Global

Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles. L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine. ...

Selon Resecurity (blog), des chercheurs ont découvert lors de tests d’intrusion des identifiants d’applications Azure AD (ClientId et ClientSecret) exposés dans des fichiers appsettings.json accessibles publiquement, une vulnérabilité de haute sévérité permettant une authentification directe aux endpoints OAuth 2.0 de Microsoft. ⚠️ Sur le plan technique, l’attaque exploite le flux OAuth2 « Client Credentials » via une simple requête POST vers l’endpoint de jeton d’Azure avec les secrets divulgués, pour obtenir un Bearer token. Les attaquants enchaînent ensuite avec des requêtes GET authentifiées sur des endpoints Microsoft Graph — notamment /v1.0/users, /v1.0/oauth2PermissionGrants et /v1.0/groups — afin d’énumérer utilisateurs, permissions et structure organisationnelle. 🔑 ...

Selon Check Point Research, ce bulletin de threat intelligence (1er septembre 2025) signale une escalade des menaces avec des zero-days activement exploités et des fuites massives de données touchant des millions d’individus. Il met l’accent sur l’urgence de corriger les vulnérabilités divulguées et de renforcer les capacités de réponse à incident. Faits saillants: exploitation de zero-days dans WhatsApp et Citrix NetScaler lors d’attaques ciblées, campagnes ransomware menées par le groupe Qilin, et une opération de phishing sophistiquée baptisée ZipLine visant des infrastructures critiques. La campagne ZipLine exploite l’infrastructure Google Classroom pour contourner la supervision en entreprise et a diffusé plus de 115 000 emails à 13 500 organisations dans le monde. ...

Selon le blog Embrace The Red, un chercheur de sécurité a démontré AgentHopper, un malware conceptuel ciblant des agents de codage via des injections de prompts et se propageant au travers de dépôts Git. Les vulnérabilités référencées ont été corrigées, et la recherche met en lumière la nécessité de contrôles de sécurité renforcés (protection des branches, passphrases pour clés SSH, principe du moindre privilège pour les agents d’IA). AgentHopper abuse d’injections de prompt indirectes pour atteindre une exécution de code arbitraire sur plusieurs agents d’IA populaires. Le malware utilise des payloads universels conditionnels capables de déclencher des chemins d’exploitation spécifiques selon l’agent ciblé, facilitant une infection multi‑plateforme à partir d’un seul contenu malveillant dans le dépôt. ...

Source : billet de blog de Yannik Marchand. Contexte : analyse de l’implémentation TLS du sysmodule « ssl » de la Nintendo Switch (librairie NSS) et découverte d’un défaut de vérification permettant l’interception de trafic 🔒. Résumé technique : la vérification des certificats dans le callback SslAuthCertCb comporte un cas spécial pour les certificats importés via nn::ssl::Context::ImportServerPki. Lorsque le certificat reçu figure dans la liste « de confiance » du contexte, la signature n’est pas validée par NSS. La fonction CertificateStore::IsTrusted ne compare que le Subject Key Identifier (SKID) — une valeur contrôlable par un attaquant — au lieu de vérifier la chaîne et la signature. En forgeant un certificat auto-signé avec le même SKID qu’un certificat importé, un attaquant peut réussir une attaque de type man-in-the-middle (MITM) et usurper un serveur. ...

Contexte: Akamai publie une analyse expliquant l’impact du patch Microsoft pour la vulnérabilité BadSuccessor (CVE-2025-53779) dans Active Directory, liée aux nouveaux comptes dMSA sous Windows Server 2025. Avant patch, BadSuccessor permettait à un utilisateur faiblement privilégié de lier un delegated Managed Service Account (dMSA) à n’importe quel compte AD, poussant le KDC à fusionner les privilèges dans le PAC et à retourner un paquet de clés Kerberos du compte cible, entraînant une élévation directe au niveau Domain Admin. ...

Selon SecurityAffairs, les agences NSA (États-Unis), NCSC (Royaume‑Uni) et des alliés publient un avis conjoint intitulé “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” reliant des opérations d’APT chinoises (dont Salt Typhoon) à des intrusions contre les secteurs télécom, gouvernement, transport, hôtellerie et militaire. 🚨 Les activités décrites chevauchent les groupes suivis comme Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor. L’avis associe aussi ces opérations à des entités chinoises telles que Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., et Sichuan Zhixin Ruijie Network Technology Co., Ltd.. Les acteurs tirent parti de CVE connues et de mauvaises configurations (plutôt que de 0‑day), avec une focalisation sur les équipements en bordure de réseau et une possible extension aux produits Fortinet, Juniper, Microsoft Exchange, Nokia, Sierra Wireless, SonicWall. Les défenseurs sont exhortés à prioriser le patching des CVE historiquement exploitées. ...

Selon BleepingComputer, le Sangoma FreePBX Security Team alerte sur une vulnérabilité zero‑day actuellement exploitée activement contre des instances FreePBX. ⚠️ L’alerte précise que les systèmes concernés sont ceux dont l’Administrator Control Panel (ACP) est exposé à Internet. Les environnements où l’ACP n’est pas publiquement accessible ne sont pas explicitement mentionnés comme impactés dans cet extrait. L’information met l’accent sur la nature zero‑day de la faille (pas de correctif public au moment de l’alerte) et sur l’activité d’exploitation en cours, ce qui en accroît la criticité pour les déploiements concernés. 🚨 ...

Source: Mandiant Threat Defense — Publication de recherche détaillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au déploiement du backdoor CORNFLAKE.V3. Le groupe UNC5518 utilise des pages CAPTCHA factices pour piéger les utilisateurs et fournir l’accès initial à d’autres acteurs. Cet accès est ensuite exploité par UNC5774 pour installer CORNFLAKE.V3, une porte dérobée disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exécution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors. ...

SecurityWeek rapporte que la MITRE Corporation a publié une version révisée de la liste « CWE Most Important Hardware Weaknesses (MIHW) », alignée sur l’évolution du paysage de la sécurité matérielle. Initialement publiée en 2021, la liste MIHW recense des erreurs fréquentes menant à des vulnérabilités matérielles critiques, afin de sensibiliser et d’éliminer ces défauts dès la conception. La version 2025 compte 11 entrées, introduit de nouvelles classes, catégories et faiblesses de base, tout en conservant 5 entrées de 2021. Elle met particulièrement l’accent sur la réutilisation de ressources, les bogues de mode debug et l’injection de fautes. ...