Posts

Selon FRANCE 24 (avec AFP), les autorités russes annoncent des restrictions partielles des appels sur WhatsApp et Telegram, justifiées par la lutte contre la criminalité en ligne. L’autorité de régulation Roskomnadzor affirme que ces messageries sont devenues « les principaux services vocaux » utilisés pour la fraude et l’extorsion, et pour impliquer des citoyens russes dans des activités subversives et terroristes. Les services de sécurité russes ont à plusieurs reprises soutenu que l’Ukraine utiliserait Telegram pour recruter ou mener des actes de sabotage en Russie. ...

Source et contexte — SANS Internet Storm Center (ISC) publie un récapitulatif du Patch Tuesday de Microsoft d’août 2025, totalisant 111 vulnérabilités corrigées, dont 17 classées critiques, avec une zero‑day divulguée avant le patch. Aucune n’est signalée comme exploitée in the wild au moment de la publication. Vue d’ensemble 🛡️ — Les correctifs couvrent des risques majeurs d’exécution de code à distance (RCE) et d’élévation de privilèges (EoP). Le billet souligne l’importance d’appliquer rapidement les mises à jour afin de réduire l’exposition. ...

Selon ThreatFabric, « PhantomCard » est un nouveau Trojan Android de relais NFC ciblant les clients bancaires au Brésil, dans la continuité de NFSkate/NGate (03/2024) et Ghost Tap, avec un intérêt cybercriminel croissant pour ce vecteur. L’outil, opéré sous modèle Malware-as-a-Service (MaaS), pourrait s’étendre à d’autres régions. Dans la campagne observée, PhantomCard se fait passer pour l’application « Proteção Cartões » sur de fausses pages Google Play avec de faux avis positifs. Une fois installé, il ne requiert pas d’autorisations supplémentaires, demande à la victime de taper sa carte au dos du téléphone, affiche « carte détectée », puis transmet les données via un serveur de relais NFC. L’application sollicite ensuite le code PIN (4 ou 6 chiffres) afin d’authentifier les transactions. Le dispositif établit ainsi un canal temps réel entre la carte physique de la victime et un terminal de paiement/ATM auprès du fraudeur, démontré par une vidéo partagée sur Telegram. ...

Selon GuidePoint Security (blog), la prompt injection reste le risque de sécurité n°1 pour les modèles de langage (LLM), car ceux-ci ne distinguent pas de façon fiable les instructions système des entrées utilisateur dans une même fenêtre de contexte. Sur le plan technique, les attaques tirent parti du traitement token-based dans un contexte unifié où instructions système et requêtes utilisateur sont traitées de manière équivalente. Cette faiblesse structurelle permet de détourner le comportement de l’IA. ...

Source: Proofpoint — Contexte: des chercheurs détaillent une méthode de downgrade de l’authentification FIDO permettant de contourner des comptes protégés par passkeys/FIDO2, en ciblant Microsoft Entra ID au sein d’un scénario Adversary-in-the-Middle (AiTM); aucune exploitation observée à ce jour dans la nature, mais le risque est jugé significatif. Avant FIDO, les kits AiTM interceptaient identifiants et tokens MFA via des proxys inversés (Evilginx, EvilProxy, Tycoon), massifiés par le PhaaS. Les phishlets classiques, conçus pour voler mots de passe et contourner des MFA non résistants au phishing, échouent généralement face à FIDO, d’où l’intérêt d’un phishlet dédié au downgrade. ...

Selon Picus Security, RingReaper est un malware Linux post‑exploitation sophistiqué qui s’appuie sur l’interface io_uring du noyau pour échapper aux solutions EDR, en limitant l’usage des appels système traditionnels et en se concentrant sur des opérations asynchrones discrètes. Le logiciel malveillant réalise des actions de reconnaissance et de collecte de données, procède à l’élévation de privilèges et met en place des mécanismes de dissimulation d’artefacts, le tout en minimisant l’empreinte de détection classique. ...

Source : VulnCheck — Des chercheurs analysent une chaîne de vulnérabilités critiques affectant ScriptCase, permettant une exécution de code à distance (RCE) sans authentification. Malgré des correctifs disponibles et des exploits publics, des centaines d’instances demeurent exposées et des acteurs malveillants scannent activement Internet. Vulnérabilités: CVE-2025-47227 (réinitialisation de mot de passe non authentifiée via fixation de session et contournement de captcha) et CVE-2025-47228 (injection de commandes dans la fonctionnalité de test de connexion SSH au sein d’une bibliothèque ADOdb modifiée). 🔥 ...

Source : ReliaQuest — Contexte : Threat Spotlight analysant des campagnes en 2025 où ShinyHunters cible Salesforce, avec des similarités marquées avec Scattered Spider et des recoupements d’infrastructure et de ciblage sectoriel. ReliaQuest décrit le retour de ShinyHunters après une période d’inactivité (2024–2025) via une campagne contre Salesforce touchant des organisations de premier plan, dont Google. Le rapport souligne des TTPs alignés sur Scattered Spider (phishing Okta, vishing, usurpation de domaines, exploitation d’apps connectées Salesforce), nourrissant l’hypothèse d’une collaboration. Des éléments circonstanciels incluent l’alias « Sp1d3rhunters » (Telegram/BreachForums) lié à des fuites passées (p. ex. Ticketmaster) et des chevauchements de ciblage par secteurs (commerce de détail avril–mai 2025, assurance juin–juillet, aviation juin–août). ...

Contexte: S2W TALON (blog Medium du S2W Threat Intelligence Center) publie un rapport statistique et analytique sur l’écosystème ransomware au premier semestre 2025 (1er janv. – 30 juin 2025). • Volume et tendances clés 📊 3 624 victimes listées sur des sites de fuite, soit +58,4 % vs S1 2024, avec un pic en mars (émergence de 13 nouveaux groupes et exploitation de la vulnérabilité Cleo CVE-2024-55956 par TA505/CL0P). 91 groupes actifs, dont 51 nouveaux (RaaS en expansion, comportements plus imprévisibles). Le top 10 concentre 60,3 % des attaques. Baisse du taux de paiement (données Coveware), poussant les groupes à viser PME et cibles plus larges. États‑Unis les plus touchés (56,6 % des cas), corrélation avec le PIB et l’industrialisation numérique. Secteurs les plus touchés: Business Services (16,2 %, en forte hausse), apparition de la finance dans le top 10; gouvernements: 92 attaques (2,5 %), en nette hausse. • Groupes, rebrandings et écosystème 🔗 ...

Contexte: Présenté à Black Hat USA, l’article rapporte la découverte par des chercheurs d’un nouveau lot de vulnérabilités dans le protocole Terrestrial Trunked Radio (TETRA), regroupées sous le nom 2TETRA:2BURST. Les failles identifiées affectent notamment le mécanisme propriétaire de chiffrement de bout en bout (E2EE) de TETRA. Elles l’exposent à des attaques par relecture et force brute, et permettraient même de déchiffrer du trafic chifré. Points clés: Vulnérabilités: ensemble de failles nommé « 2TETRA:2BURST » Technologie concernée: protocole de radiocommunications TETRA Impact: exposition de l’E2EE à des attaques de relecture et de force brute, avec possibilité de décryptage du trafic Contexte de divulgation: présentation à Black Hat USA TTPs mentionnées: ...