Monde

Selon le blog de Korben (8 décembre 2025), des chercheurs de l’Université de Vienne ont présenté « Careless Whisper », une attaque récompensée Best Paper à RAID 2025, montrant comment exploiter les accusés de réception de WhatsApp (et Signal) pour surveiller un utilisateur à distance sans notification. • L’attaque s’appuie sur des accusés de réception silencieux déclenchés via l’envoi de réactions à des messages inexistants. L’utilisateur ne voit rien (pas de notif, pas de message visible), tandis que l’attaquant mesure les temps de réponse du téléphone pour en tirer des informations. 🕵️ ...

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...

Dans un billet technique signé Miguel, l’auteur documente une chaîne d’attaque où des résultats sponsorisés Google renvoient vers des chats LLM partagés (ChatGPT, DeepSeek) contenant des commandes terminal obfusquées visant macOS. L’attaque débute par du malvertising: des requêtes courantes (ex. « how to clear storage on mac ») mènent à des chats LLM semblant légitimes mais qui livrent des commandes base64. Celles-ci récupèrent un script bash demandant en boucle le mot de passe, le valident (dscl . -authonly), l’enregistrent (/tmp/.pass), téléchargent un binaire (/tmp/update depuis nonnida.com) et l’exécutent avec sudo après suppression de l’attribut de quarantaine. ...

Selon The Register (article de Simon Sharwood), un avis de Gartner intitulé « Cybersecurity Must Block AI Browsers for Now » recommande aux organisations de bloquer, pour l’instant, les navigateurs IA dits agentiques en raison de risques de sécurité jugés excessifs. Gartner définit ces navigateurs IA comme des outils tels que Perplexity Comet et OpenAI ChatGPT Atlas, combinant: 1) une barre latérale IA (résumé, recherche, traduction, interaction sur le contenu web via un service IA du fournisseur), et 2) une capacité transactionnelle agentique permettant au navigateur de naviguer et agir de façon autonome, y compris dans des sessions authentifiées. ...

Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal. Découverte et méthode 🧠🤖 Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée. Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA. Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK). Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois. Capacités et architecture du malware 🐧 ...

Selon l’annonce du projet OGhidra, l’outil introduit une intégration entre Ghidra et des modèles de langage locaux (via Ollama) afin d’apporter de l’IA dans les workflows de rétro‑ingénierie. Le projet permet d’« analyser des binaires en langage naturel » et d’« automatiser des workflows de reverse engineering » avec des cas d’usage comme l’analyse de malware, la recherche de vulnérabilités, la compréhension de code décompilé, le renommage intelligent en masse et la génération de rapports. Deux interfaces sont proposées: une GUI (recommandée, avec boutons d’actions rapides) et un CLI interactif pour le scripting. 🛠️ ...

Source: IT-Connect (article de Florian Burnel). Microsoft publie le Patch Tuesday de décembre 2025, dernier de l’année, avec 57 correctifs de sécurité, dont 3 vulnérabilités zero-day. Parmi elles, une est déjà activement exploitée. Le lot inclut 19 failles RCE, avec 3 critiques : Microsoft Office (CVE-2025-62554, CVE-2025-62557) et Microsoft Outlook (CVE-2025-62562). Les correctifs Edge ne sont pas comptabilisés. 🚨 Zero-day 1 — CVE-2025-62221 (Windows – Cloud Files Mini Filter): vulnérabilité de type use-after-free permettant une élévation de privilèges jusqu’à SYSTEM. Microsoft indique qu’elle est déjà exploitée. Versions affectées: Windows 10, Windows 11, Windows Server 2022, Windows Server 2025. ...

Selon la notice de publication officielle (version 1.0, publiée le 8 décembre 2025), le FACT Attribution Framework v1.0 est un modèle d’enquête juridiquement fondé visant à combler l’écart entre les preuves techniques et l’attribution humaine. Le framework fournit une méthode structurée et de bout en bout pour établir qui a réalisé une action numérique, sur quelles preuves cette conclusion s’appuie, et si elle peut résister à un examen juridique, administratif ou organisationnel. ...

Selon The Register (interview publiée le 9 déc. 2025), Joseph Rooke, directeur Risk Insights chez Recorded Future (Insikt Group), met en garde contre une « tempête parfaite » de risques cyber liée à la convergence robotique + IA + besoin sociétal, avec la perspective de « botnets en forme physique » alors que des humanoïdes s’industrialisent (Unitree, Agility, Engineered Arts, BMW, Toyota, Tesla, Hyundai/Boston Dynamics). Des chercheurs (Víctor Mayoral-Vilches, Andreas Makris, Kevin Finisterre) ont publié fin septembre un proof-of-concept détaillant plusieurs vulnérabilités dans l’interface de configuration BLE Wi‑Fi des robots Unitree : clés cryptographiques en dur, contournement d’authentification trivial, injection de commandes non assainies. Le tout est décrit comme « complètement wormable » — des robots compromis peuvent en infecter d’autres à portée BLE — permettant une prise de contrôle totale du dispositif. 🤖⚠️ ...

Selon des recherches publiées par Straiker STAR Labs, une nouvelle attaque « agentic browser » vise le navigateur Comet de Perplexity. Présentée comme un « zero-click Google Drive Wiper », elle peut convertir un e‑mail apparemment anodin en une action destructive effaçant l’intégralité du contenu Google Drive d’un utilisateur. L’attaque met en avant un vecteur d’exploitation lié aux navigateurs agentiques et à l’automatisation des tâches. L’impact annoncé est l’effacement complet d’un Google Drive. Les produits concernés incluent le navigateur Comet de Perplexity, ainsi que Gmail et Google Drive. ...