Posts

Selon Malwarebytes, la CISA a ajouté la vulnérabilité ASUS Live Update Embedded Malicious Code (CVE-2025-59374, CVSS 9.3) à son catalogue KEV, signalant une exploitation réelle et urgente. La faille concerne l’utilitaire ASUS Live Update, utilisé pour distribuer des mises à jour de firmware et logiciels sur les appareils ASUS. 🚨 Détails clés: la CISA indique que des appareils affectés peuvent être abusés pour exécuter des actions non prévues si certaines conditions sont réunies. Bien que le support d’ASUS Live Update soit désormais interrompu, la version finale prévue (3.6.15) continue de fournir des mises à jour, ce qui explique l’attribution d’un CVE et son ajout au KEV. ...

Selon une actualité multi-source, le gang de ransomware Clop (Cl0p) vise des serveurs Gladinet CentreStack exposés sur Internet dans le cadre d’une nouvelle campagne d’extorsion par vol de données. 🚨 Faits principaux Acteur : Clop (Cl0p) Type d’attaque : extorsion par vol de données (data theft extortion) Cible : serveurs Gladinet CentreStack exposés sur Internet Impact visé : exfiltration de fichiers et pression d’extorsion 1) Contexte Le groupe de ransomware Clop (Cl0p) lance une nouvelle campagne d’extorsion ciblant les serveurs Gladinet CentreStack exposés sur Internet. CentreStack est une solution de partage de fichiers permettant aux entreprises d’accéder à des serveurs internes via navigateur, applications mobiles ou lecteurs réseau, sans VPN. Selon Gladinet, la solution est utilisée par des milliers d’entreprises dans plus de 49 pays. 2) Nature de l’attaque Les attaquants : scannent Internet à la recherche de serveurs CentreStack accessibles publiquement compromettent les systèmes déposent des notes de rançon L’objectif principal semble être le vol de données suivi d’extorsion, et non le chiffrement classique. 3) Vulnérabilité exploitée : inconnue À ce stade : aucun CVE n’a été identifié il est inconnu s’il s’agit : d’un zero-day ou d’une faille déjà corrigée mais non patchée Gladinet a publié plusieurs correctifs depuis avril, certains pour des failles zero-day déjà exploitées dans le passé. 4) Surface d’attaque et exposition Selon Curated Intelligence : au moins 200 adresses IP uniques exposent une interface web identifiable comme “CentreStack – Login” Ces systèmes constituent des cibles potentielles immédiates pour Clop. « Incident Responders […] ont rencontré une nouvelle campagne d’extorsion CLOP ciblant des serveurs CentreStack exposés sur Internet. » — Curated Intelligence ...

Source: CNIL (19 décembre 2025). La CNIL annonce avoir sanctionné MOBIUS SOLUTIONS LTD, ex-sous-traitant de Deezer, à l’origine d’une violation de données notifiée en novembre 2022, pour plusieurs manquements au RGPD en matière de sous-traitance. ⚖️ Décision et contexte. Après des contrôles sur pièces en 2023 et 2024, la formation restreinte de la CNIL inflige une amende de 1 000 000 € et rend publique sa décision, au regard de la gravité des manquements, du nombre de personnes concernées et du chiffre d’affaires de la société. ...

Source : oss-sec (mailing list). Dans un post signé par “turistu” le 16 décembre 2025, un rapport technique décrit CVE-2025-14282 affectant le serveur SSH Dropbear en mode multi-utilisateur. • Problème principal : Dropbear exécute les redirections de sockets (TCP/UNIX) en tant que root durant l’authentification et avant le spawn du shell, ne basculant de manière permanente vers l’utilisateur connecté qu’ensuite. Avec l’ajout récent du forwarding vers des sockets de domaine UNIX (commit 1d5f63c), un utilisateur SSH authentifié peut se connecter à n’importe quel socket UNIX avec les identifiants root, contournant les permissions du système de fichiers et les contrôles SO_PEERCRED / SO_PASSCRED. ...

Selon ZDNET (publié le 19/12/2025), un couple de Dompierre-sur-Mer, près de La Rochelle, a été agressé par un commando qui l’a séquestré et contraint à transférer l’équivalent de huit millions d’euros en cryptomonnaies, un fait divers qui s’inscrit dans une série d’attaques similaires visant l’écosystème crypto en France. • Les faits principaux 🔒💰 — Type d’attaque : séquestration et extorsion avec violence à domicile par trois agresseurs cagoulés, à l’aube (vers 5h). — Victimes : un investisseur en cryptomonnaies et sa compagne, ligotés et battus pendant près de deux heures. — Impact : transfert forcé d’environ 8 M€ depuis un portefeuille de cryptomonnaies. — Après le transfert, les agresseurs ont pris la fuite ; l’homme a été hospitalisé (pronostic vital non engagé). ...

Selon Futurism, s’appuyant sur une enquête de 404 Media, un hacker a compromis le backend de la startup d’IA Doublespeed, soutenue par Andreessen Horowitz, qui vend l’accès à un vaste réseau de « phone farms » pour exploiter des comptes de réseaux sociaux à grande échelle. L’intrusion a touché l’« entier backend » de gestion du phone farm, offrant une visibilité sur les téléphones utilisés, les ordinateurs « managers » qui les contrôlent, les comptes TikTok associés, les proxys et leurs mots de passe, les tâches en attente, ainsi que des liens permettant de prendre le contrôle des appareils. ⚠️ Type d’incident : piratage/compromission du backend. ...

Selon The Register (Connor Jones, 19 décembre 2025), des actes d’accusation fédéraux aux États-Unis visent des membres présumés du gang vénézuélien Tren de Aragua (TdA) pour une série d’attaques de jackpotting d’ATM impliquant une variante du malware Ploutus. • Deux inculpations ont été rendues au Nebraska, visant au total 54 membres présumés de TdA pour des attaques de jackpotting d’ATM à travers le pays 🏧. Les documents judiciaires décrivent des déplacements en groupe pour cibler des distributeurs gérés par certaines banques et coopératives de crédit, avec inspection des dispositifs de sécurité externes avant l’ouverture de la porte de l’ATM et vérification d’éventuelles alarmes. ...

Selon franceinfo avec AFP (France Télévisions), le ministère des Sports, de la Jeunesse et de la Vie associative a annoncé le 19 décembre 2025 avoir été victime d’une exfiltration de données dans l’un de ses systèmes d’information. Le ministère indique que 3,5 millions de foyers sont concernés. Les personnes impactées seront informées « dans les meilleurs délais » et recevront des recommandations et consignes de sécurité. L’origine de la cyberattaque n’est pas mentionnée. 🔔 ...

Selon Security Affairs, des chercheurs de Riot Games ont révélé une vulnérabilité UEFI affectant certains modèles de cartes mères ASRock, ASUS, GIGABYTE et MSI, confirmée par un avis du CERT/CC, qui permet des attaques DMA en phase très précoce du démarrage malgré des protections censées actives. Le problème réside dans une mauvaise initialisation de l’IOMMU au démarrage: le firmware déclare à tort que la protection DMA est active alors que l’IOMMU n’est pas correctement activée. Cette fenêtre permet à un périphérique PCIe malveillant ayant un accès physique de lire/modifier la mémoire avant le chargement des défenses de l’OS, ouvrant la voie à une injection de code pré-boot et à l’exposition de données sensibles. ...

Selon ComputerWorld (adapté par Jean Elyan), un ferry français a été immobilisé à Sète après la découverte d’un boîtier Raspberry Pi relié au réseau local et couplé à un modem cellulaire, permettant un accès à distance; l’incident a été contenu grâce à la séparation des réseaux administratifs et opérationnels et à l’absence d’accès distant aux commandes critiques. Des analystes soulignent le risque d’« implants » physiques créant un nouveau périmètre interne via la 4G/5G, contournant pare-feux et VPN. Ils alertent que nombre d’entreprises laissent des ports Ethernet actifs accessibles (halls, salles de réunion, couloirs) et recommandent de les désactiver par défaut, de n’autoriser l’activation qu’avec authentification 802.1X et de recourir à des outils de NAC et de fingerprinting physique (ex. Sepio) pour contrer l’usurpation d’adresse MAC se faisant passer pour des téléphones VoIP ou imprimantes. ...