Global

L’article publié par Ben Nahorney et Brandon Overstreet le 17 juillet 2025, met en lumière une nouvelle technique d’attaque exploitée par le groupe PoisonSeed pour contourner les clés FIDO, un outil de MFA (authentification multifactorielle) réputé pour sa sécurité. PoisonSeed utilise une méthode d’ingénierie sociale pour exploiter la fonctionnalité de connexion multi-appareils des clés FIDO. Cette attaque commence par un phishing où les victimes sont incitées à entrer leurs identifiants sur une fausse page de connexion. Une fois les informations volées, les attaquants demandent une connexion multi-appareils, générant un QR code que l’utilisateur scanne avec son application d’authentification MFA, permettant ainsi aux attaquants d’accéder au compte compromis. ...

Imperva rapporte une attaque sophistiquée impliquant un package Python malveillant nommé ‘cloudscrapersafe’ sur PyPI. Ce package se fait passer pour un outil légitime de scraping web, mais intègre des capacités de vol de cartes de crédit. Le malware cible spécifiquement les transactions des passerelles de paiement, extrayant les numéros de cartes et les dates d’expiration avant d’exfiltrer ces données vers un bot Telegram. Cette attaque illustre les risques des attaques de la chaîne d’approvisionnement et l’importance d’une vigilance accrue lors de l’utilisation d’outils de contournement de sécurité. ...

L’étude menée par l’équipe de recherche de Knostic a mis en lumière une vulnérabilité critique concernant les serveurs Model Context Protocol (MCP). Ces serveurs, au nombre de 1 862, ont été découverts exposés sur Internet sans contrôles d’authentification adéquats. Pour identifier ces serveurs, les chercheurs ont utilisé des outils comme Shodan et des scripts Python personnalisés, permettant de vérifier que les serveurs révèlent leurs capacités à tout utilisateur non authentifié. Cette exposition généralisée souligne une immaturité de sécurité significative de la technologie MCP, qui est encore en phase d’adoption précoce. ...

CVE-2024-12029 est une vulnérabilité de désérialisation critique dans l’API d’installation de modèles d’InvokeAI qui permet une exécution de code à distance sans authentification. La faille provient de l’utilisation non sécurisée de la fonction torch.load() de PyTorch lors du traitement des fichiers de modèles fournis par l’utilisateur. Les attaquants peuvent concevoir des fichiers de modèles malveillants contenant du code Python intégré qui s’exécute lorsque le modèle est chargé côté serveur. La vulnérabilité affecte les versions 5.3.1 à 5.4.2 d’InvokeAI et a reçu un score CVSS de 9.8. Les organisations doivent immédiatement mettre à jour vers la version 5.4.3 ou ultérieure et mettre en œuvre une validation d’entrée appropriée ainsi que des contrôles de segmentation réseau. ...

L’article publié par les chercheurs d’ESET explore en détail les variantes et forks du malware AsyncRAT, un cheval de Troie d’accès à distance asynchrone open-source. Initialement publié sur GitHub en 2019, AsyncRAT a été largement adopté par les cybercriminels en raison de sa nature open-source et de ses fonctionnalités modulaires. Les chercheurs d’ESET ont cartographié les relations complexes entre les nombreuses variantes d’AsyncRAT, mettant en lumière comment ces forks ont évolué et se sont interconnectés. Parmi les variantes les plus répandues figurent DcRat et VenomRAT, qui représentent une part significative des campagnes malveillantes observées. DcRat, par exemple, se distingue par ses améliorations en termes de fonctionnalités et de techniques d’évasion, telles que le MessagePack pour la sérialisation des données et le bypass AMSI et ETW. ...

mobile-hacker.com rapporte une vulnérabilité critique dans l’application Air Keyboard pour iOS, révélée le 13 juin 2025, qui expose les utilisateurs à des attaques de type injection de saisie à distance sur les réseaux Wi-Fi locaux. La faille, documentée dans le rapport CXSecurity, permet à un attaquant sur le même réseau local d’envoyer des frappes au clavier sur un appareil iOS cible sans nécessiter d’authentification. Cette vulnérabilité est due au fait que l’application écoute sur le port TCP 8888 pour les entrées entrantes sans aucune forme d’authentification ou de chiffrement. ...

L’article de Mandiant et Google Threat Intelligence Group met en lumière une campagne d’exploitation en cours par un acteur malveillant, désigné UNC6148, visant les appareils SonicWall Secure Mobile Access (SMA) 100 en fin de vie. UNC6148 utilise des identifiants et des seeds OTP volés lors d’intrusions précédentes pour accéder aux appareils, même après l’application de mises à jour de sécurité. Le malware OVERSTEP, un rootkit en mode utilisateur, est déployé pour modifier le processus de démarrage des appareils, voler des informations sensibles et se dissimuler. ...

L’article publié par HackRead met en lumière une augmentation significative des cyberattaques basées sur l’identité, qui ont grimpé de 156%. Cette hausse est principalement attribuée à la disponibilité de services de phishing à bas coût et à l’utilisation de malwares voleurs d’informations. Les cybercriminels exploitent ces outils pour contourner l’authentification multi-facteurs (MFA), ce qui leur permet de voler des identifiants, d’accéder à des comptes bancaires et de compromettre des emails professionnels. Ces attaques mettent en péril non seulement les individus mais aussi les entreprises qui dépendent de la sécurité de leurs communications électroniques. ...

Le 15 juillet 2025, The Record rapporte que Google a annoncé la découverte d’une faille de sécurité critique, identifiée comme CVE-2025-6965, par le groupe de recherche Big Sleep. Dans un communiqué publié mardi, Google révèle que Big Sleep, son agent d’intelligence artificielle spécialisé dans la recherche de vulnérabilités, a découvert CVE-2025-6965, une faille critique jusque-là connue uniquement des cybercriminels et qui était sur le point d’être exploitée. 🔎 Cette avancée marque un tournant dans la cybersécurité assistée par IA : pour la première fois, selon Google, un agent autonome a réussi à déjouer en amont une tentative d’exploitation active dans la nature (zero-day in the wild). ...

L’article de Bleeping Computer rapporte que Microsoft a publié une mise à jour d’urgence pour corriger un bug qui affecte les machines virtuelles Azure. Ce problème survient lorsque le paramètre Trusted Launch est désactivé et que la Virtualization-Based Security (VBS) est activée. Le bug empêche le démarrage des machines virtuelles, ce qui peut avoir un impact significatif sur les utilisateurs d’Azure qui dépendent de ces environnements pour leurs opérations quotidiennes. Microsoft a réagi rapidement en fournissant un correctif pour atténuer ce problème. ...