La Russie étend son empreinte cyber via des partenariats internationaux et des firmes sous sanctions

Source: Foreign Affairs (aoĂ»t 2025). Contexte: Un article d’Andrei Soldatov et Irina Borogan analyse la stratĂ©gie du Kremlin pour Ă©tendre l’influence cyber russe en s’appuyant sur des entreprises nationales et des accords internationaux, Ă  la suite d’une rĂ©union sur la « souverainetĂ© informationnelle » Ă  Saint-PĂ©tersbourg en avril 2024. 🔒 Le cƓur de la stratĂ©gie: le Kremlin promeut des cybertechnologies et la « souverainetĂ© informationnelle » via des firmes comme Positive Technologies, Kaspersky Lab, Cyberus Foundation, Angara Security, Kod Bezopasnosti, Security Vision et Solar. Lors de la rĂ©union d’avril 2024 prĂ©sidĂ©e par Nikolai Patrushev (avec Sergei Naryshkin, chef du SVR), des responsables de sĂ©curitĂ© d’Afrique, d’Asie, d’AmĂ©rique latine, du Moyen-Orient (dont BrĂ©sil, Soudan, ThaĂŻlande, Ouganda, ainsi que Chine, Iran et la Ligue arabe) ont Ă©tĂ© invitĂ©s Ă  adopter des solutions russes pour « contrĂŽler l’espace informationnel » national. ...

31 aoĂ»t 2025 Â· 3 min

Microsoft impose la MFA pour toutes les actions de gestion des ressources Azure dĂšs octobre

Selon BleepingComputer, Microsoft appliquera Ă  partir d’octobre l’authentification multifacteur (MFA) pour toutes les actions de gestion des ressources Azure afin de protĂ©ger les clients contre les tentatives d’accĂšs non autorisĂ©es. Mesure: obligation de MFA pour toutes les actions de gestion des ressources Azure. Calendrier: entrĂ©e en vigueur Ă  partir d’octobre. Objectif: contrer les accĂšs non autorisĂ©s visant les environnements Azure 🔐. Il s’agit d’une mise Ă  jour de produit dont le but principal est de renforcer la protection des clients Azure. ...

31 aoĂ»t 2025 Â· 1 min

Nintendo Switch : contournement de la vérification TLS via SKID dans ImportServerPki (corrigé en 20.2.0)

Source : billet de blog de Yannik Marchand. Contexte : analyse de l’implĂ©mentation TLS du sysmodule « ssl » de la Nintendo Switch (librairie NSS) et dĂ©couverte d’un dĂ©faut de vĂ©rification permettant l’interception de trafic 🔒. RĂ©sumĂ© technique : la vĂ©rification des certificats dans le callback SslAuthCertCb comporte un cas spĂ©cial pour les certificats importĂ©s via nn::ssl::Context::ImportServerPki. Lorsque le certificat reçu figure dans la liste « de confiance » du contexte, la signature n’est pas validĂ©e par NSS. La fonction CertificateStore::IsTrusted ne compare que le Subject Key Identifier (SKID) — une valeur contrĂŽlable par un attaquant — au lieu de vĂ©rifier la chaĂźne et la signature. En forgeant un certificat auto-signĂ© avec le mĂȘme SKID qu’un certificat importĂ©, un attaquant peut rĂ©ussir une attaque de type man-in-the-middle (MITM) et usurper un serveur. ...

31 aoĂ»t 2025 Â· 3 min

Nouvelle variante ClickFix: faux Turnstile Cloudflare via Windows Explorer pour livrer MetaStealer

Selon Huntress (blog de recherche), des chercheurs ont documentĂ© une nouvelle variante des attaques ClickFix qui dĂ©tourne la vĂ©rification Cloudflare Turnstile afin d’amener les victimes Ă  tĂ©lĂ©charger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scĂ©nario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, oĂč une fausse vĂ©rification Cloudflare Turnstile est affichĂ©e. En cliquant sur la vĂ©rification, la victime est redirigĂ©e via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrĂŽlĂ© par l’attaquant. ...

31 aoĂ»t 2025 Â· 2 min

Typosquatting de ghrc.io: un faux registre imite ghcr.io pour voler des identifiants GitHub

Selon une analyse signĂ©e par Brandon Mitchell, une faute de frappe de ghcr.io vers ghrc.io expose Ă  un site configurĂ© pour dĂ©clencher un flux d’authentification de registre et potentiellement dĂ©rober des identifiants GitHub. 🚹 Le domaine ghrc.io affiche en surface une page par dĂ©faut nginx, mais rĂ©pond sous l’API OCI « /v2/ » avec un HTTP 401 et un en-tĂȘte WWW-Authenticate: Bearer realm=“https://ghrc.io/token", mimant le comportement d’un registre de conteneurs. Cet en-tĂȘte pousse des clients comme Docker, containerd, podman et les CRI Kubernetes Ă  solliciter un jeton auprĂšs de « https://ghrc.io/token », ce qui n’a aucune raison lĂ©gitime sur un nginx par dĂ©faut et indique un objectif de vol d’identifiants. ...

31 aoĂ»t 2025 Â· 2 min

Un cadre pour analyser les incidents d’agents IA et les donnĂ©es Ă  collecter

Selon un papier de recherche acadĂ©mique (Harvard University et Centre for the Governance of AI), les auteurs proposent un cadre structurĂ© pour analyser les incidents impliquant des agents IA et dĂ©taillent quelles donnĂ©es opĂ©rationnelles doivent ĂȘtre conservĂ©es et partagĂ©es pour permettre des enquĂȘtes efficaces. ‱ Le cadre identifie trois catĂ©gories de causes d’incident: facteurs systĂšme (donnĂ©es d’entraĂźnement/feedback, mĂ©thodes d’apprentissage, prompts systĂšme, scaffolding), facteurs contextuels (dĂ©finition de la tĂąche, outils et leurs accĂšs, environnement informationnel incluant les injections de prompts) et erreurs cognitives observables de l’agent (observation, comprĂ©hension, dĂ©cision, exĂ©cution). Il s’inspire des approches « human factors » (ex. HFACS) utilisĂ©es en aviation et autres domaines critiques. ...

31 aoĂ»t 2025 Â· 3 min

Un faux paquet npm imite Nodemailer et draine des portefeuilles crypto en modifiant Atomic/Exodus sous Windows

Source: Socket (Ă©quipe de recherche). Le billet dĂ©taille une campagne oĂč un paquet npm, nodejs-smtp, usurpe le populaire Nodemailer et implante un code dans des portefeuilles crypto de bureau sous Windows afin de dĂ©tourner des transactions vers des adresses contrĂŽlĂ©es par l’attaquant. 🚹 Le paquet nodejs-smtp se fait passer pour un mailer lĂ©gitime et reste fonctionnel, exposant une interface compatible avec Nodemailer. Sur simple import, il abuse des outils Electron pour dĂ©compresser l’archive app.asar d’Atomic Wallet, remplacer un bundle fournisseur par une charge utile malveillante, reconditionner l’application et supprimer ses traces. Dans le runtime du wallet, le code injectĂ© remplace silencieusement l’adresse du destinataire par des portefeuilles de l’attaquant, redirigeant des transactions en BTC, ETH, USDT (ERC20 et TRX USDT), XRP et SOL. La modification persiste jusqu’à rĂ©installation depuis la source officielle. ...

31 aoĂ»t 2025 Â· 3 min

Windows Hello for Business: faiblesse permettant à un admin local de déchiffrer et falsifier la base biométrique

Source: Black Hat USA (prĂ©sentation ERNW). Contexte: Ă©tude financĂ©e par le BSI allemand (2024–2026) visant Ă  dissĂ©quer des composants de sĂ©curitĂ© Windows, dont Windows Hello for Business (WHfB) et le Windows Biometric Service (WBS). Les chercheurs dĂ©taillent l’architecture de WHfB, l’initialisation et les pipelines du Windows Biometric Service, ainsi que le mode Enhanced Sign-in Security (ESS) impliquant VBS/VTL et l’isolement (BioIso.exe). Ils dĂ©crivent les flux d’authentification biomĂ©trique, l’intĂ©gration LSASS/TPM, et la gestion des unitĂ©s biomĂ©triques (capteur/engine/storage). ...

31 aoĂ»t 2025 Â· 2 min

Alerte conjointe internationale: des APT chinois compromettent des routeurs et opérateurs pour un espionnage mondial

Source et contexte — Alerte conjointe (NSA, CISA, FBI, DC3, ASD/ACSC, CCCS/CSIS, NCSC‑NZ, NCSC‑UK, NÚKIB, SUPO, BND/BfV/BSI, AISE/AISI, Japon NCO/NPA, MIVD/AIVD, SKW/AW, CNI) publiĂ©e en aoĂ»t 2025, TLP:CLEAR. Elle dĂ©crit une campagne d’espionnage conduite par des APT chinoises visant des rĂ©seaux mondiaux (tĂ©lĂ©coms, gouvernement, transport, hĂŽtellerie, militaire), avec un fort accent sur les routeurs backbone/PE/CE et la persistance de long terme. Les activitĂ©s se recoupent avec Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, GhostEmperor. ...

29 aoĂ»t 2025 Â· 3 min

Attaque supply chain s1ngularity sur Nx : vol massif d’identifiants et clĂ©s API

Selon Hackread.com (article de Deeba Ahmed), une attaque supply chain nommĂ©e « s1ngularity » a compromis la plateforme de build Nx Ă  partir du 26 aoĂ»t 2025, ciblant les versions 20.9.0 Ă  21.8.0. L’objectif principal : le vol d’identifiants et de secrets de dĂ©veloppeurs, touchant majoritairement des utilisateurs macOS. L’attaque a exfiltrĂ© des tokens GitHub, clĂ©s d’authentification npm et clĂ©s privĂ©es SSH. Elle a Ă©galement visĂ© des clĂ©s API d’outils d’IA (dont Gemini, Claude et Q), marquant un intĂ©rĂȘt pour les plateformes d’IA Ă©mergentes. Un payload destructeur modifiait les fichiers de dĂ©marrage du terminal, provoquant le plantage des sessions. 🔐 ...

29 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝