decio

Certes, le volume d'attaques dans les environnements OT/IoT est largement inférieur à celui lié à l'IT, ces réseaux OT n'étant pas aussi nombreux, mais ils sont bien plus vulnérables. En effet, ils ne sont pas autant sécurisés, qui plus est, les équipements qui y sont connectés ne le sont pas non plus. Dans ces conditions, ils deviennent une cible de choix pour les cybercriminels qui profitent des failles pour saboter ou stopper un outil de production et même bloquer les réseaux d'entreprises étant donné le manque d'étanchéité entre les environnements. Les différentes autorités mondiales s'alarment de cette situation à l'heure où les relations entre certains pays se dégradent. Dans ce dossier, les spécialistes interviewés nous donnent à la fois leurs points de vue mais aussi leurs solutions et des bonnes pratiques à prendre en compte. (Crédit photo S.L.)

Le Conseil et le Parlement européen ont trouvé un accord sur de nouvelles règles à propos de la fraude en ligne et l'utilisation abusive des données. Notamment, les plateformes devront faire face à leurs responsabilités si elles n'ont pas supprimé des contenus frauduleux signalés qui ont atteint des victimes.

Bisbilles entre la France et le Canada, après qu'une juridiction de l'Ontario a ordonné à l'hébergeur OVH d'accéder à des données stockées sur des serveurs en Europe et en Australie. Ce dernier refuse et l'affaire prend une tournure politique.

Les équipes de Cato Networks ont découvert une technique baptisée HashJack qui ajoute un prompt malveillant à la suite d'une URL. Cette méthode piège les navigateurs basés sur l'IA pour mener différentes campagnes, phishing, vol de données, installation de malwares,...

Privatim, la Conférence suisse des préposés à la protection des données, a adopté une résolution critiquant l’usage de solutions internationales de cloud pour les données sensibles des autorités. Cette position est toutefois contestée.

De nos jours, les pirates informatiques qui sondent l’infrastructure d’une organisation ont rarement la chance de trouver un poste de travail sans agent EDR. Ils se concentrent donc sur la compromission des serveurs ou de divers appareils spécialisés connectés au réseau, qui disposent de privilèges d’accès assez étendus, mais manquent de protection EDR et souvent même de fonctions de journalisation. Dans un précédent article, nous avons décrit en détail les types d’appareils de bureau vulnérables. Les attaques du monde réel en 2025 se concentrent sur les appareils réseau (comme les passerelles VPN, les pare-feu et les routeurs), les systèmes de vidéosurveillance et les serveurs eux-mêmes. Il ne faut toutefois pas perdre de vue les imprimantes, comme l’a rappelé Peter Geissler, chercheur indépendant, lors du Security Analyst Summit 2025. Il a décrit une vulnérabilité qu’il avait découverte dans les imprimantes Canon (CVE-2024-12649, CVSS 9.8), qui permet d’exécuter du code malveillant sur ces appareils. Et l’aspect le plus intéressant de cette vulnérabilité est que son exploitation se limite à envoyer un fichier anodin à imprimer.

Police de caractères de type cheval de Troie : une attaque via la vulnérabilité CVE-2024-12649 L’attaque commence par l’envoi d’un fichier XPS à imprimer. Ce format, créé par Microsoft, contient toutes les informations nécessaires à l’impression de documents et constitue une alternative au format PDF. Le format XPS est essentiellement une archive ZIP contenant une description détaillée du document, toutes ses images ainsi que les polices utilisées. Les polices sont généralement stockées dans le format TTF (TrueType Font) très répandu, inventé par Apple. Et c’est précisément la police elle-même, qui n’est généralement pas considérée comme étant dangereuse, qui contient le code malveillant.

La FFF informe que le logiciel utilisé par les clubs pour leur gestion administrative et notamment celle de leurs licenciés a été victime d’un acte de cybermalveillance et d’un vol de données.

Les services de la FFF ont, dès la détection de cet accès non-autorisé par l’usage d’un compte compromis, pris les dispositions nécessaires à la sécurisation du logiciel et des données, notamment en désactivant immédiatement le compte en cause et en réinitialisant tous les mots de passe des comptes utilisateurs.

Une plainte a été déposée et les autorités compétentes ont été informées (ANSSI, CNIL) de cette attaque. Par ailleurs, la FFF adressera une communication aux personnes concernées dont l’e-mail était renseigné dans la base de données.

Cette violation se limite uniquement aux données suivantes : nom, prénom, genre, date et lieu de naissance, nationalité, l’adresse postale, l’adresse mail, le numéro de téléphone ainsi que le numéro de licencié.

Ce jeudi, la plus grande plateforme d'échange d'actifs numériques de Corée du Sud, Upbit, a suspendu les dépôts et les retraits après avoir détecté une activité inhabituelle sur les jetons du réseau Solana.

• Les autorités sud-coréennes envisagent que le groupe Lazarus, lié à la Corée du Nord, soit une source possible du piratage de jeudi sur Upbit, selon Yonhap.
• Upbit a suspendu les transactions après avoir détecté une activité inhabituelle sur les tokens Solana, confirmant une importante compromission de son portefeuille chaud.
• Le piratage a coïncidé avec l'annonce d'une fusion impliquant la société mère d'Upbit, Dunamu, et le géant technologique Naver, alimentant les spéculations sur le calendrier.

Le gestionnaire de mots de passe KeePassXC est une version open source et multiplateforme de l’application KeePass Password Safe pour Windows. Les moutures se sont faites plus rares, mais elles comportent toujours autant de nouveautés.

...

Pour les personnes qui préfèrent une version éprouvée, KeePassXC 2.7.9 a reçu le 17 novembre une certification CSPN-2025/16 de l'ANSSI, obtenue pour trois ans. La petite application a même été mise en avant dans une publication du 21 novembre sur la sécurité des mots de passe.

Le CERT-FR a connaissance d'une vague de compromission de paquets NPM ayant débuté le 23 novembre 2025. En date du 26 novembre 2025, plus de 700 paquets ont été affectés. Ce nombre important est dû à l'auto-réplication du logiciel malveillant. Seules quelques versions de ces paquets, les plus récentes, ont été compromises. Plusieurs d'entre elles ont été supprimées par les développeurs par la suite.

...

Recommandations

En raison de l'évolution de la campagne, le CERT-FR recommande de :

• chercher les différents indicateurs de compromissions présentés dans les billets de blogue et en particulier le fichier bun_environment.js ;
• vérifier l'ensemble des paquets NPM installés et leurs versions et les comparer aux versions indiquées comme compromises.

Si cela est possible :

• geler temporairement la mise à jour des paquets NPM et utiliser des versions connues comme légitimes ;
• effectuer un redémarrage des machines susceptibles d'utiliser les paquets.

En cas de suspicion de compromission :

• désinstaller l'ensemble des paquets concernés ;
• vérifier l'intégrité des plateformes d'intégration continue et des potentiels paquets NPM maintenus ;
• effectuer une rotation de l'ensemble des secrets présents sur la machine. De plus les fiches réflexes relatives à la compromission système peuvent être consultées.

Plusieurs jours après qu’elles ont constaté l’incident, les administrations du Royal Borough of Kensington and Chelsea, de l’arrondissement de Westminster et du quartier de Hammersmith et Fulham peinent encore à rendre accessibles l’intégralité de leurs services. A elles seules, elles s’occupent de plus d’un demi-million de Londoniens.

KrebsOnSecurity dévoile l’identité de « Rey », administrateur de Scattered LAPSUS$ Hunters, en retraçant ses erreurs d’OPSEC et en détaillant les campagnes de vishing Salesforce, le RaaS ShinySp1d3r et le recrutement d’initiés.

🔗 Source originale : https://krebsonsecurity.com/2025/11/meet-rey-the-admin-of-scattered-lapsus-hunters/