Windows: Microsoft alerte sur les risques des agents Copilot Actions (hallucinations, prompt injection)

Source: Ars Technica (Dan Goodin), contexte: Microsoft a annoncĂ© les fonctionnalitĂ©s expĂ©rimentales Copilot Actions dans Windows et publiĂ© des avertissements sur leurs risques de sĂ©curitĂ©. Microsoft introduit des « agentic features » permettant d’automatiser des tĂąches (organiser des fichiers, planifier des rĂ©unions, envoyer des emails) đŸ€–, mais prĂ©cise que Copilot Actions est dĂ©sactivĂ© par dĂ©faut et ne devrait ĂȘtre activĂ© que par des utilisateurs « expĂ©rimentĂ©s ». L’entreprise reconnaĂźt des limites fonctionnelles des modĂšles et des risques spĂ©cifiques aux agents. ...

22 novembre 2025 Â· 2 min

Deux adolescents britanniques plaident non coupable dans le piratage de TfL attribué à Scattered Spider

Source: The Record (therecord.media), article d’Alexander Martin du 21 novembre 2025. L’article couvre les mises en accusation et les auditions de deux suspects britanniques dans une affaire de cyberattaque contre Transport for London (TfL). Deux Britanniques, Thalha Jubair (19 ans) et Owen Flowers (18 ans), ont plaidĂ© non coupable Ă  la Southwark Crown Court pour des infractions au Computer Misuse Act liĂ©es Ă  la cyberattaque de 2024 contre TfL, une opĂ©ration associĂ©e au collectif Scattered Spider. ArrĂȘtĂ©s en septembre par la National Crime Agency (NCA), ils ont Ă©tĂ© placĂ©s en dĂ©tention provisoire. Flowers avait dĂ©jĂ  Ă©tĂ© arrĂȘtĂ© en septembre 2024 puis libĂ©rĂ© sous caution. 🚔 ...

21 novembre 2025 Â· 2 min

DigitStealer : un infostealer macOS en JXA qui laisse peu de traces

Source : Jamf Threat Labs (blog Jamf) — Analyse technique d’un nouvel infostealer macOS baptisĂ© « DigitStealer », observĂ© comme non dĂ©tectĂ© sur VirusTotal au moment de l’analyse, distribuĂ© via une image disque se faisant passer pour l’outil lĂ©gitime DynamicLake. 🔎 DĂ©couverte et distribution Le malware est livrĂ© dans une image disque non signĂ©e « DynamicLake.dmg » et imite l’utilitaire lĂ©gitime DynamicLake (lĂ©gitime signĂ© Team ID XT766AV9R9), mais distribuĂ© via le domaine factice https[:]//dynamiclake[.]org. Le paquet inclut un fichier « Drag Into Terminal.msi » (extension inhabituelle sur macOS) incitant l’utilisateur Ă  exĂ©cuter un one‑liner curl | bash pour contourner Gatekeeper et lancer l’infection en mĂ©moire. ⚙ ChaĂźne d’exĂ©cution et Ă©vasion ...

21 novembre 2025 Â· 4 min

États-Unis, Australie et Royaume-Uni sanctionnent Media Land et un rĂ©seau liĂ© au BPH pour soutien au ransomware

Selon une annonce conjointe de l’OFAC (U.S. Department of the Treasury), du DFAT australien et du FCDO britannique, des sanctions coordonnĂ©es visent l’écosystĂšme d’hĂ©bergement bulletproof (BPH) facilitant des opĂ©rations de ransomware et autres cybercrimes. đŸš«đŸ’» Les autoritĂ©s sanctionnent Media Land, un prestataire BPH basĂ© en Russie, pour son rĂŽle dans le soutien Ă  des opĂ©rations de ransomware et Ă  d’autres formes de cybercriminalitĂ©. L’OFAC dĂ©signe Ă©galement trois membres de la direction de Media Land et trois sociĂ©tĂ©s sƓurs, en coordination avec le FBI. ...

21 novembre 2025 Â· 2 min

Prise de contrĂŽle d’une hiĂ©rarchie SCCM via intĂ©gration Entra ID (CVE-2025-59501) corrigĂ©e par KB35360093

Source: SpecterOps (billet de blog, 19 nov. 2025). Contexte: Publication de recherche dĂ©taillant une vulnĂ©rabilitĂ© de SCCM intĂ©grĂ©e Ă  Entra ID, assignĂ©e CVE-2025-59501, avec un correctif publiĂ© le 27 oct. 2025 (KB35360093) et une chronologie de divulgation. Le billet explique que, sur des sites SCCM intĂ©grĂ©s Ă  Microsoft Entra ID (CMG/Co-management) et avant le correctif KB35360093, l’API AdminService valide un jeton Entra puis extrait l’UPN pour rĂ©aliser une impersonation Kerberos S4U d’un compte Active Directory correspondant, sans contrĂŽle d’autorisation supplĂ©mentaire sur l’UPN. Cela permettait d’exĂ©cuter des opĂ©rations WMI cĂŽtĂ© SMS Provider « au nom » de n’importe quelle identitĂ© AD mappable via l’UPN. ...

21 novembre 2025 Â· 3 min

Salesforce impacté par une compromission tierce liée aux apps Gainsight, attribuée à ShinyHunters

Selon The Register, Salesforce a signalĂ© une nouvelle compromission impliquant des applications publiĂ©es par Gainsight et connectĂ©es Ă  des instances clients Salesforce, avec une attribution probable au groupe ShinyHunters (UNC6240) Ă©voquĂ©e par Google Threat Intelligence Group. Salesforce indique que l’activitĂ© suspecte « a pu permettre un accĂšs non autorisĂ© » Ă  certaines donnĂ©es clients via la connexion des applications Gainsight. En rĂ©ponse, l’éditeur a rĂ©voquĂ© tous les tokens d’accĂšs et de rafraĂźchissement associĂ©s Ă  ces applications et les a temporairement retirĂ©es de l’AppExchange pendant l’enquĂȘte. Salesforce prĂ©cise ne voir « aucune indication » d’une vulnĂ©rabilitĂ© de sa plateforme, l’activitĂ© Ă©tant liĂ©e Ă  la connexion externe de l’app. ...

21 novembre 2025 Â· 2 min

Salesforce révoque les tokens des applications Gainsight aprÚs activité suspecte et possible accÚs non autorisé

Selon une communication de Salesforce, une activitĂ© inhabituelle a Ă©tĂ© dĂ©tectĂ©e impliquant des applications publiĂ©es par Gainsight et connectĂ©es Ă  Salesforce. L’enquĂȘte interne indique que cette activitĂ© a pu permettre un accĂšs non autorisĂ© Ă  certaines donnĂ©es clients Salesforce via la connexion de l’application. En rĂ©ponse, Salesforce a rĂ©voquĂ© tous les tokens d’accĂšs et de rafraĂźchissement liĂ©s aux applications Gainsight connectĂ©es Ă  Salesforce. Les applications concernĂ©es ont Ă©tĂ© temporairement retirĂ©es de l’AppExchange pendant la poursuite de l’enquĂȘte. Points clĂ©s: ...

21 novembre 2025 Â· 1 min

AWS dévoile 150 000 paquets npm liés à une campagne de « token farming » tea.xyz

Source: AWS Security Blog (13 nov. 2025). Des chercheurs d’Amazon Inspector ont dĂ©couvert plus de 150 000 paquets npm liĂ©s Ă  une campagne coordonnĂ©e de « token farming » associĂ©e Ă  tea.xyz, dĂ©passant largement les 15 000 paquets initialement signalĂ©s par Sonatype en avril 2024. L’équipe a utilisĂ© une dĂ©tection hybride (rĂšgles + IA) pour mettre en Ă©vidence un schĂ©ma d’attaque auto-rĂ©plicant visant des gains financiers. 🚹 Nature et impact: Contrairement aux malwares classiques, ces paquets ne contiennent pas de code explicitement malveillant mais exploitent le mĂ©canisme de rĂ©compense de tea.xyz en gonflant artificiellement les mĂ©triques via rĂ©plication et chaĂźnes de dĂ©pendances. Les risques clĂ©s sont: pollution des registres (npm saturĂ© de paquets non fonctionnels), exploitation des ressources (infrastructure/bande passante/stockage), effet de prĂ©cĂ©dent (incitation Ă  copier le modĂšle), et risques supply chain (dĂ©pendances inutiles et comportements inattendus). ...

19 novembre 2025 Â· 2 min

Campagne de deepfakes pro-Kremlin: des vidéos Sora 2 simulent des redditions de soldats ukrainiens

Selon NewsGuard’s Reality Check (17 nov. 2025), des propagandistes pro-Kremlin exploitent l’outil texte‑vers‑vidĂ©o Sora 2 d’OpenAI pour fabriquer des vidĂ©os virales montrant de prĂ©tendues redditions de soldats ukrainiens, afin de saper le moral des forces ukrainiennes en pleine guerre Russie‑Ukraine. NewsGuard rappelle qu’un test rĂ©cent a montrĂ© que Sora 2 avançait des contre‑vĂ©ritĂ©s sur des sujets d’actualitĂ© dans 80 % des cas lorsqu’il y Ă©tait incitĂ©. đŸŽ„ En novembre 2025, NewsGuard a identifiĂ© sept vidĂ©os gĂ©nĂ©rĂ©es par IA prĂ©sentĂ©es comme des images du front Ă  Pokrovsk, une ville clĂ© de l’Est que des experts estiment proche de tomber. Ces vidĂ©os, cumulant des millions de vues sur X, TikTok, Facebook et Telegram, montrent des scĂšnes de redditions massives et des soldats ukrainiens implorant le pardon de la Russie. ...

19 novembre 2025 Â· 2 min

Des campagnes ClickFix détournent la commande finger pour exécuter du malware sous Windows

Source: BleepingComputer (Lawrence Abrams). L’article dĂ©crit des campagnes rĂ©centes oĂč la vieille commande finger est abusĂ©e comme LOLBIN pour livrer et exĂ©cuter des scripts malveillants sur Windows, souvent via des attaques ClickFix se faisant passer pour des Captcha. Les attaquants incitent l’utilisateur Ă  lancer une commande Windows qui exĂ©cute finger user@hĂŽte et redirige la sortie vers cmd.exe, ce qui permet d’exĂ©cuter Ă  distance les instructions renvoyĂ©es par un serveur Finger. Des Ă©chantillons et rapports (VirusTotal, Reddit, MalwareHunterTeam) montrent l’usage de hĂŽtes Finger malveillants. ...

19 novembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝