Kaspersky Q3 2025 : évolution des menaces non mobiles (PC, macOS, IoT)

Source et contexte : Securelist (Kaspersky) publie un rapport trimestriel sur l’évolution des menaces non mobiles au T3 2025, couvrant Windows, macOS et IoT, avec tendances, chiffres clĂ©s et campagnes marquantes. 📊 Chiffres globaux Kaspersky a bloquĂ© plus de 389 M d’attaques provenant de ressources en ligne; Web Anti‑Virus a rĂ©agi Ă  52 M d’URLs uniques. File Anti‑Virus a bloquĂ© plus de 21 M d’objets malveillants ou potentiellement indĂ©sirables. 2 200+ nouveaux variants de ransomware dĂ©tectĂ©s; ~85 000 utilisateurs ont subi des attaques ransomware; plus de 254 000 utilisateurs ciblĂ©s par des mineurs. 🔒 Ransomware : activitĂ©s, groupes et rĂ©pression ...

19 novembre 2025 Â· 4 min

Le ransomware s’adapte au cloud : mauvaises configurations et identifiants volĂ©s en ligne de mire

Cet article est un rapport technique spĂ©cialisĂ© publiĂ© par Trend Micro Research, intitulĂ© “Breaking Down S3 Ransomware: Variants, Attack Paths and Trend Vision Oneℱ Defenses”. Il s’agit d’une analyse dĂ©taillĂ©e des diffĂ©rentes variantes de ransomwares exploitant Amazon S3, de leurs techniques d’attaque, ainsi que des capacitĂ©s de dĂ©tection fournies par Trend Vision One. Dans les infrastructures traditionnelles, les attaquants s’appuyaient surtout sur des intrusions rĂ©seau, le phishing, des piĂšces jointes malveillantes et l’exploitation de logiciels obsolĂštes ou vulnĂ©rables. ...

19 novembre 2025 Â· 3 min

PlushDaemon détourne le DNS des routeurs avec « EdgeStepper » pour hijacker des mises à jour logicielles

Source: WeLiveSecurity (ESET Research) — ESET publie une analyse technique d’« EdgeStepper », un implant rĂ©seau utilisĂ© par le groupe APT PlushDaemon pour des attaques d’« adversary‑in‑the‑middle » (AiTM) via dĂ©tournement DNS, permettant l’hijacking d’infrastructures de mises Ă  jour et le dĂ©ploiement du backdoor SlowStepper. ‱ Profil et ciblage: PlushDaemon, actif depuis au moins 2018 et alignĂ© Chine, mĂšne des opĂ©rations d’espionnage contre des cibles en Chine, TaĂŻwan, Hong Kong, Cambodge, CorĂ©e du Sud, États‑Unis et Nouvelle‑ZĂ©lande. Le groupe utilise la porte dĂ©robĂ©e SlowStepper et obtient l’accĂšs initial en d dĂ©tournant des mises Ă  jour logicielles via un implant rĂ©seau (EdgeStepper). ESET a aussi observĂ© l’exploitation de vulnĂ©rabilitĂ©s de serveurs web et une attaque de chaĂźne d’approvisionnement en 2023. L’étude illustre notamment l’hijacking des mises Ă  jour de Sogou Pinyin (d’autres logiciels populaires chinois sont affectĂ©s de maniĂšre similaire). ...

19 novembre 2025 Â· 3 min

SecretDesires.ai expose prĂšs de 1,8 million d’images/vidĂ©os via des conteneurs Azure non sĂ©curisĂ©s

Selon 404 Media, la plateforme d’« erotic roleplay » et de gĂ©nĂ©ration d’images SecretDesires.ai a laissĂ© des conteneurs Microsoft Azure Blob non sĂ©curisĂ©s exposant prĂšs de 1,8 million de fichiers (images et vidĂ©os), avant de couper l’accĂšs aprĂšs notification par le mĂ©dia. 🔓 Incident et pĂ©rimĂštre de l’exposition Des liens vers des images/vidĂ©os Ă©taient accessibles publiquement via des conteneurs Azure non authentifiĂ©s, y compris des fichiers XML listant les URLs. Conteneurs concernĂ©s: « removed images » (~930 000 images), « faceswap » (~50 000 images) et « live photos » (~220 000 vidĂ©os), pour un total d’environ 1,8 million de fichiers (avec duplications possibles). AprĂšs l’alerte envoyĂ©e par 404 Media, les fichiers sont devenus inaccessibles. La sociĂ©tĂ© (Playhouse Media, CEO: Jack Simmons) n’a pas rĂ©pondu aux questions. 📩 Nature des donnĂ©es exposĂ©es et usages ...

19 novembre 2025 Â· 3 min

Spyware préinstallé sur des Samsung Galaxy A et M : AppCloud collecte des données et est difficile à supprimer

Selon GBHackers Security, des utilisateurs de Samsung en Asie de l’Ouest et en Afrique du Nord signalent que l’application prĂ©installĂ©e AppCloud, prĂ©sente sur des modĂšles Galaxy A et M, collecte des donnĂ©es personnelles sensibles sans consentement et qu’elle est difficile Ă  retirer. 1. Depuis 2022, les smartphones Samsung Galaxy A et M vendus en Asie de l’Ouest et Afrique du Nord intĂšgrent AppCloud, une application dĂ©veloppĂ©e par ironSource (IsraĂ«l), aujourd’hui propriĂ©tĂ© de Unity (États-Unis). âžĄïž L’application fonctionne en arriĂšre-plan, n’est pas documentĂ©e, et ne peut pas ĂȘtre dĂ©sinstallĂ©e sans risques pour la sĂ©curitĂ© ou la garantie. ...

19 novembre 2025 Â· 2 min

WhatsApp : une faiblesse de dĂ©couverte de contacts a permis d’énumĂ©rer 3,5 milliards de comptes

Source et contexte — University of Vienna (univie.ac.at) publie une Ă©tude montrant qu’une faiblesse de confidentialitĂ© dans le mĂ©canisme de dĂ©couverte de contacts de WhatsApp a permis l’énumĂ©ration massive de comptes, divulguĂ©e de maniĂšre responsable et dĂ©sormais mitigĂ©e par Meta. ‱ Les chercheurs de l’University of Vienna et SBA Research ont dĂ©montrĂ© qu’il Ă©tait possible de sonder plus de 100 millions de numĂ©ros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnĂ©rabilitĂ© de confidentialitĂ© exploitait la logique de dĂ©couverte de contacts pour rĂ©pondre Ă  un volume de requĂȘtes anormalement Ă©levĂ© depuis une mĂȘme source. 🔎 ...

19 novembre 2025 Â· 3 min

Mandiant analyse les TTP d’UNC1549 : phishing ciblant l’IT, DLL hijacking et backdoors TWOSTROKE/LIGHTRAIL

Source et contexte: Mandiant (blog Google Cloud Threat Intelligence) publie une analyse des tactiques, techniques et procĂ©dures d’UNC1549, incluant ses outils personnalisĂ©s et malwares ciblant l’écosystĂšme aĂ©rospatial et dĂ©fense. ‱ Intrusion et Ă©lĂ©vation de privilĂšges: AprĂšs compromission initiale rĂ©ussie, le groupe pivote vers des campagnes de spear‑phishing visant le personnel IT et les administrateurs pour obtenir des identifiants Ă  privilĂšges Ă©levĂ©s. Les assaillants mĂšnent une reconnaissance dans des boĂźtes aux lettres dĂ©jĂ  compromises (recherche d’anciens emails de rĂ©initialisation de mot de passe, repĂ©rage des pages internes de reset) afin de mimer fidĂšlement les processus lĂ©gitimes. ...

18 novembre 2025 Â· 3 min

ThinkstScapes Q3 2025 : vulnérabilités Azure/Entra ID, logs trompeurs, LLM offensifs et attaques par vibrations

Source et contexte — ThinkstScapes (Thinkst) publie son Ă©dition Q3 2025, un panorama des travaux de sĂ©curitĂ© prĂ©sentĂ©s et publiĂ©s entre juillet et septembre 2025 (USENIX Security, DEF CON, Black Hat, etc.), structurĂ© autour de quatre thĂšmes majeurs et d’un volet « Nifty sundries ». ‱ Microsoft-induced security woes. Le numĂ©ro dĂ©taille une vulnĂ©rabilitĂ© critique d’Azure/Entra ID via des Actor tokens permettant l’usurpation inter‑tenant d’utilisateurs (jusqu’au Global Admin), en modifiant des parties non signĂ©es du JWT et en retrouvant le nameid, le tout sans logs ni rate‑limit. Il montre aussi comment exploiter la page lĂ©gitime login.microsoftonline.com pour du phishing (tenants contrĂŽlĂ©s, pass‑through vers AD on‑prem compromis, branding trompeur, contournement de certaines MFA) en conservant l’URL Microsoft. CĂŽtĂ© Windows, « RPC‑Racer » enregistre des endpoints RPC avant les services lĂ©gitimes pour coercer NTLM via chemins UNC et escalader jusqu’à compromettre un DC. Enfin, des collisions de noms de domaine internes avec des gTLD (.llc, .ad) et des typos NS exposent des hashes NTLM et du trafic Ă  des domaines publics contrĂŽlĂ©s par un attaquant. ...

18 novembre 2025 Â· 4 min

Vers l’indĂ©terminisme : IA gĂ©nĂ©rative, « weird machines » et limites de la confiance logicielle

Source : IEEE Security & Privacy (rubrique Last Word, septembre/octobre 2025). Daniel E. Geer, Jr. explore l’idĂ©e que la sĂ©curitĂ© logicielle entre dans une « Ăšre d’indĂ©terminisme », amplifiĂ©e par la complexitĂ© des systĂšmes, les weird machines et l’essor du code gĂ©nĂ©rĂ© par IA. L’auteur rappelle que les vulnĂ©rabilitĂ©s se concentrent aux interfaces et que la sĂ©curitĂ© n’est pas une propriĂ©tĂ© composable. En s’appuyant sur les travaux de Bratus et Shubina, il dĂ©crit les exploits comme des programmes exploitant des « machines plus riches » Ă©mergentes, rĂ©vĂ©lĂ©es lorsque les hypothĂšses des concepteurs sont violĂ©es. Des chaĂźnes d’exploitation d’une « complexitĂ© impossible » seraient dĂ©jĂ  observĂ©es, dĂ©passant les approches classiques comme le fuzzing. ...

18 novembre 2025 Â· 2 min

‘Tank’ (Vyacheslav Penchukov) brise le silence: de Zeus au ransomware et à Evil Corp

Source: BBC (BBC World Service). Dans une interview exclusive en prison menĂ©e par Joe Tidy đŸŽ™ïž, Vyacheslav “Tank” Penchukov, ex-membre clĂ© de la cyber-escĂšne, raconte son parcours de la bande Jabber Zeus Ă  IcedID et Ă  l’écosystĂšme du ransomware, livrant des dĂ©tails sur les gangs, leurs mĂ©thodes et des acteurs encore en cavale, dont l’énigmatique tĂȘte prĂ©sumĂ©e d’Evil Corp. Dans les annĂ©es 2000, Penchukov dirige la redoutĂ©e Ă©quipe Jabber Zeus, combinant le malware bancaire Zeus et la messagerie Jabber pour voler directement sur les comptes de PME, collectivitĂ©s et associations. Au Royaume-Uni, plus de 600 victimes perdent plus de ÂŁ4M en trois mois. IdentifiĂ© aprĂšs l’interception de chats, il Ă©chappe Ă  l’opĂ©ration Trident Breach de l’FBI en Ukraine, avant de tenter une reconversion (commerce de charbon) puis de replonger, Ă©voquant pressions financiĂšres et contexte politique (CrimĂ©e). ...

15 novembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝