Posts

Source : CNIL — Le 22 décembre 2025, la CNIL explique le règlement européen sur les données (Data Act), qui encadre le partage et l’utilisation des données générées par les objets connectés, en l’articulant avec le RGPD et le DGA. Le Data Act vise une économie de la donnée plus ouverte et compétitive, en fixant des règles équitables d’accès et d’usage pour toutes les données (personnelles ou non) issues des objets connectés et de leurs services associés. Il précise qui peut utiliser quelles données et comment, tout en prévoyant que, en cas de contradiction, le RGPD prévaut dès lors que des données personnelles sont en jeu. Il tient compte du Digital Governance Act (DGA) et de ses intermédiaires de confiance. 📡🧩 ...

WIRED (23 décembre 2025) s’appuie sur une analyse d’Elliptic pour révéler l’essor massif de marchés chinois sur Telegram dédiés aux escroqueries crypto et aux services connexes, qui dépassent désormais les volumes des plus grands marchés noirs historiques. 📈 Échelle et records: Elliptic estime que les deux plus grands marchés actuels, Tudou Guarantee et Xinbi Guarantee, facilitent ensemble près de 2 Md$ par mois (environ 1,1 Md$ et 850 M$ respectivement). Leur prédécesseur Huione/Haowang Guarantee aurait totalisé 27 Md$ de transactions entre 2021 et 2025, surpassant largement AlphaBay (~1 Md$ en 2,5 ans) et Hydra (~5 Md$ en 7 ans), ce qui en fait « le plus grand marché illicite en ligne jamais opéré » selon Elliptic. ...

Selon l’équipe Threat Research de Socket, deux extensions Chrome baptisées “Phantom Shuttle” et publiées par le même acteur (theknewone.com@gmail[.]com) se présentent comme un VPN/proxy commercial légitime, mais réalisent en réalité une interception de trafic via injection d’identifiants, un MITM ciblé et une exfiltration continue de données vers un C2 actif. • Le modèle commercial est trompeur: interface professionnelle, inscription, paiements Alipay/WeChat Pay et paliers VIP (¥9.9 à ¥95.9). Après paiement, le mode proxy “smarty” s’active automatiquement et redirige le trafic de 170+ domaines à haute valeur (développeurs, clouds, réseaux sociaux, sites adultes) via l’infrastructure de l’attaquant. Plus de 2 180 utilisateurs sont recensés et les extensions sont encore en ligne. ...

Source: U.S. Department of Justice (Office of Public Affairs) — Communiqué de presse annonçant la saisie d’un domaine et d’une base de données utilisés dans une fraude de prise de contrôle de comptes bancaires. Le DoJ indique que le domaine web3adspanels.org servait de panneau d’administration (« backend web panel ») pour stocker et manipuler des identifiants bancaires volés. Les criminels diffusaient des publicités frauduleuses sur des moteurs de recherche (Google, Bing) imitant celles de banques légitimes, redirigeant les victimes vers des faux sites bancaires contrôlés par les attaquants. Un logiciel malveillant intégré à ces pages capturait les identifiants, ensuite réutilisés sur les vrais sites bancaires afin de vider les comptes. 💸 ...

Selon Maldev Academy, « DumpChromeSecrets » est un projet composé d’un exécutable et d’une DLL qui vise l’extraction de données sensibles depuis des versions récentes de Google Chrome, notamment cookies, identifiants enregistrés, tokens, données d’autoremplissage, historique et favoris. Le fonctionnement repose sur deux composants 🧰: un exécutable lance un Chrome headless, injecte la DLL via la technique « Early Bird APC injection », puis récupère les données extraites par un named pipe. La DLL, exécutée dans le contexte du processus Chrome, déchiffre la clé d’encryption liée à l’application (App‑Bound) via l’interface COM « IElevator » et procède à l’extraction/décryptage depuis les bases SQLite. ...

Selon Kaspersky GReAT (24 déc. 2025), Evasive Panda conduit depuis novembre 2022 jusqu’à novembre 2024 des opérations ciblées mêlant adversary‑in‑the‑middle (AitM) et empoisonnement DNS pour livrer et exécuter en mémoire l’implant MgBot, avec des chargeurs conçus pour l’évasion et des artefacts chiffrés uniques par victime. Les attaquants abusent de faux updaters d’applications populaires (SohuVA, iQIYI Video, IObit Smart Defrag, Tencent QQ). Un chargeur initial C++ (WTL/Wizard97Test modifié) déchiffre et décompresse une configuration LZMA, définit un chemin d’installation (%ProgramData%\Microsoft\MF), et contacte une ressource: http://www.dictionary.com/ (URI: image?id=115832434703699686&product=dict-homepage.png). Il adapte son comportement selon l’utilisateur (SYSTEM), manipule explorer.exe dans %TEMP%, et déchiffre un shellcode qu’il exécute après avoir modifié les protections mémoire via VirtualProtect. ...

Source: Fortinet (PSIRT Blog). Fortinet indique avoir observé dans la nature l’abus de la vulnérabilité FG‑IR‑19‑283 / CVE‑2020‑12812 publiée en juillet 2020, liée à un contournement du 2FA sur FortiGate dans des configurations précises. Le problème survient lorsque FortiGate traite les noms d’utilisateurs comme sensibles à la casse par défaut, alors que le répertoire LDAP ne l’est pas. Dans un contexte où des comptes locaux FortiGate avec 2FA sont mappés à LDAP, que ces mêmes utilisateurs appartiennent à des groupes LDAP, et qu’au moins un de ces groupes est configuré dans une politique d’authentification FortiGate, une connexion avec une variante de casse du nom (ex: « JSmith » au lieu de « jsmith ») ne correspond pas au compte local et déclenche une tentative d’authentification via les autres politiques. ...

Selon Have I Been Pwned (HIBP), une fuite de données concernant la compagnie aérienne russe Utair, révélée en août 2020, remonte à l’année précédente et a exposé un large volume d’informations personnelles. Les données compromises incluent plus de 400 000 adresses email uniques ainsi que des informations personnelles sensibles : noms, adresses postales, dates de naissance, numéros de passeport et détails de programmes de fidélité. L’annonce met l’accent sur l’ampleur de la fuite (plus de 400 000 enregistrements) et sur la nature particulièrement sensible des données exposées, notamment les identifiants officiels et les informations de fidélité client. ...

Source: Intrinsec — Dans un rapport partagé avec ses clients en janvier 2025, l’équipe CTI d’Intrinsec documente le profil « FLY » et ses liens avec la place de marché Russian Market, en s’appuyant sur des pivots techniques et des traces d’infrastructure. L’enquête met en avant la présence de « FLY » sur des canaux cybercriminels, notamment des forums et Telegram. Intrinsec souligne que, contrairement aux affirmations du site Russian Market, un acteur lié au marketplace a bien une activité publique. Sans confirmer que « FLY » est administrateur, le rapport établit des liens concrets avec la plateforme et rappelle que « FLY » fut le premier à promouvoir le marketplace sous le pseudonyme « FLYDED », ancien nom de Russian Market. ✳️ ...

Selon The Register, le ministère sud-coréen des Sciences et des TIC va imposer la vérification d’identité par reconnaissance faciale pour l’ouverture de nouvelles lignes mobiles, une mesure motivée par la recrudescence des escroqueries liées aux comptes téléphoniques créés avec des données volées. Concrètement, la mesure étend les contrôles existants (présentation de pièces d’identité en point de vente) en y ajoutant la vérification biométrique via les applications « PASS » des trois opérateurs (SK Telecom, LG Uplus, Korea Telecom), où les données faciales seront utilisées pour confirmer l’identité du client. Objectif affiché: rendre beaucoup plus difficile l’enregistrement d’un compte mobile à partir de données volées et freiner des arnaques comme le voice phishing. 📱🔐 ...