Publication De Recherche

Selon Include Security, des vulnérabilités d’authentification affectent la console audio professionnelle Allen & Heath SQ‑6, avec des services réseau exposés sans authentification serveur et des communications non chiffrées, susceptibles de perturber des événements en direct. Le fournisseur a été notifié et a publié un correctif. • Découverte et impact: les chercheurs ont identifié de la client-side authentication dans les applications mobiles, contournable via Frida, et un service MIDI non authentifié accessible sur le réseau. Ces failles permettent le contrôle complet du mixeur (mise en sourdine, changements de scène, volume), exposant à des perturbations de spectacles/événements. Ils soulignent un problème plus large dans l’industrie AVL (audio‑vidéo‑lumière) où la sécurité repose trop sur la segmentation réseau. ...

Source et contexte — Ars Technica (Dan Goodin, 30 sept. 2025) détaille deux publications académiques indépendantes montrant des attaques physiques contre les enclaves de confiance (TEE) d’Intel (SGX) et d’AMD (SEV‑SNP), rendues possibles par leur chiffrement déterministe de la mémoire DDR4. • Battering RAM 🔧: une attaque active à faible coût (< 50 $) via un interposer analogique placé entre CPU et DIMM DDR4. En créant des alias mémoire, l’attaquant capture puis rejoue des chiffrés; le chiffrement déterministe garantit une décryption cohérente au même emplacement. Impact: ...

Source: today.ucsd.edu UC San Diego — Présentée à Black Hat (août 2025) et à l’IEEE S&P (mai), l’étude a évalué sur huit mois l’efficacité de deux approches de formation anti‑phishing auprès de 19 500 employés d’UC San Diego Health. Les chercheurs n’ont trouvé aucune relation significative entre l’achèvement de la formation annuelle obligatoire et la probabilité de succomber à des emails de phishing. L’entraînement intégré (embedded), délivré après un clic sur un hameçon simulé, n’a réduit le taux d’échec que de 2%. ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Source : Varonis — Dans une publication axée « Threats and Vulnerabilities », Varonis décrit « ForcedLeak », une chaîne de vulnérabilités critique affectant la plateforme AI Agentforce de Salesforce. L’attaque permet l’exfiltration discrète de données CRM via des injections de prompts indirectes au sein des formulaires Web‑to‑Lead, en tirant parti de défauts de frontières de contexte d’agents et d’une politique CSP mal configurée. Le vecteur principal est une injection de prompt indirecte dans les soumissions Web‑to‑Lead : des instructions malveillantes sont dissimulées dans le champ Description (jusqu’à 42 000 caractères) et exécutées par des agents AI autonomes lors du traitement des leads, ce qui aboutit à l’envoi de données sensibles vers des domaines contrôlés par l’attaquant, en contournant les contrôles de sécurité. Les organisations utilisant Salesforce Agentforce avec Web‑to‑Lead sont exposées immédiatement ⚠️. ...

Source : Elastic Security Labs — Des chercheurs présentent « FlipSwitch », une technique de rootkit Linux capable de contourner le nouveau mécanisme de dispatch des syscalls introduit dans le kernel 6.9. Le noyau Linux 6.9 a remplacé la table sys_call_table par un dispatch via switch pour neutraliser le hooking classique des syscalls. FlipSwitch contourne cette défense en modifiant directement le code machine du dispatcher des syscalls (x64_sys_call), évitant toute dépendance à la sys_call_table désormais non utilisée pour le routage effectif. ...

Source: GitHub (b1n4r1b01). Contexte: billet technique décrivant une vulnérabilité CoreMedia/MediaToolbox sur iOS, avec analyse de correctif, preuve de concept et mise en perspective « in the wild ». L’auteur localise la faille dans le sous-système Remaker de MediaToolbox.framework, due à une mauvaise gestion de l’objet FigRemakerTrack conduisant à un use-after-free/double free. En forçant un identifiant de piste hors bornes, l’appel URLAssetCopyTrackByID échoue et le flux de contrôle emprunte un chemin « buggy » où FigRemakerTrack est libéré alors que FigRemaker conserve une référence, ouvrant la voie à une exécution de code dans le processus mediaplaybackd. La vulnérabilité est évoquée dans le cadre des correctifs d’iOS 18.3, parmi les CVE liés à CoreMedia, comme unique cas UAF dans ce lot. ...

Selon The Record, Okta affirme dans de nouvelles recherches que la Corée du Nord a perfectionné un stratagème visant des entreprises basées aux États-Unis et l’a étendu à des dizaines de pays et plusieurs industries. Le régime nord-coréen étend rapidement son opération de placement illégal de travailleurs IT au-delà du secteur technologique américain, touchant désormais des dizaines d’industries et plusieurs pays à travers le monde. Cette campagne consiste à infiltrer des entreprises via de faux profils et documents volés, obtenant ainsi des emplois à distance bien rémunérés pour contourner les sanctions économiques et générer des millions de dollars au profit des programmes militaires de Pyongyang. ...

Selon Forescout (billet de blog référencé), l’adoption de la cryptographie post-quantique (PQC) progresse côté serveurs SSH mais reste en net retrait sur les appareils non gérés, alors que les échéances de migration se situent entre 2030 et 2035. Principaux constats chiffrés 🔍 Support PQC sur serveurs SSH: 8,5% (26% pour OpenSSH) Adoption par type d’actifs: IT 42% vs IoT 20% vs OT/équipements réseau 11% vs IoMT 2% Secteurs les plus en retard: industries dépendantes d’actifs non gérés (manufacturing, oil & gas, mining) Urgences mises en avant: inventorier les actifs, classifier les données (longévité/sensibilité), établir des feuilles de route de migration Équipements critiques vulnérables: routeurs et appliances VPN, cibles privilégiées pour l’accès privilégié Détails techniques (SSH/TLS) 🔐 ...

Source: Silent Push — Dans une publication de recherche du 26 septembre 2025, l’équipe Threat Intelligence de Silent Push analyse l’usage abusif des fournisseurs de sous‑domaines (« Dynamic DNS ») et annonce des exports de données pour suivre plus de 70 000 domaines qui louent des sous‑domaines. • Portée et objectif: Silent Push a compilé des exports exclusifs permettant aux organisations de surveiller en temps réel les domaines louant des sous‑domaines, souvent exploités par des acteurs malveillants. L’objectif est d’aider à détecter, alerter, ou bloquer les connexions vers ces hôtes selon la tolérance au risque. Les exports et les flux IOFA (Indicators Of Future Attack) sont disponibles pour les clients Enterprise. ...