decio

joined 2 weeks ago
MODERATOR OF
cyberveille
sorted by: new top controversial old
1
[VULN] Exploitation active d’une faille critique dans le plugin WordPress Post SMTP (cyberveille.ch)
submitted 1 day ago by decio to c/cyberveille
1 comments fedilink
 

Selon BleepingComputer, des acteurs malveillants exploitent activement une vulnérabilité critique (CVE-2025-11833, score 9,8) dans le plugin WordPress Post SMTP (installé sur 400 000+ sites), permettant la lecture non authentifiée des journaux d’e-mails et la prise de contrôle de comptes administrateurs.

Étant donnée l’exploitation en cours, les propriétaires de sites utilisant Post SMTP sont invités à passer immédiatement à la version 3.6.1 ou à désactiver le plugin

1
Pourquoi les autorités américaines veulent bannir les routeurs TP-Link ? Et comment sécuriser votre accès Wi-Fi dès aujourd'hui (www.zdnet.fr)
submitted 1 day ago* (last edited 1 day ago) by decio to c/cyberveille
0 comments fedilink
 

L'idée d'interdire les routeurs TP-Link est apparue pour la première fois il y a environ un an, lorsque le matériel produit par l'entreprise - fondée en Chine - a été accusé d'être lié à une série de cyberattaques. Les services du gouvernement américain ont lancé une enquête pour déterminer si TP-Link pouvait représenter un risque, en mettant particulièrement l'accent sur ses liens avec la Chine, bien que TP-Link opère depuis Singapour et ait établi un nouveau siège aux États-Unis l'année dernière.

"En établissant notre siège mondial aux États-Unis, nous ne faisons pas qu'étendre notre présence, nous prenons un engagement à long terme envers les consommateurs et les entreprises américains", avait déclaré la société.

Influence chinoise ? Aujourd'hui, un nouvel article publié par le Washington Post suggère que "plus d'une demi-douzaine" de ministères et d'agences fédérales soutiennent un plan visant à interdire les ventes futures de routeurs TP-Link aux États-Unis.

1
Une faille dans l'interpréteur de code de Claude expose des données (www.lemondeinformatique.fr)
submitted 1 day ago* (last edited 1 day ago) by decio to c/cyberveille
1 comments fedilink
 

Selon un chercheur en sécurité, des pirates pourraient détourner l'API de téléchargement de fichiers de l'asssitant IA Claude d'Anthropic pour exfiltrer des informations sensibles, même quand des restrictions réseau sont activées.

Une vulnérabilité récemment révélée dans l'assistant d’IA Claude d'Anthropic pourrait permettre à des pirates d’exploiter la fonctionnalité d'interpréteur de code de la plateforme pour exfiltrer silencieusement les données d'entreprise, en contournant même les paramètres de sécurité par défaut conçus pour empêcher de telles attaques. Le chercheur en sécurité Johann Rehberger a démontré que l'interpréteur de code de Claude peut être manipulé par injection indirecte de commandes pour voler des informations sensibles, notamment les historiques de chat, les documents téléchargés et les données accessibles via les services intégrés. L'attaque a exploité l'infrastructure API propre à Claude pour envoyer les données volées directement vers des comptes contrôlés par les pirates. L'exploit tire parti d'une faille critique dans les contrôles d'accès au réseau de Claude. Et si le paramètre par défaut « Package managers only » (Gestionnaires de paquets uniquement) de la plateforme limite les connexions sortantes aux domaines approuvés comme npm et PyPI, il autorise également l'accès à api.anthropic.com, le point de terminaison que les pirates peuvent exploiter pour voler des données.

1
Des données publicitaires géolocalisées ont permis de suivre à la trace des responsables de l’UE, parfois jusqu’à leur domicile (www.lemonde.fr)
submitted 2 days ago by decio to c/cyberveille
0 comments fedilink
 

Des données publicitaires géolocalisées obtenues par « Le Monde » et ses partenaires ont permis d’identifier et de suivre à la trace plusieurs dignitaires de l’Union européenne. Un cas pratique illustrant les limites du cadre européen en matière de données personnelles.

1
[VULN] JobMonster (WordPress) : faille critique de contournement d’authentification exploitée, correctif en 4.8.2 (cyberveille.ch)
submitted 2 days ago by decio to c/cyberveille
0 comments fedilink
 

BleepingComputer rapporte que des pirates exploitent activement une vulnérabilité critique dans le thème WordPress premium JobMonster (NooThemes), observée par Wordfence qui a bloqué de multiples tentatives au cours des dernières 24 heures.

⚠️ Vulnérabilité: CVE-2025-5397 (score de sévérité 9,8) est un contournement d’authentification affectant toutes les versions jusqu’à 4.8.1. Le problème provient de la fonction check_login() qui ne vérifie pas correctement l’identité de l’utilisateur avant l’authentification. Le correctif est disponible en version 4.8.2.

🧩 Conditions et impact: L’exploitation nécessite que la connexion sociale (social login) soit activée sur le site. Dans ce cas, JobMonster fait confiance aux données d’authentification externes sans les valider correctement, permettant à un attaquant non authentifié de prendre le contrôle de comptes administrateur. Un attaquant doit généralement connaître le nom d’utilisateur ou l’email de l’administrateur ciblé.

1
Microsoft détecte une porte dérobée « SesameOp » utilisant l'API d'OpenAI comme canal de commande furtif (hacktualites.com)
submitted 2 days ago by decio to c/cyberveille
1 comments fedilink
 

Microsoft a révélé les détails d’une nouvelle porte dérobée baptisée SesameOp qui utilise l’interface de programmation d’applications (API) OpenAI Assistants pour les communications de commande et de contrôle (C2).

« Au lieu de s’appuyer sur des méthodes plus traditionnelles, l’acteur malveillant à l’origine de cette porte dérobée utilise OpenAI comme canal C2 pour communiquer furtivement et orchestrer des activités malveillantes au sein de l’environnement compromis », a déclaré l’équipe de détection et de réponse (DART) de Microsoft Incident Response dans un rapport technique publié lundi.

1
Ransomware : deux négociateurs américains accusés de cyberattaques (www.lemagit.fr)
submitted 2 days ago by decio to c/cyberveille
0 comments fedilink
 

Outre-Atlantique, deux anciens employés d’entreprises spécialisées dans la négociation avec les cybercriminels sont accusés d’avoir eux-mêmes conduit des attaques le rançongiciel d’Alphv/BlackCat.

...

Ils sont accusés d’avoir participé à des cyberattaques impliquant l’enseigne Alphv/BlackCat. Les opérateurs de cette dernière, découverte fin 2021, sont partis avec la caisse début 2024.

Cinq victimes sont attribuées aux deux accusés, entre mai et novembre 2023. Ils auraient sollicité des rançons comprises entre 300 000 $ et 10 millions de dollars.

1
Pirates de A à Z, des malfrats hackent des transporteurs routiers puis volent leurs marchandises (www.clubic.com)
submitted 2 days ago by decio to c/cyberveille
1 comments fedilink
 

Des cybercriminels s'attaquent désormais aux transporteurs routiers à l'aide de logiciels malveillants, pour voler des cargaisons bien réelles. Plusieurs campagnes ont été identifiées par les experts depuis cet été.

2
Max, nouvel outil de Moscou pour contrôler Internet (ici.radio-canada.ca)
submitted 2 days ago by decio to c/cyberveille
0 comments fedilink
 

Présente désormais dans tous les appareils de téléphonie cellulaire en Russie, l'application de messagerie Max représente le plus récent effort du gouvernement de Vladimir Poutine pour contrôler Internet et, potentiellement, surveiller les internautes.

D'abord distribuée en version beta au printemps dernier, l'application mobile Max est dorénavant préalablement installée sur tous les cellulaires qui sont vendus en sol russe. La plateforme, propriété du média russe VK, permet aux utilisateurs de clavarder avec leur entourage ou encore d'accéder aux services gouvernementaux.

En outre, Moscou invite les détenteurs de vieux appareils de téléphonie cellulaire à télécharger Max, et s'en est remis aux artistes, aux influenceurs et aux athlètes pour en faire la promotion.

Cette appli de messagerie est introduite à un moment où il est de plus en plus difficile, pour les citoyens russes, d'utiliser des plateformes telles que WhatsApp et Telegram.

2
[France] "Louvre" en mot de passe ? Le premier musée au monde épinglé pour ses graves failles informatiques (www.lesnumeriques.com)
submitted 3 days ago by decio to c/cyberveille
0 comments fedilink
 

Le dimanche 19 octobre, le musée du Louvre a été frappé par un cambriolage impressionnant avec le vol de bijoux parmi lesquels le diadème de l'impératrice Eugénie et deux colliers. Le ministère de la Culture a expliqué que ces objets historiques sont "d'une valeur inestimable". Selon Libération avec CheckNews, la sécurité informatique du premier musée au monde est aussi une véritable catastrophe.

2
[France] La première usine Huawei de France serait en vente avant même sa mise en service (france3-regions.franceinfo.fr)
submitted 3 days ago* (last edited 3 days ago) by decio to c/cyberveille
0 comments fedilink
 

L'usine Huawei bâtie à Brumath (Bas-Rhin) serait déjà en vente. Son ouverture était pourtant prévue pour fin 2025. Les soupçons de corruption et d'espionnage à l'encontre du géant chinois des télécoms pourraient être en cause. ... Mais depuis le début du projet en 2020, le vent a tourné en défaveur du fournisseur de réseau. En cause, des accusations d'espionnage ont été lancées par les États-Unis à son encontre. Selon eux et plusieurs autres pays occidentaux, le groupe chinois utiliserait le déploiement de ses composants dans les réseaux 5G pour espionner les communications de sites sensibles.

En 2024, le gouvernement allemand a ordonné la suppression des technologies chinoises dans son réseau 5G. Berlin invoquait alors un "risque pour la sécurité".

En France, les installations d'antennes 5G de la multinationale sont soumises à autorisation de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Les opérateurs, eux, auront obligation d'abandonner les dizaines de milliers d'antennes Huawei présentes sur le territoire en 2031. ...

1
Microsoft Edge déploie un capteur pour stopper des arnaques en temps réel (www.generation-nt.com)
submitted 3 days ago by decio to c/cyberveille
0 comments fedilink
 

Microsoft intègre un capteur de scareware dans le navigateur Edge. En association avec le bloqueur de scareware, il notifie SmartScreen en temps réel dès la détection d'une page suspecte.

Microsoft intensifie sa lutte contre les scareware, ces arnaques qui piègent par exemple les utilisateurs avec de fausses alertes de virus pour leur extorquer de l'argent ou des accès.

Le navigateur Microsoft Edge bénéficie d'une mise à jour avec l'introduction d'un capteur dédié. Cette technologie vient compléter le bloqueur de scareware déjà en place, qui utilise un modèle d'IA local pour identifier les pages frauduleuses.

Google, Amazon, Israël et une clause spéciale pour passer outre le contrôle d’autres États in c/cyberveille
Airstalk : le nouveau malware d'État s'infiltre dans la chaîne d'approvisionnement in c/cyberveille
[Android] Ce nouveau malware écrit et clique comme un humain pour passer inaperçu in c/cyberveille
Comment des hackers ont contourné l'une des protections les plus avancées de Google Chrome in c/cyberveille
[–] decio 1 points 6 days ago

À ce sujet, en complément de l’analyse technique de Kaspersky citée dans l’article, l’article d’investigation publié par TechCrunch (Lorenzo Franceschi-Bicchierai) est également intéressant : il confirme l’attribution du malware directement par le PDG de la société italienne de spyware.

👇

https://cyberveille.ch/posts/2025-10-30-kaspersky-relie-le-spyware-windows-dante-a-memento-labs-ciblant-la-russie-et-le-belarus/

Une fuite de données lève le voile sur les crimes à bord des croisières in c/cyberveille
[–] decio 1 points 6 days ago

Aussi relayé par le Blick

Un bug dans Chromium peut faire planter les navigateurs et jusqu’à l’ordinateur in c/cyberveille
[–] decio 1 points 6 days ago

⚠️ Site web démonstratif publié par le chercheur: https://brash.run/

Cybersécurité : comment savoir si votre Gmail fait partie des plus de 183 millions de comptes piratés in c/cyberveille
[–] decio 1 points 1 week ago* (last edited 1 week ago)

En relation à cette article, explications sur la source de ces données "Non, Gmail n'a pas subi de faille de sécurité massive"

Les informations faisant état d'une ' faille ' de sécurité de Gmail touchant des millions d'utilisateurs sont entièrement inexactes et incorrectes ", précise un porte-parole de Google. Un démenti d'une fuite de données ayant touché Gmail après une publication de Have I Been Pwned? (HIBP) ayant semé le trouble.

"L'alerte ne provient pas d'une nouvelle attaque, mais d'une mauvaise interprétation d'une base de données récemment ajoutée à HIBP. Troy Hunt, le créateur du service, a intégré une collection de 183 millions d'identifiants compromis, fournie par la plateforme de renseignement sur les menaces Synthient.

Ces identifiants n'ont pas été volés lors d'une unique violation de données, mais collectés au fil des années via diverses méthodes comme des malwares de type infostealers, des violations d'autres sites ou du phishing.

Des données pas vraiment nouvelles Troy Hunt lui-même a expliqué que pour l'ensemble des données dans HIBP, 91 % des 183 millions d'identifiants étaient déjà connus et présents dans la base. Cela signifie que la grande majorité de ces informations circule, pour certaines, depuis des années."

👇

https://www.generation-nt.com/actualites/google-gmail-faille-securite-dementi-infostealer-2065002

[VULN] Patch WSUS (CVE-2025-59287) : PoC public, correctif OOB et risque wormable in c/cyberveille
[–] decio 1 points 1 week ago* (last edited 1 week ago)

Dans les news FR: "Patchez WSUS – CVE-2025-59287 : cette nouvelle faille critique est déjà exploitée !"

👇

https://www.it-connect.fr/patchez-wsus-cve-2025-59287-cette-nouvelle-faille-critique-est-deja-exploitee/

Le CICR cherche à cadrer la "cyberguerre" par des règles humanitaires in c/cyberveille
[–] decio 1 points 1 week ago

Proposition du CICR du 2024 cité dans l'article:

https://blogs.icrc.org/law-and-policy/fr/2024/01/12/8-regles-destinees-aux-hackers-civils-en-temps-de-guerre-4-obligations-des-etats-pour-limiter-leur-action/

La technologie numérique fait évoluer la manière dont les armées conduisent leurs opérations en temps de guerre, ce qui s’accompagne d’un nouveau phénomène préoccupant : l’augmentation du nombre de civils qui participent à des conflits armés à travers des outils numériques. Se tenant à une certaine distance de la zone de combat, voire à l’extérieur des pays en guerre, ces civils peuvent être des « hacktivistes », des professionnels de la cybersécurité ou des « chapeaux blancs », des « chapeaux noirs » ou des hackers « patriotiques », qui mènent toutes sortes de cyberopérations dirigées contre leur « ennemi ». Certains spécialistes considèrent que les civils sont les « cybercombattants par excellence », car « c’est dans le secteur privé (ou civil) que l’on trouve la grande majorité des compétences en matière de cyberdéfense ».

  1. Ne pas conduire de cyberattaques^ contre des biens de caractère civil.

  2. Ne pas utiliser de logiciels malveillants ni d’autres outils ou techniques qui se propagent automatiquement et qui causent des dommages indiscriminés à des objectifs militaires et à des biens de caractère civil.

  3. Faire tout ce qui est pratiquement possible pour éviter ou réduire les effets qu’une l’opération pourrait avoir sur les populations civiles au moment de la planification d’une cyberattaque.

  4. Ne pas conduire de cyberopération contre des infrastructures médicales ou humanitaires. Les hôpitaux et les organisations de secours humanitaires ne doivent jamais être pris pour cible.

  5. Ne pas conduire de cyberattaque contre des biens indispensables à la survie de la population civile ou qui pourraient libérer des forces dangereuses.

  6. Ne pas diffuser de menaces de violence dont le but est de répandre la terreur parmi la population civile.

  7. Ne pas inciter à commettre des violations du droit international humanitaire.

  8. Respecter ces règles même si l’ennemi ne les respecte pas.

^Aux termes du DIH et dans le cadre des cyberopérations, la notion d’attaque recouvre des cyberopérations dont on peut raisonnablement attendre qu’elles causent — directement ou indirectement — des dommages, la mise hors service ou la destruction de biens (tels que des infrastructures, voire des données), ou des blessés ou des morts. Elle n’inclut pas, par exemple, les cyberopérations destinées à obtenir un accès à des informations sans autorisation.

8 règles destinées aux « hackers civils » en temps de guerre et 4 obligations des États pour limiter leur action in c/cyberveille
[–] decio 1 points 1 week ago

  1. Ne pas conduire de cyberattaques^*^ contre des biens de caractère civil.

  2. Ne pas utiliser de logiciels malveillants ni d’autres outils ou techniques qui se propagent automatiquement et qui causent des dommages indiscriminés à des objectifs militaires et à des biens de caractère civil.

  3. Faire tout ce qui est pratiquement possible pour éviter ou réduire les effets qu’une l’opération pourrait avoir sur les populations civiles au moment de la planification d’une cyberattaque.

  4. Ne pas conduire de cyberopération contre des infrastructures médicales ou humanitaires. Les hôpitaux et les organisations de secours humanitaires ne doivent jamais être pris pour cible.

  5. Ne pas conduire de cyberattaque contre des biens indispensables à la survie de la population civile ou qui pourraient libérer des forces dangereuses.

  6. Ne pas diffuser de menaces de violence dont le but est de répandre la terreur parmi la population civile.

  7. Ne pas inciter à commettre des violations du droit international humanitaire.

  8. Respecter ces règles même si l’ennemi ne les respecte pas.

  • Aux termes du DIH et dans le cadre des cyberopérations, la notion d’attaque recouvre des cyberopérations dont on peut raisonnablement attendre qu’elles causent — directement ou indirectement — des dommages, la mise hors service ou la destruction de biens (tels que des infrastructures, voire des données), ou des blessés ou des morts. Elle n’inclut pas, par exemple, les cyberopérations destinées à obtenir un accès à des informations sans autorisation.
Ransomwares : 83% des organisations ayant payé une rançon ont été de nouveau attaquées in c/cyberveille
[–] decio 1 points 1 week ago

Source cité "2025 State of Ransomware Survey" de CrowdStrike disponible ici: https://www.crowdstrike.com/en-us/press-releases/ransomware-report-ai-attacks-outpacing-defenses/

Principaux constats du rapport 2025 sur l’état des ransomwares

  • Les défenses héritées prennent du retard : 48 % des organisations considèrent que les chaînes d’attaque automatisées par l’IA représentent la plus grande menace de ransomware actuelle, tandis que 85 % signalent que la détection traditionnelle devient obsolète face aux attaques augmentées par l’IA.

  • La rapidité détermine l’issue sécuritaire : Près de 50 % des organisations craignent de ne pas pouvoir détecter ni répondre aussi rapidement que les attaques pilotées par IA ne s’exécutent, moins d’un quart récupèrent en moins de 24 heures et près de 25 % subissent des perturbations ou des pertes de données importantes.

  • L’ingénierie sociale évolue avec l’IA : Le phishing reste un vecteur d’attaque principal, 87 % des répondants estimant que l’IA rend les pièges plus convaincants et les deepfakes devenant un moteur majeur des futures attaques par ransomware.

  • Payer la rançon engendre des attaques répétées : 83 % des organisations ayant payé une rançon ont été attaquées à nouveau et 93 % se sont tout de même fait dérober leurs données.

  • Le fossé au niveau de la direction : 76 % signalent un écart entre la perception de préparation au ransomware par la direction et la réalité de leur préparation, soulignant la nécessité urgente d’un engagement du conseil pour moderniser les défenses.

CopyCop, la ferme à trolls pro-russe GenAI créée par un ex-shérif adjoint américain in c/cyberveille
[–] decio 1 points 1 week ago

🔗 Le rapport cité est disponible à l’adresse suivante : [rapport en anglais / résumé en français]. https://www.recordedfuture.com/fr/research/copycop-deepens-its-playbook-with-new-websites-and-targets

"Depuis mars 2025, Insikt Group a observé CopyCop (également connu sous le nom de Storm-1516), un réseau d'influence secret russe, créer au moins 200 nouveaux sites Web de médias fictifs ciblant les États-Unis, la France et le Canada, en plus de sites Web se faisant passer pour des marques de médias et des partis et mouvements politiques en France, au Canada et en Arménie. CopyCop a également mis en place un réseau régionalisé de sites Web se faisant passer pour une organisation fictive de vérification des faits publiant du contenu en turc, en ukrainien et en swahili, des langues qui n’avaient jamais été présentées par le réseau auparavant. En incluant les 94 sites Web ciblant l'Allemagne signalés par Insikt Group en février 2025, cela représente plus de 300 sites Web créés par les opérateurs de CopyCop depuis le début de l'année, marquant une expansion significative par rapport à notre rapport initial sur le réseau en 2024, et dont beaucoup n'ont pas encore été documentés publiquement.

Ces sites sont très probablement gérés par John Mark Dougan avec le soutien du Centre d'expertise géopolitique (CGE) basé à Moscou et de la Direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU). CopyCop utilise ces sites Web comme infrastructure pour diffuser du contenu d'influence ciblant les dirigeants pro-occidentaux et publier du contenu généré par l'intelligence artificielle (AI) avec des thèmes pro-russes et anti-ukrainiens pour soutenir les opérations offensives de la Russie dans l'environnement informationnel mondial."

view more: ‹ prev next ›