Source : IEEE Security & Privacy (rubrique Last Word, septembre/octobre 2025). Daniel E. Geer, Jr. explore l’idée que la sécurité logicielle entre dans une « ère d’indéterminisme », amplifiée par la complexité des systèmes, les weird machines et l’essor du code généré par IA. L’auteur rappelle que les vulnérabilités se concentrent aux interfaces et que la sécurité n’est pas une propriété composable. En s’appuyant sur les travaux de Bratus et Shubina, il décrit les exploits comme des programmes exploitant des « machines plus riches » émergentes, révélées lorsque les hypothèses des concepteurs sont violées. Des chaînes d’exploitation d’une « complexité impossible » seraient déjà observées, dépassant les approches classiques comme le fuzzing. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-5777 [CVSS 9.3 🟥] [VLAI High 🟧] Produit : NetScaler ADC Score CVSS : 9.3 🟥 EPSS : 0.55194 🟧 VLAI : High 🟧 Poids social (Fediverse) : 910.5 Description : Validation insuffisante des entrées entraînant une lecture mémoire excessive lorsque le NetScaler est configuré en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) OU serveur virtuel AAA. Date de publication officielle : 17 June 2025 à 12h29 Posts Fediverse (13 trouvés) 🗨️ 二本松哲也 – n/d Amazonが発見したAPTによるCisco／Citrixゼロデイ攻撃 AWSのMadPotハニーポットは、Citrix Bleed2（CVE-2025-5777）の公表前攻撃を検知。 その解析過程で、Cisco ISEの未公開エンドポイントを狙うデシリアライズ脆弱性（CVE-2025-20337）を突いた不審ペイロードを特定。 これにより、攻撃者は認証不要で管理者権限を取得できる状況にありました。 ...

Source: BleepingComputer — ASUS a publié un nouveau firmware pour corriger une faille critique de contournement d’authentification affectant plusieurs routeurs DSL, permettant un accès distant non authentifié avec une faible complexité d’attaque et sans interaction utilisateur. • Vulnérabilité: CVE-2025-59367 — contournement d’authentification permettant à un attaquant distant non authentifié de se connecter aux appareils exposés en ligne, via des attaques de faible complexité et sans interaction utilisateur. • Produits et correctif: firmware 1.1.2.3_1010 disponible pour les DSL-AC51, DSL-N16 et DSL-AC750. ASUS recommande d’installer la dernière version depuis la page support ou la page produit. ...

Source: BBC (BBC World Service). Dans une interview exclusive en prison menée par Joe Tidy 🎙️, Vyacheslav “Tank” Penchukov, ex-membre clé de la cyber-escène, raconte son parcours de la bande Jabber Zeus à IcedID et à l’écosystème du ransomware, livrant des détails sur les gangs, leurs méthodes et des acteurs encore en cavale, dont l’énigmatique tête présumée d’Evil Corp. Dans les années 2000, Penchukov dirige la redoutée équipe Jabber Zeus, combinant le malware bancaire Zeus et la messagerie Jabber pour voler directement sur les comptes de PME, collectivités et associations. Au Royaume-Uni, plus de 600 victimes perdent plus de £4M en trois mois. Identifié après l’interception de chats, il échappe à l’opération Trident Breach de l’FBI en Ukraine, avant de tenter une reconversion (commerce de charbon) puis de replonger, évoquant pressions financières et contexte politique (Crimée). ...

Source et contexte: Avis conjoint TLP:CLEAR des agences américaines FBI, CISA, DC3 et HHS, avec la participation d’Europol EC3, de l’Office Anti-Cybercriminalité (France), d’autorités allemandes et du NCSC-NL (Pays-Bas), mis à jour le 13 novembre 2025 dans le cadre de l’initiative #StopRansomware. 🚨 Aperçu de la menace: Les acteurs d’Akira (associés à Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara, et possiblement liés à Conti) ciblent surtout les PME mais aussi de grandes organisations, avec une préférence pour les secteurs de la manufacture, éducation, IT, santé, services financiers et agroalimentaire. Depuis 2023, Akira opère sur Windows et Linux/ESXi; en juin 2025, première attaque sur Nutanix AHV via l’abus de CVE-2024-40766 (SonicWall). Fin septembre 2025, le groupe revendique environ 244,17 M$ de rançons. Des exfiltrations ont été observées en un peu plus de 2 heures après l’accès initial. Le schéma reste double extorsion. Le binaire Megazord serait probablement tombé en désuétude depuis 2024. ...

Source: Ars Technica (Dan Goodin) rapporte qu’Anthropic dit avoir observé la « première campagne de cyberespionnage orchestrée par IA », attribuée à un acteur étatique chinois, tandis que des experts externes en minimisent la portée. Anthropic décrit une opération de cyberespionnage menée par un groupe soutenu par la Chine (suivi comme GTG-1002) qui aurait utilisé Claude/Claude Code comme moteur d’exécution dans un cadre d’attaque autonome, automatisant jusqu’à 90% des tâches, avec seulement 4 à 6 points de décision humains. L’orchestration découpe les opérations en sous-tâches (reconnaissance, accès initial, persistance, exfiltration), enchaînées via une logique d’état et, souvent, le Model Context Protocol (MCP). Les cibles incluaient au moins 30 organisations (grands acteurs technologiques et agences gouvernementales), mais seule une « petite fraction » des intrusions a abouti. ...

L’article rapporte une baisse marquée des paiements de rançon par les entreprises australiennes face aux attaques par ransomware. 📉 La rançon moyenne payée par les entreprises en Australie est tombée à 711 000 AUD, presque divisée par deux par rapport au pic de 1,35 million AUD l’an dernier. Cette évolution reflète des changements d’attitude parmi les dirigeants et une meilleure préparation du secteur. 💸 Les taux de paiement reculent nettement: un sondage auprès de plus de 800 propriétaires et cadres d’entreprises australiennes indique que 64 % des victimes de ransomware au cours des cinq dernières années ont payé, contre 84 % l’an passé. ...

Selon BleepingComputer, le Département de la Justice des États‑Unis (DoJ) a annoncé que cinq individus ont plaidé coupable pour leur rôle dans des stratagèmes de génération de revenus illicites au profit de la Corée du Nord. Le cœur de l’affaire porte sur une opération de police visant des mécanismes de fraude d’employés IT à distance et de vols de cryptomonnaies. Les personnes impliquées ont admis avoir participé à ces activités destinées à alimenter des revenus illicites. ...

Le fabricant autrichien de vélos pour enfants woom GmbH a été victime le 7 novembre 2025 d’un cyberattaque coordonnée menée par une groupe international de hackers, dans le cadre d’une offensive touchant simultanément plusieurs entreprises européennes. L’entreprise a confirmé un accès non autorisé à certaines parties de son système d’information. Faits clés L’attaque a ciblé plusieurs systèmes internes de woom. L’entreprise a activé immédiatement son équipe de crise et fait intervenir l’agence spécialisée Cyberschutz. Les systèmes compromis ont été isolés, analysés puis entièrement restaurés. Selon les premières informations, certaines données clients pourraient être concernées, mais : aucune donnée sensible (paiements, mots de passe) n’aurait été compromise. Les clients potentiellement affectés seront informés dès la fin de l’enquête. Conséquences Pas d’interruption durable des opérations : les systèmes sont de nouveau opérationnels. Risque limité mais réel : des données clients non sensibles pourraient avoir été exposées. L’entreprise renforce ses investissements en sécurité : firewalls avancés, chiffrement multicouche, formation du personnel. Impact réputationnel potentiel pour une marque positionnée sur la confiance et la qualité. Situation actuelle Le cyberattaque est contenu. Les systèmes de woom sont entièrement restaurés. Aucune preuve que des données sensibles aient été compromises. L’enquête interne se poursuit pour déterminer l’ampleur exacte du vol de données. Les clients concernés seront notifiés conformément aux obligations légales. Type d’article : annonce d’incident visant à informer de l’attaque, de l’état de rétablissement des systèmes et de l’impact partiel sur les données clients. ...

Source et contexte: SEAL Intel publie une analyse détaillée décrivant une évolution des tactiques des « IT Workers » liés à la DPRK, qui agissent désormais comme recruteurs pour scaler l’accès à des comptes vérifiés sur des plateformes freelance et opérer sous des identités légitimes. • Le rapport met en évidence l’émergence d’un modèle opérationnel en 8 étapes, partagé depuis 2024, où des profils DPRK passent du simple job-seeking au recrutement coordonné de « collaborateurs ». Objectif: obtenir des comptes vérifiés et des IP propres pour contourner les contrôles, tout en obscurcissant l’attribution et en maximisant les revenus. ...