Publication De Recherche

Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant réseau utilisé par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via détournement DNS, permettant l’hijacking d’infrastructures de mises à jour et le déploiement du backdoor SlowStepper. • Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et aligné Chine, mène des opérations d’espionnage contre des cibles en Chine, Taïwan, Hong Kong, Cambodge, Corée du Sud, États‑Unis et Nouvelle‑Zélande. Le groupe utilise la porte dérobée SlowStepper et obtient l’accès initial en d détournant des mises à jour logicielles via un implant réseau (EdgeStepper). ESET a aussi observé l’exploitation de vulnérabilités de serveurs web et une attaque de chaîne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises à jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectés de manière similaire). ...

Source et contexte — University of Vienna (univie.ac.at) publie une étude montrant qu’une faiblesse de confidentialité dans le mécanisme de découverte de contacts de WhatsApp a permis l’énumération massive de comptes, divulguée de manière responsable et désormais mitigée par Meta. • Les chercheurs de l’University of Vienna et SBA Research ont démontré qu’il était possible de sonder plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnérabilité de confidentialité exploitait la logique de découverte de contacts pour répondre à un volume de requêtes anormalement élevé depuis une même source. 🔎 ...

Source et contexte — ThinkstScapes (Thinkst) publie son édition Q3 2025, un panorama des travaux de sécurité présentés et publiés entre juillet et septembre 2025 (USENIX Security, DEF CON, Black Hat, etc.), structuré autour de quatre thèmes majeurs et d’un volet « Nifty sundries ». • Microsoft-induced security woes. Le numéro détaille une vulnérabilité critique d’Azure/Entra ID via des Actor tokens permettant l’usurpation inter‑tenant d’utilisateurs (jusqu’au Global Admin), en modifiant des parties non signées du JWT et en retrouvant le nameid, le tout sans logs ni rate‑limit. Il montre aussi comment exploiter la page légitime login.microsoftonline.com pour du phishing (tenants contrôlés, pass‑through vers AD on‑prem compromis, branding trompeur, contournement de certaines MFA) en conservant l’URL Microsoft. Côté Windows, « RPC‑Racer » enregistre des endpoints RPC avant les services légitimes pour coercer NTLM via chemins UNC et escalader jusqu’à compromettre un DC. Enfin, des collisions de noms de domaine internes avec des gTLD (.llc, .ad) et des typos NS exposent des hashes NTLM et du trafic à des domaines publics contrôlés par un attaquant. ...

Selon watchTowr Labs, une vulnérabilité non nommée et sans identifiant public affecte Fortinet FortiWeb et serait exploitée activement, signalée initialement par l’équipe Defused; des tests internes de watchTowr indiquent qu’un correctif “silencieux” semble présent en version 8.0.2, bien que les notes de version n’en fassent pas mention. L’analyse détaille une combinaison de deux failles: traversée de chemin dans l’URI de l’API FortiWeb permettant d’atteindre l’exécutable CGI interne fwbcgi, puis contournement d’authentification via l’en-tête HTTP_CGIINFO. Le composant fwbcgi effectue un contrôle d’entrée minimal (JSON valide) et une phase d’“authentification” qui, en réalité, impersonne l’utilisateur fourni par le client via un JSON Base64 (champs username, profname, vdom, loginname), conférant ensuite les privilèges correspondants dans cgi_process(). ...

Selon LayerX Security (Browser Security Report 2025), le navigateur est devenu l’endpoint le plus critique et le moins gouverné de l’entreprise, au croisement de l’IA, des identités et des données, avec une surface d’attaque largement invisible pour les piles DLP/EDR/SSE. 🧠 Croissance IA et déficit de gouvernance 45% des employés utilisent des outils GenAI, dont 92% du trafic sur ChatGPT. Près de 90% des sessions se déroulent hors contrôle IT. 77% des employés copient/collent des données dans des prompts, 82% via des comptes personnels. 40% des fichiers chargés dans des apps GenAI contiennent des données PII/PCI. La GenAI représente 32% des mouvements de données corporate → personnels, devenant le canal d’exfiltration n°1 dans le navigateur. 🧩 Extensions : chaîne d’approvisionnement logicielle non gérée ...

Selon Wiz, dans son rapport « The State of AI in the Cloud 2025 », l’adoption de l’IA dans les environnements cloud continue d’augmenter, avec une stabilisation des services managés et une montée du self-hosted, mais la sécurité et la gouvernance peinent à suivre. 📈 Adoption et tendances 85% des organisations utilisent une forme d’IA (managée ou auto-hébergée). Les services managés passent de 70% à 74% des environnements. Le self-hosted progresse fortement (42% → 75%), notamment via des intégrations dans des logiciels tiers. OpenAI/Azure OpenAI SDKs sont utilisés par 67% des environnements; top outils: Pytorch (50%), ONNX Runtime (46%), Hugging Face (45%), Tiktoken (43%). 🚀 DeepSeek en forte croissance ...

Source et contexte — Microsoft Security (Microsoft Defender Security Research Team) présente “Whisper Leak”, une nouvelle attaque par canal auxiliaire visant les modèles de langage à distance en mode streaming. Un adversaire capable d’observer le trafic réseau chiffré (TLS) peut inférer le sujet d’une conversation en se basant sur la taille des paquets et leurs timings, malgré le chiffrement de bout en bout. 🕵️‍♂️🔒 Détails techniques — L’attaque s’appuie sur les spécificités du streaming token-par-token des LLM et sur le fait que, hors compression, la taille du ciphertext reflète celle du plaintext (± constantes) avec les chiffrements symétriques (AES-GCM, ChaCha20). Les auteurs s’inscrivent dans la lignée de travaux 2024 sur les fuites de longueur de tokens, attaques de timing (speculative decoding), comptage de tokens de sortie et cache sharing. Hypothèse validée : la séquence de tailles de paquets et d’inter-arrivées permet de classifier le thème du prompt, même si la sortie est groupée. ...

Source et contexte — Unit 42 (Palo Alto Networks) publie une recherche détaillant « LANDFALL », une nouvelle famille de spyware Android de grade commercial visant des appareils Samsung Galaxy. L’implant est livré via des fichiers image DNG malformés, probablement sur WhatsApp, exploitant une vulnérabilité zero‑day dans la bibliothèque d’imagerie de Samsung (CVE‑2025‑21042, SVE‑2024‑1969), observée in‑the‑wild avant le patch d’avril 2025. Une vulnérabilité similaire (CVE‑2025‑21043, SVE‑2025‑1702) a été corrigée en septembre 2025. En parallèle, un chaînage d’exploits sur iOS (CVE‑2025‑43300) et WhatsApp (CVE‑2025‑55177) a été divulgué à l’été 2025. ...

Selon Tenable Research (blog Tenable), une nouvelle étude dévoile sept vulnérabilités et techniques d’attaque affectant ChatGPT, dont certaines confirmées sur GPT‑5 et observées sur GPT‑4o, permettant l’exfiltration d’informations privées depuis les mémoires et l’historique de conversation, des attaques 0‑click via la recherche, des contournements de mécanismes de sécurité et des persistances entre sessions. Architecture et surface d’attaque identifiées : ChatGPT s’appuie sur un « System Prompt » enrichi par des « memories » (bio tool) pouvant contenir des données privées de l’utilisateur, et sur un web tool avec deux commandes: search (Search Context) et open_url (Browsing Context). D’après les tests, open_url délègue la navigation à un LLM isolé (« SearchGPT »), sans accès aux memories. Un mécanisme url_safe filtre les liens rendus à l’écran. ...

Source : Check Point Research (blog). Dans cette publication, les chercheurs détaillent plusieurs vulnérabilités dans Microsoft Teams touchant la confiance au sein des conversations, avec un suivi de divulgation responsable et des correctifs Microsoft finalisés fin octobre 2025. • Découvertes clés (CVE-2024-38197) : Édition invisible de messages : réutilisation d’identifiants uniques pour modifier des messages sans l’étiquette « Édité » ➜ altération silencieuse de l’historique. Notifications spoofées : manipulation des champs de notification pour faire apparaître des alertes comme venant d’un cadre ou collègue de confiance. Changement de nom affiché en chat privé : modification du topic de conversation impactant le nom visible par les deux participants. Usurpation d’identité en appels audio/vidéo : modification arbitraire du display name via la manipulation des requêtes d’initiation d’appel. • Impact et contexte : avec plus de 320 M d’utilisateurs mensuels, Teams est une infrastructure critique. Ces failles permettent l’usurpation d’exécutifs, la fraude financière, la livraison de malware, des campagnes de désinformation et la perturbation de communications sensibles. Les chercheurs soulignent une tendance de fond : les applications de collaboration (Teams, Slack, Zoom, etc.) deviennent un nouvel espace d’attaque, prisé par des APT et des cybercriminels exploitant les signaux de confiance (noms affichés, notifications, messages cités). ...