Posts

Source : Schneier on Security. Dans ce billet, Bruce Schneier propose une analyse de la « modélisation des menaces » appliquée à un contexte techno‑autoritaire aux États‑Unis, à la lumière d’actions gouvernementales récentes (DOGE, Palantir, ICE) et de l’utilisation croissante de données personnelles à des fins de surveillance et de poursuites. L’article explique la modélisation des menaces comme un cadre pour évaluer risques, protections et coûts, et souligne un glissement du risque perçu : de la seule surveillance commerciale vers la surveillance gouvernementale et la possible instrumentalisation des données personnelles. ...

Selon OpenSSL (Security Advisory du 30 septembre 2025), trois vulnérabilités ont été divulguées avec leurs correctifs et versions affectées. L’avis couvre des impacts potentiels de déni de service, corruption mémoire et récupération de clé privée, ainsi que les versions corrigées recommandées. • CVE-2025-9230 — Lecture/écriture hors limites dans le déballage RFC 3211 KEK (CMS PWRI) Sévérité: Modérée. Résumé: Une application qui tente de déchiffrer des messages CMS chiffrés avec un mot de passe (PWRI) peut provoquer une lecture et écriture hors limites, causant crash (DoS) ou corruption mémoire pouvant aller jusqu’à l’exécution de code. Contexte: L’exploitation est jugée probable faible et PWRI est très rarement utilisé. Portée: OpenSSL 3.5, 3.4, 3.3, 3.2, 3.0, 1.1.1, 1.0.2 vulnérables. Les modules FIPS (3.5 à 3.0) ne sont pas affectés (CMS hors périmètre FIPS). Versions corrigées: 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18; 1.1.1zd et 1.0.2zm (clients support premium). Crédits: Signalé par Stanislav Fort (Aisle Research); correctif par Stanislav Fort et Viktor Dukhovni. • CVE-2025-9231 — Canal auxiliaire temporel dans l’algorithme SM2 sur ARM 64 bits 🕒 ...

Selon Hunt.io, APT SideWinder a conduit “Operation SouthNet”, une campagne de phishing et credential harvesting visant cinq pays d’Asie du Sud (Bangladesh, Népal, Myanmar, Pakistan, Sri Lanka), avec un rythme soutenu de nouveaux domaines malveillants toutes les 3 à 5 journées entre mai et septembre 2025. 🎯 Ciblage et ampleur Pakistan: environ 40% des domaines ciblés, avec un accent sur les secteurs maritime, aérospatial et télécom. Usurpation de portails gouvernementaux, d’organisations défense et maritimes. Déploiement de 12+ documents piégés, répertoires ouverts exposant des échantillons de malware, et réutilisation d’infrastructures C2 de campagnes SideWinder antérieures. 🧪 Infrastructure et vecteurs ...

Source: 24heures.ch (Marc Renfer), 03.10.2025 — Article relatant l’attaque subie par la PME vaudoise Bugnard SA et ses conséquences opérationnelles. • Le 24 septembre vers 17h30, Bugnard SA (Cheseaux-sur-Lausanne, succursales Genève et Zurich), leader romand de matériel pour électriciens dont 72% des ventes sont en ligne, est frappée par une attaque au rançongiciel Akira. Un fichier de demande de rançon de 450 000 dollars en bitcoins est découvert dès le lendemain; les pirates abaissent ensuite leur exigence à 250 000 puis 200 000 dollars. 🪙 ...

Selon Seqrite (blog sécurité de Quick Heal), cette analyse décrit des campagnes de rançongiciel qui abusent d’outils d’accès à distance légitimes afin de s’infiltrer, rester furtifs et déployer la charge utile au sein d’environnements d’entreprise. • Les acteurs exploitent des RAT légitimes (AnyDesk, UltraViewer, RustDesk, Splashtop) souvent signés et whitelistés, ce qui leur permet de se fondre dans les opérations IT. L’étude retrace une kill chain en 7 étapes: (1) Accès initial via compromission d’identifiants avec séquence d’événements Windows 4625→4624; (2) Déploiement silencieux des outils (flags comme /VERYSILENT et /S); (3) Persistance via clés de registre (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), tâches planifiées, et élévation SYSTEM (ex. PowerRun); (4) Neutralisation de l’antivirus par arrêt de services (sc stop, net stop), manipulation de politiques et purge de logs (wevtutil cl); (5) Livraison de la charge utile via les canaux RAT; (6) Mouvement latéral par réutilisation d’identifiants et propagation des RAT; (7) Impact par chiffrement et verrouillage des systèmes. ...

Selon BleepingComputer (Lawrence Abrams), un groupe d’extorsion nommé « Crimson Collective » revendique l’intrusion dans les dépôts GitHub privés de Red Hat et le vol d’environ 570 Go de données compressées couvrant 28 000 projets internes. Red Hat confirme un incident de sécurité lié à son activité de consulting, tout en indiquant n’avoir « aucune raison de croire » que ses autres services ou produits sont affectés et se dire « très confiant » dans l’intégrité de sa chaîne d’approvisionnement logicielle. ...

BleepingComputer rapporte qu’au Royaume-Uni, des clients de Renault et Dacia ont été informés d’une compromission de leurs données après une fuite de données survenue chez un prestataire tiers. Les clients de Renault et Dacia au Royaume-Uni ont été informés qu’une cyberattaque visant un prestataire tiers a compromis certaines données sensibles[translate:personnelles] partagées avec le constructeur automobile. Les informations exposées incluent les noms complets, genre, numéros de téléphone, adresses email et postales, ainsi que les numéros d’identification et d’enregistrement des véhicules. Aucune donnée bancaire ou financière n’a été affectée. ...

Selon BleepingComputer, un groupe d’extorsion a mis en ligne un nouveau site de fuites destiné à exercer une pression publique sur des dizaines d’entreprises affectées par une vague de brèches liées à Salesforce. Un groupe d’extorsion connu sous le nom de Scattered Lapsus$ Hunters, qui regroupe des membres des groupes ShinyHunters, Scattered Spider et Lapsus$, a lancé un nouveau site de fuite de données pour extorquer publiquement des dizaines d’entreprises victimes d’attaques sur leurs instances Salesforce. Le site contient des échantillons de données volées à 39 entreprises célèbres telles que FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, McDonald’s, Adidas ou encore IKEA. ...

Selon Trellix Advanced Research Center, XWorm V6.0 — un RAT modulaire apparu en 2022 et réputé abandonné en 2024 — est de nouveau actif dans des campagnes récentes, avec un large éventail de plugins et des techniques d’évasion et de persistance renforcées. • Portée et capacités: XWorm v6 embarque plus de 35 plugins couvrant le vol de données, le ransomware, le contrôle à distance (RDP/screen capture), la collecte d’identifiants et un contournement de sécurité Chrome v20. L’architecture modulaire charge des DLL en mémoire, avec communication C2 chiffrée (AES) et mécanismes anti-analyse hérités en partie de NoCry Ransomware. 🧩 ...

Selon CYFIRMA, un nouveau ransomware baptisé Yurei a été observé pour la première fois en septembre 2025, avec des victimes dans le secteur agroalimentaire au Sri Lanka. Le malware, écrit en Go, cible les systèmes Windows et opère une double extorsion via des canaux de négociation .onion sur Tor. L’analyse suggère des similarités structurelles avec le projet Prince-Ransomware et des artefacts de compilation liés à un environnement « SatanLockerV2 ». ...