Les domaines « parkés » redirigent massivement vers arnaques et malwares (étude Infoblox)

Selon une publication de recherche d’Infoblox datĂ©e du 16 dĂ©cembre 2025 et reprise par le journaliste spĂ©cialisĂ© Brian Krebs, la navigation directe vers des domaines expirĂ©s, parkĂ©s ou typosquattĂ©s expose dĂ©sormais majoritairement les internautes Ă  des redirections malveillantes. 🚹 Constat clĂ©: alors qu’en 2014 les redirections malveillantes sur domaines parkĂ©s Ă©taient observĂ©es dans <5 % des cas, Infoblox relĂšve qu’en 2025 plus de 90 % des visites mĂšnent Ă  du contenu illĂ©gal, arnaques, scareware/abonnements antivirus, ou malwares. Les parkings vendent les « clics » Ă  des rĂ©seaux publicitaires qui les revendent souvent, jusqu’à un annonceur final sans lien direct avec le parking. ...

16 dĂ©cembre 2025 Â· 3 min

Linus Torvalds fustige la prolifération des modules de sécurité Linux (LSM)

Selon Phoronix (article de Michael Larabel), un chercheur en sĂ©curitĂ© et son Ă©quipe ont relancĂ© la discussion autour de leur LSM « TSEM » proposĂ© il y a trois ans, qui n’a reçu que peu de revue et n’a pas Ă©tĂ© acceptĂ© dans le noyau. Ils demandent des orientations claires sur la maniĂšre d’introduire de nouveaux LSM et envisagent de porter le sujet devant le Technical Advisory Board (TAB) de la Linux Foundation si nĂ©cessaire. ...

16 dĂ©cembre 2025 Â· 2 min

Meta publie son rapport Q2/Q3 2025 sur menaces adverses : scams, CIB et risques IA

Source : Meta — Adversarial Threat Report Q2/Q3 2025. Meta restructure son rapport (dĂ©sormais semestriel) et le centre sur quatre piliers de dĂ©fense (dĂ©fenses de plateforme, autonomisation des utilisateurs, disruption/dissuasion, coopĂ©ration intersectorielle). Le document couvre trois axes majeurs : Fraud & Scams, Coordinated Inauthentic Behavior (CIB) et menaces adverses liĂ©es Ă  l’IA, avec Ă©tudes de cas, TTPs et partage d’indicateurs via GitHub. ‱ Fraude et scams (Fraud Attack Chain) đŸ§” ModĂšle en 5 phases : Build Infrastructure, Prepare Digital Assets, Engage, Execute, Clean Up (avec points d’intervention distincts pour plateformes, tĂ©lĂ©coms, hĂ©bergeurs, banques et forces de l’ordre). Nouvelles protections : dĂ©tection avancĂ©e de scams dans Messenger, avertissements de partage d’écran WhatsApp, reconnaissance faciale anti-impersonation (≈500 000 personnalitĂ©s protĂ©gĂ©es, -22% de signalements d’annonces « celeb-bait » au S1 2025). Disruption/coopĂ©ration : poursuites judiciaires, soutien aux forces de l’ordre (ex. DOJ Scam Center Strike Force, arrestations par la police de Singapour), FIRE (Ă©changes bilatĂ©raux avec le secteur financier), GSE/GASA (Ă©changes multi-acteurs), Ă©changes bilatĂ©raux (Microsoft/Google) contre compromission de comptes. Volume d’application des rĂšgles : 134 M de contenus publicitaires retirĂ©s (fraude/escroqueries) sur Facebook/Instagram (au 10/2025). ‱ Criminal Scam Syndicates (Étude de cas) 🚹 ...

16 dĂ©cembre 2025 Â· 4 min

Microsoft déploie « Baseline Security Mode » pour centraliser les standards de sécurité M365

Selon le message MC1193689 du centre de Messages pour administrateurs, Microsoft lance « Baseline Security Mode », une expĂ©rience centralisĂ©e dans le centre d’administration Microsoft 365 pour aligner Office, SharePoint, Exchange, Teams et Entra sur les standards de sĂ©curitĂ© recommandĂ©s. Le service s’appuie sur l’intelligence des menaces Microsoft et des insights issus de deux dĂ©cennies de cas traitĂ©s par le Microsoft Response Center, afin de renforcer la posture de sĂ©curitĂ© et se prĂ©parer aux menaces alimentĂ©es par l’IA. Aucun impact utilisateur immĂ©diat n’est prĂ©vu tant que les administrateurs n’appliquent pas de changements. đŸ›Ąïž ...

16 dĂ©cembre 2025 Â· 2 min

Microsoft va dĂ©sactiver par dĂ©faut RC4 dans Kerberos/Active Directory d’ici mi‑2026

Contexte: Ars Technica dĂ©taille la dĂ©cision de Microsoft de mettre fin au support par dĂ©faut du chiffrement obsolĂšte RC4 dans Kerberos/Active Directory, un choix historiquement associĂ© Ă  des attaques comme le Kerberoasting et critiquĂ© par le sĂ©nateur amĂ©ricain Ron Wyden. L’article rappelle le rĂŽle de RC4 dans la compromission d’Ascension (disruptions hospitaliĂšres et donnĂ©es de 5,6 M de patients). Changement annoncĂ©: D’ici mi‑2026, Microsoft mettra Ă  jour les contrĂŽleurs de domaine (KDC) sur Windows Server 2008 et ultĂ©rieurs pour n’autoriser par dĂ©faut que AES‑SHA1. RC4 sera dĂ©sactivĂ© par dĂ©faut et n’opĂ©rera que si un administrateur le configure explicitement. Bien que AES‑SHA1 soit disponible depuis 2008 et utilisĂ© cĂŽtĂ© clients, les serveurs Windows rĂ©pondaient encore, par dĂ©faut, aux requĂȘtes d’authentification RC4, ouvrant la voie aux attaques de Kerberoasting. ...

16 dĂ©cembre 2025 Â· 2 min

PayPal ferme une brĂšche d’abus de fonctionnalitĂ© exploitĂ©e pour envoyer de faux mails depuis service@paypal.com

Source: Malwarebytes, citant une enquĂȘte de BleepingComputer. Contexte: des acteurs malveillants ont dĂ©tournĂ© une fonctionnalitĂ© PayPal afin d’envoyer des notifications lĂ©gitimes depuis l’adresse service@paypal.com et d’orchestrer une arnaque au support technique. Les fraudeurs crĂ©aient un abonnement PayPal puis le mettaient en pause, ce qui dĂ©clenchait le vĂ©ritable email « Your automatic payment is no longer active » vers l’« abonnĂ© ». Ils configuraient en parallĂšle un faux compte d’abonnĂ©, vraisemblablement une liste de diffusion Google Workspace qui retransmettait automatiquement le message Ă  tous les membres. Cette combinaison permettait d’envoyer un email lĂ©gitime signĂ© service@paypal.com, contournant les filtres et un premier contrĂŽle visuel du destinataire. ...

16 dĂ©cembre 2025 Â· 3 min

Prosper rĂ©vĂšle une fuite de donnĂ©es via requĂȘtes sur ses bases (juin–aoĂ»t 2025)

Selon Prosper, l’entreprise a dĂ©couvert le 1er septembre 2025 une activitĂ© non autorisĂ©e sur ses systĂšmes et a dĂ©clenchĂ© une enquĂȘte avec un cabinet de cybersĂ©curitĂ©, tout en coopĂ©rant avec les forces de l’ordre. — DĂ©couverte et rĂ©ponse Date de dĂ©couverte : 1er septembre 2025. Actions immĂ©diates : interruption de l’activitĂ© non autorisĂ©e et renforcement des mesures de sĂ©curitĂ©. EnquĂȘte : collaboration avec un cabinet de cybersĂ©curitĂ© et signalement aux forces de l’ordre. — Impact et pĂ©rimĂštre ...

16 dĂ©cembre 2025 Â· 1 min

RCE baseband sur le modem Unisoc UIS7862A des head units automobiles (CVE-2024-39432/39431)

Source: Kaspersky ICS CERT — Contexte: publication de recherche (16 dĂ©c. 2025) dĂ©crivant l’évaluation de sĂ©curitĂ© du SoC Unisoc UIS7862A intĂ©grĂ© aux head units de vĂ©hicules chinois et Ă  divers appareils mobiles. Les chercheurs ont identifiĂ© plusieurs vulnĂ©rabilitĂ©s critiques dans la pile protocolaire cellulaire du modem intĂ©grĂ©. L’article se concentre sur une vulnĂ©rabilitĂ© de type dĂ©passement de pile dans l’implĂ©mentation 3G RLC en mode UM, rĂ©fĂ©rencĂ©e CVE-2024-39432, permettant une exĂ©cution de code Ă  distance (RCE) dĂšs les premiĂšres Ă©tapes de connexion, avant l’activation des mĂ©canismes de protection. Une section distincte mentionne Ă©galement CVE-2024-39431 liĂ©e Ă  l’accĂšs distant au modem. ...

16 dĂ©cembre 2025 Â· 3 min

React2Shell (CVE-2025-55182) exploité pour déployer le ransomware Weaxor

Source: S-RM — Dans un rapport d’incident, S-RM dĂ©crit l’exploitation de la vulnĂ©rabilitĂ© critique React2Shell (CVE-2025-55182) comme vecteur d’accĂšs initial menant au dĂ©ploiement du ransomware Weaxor. Ce cas marque la premiĂšre observation par S-RM de l’usage de cette faille par des acteurs Ă  but financier pour de l’extorsion, Ă©largissant l’impact connu au-delĂ  des backdoors et crypto‑miners. VulnĂ©rabilitĂ©: React2Shell (CVE-2025-55182) affecte React Server Components (RSC) et le protocole Flight dans React et Next.js. Elle permet une exĂ©cution de code Ă  distance non authentifiĂ©e via une requĂȘte HTTP malveillante, avec exĂ©cution sous l’utilisateur du processus serveur. GravitĂ© CVSS 10.0, exploitation aisĂ©e et propice Ă  l’automatisation 🚹. ...

16 dĂ©cembre 2025 Â· 3 min

Shai‑Hulud 2.0: post‑mortem de Trigger.dev sur une compromission GitHub via un package npm

Source: Trigger.dev (blog) — Post‑mortem publiĂ© par le CTO Eric Allam le 28 novembre 2025, dĂ©crivant une compromission le 25 novembre 2025 via le ver supply chain Shai‑Hulud 2.0 diffusĂ© dans l’écosystĂšme npm. RĂ©sumĂ© de l’incident Un ingĂ©nieur installe un package compromis (via pnpm install) exĂ©cutant un script preinstall qui dĂ©ploie TruffleHog pour exfiltrer des identifiants (GitHub, AWS, npm, variables d’environnement) et les pousser vers des dĂ©pĂŽts GitHub Ă©phĂ©mĂšres. L’attaquant mĂšne ~17 h de reconnaissance (clonage massif de 669 dĂ©pĂŽts depuis infrastructures US/Inde), surveille l’activitĂ© de l’ingĂ©nieur, puis lance une phase destructrice: force‑push de commits « init » attribuĂ©s Ă  « Linus Torvalds <[email protected]> » et fermeture de PRs (199 branches touchĂ©es, 42 PRs fermĂ©es). Certaines tentatives sont bloquĂ©es par la protection de branche. DĂ©tection rapide via une avalanche d’alertes Slack; en 4 minutes le compte compromis est retirĂ© de l’organisation, stoppant l’attaque. Pas d’accĂšs en Ă©criture aux ressources AWS ni de compromission des packages npm de Trigger.dev. Impact et pĂ©rimĂštre ...

16 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝