Des hackers prĂ©sumĂ©s liĂ©s Ă  la Chine infiltrent le cabinet Williams & Connolly via une faille 0‑day

Contexte: CNN Politics (Sean Lyngaas, 8 octobre 2025) rĂ©vĂšle qu’un cabinet d’avocats amĂ©ricain de premier plan, Williams & Connolly, a Ă©tĂ© victime d’une intrusion attribuĂ©e Ă  des pirates prĂ©sumĂ©s liĂ©s au gouvernement chinois, dans le cadre d’une campagne plus large visant le secteur juridique. L’incident: Les intrus ont exploitĂ© une faille logicielle inconnue (0‑day) pour accĂ©der au rĂ©seau de Williams & Connolly et ont ciblĂ© les comptes e‑mail de certains avocats. Le cabinet a informĂ© ses clients par lettre, sans nommer les auteurs, et a indiquĂ© n’avoir « aucune raison de croire » Ă  une divulgation publique des donnĂ©es, suggĂ©rant une finalitĂ© d’espionnage plutĂŽt que d’extorsion. Le cabinet affirme avoir bloquĂ© l’acteur et ne plus voir de trafic non autorisĂ©. L’étendue exacte (avocats/clients affectĂ©s) n’est pas prĂ©cisĂ©e. ...

10 octobre 2025 Â· 2 min

Discord: 70 000 photos d’identitĂ©s potentiellement exposĂ©es via un prestataire tiers

Selon The Verge, Discord prĂ©cise qu’environ 70 000 utilisateurs sont potentiellement concernĂ©s par l’exposition de photos de piĂšces d’identitĂ© Ă  la suite d’un incident touchant un prestataire tiers de support client. Cette mise Ă  jour intervient aprĂšs des affirmations en ligne et une tentative d’extorsion visant l’entreprise. Discord insiste sur le fait qu’il ne s’agit pas d’une compromission de ses propres systĂšmes, mais d’un incident chez un prestataire tiers de service client. Les photos d’ID gouvernementales exposĂ©es concerneraient des vĂ©rifications liĂ©es aux appels d’ñge. Dans une communication prĂ©cĂ©dente, l’entreprise indiquait que des donnĂ©es telles que noms, identifiants, adresses e‑mail, quatre derniers chiffres de cartes bancaires et adresses IP pouvaient Ă©galement ĂȘtre affectĂ©es. ...

10 octobre 2025 Â· 2 min

Exploitation active de failles critiques WebVPN sur Cisco ASA/FTD (CVE-2025-20362/20333/20363)

Selon Horizon3.ai, plusieurs vulnĂ©rabilitĂ©s critiques affectant les composants WebVPN de Cisco ASA et FTD sont exploitĂ©es activement par l’acteur UAT4356, dit ArcaneDoor, ce qui a conduit la CISA Ă  publier l’Emergency Directive 25-03. Les versions concernĂ©es sont Cisco ASA 9.16–9.23 et Cisco FTD 7.0–7.7. 🚹 VulnĂ©rabilitĂ©s et impact CVE-2025-20362 (bypass d’authentification) permet, via des requĂȘtes HTTP(S) forgĂ©es, d’atteindre des endpoints WebVPN restreints. ChaĂźnĂ©e avec CVE-2025-20333, cette faille conduit Ă  une exĂ©cution de code Ă  distance (RCE) en root, sans authentification, via des requĂȘtes HTTPS malveillantes. CVE-2025-20363 constitue une RCE distincte affectant ASA/FTD sans authentification et certains composants Cisco IOS avec authentification. 🎯 Menace et attribution ...

10 octobre 2025 Â· 2 min

GreedyBear: campagne coordonnĂ©e d’extensions Firefox piĂ©gĂ©es, malwares et sites crypto frauduleux

Selon Koi Security, une campagne baptisĂ©e « GreedyBear » orchestre Ă  grande Ă©chelle le vol d’actifs crypto via un Ă©cosystĂšme unifiĂ© d’extensions Firefox malveillantes, d’exĂ©cutables Windows et de sites frauduleux, tous rattachĂ©s Ă  une mĂȘme infrastructure. Le rapport met en Ă©vidence une industrialisation des opĂ©rations et des artefacts de code suggĂ©rant un usage d’outils d’IA. ‱ MĂ©thode 1 – Extensions Firefox malveillantes (150+) 🩊 : des modules imitant des portefeuilles crypto (MetaMask, TronLink, Exodus, Rabby) sont publiĂ©s puis « armĂ©s » a posteriori via une technique dite Extension Hollowing. Les Ă©tapes dĂ©crites: 1) crĂ©ation de compte Ă©diteur, 2) dĂ©pĂŽt de 5–7 extensions gĂ©nĂ©riques sans rĂ©elle fonctionnalitĂ©, 3) faux avis positifs pour bĂątir la crĂ©dibilitĂ©, 4) changement de nom/icĂŽnes et injection de code malveillant en conservant l’historique d’avis. Les extensions capturent des identifiants de portefeuilles dans leurs popups et exfiltrent les donnĂ©es (et l’IP externe de la victime) vers un serveur du groupe. ...

10 octobre 2025 Â· 3 min

Ivanti Endpoint Manager: 13 failles révélées par ZDI (12 RCE authentifiées, 1 élévation de privilÚges), aucun correctif

Selon Truesec, Zero Day Initiative (ZDI) a publiĂ© la divulgation de 13 vulnĂ©rabilitĂ©s affectant Ivanti Endpoint Manager, sans CVE assignĂ©s et sans correctifs disponibles Ă  ce stade. ‱ Vue d’ensemble: ZDI signale 13 vulnĂ©rabilitĂ©s dont 12 vulnĂ©rabilitĂ©s d’exĂ©cution de code Ă  distance (RCE) nĂ©cessitant une authentification — majoritairement des injections SQL — et 1 vulnĂ©rabilitĂ© d’élĂ©vation locale de privilĂšges (ZDI-25-947). L’absence de patch oblige les organisations Ă  recourir Ă  des contrĂŽles compensatoires (restrictions d’accĂšs, liste blanche IP, principe du moindre privilĂšge, surveillance accrue des requĂȘtes SQL et de l’activitĂ© des comptes de service). ⚠ ...

10 octobre 2025 Â· 2 min

Le FBI saisit les domaines de BreachForums; la fuite des données Salesforce reste programmée

BleepingComputer rapporte que le FBI a saisi les domaines du forum de hacking BreachForums opĂ©rĂ© par le groupe ShinyHunters, utilisĂ© comme portail d’extorsion par fuite de donnĂ©es liĂ©es aux attaques touchant Salesforce. L’action, menĂ©e en coopĂ©ration avec les autoritĂ©s françaises, a abouti Ă  l’affichage d’une banniĂšre de saisie et au basculement des DNS du domaine vers ns1.fbi.seized.gov et ns2.fbi.seized.gov. 🚹 Le domaine breachforums.hn, relancĂ© l’étĂ© dernier puis reconverti en site de fuite pour la campagne Salesforce par « Scattered Lapsus$ Hunters » (prĂ©tendant regrouper des membres de ShinyHunters, Scattered Spider et Lapsus$), a Ă©tĂ© rendu inaccessible sur le clearnet, tandis que le miroir Tor a Ă©tĂ© briĂšvement interrompu puis rĂ©tabli. La saisie a Ă©tĂ© finalisĂ©e avec un bandeau officiel, confirmant la prise de contrĂŽle de l’infrastructure web avant le dĂ©but des fuites liĂ©es Ă  Salesforce. ...

10 octobre 2025 Â· 2 min

Ransomware multi-familles: abus de Velociraptor et CVE-2025-6264 pour chiffrer ESXi et Windows

Selon Talos, en aoĂ»t 2025, des acteurs se rĂ©clamant du milieu Warlock ont menĂ© une campagne de ransomware ayant fortement impactĂ© l’environnement IT d’un client. ‱ Les assaillants, identifiĂ©s comme « affiliĂ©s » Ă  Warlock d’aprĂšs la note de rançon et l’usage de son data leak site (DLS), ont dĂ©ployĂ© simultanĂ©ment les ransomwares Warlock, LockBit et Babuk. L’objectif: chiffrer des VMware ESXi et des serveurs Windows, provoquant une interruption sĂ©vĂšre des systĂšmes. ...

10 octobre 2025 Â· 2 min

Unit 42 dĂ©montre l’empoisonnement de la mĂ©moire longue d’un agent Amazon Bedrock via injection de prompt indirecte

Source: Emerging Technology Security — Contexte: des chercheurs de Unit 42 dĂ©taillent une dĂ©monstration d’attaque montrant comment des adversaires peuvent empoisonner la mĂ©moire longue d’un agent LLM via l’injection de prompt indirecte, avec Amazon Bedrock Agent comme Ă©tude de cas. Les chercheurs expliquent que lorsque la mĂ©moire d’agent est activĂ©e, des instructions malicieuses injectĂ©es par ingĂ©nierie sociale peuvent manipuler le processus de synthĂšse de session, conduisant Ă  l’enregistrement de commandes persistantes qui survivront aux sessions futures. Ces instructions empoisonnĂ©es sont ensuite rĂ©introduites dans les prompts d’orchestration comme contexte « systĂšme », permettant l’exĂ©cution discrĂšte d’objectifs d’attaquants (ex. exfiltration de donnĂ©es). ...

10 octobre 2025 Â· 2 min

Zenity Labs dĂ©voile des faiblesses structurelles dans les guardrails d’OpenAI AgentKit

Source: Zenity Labs — Dans une publication de recherche, Zenity Labs analyse en profondeur les guardrails d’OpenAI AgentKit et met en Ă©vidence des faiblesses fondamentales communes : des contrĂŽles « souples » basĂ©s sur des modĂšles probabilistes Ă©valuant d’autres modĂšles, crĂ©ant des dĂ©pendances circulaires exploitables par des attaquants. Points clĂ©s mis en avant: DĂ©tection de PII: Ă©chec face aux formats non standard (ex. ‘SNN’ au lieu de ‘SSN’) et aux variations de casse. DĂ©tection d’hallucinations: s’appuie sur l’auto‑évaluation par LLM (score de confiance d’un modĂšle sur un autre), approche jugĂ©e fragile pour la vĂ©rification factuelle. Filtres de modĂ©ration: contournables via substitution de caractĂšres, encodage et obfuscation (ex. ‘k🧹ill’). DĂ©tection de jailbreak: inefficace contre les attaques multi‑tours, payloads intĂ©grĂ©s ou prompts dĂ©guisĂ©s. RĂ©sumĂ© technique: ...

10 octobre 2025 Â· 2 min

Zero‑day Oracle E‑Business Suite exploitĂ© par CL0P pour une vaste campagne d’extorsion

Source: Mandiant et Google Threat Intelligence Group. Contexte: une campagne d’extorsion Ă  large Ă©chelle, opĂ©rĂ©e sous la marque CL0P, a exploitĂ© une vulnĂ©rabilitĂ© zero‑day dans Oracle E‑Business Suite (EBS) pour voler des donnĂ©es clients. Oracle a publiĂ© un correctif le 4 octobre pour CVE‑2025‑61882, tandis que Mandiant/GTIG documentent plusieurs chaĂźnes d’exploit distinctes visant EBS. — Chronologie et portĂ©e — ‱ ActivitĂ©s d’exploitation probables dĂšs juillet 2025, avant la campagne d’extorsion rĂ©cente. ‱ Oracle publie le 4 octobre un patch rĂ©fĂ©rencĂ© CVE‑2025‑61882. Mandiant/GTIG estiment que les serveurs EBS mis Ă  jour via ce correctif ne sont probablement plus vulnĂ©rables aux chaĂźnes d’exploit connues. ‱ L’attribution prĂ©cise des vulnĂ©rabilitĂ©s aux chaĂźnes d’exploit reste incertaine. ...

10 octobre 2025 Â· 3 min
Derniùre mise à jour le: 8 juillet 2026 📝