Selon BleepingComputer, un homme de 44 ans a été condamné à sept ans et quatre mois de prison pour avoir opéré un réseau Wi‑Fi « evil twin » visant à dérober les données de voyageurs dans plusieurs aéroports en Australie. L’affaire concerne la mise en place d’un faux point d’accès Wi‑Fi (« evil twin ») imitant des réseaux légitimes d’aéroports. Des voyageurs, pensant se connecter à un Wi‑Fi officiel, se seraient ainsi retrouvés sur un réseau contrôlé par le mis en cause, lui permettant de collecter des informations sensibles. ...

Source: ReversingLabs — Dans un billet de recherche, les auteurs détaillent comment des scripts bootstrap historiques liés à zc.buildout et à l’ancien écosystème setuptools/distribute exposent des paquets PyPI à un scénario de prise de contrôle de domaine. Des chercheurs de ReversingLabs ont identifié du code vulnérable dans des scripts bootstrap qui, lors de leur exécution, récupèrent et exécutent un installateur de « distribute » depuis python-distribute[.]org — un domaine abandonné et à vendre depuis 2014. Cette dépendance à un domaine codé en dur crée une fenêtre pour une prise de contrôle de domaine menant à l’exécution de code arbitraire si un attaquant rachète le domaine et y sert un script malveillant. ⚠️ ...

Selon une annonce publiée sur le site de ERR AG (err.ch), l’entreprise a été victime d’un piratage dans la nuit du 13 novembre 2025 et communique publiquement les éléments connus et les précautions à prendre. L’entreprise indique avoir subi un hackerangriff et, avec l’appui d’experts en forensique, avoir rapidement analysé le système et reconstitué le tathergang. ERR AG précise que des données ont peut‑être été consultées et qu’environ 300 Go auraient été exfiltrés. ...

Source: BleepingComputer — GreyNoise Labs a annoncé « GreyNoise IP Check », un outil gratuit permettant de vérifier si une adresse IP a été vue dans des opérations de scan malveillant, notamment issues de botnets et de réseaux de proxies résidentiels. GreyNoise explique que les réseaux de proxies résidentiels ont fortement augmenté l’an dernier, transformant des connexions domestiques en points de sortie pour du trafic tiers. Cette situation survient soit via l’installation volontaire de clients de partage de bande passante, soit plus souvent via des malwares infiltrés par des applications ou extensions de navigateur douteuses qui transforment silencieusement les appareils en nœuds d’infrastructure. ...

SecurityWeek rapporte qu’Iberia, compagnie aérienne espagnole, a informé ses clients qu’une compromission d’un fournisseur tiers a entraîné l’exposition de noms, adresses e‑mail et numéros de programme de fidélité. Selon Iberia, aucun mot de passe ni données complètes de carte bancaire n’ont été compromis. L’incident a été pris en charge immédiatement après sa découverte. Mesure de protection ajoutée : un code de vérification est désormais requis pour modifier l’adresse e‑mail associée à un compte client. L’entreprise a notifié les forces de l’ordre et mène une enquête avec ses fournisseurs. ...

Selon Interesting Engineering (23 novembre 2025), des chercheurs chinois ont publié le 5 novembre dans la revue à comité de lecture Systems Engineering and Electronics une simulation détaillant comment brouiller Starlink à l’échelle d’un théâtre d’opérations comparable à Taïwan. Les auteurs soulignent que l’obstacle majeur est la dynamique du réseau Starlink: des milliers de satellites LEO à géométrie changeante, des sauts de fréquence, un routage adaptatif et des liaisons utilisateur qui basculent rapidement entre plusieurs satellites. Cette nature mouvante rend le suivi et l’interférence des downlinks beaucoup plus difficiles que pour des systèmes GEO classiques. ...

Source et contexte — Truffle Security Co. publie un billet invité de Luke Marshall détaillant un scan exhaustif d’environ 5,6 millions de dépôts publics GitLab Cloud (initialisé le 10/09/2025) à l’aide de TruffleHog, qui a permis d’identifier 17 430 secrets « live » vérifiés et de récolter plus de 9 000 $ en primes, pour un coût d’infrastructure d’environ 770 $ et une durée d’exécution d’un peu plus de 24 h. ...

Selon Unit 42 (Palo Alto Networks), des modèles de langage malveillants « sans garde-fous » comme WormGPT 4 et KawaiiGPT sont désormais commercialisés ou librement accessibles, permettant de générer à la chaîne des leurres de phishing/BEC et du code de malware, matérialisant le dilemme « dual-use » de l’IA. • Contexte et définition. L’article qualifie de LLM malveillants les modèles entraînés/affinés pour des usages offensifs avec des garde-fous éthiques supprimés. Ils sont marketés sur des forums et Telegram, capables de générer des e-mails de phishing, écrire du malware (y compris polymorphe) et automatiser la reconnaissance, abaissant drastiquement la barrière de compétence et compressant les délais d’attaque. 🚨 ...

Source et contexte: ANSSI (Agence nationale de la sécurité des systèmes d’information) – rapport TLP:CLEAR daté du 26 novembre 2025. Le document synthétise l’évolution de la menace sur les téléphones mobiles depuis 2015, détaille les vecteurs d’attaque, les capacités et finalités des acteurs (étatiques, privés et cybercriminels) et propose des recommandations de sécurité. • Synthèse générale 📱: L’omniprésence des smartphones, leurs interfaces sans fil et la complexité des OS créent une large surface d’attaque. Des campagnes sophistiquées exploitent des chaînes zéro‑clic et des implants non persistants difficiles à détecter. Le marché de la LIOP (surveillance privée offensive) industrialise et diffuse ces capacités. Le rapport souligne l’initiative franco‑britannique « Processus de Pall Mall » pour encadrer la vente et l’usage d’outils offensifs commerciaux. ...

Source: Trend Micro (blog de recherche Trend Vision One). Contexte: poursuite de l’enquête sur l’attaque supply chain NPM du 15 septembre et nouveaux incidents signalés le 24 novembre avec des centaines de dépôts mentionnant Sha1‑Hulud: The Second Coming. L’analyse décrit un malware Shai‑hulud 2.0 ciblant les écosystèmes cloud et développeurs. Il vole des identifiants et secrets de AWS, GCP, Azure, ainsi que des tokens NPM et jetons GitHub, et exploite les services de gestion de secrets (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault). Il met en place un C2 via GitHub Actions (création d’un dépôt contrôlé par l’attaquant sous le compte de la victime, déploiement d’un runner auto‑hébergé nommé SHA1HULUD, workflows de commande), et inclut un mécanisme destructif effaçant les données si le vol d’identifiants échoue. ☁️🪱 ...