International

Selon un bulletin de sécurité d’ownCloud, s’appuyant sur un rapport d’Hudson Rock, des intrusions ont visé des plateformes de partage de fichiers auto‑hébergées, dont des instances communautaires d’ownCloud, via l’exploitation de combinaisons identifiant/mot de passe volées — sans faille ni zero‑day. Le hacker « Zestix » (aka « Sentap ») a mis en vente sur le dark web des données attribuées à environ 50 organisations internationales. 🚨 Nature de la menace et impact: les attaquants ont utilisé des identifiants compromis par des infostealers (notamment RedLine, Lumma, Vidar) installés sur des postes d’employés. Ces malwares aspirent les mots de passe stockés (navigateurs/système), ensuite revendus en masse sur des places de marché clandestines. Des cybercriminels filtrent ces bases pour identifier des accès à des services d’entreprise (dont des portails ownCloud) et se connectent comme des utilisateurs légitimes lorsqu’aucune authentification multifacteur (MFA) n’est exigée. 🔐 ...

Selon la documentation du projet PackageInferno, l’outil propose une chaîne de traitement complète en conteneurs pour auditer la supply chain npm et visualiser les résultats localement via un tableau de bord. 🧰 Pipeline clef en main en Docker : un « enumerator » construit la file de paquets, un « fetcher » télécharge les tarballs (avec option d’upload S3), un « analyzer » effectue l’analyse statique (YARA en option) et un Postgres stocke les résultats. Un dashboard Streamlit (http://localhost:8501) permet la recherche, le drill‑down et des analyses. La configuration passe par scan.yml (allowlists, seuils, règles YARA), avec historique des scans en base (scan_runs). ...

Contexte: Cloud Security Alliance (CSA), article de Rich Mogull (01/09/2026). 🔍 Message central: l’auteur propose que la première question sécurité sur tout projet d’IA soit « Pourquoi ? Quel résultat métier visons-nous ? », immédiatement suivie de « Comment cela l’atteint-il ? ». Cette approche force une discussion concrète sur l’architecture, l’interaction humaine, l’accès aux données, la conformité et les risques, plutôt que de déployer l’IA par effet de mode. ...

Source : billet de blog de Linus Heckemann (9 janvier 2026). L’auteur illustre d’abord le risque de « Process information leakage » lorsqu’un secret (ex. un token Bearer pour l’API GitLab) est passé en argument de commande, car les lignes de commande sont lisibles via /proc sur la plupart des distributions Linux (outils comme ps/pgrep). Des options comme hidepid pour /proc ou l’isolation par défaut de macOS limitent la visibilité inter-utilisateurs, mais la meilleure approche reste d’éviter de placer des secrets sur la ligne de commande. ...

Selon OX Security (OX Research), une campagne malveillante exploite deux extensions Chrome usurpant l’extension légitime AITOPIA pour exfiltrer des conversations ChatGPT et DeepSeek, ainsi que toutes les URLs des onglets Chrome, vers un serveur C2 toutes les 30 minutes. L’une des extensions malveillantes arborait même le badge “Featured” de Google. • Impact et périmètre: plus de 900 000 téléchargements des extensions « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » et « AI Sidebar with Deepseek, ChatGPT, Claude and more ». Les extensions restent disponibles sur le Chrome Web Store, malgré un signalement à Google le 29 déc. 2025 (statut « in review » au 30 déc. 2025). ...

Selon HackRead, le groupe de hackers RondoDox exploite la vulnérabilité React2Shell dans Next.js pour mener des attaques à grande échelle. 🚨 Nature de l’attaque: Exploitation active d’une faille baptisée React2Shell au sein de Next.js par le groupe RondoDox. 📈 Impact: Plus de 90 000 appareils sont visés, incluant des routeurs, des caméras intelligentes et des sites web de petites entreprises. 🧩 Vecteur: L’attaque repose sur l’exploitation de la faille React2Shell dans le framework Next.js. ...

Selon BleepingComputer, Trust Wallet pense que la compromission de son navigateur web, utilisée pour voler des fonds d’utilisateurs, est probablement liée à une attaque « industry‑wide » baptisée Sha1-Hulud survenue en novembre. L’incident a conduit au vol d’environ 8,5 millions de dollars depuis plus de 2 500 portefeuilles crypto. La compromission évoquée concerne le navigateur web associé à Trust Wallet. L’entreprise fait le lien avec l’attaque « Sha1-Hulud » qualifiée d’industry‑wide, suggérant une campagne plus large ayant touché plusieurs acteurs en novembre. ...

Selon Undark Magazine (24 déc. 2025), la dépendance mondiale au GPS révèle une vulnérabilité croissante aux brouillages et à l’usurpation de signaux (spoofing), avec des impacts concrets sur l’aviation et d’autres infrastructures, poussant administrations et industriels à moderniser le système et à développer des alternatives. 🚨 Cas marquant: en septembre 2025, un vol Widerøe a dû interrompre son atterrissage à Vardø (Norvège) lors de manœuvres militaires russes « Zapad‑2025 », en raison d’interférences GPS suspectées. Dans le Finnmark, ces perturbations sont quasi continues depuis l’invasion de l’Ukraine. À l’échelle mondiale, des hotspots sont observés (Myanmar, mer Noire, sud du Texas), et des usages civils détournés existent (chauffeurs routiers, triche dans des jeux AR). ...

Selon l’annonce du projet EvilNeko, l’outil vise à opérationnaliser les techniques de Browser‑in‑the‑Browser (BITB) pour les équipes rouges et aider les équipes bleues à les détecter. EvilNeko est présenté comme un projet permettant de passer à l’échelle l’infrastructure d’attaques BITB au-delà d’un seul utilisateur/session, en s’inspirant des travaux de Mr. d0x et des idées du projet EvilNoVNC. L’objectif est de fournir un moyen réaliste d’émuler ces techniques pour des tests autorisés et de contribuer à la détection côté défense. 🐱‍💻 ...

Source: CA/Browser Forum — Le Forum annonce la fin de la période IPR pour le ballot CSC‑31 « Maximum Validity Reduction » sans exclusion de droits, l’adoption au 17 novembre 2025, et la publication des Code Signing Baseline Requirements v3.10.0. La mise à jour des « Baseline Requirements for the Issuance and Management of Publicly‑Trusted Code Signing Certificates » réduit la validité maximale des certificats de 39 mois à 460 jours, avec entrée en vigueur le 1er mars 2026. La redline et la version publiée sont disponibles (PDF et comparaison GitHub). ...