Posts

Source: numerique.gouv.fr (Espace presse, DINUM) — Le ministre délégué David Amiel annonce la généralisation de « Visio » comme outil unique de visioconférence pour les agents de l’État, afin d’assurer la souveraineté et la sécurité des communications publiques. Objectif et calendrier. Le déploiement vise à mettre fin à l’usage de solutions extra‑européennes (ex. Teams, Zoom, GoTo Meeting, Webex) et à unifier les outils au sein de l’État d’ici 2027, pour renforcer la sécurité des données, réduire les dépendances stratégiques, limiter les surcoûts et faciliter la coopération inter‑ministérielle. ...

Selon L’Équipe (avec AFP), la Fédération française de golf (FFG) a annoncé avoir été victime d’une cyberattaque ayant conduit au vol de certaines données de ses adhérents. L’instance indique que les données bancaires et les mots de passe ne sont pas concernés. Elle compte environ 450 000 membres et a déposé plainte. Le nombre précis de personnes affectées n’est pas communiqué à ce stade. Un compte X spécialisé en sécurité affirme que des dirigeants d’entreprise figureraient parmi les victimes. La FFG ne confirme ni n’infirme cette information. Le DTN, Christophe Muniesa, mentionne que certaines personnalités demandent à ce que leurs données personnelles n’apparaissent pas dans les fichiers et rappelle l’existence d’un dispositif de « liste rouge » permettant une anonymisation totale des licenciés qui le souhaitent. Il précise ne pas disposer d’une liste exhaustive des personnalités potentiellement concernées. ...

Selon The New York Times, le Pentagone a intégré des effets cyber aux opérations militaires, notamment au Venezuela début janvier, où des cyberopérations auraient coupé l’alimentation électrique, désactivé des radars et perturbé les radios pour faciliter une intrusion américaine, et lors de frappes contre des installations nucléaires iraniennes l’an dernier. — Contexte et faits principaux Utilisation de cyberarmes au Venezuela: coupure de courant, mise hors ligne de radars et perturbation des radios portatives via l’arrêt de tours de transmission, afin de masquer l’entrée de forces américaines visant la capture de Nicolás Maduro. Cette approche illustre l’intégration cyber/kinétique voulue par le Pentagone pour « superposer plusieurs effets » sur le champ de bataille, dégrader le commandement et contrôle (C2) adverse et ouvrir des « fenêtres d’opportunité » pour les forces conventionnelles. Des essais similaires d’intégration auraient eu lieu lors de frappes sur des installations nucléaires iraniennes l’année précédente. — Débat et portée ...

Source: Malware Analysis Space (blog de Seeker/李标明). Contexte: notes de recherche publiées le 28 janvier 2026, centrées sur une revisite technique de MoonBounce et ses mécanismes d’inline hooking au cœur du DXE Core, en s’appuyant sur les rapports de Kaspersky et Binarly. L’auteur rappelle que MoonBounce est un implant firmware UEFI associé à APT41 (Winnti) et se concentre sur le binaire CORE_DXE (DXE Core/Foundation). L’étude met en évidence que l’implant ne se contente pas d’un driver séparé mais patch le code exécutable du DXE Core, installant des hooks inline très précoces qui s’exécutent « sous » l’ensemble des drivers DXE. ...

Selon Reuters, BleepingComputer et The Register, Nike enquête sur une possible intrusion après qu’un groupe nommé World Leaks a revendiqué l’exfiltration d’environ 1,4 To de fichiers internes et publié brièvement des éléments avant de les retirer. Le groupe affirme avoir volé près de 1,4 To (environ 190 000 documents) et en a diffusé une partie sur un site de leaks avant un retrait rapide. Nike indique enquêter sans confirmer la réalité du vol ni l’authenticité des fichiers publiés. ...

Selon un billet de blog publié par Daniel Tofan (Blog de Daniel Tofan, 26 janvier 2026), une fausse offre freelance sur LinkedIn l’a conduit vers un dépôt GitLab contenant une application Node.js trojanisée, conçue pour déployer un malware via les hooks du cycle de vie npm. L’attaque s’appuie sur un hook npm postinstall dans package.json qui lance automatiquement l’application et, avec elle, la charge malveillante. Un loader obfusqué dissimulé en fin de fichier (server/controllers/userController.js) décode des variables d’environnement en Base64, récupère un payload distant hébergé sur jsonkeeper.com et l’exécute dynamiquement via Function.constructor. La configuration (server/config/.config.env) encode l’URL du payload et des en-têtes HTTP dédiés. ...

Selon l’annonce du projet OpenMalleableC2, cette bibliothèque open source implémente le format de profil Malleable C2 de Cobalt Strike pour transformer et transporter des données sur HTTP de manière flexible et transparente. Le projet vise à combler les limites de personnalisation du trafic HTTP observées dans des frameworks C2 open source existants (comme Mythic, Havoc, Adaptix) en permettant la réutilisation directe des profils Malleable C2 et de l’écosystème associé. Il se présente comme « framework-agnostic » afin de s’intégrer à divers outils de recherche et d’équipes rouges. 🛠️ ...

Selon Security Affairs, la Shadowserver Foundation a identifié plus de 6 000 serveurs SmarterMail exposés en ligne et probablement vulnérables à la faille critique CVE-2026-23760, tandis que CISA l’a intégrée à son catalogue KEV, confirmant des tentatives d’exploitation en cours. • La vulnérabilité CVE-2026-23760 concerne les versions de SmarterTools SmarterMail antérieures au build 9511 et réside dans l’API de réinitialisation de mot de passe. L’endpoint « force-reset-password » accepte des requêtes anonymes et ne vérifie ni l’ancien mot de passe ni un jeton de réinitialisation lors de la réinitialisation des comptes administrateurs. Cette faiblesse entraîne une bypass d’authentification permettant la compromission totale de l’instance SmarterMail. ...

Source: The Register — Le média relate des allégations selon lesquelles le groupe étatique chinois présumé « Salt Typhoon » aurait mené une opération d’espionnage prolongée visant les téléphones d’aides de Boris Johnson, Liz Truss et Rishi Sunak, en s’appuyant sur des compromissions d’opérateurs télécoms. Selon des sources renseignées citées, l’accès remonterait à 2021 et irait « au cœur de Downing Street ». La méthode attribuée à Salt Typhoon consiste à pénétrer les réseaux d’opérateurs télécoms pour aspirer métadonnées et communications sans déployer de logiciel sur les terminaux. Même sans contenu complet, les journaux d’appels et données de localisation suffiraient à cartographier les interactions sensibles. Il n’est pas établi si les appareils des premiers ministres eux-mêmes ont été directement touchés. ...

Source et contexte: Proofpoint (Threat Insight) publie une analyse détaillée de l’activité 2025 de TA584, un broker d’accès initial (IAB) très actif, montrant une forte hausse du rythme opérationnel, des chaînes d’attaque en constante évolution et la livraison d’un nouveau malware, Tsundere Bot. Le groupe présente un chevauchement avec Storm-0900. • Activité et cadence: En 2025, TA584 a triplé ses campagnes mensuelles (mars → décembre), privilégiant des opérations courtes et à fort turnover (heures à jours), avec des thèmes, marques et pages d’atterrissage fréquemment renouvelés. Cette variabilité soutenue vise à contourner les détections statiques et illustre une adaptation continue face à la pression défensive. ...