Posts

Source : Meta — Adversarial Threat Report Q2/Q3 2025. Meta restructure son rapport (désormais semestriel) et le centre sur quatre piliers de défense (défenses de plateforme, autonomisation des utilisateurs, disruption/dissuasion, coopération intersectorielle). Le document couvre trois axes majeurs : Fraud & Scams, Coordinated Inauthentic Behavior (CIB) et menaces adverses liées à l’IA, avec études de cas, TTPs et partage d’indicateurs via GitHub. • Fraude et scams (Fraud Attack Chain) 🧵 Modèle en 5 phases : Build Infrastructure, Prepare Digital Assets, Engage, Execute, Clean Up (avec points d’intervention distincts pour plateformes, télécoms, hébergeurs, banques et forces de l’ordre). Nouvelles protections : détection avancée de scams dans Messenger, avertissements de partage d’écran WhatsApp, reconnaissance faciale anti-impersonation (≈500 000 personnalités protégées, -22% de signalements d’annonces « celeb-bait » au S1 2025). Disruption/coopération : poursuites judiciaires, soutien aux forces de l’ordre (ex. DOJ Scam Center Strike Force, arrestations par la police de Singapour), FIRE (échanges bilatéraux avec le secteur financier), GSE/GASA (échanges multi-acteurs), échanges bilatéraux (Microsoft/Google) contre compromission de comptes. Volume d’application des règles : 134 M de contenus publicitaires retirés (fraude/escroqueries) sur Facebook/Instagram (au 10/2025). • Criminal Scam Syndicates (Étude de cas) 🚨 ...

Selon le message MC1193689 du centre de Messages pour administrateurs, Microsoft lance « Baseline Security Mode », une expérience centralisée dans le centre d’administration Microsoft 365 pour aligner Office, SharePoint, Exchange, Teams et Entra sur les standards de sécurité recommandés. Le service s’appuie sur l’intelligence des menaces Microsoft et des insights issus de deux décennies de cas traités par le Microsoft Response Center, afin de renforcer la posture de sécurité et se préparer aux menaces alimentées par l’IA. Aucun impact utilisateur immédiat n’est prévu tant que les administrateurs n’appliquent pas de changements. 🛡️ ...

Contexte: Ars Technica détaille la décision de Microsoft de mettre fin au support par défaut du chiffrement obsolète RC4 dans Kerberos/Active Directory, un choix historiquement associé à des attaques comme le Kerberoasting et critiqué par le sénateur américain Ron Wyden. L’article rappelle le rôle de RC4 dans la compromission d’Ascension (disruptions hospitalières et données de 5,6 M de patients). Changement annoncé: D’ici mi‑2026, Microsoft mettra à jour les contrôleurs de domaine (KDC) sur Windows Server 2008 et ultérieurs pour n’autoriser par défaut que AES‑SHA1. RC4 sera désactivé par défaut et n’opérera que si un administrateur le configure explicitement. Bien que AES‑SHA1 soit disponible depuis 2008 et utilisé côté clients, les serveurs Windows répondaient encore, par défaut, aux requêtes d’authentification RC4, ouvrant la voie aux attaques de Kerberoasting. ...

Source: Malwarebytes, citant une enquête de BleepingComputer. Contexte: des acteurs malveillants ont détourné une fonctionnalité PayPal afin d’envoyer des notifications légitimes depuis l’adresse service@paypal.com et d’orchestrer une arnaque au support technique. Les fraudeurs créaient un abonnement PayPal puis le mettaient en pause, ce qui déclenchait le véritable email « Your automatic payment is no longer active » vers l’« abonné ». Ils configuraient en parallèle un faux compte d’abonné, vraisemblablement une liste de diffusion Google Workspace qui retransmettait automatiquement le message à tous les membres. Cette combinaison permettait d’envoyer un email légitime signé service@paypal.com, contournant les filtres et un premier contrôle visuel du destinataire. ...

Selon Prosper, l’entreprise a découvert le 1er septembre 2025 une activité non autorisée sur ses systèmes et a déclenché une enquête avec un cabinet de cybersécurité, tout en coopérant avec les forces de l’ordre. — Découverte et réponse Date de découverte : 1er septembre 2025. Actions immédiates : interruption de l’activité non autorisée et renforcement des mesures de sécurité. Enquête : collaboration avec un cabinet de cybersécurité et signalement aux forces de l’ordre. — Impact et périmètre ...

Source: Kaspersky ICS CERT — Contexte: publication de recherche (16 déc. 2025) décrivant l’évaluation de sécurité du SoC Unisoc UIS7862A intégré aux head units de véhicules chinois et à divers appareils mobiles. Les chercheurs ont identifié plusieurs vulnérabilités critiques dans la pile protocolaire cellulaire du modem intégré. L’article se concentre sur une vulnérabilité de type dépassement de pile dans l’implémentation 3G RLC en mode UM, référencée CVE-2024-39432, permettant une exécution de code à distance (RCE) dès les premières étapes de connexion, avant l’activation des mécanismes de protection. Une section distincte mentionne également CVE-2024-39431 liée à l’accès distant au modem. ...

Source: S-RM — Dans un rapport d’incident, S-RM décrit l’exploitation de la vulnérabilité critique React2Shell (CVE-2025-55182) comme vecteur d’accès initial menant au déploiement du ransomware Weaxor. Ce cas marque la première observation par S-RM de l’usage de cette faille par des acteurs à but financier pour de l’extorsion, élargissant l’impact connu au-delà des backdoors et crypto‑miners. Vulnérabilité: React2Shell (CVE-2025-55182) affecte React Server Components (RSC) et le protocole Flight dans React et Next.js. Elle permet une exécution de code à distance non authentifiée via une requête HTTP malveillante, avec exécution sous l’utilisateur du processus serveur. Gravité CVSS 10.0, exploitation aisée et propice à l’automatisation 🚨. ...

Source: Trigger.dev (blog) — Post‑mortem publié par le CTO Eric Allam le 28 novembre 2025, décrivant une compromission le 25 novembre 2025 via le ver supply chain Shai‑Hulud 2.0 diffusé dans l’écosystème npm. Résumé de l’incident Un ingénieur installe un package compromis (via pnpm install) exécutant un script preinstall qui déploie TruffleHog pour exfiltrer des identifiants (GitHub, AWS, npm, variables d’environnement) et les pousser vers des dépôts GitHub éphémères. L’attaquant mène ~17 h de reconnaissance (clonage massif de 669 dépôts depuis infrastructures US/Inde), surveille l’activité de l’ingénieur, puis lance une phase destructrice: force‑push de commits « init » attribués à « Linus Torvalds <[email protected]> » et fermeture de PRs (199 branches touchées, 42 PRs fermées). Certaines tentatives sont bloquées par la protection de branche. Détection rapide via une avalanche d’alertes Slack; en 4 minutes le compte compromis est retiré de l’organisation, stoppant l’attaque. Pas d’accès en écriture aux ressources AWS ni de compromission des packages npm de Trigger.dev. Impact et périmètre ...

Selon BleepingComputer, Pornhub fait l’objet d’une extorsion par le groupe ShinyHunters, qui affirme détenir des données d’analytics historiques liées aux membres Premium, prétendument issues de la brèche de l’analyste tiers Mixpanel. Type d’incident: extorsion adossée à une exfiltration de données chez un fournisseur d’analytics (Mixpanel), initialement compromise le 8 novembre 2025 via smishing (SMS phishing). Pornhub indique que seuls des utilisateurs Premium sélectionnés sont concernés et que mots de passe et données financières n’ont pas été exposés. Pornhub précise n’avoir plus travaillé avec Mixpanel depuis 2021. ...

Selon la source indiquée (Peter Mosimann/Swiss Parliament), le Conseil des États a adopté le 10 décembre la motion 25.4273 de la conseillère aux États Johanna Gapany demandant au Conseil fédéral de revoir en profondeur la révision des ordonnances d’exécution de la loi sur la surveillance de la correspondance par poste et télécommunication (SCPT). 🏛️ La consultation (janvier–mai 2025) a suscité de fortes critiques: extension jugée excessive des obligations de collaboration, charges techniques et financières disproportionnées pour de nombreuses PME et prestataires numériques. Parmi les plus concernés, Proton et Threema ont dénoncé les risques pour leur modèle économique. 🔐 ...