Posts

Selon The Verge, DJI a décidé de récompenser de 30 000 $ le chercheur Sammy Azdoufal après la mise en lumière d’un accès à un réseau d’environ 7 000 aspirateurs robots Romo, tout en précisant avoir déjà corrigé une faille de visualisation de flux vidéo sans PIN et en préparer d’autres correctifs. • Paiement et attribution 🎁 — DJI confirme avoir « récompensé » un chercheur (sans le nommer) et, d’après l’email partagé avec The Verge, versera 30 000 $ pour une seule découverte, sans préciser laquelle. Ce développement intervient après la révélation mi-février d’un accès à des milliers de Romo permettant d’observer l’intérieur de foyers. ...

Selon ThreatLabz, un acteur APT présumé lié à l’Iran, nommé Dust Specter, cible des officiels gouvernementaux en Irak avec une campagne utilisant de nouveaux malwares nommés SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM. L’analyse détaille deux chaînes d’attaque observées en conditions réelles, l’une basée sur une architecture scindée (worker + orchestrateur C2) et l’autre consolidée dans un binaire unique. 🧪 Chaîne d’attaque 1 (SPLITDROP → TWINTASK → TWINTALK). Un RAR protégé par mot de passe (« mofa-Network-code.rar ») livre un dropper .NET déguisé en WinRAR (SPLITDROP). Après saisie du mot de passe, SPLITDROP déchiffre une ressource chiffrée en AES‑256‑CBC avec PBKDF2 (HMAC‑SHA1, 10 000 itérations, clé 256 bits), écrit un ZIP puis extrait dans C:\ProgramData\PolGuid\, et exécute un VLC.exe légitime pour déclencher un sideloading de DLL. Le DLL malveillant libvlc.dll (TWINTASK) agit comme module worker : il boucle toutes les 15 s, lit in.txt, décale le premier caractère, décode en Base64, et exécute le script via PowerShell (timeout 600 s), en journalisant vers out.txt. La persistance est ajoutée via HKCU...\Run (clés VLC et WingetUI). Le binaire légitime WingetUI.exe est lancé et sideloade hostfxr.dll (TWINTALK), l’orchestrateur C2. ...

Source: blog d’adnanthekhan (3 mars 2026). Contexte: découverte en décembre 2025 d’une mauvaise configuration GitHub Actions dans le dépôt angular/dev-infra, exploitée pour montrer une escalade via empoisonnement du cache jusqu’à un scénario plausible de compromis de supply chain d’Angular. Google a corrigé la vulnérabilité et indique qu’il n’existe plus de risque pour les utilisateurs d’Angular. – Le point de départ est un workflow “Worklow Testing” déclenché par pull_request_target utilisant la variable ${{ github.head_ref }} dans une commande shell, permettant une injection via le nom de branche. Bien que le GITHUB_TOKEN fût en lecture seule et sans secrets, l’auteur a recherché un pivot via GitHub Actions Cache Poisoning. ...

Politico (Maggie Miller) rapporte qu’Israël a frappé à Téhéran un complexe attribué au quartier général cyber et électronique du Corps des gardiens de la révolution islamique (CGRI/IRGC), alors même que des opérations pro-iraniennes continuent de viser des infrastructures régionales. 💥 L’IDF évoque une « frappe de grande ampleur » contre plusieurs sites militaires à l’est de Téhéran, incluant le QG cyber et électronique et la Direction du renseignement du CGRI. L’ampleur des dégâts et d’éventuelles victimes restent inconnues, l’Iran étant sous quasi black-out internet depuis le 28 février, ce qui limite les informations disponibles. Les porte-parole de l’IDF, de l’ambassade d’Israël à Washington, de la Maison Blanche et de l’USCENTCOM n’ont pas commenté. ...

Source: OX Security (OX Research). Contexte: les chercheurs dévoilent une vulnérabilité critique dans FreeScout convertissant une RCE authentifiée récemment corrigée en RCE non authentifiée et zero‑click, affectant toutes les versions jusqu’à 1.8.206 et corrigée en v1.8.207. 🚨 Vulnérabilité: CVE‑2026‑28289 (Remote Code Execution, non authentifiée, zero‑click, sévérité critique). Un simple email spécialement conçu, envoyé à une adresse gérée par FreeScout, permet l’exécution de code sur le serveur sans authentification ni interaction utilisateur. La faille résulte d’un contournement du correctif précédent (lié à CVE‑2026‑27636) via une faille de validation de nom de fichier. ...

Selon SecurityWeek, le jeu de données issu de la violation de données découverte le 2 octobre 2025 chez Canadian Tire (incluant SportChek, Mark’s/L’Équipeur et Party City) a été ajouté cette semaine au site Have I Been Pwned (HIBP). L’incident impliquait un accès non autorisé à une base e‑commerce de l’enseigne. À l’époque, Canadian Tire indiquait que des informations personnelles basiques de clients titulaires d’un compte en ligne avaient été exposées. ...

Selon GNT, Florajet, important service français de livraison de fleurs, a subi début mars 2026 une cyberattaque ayant conduit à l’exfiltration et à la mise en vente d’une vaste base de données de commandes. Type d’attaque : accès non autorisé à un outil interne BtoB via les identifiants d’un fleuriste partenaire (chaîne de sous-traitance), ayant permis l’exfiltration de données. Impact : 1,4 million de commandes (2023–2026) compromises, 136 Go de bons de commande PDF. Données volées : noms et prénoms de l’expéditeur et du destinataire, adresses complètes, près de 952 000 numéros de téléphone uniques, et surtout les messages d’accompagnement souvent très intimes (déclarations, excuses, condoléances). Monétisation : base mise en vente sur des forums du dark web. 🌐 L’élément le plus sensible est la divulgation des messages personnels, représentant une atteinte grave à la vie privée au-delà d’une simple fuite de coordonnées. ...

Source : non précisée — Contexte : annonce d’un nouvel outil qui intègre CyberChef au sein d’IDA Pro pour accélérer les workflows d’analyse de malware et de rétro‑ingénierie. • Qu’est‑ce que c’est ? 🧩 Un plugin Qt (« IDA CyberChef ») qui embarque le moteur CyberChef dans l’interface d’IDA Pro afin d’éviter les allers‑retours avec l’UI web de CyberChef. Il s’intègre avec des fonctions d’IDA (lecture du curseur/sélection, ajout de commentaires, patching d’octets) et permet de composer/chaîner des opérations (ex. Base64, XOR) directement dans l’outil. ...

Source: GitHub (aquasecurity/trivy). Les mainteneurs annoncent qu’un workflow GitHub Actions vulnérable a été exploité (cf. billet StepSecurity), entraînant des actions malveillantes sur le dépôt Trivy et des artefacts associés; le workflow en cause a été corrigé et la restauration est en cours. Impact observé (confirmé par les mainteneurs): Le dépôt public a été rendu privé et renommé (aquasecurity/private-trivy), puis un dépôt vide a été poussé à la place. Suppression des Releases 0.27.0 à 0.69.1, ainsi que des Discussions et Assets liés à ces releases. Publication d’un artefact malveillant pour l’extension VSCode de Trivy sur l’Open VSIX Marketplace; l’artefact a été retiré et le jeton de publication révoqué. Les autres assets Trivy ont été examinés; pas d’autres impacts observés à ce stade. L’usage via images container ou gestionnaires de paquets ne devrait pas être affecté. Les téléchargements directs (binaire GitHub, get.trivy.dev, script d’installation, Action Trivy) sont dégradés. v0.69.2 a été republiée. Chronologie (UTC) fournie par les mainteneurs 🚨: ...

Source et contexte — Sicurezza Nazionale (Relazione annuale 2026 de l’intelligence italienne). Document de référence sur la politique d’information pour la sécurité, il couvre l’année 2025 et propose des scénarios prospectifs. • Menace principale et cibles Espionnage APT de matrice étatique: activité « constante » de groupes hautement spécialisés, recevant orientations et soutien financier d’appareils gouvernementaux étrangers, focalisés sur secteurs stratégiques (notamment aérospatial, infrastructures digitales/ICT) et sur les ministères/administrations centrales. Intérêt accru pour le secteur public, y compris structures sanitaires (vol de identités/identifiants sur postes du personnel, revente sur deep/dark web et réutilisation pour d’autres intrusions). Dans le privé, repli relatif des offensives mais pression persistante sur IT/Télécoms, énergie et banques; exposition particulière des PME prises de manière opportuniste pour étendre l’« anonymisation » des attaquants. • Techniques, infrastructures et impacts ...