Monde

Selon GBHackers Security, de graves vulnérabilités touchent quatre extensions populaires de Visual Studio Code (VS Code), avec un impact sur plus de 128 millions de téléchargements. L’article précise que ces failles incluent trois vulnérabilités référencées: CVE-2025-65715, CVE-2025-65716 et CVE-2025-65717. ⚠️ Elles mettent en lumière les IDE comme maillon faible de la sécurité de la chaîne d’approvisionnement logicielle. Vulnérabilités identifiées CVE Extension Score CVSS Type de vulnérabilité Versions affectées CVE-2025-65717 Live Server 9.1 Exfiltration de fichiers locaux Toutes versions CVE-2025-65715 Code Runner 7.8 Exécution de code à distance (RCE) Toutes versions CVE-2025-65716 Markdown Preview Enhanced 8.8 Exécution JavaScript menant à exfiltration de données Toutes versions N/A Microsoft Live Preview N/A XSS permettant accès aux fichiers IDE < 0.4.16 Le texte souligne que les développeurs stockent fréquemment des données sensibles directement dans l’IDE, telles que des clés API, de la logique métier, des configurations de base de données et parfois des informations clients, ce qui accroît les risques en cas d’exploitation. ...

Source: Google Cloud Blog — Google Threat Intelligence Group (GTIG) et Mandiant détaillent la découverte et la disruption d’UNC2814, un acteur d’espionnage lié à la RPC, actif depuis 2017, ayant visé principalement des télécoms et des organismes gouvernementaux à l’échelle mondiale. Portée et cible: 53 victimes confirmées dans 42 pays (et activités suspectes dans au moins 20 autres), avec un focus sur les télécommunications et des gouvernements. L’activité récente repose sur la backdoor GRIDTIDE et n’a pas d’overlap observé avec « Salt Typhoon ». Le vecteur d’accès initial n’est pas établi pour cette campagne, mais l’acteur a historiquement compromis serveurs web et systèmes en périphérie. ...

Source : Cybernews (Publié le 18 février 2026, mis à jour le 23 février 2026). Des chercheurs de Cybernews ont découvert le 11 novembre 2025 une instance MongoDB non sécurisée liée à IDMerit, fournisseur mondial de vérification d’identité assistée par IA (KYC), exposant environ 1 milliard d’enregistrements sensibles à travers 26 pays. La base (~1 To) a été sécurisée le 12 novembre 2025 après notification. 🔓 Nature de l’incident et périmètre ...

Selon l’annonce du projet « LSA Whisperer BOF » (port de l’outil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacités d’accès aux paquets d’authentification Windows via l’API légitime LsaCallAuthenticationPackage, sans lecture mémoire ni handle sur LSASS, y compris lorsque PPL et Credential Guard sont activés. 🔧 Capacités principales par module: MSV1_0: récupération de clés DPAPI (classiques et « strong »), génération de réponses NTLMv1 avec défi choisi. Kerberos: liste des tickets, dump de tickets (blobs .kirbi en base64 avec clés de session), purge sélective par nom de serveur. CloudAP: extraction de cookies SSO (Entra ID/Azure AD, device, AD FS) et informations cloud (statut TGT/DPAPI). 🛠️ Architecture et intégration: ...

Selon la publication de la société Malwarebytes, une campagne de malvertising utilise des publicités Facebook imitant Microsoft pour rediriger vers des clones quasi parfaits de la page de téléchargement Windows 11, afin de distribuer un voleur d’informations. • Le leurre repose sur des annonces Facebook professionnelles, brandées Microsoft, renvoyant vers des domaines lookalike en « 25H2 » (mimant la nomenclature des versions Windows). Les pages contrefaites copient logo, mise en page et mentions légales, la différence notable étant l’URL (ex. ms-25h2-download[.]pro). ➜ En cliquant sur « Download now », la victime récupère un exécutable trompeur au lieu d’une mise à jour Windows. ...

Selon Cofense Phishing Defense Center (PDC), des acteurs menaçants mènent de nouvelles campagnes de phishing en usurpant des invitations Microsoft et Google Calendar afin de dérober des identifiants, avec redirections vers de faux portails Microsoft et des indicateurs de compromission listés. Les attaquants recourent à l’usurpation d’adresse e-mail (spoofing) et à des invitations de calendrier factices imitant les designs Microsoft/Google (couleurs, boutons Outlook, format d’invitation). Des différences légères dans le domaine (ex. « Micr0soft ») ou un expéditeur « postmaster@ » falsifié sont utilisées pour paraître légitimes. Des éléments d’ingénierie sociale comme l’urgence (mot « deadline ») et des adresses expéditeur aléatoires servent à contourner les filtres et pousser au clic. ⚠️ ...

Source : Radware — Dans son « 2026 Global Threat Analysis Report », l’éditeur analyse les tendances d’attaque 2025 à l’échelle mondiale (réseau, applicatif/API, bots, hacktivisme, IA) et appelle à des défenses automatisées, scalables et intelligentes. • Panorama 2025 et « Five‑Minute Problem » Retour en force des DDoS réseau avec des records à 29,7 Tbps (botnets Aisuru, Kimwolf) et une forte compression temporelle : la majorité des attaques volumétriques durent ≤5 min, les plus gros Web DDoS <60 s. Les campagnes sont multi‑vecteurs et orchestrées algorithmiquement, rendant obsolètes les runbooks manuels. Les attaques de 100–500 Gbps durent en moyenne 10,2 h, les multi‑Tbps 35 min. • DDoS : réseau vs applicatif (Web DDoS) ...

Dans une publication technique, l’auteur dissèque le module sysrq_hook.c du rootkit LKM Singularity (ciblant Linux 6.x) et montre comment il intercepte les routines de diagnostic du noyau — Magic SysRq et le chemin OOM — pour empêcher l’affichage de processus cachés directement dans le buffer de logs kernel. Le texte rappelle que Magic SysRq (par /proc/sysrq-trigger ou Alt+SysRq+<touche>) exécute des diagnostics entièrement côté noyau et écrit via printk() dans le ring buffer, échappant aux hooks usuels sur /proc ou getdents. Les commandes SysRq-T (état des tâches) et SysRq-F (chemin OOM) produisent des listes de processus directement depuis la mémoire kernel. Des rootkits LKM connus comme Kovid ou diamorphine, qui se contentent d’intercepter filldir*/getdents et parfois des lectures de dmesg, se font contourner: des PIDs « cachés » réapparaissent dans les sorties SysRq-T et OOM, car les données sont déjà imprimées dans le ring buffer avant toute filtration en espace utilisateur. ...

Source : Palo Alto Networks – Unit 42, Global Incident Response Report 2026 (février 2026). Dans plus de 750 interventions IR menées en 2025, le rapport met en évidence quatre tendances majeures: l’IA comme multiplicateur de force, l’identité comme périmètre effectif, l’extension du risque supply chain via connectivités de confiance (SaaS, outils, dépendances), et l’adaptation des acteurs étatiques à l’infrastructure et à la virtualisation. Plus de 90% des brèches ont été permises par des expositions évitables (visibilité limitée, contrôles inégaux, confiance d’identité excessive), et 87% des intrusions ont touché plusieurs surfaces d’attaque. ...

Source et contexte : Dark Reading (article de Robert Lemos, 20 fév. 2026) rapporte les leçons de deux années de recherches menées par Hillai Ben Sasson et Dan Segev (Wiz) sur les failles de l’infrastructure IA, avec une présentation prévue à RSAC en mars. Leur message clé : se concentrer sur les vulnérabilités d’infrastructure plutôt que sur le seul prompt injection, alors que de nouveaux services (ex. MCP) arrivent avec de nombreuses failles sous-jacentes. ...