Posts

Pixnapping — nouvelle attaque Android volant les pixels à la souris (Ars Technica, 13 oct. 2025) Une équipe académique a présenté Pixnapping, une attaque Android capable de voler codes 2FA, messages et autres données visibles à l’écran en moins de 30 secondes, même si l’application malveillante n’a aucune permission système. L’attaque a été démontrée sur plusieurs téléphones Pixel et sur le Samsung Galaxy S25, et repose sur un canal auxiliaire temporel lié au rendu graphique : en exécutant des opérations graphiques sur des coordonnées précises et en mesurant les temps de rendu, l’appli malveillante peut déduire le contenu pixel par pixel de l’app cible (par ex. un chiffre 2FA). ...

Selon multi (14 octobre 2025), Ansell Limited, fabricant australien d’équipements de protection, a divulgué un incident de cybersécurité impliquant des vulnérabilités dans un logiciel tiers qui ont permis un accès non autorisé à des données de l’entreprise. Points clés 🛡️: Type d’attaque: accès non autorisé via des vulnérabilités de logiciel tiers. Impact: accès à certains jeux de données, majoritairement non sensibles. Périmètre: systèmes cœur non affectés et environnement corporate plus large non compromis. Le fournisseur de solutions de sécurité pour la santé et l’industrie a précisé que l’incident n’a pas touché ses systèmes internes principaux, l’exposition provenant exclusivement d’un composant logiciel tiers. ...

Source: Apple Security Research (10 octobre 2025). Apple présente une mise à jour majeure de son programme Apple Security Bounty, visant à stimuler la recherche sur les surfaces d’attaque critiques de ses plateformes, dans un contexte de menaces dominées par les chaînes d’exploits de type spyware mercenaire. 💰 Récompenses record: le plafond passe à 2 M$ pour les chaînes d’exploits « zero‑click » comparables aux attaques de spyware mercenaire, avec des bonus (contournement de Lockdown Mode, bugs sur versions bêta) pouvant porter la prime totale à plus de 5 M$. Augmentations notables: 100 000 $ pour un contournement complet de Gatekeeper sans interaction, 1 M$ pour un accès iCloud non autorisé à large portée. Les catégories s’élargissent: échappatoires sandbox WebKit one‑click jusqu’à 300 000 $, et exploits de proximité sans fil (toutes radios) jusqu’à 1 M$. ...

Source: National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse — publication d’un rapport de test d’intrusion et revue de code du CMS TYPO3 (core et 10 extensions), menés de nov. 2024 à fév. 2025. • Résultats globaux: le noyau TYPO3 montre une posture robuste (2 failles de sévérité faible), tandis que plusieurs extensions présentent davantage de failles, dont 1 vulnérabilité critique. Au total, 8 vulnérabilités: 1 Critique, 1 Haute, 3 Moyennes, 3 Faibles. Les corrections ont été apportées par le projet TYPO3 et les mainteneurs d’extensions, avec publication de correctifs entre mars et mai 2025. ...

Selon un rapport public du National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse et publié le 13 octobre 2025, un audit de QGIS Server et QWC2 mené d’avril à mai 2025 a révélé une bonne posture globale, avec deux vulnérabilités XSS stockées à gravité élevée dans QWC2 désormais corrigées. 🧪 Portée et méthode Produits testés: QGIS Server (final-3_42_3, e84bda9) et QWC2 (v2025.11-lts, df80336), environnement docker « qwc-docker ». Approche: tests dynamiques principalement manuels (Burp Suite, fuzzing AFL++), analyses statiques (SonarQube, Snyk, Gitleaks), alignés OWASP ASVS, installation locale avec réglages par défaut. Période: 01.04.2025 – 30.05.2025, ~20 j/h par deux experts. 🛡️ Résultats QGIS Server ...

Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mêlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accès à distance aux systèmes. La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hébergés sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sécurité Microsoft et simulent un verrouillage du navigateur. ...

Selon Eclypsium (billet de blog), des outils de diagnostic UEFI signés par Microsoft et utilisés sur des appareils Framework peuvent être détournés comme des backdoors signées, permettant de contourner Secure Boot et d’installer une persistance pré-OS tout en donnant l’illusion que la sécurité est active. Les chercheurs expliquent que le cœur du problème réside dans la commande mm des shells UEFI signés, qui offre un accès direct en lecture/écriture à la mémoire système. En manipulant des composants du Security Architectural Protocol, un attaquant peut neutraliser la vérification de signature, puis charger des modules UEFI non signés. L’attaque peut être automatisée pour s’exécuter au démarrage, assurant un compromis persistant avant l’OS. ...

Selon Quarkslab (référence citée), des chercheurs ont détaillé deux vulnérabilités critiques dans les modules noyau GPU ouverts de NVIDIA sous Linux et présenté une chaîne d’exploitation complète menant à l’élévation de privilèges; NVIDIA a publié des correctifs dans la mise à jour d’octobre 2025 des GPU Display Drivers. ⚠️ — Vulnérabilités et impact — CVE-2025-23300: déréférencement de pointeur nul dans le module nvidia-uvm, déclenché lors du mappage d’allocations NV01_MEMORY_DEVICELESS via l’ioctl UVM_MAP_EXTERNAL_ALLOCATION, dû à un champ pGpu non vérifié. CVE-2025-23280: use-after-free dans les fonctions threadStateInit/threadStateFree (base de données Red-Black tree). Le kernel oops consécutif libère la pile avant l’exécution de threadStateFree(), entraînant l’UAF. Impact: obtention de primitives de lecture/écriture noyau et élévation de privilèges par un attaquant local non privilégié. — Chaîne d’exploitation (aperçu technique) — ...

Source: Elastic Security Labs. Elastic Security Labs annonce nightMARE v0.16, une bibliothèque Python open source dédiée à l’analyse de malwares et au reverse engineering, accompagnée d’un tutoriel détaillé pour construire un extracteur de configuration du stealer LUMMA. 🛠️ nightMARE v0.16 s’appuie sur le framework Rizin (via rz-pipe) pour le désassemblage et l’analyse, unifiant en un seul socle des capacités auparavant réparties sur plusieurs dépendances (remplacement de LIEF, Capstone, SMDA). Le module propose de l’analyse statique, de l’émulation d’instructions, et des implémentations d’algorithmes spécifiques aux malwares. ...

Source: PolySwarm (blog). Contexte: billet de recherche présentant la campagne « EvilAI » et ses techniques d’intrusion, de persistance et d’exfiltration. EvilAI est une campagne de malware JavaScript généré par IA, livré comme de fausses applications de productivité avec signatures numériques valides. Elle a compromis 114 systèmes à l’échelle mondiale, ciblant principalement les secteurs industriel, gouvernemental et santé en Inde et aux États-Unis. Le malware établit un accès persistant et exfiltre des données via un C2 chiffré. ...