Publication De Recherche

Source : Imperva (blog) — Dans une analyse dédiée à la sécurité des API, Imperva publie des constats et correctifs concrets sur les risques d’authentification, avec un focus sur l’usage des JWT (JSON Web Token) et les mauvaises configurations courantes. • Constat principal : 46% des vulnérabilités d’authentification proviennent de JWT contenant des données sensibles (PII, informations financières, IDs gouvernementaux) exposées via un simple encodage base64 plutôt que chiffrées. D’autres risques majeurs incluent les tokens longue durée (21%) et les algorithmes de signature faibles (19%). ...

Source et contexte — L’Australian Institute of Criminology (AIC), dans sa série « Trends & issues in crime and criminal justice » n°719 (septembre 2025), publie une étude quantitative sur les groupes de rançongiciels visant des organisations en Australie, Canada, Nouvelle‑Zélande et Royaume‑Uni entre 2020 et 2022, à partir des données issues des sites d’extorsion suivis par Recorded Future et d’autres sources ouvertes (865 attaques au total). Les secteurs victimes ont été catégorisés via gpt‑3.5‑turbo (validation 89%). ...

Selon Trustwave SpiderLabs (SpiderLabs Blog), des chercheurs détaillent comment des IA intégrées aux SOC et SIEM peuvent être détournées par injection de prompt indirecte à travers des journaux influencés par l’utilisateur. Les auteurs expliquent que des instructions malveillantes insérées dans des logs (ex. en-têtes HTTP, requêtes GET, tentatives d’authentification SSH) sont traitées comme des commandes légitimes par des LLM utilisés dans des chatbots et systèmes RAG pour l’analyse sécurité. Résultat: l’IA peut cacher des attaques, modifier des détails d’événements ou créer de faux incidents 🛑. ...

Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la campagne GhostAction, une attaque coordonnée exploitant des workflows GitHub Actions malveillants pour exfiltrer des secrets CI/CD à grande échelle. L’attaque repose sur des workflows GitHub Actions injectés et déguisés en améliorations de sécurité, déclenchés sur push et workflow_dispatch. Chaque workflow contenait des commandes curl qui envoyaient les secrets du dépôt vers un point de collecte contrôlé par l’attaquant. ...

Selon Censys (blog Censys), des chercheurs ont découvert plus de 330 appareils Ubiquiti affichant des bannières de défacement, révélant des compromissions en cours dont certaines remontent à des campagnes de 2016. Les appareils affectés sont majoritairement hébergés sur des FAI grand public aux États‑Unis et en Europe de l’Est, malgré une baisse de 75 % du nombre d’hôtes touchés depuis 2022. Les vecteurs mis en évidence par les bannières incluent notamment des identifiants par défaut (ubnt:ubnt), la réutilisation et la faiblesse de mots de passe, ainsi que des infections par malware dont le ver MF (CVE-2015-9266). Ces éléments pointent vers des compromissions opportunistes et des mauvaises pratiques d’hygiène de mots de passe. 🚨 ...

Source: CrowdStrike (blog). CrowdStrike présente EMBER2024, une mise à jour majeure du jeu de données EMBER pour l’entraînement et l’évaluation de modèles de détection de malwares, avec plus de 3,2 millions de fichiers couvrant six formats (Win32, Win64, .NET, APK, PDF, ELF) et des étiquettes adaptées à sept tâches de classification (dont détection de malware, classification par famille, identification de comportements), incluant l’évaluation face à des échantillons évasifs. Points clés 🧠 ...

Selon ReversingLabs, des chercheurs ont découvert deux paquets npm malveillants — colortoolsv2 et mimelib2 — intégrés à une campagne sophistiquée de supply chain ciblant des développeurs de cryptomonnaies. La campagne combine livraison de malware via blockchain et manipulation sociale sur GitHub pour paraître légitime. Le code JavaScript des paquets est fortement obfusqué et interroge un smart contract Ethereum afin d’obtenir des URLs pointant vers un malware de seconde étape. Le contrat 0x1f117a1b07c108eae05a5bccbe86922d66227e2b héberge les commandes malveillantes, ce qui permet d’éviter la détection basée sur des URLs codées en dur. Le payload de seconde étape (SHA1: 021d0eef8f457eb2a9f9fb2260dd2e391f009a21) agit comme téléchargeur de composants additionnels. ...

Source: Netskope — Dans une analyse technique, Netskope explore des attaques visant le Model Context Protocol (MCP) utilisé dans les déploiements de LLM, en montrant comment des adversaires peuvent manipuler le comportement des modèles sans intervention directe de l’utilisateur. L’étude présente deux vecteurs majeurs: injection de prompt via les définitions d’outils et cross-server tool shadowing. Ces attaques exploitent le fait que les LLM traitent les métadonnées d’outils comme des instructions de système de confiance, permettant d’induire des actions non autorisées de manière invisible pour l’utilisateur. ...

Selon Resecurity (blog), des chercheurs ont découvert lors de tests d’intrusion des identifiants d’applications Azure AD (ClientId et ClientSecret) exposés dans des fichiers appsettings.json accessibles publiquement, une vulnérabilité de haute sévérité permettant une authentification directe aux endpoints OAuth 2.0 de Microsoft. ⚠️ Sur le plan technique, l’attaque exploite le flux OAuth2 « Client Credentials » via une simple requête POST vers l’endpoint de jeton d’Azure avec les secrets divulgués, pour obtenir un Bearer token. Les attaquants enchaînent ensuite avec des requêtes GET authentifiées sur des endpoints Microsoft Graph — notamment /v1.0/users, /v1.0/oauth2PermissionGrants et /v1.0/groups — afin d’énumérer utilisateurs, permissions et structure organisationnelle. 🔑 ...

Source : watchTowr Labs. Contexte : les chercheurs décrivent comment ils ont observé et reproduit l’exploitation active de CVE-2025-54309 affectant CrushFTP, listée dans le CISA KEV le 22 juillet 2025, et permettant un accès administrateur via HTTPS lorsque la fonctionnalité proxy DMZ n’est pas utilisée. • Vulnérabilité et impact. La faille touche « CrushFTP 10 avant 10.8.5 » et « 11 avant 11.3.4_23 » et provient d’une mauvaise gestion de la validation AS2. Exploitée en juillet 2025, elle permet d’obtenir des privilèges administrateur (ex. l’utilisateur intégré crushadmin), entraînant un contrôle total du serveur (création/lecture de fichiers sensibles). Le billet souligne l’ampleur potentielle avec plus de 30 000 instances exposées. ...