Microsoft déploie « Baseline Security Mode » pour centraliser les standards de sécurité M365

Selon le message MC1193689 du centre de Messages pour administrateurs, Microsoft lance « Baseline Security Mode », une expĂ©rience centralisĂ©e dans le centre d’administration Microsoft 365 pour aligner Office, SharePoint, Exchange, Teams et Entra sur les standards de sĂ©curitĂ© recommandĂ©s. Le service s’appuie sur l’intelligence des menaces Microsoft et des insights issus de deux dĂ©cennies de cas traitĂ©s par le Microsoft Response Center, afin de renforcer la posture de sĂ©curitĂ© et se prĂ©parer aux menaces alimentĂ©es par l’IA. Aucun impact utilisateur immĂ©diat n’est prĂ©vu tant que les administrateurs n’appliquent pas de changements. đŸ›Ąïž ...

16 dĂ©cembre 2025 Â· 2 min

PayPal ferme une brĂšche d’abus de fonctionnalitĂ© exploitĂ©e pour envoyer de faux mails depuis service@paypal.com

Source: Malwarebytes, citant une enquĂȘte de BleepingComputer. Contexte: des acteurs malveillants ont dĂ©tournĂ© une fonctionnalitĂ© PayPal afin d’envoyer des notifications lĂ©gitimes depuis l’adresse service@paypal.com et d’orchestrer une arnaque au support technique. Les fraudeurs crĂ©aient un abonnement PayPal puis le mettaient en pause, ce qui dĂ©clenchait le vĂ©ritable email « Your automatic payment is no longer active » vers l’« abonnĂ© ». Ils configuraient en parallĂšle un faux compte d’abonnĂ©, vraisemblablement une liste de diffusion Google Workspace qui retransmettait automatiquement le message Ă  tous les membres. Cette combinaison permettait d’envoyer un email lĂ©gitime signĂ© service@paypal.com, contournant les filtres et un premier contrĂŽle visuel du destinataire. ...

16 dĂ©cembre 2025 Â· 3 min

RCE baseband sur le modem Unisoc UIS7862A des head units automobiles (CVE-2024-39432/39431)

Source: Kaspersky ICS CERT — Contexte: publication de recherche (16 dĂ©c. 2025) dĂ©crivant l’évaluation de sĂ©curitĂ© du SoC Unisoc UIS7862A intĂ©grĂ© aux head units de vĂ©hicules chinois et Ă  divers appareils mobiles. Les chercheurs ont identifiĂ© plusieurs vulnĂ©rabilitĂ©s critiques dans la pile protocolaire cellulaire du modem intĂ©grĂ©. L’article se concentre sur une vulnĂ©rabilitĂ© de type dĂ©passement de pile dans l’implĂ©mentation 3G RLC en mode UM, rĂ©fĂ©rencĂ©e CVE-2024-39432, permettant une exĂ©cution de code Ă  distance (RCE) dĂšs les premiĂšres Ă©tapes de connexion, avant l’activation des mĂ©canismes de protection. Une section distincte mentionne Ă©galement CVE-2024-39431 liĂ©e Ă  l’accĂšs distant au modem. ...

16 dĂ©cembre 2025 Â· 3 min

React2Shell (CVE-2025-55182) exploité pour déployer le ransomware Weaxor

Source: S-RM — Dans un rapport d’incident, S-RM dĂ©crit l’exploitation de la vulnĂ©rabilitĂ© critique React2Shell (CVE-2025-55182) comme vecteur d’accĂšs initial menant au dĂ©ploiement du ransomware Weaxor. Ce cas marque la premiĂšre observation par S-RM de l’usage de cette faille par des acteurs Ă  but financier pour de l’extorsion, Ă©largissant l’impact connu au-delĂ  des backdoors et crypto‑miners. VulnĂ©rabilitĂ©: React2Shell (CVE-2025-55182) affecte React Server Components (RSC) et le protocole Flight dans React et Next.js. Elle permet une exĂ©cution de code Ă  distance non authentifiĂ©e via une requĂȘte HTTP malveillante, avec exĂ©cution sous l’utilisateur du processus serveur. GravitĂ© CVSS 10.0, exploitation aisĂ©e et propice Ă  l’automatisation 🚹. ...

16 dĂ©cembre 2025 Â· 3 min

Shai‑Hulud 2.0: post‑mortem de Trigger.dev sur une compromission GitHub via un package npm

Source: Trigger.dev (blog) — Post‑mortem publiĂ© par le CTO Eric Allam le 28 novembre 2025, dĂ©crivant une compromission le 25 novembre 2025 via le ver supply chain Shai‑Hulud 2.0 diffusĂ© dans l’écosystĂšme npm. RĂ©sumĂ© de l’incident Un ingĂ©nieur installe un package compromis (via pnpm install) exĂ©cutant un script preinstall qui dĂ©ploie TruffleHog pour exfiltrer des identifiants (GitHub, AWS, npm, variables d’environnement) et les pousser vers des dĂ©pĂŽts GitHub Ă©phĂ©mĂšres. L’attaquant mĂšne ~17 h de reconnaissance (clonage massif de 669 dĂ©pĂŽts depuis infrastructures US/Inde), surveille l’activitĂ© de l’ingĂ©nieur, puis lance une phase destructrice: force‑push de commits « init » attribuĂ©s Ă  « Linus Torvalds <[email protected]> » et fermeture de PRs (199 branches touchĂ©es, 42 PRs fermĂ©es). Certaines tentatives sont bloquĂ©es par la protection de branche. DĂ©tection rapide via une avalanche d’alertes Slack; en 4 minutes le compte compromis est retirĂ© de l’organisation, stoppant l’attaque. Pas d’accĂšs en Ă©criture aux ressources AWS ni de compromission des packages npm de Trigger.dev. Impact et pĂ©rimĂštre ...

16 dĂ©cembre 2025 Â· 3 min

ShinyHunters extorque Pornhub aprùs l’exposition d’historiques Premium via Mixpanel

Selon BleepingComputer, Pornhub fait l’objet d’une extorsion par le groupe ShinyHunters, qui affirme dĂ©tenir des donnĂ©es d’analytics historiques liĂ©es aux membres Premium, prĂ©tendument issues de la brĂšche de l’analyste tiers Mixpanel. Type d’incident: extorsion adossĂ©e Ă  une exfiltration de donnĂ©es chez un fournisseur d’analytics (Mixpanel), initialement compromise le 8 novembre 2025 via smishing (SMS phishing). Pornhub indique que seuls des utilisateurs Premium sĂ©lectionnĂ©s sont concernĂ©s et que mots de passe et donnĂ©es financiĂšres n’ont pas Ă©tĂ© exposĂ©s. Pornhub prĂ©cise n’avoir plus travaillĂ© avec Mixpanel depuis 2021. ...

16 dĂ©cembre 2025 Â· 2 min

Un décompilateur AppleScript run-only validé sur XCSSET et OSAMiner

Source: blog de Pepe Berba — Le 14 dĂ©cembre 2025, Pepe Berba prĂ©sente « applescript-decompiler », un outil capable de reconstruire le code lisible de scripts AppleScript compilĂ©s en mode run-only, avec des dĂ©monstrations sur des Ă©chantillons XCSSET et OSAMiner. đŸ› ïž L’auteur souligne que les scripts AppleScript, de plus en plus exploitĂ©s par des malwares macOS, tirent parti de l’automatisation UI et des Apple events, et que la variante « run-only » complique l’analyse. En s’appuyant sur applescript-disassembler, l’outil comble un manque de tooling que Microsoft Threat Intelligence jugeait jusque-lĂ  difficile, voire infaisable Ă  rĂ©soudre en dĂ©compilation directe. ...

16 dĂ©cembre 2025 Â· 3 min

Une base MongoDB ouverte de 16 To expose 4,3 milliards de profils professionnels

Selon Security Affairs, le chercheur Bob Diachenko et nexos.ai ont dĂ©couvert le 23 novembre 2025 une base MongoDB de 16 To laissĂ©e ouverte, contenant environ 4,3 milliards d’enregistrements de profils « LinkedIn‑like »; la base a Ă©tĂ© sĂ©curisĂ©e deux jours plus tard, sans qu’il soit possible de savoir qui y a accĂ©dĂ© auparavant. Impact et donnĂ©es exposĂ©es Type d’incident: base de donnĂ©es MongoDB non sĂ©curisĂ©e (exposition publique) Volume: ~4,3 milliards d’enregistrements, 16 To PII exposĂ©es (dans au moins trois collections): noms, emails, numĂ©ros de tĂ©lĂ©phone, liens LinkedIn, intitulĂ©s de poste, employeurs, parcours professionnel, Ă©ducation, localisation, compĂ©tences, langues, comptes sociaux; plus des URLs d’images et des Apollo IDs (liĂ©s Ă  l’écosystĂšme Apollo.io, sans signe de compromission d’Apollo) Structure de la base (extraits des 9 collections analysĂ©es par Cybernews) ...

16 dĂ©cembre 2025 Â· 2 min

Vulnhalla: un LLM superposé à CodeQL pour filtrer les faux positifs et révéler de vraies vulnérabilités

Dans un billet de blog datĂ© du 10 dĂ©cembre 2025, Simcha Kosman dĂ©crit une mĂ©thode qui combine analyse statique CodeQL et raisonnement LLM afin de rĂ©duire drastiquement les faux positifs et de concentrer les Ă©quipes sur des failles rĂ©ellement exploitables. L’auteur introduit l’outil Vulnhalla, conçu pour laisser passer uniquement les « vrais » problĂšmes. En moins de 48 h et pour moins de 80 $, l’approche a permis d’identifier des vulnĂ©rabilitĂ©s publiĂ©es sous les identifiants CVE-2025-38676 (Linux Kernel), CVE-2025-0518 (FFmpeg), CVE-2025-27151 (Redis), CVE-2025-8854 (Bullet3), CVE-2025-9136 (RetroArch), CVE-2025-9809 (Libretro) et CVE-2025-9810 (Linenoise), avec divulgation responsable prĂ©alable aux Ă©diteurs. ...

16 dĂ©cembre 2025 Â· 3 min

Exploitation massive de la faille React2Shell (CVE-2025-55182) dans React/Next.js

Source : Google Cloud Blog (Google Threat Intelligence Group), 12 dĂ©cembre 2025. Une vulnĂ©rabilitĂ© critique d’exĂ©cution de code Ă  distance non authentifiĂ©e, CVE-2025-55182 alias React2Shell, affectant React Server Components (RSC) est exploitĂ©e Ă  grande Ă©chelle depuis le 3 dĂ©cembre 2025. NotĂ©e CVSS v3 10.0 (v4: 9.3), elle permet l’exĂ©cution de code via une seule requĂȘte HTTP avec les privilĂšges du processus serveur. Les paquets vulnĂ©rables sont les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. De nombreux PoC non fonctionnels et des leurres ont circulĂ© avant que des exploits lĂ©gitimes (dont des web shells Next.js en mĂ©moire) se gĂ©nĂ©ralisent; un CVE Next.js (CVE-2025-66478) a Ă©tĂ© marquĂ© duplicata de CVE-2025-55182. Trois autres CVE React ont suivi (CVE-2025-55183, CVE-2025-55184, CVE-2025-67779, ce dernier corrigeant un patch DoS incomplet). ...

15 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝