Monde

Selon Kaspersky, des chercheurs de l’université UCLouvain ont dévoilé la vulnérabilité WhisperPair (CVE-2025-36911) affectant des écouteurs/casques Bluetooth implémentant Association express (Google Fast Pair), permettant un appairage non sollicité et un traçage via le réseau Localiser de Google. • Découverte et périmètre: La faille touche des modèles de marques comme Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus et même Google (Pixel Buds 2). Bien que la technologie provienne d’Android, le risque est plus élevé pour les utilisateurs d’iOS, macOS, Windows ou Linux. La liste des appareils affectés est consultable sur le site des chercheurs (whisperpair.eu), mais elle n’est pas exhaustive. 🎧 ...

Selon Help Net Security, Fortinet a commencé à diffuser des versions de FortiOS corrigeant CVE-2026-24858, une vulnérabilité critique exploitée permettant à des attaquants de se connecter aux pare-feux FortiGate via FortiCloud SSO. • Vulnérabilité et périmètre affecté. CVE-2026-24858 est un contournement d’authentification par chemin ou canal alternatif permettant à un titulaire d’un compte FortiCloud avec un appareil enregistré de se connecter à d’autres appareils rattachés à d’autres comptes, lorsque FortiCloud SSO est activé. Les produits concernés incluent FortiOS, FortiAnalyzer et FortiManager; la mise à jour du 29 janvier ajoute FortyProxy et FortiWeb. Fortinet précise que FortiManager Cloud, FortiAnalyzer Cloud, FortiGate Cloud ne sont pas impactés, et que les configurations SSO avec fournisseur d’identité tiers (SAML), y compris FortiAuthenticator, ne sont pas affectées. ...

Source : Bugcrowd – rapport « Inside the Mind of a Hacker », Volume 9, 2026. Contexte : étude et entretiens avec plus de 2 000 hackers de la plateforme Bugcrowd sur la démographie, les motivations, le travail en équipe et l’usage de l’IA. – Le rapport défend l’ère de « l’intelligence augmentée humaine » où la créativité humaine se combine à l’IA. Les hackers se disent fiers à 98% de leur travail et considèrent à 95% que le hacking est un art. Le public et les entreprises perçoivent différemment les hackers, ces dernières les voyant davantage comme un atout. Les motivations sont multi-factorielles (finance, opportunités, nouvelles expériences), avec 85% privilégiant le signalement d’une vulnérabilité critique plutôt que le gain financier en cas d’absence de canal clair. Environ 1 sur 5 s’identifie comme neurodivergent. ...

Source: blog de Maxim Suhanov — Publication de recherche décrivant un artefact DFIR issu d’un bug du service Windows Event Logging (wevtsvc) qui réécrit de la mémoire non initialisée dans des fichiers EVTX après une purge. Le chercheur explique qu’un bug de sécurité mémoire (utilisation de mémoire non initialisée) dans le service de journalisation Windows peut entraîner, lorsqu’un journal EVTX rarement mis à jour est vidé, le remplissage de la zone ElfChnk par des restes de mémoire du service. Ces restes peuvent contenir des entrées récemment supprimées d’autres journaux, qui réapparaissent alors comme entrées « non allouées ». Dès que la première vraie entrée est écrite dans ce journal, la partie résiduelle est effacée, rendant le phénomène observable surtout sur des journaux peu actifs. ...

Source et contexte: Morphisec Threat Labs publie un bulletin d’alerte détaillant une compromission de la chaîne d’approvisionnement d’eScan (MicroWorld Technologies) identifiée le 20 janvier 2026, où des mises à jour légitimes ont distribué un malware multi‑étapes à l’échelle mondiale. • Chronologie: Le 20/01, un package de mise à jour malveillant est diffusé via l’infrastructure d’update d’eScan et Morphisec bloque l’activité chez ses clients. Le 21/01, Morphisec contacte eScan. eScan indique avoir détecté l’incident par supervision interne, isolé l’infrastructure affectée en 1 h et mis hors ligne le système de mises à jour global pendant plus de 8 h. Après l’incident, la plupart des clients Morphisec ont dû contacter proactivement eScan pour obtenir la remédiation. ...

Selon Datadog (billet technique signé par la chercheuse Tesnim Hamdouni), un nouvel outil open source, IDE‑SHEPHERD, renforce la sécurité de VS Code et Cursor en surveillant et bloquant en temps réel des comportements malveillants d’extensions et de workspaces, une surface d’attaque trop peu couverte par les protections classiques. 🛡️ IDE‑SHEPHERD s’intègre au runtime Node.js de l’extension host via require‑in‑the‑middle pour patcher précocement des modules critiques (child_process, http, https). Il offre deux couches complémentaires: une défense à l’exécution (interception de l’exécution de processus, surveillance des connexions réseau, blocage de tâches VS Code dangereuses) et une détection heuristique (analyse des métadonnées d’extensions: versions suspectes, activation wildcard, commandes cachées, signes d’obfuscation). Il introduit un modèle de confiance affiné, évaluant le comportement de chaque extension et ne relayant pas automatiquement la « Workspace Trust » de l’IDE. ...

Source : Google Threat Intelligence Group (GTIG), 28 janvier 2026. GTIG détaille une opération conjointe visant à perturber ce qu’il présente comme l’un des plus grands réseaux de proxies résidentiels au monde, IPIDEA, utilisé à grande échelle par des acteurs malveillants. GTIG décrit trois volets d’action principaux : prise de mesures légales pour faire retirer des domaines de commande et de contrôle (C2) et de marketing, partage de renseignements techniques (SDKs et logiciels proxy) avec plateformes, forces de l’ordre et partenaires de recherche, et renforcement des protections Android via Google Play Protect pour détecter, avertir et supprimer les applications intégrant les SDKs IPIDEA. GTIG estime que ces actions ont « réduit de millions » le nombre de dispositifs disponibles pour le réseau, avec des impacts potentiels en cascade chez des entités affiliées. ...

Source et contexte: Okta Threat Intelligence publie une analyse décrivant plusieurs kits de phishing personnalisés, conçus pour soutenir des opérations de vishing en orchestrant en temps réel les sessions d’authentification côté victime. Les kits, proposés en modèle « as-a-service », ciblent des fournisseurs majeurs comme Google, Microsoft, Okta et divers services de cryptomonnaies. Ils interceptent les identifiants et fournissent un contexte visuel synchronisé avec le script du caller pour amener la victime à approuver des défis MFA ou à exécuter d’autres actions au profit de l’attaquant. 🎣☎️ ...

Selon Shadowserver, un organisme de veille de la sécurité Internet, des attaques sont en cours exploitant une vulnérabilité critique de contournement d’authentification affectant le serveur telnetd de GNU InetUtils, tandis que près de 800 000 adresses IP présentant des empreintes Telnet sont suivies. Shadowserver indique suivre environ 800 000 IP avec des « empreintes Telnet » sur Internet. Des attaques actives exploitent une faille critique permettant de contourner l’authentification dans GNU InetUtils telnetd. Points clefs: ...

Source et contexte: Censys publie une recherche approfondie sur l’écosystème « Fake Captcha » et la tendance « Living Off the Web », basée sur un corpus de 9 494 actifs web et une méthodologie de rendu/screenshot et de pHash pour regrouper les leurres visuels. • Paysage visuel et méthodologie. Les pages imitant des vérifications (souvent de style Cloudflare) sont regroupées par perceptual hashing sur des captures d’écran (seuil de distance de Hamming = 6). Le « Cluster visuel 0 » regroupe 6 686/9 494 endpoints (~70%). Malgré une forte uniformité visuelle (favicons du site hôte inclus, parfois déformés), Censys souligne que la similarité visuelle n’implique ni infrastructure partagée, ni mêmes charges utiles, ni mêmes opérateurs. 19,90% des actifs n’ont pu être confirmés visuellement (erreurs, fingerprinting du headless, contenu conditionnel). ...