Patch Tuesday dĂ©cembre 2025 : Microsoft corrige 56 failles, dont un zero‑day activement exploitĂ©

Selon KrebsOnSecurity, Microsoft clĂŽture l’annĂ©e avec le Patch Tuesday de dĂ©cembre 2025, corrigeant 56 vulnĂ©rabilitĂ©s et portant le total annuel Ă  1 129 failles (soit +11,9% vs 2024). Un zero‑day est activement exploitĂ© et deux vulnĂ©rabilitĂ©s Ă©taient dĂ©jĂ  publiquement divulguĂ©es. ‱ Zero‑day corrigĂ©: CVE-2025-62221 — Ă©lĂ©vation de privilĂšges dans le composant Windows Cloud Files Mini Filter Driver (Windows 10 et ultĂ©rieur). Composant clĂ© utilisĂ© par des services comme OneDrive, Google Drive et iCloud, mĂȘme sans ces apps installĂ©es, ce qui augmente la surface d’attaque. ...

13 dĂ©cembre 2025 Â· 2 min

Ransomware chez la filiale britannique Xchanging (DXC Technology) en juillet 2020

Contexte: Extrait d’actualitĂ© publiĂ© le 13 dĂ©cembre 2025 relatant une attaque survenue le 4 juillet 2020 visant Xchanging, filiale britannique de DXC Technology. ‱ L’attaque a pris la forme d’un ransomware visant Xchanging, prestataire de services technologiques pour l’industrie de l’assurance commerciale au Royaume‑Uni (marchĂ© de Londres). L’assaillant a envoyĂ© une note d’extorsion illustrĂ©e par l’image d’un personnage de dessin animĂ© faisant un geste obscĂšne, dĂ©clarant: « We have your data. We’ve encrypted your files. If you want to negotiate, we can talk on a secure tool or chat session. » 🔒💬 ...

13 dĂ©cembre 2025 Â· 2 min

Royaume‑Uni: « Scattered Spider » cible des dĂ©taillants, pertes massives et pression sur les forces de l’ordre

Selon un article publiĂ© le 13 dĂ©cembre 2025, une nouvelle gĂ©nĂ©ration de cybercriminels — de jeunes hackers anglophones — a gagnĂ© en visibilitĂ© au Royaume‑Uni, avec des attaques attribuĂ©es Ă  « Scattered Spider » visant des dĂ©taillants de premier plan et provoquant des pertes se chiffrant en centaines de millions de livres. Faits clĂ©s: đŸ•·ïž Groupe visĂ©: « Scattered Spider » 🏬 Cibles: dĂ©taillants britanniques de premier plan đŸ’· Impact financier: centaines de millions de livres de pertes ⚔ Concurrence des menaces: groupes russophones de ransomware 1) Constat principal En 2025, l’actualitĂ© britannique est marquĂ©e par des attaques attribuĂ©es Ă  des acteurs jeunes, anglophones (souvent associĂ©s Ă  Scattered Spider), ayant provoquĂ© des pertes financiĂšres trĂšs Ă©levĂ©es chez de grands distributeurs. L’angle de l’article : ces acteurs crĂ©ent un stress nouveau sur les capacitĂ©s des forces de l’ordre, dĂ©jĂ  mobilisĂ©es contre les Ă©cosystĂšmes ransomware russophones. 2) Qui sont ces acteurs ? Scattered Spider / “the Com” RĂ©seau lĂąche d’individus, souvent anglophones, en AmĂ©rique du Nord et en Europe (dont UK/US). Forte spĂ©cialisation en ingĂ©nierie sociale (langue/culture) pour obtenir l’accĂšs et dĂ©clencher des attaques “crippling”. Profil : jeunes hommes, motivations souvent prestige/kudos autant que profit ; passerelles avec d’autres dĂ©lits en ligne (ex. sextorsion). Groupes russophones ransomware Historiquement plus professionnalisĂ©s et plus techniquement sophistiquĂ©s. Évolution sur 15 ans : fraude CB → malwares bancaires → ransomware (depuis ~2020). Menace toujours organisĂ©e, efficace et vue comme un enjeu de sĂ©curitĂ© nationale. 3) Risque d’hybridation des menaces L’article Ă©voque des connexions rapportĂ©es entre acteurs type Scattered Spider et des groupes russophones (ex. mention de DragonForce). Risque : combinaison du social engineering “anglophone” + capacitĂ©s malware/exploitation plus avancĂ©es → augmentation de l’impact. 4) Pourquoi c’est un casse-tĂȘte pour les forces de l’ordre ? Deux fronts, deux logiques Contre les groupes russophones (Ă  l’étranger) : ...

13 dĂ©cembre 2025 Â· 3 min

Ukraine: le HUR revendique une cyberattaque destructive contre le logisticien russe Eltrans+

Source: UNN (unn.ua), Kyiv — Le 6 dĂ©cembre 2025, le Cyber Corps de la Direction principale du renseignement du ministĂšre de la DĂ©fense d’Ukraine (HUR MOD), avec la BO Team, a menĂ© une cyberattaque contre l’infrastructure d’Eltrans+, important acteur logistique russe. 🚹 L’attaque a entraĂźnĂ© la dĂ©sactivation de plus de 700 ordinateurs et serveurs et la destruction ou le chiffrement de 165 tĂ©raoctets de donnĂ©es critiques. Plus de 1 000 utilisateurs de l’entreprise ont Ă©tĂ© supprimĂ©s. ...

13 dĂ©cembre 2025 Â· 2 min

AMOS Stealer sur macOS livré via conversations ChatGPT/Grok empoisonnées (SEO/IA)

Source et contexte: Huntress (blog, 9 dĂ©cembre 2025) analyse un incident triagĂ© le 5 dĂ©cembre 2025 impliquant l’infostealer macOS AMOS livrĂ© via des rĂ©sultats Google menant Ă  de vraies conversations partagĂ©es sur ChatGPT et Grok, empoisonnĂ©es pour insĂ©rer une commande Terminal malveillante. ‱ ChaĂźne d’infection: un utilisateur cherche « clear disk space on macOS », clique un rĂ©sultat de conversation ChatGPT/Grok lĂ©gitime et copie/colle une commande Terminal prĂ©sentĂ©e comme « sĂ»re ». Cette commande contient une URL encodĂ©e en base64 vers un script bash qui dĂ©clenche une infection multi‑étapes. Aucune alerte Gatekeeper, aucun tĂ©lĂ©chargement manuel apparent: initial access par empoisonnement SEO/IA et copier-coller dans le Terminal. ...

12 dĂ©cembre 2025 Â· 3 min

Suisse: le Conseil fĂ©dĂ©ral publie un rapport sur les opportunitĂ©s et risques de l’IA en cybersĂ©curitĂ©

Selon le Conseil fĂ©dĂ©ral (Suisse), dans un rapport publiĂ© Ă  Berne le 12 dĂ©cembre 2025 en rĂ©ponse au postulat 23.3861 (Andrey), l’IA a des effets ambivalents sur la cybersĂ©curitĂ©: elle amplifie des menaces existantes, surtout l’ingĂ©nierie sociale, tout en apportant des opportunitĂ©s notables pour la prĂ©vention, la dĂ©tection et la rĂ©ponse. Principales menaces mises en avant: IngĂ©nierie sociale Ă  grande Ă©chelle et de meilleure qualitĂ© (phishing, vishing, smishing, arnaque au prĂ©sident) aidĂ©e par les LLM multilingues; deepfakes (face swapping, facial reenactment) pour des fraudes financiĂšres. Usage de l’IA pour la dĂ©couverte de vulnĂ©rabilitĂ©s, l’amĂ©lioration/obfuscation de maliciels, la sĂ©lection de cibles et l’analyse de donnĂ©es volĂ©es; possibilitĂ© de contourner des garde-fous des modĂšles. Attaques visant les systĂšmes d’IA: backdoors dans des modĂšles, data poisoning, difficultĂ© de monitoring et dĂ©pendance fournisseurs. Pas de preuve de cyberattaques entiĂšrement autonomes Ă  court terme, mais l’IA abaisse les barriĂšres d’entrĂ©e et accĂ©lĂšre les opĂ©rations. OpportunitĂ©s et dĂ©fenses: ...

12 dĂ©cembre 2025 Â· 2 min

19 extensions VS Code malveillantes cachaient un trojan dans une fausse image PNG

ReversingLabs publie une enquĂȘte sur une campagne active depuis fĂ©vrier 2025 rĂ©vĂ©lant 19 extensions VS Code malveillantes qui cachent des charges utiles dans leurs dĂ©pendances, notamment une fausse image PNG contenant des binaires. Les extensions malicieuses incluent des dĂ©pendances prĂ©-packagĂ©es dans le dossier node_modules dont le contenu a Ă©tĂ© altĂ©rĂ© par l’attaquant. La dĂ©pendance populaire path-is-absolute a Ă©tĂ© modifiĂ©e localement (sans impact sur le package npm officiel) pour ajouter du code dĂ©clenchĂ© au dĂ©marrage de VS Code, chargĂ© de dĂ©coder un dropper JavaScript stockĂ© dans un fichier nommĂ© ’lock’ (obfuscation par base64 puis inversion de la chaĂźne). ...

11 dĂ©cembre 2025 Â· 3 min

AMOS Stealer exploite la confiance dans l’IA : infections macOS via conversations ChatGPT et Grok empoisonnĂ©es

Source: Huntress (blog), publiĂ© le 9 dĂ©cembre 2025. Contexte: analyse de menace dĂ©taillant une campagne d’AMOS (Atomic macOS Stealer) qui dĂ©tourne la confiance accordĂ©e aux plateformes d’IA et aux moteurs de recherche pour livrer un infostealer sur macOS sans alerte visible. ‱ Vecteur initial — empoisonnement SEO/IA: Des recherches banales type “clear disk space on macOS” renvoient en tĂȘte de Google vers des conversations lĂ©gitimes hĂ©bergĂ©es sur chatgpt.com et grok.com. Ces chats, prĂ©sentĂ©s comme des guides de nettoyage « sĂ»rs », contiennent une commande Terminal qui, une fois copiĂ©e-collĂ©e, tĂ©lĂ©charge un loader AMOS (ex. URL dĂ©codĂ©e vers hxxps://putuartana[.]com/cleangpt). Aucune piĂšce jointe ou installateur malveillant, pas d’avertissement macOS: juste recherche → clic → copy/paste. ...

11 dĂ©cembre 2025 Â· 4 min

ConsentFix : une attaque navigateur qui détourne les consentements OAuth via Azure CLI

Source : Push Security. Dans cette analyse, l’éditeur dĂ©crit « ConsentFix », une nouvelle campagne de phishing qui combine un leurre ClickFix dans le navigateur et l’abus du flux d’autorisation OAuth 2.0 via l’app premiĂšre partie Microsoft Azure CLI pour dĂ©tourner des consentements et obtenir des jetons d’accĂšs. L’attaque est entiĂšrement « browser-native » : la victime visite un site compromis trouvĂ© via Google Search, passe un faux challenge Cloudflare Turnstile, puis suit des instructions qui ouvrent une authentification Microsoft lĂ©gitime. AprĂšs sĂ©lection/connexion, le navigateur est redirigĂ© vers localhost avec une URL contenant un code d’autorisation OAuth. La victime copie/colle cette URL dans la page malveillante, ce qui permet Ă  l’attaquant d’échanger le code et de lier l’Azure CLI de l’attaquant au compte Microsoft de la victime. RĂ©sultat : prise de contrĂŽle efficace du compte sans hameçonnage d’identifiants ni passage de MFA, et contournement des mĂ©thodes rĂ©sistantes au phishing (ex. passkeys) lorsque la session est dĂ©jĂ  ouverte. ...

11 dĂ©cembre 2025 Â· 3 min

Possible détournement du mécanisme de mise à jour de Notepad++ via GUP observé sur un nombre limité de victimes

Selon doublepulsar.com (billet de Kevin Beaumont, 2 dĂ©c. 2025), de petites quantitĂ©s d’incidents ont Ă©tĂ© observĂ©es dans des organisations utilisant Notepad++, oĂč des processus Notepad++/GUP semblent avoir servi de point d’entrĂ©e, menant Ă  des activitĂ©s « hands-on-keyboard » ciblĂ©es. Le billet dĂ©crit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour rĂ©cupĂ©rer un gup.xml indiquant l’URL de tĂ©lĂ©chargement, enregistre l’installateur dans %TEMP% puis l’exĂ©cute. La vulnĂ©rabilitĂ© potentielle rĂ©side dans la possibilitĂ© de redirection/altĂ©ration de l’URL dans si le trafic est interceptĂ© (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antĂ©rieures utilisaient une racine auto-signĂ©e (disponible sur GitHub), avant un retour Ă  GlobalSign en 8.8.7, rendant la vĂ©rification de l’intĂ©gritĂ© insuffisamment robuste dans certains cas. ...

11 dĂ©cembre 2025 Â· 2 min
Derniùre mise à jour le: 7 juillet 2026 📝