🔎 Cyberveille

L'agence américaine de cybersécurité (CISA) vient de publier une alerte à destination des utilisateurs d'applications de messagerie populaires. Plusieurs campagnes de spywares exploitent actuellement des failles dans Signal, WhatsApp ou encore Telegram pour compromettre les appareils de personnalités ciblées.

• L’infection inclut au moins 10 grands forfaits crypto liés à l’écosystème ENS.
• Une précédente attaque NPM début septembre avait entraîné 50 millions de dollars de cryptomonnaies volées.
• Les chercheurs ont trouvé plus de 25 000 dépôts affectés au cours de l’étude.

Une nouvelle vague d’infections NPM a suscité des inquiétudes au sein de la communauté JavaScript, alors que le malware Shai Hulud continue de se propager dans des centaines de bibliothèques logicielles.

Des utilisateurs anonymes ont collecté les messages de Mina sur une plateforme de vente d'objets d'occasion, ont créé de faux profils et ont échangé des informations à son sujet dans des forums. Son cas montre à quel point il est facile de détourner des images privées - pendant des années.

Lancé l’été dernier, le «Réseau SDS», créé par la Confédération, la Ville de Zurich, la Poste et la Haute école spécialisée bernoise, poursuit son expansion. Plus de 100 organisations, dont de nombreuses autorités, y ont aujourd'hui adhéré.

La FINMA observe une hausse nette des vulnérabilités technologiques dans la finance suisse. La dépendance accrue aux prestataires externes et aux services cloud fait désormais peser un risque majeur sur la stabilité du secteur.

Google tire la sonnette d’alarme au sujet d’une grande fuite de données. Plus de 200 entreprises ont en effet vu leurs informations siphonnées durant une attaque ciblant des applications tierces connectées à Salesforce. L’opération, orchestrée par le gang ShinyHunters, vise à extorquer de l’argent aux victimes.

La semaine dernière, Salesforce révélait avoir été victime d’une fuite de données. L’entreprise américaine, spécialisée dans le développement de logiciels de gestion de la relation client, indiquait que les informations de « certains clients » ont été compromises. Pour s’emparer des données, les attaquants sont passés par « des applications publiées par Gainsight et connectées à Salesforce, qui sont installées et gérées directement par les clients ».

Cette procédure volontaire doit permettre aux organisations concernées d’avancer sur cette nouvelle réglementation toujours à l’examen au Parlement.

Le contrat prévoit la construction d'un cloud privé basé sur Google Distributed Cloud. L'environnement est destiné au Jatec, une agence créée dans le cadre du conflit Ukrainien.

Vous recrutez sur LinkedIn. Vous prospectez des clients. Vous échangez avec des partenaires. Les pirates le savent et ont adapté leurs techniques. Check Point Research recense LinkedIn comme la quatrième marque la plus imitée en Q4 2024, avec 5% des attaques de phishing mondiales. Les faux profils se multiplient. Les messages semblent authentiques. Un recruteur qui vous contacte peut être un piège.

LinkedIn a bloqué ou supprimé 121 millions de faux comptes en 2023, soit 2,5 fois la base d'utilisateurs de la plateforme dans l'Union européenne. En 2024, ce chiffre a bondi à 156 millions de comptes factices détectés, une hausse de 29 % en un an. Le FBI a enregistré 193 407 plaintes pour phishing en 2024, causant plus de 70 milliards de dollars de pertes aux États-Unis.

Les attaques basées sur l'ingénierie sociale ont progressé de 141 % dans les six derniers mois de 2024. Concrètement, vous utilisez LinkedIn pour développer votre activité. Les attaquants aussi.

Oligo Security a mis en garde contre des attaques en cours exploitant une faille de sécurité vieille de deux ans dans le framework d’intelligence artificielle (IA) open-source Ray pour transformer des clusters infectés avec des GPU NVIDIA en un botnet de minage de cryptomonnaie auto-réplicatif.

L’activité, nommée ShadowRay 2.0 , est une évolution d’une vague précédente observée entre septembre 2023 et mars 2024. L’attaque, à la base, exploite un bug d’authentification critique manquant (CVE-2023-48022, score CVSS : 9,8) pour prendre le contrôle d’instances vulnérables et détourner leur puissance de calcul pour le minage illicite de cryptomonnaie à l’aide de XMRig.

Une faille de sécurité critique dans le logiciel de compression 7-Zip, identifiée comme CVE-2025-11001, est actuellement exploitée par des pirates. Cette vulnérabilité, liée à la gestion des liens symboliques dans les fichiers ZIP, permet une exploitation menaçant la sécurité informatique des systèmes affectés. Depuis sa correction dans la version 25.00, un appel pressant est lancé aux utilisateurs pour mettre à jour leur installation et éviter les attaques ciblées visant cette brèche.

Synology vient de publier une nouvelle version de son système interne : DSM 7.3.1. Il s’agit d’une mise à jour de sécurité, vivement recommandée… surtout si votre NAS est accessible depuis l’extérieur. Voyons en détail ce que propose cette nouvelle version.

...

[edit 20/11] Synology vient de fournir des informations complémentaires. Comme nous le supposions, cette correction est bien en lien avec le Pwn2Own 2025. Cette mise à jour corrige la CVE-2025-13392 qui permet à des attaquants distants de contourner l’authentification s’ils connaissent au préalable le nom distinctif (DN).

Plutôt que de voler les données, les groupes de ransomware se servent des fonctionnalités de chiffrement et de gestion des clés d'AWS pour empêcher les entreprises d'accéder aux buckets S3 et leur extorquer de l'argent.

Une faille critique dans WSUS a ouvert la voie à l’installation de ShadowPad sur des serveurs Windows exposés. La vulnérabilité a depuis été corrigée, mais son exploit circule largement et alimente déjà des attaques ciblées.

Réservé aux environnements professionnels, Windows Server Update Services (WSUS) sert depuis des années à distribuer les correctifs Windows dans les réseaux d’entreprise. Le mois dernier, Microsoft a corrigé une vulnérabilité sérieuse dans ce service, référencée CVE-2025-59287, un bug de désérialisation qui permet à un attaquant d’exécuter du code à distance avec les privilèges système sur un serveur vulnérable. Dans le même temps, un code d’exploitation fonctionnel a commencé à circuler et certains groupes malveillants s’en servent déjà pour prendre la main sur des serveurs WSUS exposés sur Internet et y déployer ShadowPad, un cheval de Troie modulaire souvent associé à des groupes d’espionnage chinois, actif depuis près de dix ans et utilisé dans des campagnes axées sur la collecte d’informations sensibles et le maintien d’un accès prolongé aux systèmes compromis.

24.11.2025 - L’Office fédéral de la cybersécurité (OFCS) a développé une méthode de cybersécurité et de résilience (MCSR) que les organisations et les entreprises peuvent employer afin de renforcer leurs capacités à cet égard. Il collabore étroitement avec certains partenaires et les cercles intéressés afin d’accroître l’efficience de la méthode et son application pratique. Les organisations et les entreprises peuvent apporter leur pierre à l’édifice en soumettant leurs retours dans le cadre de la procédure de consultation, qui se termine fin janvier 2026.

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub.

L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte.

L’exfiltration s’effectue via GitHub Actions : création d’un runner baptisé SHA1HULUD et d’un dépôt GitHub avec la description « Sha1-Hulud: The Second Coming. ». Un workflow malveillant .github/workflows/formatter_123456789.yml empaquette les secrets en actionsSecrets.json (double encodage Base64). L’article indique que le mode opératoire évoque l’attaque « Shai-Hulud » observée en septembre 2025.

Le malware modifie le package.json, injecte setup_bun.js et bun_environment.js, reconditionne le composant, puis exécute npm publish avec des tokens volés, réalisant une propagation de type ver. Le code inclut une logique multi‑plateforme et télécharge des binaires d’actions-runner (ex. actions-runner-*-2.330.0).

🔗 Source originale : https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24

🔗 Dans les news infosec: https://cybersecuritynews.com/zapiers-npm-account-compromised/

Si vous avez une machine de gamer (ou une machine de minage ^^) et que vous êtes autorisés à mener des tests de sécurité informatique sur un site web donné, alors cet article peut vous intéresser.

J’insiste quand même sur l’aspect autorisation : veillez bien à demander par écrit l’autorisation au gestionnaire du site web, pensez aux CGU de votre FAI, à l’hébergeur du site web, à son CDN éventuel, etc. Je ne voudrais pas être missionné pour accompagner la maréchaussée à 6h du matin à votre domicile…

Ce billet est destiné aux étudiants passionnés de cybersécurité. Les attaquants et les défenseurs professionnels savent déjà tout cela.

Des chercheurs ont découvert que 50 % des données transmises par satellite ne sont pas chiffrées. Cela inclut vos appels et SMS, ainsi que les informations bancaires, militaires, gouvernementales et autres informations confidentielles. Comment cela est-il possible, et que pouvons-nous faire pour y remédier ?

Le 17 novembre 2025, Google a publié une nouvelle mise à jour de sécurité pour Google Chrome afin de corriger une faille zero-day déjà exploitée par les pirates. Depuis le début de l'année 2025, c'est la 7ème faille zero-day exploitée corrigée par Google dans son navigateur.

[🔐 paywall] Début novembre, une cyberattaque a visé SitusAMC, un fournisseur dédié au financement immobilier. Des centaines de banques américaines utilisent ses services et des données, très sensibles, de grandes banques comme JP Morgan, Citi et Morgan Stanley pourraient avoir été dérobées.

Le 18 novembre 2025, les utilisateurs de la plateforme de travail collaboratif Resana ont été notifiés d’une fuite de données. Cet espace de stockage de documents est utilisé par l’ensemble des ministères en France.

« Des données ont été exfiltrées depuis la plateforme de travail collaboratif Resana. » Voici un extrait du courriel reçu par les fonctionnaires et agents de l’État français travaillant au sein des différents ministères et établissements publics, ce 18 novembre 2025.

Source: BleepingComputer (Sergiu Gatlan). Le média rapporte que CrowdStrike a confirmé avoir identifié et licencié le mois dernier un employé ayant partagé des captures d’écran de systèmes internes, après la publication d’images sur Telegram par des membres de groupes se présentant comme ShinyHunters, Scattered Spider et Lapsus$.

CrowdStrike indique que ses systèmes n’ont pas été compromis et que les données clients n’ont pas été affectées, l’accès réseau de l’employé ayant été coupé. L’entreprise a transmis l’affaire aux autorités compétentes.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/grafana-warns-of-max-severity-admin-spoofing-vulnerability/

Source: BleepingComputer — Grafana Labs signale une vulnérabilité de sévérité maximale (CVE-2025-41115) affectant Grafana Enterprise lorsque la provision SCIM est activée, pouvant permettre l’usurpation d’identité ou une élévation de privilèges.

• Vulnérabilité et impact: CVE-2025-41115 permet, dans des cas spécifiques, de traiter un nouvel utilisateur SCIM comme un compte interne existant (incluant le compte Admin), entraînant une usurpation et une élévation de privilèges. Le problème provient du mappage direct de l’attribut SCIM externalId vers l’user.uid interne; un externalId numérique comme ‘1’ peut être interprété comme un compte interne existant.

• Conditions d’exploitation: La faille est exploitable uniquement si la provision SCIM est activée et configurée avec les options ’enableSCIM’ et ‘user_sync_enabled’ à true. SCIM est en Public Preview avec un support limité, ce qui pourrait limiter son adoption.

• Produits et versions concernées: Grafana Enterprise versions 12.0.0 à 12.2.1 (si SCIM est activé). Les utilisateurs Grafana OSS ne sont pas impactés. Les services Grafana Cloud (dont Amazon Managed Grafana et Azure Managed Grafana) ont déjà été patchés.

• Correctifs disponibles: Mises à jour pour les installations autogérées: 12.3.0, 12.2.1, 12.1.3, 12.0.6. Grafana Labs recommande de passer à une version corrigée dès que possible ou de désactiver SCIM pour supprimer la surface d’exploitation.

Que se passerait-il si un de nos grands hôpitaux universitaire devaient être complétement coupé d’internet à cause d’une cyberattaque? L’hôpital de l’Île à Berne a la réponse. Jeudi, entre 10h et midi, il s’est déconnecté du web pour un test grandeur nature, rapporte la «Berner Zeitung».

Une coupure de 48 heures serait gérable La simulation a montré qu’un blocage de deux heures ne perturbe pas le fonctionnement clinique. L’hôpital universitaire assure même pouvoir tenir jusqu’à 48 heures sans connexion. Les données du logiciel principal de gestion de l'institution sont stockées localement et sauvegardées plusieurs fois par heure, ce qui permet au personnel médical d’accéder aux informations essentielles même hors ligne.

Le transporteur français Colis Privé a été victime d’une cyberattaque. Si l’entreprise se veut rassurante en évoquant des données « non sensibles », la nature des informations dérobées expose pourtant les clients à des risques accrus de phishing et d’arnaques ciblées.