Posts

Sur le blog de Talos Intelligence, un article propose un guide rapide destiné aux “référents cybersécurité” pour leurs amis et familles, afin de répondre à la question : « J’ai cliqué sur un lien suspect — et maintenant ? » 🛡️ Que faire en cas de clic sur un lien suspect Lorsqu’une personne clique sur un lien suspect, il est important de garder son calme et d’agir avec méthode pour limiter les risques. ...

Selon CYFIRMA, ce profil de l’acteur étatique chinois Hafnium (aussi connu sous les noms Silk Typhoon et MURKY PANDA, lié au MSS) décrit des opérations d’espionnage ciblant des secteurs critiques, principalement aux États-Unis, Royaume‑Uni, Australie, Japon, Vietnam, Canada et Mexique. Le groupe privilégie l’exploitation d’applications exposées (souvent via zero-days) et a accentué ses attaques sur les services cloud. Les cibles techniques incluent Microsoft Exchange et SharePoint, ainsi que d’autres technologies d’entreprise. Les campagnes suivent des attaques multi‑étapes combinant vol d’identifiants, mouvement latéral et exfiltration de données. 🎯 ...

Selon une étude académique sur des négociations de ransomware, la hausse des paiements ne s’explique pas par des attaques plus innovantes mais par la dynamique des négociations et la sélection des victimes. L’étude met en évidence une hausse spectaculaire des paiements moyens (près de +20 000% depuis 2018) et propose un modèle de négociation en six étapes: intention de l’attaquant, engagement de la victime, offre de remise, magnitude de la remise, décision de paiement, et ré-extorsion. Les auteurs exploitent deux jeux de données: 481 incidents déclarés à la police (2019–2023) et 237 transcriptions de négociations issues de 23 groupes de ransomware. ...

Selon Wiz Research, une vulnérabilité critique de type exécution de code à distance (RCE) baptisée RediShell (CVE-2025-49844) touche Redis, avec un score CVSS de 10.0 (vu à 9.9 selon certaines sources) et un correctif publié par Redis le 3 octobre 2025. 🚨 Principaux faits: Vulnérabilité: Use-After-Free (UAF) menant à une évasion du bac à sable Lua et à l’exécution de code natif sur l’hôte. Produits concernés: Redis (toutes les versions), vulnérabilité présente depuis ~13 ans dans le code source. Conditions d’exploitation: post-auth via envoi d’un script Lua malveillant (Lua activé par défaut). Risque critique si l’instance est exposée Internet sans authentification. Impact: Accès complet à l’hôte avec possibilités d’exfiltration, effacement ou chiffrement de données, détournement de ressources et mouvements latéraux dans les environnements cloud. Prévalence: Redis est présent dans ~75% des environnements cloud; il s’agirait de la première vulnérabilité Redis notée critique. Exposition et risque: ...

Selon Salesforce (status.salesforce.com), l’éditeur a publié un avis de sécurité au sujet de tentatives d’extorsion par des acteurs malveillants, tout en affirmant n’avoir identifié aucune compromission de sa plateforme ni lien avec une vulnérabilité connue. Salesforce indique avoir enquêté sur ces tentatives en partenariat avec des experts externes et les autorités. Les éléments recueillis suggèrent que ces extorsions se rattachent à des incidents passés ou non étayés. L’entreprise précise être en contact avec les clients concernés pour leur apporter un soutien dédié et qu’il n’existe, à ce stade, aucune indication de compromission de la plateforme Salesforce. ...

Selon Daily Dark Web, un groupe se faisant appeler « Scattered LAPSUS$ Hunters » a revendiqué une série d’intrusions visant des entreprises majeures des secteurs technologiques, de l’aviation et des télécommunications, en diffusant des échantillons de données sur son canal Telegram comme preuves. Les victimes listées par le groupe incluent : 🇺🇸 Dell 🇦🇺 Telstra 🇰🇼 Kuwait Airways 🇫🇷 Lycamobile (des clients en France seraient concernés) 🇺🇸 Verizon 🇹🇭 True Corporation & dtac Le groupe — dont le nom fait référence aux groupes d’extorsion Lapsus$ et Scattered Spider — affirme avoir exfiltré des données « étendues » variant selon la cible. Les catégories de données prétendument volées comprennent notamment : ...

Source : Mend.io — Dans un guide détaillé, le média présente une analyse technique et opérationnelle des principaux risques de sécurité liés aux grands modèles de langage (LLM) et propose des contre-mesures concrètes de bout en bout. Le contenu couvre les vulnérabilités majeures inspirées de l’« OWASP Top 10 » pour LLM, dont injection de prompt, gestion de sortie non sécurisée, empoisonnement des données d’entraînement et déni de service du modèle. Il met aussi en avant des risques émergents liés à l’IA agentique, aux modèles open source et aux déploiements sensibles géopolitiquement, avec une approche cycle de vie intégrale, de la collecte de données jusqu’aux opérations post-déploiement. ...

Selon GuidePoint Security, dans le cadre du Cybersecurity Awareness Month, un risque émergent touche les environnements d’entreprise : les « Shadow AI Agents » — des systèmes IA autonomes créant des identités non humaines (NHI) avec des accès larges via API, comptes de service et tokens, souvent sans supervision. L’article détaille comment de simples chatbots évoluent en agents autonomes et pourquoi ils posent des risques de sécurité (comportements imprévisibles, sur‑privilèges, exposition via tokens et comptes de service). Il explique aussi comment des attaquants peuvent les exploiter et créer des angles morts d’observabilité. ...

Source et contexte: krebsonsecurity.com (Brian Krebs) rapporte qu’un groupe lié à ShinyHunters/UNC6040 a lancé un site d’extorsion visant Salesforce et des dizaines d’entreprises, après une campagne de vishing en mai 2025 ayant conduit au vol de données Salesforce. Le blog « Scattered LAPSUS$ Hunters » publie les noms de victimes (Toyota, FedEx, Disney/Hulu, UPS, etc.) et menace de divulguer les données volées si une rançon n’est pas payée d’ici le 10 octobre. Google TIG (GTIG) suit le groupe comme UNC6040 et a confirmé qu’un de ses propres environnements Salesforce a été affecté par la campagne. Salesforce indique qu’elle ne paiera pas et qu’aucune vulnérabilité du cœur de la plateforme n’est en cause. 🔓 ...

ReliaQuest (Threat Spotlight) publie une analyse du paysage ransomware au T3 2025, mettant en avant une intensification des menaces, des évolutions tactiques notables et des mesures défensives recommandées. 📈 Le trimestre enregistre un record de 81 sites de fuite de données actifs. Le paysage se fragmente, de plus petites équipes comblant le vide laissé par de grandes opérations, ce qui entraîne des schémas d’attaque imprévisibles touchant de nouveaux secteurs et régions. La Thaïlande subit une hausse de 69 % des attaques, tandis que le secteur de la santé progresse de 31 %, porté par des groupes émergents. Qilin reste le groupe le plus actif avec un nombre record de victimes listées. ...