International

Selon Tenable Research (blog Tenable), une nouvelle étude dévoile sept vulnérabilités et techniques d’attaque affectant ChatGPT, dont certaines confirmées sur GPT‑5 et observées sur GPT‑4o, permettant l’exfiltration d’informations privées depuis les mémoires et l’historique de conversation, des attaques 0‑click via la recherche, des contournements de mécanismes de sécurité et des persistances entre sessions. Architecture et surface d’attaque identifiées : ChatGPT s’appuie sur un « System Prompt » enrichi par des « memories » (bio tool) pouvant contenir des données privées de l’utilisateur, et sur un web tool avec deux commandes: search (Search Context) et open_url (Browsing Context). D’après les tests, open_url délègue la navigation à un LLM isolé (« SearchGPT »), sans accès aux memories. Un mécanisme url_safe filtre les liens rendus à l’écran. ...

Source : Darknet.org.uk — L’article traite en 2025 du phénomène « Deepfake-as-a-Service » et explique comment le clonage de voix et les médias synthétiques affectent les entreprises. 🎭 Le contenu met en avant la montée des services de deepfake « prêts à l’emploi » et leur utilisation dans la fraude ciblant les organisations, en soulignant leur impact opérationnel et réputationnel. Les deepfakes ont quitté le domaine expérimental pour devenir un modèle économique criminel industrialisé, baptisé Deepfake-as-a-Service (DFaaS). Ces services permettent aujourd’hui à n’importe quel acteur malveillant de louer des capacités de clonage vocal ou vidéo en temps réel pour mener des fraudes, manipulations sociales ou opérations d’espionnage à grande échelle. ...

Source: Talos Intelligence — Dans un contexte d’incertitude économique, cette analyse détaille des approches pour maintenir une cybersécurité efficace avec des budgets serrés, en combinant optimisation des outils existants, durcissement ciblé et priorisation de la visibilité. L’étude met l’accent sur l’optimisation des capacités en place plutôt que sur de nouveaux achats : défense en profondeur pour les systèmes legacy, combinaison de solutions open source et commerciales, et maximisation des configurations de sécurité sans dépenses additionnelles. Elle traite aussi des enjeux RH via rétention des talents et partenariats de spécialistes, tout en favorisant la réduction de la surface d’attaque et une journalisation/alerte renforcées sur les actifs vulnérables. ...

Source: Ars Technica (Ryan Whitwam), relayant des captures d’écran d’un briefing Cellebrite partagées par « rogueFed » sur les forums GrapheneOS et repérées par 404 Media. — Le cœur de l’info — Cellebrite présenterait une matrice de prise en charge indiquant que ses outils peuvent extraire des données des Google Pixel 6, 7, 8 et 9 en états BFU (Before First Unlock), AFU (After First Unlock) et déverrouillé lorsqu’ils tournent sur l’OS stock de Google. 🔓 La société indique ne pas pouvoir brute-forcer les codes d’accès pour prendre le contrôle total d’un appareil, et ne pas pouvoir copier l’eSIM des Pixel. Le Pixel 10 n’est pas listé dans ces captures. — Focus GrapheneOS — ...

Source: AFINE (billet technique de Karol Mazurek). Le billet analyse deux vulnérabilités dans le framework de mise à jour Sparkle sur macOS (CVE-2025-10015 et CVE-2025-10016), toutes deux dues à une absence de validation des clients XPC, montrant un impact en contournement TCC et en élévation de privilèges locale. Problème central: des services XPC de Sparkle établissent une confiance implicite sans vérifier l’identité du client. Cela permet à un processus local non privilégié d’exploiter des services existants avec des privilèges du binaire ciblé. Portée: découvert initialement via Ghostty.app, mais toute application embarquant Sparkle est potentiellement concernée. • CVE-2025-10015 — TCC bypass 🔓 ...

Selon Push Security (billet de blog signé par Dan Green), l’éditeur a détecté et bloqué une campagne de phishing sophistiquée livrée via LinkedIn, conçue pour échapper aux contrôles traditionnels et voler des sessions Microsoft via une page d’hameçonnage en Adversary-in-the-Middle (AITM). • Chaîne d’attaque: un lien malveillant envoyé en DM LinkedIn provoque une série de redirections (dont Google Search puis payrails-canaccord[.]icu) avant d’aboutir sur une landing page personnalisée hébergée sur firebasestorage.googleapis[.]com. L’utilisateur est invité à « view with Microsoft », puis doit passer un challenge Cloudflare Turnstile sur login.kggpho[.]icu; la page de phishing qui imite Microsoft est alors servie. La saisie des identifiants et la validation MFA conduisent au vol de session par l’attaquant. ...

Source: Trend Micro — Cette publication analyse les outils et chaînes de développement des systèmes d’IA agentique en edge, en couvrant les écosystèmes NVIDIA (Omniverse/Isaac) et open source (ROS 2, Gazebo, PyTorch). Elle détaille les menaces sur quatre phases (environnement virtuel, génération de données synthétiques, entraînement/validation, déploiement edge) et modélise la propagation des compromissions via une chaîne de Markov, des capteurs jusqu’aux actionneurs. Contexte et portée 🤖 Cible: industries exploitant l’IoT/IIoT avec edge AI et systèmes autonomes. Risques clés: injection d’actifs, empoisonnement de données/modèles, altération de modèles, exploitation matérielle. Modélisation: une chaîne de Markov montre comment une compromission en perception peut cascade jusqu’aux actionneurs. Menaces et vecteurs d’attaque 🛑 ...

Selon BleepingComputer, le plugin WordPress « Anti-Malware Security and Brute-Force Firewall », installé sur plus de 100 000 sites, présente une vulnérabilité permettant à des utilisateurs au rôle d’« abonné » de lire n’importe quel fichier sur le serveur, exposant ainsi des informations privées. Le problème touche un plugin de sécurité très répandu et ouvre la voie à une lecture de fichiers arbitraire par des comptes disposant de privilèges faibles (simples abonnés). L’impact direct est une exposition de données sensibles stockées côté serveur. ...

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2. Faits saillants 🚨 Au moins 12 extensions malveillantes détectées, 4 encore en ligne: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, sahil92552.CBE-456. Vecteur: attaque supply chain via le marketplace VSCode, ciblant développeurs et postes de travail. Impacts: exfiltration de code/source et données sensibles, captures d’écran/clipboard, backdoors/RCE, détection d’installation et téléchargement de trojan. Contexte sectoriel: citation d’une étude arXiv signalant ~5,6% d’extensions « suspectes » (2 969/52 880) totalisant 613 M d’installations. Comportements malveillants observés ...

Selon l’article, une campagne active nommée « PhantomRaven » cible les développeurs via des paquets npm malveillants afin de voler des informations sensibles. — Points clés — Type d’attaque : Compromission de la chaîne d’approvisionnement logicielle via des paquets npm malveillants. Cibles : Développeurs et environnements de développement/CI. Impact : Vol de tokens d’authentification, secrets CI/CD et identifiants GitHub. Ampleur : Des dizaines de paquets concernés. — Détails — La campagne « PhantomRaven » s’appuie sur la publication de multiples modules npm piégés. Après installation par des développeurs, ces paquets exécutent du code visant à collecter des secrets d’accès, incluant des tokens d’authentification, des secrets d’intégration continue/livraison continue (CI/CD) et des identifiants GitHub. ...