International

Selon BleepingComputer, le projet Tor annonce un renforcement du chiffrement et de la sécurité du trafic des circuits en remplaçant l’ancien algorithme de chiffrement des relais « tor1 » par un nouveau design appelé « Counter Galois Onion » (CGO). Le changement clé est le remplacement de tor1 par CGO. L’objectif affiché est d’améliorer le chiffrement et la sécurité du trafic des circuits sur le réseau Tor. 🔐 Cet article informe d’une évolution technique du protocole de relais de Tor, sans détails supplémentaires sur le fonctionnement interne de CGO ou un calendrier de déploiement dans l’extrait fourni. ...

Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie. ...

Source: BleepingComputer (Sergiu Gatlan). Le média rapporte que CrowdStrike a confirmé avoir identifié et licencié le mois dernier un employé ayant partagé des captures d’écran de systèmes internes, après la publication d’images sur Telegram par des membres de groupes se présentant comme ShinyHunters, Scattered Spider et Lapsus$. CrowdStrike indique que ses systèmes n’ont pas été compromis et que les données clients n’ont pas été affectées, l’accès réseau de l’employé ayant été coupé. L’entreprise a transmis l’affaire aux autorités compétentes. ...

Push Security publie une analyse technique (18 nov. 2025) d’une campagne liée au kit PhaaS Sneaky2FA, observant l’ajout de fonctionnalités Browser‑in‑the‑Browser (BITB) et plusieurs mécanismes d’évasion avancés. — Aperçu de l’attaque — Type d’attaque: phishing avec Attacker‑in‑the‑Middle (AITM) et BITB. Leurres: « Sign in with Microsoft » pour ouvrir un document présenté comme Adobe Acrobat Reader. Hébergement/flux: accès initial à previewdoc[.]us avec Cloudflare Turnstile (anti‑bot), redirection vers un sous‑domaine puis affichage d’un faux popup navigateur contenant une page de connexion Microsoft en reverse‑proxy. Effet: vol d’identifiants Microsoft et de la session active, permettant une prise de contrôle de compte. Détails UI: la fausse fenêtre popup s’aligne sur l’OS et le navigateur (ex. Windows/Edge, macOS/Safari) et simule une barre d’adresse affichant une URL Microsoft crédible. — Techniques d’évasion observées — ...

Source: SpecterOps (billet de blog, 19 nov. 2025). Contexte: Publication de recherche détaillant une vulnérabilité de SCCM intégrée à Entra ID, assignée CVE-2025-59501, avec un correctif publié le 27 oct. 2025 (KB35360093) et une chronologie de divulgation. Le billet explique que, sur des sites SCCM intégrés à Microsoft Entra ID (CMG/Co-management) et avant le correctif KB35360093, l’API AdminService valide un jeton Entra puis extrait l’UPN pour réaliser une impersonation Kerberos S4U d’un compte Active Directory correspondant, sans contrôle d’autorisation supplémentaire sur l’UPN. Cela permettait d’exécuter des opérations WMI côté SMS Provider « au nom » de n’importe quelle identité AD mappable via l’UPN. ...

Source: BleepingComputer (Lawrence Abrams). L’article décrit des campagnes récentes où la vieille commande finger est abusée comme LOLBIN pour livrer et exécuter des scripts malveillants sur Windows, souvent via des attaques ClickFix se faisant passer pour des Captcha. Les attaquants incitent l’utilisateur à lancer une commande Windows qui exécute finger user@hôte et redirige la sortie vers cmd.exe, ce qui permet d’exécuter à distance les instructions renvoyées par un serveur Finger. Des échantillons et rapports (VirusTotal, Reddit, MalwareHunterTeam) montrent l’usage de hôtes Finger malveillants. ...

Selon 404 Media, la plateforme d’« erotic roleplay » et de génération d’images SecretDesires.ai a laissé des conteneurs Microsoft Azure Blob non sécurisés exposant près de 1,8 million de fichiers (images et vidéos), avant de couper l’accès après notification par le média. 🔓 Incident et périmètre de l’exposition Des liens vers des images/vidéos étaient accessibles publiquement via des conteneurs Azure non authentifiés, y compris des fichiers XML listant les URLs. Conteneurs concernés: « removed images » (~930 000 images), « faceswap » (~50 000 images) et « live photos » (~220 000 vidéos), pour un total d’environ 1,8 million de fichiers (avec duplications possibles). Après l’alerte envoyée par 404 Media, les fichiers sont devenus inaccessibles. La société (Playhouse Media, CEO: Jack Simmons) n’a pas répondu aux questions. 📦 Nature des données exposées et usages ...

Source et contexte — University of Vienna (univie.ac.at) publie une étude montrant qu’une faiblesse de confidentialité dans le mécanisme de découverte de contacts de WhatsApp a permis l’énumération massive de comptes, divulguée de manière responsable et désormais mitigée par Meta. • Les chercheurs de l’University of Vienna et SBA Research ont démontré qu’il était possible de sonder plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnérabilité de confidentialité exploitait la logique de découverte de contacts pour répondre à un volume de requêtes anormalement élevé depuis une même source. 🔎 ...

Source et contexte: Mandiant (blog Google Cloud Threat Intelligence) publie une analyse des tactiques, techniques et procédures d’UNC1549, incluant ses outils personnalisés et malwares ciblant l’écosystème aérospatial et défense. • Intrusion et élévation de privilèges: Après compromission initiale réussie, le groupe pivote vers des campagnes de spear‑phishing visant le personnel IT et les administrateurs pour obtenir des identifiants à privilèges élevés. Les assaillants mènent une reconnaissance dans des boîtes aux lettres déjà compromises (recherche d’anciens emails de réinitialisation de mot de passe, repérage des pages internes de reset) afin de mimer fidèlement les processus légitimes. ...

Source : IEEE Security & Privacy (rubrique Last Word, septembre/octobre 2025). Daniel E. Geer, Jr. explore l’idée que la sécurité logicielle entre dans une « ère d’indéterminisme », amplifiée par la complexité des systèmes, les weird machines et l’essor du code généré par IA. L’auteur rappelle que les vulnérabilités se concentrent aux interfaces et que la sécurité n’est pas une propriété composable. En s’appuyant sur les travaux de Bratus et Shubina, il décrit les exploits comme des programmes exploitant des « machines plus riches » émergentes, révélées lorsque les hypothèses des concepteurs sont violées. Des chaînes d’exploitation d’une « complexité impossible » seraient déjà observées, dépassant les approches classiques comme le fuzzing. ...