Publication De Recherche

Selon un billet technique de watchTowr Labs (Piotr Bazydlo), s’appuyant sur un avis de la Cyber Security Agency (CSA) de Singapour, une vulnérabilité critique CVE-2025-52691 dans SmarterTools SmarterMail permet une exécution de code à distance pré-authentifiée (CVSS 10), corrigée en build 9413 (10 oct. 2025) alors que l’avis public n’est paru qu’en fin décembre 2025. Le produit concerné est SmarterMail (serveur e-mail/collaboration Windows/Linux). Les chercheurs notent un possible correctif silencieux en octobre (build 9413) précédant la divulgation officielle, les notes de version mentionnant seulement des « general security fixes ». Les versions analysées montrent 9406 vulnérable et 9413 non vulnérable (build 9483 était la plus récente au moment de l’article). ...

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension légitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait même le badge “Featured” de Google. • Impact et périmètre: plus de 900 000 téléchargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgré un signalement à Google le 29 déc. 2025 (statut « in review » au 30 déc. 2025). ...

Source et contexte: Selon un billet de blog signé Davi Ottenheimer (2 janvier 2026), la génération de rapports policiers par l’IA « Draft One » d’Axon (alimentée par GPT‑4) a été induite en erreur par un fond sonore TV, révélant une vulnérabilité systémique qu’il surnomme « exploit Kermit ». 🐸 Fait marquant: à Heber City (Utah), lors de tests des logiciels « Draft One » et « Code Four », l’IA a capté l’audio d’un téléviseur diffusant « La Princesse et la Grenouille » et a injecté des éléments de ce scénario dans un rapport officiel, allant jusqu’à dépeindre un officier comme une grenouille. Le sergent Rick Keel l’a reconnu à Fox 13, soulignant l’importance de corriger les rapports générés. ...

Dans un billet technique publié le 1 janvier 2026, un chercheur en sécurité raconte comment il a abouti à une chaîne d’exploits menant à une RCE pré-auth sur LogPoint SIEM/SOAR après une première divulgation responsable de failles majeures découverte en 24 heures. Le contexte: l’analyse commence par un accès en labo à l’appliance (basée sur Ubuntu), la récupération des sources Python (en partie livrées en .pyc) via décompilation, et la cartographie de l’architecture: un backend historique en Python sur l’hôte et des microservices Java en Docker pour la partie SOAR. ...

Selon CEUR Workshop Proceedings (STPIS25), une étude de l’Université de Portsmouth analyse l’intégration de l’IA (machine learning appliqué) dans les Security Operations Centres (SOC) via une enquête mixte auprès de 58 professionnels de la cybersécurité. Le travail se concentre sur l’IA pour la détection d’anomalies et le tri des alertes, en excluant les modèles génératifs (LLM). Principaux constats quantitatifs: 68% déclarent utiliser au moins une technologie d’IA en opérations SOC. Les cas d’usage dominants sont le tri/détection des menaces, l’analyse de trafic réseau, l’identification de comportements, la détection de phishing et l’automatisation de tickets/réponse. 84% jugent l’IA efficace pour réduire les alertes non pertinentes et l’alert fatigue. La confiance reste conditionnelle: 19% déclarent une forte confiance, 34% une confiance partielle, avec une préférence pour l’IA en corrélation/enrichissement plutôt qu’en scorage de sévérité. ...

Source: NATO Science & Technology Organization (STO) — Chief Scientist Research Report. Le rapport présente la compréhension OTAN de la « guerre cognitive », formalise des cadres d’analyse et recense les activités S&T conduites pour anticiper, contrer et rendre les Alliés plus résilients face aux opérations d’influence soutenues par les technologies émergentes. Le document définit la guerre cognitive comme l’exploitation de la cognition humaine pour « perturber, miner, influencer ou modifier » la prise de décision, via des moyens militaires et non militaires, visant militaires et civils. Il souligne que cette approche dépasse l’InfoOps, les PsyOps et le STRATCOM, en s’attaquant à l’environnement informationnel et à la boucle OODA (Observe–Orient–Decide–Act) à l’échelle individuelle, de groupe et sociétale, souvent sous le seuil du conflit armé, avec des vecteurs comme la désinformation et les deepfakes. ...

Dans un billet technique publié le 23 décembre 2025, l’auteur explore l’abus de l’en-tête SMTP List‑Unsubscribe (RFC 2369) et montre comment son implémentation dans des webmails peut mener à des XSS et SSRF. L’article rappelle que de nombreux clients rendent un bouton « se désabonner » à partir de List‑Unsubscribe, parfois sous forme de lien client (URI) ou via une requête serveur. Des URI non filtrées (ex. schéma javascript:) peuvent déclencher des exécutions de script côté client, tandis que des requêtes côté serveur non restreintes peuvent mener à des SSRF. ...

Source: 39c3 — présentation par l’équipe Fuse Security. Le talk revient sur une attaque 0‑click in‑the‑wild visant WhatsApp sur appareils Apple et, par liens techniques, des appareils Samsung, en détaillant et en reproduisant la chaîne d’exploits autour de CVE‑2025‑55177, CVE‑2025‑43300 et CVE‑2025‑21043. • Contexte et chronologie. En août 2025, Apple corrige CVE‑2025‑43300, signalée comme exploitée in‑the‑wild dans une attaque « extrêmement sophistiquée ». Une semaine plus tard, WhatsApp publie un correctif pour CVE‑2025‑55177, également exploitée. Des éléments probants indiquent que ces failles ont été chaînées pour livrer un exploit via WhatsApp et voler des données d’appareils Apple, sans interaction utilisateur. En septembre, Samsung corrige CVE‑2025‑21043, une écriture OOB dans une bibliothèque de parsing d’images, confirmée exploitée. ...

Lors d’une présentation au 39c3 (Chaos Communication Congress), les chercheurs ont détaillé des vulnérabilités pratiques affectant des utilitaires de signature et de chiffrement largement utilisés, avec un site dédié (gpg.fail) et l’avertissement que la session pourrait contenir des zerodays. Les outils touchés incluent GnuPG, Sequoia PGP, age et minisign. Les failles proviennent principalement de bugs d’implémentation — notamment dans le parsing des formats — et non de défauts dans les primitives cryptographiques. Un exemple cité est la confusion sur les données réellement signées, permettant à un attaquant, sans la clé privée du signataire, d’échanger le texte en clair. ...

Kaspersky publie un rapport (19 déc. 2025) sur l’APT Cloud Atlas, ciblant l’Europe de l’Est et l’Asie centrale, et décrit en détail la chaîne d’infection et des implants (dont certains inédits) observés au 1er semestre 2025. Point d’entrée: phishing avec document Office (DOC/X) chargeant un modèle RTF malveillant exploitant CVE‑2018‑0802 (Equation Editor) pour télécharger/exécuter un HTA. Les modèles/HTA sont hébergés sur des serveurs de l’acteur, avec téléchargements restreints dans le temps et par IP. ...