Posts

Selon une actualité multi-source, le gang de ransomware Clop (Cl0p) vise des serveurs Gladinet CentreStack exposés sur Internet dans le cadre d’une nouvelle campagne d’extorsion par vol de données. 🚨 Faits principaux Acteur : Clop (Cl0p) Type d’attaque : extorsion par vol de données (data theft extortion) Cible : serveurs Gladinet CentreStack exposés sur Internet Impact visé : exfiltration de fichiers et pression d’extorsion 1) Contexte Le groupe de ransomware Clop (Cl0p) lance une nouvelle campagne d’extorsion ciblant les serveurs Gladinet CentreStack exposés sur Internet. CentreStack est une solution de partage de fichiers permettant aux entreprises d’accéder à des serveurs internes via navigateur, applications mobiles ou lecteurs réseau, sans VPN. Selon Gladinet, la solution est utilisée par des milliers d’entreprises dans plus de 49 pays. 2) Nature de l’attaque Les attaquants : scannent Internet à la recherche de serveurs CentreStack accessibles publiquement compromettent les systèmes déposent des notes de rançon L’objectif principal semble être le vol de données suivi d’extorsion, et non le chiffrement classique. 3) Vulnérabilité exploitée : inconnue À ce stade : aucun CVE n’a été identifié il est inconnu s’il s’agit : d’un zero-day ou d’une faille déjà corrigée mais non patchée Gladinet a publié plusieurs correctifs depuis avril, certains pour des failles zero-day déjà exploitées dans le passé. 4) Surface d’attaque et exposition Selon Curated Intelligence : au moins 200 adresses IP uniques exposent une interface web identifiable comme “CentreStack – Login” Ces systèmes constituent des cibles potentielles immédiates pour Clop. « Incident Responders […] ont rencontré une nouvelle campagne d’extorsion CLOP ciblant des serveurs CentreStack exposés sur Internet. » — Curated Intelligence ...

Source: CNIL (19 décembre 2025). La CNIL annonce avoir sanctionné MOBIUS SOLUTIONS LTD, ex-sous-traitant de Deezer, à l’origine d’une violation de données notifiée en novembre 2022, pour plusieurs manquements au RGPD en matière de sous-traitance. ⚖️ Décision et contexte. Après des contrôles sur pièces en 2023 et 2024, la formation restreinte de la CNIL inflige une amende de 1 000 000 € et rend publique sa décision, au regard de la gravité des manquements, du nombre de personnes concernées et du chiffre d’affaires de la société. ...

Source : oss-sec (mailing list). Dans un post signé par “turistu” le 16 décembre 2025, un rapport technique décrit CVE-2025-14282 affectant le serveur SSH Dropbear en mode multi-utilisateur. • Problème principal : Dropbear exécute les redirections de sockets (TCP/UNIX) en tant que root durant l’authentification et avant le spawn du shell, ne basculant de manière permanente vers l’utilisateur connecté qu’ensuite. Avec l’ajout récent du forwarding vers des sockets de domaine UNIX (commit 1d5f63c), un utilisateur SSH authentifié peut se connecter à n’importe quel socket UNIX avec les identifiants root, contournant les permissions du système de fichiers et les contrôles SO_PEERCRED / SO_PASSCRED. ...

Selon ZDNET (publié le 19/12/2025), un couple de Dompierre-sur-Mer, près de La Rochelle, a été agressé par un commando qui l’a séquestré et contraint à transférer l’équivalent de huit millions d’euros en cryptomonnaies, un fait divers qui s’inscrit dans une série d’attaques similaires visant l’écosystème crypto en France. • Les faits principaux 🔒💰 — Type d’attaque : séquestration et extorsion avec violence à domicile par trois agresseurs cagoulés, à l’aube (vers 5h). — Victimes : un investisseur en cryptomonnaies et sa compagne, ligotés et battus pendant près de deux heures. — Impact : transfert forcé d’environ 8 M€ depuis un portefeuille de cryptomonnaies. — Après le transfert, les agresseurs ont pris la fuite ; l’homme a été hospitalisé (pronostic vital non engagé). ...

Selon Futurism, s’appuyant sur une enquête de 404 Media, un hacker a compromis le backend de la startup d’IA Doublespeed, soutenue par Andreessen Horowitz, qui vend l’accès à un vaste réseau de « phone farms » pour exploiter des comptes de réseaux sociaux à grande échelle. L’intrusion a touché l’« entier backend » de gestion du phone farm, offrant une visibilité sur les téléphones utilisés, les ordinateurs « managers » qui les contrôlent, les comptes TikTok associés, les proxys et leurs mots de passe, les tâches en attente, ainsi que des liens permettant de prendre le contrôle des appareils. ⚠️ Type d’incident : piratage/compromission du backend. ...

Selon The Register (Connor Jones, 19 décembre 2025), des actes d’accusation fédéraux aux États-Unis visent des membres présumés du gang vénézuélien Tren de Aragua (TdA) pour une série d’attaques de jackpotting d’ATM impliquant une variante du malware Ploutus. • Deux inculpations ont été rendues au Nebraska, visant au total 54 membres présumés de TdA pour des attaques de jackpotting d’ATM à travers le pays 🏧. Les documents judiciaires décrivent des déplacements en groupe pour cibler des distributeurs gérés par certaines banques et coopératives de crédit, avec inspection des dispositifs de sécurité externes avant l’ouverture de la porte de l’ATM et vérification d’éventuelles alarmes. ...

Selon franceinfo avec AFP (France Télévisions), le ministère des Sports, de la Jeunesse et de la Vie associative a annoncé le 19 décembre 2025 avoir été victime d’une exfiltration de données dans l’un de ses systèmes d’information. Le ministère indique que 3,5 millions de foyers sont concernés. Les personnes impactées seront informées « dans les meilleurs délais » et recevront des recommandations et consignes de sécurité. L’origine de la cyberattaque n’est pas mentionnée. 🔔 ...

Selon Security Affairs, des chercheurs de Riot Games ont révélé une vulnérabilité UEFI affectant certains modèles de cartes mères ASRock, ASUS, GIGABYTE et MSI, confirmée par un avis du CERT/CC, qui permet des attaques DMA en phase très précoce du démarrage malgré des protections censées actives. Le problème réside dans une mauvaise initialisation de l’IOMMU au démarrage: le firmware déclare à tort que la protection DMA est active alors que l’IOMMU n’est pas correctement activée. Cette fenêtre permet à un périphérique PCIe malveillant ayant un accès physique de lire/modifier la mémoire avant le chargement des défenses de l’OS, ouvrant la voie à une injection de code pré-boot et à l’exposition de données sensibles. ...

Selon ComputerWorld (adapté par Jean Elyan), un ferry français a été immobilisé à Sète après la découverte d’un boîtier Raspberry Pi relié au réseau local et couplé à un modem cellulaire, permettant un accès à distance; l’incident a été contenu grâce à la séparation des réseaux administratifs et opérationnels et à l’absence d’accès distant aux commandes critiques. Des analystes soulignent le risque d’« implants » physiques créant un nouveau périmètre interne via la 4G/5G, contournant pare-feux et VPN. Ils alertent que nombre d’entreprises laissent des ports Ethernet actifs accessibles (halls, salles de réunion, couloirs) et recommandent de les désactiver par défaut, de n’autoriser l’activation qu’avec authentification 802.1X et de recourir à des outils de NAC et de fingerprinting physique (ex. Sepio) pour contrer l’usurpation d’adresse MAC se faisant passer pour des téléphones VoIP ou imprimantes. ...

Selon The Register, l’Université de Sydney a annoncé le 18 décembre avoir détecté une activité suspecte sur l’un de ses dépôts de code en ligne, déclenchant une mise en quarantaine d’urgence. L’établissement précise que ce dépôt, destiné au développement logiciel, contenait aussi des fichiers de données historiques utilisés pour des tests, et que l’incident est sans lien avec un problème distinct de résultats étudiants signalé la veille. Les responsables indiquent que l’accès non autorisé est limité à une seule plateforme, mais confirment que les fichiers ont été consultés et téléchargés 🔓. Les ensembles de données concernés (2010–2019) incluent des informations personnelles d’environ 10 000 membres du personnel et affiliés actuels, 12 500 anciens (actifs au 4 septembre 2018), ainsi qu’environ 5 000 alumni et étudiants, et six soutiens, soit près de 27 000 personnes au total. ...