Publication De Recherche

Source: Mandiant (Threat Intelligence, 15 janvier 2026). Contexte: l’éditeur publie un vaste jeu de tables arc‑en‑ciel pour Net‑NTLMv1, visant à illustrer le risque immédiat de ce protocole obsolète et à favoriser sa dépréciation effective. Mandiant annonce la mise à disposition publique d’un dataset complet de tables arc‑en‑ciel Net‑NTLMv1, soulignant que ce protocole est insecure depuis plus de deux décennies. L’objectif est de faciliter pour les défenseurs la démonstration concrète de la faiblesse de Net‑NTLMv1 (sans ESS) via une attaque par texte clair connu sur le texte « 1122334455667788 », garantissant la récupération du matériel de clé (lié au hash de mot de passe AD) et potentiellement une escalade de privilèges. ...

Selon Help Net Security (15 janvier 2026), des chercheurs de Deakin University ont étudié l’usage de QR codes stylisés (couleurs, formes, logos, images de fond) dans les attaques de quishing et présentent une méthode de détection centrée sur la structure du code plutôt que sur l’URL embarquée. Les QR codes masquent leur destination jusqu’au scan, ce qui contourne les passerelles e-mail qui inspectent les URL en clair. Les versions « fancy » brouillent en plus les repères visuels (modules arrondis/étirés, recolorés, logos centraux, arrière-plans), conservant une scannabilité élevée tout en perturbant les outils de détection existants. ...

Source: COSIC (KU Leuven), 16 janvier 2026. Des chercheurs du groupe COSIC de la KU Leuven présentent “WhisperPair”, une famille d’attaques exploitant une mauvaise implémentation de Google Fast Pair sur de nombreux accessoires audio Bluetooth. Classée critique par Google sous CVE-2025-36911, la faille permet à un attaquant d’hijacker des écouteurs/casques et, dans certains cas, d’en suivre la localisation via le réseau Google Find Hub. Les correctifs dépendent des fabricants d’accessoires et nécessitent une mise à jour du firmware. 🎧🔒 ...

Source : Cyera Research Labs (blog de recherche, 7 janvier 2026). L’article détaille une faille critique dans n8n entraînant une exécution de code à distance non authentifiée et explique la chaîne d’exploitation, l’impact et la correction disponible. 🚨 Problème et impact Vulnérabilité : CVE-2026-21858 (score CVSS 10.0) dans n8n. Type : exécution de code à distance (RCE) non authentifiée via confusion du Content-Type. Impact : prise de contrôle de serveurs n8n localement déployés, estimée à ~100 000 instances affectées. Correctif : mettre à jour en 1.121.0 ou ultérieur; aucun contournement officiel disponible. 🧩 Détails techniques (résumé fidèle) ...

Selon Help Net Security (8 janvier 2026), des chercheurs d’une université texane ont démontré que les protections « anti‑clonage » basées sur l’ajout de bruit aux enregistrements vocaux peuvent être efficacement neutralisées une fois l’audio partagé et modifié, à l’aide d’un système de nettoyage nommé VocalBridge. — Constat principal Les protections actuelles ajoutent de faibles perturbations sonores pour empêcher l’apprentissage de l’identité vocale par les modèles de clonage et de vérification de locuteur. Cette approche suppose que l’audio protégé reste inchangé. Les chercheurs montrent qu’un attaquant peut d’abord retirer ce bruit, puis réutiliser l’audio « nettoyé » pour le clonage ou la vérification, restaurant ainsi l’identité. — Comment fonctionne VocalBridge 🎙️ ...

Help Net Security rapporte une étude qui intègre la consommation d’énergie et les émissions carbone dans l’évaluation des modèles de détection utilisés en sécurité, en plus des métriques classiques de précision. L’objectif est d’aider les équipes SecOps à raisonner sur la performance et le coût compute de leurs pipelines. ♻️ 🔬 Ce qui est mesuré Deux axes: métriques de détection (precision, recall, F1) et consommation d’énergie/émissions lors de l’entraînement et de l’inférence. Environnement: Google Colab, avec CodeCarbon pour estimer la puissance et le CO₂ par région. Modèles évalués (courants en IDS et supervision réseau): régression logistique, random forest, SVM, isolation forest, XGBoost. 📊 Indice proposé ...

Source: Check Point Research (publication du 7 janvier 2026). CPR analyse une variante 2025 de GoBruteforcer (GoBrut), un botnet modulaire en Go qui transforme des serveurs Linux compromis en nœuds de scan et de brute-force, avec un intérêt marqué pour des cibles crypto. Le botnet cible des services exposés (FTP, MySQL, PostgreSQL, phpMyAdmin) et se propage via une chaîne web shell → downloader → bot IRC → bruteforcer. Deux facteurs alimentent la vague actuelle: l’usage massif d’exemples de déploiement générés par IA 🧠 qui recyclent des noms d’utilisateurs/défauts faibles (ex. appuser, myuser) et la persistance de stacks legacy comme XAMPP exposant FTP/phpMyAdmin avec un durcissement minimal. Selon CPR, >50 000 serveurs exposés pourraient être vulnérables; Shodan relève ~5,7 M de FTP, 2,23 M de MySQL et 560 k de PostgreSQL accessibles. L’ensemble de mots de passe utilisé par GoBruteforcer chevauche à 2,44% une base de 10 M de mots de passe fuités, ce qui suggère qu’environ 54,6 k MySQL et 13,7 k PostgreSQL pourraient accepter l’un des mots de passe de l’attaquant. ...

Selon un billet technique de watchTowr Labs (Piotr Bazydlo), s’appuyant sur un avis de la Cyber Security Agency (CSA) de Singapour, une vulnérabilité critique CVE-2025-52691 dans SmarterTools SmarterMail permet une exécution de code à distance pré-authentifiée (CVSS 10), corrigée en build 9413 (10 oct. 2025) alors que l’avis public n’est paru qu’en fin décembre 2025. Le produit concerné est SmarterMail (serveur e-mail/collaboration Windows/Linux). Les chercheurs notent un possible correctif silencieux en octobre (build 9413) précédant la divulgation officielle, les notes de version mentionnant seulement des « general security fixes ». Les versions analysées montrent 9406 vulnérable et 9413 non vulnérable (build 9483 était la plus récente au moment de l’article). ...

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension légitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait même le badge “Featured” de Google. • Impact et périmètre: plus de 900 000 téléchargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgré un signalement à Google le 29 déc. 2025 (statut « in review » au 30 déc. 2025). ...

Source et contexte: Selon un billet de blog signé Davi Ottenheimer (2 janvier 2026), la génération de rapports policiers par l’IA « Draft One » d’Axon (alimentée par GPT‑4) a été induite en erreur par un fond sonore TV, révélant une vulnérabilité systémique qu’il surnomme « exploit Kermit ». 🐸 Fait marquant: à Heber City (Utah), lors de tests des logiciels « Draft One » et « Code Four », l’IA a capté l’audio d’un téléviseur diffusant « La Princesse et la Grenouille » et a injecté des éléments de ce scénario dans un rapport officiel, allant jusqu’à dépeindre un officier comme une grenouille. Le sergent Rick Keel l’a reconnu à Fox 13, soulignant l’importance de corriger les rapports générés. ...