🔎 Cyberveille

24.11.2025 - L’Office fédéral de la cybersécurité (OFCS) a développé une méthode de cybersécurité et de résilience (MCSR) que les organisations et les entreprises peuvent employer afin de renforcer leurs capacités à cet égard. Il collabore étroitement avec certains partenaires et les cercles intéressés afin d’accroître l’efficience de la méthode et son application pratique. Les organisations et les entreprises peuvent apporter leur pierre à l’édifice en soumettant leurs retours dans le cadre de la procédure de consultation, qui se termine fin janvier 2026.

Selon HelixGuard Team (24/11/2025), une campagne coordonnée a empoisonné en quelques heures plus de 300 composants NPM via de faux ajouts liés au runtime Bun, entraînant le vol de secrets et une propagation de type ver affectant plus de 27 000 dépôts GitHub.

L’attaque repose sur l’injection d’un script NPM preinstall pointant vers setup_bun.js, qui exécute un fichier hautement obfusqué bun_environment.js (>10 Mo). Ce dernier collecte des secrets (tokens NPM, identifiants AWS/GCP/Azure, GitHub, variables d’environnement) et lance TruffleHog pour étendre la collecte.

L’exfiltration s’effectue via GitHub Actions : création d’un runner baptisé SHA1HULUD et d’un dépôt GitHub avec la description « Sha1-Hulud: The Second Coming. ». Un workflow malveillant .github/workflows/formatter_123456789.yml empaquette les secrets en actionsSecrets.json (double encodage Base64). L’article indique que le mode opératoire évoque l’attaque « Shai-Hulud » observée en septembre 2025.

Le malware modifie le package.json, injecte setup_bun.js et bun_environment.js, reconditionne le composant, puis exécute npm publish avec des tokens volés, réalisant une propagation de type ver. Le code inclut une logique multi‑plateforme et télécharge des binaires d’actions-runner (ex. actions-runner-*-2.330.0).

🔗 Source originale : https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24

🔗 Dans les news infosec: https://cybersecuritynews.com/zapiers-npm-account-compromised/

Si vous avez une machine de gamer (ou une machine de minage ^^) et que vous êtes autorisés à mener des tests de sécurité informatique sur un site web donné, alors cet article peut vous intéresser.

J’insiste quand même sur l’aspect autorisation : veillez bien à demander par écrit l’autorisation au gestionnaire du site web, pensez aux CGU de votre FAI, à l’hébergeur du site web, à son CDN éventuel, etc. Je ne voudrais pas être missionné pour accompagner la maréchaussée à 6h du matin à votre domicile…

Ce billet est destiné aux étudiants passionnés de cybersécurité. Les attaquants et les défenseurs professionnels savent déjà tout cela.

Des chercheurs ont découvert que 50 % des données transmises par satellite ne sont pas chiffrées. Cela inclut vos appels et SMS, ainsi que les informations bancaires, militaires, gouvernementales et autres informations confidentielles. Comment cela est-il possible, et que pouvons-nous faire pour y remédier ?

Le 17 novembre 2025, Google a publié une nouvelle mise à jour de sécurité pour Google Chrome afin de corriger une faille zero-day déjà exploitée par les pirates. Depuis le début de l'année 2025, c'est la 7ème faille zero-day exploitée corrigée par Google dans son navigateur.

[🔐 paywall] Début novembre, une cyberattaque a visé SitusAMC, un fournisseur dédié au financement immobilier. Des centaines de banques américaines utilisent ses services et des données, très sensibles, de grandes banques comme JP Morgan, Citi et Morgan Stanley pourraient avoir été dérobées.

Le 18 novembre 2025, les utilisateurs de la plateforme de travail collaboratif Resana ont été notifiés d’une fuite de données. Cet espace de stockage de documents est utilisé par l’ensemble des ministères en France.

« Des données ont été exfiltrées depuis la plateforme de travail collaboratif Resana. » Voici un extrait du courriel reçu par les fonctionnaires et agents de l’État français travaillant au sein des différents ministères et établissements publics, ce 18 novembre 2025.

Source: BleepingComputer (Sergiu Gatlan). Le média rapporte que CrowdStrike a confirmé avoir identifié et licencié le mois dernier un employé ayant partagé des captures d’écran de systèmes internes, après la publication d’images sur Telegram par des membres de groupes se présentant comme ShinyHunters, Scattered Spider et Lapsus$.

CrowdStrike indique que ses systèmes n’ont pas été compromis et que les données clients n’ont pas été affectées, l’accès réseau de l’employé ayant été coupé. L’entreprise a transmis l’affaire aux autorités compétentes.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/grafana-warns-of-max-severity-admin-spoofing-vulnerability/

Source: BleepingComputer — Grafana Labs signale une vulnérabilité de sévérité maximale (CVE-2025-41115) affectant Grafana Enterprise lorsque la provision SCIM est activée, pouvant permettre l’usurpation d’identité ou une élévation de privilèges.

• Vulnérabilité et impact: CVE-2025-41115 permet, dans des cas spécifiques, de traiter un nouvel utilisateur SCIM comme un compte interne existant (incluant le compte Admin), entraînant une usurpation et une élévation de privilèges. Le problème provient du mappage direct de l’attribut SCIM externalId vers l’user.uid interne; un externalId numérique comme ‘1’ peut être interprété comme un compte interne existant.

• Conditions d’exploitation: La faille est exploitable uniquement si la provision SCIM est activée et configurée avec les options ’enableSCIM’ et ‘user_sync_enabled’ à true. SCIM est en Public Preview avec un support limité, ce qui pourrait limiter son adoption.

• Produits et versions concernées: Grafana Enterprise versions 12.0.0 à 12.2.1 (si SCIM est activé). Les utilisateurs Grafana OSS ne sont pas impactés. Les services Grafana Cloud (dont Amazon Managed Grafana et Azure Managed Grafana) ont déjà été patchés.

• Correctifs disponibles: Mises à jour pour les installations autogérées: 12.3.0, 12.2.1, 12.1.3, 12.0.6. Grafana Labs recommande de passer à une version corrigée dès que possible ou de désactiver SCIM pour supprimer la surface d’exploitation.

Que se passerait-il si un de nos grands hôpitaux universitaire devaient être complétement coupé d’internet à cause d’une cyberattaque? L’hôpital de l’Île à Berne a la réponse. Jeudi, entre 10h et midi, il s’est déconnecté du web pour un test grandeur nature, rapporte la «Berner Zeitung».

Une coupure de 48 heures serait gérable La simulation a montré qu’un blocage de deux heures ne perturbe pas le fonctionnement clinique. L’hôpital universitaire assure même pouvoir tenir jusqu’à 48 heures sans connexion. Les données du logiciel principal de gestion de l'institution sont stockées localement et sauvegardées plusieurs fois par heure, ce qui permet au personnel médical d’accéder aux informations essentielles même hors ligne.

Le transporteur français Colis Privé a été victime d’une cyberattaque. Si l’entreprise se veut rassurante en évoquant des données « non sensibles », la nature des informations dérobées expose pourtant les clients à des risques accrus de phishing et d’arnaques ciblées.

Dans cet épisode spécial de Purple Voice, écrit par Victor ROCHERON, on plonge au cœur de l’une des sagas les plus marquantes du cybercrime moderne.

De The Comm à la campagne Salesforce 2025, on déroule la genèse et l’évolution de cette nébuleuse composée de jeunes hackers, experts

en social engineering et amateurs de célébrité numérique.

On explore :

les origines de The Comm et ses sous-cultures toxiques, les campagnes de ShinyHunters et Lapsus$, la montée en puissance de Scattered Spider, et la fusion explosive entre hack social, intrusion technique et ransomware russes.

Un épisode dense, documenté, et terriblement actuel.

Entre investigation, technique et analyse CTI, on vous emmène dans les coulisses d’une toile tissée entre Discord, GitHub et le Dark Web.

Selon Keystone-SDA rapporté par swissinfo.ch, des inconnus ont exploité une faille de sécurité dans un système géré par la police de Lucerne et également utilisé par la police cantonale de Schwytz, lequel gère et contrôle l’accès mobile aux téléphones professionnels des employés.

...

La Chancellerie d’État de Lucerne affirme qu’il n’y a jamais eu de danger pour les téléphones portables ni pour les systèmes internes, et que la préparation opérationnelle des corps n’a jamais été menacée.

Chronologie et mesures: la faille a été découverte le 31 octobre et corrigée le même jour. L’incident a été signalé à l’Office fédéral de la cybersécurité ainsi qu’aux délégués à la protection des données des cantons de Lucerne et de Schwytz. La police de Lucerne a déposé une plainte pénale contre inconnu.

🔗 Source originale : https://www.swissinfo.ch/ger/hacker-entwenden-personendaten-von-luzerner-und-schwyzer-polizisten/90414610

🔗 Sources annexes [DE] : https://www.20min.ch/story/kanton-luzern-und-schwyz-cyberangriff-auf-polizei-luzern-personendaten-in-fremden-haenden-103454754

https://www.inside-it.ch/luzern-und-schwyz-sicherheitsluecke-fuehrt-zu-datenabfluss-20251121

https://www.nau.ch/ort/luzern/hacker-entwenden-personendaten-von-luzerner-und-schwyzer-polizisten-67067892

Cl0p continue d’égrainer les victimes de sa dernière campagne industrielle de vol de données. Mais les ShinyHunters sont en embuscade, sur le point d’en revendiquer une grosse série.

...

Le collectif annonce l’ouverture d’une nouvelle vitrine pour le 24 novembre. Celle-ci « contiendra les données des campagnes Salesloft et GainSight, soit près de 1 000 organisations au total ». Toutes ne seront pas épinglées, selon ShinyHunters, seulement les plus notables, « principalement celles du classement Fortune 500 ». Et de désigner déjà « Verizon, Gitlab, F5, Sonicwall et d’autres ».

La situation vient de déraper sérieusement. Suite à un article du Parisien qualifiant GrapheneOS d’outil privilégié des narcotrafiquants, les développeurs de cet OS sécurisé ont pris une décision radicale. Ils annoncent leur départ immédiat de France et la migration de leurs serveurs hébergés chez OVH.

Des chercheurs ont découvert que des développeurs ont copier du code contenant des failles dans les principaux frameworks d'inférence de Meta, Microsoft, Nvidia et des projets open source.

...

« Ces vulnérabilités ont toutes la même cause initiale : l’usage non sécurisé et négligé de ZeroMQ(ZMQ) et de la désérialisation du module pickle de Python », a déclaré Avi Lumelsky, chercheur en sécurité chez Oligo. « En approfondissant nos enquêtes, nous avons découvert que des fichiers de code avaient été copiés d'un projet à l'autre (parfois ligne par ligne), transmettant ainsi des modèles dangereux d'un référentiel à l'autre. »

Nova Énergie n’a jamais pratiqué le démarchage téléphonique. Pourtant, depuis le 6 novembre 2025, une IA se fait passer pour elle et bombarde les particuliers d’appels automatiques.

...

Le mécanisme est bien rodé : une voix générée par IA appelle des dizaines de milliers de personnes et se présente comme un agent de Nova Énergie. À l’autre bout du fil, la conversation semble réelle. "La voix se présentait comme Thomas, de Nova Énergie. Il voulait savoir si j'étais éligible à des aides de l'État pour l'installation de panneaux solaires. C'est inquiétant !", témoigne Christophe, salarié de l'entreprise, qui a lui-même reçu deux appels suspects en provenance de deux numéros différents.

Les chercheurs de Jamf Threat Labs ont détecté ce nouveau malware distribué via un fichier déguisé en application légitime appelée "DynamicLake". L'attaque débute par un site frauduleux qui héberge un fichier DMG. Bon, d'emblée, l'infection initiale devrait nous mettre la puce à l'oreille puisqu'on nous demande de glisser un élément dans le Terminal. Évidemment, cette manipulation lance un script qui télécharge et exécute DigitStealer.​

Suite à un décret de Donald Trump contre la Cour pénale internationale (CPI), le juge français Nicolas Guillou n'a plus le droit d'accéder aux services numériques de certaines firmes américaines.

Après le chatbot Salesloft Drift, une autre application a été mise à profit pour accéder à des instances Salesforce.

...

Aux dernières nouvelles, Gainsight estime que 3 organisations ont été touchées. Ce n’est pas l’avis de Google/Mandiant, chargé d’enquêter : à l’en croire, plus de 200 instances ont potentiellement été affectées. La campagne est possiblement l’œuvre d’affiliés au collectif ShinyHunters.

Depuis plusieurs mois, une vaste campagne de phishing particulièrement vicieuse piège les clients d’hôtels à travers le monde. La force de cette opération ? Les assaillants connaissent l’établissement, les dates et même le prix exact de la réservation. Voici comment une telle arnaque a pu être mise en place.

Quimper, Ploërmel, Brest, Mauron, Josselin… Les signalements se multiplient en Bretagne. Des milliers d’habitants ont vu leurs données personnelles dérobées après une simple prise de rendez-vous en ligne pour refaire une pièce d’identité. L’ampleur de la fuite et ses conséquences pourraient être bien plus larges que prévu. On vous explique.

Les communes concernées utilisent un prestataire externe pour la prise de rendez-vous sur internet.

Ces prestataires, comme rdv360 ou Synbird, s’appuient eux-mêmes sur des logiciels via lesquels les habitants entrent directement leurs informations personnelles.

Suite aux vols de données, ce 18 novembre, la société Synbird a prévenu les personnes touchées et les invite à une vigilance maximale, notamment en cas de contact prétendant obtenir des données bancaires.

Une nouvelle faille de sécurité zero-day a été patchée dans FortiWeb : CVE-2025-58034. Activement exploitée par les cybercriminels, elle peut permettre d'exécuter des commandes sur FortiWeb dans des attaques ne nécessitant pas d'interaction d'un utilisateur. Faisons le point.

Il y a quelques jours, Fortinet a dévoilé une première faille de sécurité zero-day dans FortiWeb : CVE-2025-64446. Dans le sillage de cette première vulnérabilité, une seconde faille de sécurité zero-day a été patchée par l'éditeur américain. Il s'agit d'une faiblesse de type "injection de commande au niveau de l'OS" qu'un attaquant peut exploiter en étant authentifié.

Fortinet précise qu'elle peut "permettre à un attaquant authentifié d'exécuter du code non autorisé sur le système sous-jacent via des requêtes HTTP ou des commandes CLI spécialement conçues."

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Office fédéral allemand pour la sécurité de l’information (Bundesamt für Sicherheit in der Informationstechnik – BSI) publient une Déclaration commune sur les critères de souveraineté numérique du Cloud.

La publication souligne la nécessité pour l’Union européenne de renforcer sa souveraineté numérique face aux dépendances technologiques non européennes et aux risques associés (confidentialité, disponibilité, contrôle des infrastructures). Le BSI et l’ANSSI y présentent leur démarche commune : élaborer et promouvoir des normes et des cadres de cybersécurité robustes au niveau national et européen afin de garantir la sécurité, la résilience et la souveraineté de nos nations. Ils réaffirment leur engagement en faveur de la collaboration, de l'innovation et de la protection des valeurs européennes à l'ère numérique.

Un garage indépendant du Puy-de-Dôme réclame l’annulation de 72 000 euros dus après avoir été victime d’une cyberattaque sophistiquée. L’État le tient pour l’instant, responsable de fraudes à la carte grise qu’il n’a pourtant jamais commises.