une vulnĂ©rabilitĂ© de confidentialitĂ© affectant tous les navigateurs basĂ©s sur Firefox, incluant Tor Browser. 🐛 Nature de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© repose sur le comportement de l’API indexedDB.databases() dans les navigateurs basĂ©s sur Gecko. En mode navigation privĂ©e, Firefox remplace les noms de bases de donnĂ©es par des UUID gĂ©nĂ©rĂ©s, stockĂ©s dans une table de hachage globale (StorageDatabaseNameHashtable) partagĂ©e entre toutes les origines. L’ordre de retour des entrĂ©es par cette API est dĂ©terminĂ© par l’itĂ©ration sur la structure interne du hash set (nsTHashSet), sans tri prĂ©alable. ...

24 avril 2026 Â· 3 min

Des surges d'activité réseau précÚdent les divulgations CVE jusqu'à 39 jours à l'avance

🔍 Contexte PubliĂ© le 20 avril 2026 par GreyNoise Intelligence, cet article prĂ©sente les rĂ©sultats d’une Ă©tude empirique sur la corrĂ©lation entre les surges d’activitĂ© rĂ©seau observĂ©es par leurs capteurs et les divulgations ultĂ©rieures de vulnĂ©rabilitĂ©s CVE. 📊 MĂ©thodologie et donnĂ©es Sur une pĂ©riode de 103 jours, GreyNoise a analysĂ© 147,8 millions de sessions rĂ©parties sur 276 tags spĂ©cifiques Ă  des vendeurs, couvrant 18 fabricants d’équipements rĂ©seau. Parmi 104 Ă©vĂ©nements de surge dĂ©tectĂ©s, 68 ont prĂ©cĂ©dĂ© une CVE correspondant au vendeur ciblĂ©, couvrant 33 vulnĂ©rabilitĂ©s sur 16 familles de vendeurs. La validation statistique confirme que ce pattern n’est pas le fruit du hasard. ...

22 avril 2026 Â· 3 min

HexagonalRodent : le sous-groupe DPRK qui industrialise le vol de crypto via l'IA

🌐 Contexte PubliĂ© le 21 avril 2026 par Marcus Hutchins sur le blog d’Expel, cet article prĂ©sente les rĂ©sultats d’une investigation approfondie sur un groupe APT nord-corĂ©en (DPRK) nouvellement nommĂ© Expel-TA-0001 / HexagonalRodent, actif depuis au moins octobre 2025 et Ă©valuĂ© avec haute confiance comme Ă©tant un sous-groupe de Famous Chollima (CrowdStrike). 🎯 Ciblage et modus operandi HexagonalRodent cible principalement les dĂ©veloppeurs Web3 dans le but de voler des cryptomonnaies et des NFTs. La chaĂźne d’infection repose sur : ...

22 avril 2026 Â· 4 min

Infrastructure de faux travailleurs IT nord-coréens exposée via analyse réseau et VPN

🔍 Contexte PubliĂ© le 22 avril 2026 par Team Cymru, ce rapport fait suite Ă  une divulgation du chercheur en sĂ©curitĂ© crypto ZachXBT, qui a identifiĂ© le domaine luckyguys[.]site comme liĂ© Ă  des paiements associĂ©s Ă  des faux travailleurs IT nord-corĂ©ens (DPRK). L’analyse porte sur 30 jours d’activitĂ© rĂ©seau autour de cette infrastructure. 🌐 Infrastructure identifiĂ©e Le domaine luckyguys[.]site rĂ©solvait vers l’IP 163.245.219[.]19 au moment de l’analyse Une seconde IP, 216.158.225[.]144, a Ă©tĂ© dĂ©couverte via l’analyse de certificats X509 portant le mĂȘme nom de domaine Les deux IPs ont montrĂ© une chute brutale de trafic aprĂšs le 8 avril, date de l’exposition publique par ZachXBT, cohĂ©rente avec l’abandon rapide d’infrastructure post-attribution 🔒 Patterns VPN observĂ©s Les connexions VPN vers l’IP identifiĂ©e se rĂ©partissent ainsi : ...

22 avril 2026 Â· 2 min

macOS LOTL : armement des primitives natives pour mouvement latéral et exécution

🔍 Contexte PubliĂ© le 21 avril 2026 par Cisco Talos Intelligence, cet article de recherche documente des techniques Living-Off-The-Land (LOTL) natives Ă  macOS, comblant un manque documentaire significatif par rapport aux Ă©quivalents Windows. Il s’adresse aux dĂ©fenseurs et chercheurs en sĂ©curitĂ© opĂ©rant dans des environnements macOS d’entreprise. 🎯 Surface d’attaque ciblĂ©e macOS reprĂ©sente dĂ©sormais plus de 45 % des postes en entreprise, notamment chez les dĂ©veloppeurs, ingĂ©nieurs DevOps et administrateurs systĂšmes. Ces machines constituent des points de pivot critiques vers des dĂ©pĂŽts de code source, des credentials cloud et des clĂ©s SSH de production. ...

22 avril 2026 Â· 3 min

Perforce Helix Core : configurations par défaut non sécurisées exposent 6 100 serveurs publics

🔍 Contexte PubliĂ© en avril 2026 sur morganrobertson.net, cet article de recherche en sĂ©curitĂ© documente une investigation menĂ©e entre mars et mai 2025 sur les instances Perforce Helix Core (P4) accessibles publiquement sur Internet. Le chercheur a identifiĂ© 6 121 instances contactables prĂ©sentant des failles critiques liĂ©es aux configurations par dĂ©faut non sĂ©curisĂ©es. 📊 Statistiques d’exposition 72% des serveurs autorisent un accĂšs en lecture aux fichiers internes 21% (1 334 serveurs) permettent un accĂšs en lecture/Ă©criture 4% (223 serveurs) disposent de comptes « super » non sĂ©curisĂ©s permettant une compromission complĂšte via injection de commandes (RCE) 32% des serveurs sous licence (268/829) prĂ©sentent une configuration non sĂ©curisĂ©e đŸ› ïž Misconfigurations identifiĂ©es CrĂ©ation automatique de comptes utilisateurs (dm.user.noautocreate non configurĂ©) Listage d’utilisateurs non authentifiĂ© — permet l’énumĂ©ration et le brute-force Comptes sans mot de passe — accĂšs direct en usurpant l’identitĂ© d’un utilisateur Auto-dĂ©finition du mot de passe initial — permet Ă  un attaquant de s’approprier un compte inactif Synchronisation non authentifiĂ©e via Remote Depot — l’utilisateur cachĂ© remote (activĂ© par dĂ©faut jusqu’à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sĂ©curitĂ© est ≀ 3 đŸ’„ Impact et vecteurs d’attaque Exfiltration de code source : dĂ©pĂŽts de jeux AAA, logiciels mĂ©dicaux, bancaires, gouvernementaux, automobiles RCE via triggers P4 : un compte super sans mot de passe permet d’injecter des scripts exĂ©cutĂ©s cĂŽtĂ© serveur Mouvement latĂ©ral : prĂ©sence de certificats PEM, clĂ©s privĂ©es, fichiers .env, configurations Okta/SAML dans des dĂ©pĂŽts exposĂ©s Attaques supply chain : un seul serveur vendeur exposait le code source de dizaines de clients en aval 🏭 Secteurs impactĂ©s Jeux vidĂ©o (AAA, indie), santĂ©/dispositifs mĂ©dicaux, services financiers (core banking, PoS), gouvernement/dĂ©fense, automobile (ECU, schĂ©mas Ă©lectriques), Ă©ducation, industrie/ICS, Web3/crypto, aĂ©rospatiale, VFX/animation. ...

22 avril 2026 Â· 3 min

Benchmark de LLMs auto-hébergés pour la sécurité offensive : résultats et observations

🔍 Contexte PubliĂ© le 14 avril 2026 sur le blog de TrustedSec par Brandon McGrath, cet article prĂ©sente un benchmark rigoureux de six modĂšles de langage (LLM) auto-hĂ©bergĂ©s pour des tĂąches de sĂ©curitĂ© offensive, en rĂ©ponse au constat que la majoritĂ© des travaux existants s’appuient sur des modĂšles cloud (GPT-4) avec des challenges CTF guidĂ©s. đŸ§Ș MĂ©thodologie Le benchmark utilise un harnais minimal et dĂ©libĂ©rĂ©ment naĂŻf : Cible : OWASP Juice Shop dans un conteneur Docker Outils fournis aux modĂšles : http_request et encode_payload (URL/base64/hex) Prompt systĂšme : “You are a penetration tester.” 100 runs par challenge par modĂšle, soit 4 800 runs totaux 8 challenges, limite de 5 Ă  10 tours selon la difficultĂ© InfĂ©rence via Ollama avec API compatible OpenAI ParamĂštres : tempĂ©rature 0.3, contexte 8 192 tokens RĂ©sultats stockĂ©s en SQLite Les descriptions d’outils sont volontairement minimales pour mesurer la capacitĂ© intrinsĂšque des modĂšles (payload knowledge, chaĂźnage d’appels) plutĂŽt que l’effet du prompt engineering. ...

19 avril 2026 Â· 2 min

L'AISI évalue Claude Mythos Preview : capacités offensives autonomes en cybersécurité

🔍 Contexte L’AI Security Institute (AISI) du Royaume-Uni a publiĂ© le 19 avril 2026 une Ă©valuation des capacitĂ©s cybersĂ©curitĂ© du modĂšle Claude Mythos Preview d’Anthropic. Cette Ă©valuation s’inscrit dans un suivi continu des capacitĂ©s cyber des IA depuis 2023, avec des environnements de test progressivement plus complexes. 📊 RĂ©sultats CTF (Capture The Flag) Sur les tĂąches de niveau expert (aucun modĂšle ne pouvait les rĂ©soudre avant avril 2025), Mythos Preview rĂ©ussit 73% du temps Les Ă©valuations couvrent des modĂšles depuis GPT-3.5 Turbo jusqu’à Mythos Preview, avec des budgets de tokens allant jusqu’à 50M tokens pour les niveaux expert 🏭 RĂ©sultats sur le cyber range « The Last Ones » (TLO) TLO est une simulation d’attaque rĂ©seau d’entreprise en 32 Ă©tapes, estimĂ©e Ă  20 heures de travail humain Claude Mythos Preview est le premier modĂšle Ă  rĂ©soudre TLO de bout en bout, dans 3 tentatives sur 10 En moyenne, il complĂšte 22 Ă©tapes sur 32 sur l’ensemble de ses tentatives Le modĂšle suivant, Claude Opus 4.6, complĂšte en moyenne 16 Ă©tapes Les performances continuent de progresser avec l’augmentation du budget de tokens (jusqu’à 100M tokens testĂ©s) ⚠ Limites observĂ©es Mythos Preview n’a pas pu complĂ©ter le cyber range « Cooling Tower » (axĂ© sur les technologies opĂ©rationnelles / OT), bien que le blocage soit survenu sur des sections IT Les environnements de test sont plus simples que le monde rĂ©el : absence de dĂ©fenseurs actifs, d’outils de dĂ©tection, et aucune pĂ©nalitĂ© pour les actions dĂ©clenchant des alertes 🎯 Implications CTI Le modĂšle est capable d’attaquer de maniĂšre autonome des systĂšmes d’entreprise faiblement dĂ©fendus si un accĂšs rĂ©seau lui est fourni Les Ă©valuations futures intĂ©greront des environnements durcis et dĂ©fendus (EDR, SOC actif, rĂ©ponse Ă  incident en temps rĂ©el) L’AISI prĂ©voit Ă©galement de tester les capacitĂ©s de dĂ©couverte de vulnĂ©rabilitĂ©s et de pentest sur des systĂšmes rĂ©els 📄 Type d’article Il s’agit d’une publication de recherche officielle de l’AISI visant Ă  documenter l’évolution des capacitĂ©s offensives des modĂšles d’IA frontier et Ă  informer la communautĂ© cybersĂ©curitĂ© sur les risques Ă©mergents liĂ©s Ă  l’IA autonome. ...

19 avril 2026 Â· 3 min

108 extensions Chrome malveillantes liées à une campagne coordonnée de vol de sessions et d'identités

🔍 Contexte PubliĂ© le 13 avril 2026 par l’équipe de recherche de Socket (socket.dev), cet article prĂ©sente les rĂ©sultats d’une investigation technique approfondie sur une campagne coordonnĂ©e de 108 extensions Chrome malveillantes, toujours actives au moment de la publication. Des demandes de suppression ont Ă©tĂ© soumises au Chrome Web Store et Ă  Google Safe Browsing. 🎯 Description de la campagne Les 108 extensions sont publiĂ©es sous cinq identitĂ©s d’éditeurs distincts (Yana Project, GameGen, SideGames, Rodeo Games, InterAlt) et totalisent environ 20 000 installations sur le Chrome Web Store. Toutes partagent la mĂȘme infrastructure C2 hĂ©bergĂ©e sur cloudapi[.]stream (IP : 144.126.135.238, Contabo GmbH VPS), enregistrĂ©e le 30 avril 2022 via Hosting Ukraine LLC. Le serveur exĂ©cute un CMS Strapi sur le port 1337 avec une base de donnĂ©es PostgreSQL. ...

15 avril 2026 Â· 5 min
Derniùre mise à jour le: 4 juillet 2026 📝