Rapport D'incident

Selon The Register (Jessica Lyons), un vendeur sur des forums du dark web affirme avoir violé l’ingénierie Pickett USA (Floride) et propose à la vente environ 139 Go de données d’infrastructure liées à plusieurs grandes utilities américaines, pour 6,5 bitcoins (~585 000 $). Le criminel dit détenir 892 fichiers « réels et opérationnels » issus de projets actifs concernant Tampa Electric Company, Duke Energy Florida et American Electric Power. Quatre fichiers échantillons auraient été fournis comme preuve. Pickett USA a « pas de commentaire ». Duke Energy indique enquêter et a rappelé disposer d’une équipe de cybersécurité mobilisée. Les deux autres entreprises n’ont pas répondu. The Register souligne que les allégations de criminels doivent être prises avec prudence. ...

Selon DataBreaches (databreaches.net), un individu surnommé « Lovely » l’a contacté via Signal en novembre 2025 pour obtenir un point de contact sécurité chez Condé Nast, avant de se révéler publier des données d’utilisateurs de WIRED. DataBreaches explique avoir d’abord aidé à relayer l’alerte, « Lovely » affirmant ne pas chercher de rémunération et évoquant une vulnérabilité permettant d’exposer des profils et de changer les mots de passe des comptes. La personne a ensuite revendiqué avoir téléchargé plus de 33 millions de comptes (par marques du groupe, listés en fichiers JSON) et a finalement indiqué avoir communiqué six vulnérabilités à l’équipe sécurité après mise en relation via un contact chez WIRED. Condé Nast ne disposait pas de fichier security.txt clair pour le signalement. ...

Selon CERT Orange Polska, un record de DDoS a été observé le 24 décembre (mise à jour le 31 décembre 2025), ciblant leur réseau pendant la période des fêtes. L’attaque, décrite comme un DDoS volumétrique classique, a atteint 1,5 Tb/s et 134,5 Mpps, tout en visant un seul adressage IP. Les auteurs ont choisi la veille de Noël, moment de vigilance réduite et de fort trafic légitime, pour maximiser l’impact potentiel. ...

Source: Hackread (26 décembre 2025). L’article rapporte que le groupe ransomware Everest a publié sur son site de fuites du dark web une revendication d’intrusion chez Chrysler (Stellantis), avec 1 088 Go de données exfiltrées couvrant 2021–2025, dont 105+ Go liés à Salesforce. Au moment de la publication, Chrysler n’a pas confirmé et la vérification indépendante est limitée. Les échantillons et captures d’écran partagés montreraient des bases de données structurées, des feuilles de calcul internes, des arbres de répertoires et des exports CRM. Les données CRM affichées incluent des journaux d’interactions client avec noms, numéros de téléphone, e‑mails, adresses postales, détails de véhicules, ainsi que des notes de rappel et des résultats d’appels (boîte vocale, numéro erroné, rappel planifié, etc.). ...

Selon INFINITY AREA (27–29 décembre 2025), LAPSUS$ a revendiqué une intrusion au CNRS et mis en ligne une première archive liée à la caméra NectarCam du projet CTA, tandis que leur enquête sur un forum de cybercriminels confirme l’authenticité et l’ampleur des fuites en cours. — Détails de l’incident CNRS/NectarCam — • Fuite issue d’une exportation phpMyAdmin datée de décembre 2025, décrite comme une Shadow Database (base de test/démo moins protégée). • Le projet visé est NectarCam, une caméra ultra‑sensible pour les télescopes du Cherenkov Telescope Array (CTA). La fuite ne concerne pas les données personnelles d’employés mais des informations techniques du dispositif. • L’archive révèle l’usage de versions logicielles récentes, notamment MariaDB 10.11, malgré la présence de fichiers historiques (2015). ...

The Register rapporte que Coupang, grand e-commerçant sud-coréen, a détaillé une intrusion interne où un ancien employé aurait accédé indûment aux données de 33 millions de clients, sur la base d’une enquête menée avec Mandiant, Palo Alto Networks et Ernst & Young. — Contexte et faits principaux — Selon Coupang, l’ex-employé a dérobé une clé de sécurité lorsqu’il travaillait encore dans l’entreprise, puis l’a utilisée pour accéder à des enregistrements clients. L’intéressé aurait consulté environ 3 000 historiques de commandes et codes d’accès d’immeubles (pour la livraison), tout en admettant les faits par déclarations sous serment. — Périmètre et impacts — ...

Source: BleepingComputer (Lawrence Abrams). L’article rapporte qu’Ubisoft a confirmé un incident affectant Rainbow Six Siege (R6) ayant permis des abus en jeu, tandis que des rumeurs non vérifiées évoquent une compromission plus large de l’infrastructure via la vulnérabilité MongoDB MongoBleed (CVE-2025-14847). 🎮 Incident confirmé et impact Les attaquants ont pu bannir/débannir des joueurs, afficher de faux messages de bannissement sur le ticker, octroyer ~2 milliards de R6 Credits et de Renown à tous les joueurs, et déverrouiller tous les cosmétiques, y compris des skins réservés aux développeurs. Les R6 Credits étant une monnaie premium (15 000 crédits = 99,99 $), la valeur estimée des crédits distribués avoisine 13,33 M$. 🛑 Réponse d’Ubisoft ...

Selon BleepingComputer, Nissan Motor Co. Ltd. a confirmé que des informations appartenant à des milliers de ses clients ont été compromises après la brèche de données survenue chez Red Hat en septembre. Les faits clés 🔐 Organisation impactée: Nissan Incident d’origine: brèche de données chez Red Hat (septembre) Impact: informations de milliers de clients compromises Cet article met en lumière un effet de cascade où un incident chez Red Hat a eu des répercussions sur les données clients de Nissan, sans autres détails opérationnels fournis dans l’extrait. ...

Source: Blog personnel de Jake Saunders. Contexte: l’auteur reçoit un abus report de son hébergeur Hetzner signalant du scanning réseau sortant; il découvre que son instance Umami (analytics) a été compromis via une faille Next.js récemment divulguée. L’incident démarre par un email d’abus Hetzner signalant du scanning vers une plage d’IP en Thaïlande. Sur le serveur (hébergé chez Hetzner et orchestré avec Coolify), l’auteur observe une charge CPU anormale et des processus de minage (xmrig) tournant en tant qu’utilisateur UID 1001. L’investigation montre la présence d’un dossier xmrig-6.24.0 à l’emplacement interne de Next.js dans le conteneur Umami, avec une commande pointant vers un pool Monero. ⛏️ ...

Source: S-RM — Dans un rapport d’incident, S-RM décrit l’exploitation de la vulnérabilité critique React2Shell (CVE-2025-55182) comme vecteur d’accès initial menant au déploiement du ransomware Weaxor. Ce cas marque la première observation par S-RM de l’usage de cette faille par des acteurs à but financier pour de l’extorsion, élargissant l’impact connu au-delà des backdoors et crypto‑miners. Vulnérabilité: React2Shell (CVE-2025-55182) affecte React Server Components (RSC) et le protocole Flight dans React et Next.js. Elle permet une exécution de code à distance non authentifiée via une requête HTTP malveillante, avec exécution sous l’utilisateur du processus serveur. Gravité CVSS 10.0, exploitation aisée et propice à l’automatisation 🚨. ...