🔎 Cyberveille

Bisbilles entre la France et le Canada, après qu'une juridiction de l'Ontario a ordonné à l'hébergeur OVH d'accéder à des données stockées sur des serveurs en Europe et en Australie. Ce dernier refuse et l'affaire prend une tournure politique.

Les équipes de Cato Networks ont découvert une technique baptisée HashJack qui ajoute un prompt malveillant à la suite d'une URL. Cette méthode piège les navigateurs basés sur l'IA pour mener différentes campagnes, phishing, vol de données, installation de malwares,...

Privatim, la Conférence suisse des préposés à la protection des données, a adopté une résolution critiquant l’usage de solutions internationales de cloud pour les données sensibles des autorités. Cette position est toutefois contestée.

De nos jours, les pirates informatiques qui sondent l’infrastructure d’une organisation ont rarement la chance de trouver un poste de travail sans agent EDR. Ils se concentrent donc sur la compromission des serveurs ou de divers appareils spécialisés connectés au réseau, qui disposent de privilèges d’accès assez étendus, mais manquent de protection EDR et souvent même de fonctions de journalisation. Dans un précédent article, nous avons décrit en détail les types d’appareils de bureau vulnérables. Les attaques du monde réel en 2025 se concentrent sur les appareils réseau (comme les passerelles VPN, les pare-feu et les routeurs), les systèmes de vidéosurveillance et les serveurs eux-mêmes. Il ne faut toutefois pas perdre de vue les imprimantes, comme l’a rappelé Peter Geissler, chercheur indépendant, lors du Security Analyst Summit 2025. Il a décrit une vulnérabilité qu’il avait découverte dans les imprimantes Canon (CVE-2024-12649, CVSS 9.8), qui permet d’exécuter du code malveillant sur ces appareils. Et l’aspect le plus intéressant de cette vulnérabilité est que son exploitation se limite à envoyer un fichier anodin à imprimer.

Police de caractères de type cheval de Troie : une attaque via la vulnérabilité CVE-2024-12649 L’attaque commence par l’envoi d’un fichier XPS à imprimer. Ce format, créé par Microsoft, contient toutes les informations nécessaires à l’impression de documents et constitue une alternative au format PDF. Le format XPS est essentiellement une archive ZIP contenant une description détaillée du document, toutes ses images ainsi que les polices utilisées. Les polices sont généralement stockées dans le format TTF (TrueType Font) très répandu, inventé par Apple. Et c’est précisément la police elle-même, qui n’est généralement pas considérée comme étant dangereuse, qui contient le code malveillant.

La FFF informe que le logiciel utilisé par les clubs pour leur gestion administrative et notamment celle de leurs licenciés a été victime d’un acte de cybermalveillance et d’un vol de données.

Les services de la FFF ont, dès la détection de cet accès non-autorisé par l’usage d’un compte compromis, pris les dispositions nécessaires à la sécurisation du logiciel et des données, notamment en désactivant immédiatement le compte en cause et en réinitialisant tous les mots de passe des comptes utilisateurs.

Une plainte a été déposée et les autorités compétentes ont été informées (ANSSI, CNIL) de cette attaque. Par ailleurs, la FFF adressera une communication aux personnes concernées dont l’e-mail était renseigné dans la base de données.

Cette violation se limite uniquement aux données suivantes : nom, prénom, genre, date et lieu de naissance, nationalité, l’adresse postale, l’adresse mail, le numéro de téléphone ainsi que le numéro de licencié.

Ce jeudi, la plus grande plateforme d'échange d'actifs numériques de Corée du Sud, Upbit, a suspendu les dépôts et les retraits après avoir détecté une activité inhabituelle sur les jetons du réseau Solana.

• Les autorités sud-coréennes envisagent que le groupe Lazarus, lié à la Corée du Nord, soit une source possible du piratage de jeudi sur Upbit, selon Yonhap.
• Upbit a suspendu les transactions après avoir détecté une activité inhabituelle sur les tokens Solana, confirmant une importante compromission de son portefeuille chaud.
• Le piratage a coïncidé avec l'annonce d'une fusion impliquant la société mère d'Upbit, Dunamu, et le géant technologique Naver, alimentant les spéculations sur le calendrier.

Le gestionnaire de mots de passe KeePassXC est une version open source et multiplateforme de l’application KeePass Password Safe pour Windows. Les moutures se sont faites plus rares, mais elles comportent toujours autant de nouveautés.

...

Pour les personnes qui préfèrent une version éprouvée, KeePassXC 2.7.9 a reçu le 17 novembre une certification CSPN-2025/16 de l'ANSSI, obtenue pour trois ans. La petite application a même été mise en avant dans une publication du 21 novembre sur la sécurité des mots de passe.

Le CERT-FR a connaissance d'une vague de compromission de paquets NPM ayant débuté le 23 novembre 2025. En date du 26 novembre 2025, plus de 700 paquets ont été affectés. Ce nombre important est dû à l'auto-réplication du logiciel malveillant. Seules quelques versions de ces paquets, les plus récentes, ont été compromises. Plusieurs d'entre elles ont été supprimées par les développeurs par la suite.

...

Recommandations

En raison de l'évolution de la campagne, le CERT-FR recommande de :

• chercher les différents indicateurs de compromissions présentés dans les billets de blogue et en particulier le fichier bun_environment.js ;
• vérifier l'ensemble des paquets NPM installés et leurs versions et les comparer aux versions indiquées comme compromises.

Si cela est possible :

• geler temporairement la mise à jour des paquets NPM et utiliser des versions connues comme légitimes ;
• effectuer un redémarrage des machines susceptibles d'utiliser les paquets.

En cas de suspicion de compromission :

• désinstaller l'ensemble des paquets concernés ;
• vérifier l'intégrité des plateformes d'intégration continue et des potentiels paquets NPM maintenus ;
• effectuer une rotation de l'ensemble des secrets présents sur la machine. De plus les fiches réflexes relatives à la compromission système peuvent être consultées.

Plusieurs jours après qu’elles ont constaté l’incident, les administrations du Royal Borough of Kensington and Chelsea, de l’arrondissement de Westminster et du quartier de Hammersmith et Fulham peinent encore à rendre accessibles l’intégralité de leurs services. A elles seules, elles s’occupent de plus d’un demi-million de Londoniens.

KrebsOnSecurity dévoile l’identité de « Rey », administrateur de Scattered LAPSUS$ Hunters, en retraçant ses erreurs d’OPSEC et en détaillant les campagnes de vishing Salesforce, le RaaS ShinySp1d3r et le recrutement d’initiés.

🔗 Source originale : https://krebsonsecurity.com/2025/11/meet-rey-the-admin-of-scattered-lapsus-hunters/

Aujourd’hui, l’honorable David McGuinty, ministre de la Défense nationale, et l’honorable Gary Anandasangaree, ministre de la Sécurité publique, ont fait la déclaration suivante :

« Les cyberactivités malveillantes qui ciblent les infrastructures essentielles du Canada – comme le secteur de l’énergie, de la gestion de l’eau, de la santé, des finances, des transports – sont en hausse et il s’agit d’une menace réelle et urgente. Ces cyberactivités malveillantes sont menées par des auteurs de menace qui ont des liens avec des États-nations et des auteurs de menace non étatiques, et elles pourraient perturber les services essentiels sur lesquels les Canadiennes et Canadiens comptent chaque jour. Toute perturbation des infrastructures essentielles constitue non seulement une menace pour la santé et la sécurité publiques, mais aussi une menace pour la confiance du public, l’environnement et l’économie. ...

25.11.2025 - Les journées raccourcissent, les températures chutent et les offres alléchantes se multiplient. Avec le Black Friday et le Cyber Monday, le chiffre d’affaires du commerce en ligne va exploser ces prochains jours. Mais tandis que les consommateurs sont à l’affût des meilleures offres, les cybercriminels flairent le filon et tissent leur toile.

Ces derniers jours, l’Office fédéral de la cybersécurité (OFCS) a d’ores et déjà observé une augmentation des signalements de fausses boutiques en ligne (fakeshops), de jeux-concours frauduleux et de campagnes d’hameçonnage très sophistiquées. Les escrocs peaufinent leur manière de procéder pour exploiter au mieux l’effervescence de la chasse aux bonnes affaires et tromper le plus de victimes possible.

Un mystérieux nouveau botnet a profité de la panne mondiale d’Internet, provoquée par Amazon, pour infecter en douce des objets connectés à travers le monde. Les cybercriminels se sont servis de la panne comme terrain d’essai.

Les attaques des pirates de Corée du Nord continuent de proliférer. Ils concentrent actuellement leurs efforts dans une campagne qui visent les utilisateurs de Mac, avec des méthodes de filous très bien rodées.

...

Le mode opératoire est le suivant : attiré par une offre d’emploi, la victime se rend sur un faux site d’évaluation de recrutement. Après avoir rempli un formulaire d’embauche, la personne est invitée à enregistrer une vidéo de présentation ; problème : la caméra de son Mac ne fonctionne pas — soit disant. On lui propose alors de lancer une commande dans le Terminal pour débloquer la situation.

Le géant japonais de la bière Asahi a indiqué jeudi qu'il refusait de négocier pour mettre fin à une cyberattaque "sophistiquée" en cours depuis fin septembre, qui perturbe toujours son activité et l'a obligé à ajourner ses résultats financiers.

(Halifax) Le président et chef de la direction de Nova Scotia Power affirme qu’un acteur basé en Russie est probablement à l’origine de la cyberattaque qui a ciblé les clients de la compagnie en avril.

Une extension Chrome prise en flagrant délit d’injection de frais de transfert Solana cachés dans les swaps Raydium.

Des chercheurs en cybersécurité ont identifié l’extension Crypto Copilot comme étant à l’origine de cette activité malveillante.

...

Selon le chercheur en sécurité Kush Pandya, Crypto Copilot injecte un transfert Solana supplémentaire dans chaque transaction réalisée via Raydium. L’extension siphonne ainsi un minimum de 0,0013 SOL ou 0,05 % du montant de l’échange, automatiquement redirigés vers un portefeuille codé en dur, contrôlé par l’attaquant.

OpenAI a annoncé avoir été indirectement affecté par un incident de sécurité touchant Mixpanel, un prestataire tiers utilisé pour le suivi analytique des événements liés aux API.
Selon l'entreprise, aucune donnée sensible n’a été compromise, et l’impact reste très limité.

Mixpanel a également confirmé l'incident dans un communiqué officiel.

Communiqué OpenAI : https://openai.com/index/mixpanel-incident/
Communiqué Mixpanel : https://mixpanel.com/blog/sms-security-incident/

Cet épisode suscite un intérêt particulier : Mixpanel est l’un des outils d’analyse comportementale les plus utilisés dans l’écosystème numérique.
➡️ Liste des sites utilisant Mixpanel (BuiltWith) : https://trends.builtwith.com/websitelist/Mixpanel

Impact pour OpenAI

OpenAI précise que l’incident a un impact restreint.
Aucun accès aux systèmes internes n'a eu lieu et aucune donnée sensible n’est concernée.

Données potentiellement concernées

Seules des données analytiques non sensibles auraient pu être exposées :

• Métadonnées techniques
• Types et fréquence des requêtes API
• Événements de navigation
• Signaux techniques liés à l’utilisation

👉 Aucune clé API, aucun contenu utilisateur, aucune donnée confidentielle n’est collectée par Mixpanel.

Données pouvant concerner certains utilisateurs (selon OpenAI)

OpenAI indique que certaines informations de profil, associées à platform.openai.com, peuvent avoir été incluses dans des exports Mixpanel :

• Nom associé au compte API
• Adresse email du compte API
• Localisation approximative (ville, région, pays), basée sur le navigateur
• Système d'exploitation et navigateur utilisés
• Référents web (referrers)
• Identifiants organisationnels ou utilisateur liés au compte

Ce que dit Mixpanel : déroulement de l’incident

Mixpanel a subi une attaque de smishing détectée le 8 novembre 2025, permettant un accès non autorisé à un nombre limité de comptes clients.

L’entreprise affirme avoir réagi rapidement via ses procédures internes et mobilisé des experts tiers en cybersécurité.

Nature de l’incident

• Campagne de smishing ciblée
• Compromission de quelques comptes seulement
• Containment rapide
• Communication transparente auprès des clients touchés

Mixpanel précise clairement :

Si vous n’avez pas reçu de communication directe de notre part, vous n’êtes pas impacté.

❓ Faut-il agir ?

Vous avez reçu un message de Mixpanel ?

✔️ Suivez leurs instructions et vérifiez la sécurité de votre compte.

Vous n’avez rien reçu ?

✔️ Aucune action n’est requise, selon Mixpanel.

Berne, 26.11.2025 — Lors de sa séance du 26 novembre 2025, le Conseil fédéral a approuvé le rapport en réponse au postulat 22.4411 Z’graggen intitulé « Souveraineté numérique de la Suisse », qui définit la souveraineté numérique pour la Suisse. Le rapport explique comment celle-ci doit être envisagée pour que l’État puisse continuer à jouer son rôle dans l’espace numérique et propose des mesures pour la renforcer encore. Le Conseil fédéral crée un groupe de travail interdépartemental pour anticiper les évolutions de la politique de sécurité et de la politique extérieure et leurs effets sur les ressources numériques. Ce groupe sera également chargé d’actualiser en permanence la vue d’ensemble présentée dans le rapport et de coordonner les mesures.

Après Colis Privé en fin de semaine dernière, une nouvelle « information importante concernant la sécurité de vos données » vient d’être envoyée par Axa. L’assureur contacte des clients pour les informer qu’Itelis, « réseau de soins partenaire d'optique, a récemment été victime d'une cyberattaque ».

La conséquence : « certaines de vos données personnelles utilisées pour une prise en charge optique entre 2020 et le premier trimestre 2022 ont pu être exposées ». Cela concerne « vos nom et prénom, date de naissance, numéro de sécurité sociale, numéro de dossier, remboursement de santé optique, données de correction visuelle, et potentiellement numéro de téléphone ».

Fail2ban est souvent le réflexe par défaut pour protéger SSH contre les attaques bruteforce. Pourtant, SSHGuard offre une approche plus légère et tout aussi efficace. Découvrez le « set & forget » de la protection SSH.

Selon watchTowr Labs, des fonctions « Save/Recent Links » sur des outils populaires de formatage de code (JSONFormatter.org et CodeBeautify.org) exposent publiquement des données sauvegardées par les utilisateurs, entraînant la divulgation massive de secrets sensibles. Le laboratoire a récupéré plus de 80 000 soumissions sur 5 ans (JSONFormatter) et 1 an (CodeBeautify), représentant 5 Go de données enrichies et des milliers de secrets. Des CERTs nationaux (dont NCSC UK/NO, CISA, CERT PL/EU/FR, etc.) ont été informés pour une réponse élargie.

Principales découvertes:

• Types de secrets exposés: identifiants Active Directory, clés d’API, tokens GitHub, clés cloud AWS (préfixe AKIA), identifiants Docker/JFrog/Grafana, mots de passe (dont défauts), clés privées, JWT admin, configurations LDAP/CI/CD/RTSP, enregistrements SSH, et PII (jusqu’aux données KYC complètes et liens vers des vidéos d’entretien).
• Secteurs touchés: Infrastructures critiques, gouvernement, finance/banque/assurance, cybersécurité, technologie, santé, éducation, télécoms, retail, aérospatial, voyage, etc.
• Ampleur: environ 350 000 liens sauvegardés rien que sur JSONFormatter.org depuis l’origine; extraction facilitée par une page Recent Links et un endpoint public permettant de récupérer les contenus.

🔗 Source originale : https://labs.watchtowr.com/stop-putting-your-passwords-into-random-websites-yes-seriously-you-are-the-problem/

Une découverte exclusive émanant de JFrog Security Research concernant une importante attaque de chaîne d’approvisionnement logicielle provenant de packages npm déclenche une alerte. Avec 181 nouveaux packages compromis identifiés par JFrog à ce jour, le risque est généralisé. Une remédiation immédiate exige la rotation de tous les jetons d’environnement compromis.

Des chercheurs en sécurité ont identifié une nouvelle campagne d'attaques ClickFix basée sur des pages Web imitant l'installation d'une mise à jour Windows, tout en dissimulant le malware dans une image au format PNG. Faisons le point sur les dernières tendances de cette fraude au copier-coller.

Une mère célibataire du canton de Zoug, a été victime d'une arnaque via Twint impliquant une fausse quittance postale. En scannant un code QR truqué, elle a perdu 3000 francs. Elle souhaite désormais alerter le public sur cette fraude des plus sournoises.