Posts

Selon Cloudflare (blog), un incident de disponibilité le 5 décembre 2025 a provoqué des erreurs HTTP 500 durant ~25 minutes, sans cyberattaque, lors d’un changement de configuration du WAF effectué pour protéger contre la vulnérabilité critique CVE-2025-55182 affectant React Server Components. Impact: ~28 % du trafic HTTP servi par Cloudflare touché entre 08:47 et 09:12 UTC. Les clients impactés étaient ceux dont le trafic passait par l’ancien proxy FL1 avec les Cloudflare Managed Rulesets activés; presque toutes les requêtes renvoyaient HTTP 500, à l’exception de quelques endpoints de test (ex.: /cdn-cgi/trace). Le réseau Chine n’a pas été impacté. ⏱️ ...

Selon WIRED (Andy Greenberg), Nicholas Merrill — connu pour avoir combattu un National Security Letter du FBI — lance Phreeli, un opérateur mobile virtuel (MVNO) aux États-Unis qui promet un niveau d’anonymat inédit pour la téléphonie mobile. Phreeli vise l’anonymat plutôt que la simple confidentialité du contenu: l’inscription ne requiert qu’un code postal (exigence fiscale minimale), séparant l’identité de l’activité réseau. Contrairement aux messageries chiffrées (Signal, WhatsApp) centrées sur le contenu et parfois la métadonnée, Phreeli minimise les données client afin de ne rien pouvoir livrer aux autorités ou aux courtiers de données. ...

Selon Proton, l’entreprise genevoise lance Proton Sheets, une nouvelle fonctionnalité intégrée à Proton Drive, présentée comme une alternative plus confidentielle aux solutions de Google et Microsoft. L’outil s’appuie sur le chiffrement de bout en bout et se veut sécurisé par défaut, sans collecte ni utilisation des données à des fins publicitaires ni d’entraînement de modèles d’IA. 🔐 Côté usage, Proton Sheets propose un tableur en ligne standard avec collaboration en temps réel, graphiques, formules intégrées, import/export CSV et XLS, gestion des droits d’accès et collaboration à distance depuis n’importe quel appareil. L’interface se veut familière pour faciliter la transition depuis d’autres tableurs. ...

Source: dépôt public de l’auteur; contexte: la publication intervient après la circulation de PoC publics et l’usage d’une variante par l’outil de scanning de Google. Le dépôt annonce la mise en ligne de trois PoC pour React2Shell (CVE-2025-55182): 00-very-first-rce-poc (premier PoC RCE, fonctionne directement sur des builds de développement de Next.js utilisant Webpack), 01-submitted-poc.js (le principal, exactement celui soumis à Meta, plus simple et efficace), et 02-meow-rce-poc (PoC haché et publié comme preuve par « Sylvie » le 29 novembre, peu avant la divulgation initiale à Meta). ...

Billet de blog technique signé par William Beasley (mis à jour le 2 décembre 2025), présentant deux outils de Raspberry Pi — rpi-image-gen et rpi-sb-provisioner — visant à passer du prototype à un système de production reproductible et sécurisé. • rpi-image-gen: l’outil assemble des images Linux Debian via mmdebstrap en combinant des profils descriptifs, des « image layouts » et des fichiers de configuration YAML. Il privilégie les binaires précompilés pour accélérer les builds (quelques minutes) et simplifier la maintenance, tout en permettant des paquets sur mesure (ex. noyau custom en amont). Une fois le système de fichiers finalisé, Syft génère une SBOM pour l’audit de sécurité et l’alimentation d’outils externes de scan CVE. Les couches définissent paquets/commandes et variables (avec validation regex) afin d’éviter les mauvaises configurations. ...

Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM baptisée Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 août 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgé, d’exécuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piégées de packages Nx ont alors été publiées. En septembre, CISA et plusieurs éditeurs ont constaté une infection de chaîne d’approvisionnement plus large : le ver Shai‑Hulud se réplique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dépôts GitHub privés et se copie dans d’autres packages. ...

Selon Courrier international, citant le quotidien thaïlandais Khaosod, les autorités thaïlandaises ont annoncé une vaste opération contre des centres d’arnaques en ligne actifs dans les zones frontalières avec le Cambodge, avec à la clé une saisie record d’actifs. 🚔 Les perquisitions, menées dans une cinquantaine de localités, ont permis de saisir environ 10 milliards de bahts (270 M€) sous forme de yachts de luxe, véhicules haut de gamme, terrains et comptes bancaires. L’opération a ciblé des ressortissants thaïlandais soupçonnés de collaboration avec des organisations criminelles basées au Cambodge. ...

Selon Help Net Security, des chercheurs de Malanta décrivent une opération de longue durée qui combine jeux d’argent illicites, distribution de malwares et détournement d’infrastructures légitimes pour fournir une infrastructure de commande et contrôle (C2) et des services d’anonymat. L’opération, en activité depuis au moins 14 ans, cible notamment des internautes en Indonésie et exploite des sous-domaines d’entités gouvernementales et d’entreprises. L’ampleur est majeure: 328 039 domaines au total, dont 236 433 domaines achetés, 90 125 sites piratés et 1 481 sous-domaines détournés. Les chercheurs relient également des milliers d’applications Android malveillantes, 38 comptes GitHub hébergeant des web-shells, modèles et artefacts de staging, ainsi que 500+ domaines typosquattés se faisant passer pour des organisations populaires. ...

Source citée : Juge fédérale américaine Ona Wang. Contexte : litige pour droit d’auteur opposant le New York Times à OpenAI devant un tribunal fédéral à Manhattan, portant notamment sur la production de journaux de discussion d’utilisateurs de ChatGPT. La décision. La juge Ona Wang a rejeté les objections d’OpenAI relatives à la confidentialité et ordonné la remise de 20 millions de conversations ChatGPT, jugées pertinentes pour les revendications des médias. Elle souligne l’existence de plusieurs niveaux de protection et d’une « dépersonnalisation exhaustive » pour atténuer les risques liés à la vie privée. OpenAI doit produire ces journaux dans un délai de sept jours après suppression des informations identifiantes, la juge estimant que cette remise ne porte pas atteinte à la vie privée des utilisateurs. ...

Selon Howler Cell Research Team, une enquête a mis au jour une chaîne multi‑infection liée à un botnet, au centre de laquelle un étudiant bangladais vend l’accès à des sites compromis (surtout WordPress et cPanel) à des acheteurs principalement basés en Asie, via Telegram et paiements en cryptomonnaie. Principaux constats 🔎 Webshell PHP ‘Beima’: totalement indétecté par des outils modernes, y compris VirusTotal (depuis mai 2024). Marché: plus de 5 200 sites compromis listés à la vente sur Telegram; .EDU/.GOV ~200 $ contre 3–4 $ pour d’autres sites; 76% des cibles seraient gouvernement/éducation. Origine/acheteurs: vendeur étudiant au Bangladesh; acheteurs surtout Chine, Indonésie, Malaisie; focus pays: Inde, Indonésie (aussi Brésil, Thaïlande, États‑Unis). Accès initial: mauvaise configuration WordPress et cPanel; diffusion via un panneau de botnet. Détails techniques du webshell 🐚 ...