Posts

Source: Blog officiel de la société Salesforce. Contexte: article didactique d’Eoghan Casey présentant une méthodologie pour enquêter sur des incidents de sécurité dans des environnements Salesforce. L’article détaille trois piliers pour l’investigation: logs d’activité, permissions utilisateurs et données de sauvegarde. Les logs répondent au qui/quoi/où/quand/comment, les permissions déterminent l’étendue d’accès et d’export, et les sauvegardes permettent d’évaluer l’impact sur les données et de restaurer l’intégrité. Des exemples incluent la Login History, le Setup Audit Trail, et pour une visibilité avancée, Shield Event Monitoring (API, exports de rapports, téléchargements de fichiers), ainsi que des journaux additionnels pour B2C Commerce Cloud. ...

Selon Bridewell, la Cour générale de l’Union européenne a confirmé la validité du Data Privacy Framework (DPF) UE–États-Unis, préservant une voie légale pour transférer des données personnelles depuis l’UE vers des organisations américaines certifiées. L’analyse souligne que cette décision apporte une certitude à court terme aux entreprises, mais rappelle l’historique de contestations de cadres similaires, incitant à ne pas se reposer exclusivement sur le DPF. Elle recommande de mettre en place des mécanismes de transfert alternatifs comme les Clauses Contractuelles Types (SCCs) en solution de secours, de réaliser des Transfer Impact Assessments (TIAs) ou Transfer Risk Assessments (TRAs), et d’assurer une veille réglementaire continue pour maintenir la conformité et la continuité d’activité. ...

Selon BleepingComputer, le Département de la Justice des États-Unis (DOJ) a déposé une plainte contre le fabricant de jouets Apitor Technology, l’accusant d’avoir permis à un tiers chinois de collecter des données de géolocalisation d’enfants sans leur connaissance ni l’accord de leurs parents. ⚖️ Nature de l’affaire: le DOJ engage une action en justice contre Apitor pour des allégations de collecte non autorisée de données. 📍 Données concernées: données de géolocalisation d’enfants, collectées par un tiers chinois. ...

Contexte: Selon BleepingComputer, l’équipe Threat Research Unit (TRU) d’Acronis met en avant l’usage de la géolocalisation comme vecteur d’attaque discret, des cas emblématiques comme Stuxnet jusqu’aux APTs actuelles. L’article souligne que la géolocalisation devient un vecteur d’attaque invisible 📍: des malwares peuvent rester dormants et ne s’activer que lorsqu’ils atteignent le lieu ciblé. Cette approche transforme les données de localisation en arme, permettant aux attaquants de déclencher leurs charges utiles uniquement au « bon endroit », rendant les détections plus difficiles. ...

Source: Netskope — Dans une analyse technique, Netskope explore des attaques visant le Model Context Protocol (MCP) utilisé dans les déploiements de LLM, en montrant comment des adversaires peuvent manipuler le comportement des modèles sans intervention directe de l’utilisateur. L’étude présente deux vecteurs majeurs: injection de prompt via les définitions d’outils et cross-server tool shadowing. Ces attaques exploitent le fait que les LLM traitent les métadonnées d’outils comme des instructions de système de confiance, permettant d’induire des actions non autorisées de manière invisible pour l’utilisateur. ...

Selon Huntress (blog), des chercheurs ont identifié un nouveau variant de ransomware, nommé ‘Obscura’, qui exploite les partages NETLOGON des contrôleurs de domaine pour une distribution automatique à l’échelle des réseaux d’entreprise. Ce variant s’inscrit dans une tendance d’émergence de nouvelles souches après les perturbations récentes des opérations de ransomware établies. Points techniques clés 🔍 Langage/plateforme : binaire compilé en Go ; vérifie la présence de privilèges administrateur avant exécution ; comportement modulé via la variable d’environnement DAEMON. Chiffrement : échange de clés Curve25519 avec XChaCha20 ; ajoute un pied de page de 64 octets contenant la signature ‘OBSCURA!’, la clé publique et le nonce ; conserve la fonctionnalité système en excluant 15 extensions de fichiers. Évasion/désactivation : termine 120 processus prédéfinis visant notamment des outils de sécurité et des bases de données ; supprime les copies d’ombre (VSS). Propagation : mise en place de tâches planifiées exécutées depuis les partages NETLOGON des contrôleurs de domaine 🖥️. Impact et portée 🔐 ...

Selon Clubic, s’appuyant sur une enquête de 404 Media, TikTok Shop héberge des vendeurs de traqueurs GPS ressemblant à des AirTags, promus explicitement pour l’espionnage conjugal et la surveillance secrète. Des vidéos virales (plusieurs millions de vues) encouragent à « coller » ces dispositifs sur la voiture d’un partenaire, en présentant les traqueurs comme indétectables et offrant une surveillance mondiale via carte SIM intégrée. Les métriques de TikTok Shop indiquent des ventes importantes : l’un des modèles dépasse 32 500 unités, un autre approche 100 000. Des commentaires rapportent des usages abusifs (pose sur des voitures de femmes à la salle de sport), parfois validés par des réponses désinvoltes des vendeurs. ...

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

Source: Help Net Security (Zeljka Zorz), article du 2 septembre 2025. Contexte: la plateforme Salesloft (et son agent IA Drift) a subi une compromission d’intégrations OAuth, avec des impacts en chaîne sur Salesforce et Google Workspace. — Ce qui s’est passé Des attaquants ont utilisé des jetons OAuth compromis pour l’intégration Drift–Salesforce entre le 8 et le 18 août 2025 afin d’exfiltrer des données de certaines instances clients Salesforce. Le 28 août, le Google Threat Intelligence Group (GTIG) a confirmé la compromission de jetons OAuth pour l’intégration “Drift Email”. Le 9 août, un acteur a utilisé ces jetons pour accéder aux emails d’un très petit nombre de comptes Google Workspace. — Impact et cibles ...

Selon BleepingComputer, Workiva, fournisseur SaaS cloud, a averti ses clients que des attaquants ayant obtenu un accès à un système de gestion de la relation client (CRM) tiers ont dérobé certaines de leurs données. ⚠️ Faits clés Type d’incident : accès non autorisé via un prestataire tiers (CRM) Impact : vol de certaines données clients Acteur/Surface affectée : clients de Workiva via un CRM externe Portée et éléments concernés Écosystème touché : SaaS Workiva en lien avec un CRM tiers. Détails opérationnels (fournisseur précis, volume de données, chronologie) : non communiqués dans l’extrait. IOCs et TTPs ...