International

Selon Pixm Security, la première moitié d’août a vu une nette hausse des campagnes malveillantes visant des utilisateurs Microsoft, avec des techniques variées et plus agressives. Les chercheurs rapportent une augmentation majeure des arnaques de support Microsoft qui recourent au verrouillage du clavier et à d’autres procédés destinés à pousser les victimes à appeler des centres d’appels ciblés ☎️. Au-delà du support scam, d’autres attaques de phishing Microsoft ont utilisé un fingerprinting agressif des appareils, des tactiques de relais d’authentification multifacteur (MFA) 🔐, ainsi que des livraisons via des invitations d’événements et des fichiers PDF 📄. ...

SecurityWeek publie un récapitulatif des avis Patch Tuesday d’août 2025 pour l’ICS/OT, avec des correctifs et mitigations émis par Siemens, Schneider Electric, Honeywell, Aveva, ABB et Phoenix Contact, ainsi que des avis de la CISA. Plusieurs failles sont critiques ou à haute sévérité, exposant à l’exécution de code, à l’accès non autorisé, à la fuite de données et aux DoS. • Siemens a publié 22 nouveaux avis, dont un pour la faille critique CVE-2025-40746 dans Simatic RTLS Locating Manager, exploitable par un attaquant authentifié pour une exécution de code avec privilèges Système ⚠️. Des failles à haute sévérité touchent aussi Comos (exécution de code), Siemens Engineering Platforms (exécution de code), Simcenter (crash ou exécution de code), Sinumerik (accès distant non autorisé), Ruggedcom (contournement d’authentification avec accès physique), Simatic (exécution de code), Siprotect (DoS) et Opcenter Quality (accès non autorisé). Des vulnérabilités issues de composants tiers sont également traitées (OpenSSL, Linux kernel, Wibu Systems, Nginx, Nozomi Networks, SQLite). Des correctifs existent pour beaucoup de failles, tandis que seules des mitigations ou contournements sont disponibles pour d’autres. Des problèmes de sévérité moyenne/faible sont résolus dans Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II et Sicam Q. ...

Selon PolySwarm, des chercheurs ont analysé ‘Plague’, un backdoor Linux sophistiqué qui s’intègre au flux d’authentification en se faisant passer pour un module PAM légitime, afin de fournir un accès SSH persistant et un contournement de l’authentification. L’échantillon se présente comme libselinux.so.8 et persiste discrètement avec très peu de traces forensiques tout en survivant aux mises à jour système. Le malware exploite des mots de passe statiques pour une entrée clandestine (ex. ‘Mvi4Odm6tld7’ et ‘changeme’), et met en place des capacités de furtivité comme la désactivation de variables SSH et la redirection de l’historique shell (HISTFILE) vers /dev/null. 🐧🔐 ...

Source: Socket.dev (blog) — Contexte: tendances du secteur autour de la transparence open source et de l’évaluation fournisseurs. Le site « Is It Really FOSS? », créé par Dan Brown, aide à déterminer si des projets sont réellement libres et open source comme ils le revendiquent. Il vise à éclairer une landscape open source devenue complexe, où certaines entreprises entretiennent une image FOSS tout en restreignant les libertés des utilisateurs. ...

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP. • Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate. ...

Source : Gal Bar Nahum’s Blog — Le 13 août 2025, le chercheur Gal Bar Nahum a dévoilé « MadeYouReset » (CVE‑2025‑8671), une vulnérabilité HTTP/2 de type déni de service qui exploite les mécanismes de contrôle de flux/erreurs du protocole pour contourner les limites de concurrence, en collaboration avec Prof. Anat Bremler‑Barr et Yaniv Harel (Université de Tel-Aviv), avec le soutien partiel d’Imperva. 🛑 Principe clé: MadeYouReset s’appuie sur l’idée de « Rapid Reset » (2023) mais avec un twist: au lieu que le client annule la requête, l’attaquant provoque des erreurs de flux afin que le serveur émette un RST_STREAM après le démarrage d’une requête valide. Comme les flux réinitialisés ne comptent plus dans MAX_CONCURRENT_STREAMS, le serveur poursuit souvent le travail backend (calcul de réponse) malgré la fermeture du flux côté HTTP/2, ce qui permet de créer un nombre non borné de travaux concurrents et d’induire un DoS. ...

Source : Trustwave (SpiderLabs Blog). Dans cette publication, des chercheurs présentent une méthodologie complète pour analyser le malware SnakeKeylogger et élaborer des signatures de détection efficaces. Ils montrent comment le code malveillant contourne des règles existantes en encodant en Base64 des données exfiltrées via SMTP, et proposent un flux de travail pratique pour collecter des IOC et affiner continuellement les signatures. 🔬 Comportement réseau et évasion : l’analyse met en évidence des connexions vers des IP malveillantes sur les ports 80, 443 et 587, et l’usage de l’encodage Base64 dans le trafic SMTP afin de contourner les règles de détection. ...

Selon Arctic Wolf, Fortinet a publié des correctifs pour une vulnérabilité critique (CVE-2025-25256) dans FortiSIEM, permettant à un attaquant non authentifié de réaliser une exécution de code à distance (RCE) via injection de commandes dans le service phMonitor. Un proof-of-concept public est disponible, renforçant l’urgence d’appliquer les mises à jour. 🚨 Sur le plan technique, la faille provient d’une neutralisation incorrecte d’éléments spéciaux dans des commandes système. Le service phMonitor, à l’écoute sur le port TCP 7900, peut être ciblé via des requêtes CLI spécialement conçues, ouvrant la voie à l’exécution de code non autorisé. ...

Selon Have I Been Pwned (HIBP), après les gros titres de juin 2025 annonçant un « leak de 16 milliards de mots de passe », le lot en question s’avère être une compilation de logs de stealer accessibles publiquement, majoritairement réutilisés d’anciennes fuites, avec seulement une petite portion réellement nouvelle. – Nature des données: logs de stealer publics principalement repackagés à partir d’anciens leaks, avec une faible part de données inédites. ...

Selon GuidePoint Security (blog), la prompt injection reste le risque de sécurité n°1 pour les modèles de langage (LLM), car ceux-ci ne distinguent pas de façon fiable les instructions système des entrées utilisateur dans une même fenêtre de contexte. Sur le plan technique, les attaques tirent parti du traitement token-based dans un contexte unifié où instructions système et requêtes utilisateur sont traitées de manière équivalente. Cette faiblesse structurelle permet de détourner le comportement de l’IA. ...