Monde

Selon l’Atlantic Council (Cyber Statecraft Initiative), la seconde édition 2025 du projet Mythical Beasts met à jour et étend le jeu de données public sur le marché mondial du spyware jusqu’en 2024, en soulignant une récente amende de 168 M$ infligée à NSO Group par un tribunal américain pour des attaques Pegasus contre l’infrastructure WhatsApp. 📈 Données élargies et périmètre: le dataset couvre désormais 561 entités dans 46 pays (1992–2024), avec 130 nouvelles entités (dont 43 créées en 2024). Ajouts notables: 20 investisseurs américains, 7 partenaires identifiés comme revendeurs/brokers, et 3 nouveaux pays (Japon, Malaisie, Panama). Les catégories enrichies incluent individus (55), investisseurs (34), partenaires (18), filiales (7), fournisseurs (10), deux holdings et quatre vendeurs. Par ailleurs, une catégorie « alumni » est introduite pour refléter la série d’entrepreneuriats observée. ...

Source: Objective-See — Le chercheur en sécurité Patrick Wardle publie une analyse montrant une vulnérabilité 0‑day dans les plugins Spotlight de macOS permettant de contourner TCC et d’exfiltrer des données protégées, toujours non corrigée dans macOS Tahoe (26). 🛑 La faille exploite un bug du mécanisme de notifications Darwin identifié depuis 2015. Des plugins Spotlight malveillants, bien que fortement sandboxés, peuvent lire des fichiers protégés par TCC (dont des bases liées à Apple Intelligence et le knowledgeC.db) puis exfiltrer leur contenu en l’encodant dans les noms de notifications Darwin, accessibles à un processus externe à l’écoute. ...

Dans un billet de blog publié le 17 septembre 2025, le chercheur Dirk-jan Mollema détaille la vulnérabilité la plus impactante qu’il dit avoir trouvée dans Entra ID : un défaut de validation dans l’API Azure AD Graph combiné à des « Actor tokens » internes permettait d’usurper n’importe quel utilisateur — y compris des Global Admins — dans tout tenant, aboutissant à une compromission totale. Microsoft a corrigé rapidement et attribué l’identifiant CVE-2025-55241. ...

Selon BleepingComputer, une opération massive de fraude publicitaire mobile baptisée « SlopAds » a été perturbée, après la découverte de 224 applications Android malveillantes sur Google Play générant un volume colossal de trafic publicitaire. • Type d’attaque: fraude publicitaire (ad fraud) impliquant des applications Android. • Vecteur et périmètre: 224 applications malveillantes distribuées via Google Play ont été utilisées pour fabriquer du trafic publicitaire. • Impact quantitatif: jusqu’à 2,3 milliards de requêtes publicitaires par jour, illustrant l’ampleur de l’opération 🤖📈. ...

Selon BleepingComputer, Google a confirmé que des cybercriminels ont réussi à créer un compte frauduleux dans son Law Enforcement Request System (LERS), la plateforme utilisée par les forces de l’ordre pour soumettre des demandes officielles de données à l’entreprise. Le cœur de l’affaire porte sur l’usurpation/création illégitime d’un compte au sein d’un système sensible servant d’interface entre Google et les autorités, ce qui soulève des préoccupations quant à l’intégrité des canaux de demande de données. ...

Selon Sonatype, une campagne de malware wormable baptisée Shai-Hulud a compromis plus de 180 paquets npm en abusant d’identifiants de mainteneurs volés. L’opération combine automatisation (IA), vol de credentials, exfiltration via GitHub et empoisonnement de packages pour une propagation rapide dans la chaîne d’approvisionnement logicielle. Le fonctionnement est multi-étapes : collecte de credentials sur postes développeurs et environnements CI, exfiltration des données vers webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7, création automatisée de dépôts GitHub nommés “Shai-Hulud” contenant les secrets dérobés, puis injection d’un workflow GitHub Actions (.github/workflows/shai-hulud-workflow.yml) pour la persistance. ...

Selon StepSecurity, un incident de supply chain a compromis le paquet populaire @ctrl/tinycolor (2M+ téléchargements hebdo) ainsi que plus de 40 autres paquets npm, avec retrait des versions malveillantes du registre. Découvert par @franky47, le binaire malveillant bundle.js (~3,6 Mo) s’exécute lors de npm install (probable postinstall détourné) et cible des environnements Linux/macOS. L’attaque s’appuie sur un chargeur Webpack modulaire exécuté de façon asynchrone. Il réalise une reconnaissance du système (plateforme, architecture) et exfiltre l’intégralité de process.env, capturant des variables sensibles (ex. GITHUB_TOKEN, AWS_ACCESS_KEY_ID). Le code adopte une gestion silencieuse des erreurs et n’émet aucun log, tout en camouflant certains comportements (exécution de TruffleHog). ...

Selon Varonis (référence citée), Salesforce introduit une nouvelle fonctionnalité d’API Access Control visant à contrer les attaques de phishing OAuth en imposant une pré-approbation administrative des applications connectées. Cette évolution marque un passage d’une posture réactive à une gouvernance proactive de la sécurité SaaS. Au niveau opérationnel, la fonction bloque par défaut les applications non gérées 🚫, applique des restrictions d’accès au niveau utilisateur (principe du moindre privilège) et instaure des processus manuels de validation de confiance. L’objectif est de réduire la surface d’attaque en contrôlant quelles applications peuvent se connecter à l’environnement Salesforce et en limitant finement les permissions. ...

Selon BleepingComputer, Microsoft a rappelé vendredi que Windows 10 atteindra sa fin de support dans 30 jours, avec une échéance fixée au 14 octobre. ⏰ Points clés mentionnés: Produit concerné: Windows 10 Échéance: 14 octobre Délai restant: 30 jours Annonceur: Microsoft (rappel officiel) Il s’agit d’une alerte de sécurité dont l’objectif principal est de rappeler la date de fin de support de Windows 10. 🔗 Source originale : https://www.bleepingcomputer.com/news/microsoft/microsoft-reminds-of-windows-10-support-ending-in-30-days/ 🖴 Archive : https://web.archive.org/web/20250915095619/https://www.bleepingcomputer.com/news/microsoft/microsoft-reminds-of-windows-10-support-ending-in-30-days/ ...

Source: Ethiack (blog). Recherche de Bruno Mendes (04/08/2025) détaillant une technique d’injection JavaScript/XSS via pollution de paramètres HTTP en ASP.NET pour contourner des WAF, avec tests sur 17 configurations et essais d’un hackbot autonome. 🧩 Technique et vecteur: la pollution de paramètres HTTP exploite les différences de parsing entre WAF, ASP.NET et navigateur. En ASP.NET, des paramètres duplicés sont concaténés par des virgules (HttpUtility.ParseQueryString), ce qui, combiné à l’opérateur virgule en JavaScript, permet d’assembler un code exécutable sans déclencher des signatures WAF. Exemple: /?q=1’&q=alert(1)&q=‘2 devient 1’,alert(1),‘2 dans une chaîne JS, exécutant alert(1). ...