Posts

Source: Foreign Affairs (août 2025). Contexte: Un article d’Andrei Soldatov et Irina Borogan analyse la stratégie du Kremlin pour étendre l’influence cyber russe en s’appuyant sur des entreprises nationales et des accords internationaux, à la suite d’une réunion sur la « souveraineté informationnelle » à Saint-Pétersbourg en avril 2024. 🔒 Le cœur de la stratégie: le Kremlin promeut des cybertechnologies et la « souveraineté informationnelle » via des firmes comme Positive Technologies, Kaspersky Lab, Cyberus Foundation, Angara Security, Kod Bezopasnosti, Security Vision et Solar. Lors de la réunion d’avril 2024 présidée par Nikolai Patrushev (avec Sergei Naryshkin, chef du SVR), des responsables de sécurité d’Afrique, d’Asie, d’Amérique latine, du Moyen-Orient (dont Brésil, Soudan, Thaïlande, Ouganda, ainsi que Chine, Iran et la Ligue arabe) ont été invités à adopter des solutions russes pour « contrôler l’espace informationnel » national. ...

Selon un avis du NCSC (ncsc.gov.uk) publié avec douze partenaires internationaux, trois sociétés basées en Chine sont liées à une campagne malveillante mondiale visant des réseaux critiques. Les autorités attribuent à un écosystème commercial lié aux services de renseignement chinois une série d’activités ciblant depuis au moins 2021 des secteurs critiques (gouvernement, télécommunications, transport, hôtellerie et infrastructures militaires), avec un cluster d’activité observé au Royaume‑Uni. Cette campagne recoupe partiellement des opérations précédemment suivies par l’industrie sous le nom de Salt Typhoon. ...

Selon BleepingComputer, Microsoft appliquera à partir d’octobre l’authentification multifacteur (MFA) pour toutes les actions de gestion des ressources Azure afin de protéger les clients contre les tentatives d’accès non autorisées. Mesure: obligation de MFA pour toutes les actions de gestion des ressources Azure. Calendrier: entrée en vigueur à partir d’octobre. Objectif: contrer les accès non autorisés visant les environnements Azure 🔐. Il s’agit d’une mise à jour de produit dont le but principal est de renforcer la protection des clients Azure. ...

Source : billet de blog de Yannik Marchand. Contexte : analyse de l’implémentation TLS du sysmodule « ssl » de la Nintendo Switch (librairie NSS) et découverte d’un défaut de vérification permettant l’interception de trafic 🔒. Résumé technique : la vérification des certificats dans le callback SslAuthCertCb comporte un cas spécial pour les certificats importés via nn::ssl::Context::ImportServerPki. Lorsque le certificat reçu figure dans la liste « de confiance » du contexte, la signature n’est pas validée par NSS. La fonction CertificateStore::IsTrusted ne compare que le Subject Key Identifier (SKID) — une valeur contrôlable par un attaquant — au lieu de vérifier la chaîne et la signature. En forgeant un certificat auto-signé avec le même SKID qu’un certificat importé, un attaquant peut réussir une attaque de type man-in-the-middle (MITM) et usurper un serveur. ...

Selon Huntress (blog de recherche), des chercheurs ont documenté une nouvelle variante des attaques ClickFix qui détourne la vérification Cloudflare Turnstile afin d’amener les victimes à télécharger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scénario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, où une fausse vérification Cloudflare Turnstile est affichée. En cliquant sur la vérification, la victime est redirigée via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrôlé par l’attaquant. ...

Source: Futurism (Noor Al-Sibai) rapporte qu’OpenAI a détaillé dans un billet de blog une nouvelle politique de modération concernant ChatGPT, incluant la possibilité de référer certaines conversations aux forces de l’ordre. OpenAI indique qu’il scanne les messages pour des contenus « nocifs », qu’il escalade les cas préoccupants à une équipe humaine et qu’en cas de menace imminente de dommages physiques envers autrui, ces cas peuvent être signalés à la police 🚔. Les comptes concernés peuvent aussi être bannis. ...

Selon NL Times (28 août 2025), les services de renseignement néerlandais MIVD et AIVD confirment que les Pays-Bas ont été visés par la campagne mondiale de cyberespionnage attribuée au groupe chinois Salt Typhoon, révélée fin 2024 et centrée sur le secteur des télécommunications. Les deux agences indiquent avoir vérifié indépendamment des éléments de l’enquête américaine reliant l’opération à Salt Typhoon. Aux Pays-Bas, les cibles identifiées étaient des petits fournisseurs d’accès Internet (FAI) et des hébergeurs, plutôt que les grands opérateurs télécoms. Les investigations montrent que les attaquants ont obtenu un accès aux routeurs des entités visées, sans indication d’une pénétration plus profonde des réseaux internes. Le MIVD, l’AIVD et le NCSC ont partagé, lorsque possible, des informations de menace avec les organisations affectées. ...

Selon Varonis, une enquête a révélé la compromission d’un serveur web Linux exploitée pendant plusieurs mois via une vulnérabilité de téléversement de fichiers non restreint, due à une page d’upload mal configurée exposée sur Internet. L’acteur a pu téléverser des web shells PHP obfusqués 🐚. Bien que l’attaque ait été contenue par des restrictions réseau empêchant la communication externe des web shells, l’incident met en évidence des lacunes critiques, dont des systèmes non patchés, l’absence d’EDR et une segmentation réseau insuffisante. ...

Selon une analyse signée par Brandon Mitchell, une faute de frappe de ghcr.io vers ghrc.io expose à un site configuré pour déclencher un flux d’authentification de registre et potentiellement dérober des identifiants GitHub. 🚨 Le domaine ghrc.io affiche en surface une page par défaut nginx, mais répond sous l’API OCI « /v2/ » avec un HTTP 401 et un en-tête WWW-Authenticate: Bearer realm=“https://ghrc.io/token", mimant le comportement d’un registre de conteneurs. Cet en-tête pousse des clients comme Docker, containerd, podman et les CRI Kubernetes à solliciter un jeton auprès de « https://ghrc.io/token », ce qui n’a aucune raison légitime sur un nginx par défaut et indique un objectif de vol d’identifiants. ...

Selon un papier de recherche académique (Harvard University et Centre for the Governance of AI), les auteurs proposent un cadre structuré pour analyser les incidents impliquant des agents IA et détaillent quelles données opérationnelles doivent être conservées et partagées pour permettre des enquêtes efficaces. • Le cadre identifie trois catégories de causes d’incident: facteurs système (données d’entraînement/feedback, méthodes d’apprentissage, prompts système, scaffolding), facteurs contextuels (définition de la tâche, outils et leurs accès, environnement informationnel incluant les injections de prompts) et erreurs cognitives observables de l’agent (observation, compréhension, décision, exécution). Il s’inspire des approches « human factors » (ex. HFACS) utilisées en aviation et autres domaines critiques. ...