Exfiltration De Données

Selon une publication de recherche référencée sur embracethered.com, une vulnérabilité à haute sévérité a été identifiée et corrigée dans Claude Code d’Anthropic, exposant les utilisateurs à un détournement de l’assistant et à l’exfiltration de données. — L’essentiel: l’attaque repose sur une injection indirecte de prompts capable de forcer Claude Code à exfiltrer des informations sensibles depuis les machines des développeurs. Elle abuse d’une allowlist de commandes bash (notamment ping, nslookup, dig, host) ne nécessitant pas d’approbation utilisateur et encode les données volées dans des requêtes DNS vers des serveurs contrôlés par l’attaquant. Anthropic a reçu la divulgation de manière responsable et a corrigé la vulnérabilité. 💡🔒 ...

Selon Security Info (securityinfo.it), des chercheurs de SafeBreach ont mis au jour une vulnérabilité dans Google Calendar qui permettait de compromettre à distance l’assistant Gemini de Google en exploitant un simple invité à un événement. 🐞 La faille permettait à un attaquant de cibler l’assistant Gemini (LLM de Google) via un invitation Google Calendar. Une fois exploitée, elle autorisait l’exfiltration de données personnelles, le contrôle d’appareils smart home 🏠 et même le lancement d’applications sur le smartphone de la victime 📱. ...

Selon Specops Software, plusieurs organisations de premier plan, dont Chanel, Google, Air France et KLM, ont subi des fuites de données via des plateformes CRM tierces, principalement des instances Salesforce. Les attaquants ont mené une campagne de vishing et d’ingénierie sociale ciblant les équipes de help desk, obtenant des accès OAuth/connected-app pour exfiltrer des enregistrements de service client. Les données compromises comprennent des noms, coordonnées, identifiants de fidélité et des correspondances de service. L’accès non autorisé a été obtenu par abus d’autorisations excessives accordées à des tiers et par des contrôles d’authentification jugés faibles, facilitant l’exploitation des environnements Salesforce ciblés. ...

Contexte: Arctic Wolf publie une analyse des tendances actuelles des campagnes de ransomware et d’extorsion, mettant en lumière la généralisation de l’exfiltration de données et des schémas de multi‑extorsion. L’étude souligne que 96% des cas de ransomware incluent désormais l’exfiltration de données. Les acteurs adoptent des modèles de double, triple et quadruple extorsion combinant vol de données, menaces de divulgation publique et harcèlement ciblé. Les secteurs santé, éducation, gouvernement et manufacturier sont signalés comme particulièrement vulnérables. Les approches classiques de sauvegarde/restauration ne suffisent plus lorsque des données volées servent à une extorsion continue. ...

Bleeping Computer rapporte une vulnérabilité critique dans l’outil de ligne de commande Gemini de Google. Cette faille permet à des attaquants d’exécuter silencieusement des commandes malveillantes et d’exfiltrer des données depuis les ordinateurs des développeurs en utilisant des programmes autorisés. Une vulnérabilité dans Gemini CLI, l’outil en ligne de commande de Google permettant d’interagir avec l’IA Gemini, a permis à des attaquants d’exécuter du code malveillant à l’insu des développeurs. Découverte par l’entreprise de sécurité Tracebit le 27 juin 2025, la faille a été corrigée dans la version 0.1.14 publiée le 25 juillet. Gemini CLI, lancé fin juin, facilite les tâches de développement en intégrant des fichiers projets dans son contexte et en exécutant des commandes locales, parfois sans confirmation de l’utilisateur. ...

Aim Labs a récemment découvert une vulnérabilité critique appelée ‘EchoLeak’ dans Microsoft 365 (M365) Copilot. Cette faille permet à des attaquants d’exploiter des chaînes d’attaque pour extraire automatiquement des informations sensibles du contexte de M365 Copilot, sans que l’utilisateur en soit conscient. La technique d’exploitation, nommée ‘LLM Scope Violation’, représente une avancée majeure dans la recherche sur les attaques contre les agents d’IA, en exploitant les mécanismes internes des modèles. Cela pourrait avoir des manifestations supplémentaires dans d’autres chatbots et agents basés sur RAG. ...

Selon un article de BleepingComputer, une nouvelle méthode d’attaque appelée ‘SmartAttack’ a été découverte, exploitant les montres connectées pour compromettre des systèmes informatiques isolés physiquement (air-gapped). Cette attaque innovante utilise les capacités de réception de signaux ultrasoniques des montres pour exfiltrer des données sensibles. Les systèmes air-gapped sont généralement considérés comme hautement sécurisés car ils ne sont pas connectés à Internet ou à d’autres réseaux. Cependant, ‘SmartAttack’ démontre que même ces systèmes peuvent être vulnérables à des méthodes d’exfiltration non conventionnelles. ...

L’article publié par Trend Research met en lumière les activités du groupe APT nommé Earth Lamia, connu pour exploiter des vulnérabilités dans les applications web afin d’accéder aux organisations ciblées. Depuis 2023, Earth Lamia a principalement visé des organisations situées au Brésil, en Inde et en Asie du Sud-Est. Initialement concentré sur les services financiers, le groupe a élargi ses cibles aux secteurs de la logistique, du commerce en ligne, et plus récemment aux entreprises IT, aux universités et aux organisations gouvernementales. ...

Selon un rapport de Trend Research, Earth Lamia est un acteur de menace APT qui exploite des vulnérabilités dans les applications web pour accéder aux organisations, notamment en Asie du Sud-Est, en Inde et au Brésil. Depuis 2023, ce groupe a évolué dans ses cibles, passant des services financiers à la logistique, au commerce en ligne, et plus récemment aux entreprises IT, aux universités et aux organisations gouvernementales. Earth Lamia utilise des techniques de détection et d’exfiltration de données sophistiquées, développant et personnalisant des outils de piratage pour éviter la détection, tels que PULSEPACK et BypassBoss. Le groupe exploite principalement les vulnérabilités SQL des applications web pour accéder aux serveurs SQL des organisations ciblées. ...

L’article publié par Sophos MDR relate une attaque ciblée impliquant un fournisseur de services gérés (MSP). Un acteur malveillant a exploité l’outil de surveillance et de gestion à distance (RMM), SimpleHelp, pour déployer le ransomware DragonForce sur plusieurs points de terminaison. L’attaque a été facilitée par une chaîne de vulnérabilités révélées en janvier 2025, notamment des failles de traversée de chemin, de téléchargement de fichiers arbitraires et d’élévation de privilèges (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726). Les attaquants ont également exfiltré des données sensibles, utilisant une tactique de double extorsion pour faire pression sur les victimes. ...