Fuite WIRED/Condé Nast: 2,3 M de comptes publiés, 33 M allégués; DataBreaches dit avoir été dupé

Selon DataBreaches (databreaches.net), un individu surnommĂ© « Lovely » l’a contactĂ© via Signal en novembre 2025 pour obtenir un point de contact sĂ©curitĂ© chez CondĂ© Nast, avant de se rĂ©vĂ©ler publier des donnĂ©es d’utilisateurs de WIRED. DataBreaches explique avoir d’abord aidĂ© Ă  relayer l’alerte, « Lovely » affirmant ne pas chercher de rĂ©munĂ©ration et Ă©voquant une vulnĂ©rabilitĂ© permettant d’exposer des profils et de changer les mots de passe des comptes. La personne a ensuite revendiquĂ© avoir tĂ©lĂ©chargĂ© plus de 33 millions de comptes (par marques du groupe, listĂ©s en fichiers JSON) et a finalement indiquĂ© avoir communiquĂ© six vulnĂ©rabilitĂ©s Ă  l’équipe sĂ©curitĂ© aprĂšs mise en relation via un contact chez WIRED. CondĂ© Nast ne disposait pas de fichier security.txt clair pour le signalement. ...

2 janvier 2026 Â· 2 min

GlassWorm : 4e vague visant des développeurs macOS via des extensions VSCode/OpenVSX piégées

Selon BleepingComputer, une quatriĂšme vague de la campagne GlassWorm cible des dĂ©veloppeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisĂ©es d’applications de portefeuilles crypto. L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour dĂ©poser des applications de portefeuilles crypto trojanisĂ©es sur les machines des victimes. Les dĂ©veloppeurs macOS sont explicitement visĂ©s 🎯. Contexte gĂ©nĂ©ral Une quatriĂšme vague de la campagne malveillante GlassWorm cible dĂ©sormais exclusivement les dĂ©veloppeurs macOS, marquant une Ă©volution notable par rapport aux prĂ©cĂ©dentes attaques orientĂ©es Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisĂ©es de portefeuilles de cryptomonnaies. ...

2 janvier 2026 Â· 4 min

Notepad++ 8.9 abandonne le certificat auto-signé et renforce la vérification des mises à jour

Source: Notepad++ (notepad-plus-plus.org) — Le 27 dĂ©cembre 2025, le projet annonce Notepad++ 8.9, une version axĂ©e sur des amĂ©liorations de sĂ©curitĂ© et des correctifs. 🔐 Signature de code: l’usage du certificat auto-signĂ© est abandonnĂ© au profit d’un certificat lĂ©gitime GlobalSign pour signer les binaires. Les utilisateurs ayant installĂ© le certificat racine auto-signĂ© prĂ©cĂ©demment sont fortement invitĂ©s Ă  le retirer. 📝 Journalisation sĂ©curitĂ© des mises Ă  jour: un journal d’erreurs de sĂ©curitĂ© est dĂ©sormais gĂ©nĂ©rĂ© automatiquement durant la mise Ă  jour. En cas d’échec liĂ© Ă  une signature ou Ă  la vĂ©rification de certificat, le fichier «%LOCALAPPDATA%\Notepad++\log\securityError.log» permet d’identifier le problĂšme et de le signaler au bug tracker de Notepad++. ...

2 janvier 2026 Â· 1 min

PyPI 2025 : bilan sĂ©curitĂ© — 2FA renforcĂ©e, Trusted Publishing Ă©largi et rĂ©ponses rapides au malware

Source: blog.pypi.org — Bilan officiel 2025 par l’équipe PyPI. PyPI met la sĂ©curitĂ© au premier plan en 2025 avec des amĂ©liorations majeures: 2FA renforcĂ©e contre le phishing (vĂ©rification email pour TOTP), Trusted Publishing Ă©tendu (support GitLab Self‑Managed et Ă©metteurs OIDC personnalisĂ©s) et attestations pour renforcer la chaĂźne d’approvisionnement logicielle. Adoption notable: >52% d’utilisateurs actifs avec 2FA non‑phishable, >50 000 projets en trusted publishing, >20% des uploads via trusted publishers, et 17% des uploads accompagnĂ©s d’une attestation. ...

2 janvier 2026 Â· 2 min

Rapport annuel 2025 de SlowMist: moins d’incidents blockchain mais ≈2,94 Md$ de pertes, montĂ©e du phishing et durcissement AML

Contexte: SlowMist publie son « 2025 Blockchain Security and AML Annual Report », une synthĂšse des incidents de sĂ©curitĂ© blockchain, des techniques d’attaque, des tendances de blanchiment et des Ă©volutions rĂ©glementaires sur l’annĂ©e 2025. ‱ Chiffres clĂ©s 2025: selon la base SlowMist Hacked, 200 incidents ont causĂ© ≈ 2,935 Md$ de pertes (contre 410 incidents et ≈ 2,013 Md$ en 2024), soit moins d’incidents mais +46% de pertes. Par Ă©cosystĂšmes, Ethereum est le plus touchĂ© (≈ 254 M$), suivi de BSC (≈ 21,93 M$) et Solana (≈ 17,45 M$). Par segments, DeFi concentre 126 incidents (≈63%) pour ≈ 649 M$ (en baisse vs 2024), tandis que les Ă©changes n’en comptent que 12 mais cumulent ≈ 1,809 Md$, dont ≈ 1,46 Md$ sur un seul incident Bybit. CĂŽtĂ© causes, vulnĂ©rabilitĂ©s de contrats (61) et comptes compromis (48) dominent. ...

2 janvier 2026 Â· 3 min

Rétrospective 2025 : 15 actualités cybersécurité marquantes

Source: BleepingComputer — Dans une rĂ©trospective, le mĂ©dia revient sur l’annĂ©e 2025 et met en avant 15 grandes histoires de cybersĂ©curitĂ© qui ont le plus marquĂ© ses lecteurs. 🧭 Contexte gĂ©nĂ©ral L’annĂ©e 2025 a Ă©tĂ© particuliĂšrement marquante pour la cybersĂ©curitĂ© : attaques d’ampleur mondiale, vols de donnĂ©es massifs, groupes de menaces devenus omniprĂ©sents, exploitation intensive de zero-days et montĂ©e en puissance de l’IA offensive. BleepingComputer a identifiĂ© 15 sujets majeurs qui ont structurĂ© le paysage des menaces tout au long de l’annĂ©e. ...

2 janvier 2026 Â· 3 min

Reuters: Meta aurait réduit la « découvrabilité » des arnaques publicitaires pour apaiser les régulateurs

Source et contexte: Reuters rĂ©vĂšle, sur la base de documents internes (2019–2025) et de tĂ©moignages, que Meta a mis en place un « playbook » mondial pour retarder la vĂ©rification universelle des annonceurs, en partie via des tactiques visant Ă  rendre les arnaques publicitaires moins « trouvables » dans son Ad Library. Meta conteste toute volontĂ© d’induire en erreur et affirme supprimer rĂ©ellement des annonces frauduleuses. Points clĂ©s mis en Ă©vidence par l’enquĂȘte đŸ•”ïž: ...

2 janvier 2026 Â· 4 min

La prolifĂ©ration des permissions et des identitĂ©s non humaines Ă©largit la surface d’attaque identitaire

Source : Sinisa Markovic, Help Net Security Date : 30 dĂ©cembre 2025 Lien : https://www.helpnetsecurity.com/2025/12/30/identity-security-permissions-sprawl/ Help Net Security relaie une analyse de Veza indiquant que la surface d’attaque identitaire des entreprises s’étend rapidement et devient difficile Ă  maĂźtriser, notamment sous l’effet des identitĂ©s non humaines et de la croissance des permissions. 📈 Veza observe que les permissions augmentent plus vite que les capacitĂ©s de suivi des Ă©quipes. Les entreprises opĂšrent souvent avec des centaines de millions d’habilitations actives, et Veza a mesurĂ© plus de 230 milliards de permissions dans son jeu de donnĂ©es. ...

30 dĂ©cembre 2025 Â· 4 min

ToneShell livré via un chargeur en mode noyau contre des organismes gouvernementaux

Source : Bill Toulas MĂ©dia : BleepingComputer Date : 29 dĂ©cembre 2025 Selon BleepingComputer, un nouvel Ă©chantillon du backdoor ToneShell — gĂ©nĂ©ralement observĂ© dans des campagnes de cyberespionnage chinoises — a Ă©tĂ© utilisĂ© dans des attaques contre des organisations gouvernementales. L’élĂ©ment clĂ© mis en avant est l’utilisation d’un chargeur en mode noyau pour dĂ©livrer ToneShell, augmentant la furtivitĂ© et la persistance du malware. Contexte Une nouvelle variante du backdoor ToneShell, historiquement associĂ©e aux campagnes de cyberespionnage chinoises, a Ă©tĂ© observĂ©e dans des attaques ciblant des organisations gouvernementales en Asie. Pour la premiĂšre fois, ToneShell est dĂ©ployĂ© via un chargeur en mode noyau, offrant des capacitĂ©s avancĂ©es de dissimulation et de persistance. ...

30 dĂ©cembre 2025 Â· 3 min

Abus de l’en-tĂȘte List‑Unsubscribe : XSS stockĂ©e (CVE-2025-68673) dans Horde et SSRF via Nextcloud Mail

Dans un billet technique publiĂ© le 23 dĂ©cembre 2025, l’auteur explore l’abus de l’en-tĂȘte SMTP List‑Unsubscribe (RFC 2369) et montre comment son implĂ©mentation dans des webmails peut mener Ă  des XSS et SSRF. L’article rappelle que de nombreux clients rendent un bouton « se dĂ©sabonner » Ă  partir de List‑Unsubscribe, parfois sous forme de lien client (URI) ou via une requĂȘte serveur. Des URI non filtrĂ©es (ex. schĂ©ma javascript:) peuvent dĂ©clencher des exĂ©cutions de script cĂŽtĂ© client, tandis que des requĂȘtes cĂŽtĂ© serveur non restreintes peuvent mener Ă  des SSRF. ...

29 dĂ©cembre 2025 Â· 2 min
Derniùre mise à jour le: 6 juillet 2026 📝