Publication De Recherche

Selon Searchlight Cyber (billet de recherche, 4 décembre 2025), une vulnérabilité de type RCE affectant Next.js en configuration par défaut via React Server Components (RSC) fait l’objet de nombreux PoC erronés, et l’équipe publie un test réseau précis pour confirmer la présence du défaut. ⚠️ Contexte et portée: L’avis du jour signale une exécution de code à distance (RCE) exploitable sans prérequis sur des applications Next.js utilisant RSC. Les auteurs soulignent que se contenter de détecter la présence de RSC n’est pas suffisant pour conclure à la vulnérabilité et que plusieurs PoC GitHub ne reflètent pas l’exploit réellement communiqué aux mainteneurs (référence à react2shell.com). ...

Source: AI Forensics (rapport 2025, données collectées via TikTok entre le 13 août et le 13 septembre 2025, analyses finalisées jusqu’en octobre 2025). AI Forensics (AIF) analyse 383 puis surveille 354 « Agentic AI Accounts » (AAAs) sur TikTok, des comptes qui automatisent la production et le test de contenus via des outils d’IA générative pour maximiser la viralité. Ces AAAs ont publié 43 798 contenus en plus de 20 langues, cumulé plus de 4,5 milliards de vues, et 65,1% ont été créés en 2025. Les AAAs postent massivement (jusqu’à 70 posts/jour, moyenne pouvant atteindre 11/jour) et 78,5% étaient dès l’origine des comptes 100% IA. ...

Source et contexte: GCSP (Geneva Centre for Security Policy) – Policy Brief No.22 de novembre 2025 par Dr Gazmend Huskaj. Le document dresse un panorama global des opérations de cyberspace offensives, analyse les risques de mauvaise attribution et d’escalade, met en lumière les angles morts juridiques, et formule des recommandations pour renforcer la stabilité et la coopération internationale. Principaux constats: La capacité à mener des opérations cyber offensives s’est largement diffusée (au moins 40 États dès 2019, x4 depuis 2011), abaissant la barrière d’entrée et « nivelant » le rapport de forces. Des exemples marquants illustrent l’impact disproportionné de certains acteurs: WannaCry (2017, rançongiciel) attribué à la Corée du Nord, attaques iraniennes (2022) contre l’Albanie, et intrusion supply‑chain SolarWinds (2021) liée à l’écosystème du renseignement russe. Les grandes puissances et alliances adaptent leurs doctrines: OTAN (cyber reconnu comme domaine opérationnel, Cyberspace Operations Centre IOC en 2023, emploi de « sovereign cyber effects »), doctrines de persistent engagement et defend forward; unités dédiées au Royaume‑Uni (National Cyber Force) et en Allemagne. La compétition autour des zero‑days et l’opacité des autorités de décision entretiennent les risques. ...

Source: Center for Security Studies (CSS), ETH Zürich — Ce rapport (novembre 2025) cartographie et analyse les opérations cyber visant le secteur spatial dans le contexte de la guerre de Gaza (et recoupements avec Ukraine et Israël–Iran), en s’appuyant sur un jeu de données de 237 événements. Principaux constats: 237 opérations identifiées; 71% de DDoS; aucune compromission confirmée de satellites en orbite (impacts concentrés sur les segments utilisateur, contrôle et interfaces web). Au total 77 entités spatiales ciblées et 73 groupes impliqués, majoritairement des hacktivistes pro‑palestiniens; pic d’activité de 72 opérations durant la guerre Israël–Iran (juin 2025); effet limité sur le champ de bataille cinétique. ...

Selon Disclosing Observer, une fuite (28 mars 2025) des bases internes de l’hébergeur « bulletproof » Media Land — plus tard sanctionné par le Royaume-Uni, les États‑Unis et l’Australie (19 nov. 2025) — a permis de reconstruire, de façon data‑driven, le fonctionnement de sa plateforme (comptes, abonnements, VM, allocation d’IP) et d’illustrer comment ces données internes peuvent éclairer la chaîne d’approvisionnement du ransomware. 📊 L’étude reconstitue le schéma des tables couvrant trois couches : clients/facturation, compute/services et réseau. Les identifiants stables (user_id, clés SSH, paiements) permettent de pivoter de l’identité client aux abonnements, des abonnements aux VM, puis aux historiques d’assignation IP. L’infrastructure s’appuie sur des composants modernes (VXLAN, KVM, Ceph, IPMI) avec une orchestration automatisée centrée sur les événements de cycle de vie des VM et une traçabilité fine des mouvements d’adresses. ...

Source: ReversingLabs — Dans un billet de recherche, les auteurs détaillent comment des scripts bootstrap historiques liés à zc.buildout et à l’ancien écosystème setuptools/distribute exposent des paquets PyPI à un scénario de prise de contrôle de domaine. Des chercheurs de ReversingLabs ont identifié du code vulnérable dans des scripts bootstrap qui, lors de leur exécution, récupèrent et exécutent un installateur de « distribute » depuis python-distribute[.]org — un domaine abandonné et à vendre depuis 2014. Cette dépendance à un domaine codé en dur crée une fenêtre pour une prise de contrôle de domaine menant à l’exécution de code arbitraire si un attaquant rachète le domaine et y sert un script malveillant. ⚠️ ...

Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h. ...

KrebsOnSecurity dévoile l’identité de « Rey », administrateur de Scattered LAPSUS$ Hunters, en retraçant ses erreurs d’OPSEC et en détaillant les campagnes de vishing Salesforce, le RaaS ShinySp1d3r et le recrutement d’initiés. Selon KrebsOnSecurity, un article d’enquête met au jour l’identité de « Rey », administrateur et visage public de Scattered LAPSUS$ Hunters (SLSH), un collectif mêlant Scattered Spider, LAPSUS$ et ShinyHunters, actif dans l’extorsion et la revente de données. ...

Selon Oligo Security (billet de blog, 25/11/2025), une chaîne de cinq vulnérabilités critiques affecte Fluent Bit, l’agent de télémétrie massivement déployé, avec divulgation coordonnée avec AWS. Les failles permettent de contourner l’authentification, manipuler les tags, écrire des fichiers arbitraires (traversée de répertoires), provoquer des crashs et exécuter du code à distance. Fluent Bit est omniprésent (plus de 15 milliards de déploiements, plus de 4 millions de pulls sur la dernière semaine) dans des environnements variés (AI, banques, constructeurs automobiles, AWS/GCP/Azure). Sa position au cœur des pipelines d’observabilité rend toute faille de parsing, templating ou gestion de fichiers particulièrement impactante pour les infrastructures cloud et Kubernetes. ...

Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie. ...