Selon LeMagIT (article de Valéry Rieß-Marchive, 7 janvier 2026), LockBit met en scène son « retour » sous bannière LockBit 5.0 en multipliant les publications de victimes, mais une analyse détaillée révèle surtout un volume gonflé par des revendications recyclées. • Chronologie des publications 📅 7 décembre 2025 : 40 victimes publiées. Mi-décembre : 9 revendications supplémentaires. 26 décembre : un lot de 54 revendications. Au total, plus de 110 revendications sont apparues en décembre 2025. • Recyclage massif et originalité limitée 🧮 ...

Source : Malware Analysis Space (blog de Seeker/@clibm079, Chine), publié le 2 janvier 2026. L’auteur propose des « notes complémentaires » à une analyse antérieure de LoJax, centrées sur le mécanisme de gestion/persistance abusé par ce bootkit UEFI, avec un fil conducteur du firmware jusqu’au mode utilisateur. Le billet rappelle que, sur une machine victime avec le Secure Boot désactivé ou mal configuré, LoJax exploite une condition de concurrence dans les protections d’écriture de la SPI flash. La persistance n’est pas basée sur les variables de boot UEFI, mais sur un driver DXE malveillant stocké en SPI flash. L’exécution est déclenchée via un callback d’événement ReadyToBoot (confirmation attribuée à ESET), et aucune modification de Boot####/BootOrder n’est rapportée (confiance indiquée comme faible). ...

Selon un bulletin de sécurité d’ownCloud, s’appuyant sur un rapport d’Hudson Rock, des intrusions ont visé des plateformes de partage de fichiers auto‑hébergées, dont des instances communautaires d’ownCloud, via l’exploitation de combinaisons identifiant/mot de passe volées — sans faille ni zero‑day. Le hacker « Zestix » (aka « Sentap ») a mis en vente sur le dark web des données attribuées à environ 50 organisations internationales. 🚨 Nature de la menace et impact: les attaquants ont utilisé des identifiants compromis par des infostealers (notamment RedLine, Lumma, Vidar) installés sur des postes d’employés. Ces malwares aspirent les mots de passe stockés (navigateurs/système), ensuite revendus en masse sur des places de marché clandestines. Des cybercriminels filtrent ces bases pour identifier des accès à des services d’entreprise (dont des portails ownCloud) et se connectent comme des utilisateurs légitimes lorsqu’aucune authentification multifacteur (MFA) n’est exigée. 🔐 ...

Selon la documentation du projet PackageInferno, l’outil propose une chaîne de traitement complète en conteneurs pour auditer la supply chain npm et visualiser les résultats localement via un tableau de bord. 🧰 Pipeline clef en main en Docker : un « enumerator » construit la file de paquets, un « fetcher » télécharge les tarballs (avec option d’upload S3), un « analyzer » effectue l’analyse statique (YARA en option) et un Postgres stocke les résultats. Un dashboard Streamlit (http://localhost:8501) permet la recherche, le drill‑down et des analyses. La configuration passe par scan.yml (allowlists, seuils, règles YARA), avec historique des scans en base (scan_runs). ...

Contexte: Cloud Security Alliance (CSA), article de Rich Mogull (01/09/2026). 🔍 Message central: l’auteur propose que la première question sécurité sur tout projet d’IA soit « Pourquoi ? Quel résultat métier visons-nous ? », immédiatement suivie de « Comment cela l’atteint-il ? ». Cette approche force une discussion concrète sur l’architecture, l’interaction humaine, l’accès aux données, la conformité et les risques, plutôt que de déployer l’IA par effet de mode. ...

Selon Emsisoft News (Luke Connolly, 7 janvier 2026), l’analyse des données 2025 issues de RansomLook.io et Ransomware.live met en lumière une hausse marquée des victimes de ransomware, la fragmentation de l’écosystème criminel et l’efficacité accrue de l’ingénierie sociale. 📈 Tendances chiffrées. Les victimes « revendiquées » par les groupes passent d’environ 5 400 en 2023 à 8 000+ en 2025 (selon les deux sources). La croissance 2025 sur 2024 atteint +46% (RansomLook) et +33% (Ransomware.live). Le nombre de groupes actifs progresse en parallèle (jusqu’à 126–141 en 2025), avec une moyenne de victimes par groupe restant globalement stable (~60–65 depuis 2023/2024), suggérant que la fragmentation maintient la cadence d’attaques. ...

Source : LeMagIT (Valéry Rieß-Marchive), actualité du 8 janvier 2026. Après une accalmie en 2024, les demandes d’assistance à Cybmalveillance.gouv.fr ont montré une reprise marquée en décembre 2024. En 2025, la tendance a alterné entre repli modéré (avril à août) puis nouvelle reprise, suivie d’un repli en novembre et décembre. Ces dynamiques concordent avec les revendications des cybercriminels et les constatations du MagIT. 📈🔁 Fait notable en 2025 : le nombre de dossiers ouverts par le parquet de Paris ne suit plus cette courbe. Selon des chiffres relayés par ZDNet, il y a un décrochage sensible des plaintes par rapport aux incidents réellement survenus. 📉 ...

Selon l’article, dans le contexte d’une intensification des opérations en 2024-2025, un nouveau groupe de ransomware nommé SafePay s’impose comme une menace mondiale majeure. 🔒 SafePay fonctionne à l’opposé des modèles RaaS dominants : le groupe est centralisé et fermé, gardant un contrôle strict sur l’infrastructure, les négociations et les profits. Cette approche OPSEC vise à réduire les risques de fuites de code et d’infiltration par les forces de l’ordre qui ont affecté des groupes comme LockBit et ALPHV. ...

Source : billet de blog de Linus Heckemann (9 janvier 2026). L’auteur illustre d’abord le risque de « Process information leakage » lorsqu’un secret (ex. un token Bearer pour l’API GitLab) est passé en argument de commande, car les lignes de commande sont lisibles via /proc sur la plupart des distributions Linux (outils comme ps/pgrep). Des options comme hidepid pour /proc ou l’isolation par défaut de macOS limitent la visibilité inter-utilisateurs, mais la meilleure approche reste d’éviter de placer des secrets sur la ligne de commande. ...

Selon Le Marin et France Info, une nouvelle coupure de câble optique sous-marin a été constatée en mer Baltique, prolongeant une série d’incidents survenus depuis la guerre russo‑ukrainienne. Le dernier incident concerne le câble Arelion reliant la Lituanie à la Lettonie (long de 97 km), sectionné le 2 janvier. Il fait suite à des coupures entre la Suède et l’Estonie le 30 décembre, puis entre l’Estonie et la Finlande le 31 décembre. Ces événements successifs laissent envisager des actions coordonnées et volontaires visant des infrastructures critiques 🌐. ...