Dans un billet technique publié le 23 décembre 2025, l’auteur explore l’abus de l’en-tête SMTP List‑Unsubscribe (RFC 2369) et montre comment son implémentation dans des webmails peut mener à des XSS et SSRF. L’article rappelle que de nombreux clients rendent un bouton « se désabonner » à partir de List‑Unsubscribe, parfois sous forme de lien client (URI) ou via une requête serveur. Des URI non filtrées (ex. schéma javascript:) peuvent déclencher des exécutions de script côté client, tandis que des requêtes côté serveur non restreintes peuvent mener à des SSRF. ...

Selon Le Monde Informatique (Jacques Cheminat), s’appuyant sur des propos tenus à The Register, Airbus va lancer début janvier un appel d’offres pour migrer des charges de travail critiques vers un cloud européen souverain afin de garantir un contrôle européen sur des données jugées « extrêmement sensibles » au niveau national et européen. Le contrat est estimé à 50 M€ sur 10 ans avec une prévisibilité des prix, et une décision est attendue avant l’été. ☁️🇪🇺 ...

Source: 39c3 — présentation par l’équipe Fuse Security. Le talk revient sur une attaque 0‑click in‑the‑wild visant WhatsApp sur appareils Apple et, par liens techniques, des appareils Samsung, en détaillant et en reproduisant la chaîne d’exploits autour de CVE‑2025‑55177, CVE‑2025‑43300 et CVE‑2025‑21043. • Contexte et chronologie. En août 2025, Apple corrige CVE‑2025‑43300, signalée comme exploitée in‑the‑wild dans une attaque « extrêmement sophistiquée ». Une semaine plus tard, WhatsApp publie un correctif pour CVE‑2025‑55177, également exploitée. Des éléments probants indiquent que ces failles ont été chaînées pour livrer un exploit via WhatsApp et voler des données d’appareils Apple, sans interaction utilisateur. En septembre, Samsung corrige CVE‑2025‑21043, une écriture OOB dans une bibliothèque de parsing d’images, confirmée exploitée. ...

Source: GitHub (HotCakeX/Harden-Windows-Security). Une page wiki mise à jour détaille AppControl Manager, une application moderne et gratuite pour gérer Windows App Control et Code Integrity sur postes locaux ou distants. L’outil fournit une interface graphique pour créer/éditer/déployer des politiques App Control, avec support de Windows 11 (22H2 à 25H2) et Windows Server 2025. Il est développé en C#/WinUI3/.NET (WinAppSDK), packagé en MSIX, sans dépendances tierces, sans télémétrie, avec exécution rapide, trimming et Native AOT, et prise en charge x64/ARM64. 🔧 ...

Selon Cointribune, une arrestation en Inde relance l’enquête sur le vol de données ayant touché Coinbase, où un ex-employé du support client aurait transmis des informations sensibles à un réseau criminel, exposant 69 461 comptes. 🚨 Faits principaux Arrestation: la police d’Hyderabad a interpellé un ex-agent du support client lié à une infiltration amorcée en décembre 2024. Données compromises: noms, adresses, pièces d’identité d’utilisateurs ; aucun vol direct de crypto-fonds signalé. Victimes: 69 461 utilisateurs affectés. Extorsion: une rançon de 20 M$ a été exigée pour ne pas divulguer les données ; Coinbase a refusé. 🔐 Réponse de Coinbase ...

Selon un article d’actualité publié le 29 décembre 2025, les bornes de recharge pour véhicules électriques font face à une montée des cybermenaces, avec une hausse estimée à +39% d’incidents en 2024 aux États-Unis et une tendance similaire en Europe. Ces équipements, au croisement de la mobilité, de l’énergie et des services numériques, deviennent une cible d’intérêt pour les attaquants. 🔌⚠️ La surface d’attaque est élargie par l’interconnexion permanente avec les véhicules, les applications des opérateurs et les systèmes de paiement. Parmi les techniques courantes, le phishing via faux QR codes apposés sur les bornes redirige vers des sites qui imitent les interfaces officielles, facilitant la collecte de données bancaires et identifiants. Des fuites massives de données (noms d’utilisateurs, localisation précise des bornes, numéros de série de véhicules) ont été observées, avec reventes sur le dark web. ...

Contexte: Billet de blog d’un chercheur en sécurité détaillant plusieurs failles majeures dans l’écosystème Petlibro (distributeurs, fontaines et caméras connectés), utilisés par des millions de propriétaires d’animaux. 🚨 Principales vulnérabilités: Bypass d’authentification (prise de compte complète) via l’endpoint social login qui ne vérifiait pas les tokens OAuth et acceptait un identifiant Google côté client. Absence de contrôle d’accès sur l’endpoint de détail des animaux permettant de consulter les informations de n’importe quel animal via son identifiant. Exposition d’informations d’appareils (numéro de série, adresse MAC, nom du produit) récupérables à partir d’un ID d’animal lié. Prise de contrôle d’appareils: les API d’appareils acceptaient n’importe quel numéro de série sans vérification de propriété (programmation des repas, déclenchement manuel, accès caméra, réglages, etc.). Accès à des enregistrements audio privés en raison d’identifiants séquentiels et d’une API permettant d’associer n’importe quel audio à n’importe quel appareil, puis de récupérer l’URL. Ajout non autorisé de co-propriétaires: contrôle en place seulement pour la suppression, pas pour l’ajout. 🎯 Impacts mentionnés: ...

Selon un rapport publié par CheckPoint, une campagne de phishing a exploité des fonctionnalités légitimes de Google Cloud afin d’envoyer des e‑mails frauduleux semblant provenir de l’infrastructure de Google et imitant des notifications d’entreprise. • Échelle et crédibilité 📨 Les attaquants ont expédié 9 394 e‑mails de phishing ciblant environ 3 200 clients en 14 jours, tous envoyés depuis l’adresse légitime [email protected]. Les messages copiaient le style des notifications Google (alertes de messagerie vocale, demandes d’accès à des fichiers) pour paraître normaux et fiables. ...

Source: CNIL — Le 22 décembre 2025, la CNIL a prononcé une amende de 1 700 000 € contre NEXPUBLICA FRANCE (ex-INETUM SOFTWARE FRANCE) pour des mesures de sécurité insuffisantes dans son progiciel PCRM utilisé dans l’action sociale. • Contexte et produit concerné: NEXPUBLICA FRANCE développe le progiciel PCRM, un outil de gestion de la relation avec les usagers, notamment utilisé par des MDPH. Fin novembre 2022, des clients ont notifié à la CNIL des violations de données après que des usagers ont pu accéder à des documents concernant des tiers. ...

Selon INFINITY AREA (27–29 décembre 2025), LAPSUS$ a revendiqué une intrusion au CNRS et mis en ligne une première archive liée à la caméra NectarCam du projet CTA, tandis que leur enquête sur un forum de cybercriminels confirme l’authenticité et l’ampleur des fuites en cours. — Détails de l’incident CNRS/NectarCam — • Fuite issue d’une exportation phpMyAdmin datée de décembre 2025, décrite comme une Shadow Database (base de test/démo moins protégée). • Le projet visé est NectarCam, une caméra ultra‑sensible pour les télescopes du Cherenkov Telescope Array (CTA). La fuite ne concerne pas les données personnelles d’employés mais des informations techniques du dispositif. • L’archive révèle l’usage de versions logicielles récentes, notamment MariaDB 10.11, malgré la présence de fichiers historiques (2015). ...