Publication De Recherche

Selon la notice de publication officielle (version 1.0, publiée le 8 décembre 2025), le FACT Attribution Framework v1.0 est un modèle d’enquête juridiquement fondé visant à combler l’écart entre les preuves techniques et l’attribution humaine. Le framework fournit une méthode structurée et de bout en bout pour établir qui a réalisé une action numérique, sur quelles preuves cette conclusion s’appuie, et si elle peut résister à un examen juridique, administratif ou organisationnel. ...

Selon Kaspersky Security Services (publication sur le site Kaspersky Digital Footprint Intelligence), des chercheurs ont étudié l’usage de Telegram par les cybercriminels, ses capacités techniques pour des opérations clandestines et le cycle de vie des chaînes illicites, en analysant plus de 800 chaînes bloquées entre 2021 et 2024. L’étude souligne que, vus par des cybercriminels, Telegram présente des limites en matière d’anonymat et d’indépendance: absence de chiffrement de bout en bout par défaut, infrastructure centralisée et code serveur fermé. Malgré ces faiblesses, la plateforme est largement utilisée comme place de marché clandestine grâce à des fonctionnalités qui facilitent l’activité underground. ...

Selon des recherches publiées par Straiker STAR Labs, une nouvelle attaque « agentic browser » vise le navigateur Comet de Perplexity. Présentée comme un « zero-click Google Drive Wiper », elle peut convertir un e‑mail apparemment anodin en une action destructive effaçant l’intégralité du contenu Google Drive d’un utilisateur. L’attaque met en avant un vecteur d’exploitation lié aux navigateurs agentiques et à l’automatisation des tâches. L’impact annoncé est l’effacement complet d’un Google Drive. Les produits concernés incluent le navigateur Comet de Perplexity, ainsi que Gmail et Google Drive. ...

Palo Alto Networks (Unit 42) publie une analyse technique montrant, via trois preuves de concept réalisées sur un copilot de code intégrant MCP, comment la fonctionnalité de sampling du Model Context Protocol peut être abusée pour mener des attaques, et détaille des stratégies de détection et de prévention. Contexte. MCP est un standard client-serveur qui relie des applications LLM à des outils et sources externes. La primitive de sampling permet à un serveur MCP de demander au client d’appeler le LLM avec son propre prompt, inversant le schéma d’appel classique. Le modèle de confiance implicite et l’absence de contrôles de sécurité robustes intégrés ouvrent de nouveaux vecteurs d’attaque lorsque des serveurs (non fiables) peuvent piloter ces requêtes de complétion. ...

Selon un rapport d’Anthropic rapporté par Gizmodo, des tests en environnement simulé évaluent la capacité de LLMs avancés à identifier et exploiter des failles dans des smart contracts DeFi sur des blockchains compatibles EVM. Les modèles comme Claude Opus 4.5 et GPT-5 ont analysé des centaines de contrats, générant des scripts complets mimant des exploits historiquement observés (Ethereum et EVM). Ils auraient “détourné” de façon simulée environ 550 M$ sur un corpus de contrats déjà exploités (2020–2025). Notamment, Opus 4.5 a réussi à exploiter la moitié d’un sous-ensemble de 34 contrats intentionnellement vulnérables dont les attaques réelles étaient postérieures à sa date de connaissance (mars 2025), pour environ 4,5 M$ simulés. ...

Source: billet technique de Lucas Laise. Contexte: analyse d’une vulnérabilité (CVE-2024-36424) dans K7 Ultimate Security v17.0.2045 menant d’un simple accès utilisateur à des privilèges SYSTEM, avec rétro‑ingénierie et étude des correctifs. Le chercheur identifie un mécanisme de communication par named pipe entre l’interface utilisateur (K7TSMain.exe) et un service SYSTEM (K7TSMngr), via le pipe « \.\pipe\K7TSMngrService1 ». En cochant l’option « Non Admin users can change settings and disable protection », des requêtes sont envoyées pour modifier des clés de registre en SYSTEM, permettant d’ouvrir les paramètres à tous les utilisateurs. Premier impact: désactivation de la protection antivirus et possibilité de whitelister des fichiers en tant qu’utilisateur non privilégié. ...

Source: dépôt public de l’auteur; contexte: la publication intervient après la circulation de PoC publics et l’usage d’une variante par l’outil de scanning de Google. Le dépôt annonce la mise en ligne de trois PoC pour React2Shell (CVE-2025-55182): 00-very-first-rce-poc (premier PoC RCE, fonctionne directement sur des builds de développement de Next.js utilisant Webpack), 01-submitted-poc.js (le principal, exactement celui soumis à Meta, plus simple et efficace), et 02-meow-rce-poc (PoC haché et publié comme preuve par « Sylvie » le 29 novembre, peu avant la divulgation initiale à Meta). ...

Selon Searchlight Cyber (billet de recherche, 4 décembre 2025), une vulnérabilité de type RCE affectant Next.js en configuration par défaut via React Server Components (RSC) fait l’objet de nombreux PoC erronés, et l’équipe publie un test réseau précis pour confirmer la présence du défaut. ⚠️ Contexte et portée: L’avis du jour signale une exécution de code à distance (RCE) exploitable sans prérequis sur des applications Next.js utilisant RSC. Les auteurs soulignent que se contenter de détecter la présence de RSC n’est pas suffisant pour conclure à la vulnérabilité et que plusieurs PoC GitHub ne reflètent pas l’exploit réellement communiqué aux mainteneurs (référence à react2shell.com). ...

Source: AI Forensics (rapport 2025, données collectées via TikTok entre le 13 août et le 13 septembre 2025, analyses finalisées jusqu’en octobre 2025). AI Forensics (AIF) analyse 383 puis surveille 354 « Agentic AI Accounts » (AAAs) sur TikTok, des comptes qui automatisent la production et le test de contenus via des outils d’IA générative pour maximiser la viralité. Ces AAAs ont publié 43 798 contenus en plus de 20 langues, cumulé plus de 4,5 milliards de vues, et 65,1% ont été créés en 2025. Les AAAs postent massivement (jusqu’à 70 posts/jour, moyenne pouvant atteindre 11/jour) et 78,5% étaient dès l’origine des comptes 100% IA. ...

Source et contexte: GCSP (Geneva Centre for Security Policy) – Policy Brief No.22 de novembre 2025 par Dr Gazmend Huskaj. Le document dresse un panorama global des opérations de cyberspace offensives, analyse les risques de mauvaise attribution et d’escalade, met en lumière les angles morts juridiques, et formule des recommandations pour renforcer la stabilité et la coopération internationale. Principaux constats: La capacité à mener des opérations cyber offensives s’est largement diffusée (au moins 40 États dès 2019, x4 depuis 2011), abaissant la barrière d’entrée et « nivelant » le rapport de forces. Des exemples marquants illustrent l’impact disproportionné de certains acteurs: WannaCry (2017, rançongiciel) attribué à la Corée du Nord, attaques iraniennes (2022) contre l’Albanie, et intrusion supply‑chain SolarWinds (2021) liée à l’écosystème du renseignement russe. Les grandes puissances et alliances adaptent leurs doctrines: OTAN (cyber reconnu comme domaine opérationnel, Cyberspace Operations Centre IOC en 2023, emploi de « sovereign cyber effects »), doctrines de persistent engagement et defend forward; unités dédiées au Royaume‑Uni (National Cyber Force) et en Allemagne. La compétition autour des zero‑days et l’opacité des autorités de décision entretiennent les risques. ...