Publication De Recherche

Source et contexte — Kaspersky: Ce rapport 2025 de Kaspersky s’appuie sur 2 225 annonces et CV collectés sur des forums du dark web entre janvier 2023 et juin 2025 pour cartographier le marché de l’emploi clandestin, ses profils, ses rémunérations et ses pratiques de recrutement. Panorama du marché: les publications «emploi» représentent 55% de CV contre 45% d’offres, avec un pic de CV fin 2023 lié aux vagues de licenciements mondiales et une pénurie de main-d’œuvre atypique en février 2025. Parmi les candidats, 69% cherchent «n’importe quel travail», et 28,4% précisent la «couleur» de l’emploi visé (blanc/gris/noir). Les préférences déclarées incluent: légal (24% ouverts, 9,7% uniquement «white»), gris (18,3% ouverts, 1,1% uniquement «grey»), illégal (8,9% ouverts, 0,4% uniquement «black»), 5,6% «peu importe». L’âge moyen des chercheurs est 24 ans (plus âgé 42, plus jeune 12), avec une présence notable d’adolescents cherchant de petites missions rapides. ...

Source : Jamf Threat Labs (blog Jamf) — Analyse technique d’un nouvel infostealer macOS baptisé « DigitStealer », observé comme non détecté sur VirusTotal au moment de l’analyse, distribué via une image disque se faisant passer pour l’outil légitime DynamicLake. 🔎 Découverte et distribution Le malware est livré dans une image disque non signée « DynamicLake.dmg » et imite l’utilitaire légitime DynamicLake (légitime signé Team ID XT766AV9R9), mais distribué via le domaine factice https[:]//dynamiclake[.]org. Le paquet inclut un fichier « Drag Into Terminal.msi » (extension inhabituelle sur macOS) incitant l’utilisateur à exécuter un one‑liner curl | bash pour contourner Gatekeeper et lancer l’infection en mémoire. ⚙️ Chaîne d’exécution et évasion ...

Selon CrowdStrike Research, des tests indépendants du modèle DeepSeek‑R1 (671B, publié en janvier 2025 par la startup chinoise DeepSeek) indiquent que certains déclencheurs politiques dans les prompts font significativement varier la sécurité du code généré. L’étude a été menée sur le modèle brut open source (hors garde‑fous API) et comparée à d’autres LLMs open source occidentaux, ainsi qu’à une version distillée (DeepSeek‑R1‑distill‑llama‑70B). ⚙️ Résultats de base: DeepSeek‑R1 est globalement performant en génération de code, avec un taux de vulnérabilités de 19% sans déclencheurs. Les modèles de raisonnement produisent en moyenne un code plus sûr que les non‑raisonnants; les modèles plus récents s’en sortent mieux que les plus anciens. ...

Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant réseau utilisé par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via détournement DNS, permettant l’hijacking d’infrastructures de mises à jour et le déploiement du backdoor SlowStepper. • Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et aligné Chine, mène des opérations d’espionnage contre des cibles en Chine, Taïwan, Hong Kong, Cambodge, Corée du Sud, États‑Unis et Nouvelle‑Zélande. Le groupe utilise la porte dérobée SlowStepper et obtient l’accès initial en d détournant des mises à jour logicielles via un implant réseau (EdgeStepper). ESET a aussi observé l’exploitation de vulnérabilités de serveurs web et une attaque de chaîne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises à jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectés de manière similaire). ...

Source et contexte — University of Vienna (univie.ac.at) publie une étude montrant qu’une faiblesse de confidentialité dans le mécanisme de découverte de contacts de WhatsApp a permis l’énumération massive de comptes, divulguée de manière responsable et désormais mitigée par Meta. • Les chercheurs de l’University of Vienna et SBA Research ont démontré qu’il était possible de sonder plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnérabilité de confidentialité exploitait la logique de découverte de contacts pour répondre à un volume de requêtes anormalement élevé depuis une même source. 🔎 ...

Source et contexte — ThinkstScapes (Thinkst) publie son édition Q3 2025, un panorama des travaux de sécurité présentés et publiés entre juillet et septembre 2025 (USENIX Security, DEF CON, Black Hat, etc.), structuré autour de quatre thèmes majeurs et d’un volet « Nifty sundries ». • Microsoft-induced security woes. Le numéro détaille une vulnérabilité critique d’Azure/Entra ID via des Actor tokens permettant l’usurpation inter‑tenant d’utilisateurs (jusqu’au Global Admin), en modifiant des parties non signées du JWT et en retrouvant le nameid, le tout sans logs ni rate‑limit. Il montre aussi comment exploiter la page légitime login.microsoftonline.com pour du phishing (tenants contrôlés, pass‑through vers AD on‑prem compromis, branding trompeur, contournement de certaines MFA) en conservant l’URL Microsoft. Côté Windows, « RPC‑Racer » enregistre des endpoints RPC avant les services légitimes pour coercer NTLM via chemins UNC et escalader jusqu’à compromettre un DC. Enfin, des collisions de noms de domaine internes avec des gTLD (.llc, .ad) et des typos NS exposent des hashes NTLM et du trafic à des domaines publics contrôlés par un attaquant. ...

Selon watchTowr Labs, une vulnérabilité non nommée et sans identifiant public affecte Fortinet FortiWeb et serait exploitée activement, signalée initialement par l’équipe Defused; des tests internes de watchTowr indiquent qu’un correctif “silencieux” semble présent en version 8.0.2, bien que les notes de version n’en fassent pas mention. L’analyse détaille une combinaison de deux failles: traversée de chemin dans l’URI de l’API FortiWeb permettant d’atteindre l’exécutable CGI interne fwbcgi, puis contournement d’authentification via l’en-tête HTTP_CGIINFO. Le composant fwbcgi effectue un contrôle d’entrée minimal (JSON valide) et une phase d’“authentification” qui, en réalité, impersonne l’utilisateur fourni par le client via un JSON Base64 (champs username, profname, vdom, loginname), conférant ensuite les privilèges correspondants dans cgi_process(). ...

Selon LayerX Security (Browser Security Report 2025), le navigateur est devenu l’endpoint le plus critique et le moins gouverné de l’entreprise, au croisement de l’IA, des identités et des données, avec une surface d’attaque largement invisible pour les piles DLP/EDR/SSE. 🧠 Croissance IA et déficit de gouvernance 45% des employés utilisent des outils GenAI, dont 92% du trafic sur ChatGPT. Près de 90% des sessions se déroulent hors contrôle IT. 77% des employés copient/collent des données dans des prompts, 82% via des comptes personnels. 40% des fichiers chargés dans des apps GenAI contiennent des données PII/PCI. La GenAI représente 32% des mouvements de données corporate → personnels, devenant le canal d’exfiltration n°1 dans le navigateur. 🧩 Extensions : chaîne d’approvisionnement logicielle non gérée ...

Selon Wiz, dans son rapport « The State of AI in the Cloud 2025 », l’adoption de l’IA dans les environnements cloud continue d’augmenter, avec une stabilisation des services managés et une montée du self-hosted, mais la sécurité et la gouvernance peinent à suivre. 📈 Adoption et tendances 85% des organisations utilisent une forme d’IA (managée ou auto-hébergée). Les services managés passent de 70% à 74% des environnements. Le self-hosted progresse fortement (42% → 75%), notamment via des intégrations dans des logiciels tiers. OpenAI/Azure OpenAI SDKs sont utilisés par 67% des environnements; top outils: Pytorch (50%), ONNX Runtime (46%), Hugging Face (45%), Tiktoken (43%). 🚀 DeepSeek en forte croissance ...

Source et contexte — Microsoft Security (Microsoft Defender Security Research Team) présente “Whisper Leak”, une nouvelle attaque par canal auxiliaire visant les modèles de langage à distance en mode streaming. Un adversaire capable d’observer le trafic réseau chiffré (TLS) peut inférer le sujet d’une conversation en se basant sur la taille des paquets et leurs timings, malgré le chiffrement de bout en bout. 🕵️‍♂️🔒 Détails techniques — L’attaque s’appuie sur les spécificités du streaming token-par-token des LLM et sur le fait que, hors compression, la taille du ciphertext reflète celle du plaintext (± constantes) avec les chiffrements symétriques (AES-GCM, ChaCha20). Les auteurs s’inscrivent dans la lignée de travaux 2024 sur les fuites de longueur de tokens, attaques de timing (speculative decoding), comptage de tokens de sortie et cache sharing. Hypothèse validée : la séquence de tailles de paquets et d’inter-arrivées permet de classifier le thème du prompt, même si la sortie est groupée. ...