Le mainteneur de Notepad++ révèle qu'une attaque attribuée à un groupe sponsorisé par l'État chinois a compromis le serveur de distribution des mises à jour entre juin et décembre 2025 😬. Les attaquants ont exploité une vulnérabilité permettant d'intercepter le trafic et de distribuer des binaires malveillants via le composant WinGUp. L'éditeur a migré vers un nouvel hébergeur et implémenté la vérification du certificat et de la signature du programme d'installation depuis la version 8.8.9. La signature XML sera obligatoire dès la version 8.9.2.

Le groupe cybercriminel ShinyHunters revendique le piratage de Tinder, Match.com, Meetic, OkCupid et Hinge. Les attaquants ont exploité les systèmes d'authentification unique (SSO) combinés à des techniques de vishing pour dérober plus de 10 millions d'enregistrements. Les données compromises incluent des informations personnelles, profils utilisateurs, données d'abonnement, numéros de téléphone et tokens d'authentification. Match Group affirme que les identifiants, données financières et conversations privées n'ont pas été exposés.

Toujours sur ShinyHunters, Mandiant identifie trois sous entités liés à à ce groupe d’attaquants (UNC6661, UNC6671, UNC6240) qui élargissent leurs cibles vers Microsoft 365, SharePoint, Slack et d'autres services SaaS. Les attaquants se font passer pour du personnel IT, dirigent les victimes vers des sites de phishing imitant les portails SSO d'entreprise, puis volent identifiants et codes MFA en temps réel. Une fois l'accès obtenu, ils exfiltrent des données sensibles pour des demandes d'extorsion avec menaces d'attaques DDoS sous 72 heures.

L'ANSSI évalue les risques liés à l'IA générative sous deux angles: son exploitation par les attaquants et les menaces qui la ciblent directement. Les systèmes d'IA sont détournés pour le profilage de victimes, l'ingénierie sociale et le développement de malwares. L'agence note que les acteurs avancés l'utilisent pour amplifier leurs attaques tandis que les moins expérimentés s'en servent pour apprendre. Côté défensif, les risques incluent l'empoisonnement de modèles, la compromission de chaînes logicielles et l'exfiltration de données. L'ANSSI précise qu'aucun système n'a encore mené de manière autonome l'intégralité d'une attaque.

Microsoft annonce la désactivation progressive du protocole d'authentification NTLM, vieux de 30 ans, en raison de ses vulnérabilités cryptographiques 👏. Le protocole est exposé aux attaques par relais (PetitPotam, DFSCoerce) et pass-the-hash permettant l'usurpation d'identité et les mouvements latéraux. La transition s'effectue en trois phases :

Le rapport 2026 de TRM Labs révèle un record de 158 milliards de dollars de flux crypto illicites en 2025, soit une hausse de 145% par rapport à 2024. La Russie domine avec le réseau A7 traitant 56 milliards de dollars, tandis que la Chine sert de hub majeur pour le blanchiment avec plus de 103 milliards de dollars transitant via des réseaux bancaires clandestins. Les piratages ont généré 2,9 milliards de dollars de pertes, dont 1,46 milliard pour la seule fuite de Bybit.

Le bulletin Q4 2025 du Threat Analysis Group de Google détaille les campagnes d'influence coordonnées neutralisées. La Russie représente la majorité des actions avec notamment 1 256 chaînes YouTube liées à une société de consulting russe diffusant du contenu pro-Russie et anti-OTAN. La Chine suit avec 6 280 chaînes supprimées en décembre. L'Indonésie, l'Azerbaïdjan et le Pakistan figurent également parmi les pays sources. Les contenus ciblaient principalement la Moldavie, l'Ukraine, l'Arménie et les pays occidentaux.

Deux consultants de Coalfire Labs ont été arrêtés en 2019 lors d'un test d'intrusion autorisé au tribunal du comté de Dallas dans l'Iowa. Malgré leur lettre d'autorisation validée par les autorités judiciaires de l'État, le shérif local a ordonné leur arrestation pour cambriolage. Après 20 heures de détention et des années de procédure, le comté a versé 600 000 dollars pour reconnaître l'arrestation abusive, l'abus de procédure et la diffamation 💸.

Le FBI a saisi RAMP, l'un des derniers forums russophones autorisant ouvertement la promotion d'opérations ransomware. Lancé en juillet 2021 par Mikhail Matveev (alias Wazawaka), ancien opérateur de Babuk, le forum servait à recruter des affiliés et échanger des accès à des réseaux compromis. Les serveurs DNS redirigent désormais vers ns1.fbi.seized.gov, donnant potentiellement accès aux autorités aux emails, adresses IP et messages privés des utilisateurs mal protégés.

Le botnet Aisuru/Kimwolf a lancé une attaque DDoS record en décembre 2025, atteignant 31,4 Tbps et 200 millions de requêtes par seconde. Baptisée "The Night Before Christmas" par Cloudflare, cette campagne ciblait des entreprises de télécommunications et fournisseurs de services IT. Une particularité notable : les sources d'attaque provenaient principalement de téléviseurs Android compromis, marquant une évolution par rapport aux traditionnels appareils IoT et routeurs. Les attaques DDoS ont globalement augmenté de 121% en 2025.

Le SGDSN dévoile la stratégie nationale visant à faire de la France "une nation cyber de premier rang". Les cinq axes prioritaires comprennent :

La CNIL sanctionne France Travail pour manquement à la sécurité des données des demandeurs d'emploi. Le vol de données de début 2024 a exposé les informations personnelles de 43 millions de personnes : noms, dates de naissance, numéros de sécurité sociale, adresses email, postales et téléphones. Les attaquants ont compromis des comptes de conseillers CAP Emploi via ingénierie sociale. France Travail doit documenter ses mesures correctives sous peine d'astreinte de 5 000 euros par jour. Il s'agit de la deuxième fuite majeure après celle d'août 2023 touchant 10 millions de personnes.

Une action en justice affirme que Meta peut secrètement accéder aux messages WhatsApp malgré le chiffrement de bout en bout. Le professeur Matthew Green analyse la controverse technique dans ce blog post. WhatsApp utilise le protocole Signal pour 3 milliards d'utilisateurs, mais son code source fermé empêche la vérification indépendante. Green souligne que toute exfiltration massive laisserait des traces forensiques détectables dans le code de l'application. Les failles de confidentialité réelles concernent les sauvegardes cloud et la collecte de métadonnées, mais ne correspondent pas aux allégations de la plainte.

17 vulnérabilités critiques cette semaine dont 4 exploitées et 3 avec un code d'exploitation public :

Exploitées :

Code d'exploitation public :

Le CERT-FR rappelle l'alerte en cours concernant les multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (EPMM), activement exploitées dans le cadre d'attaques ciblées.

Sur ces 7 derniers jours la CISA a ajouté cinq vulnérabilités exploitées :

La CISA confirme que des groupes de ransomware exploitent la CVE-2025-22225, une vulnérabilité d'écriture arbitraire dans VMware ESXi permettant une évasion de sandbox. Broadcom avait corrigé cette faille en mars 2025 avec deux autres vulnérabilités associées (CVE-2025-22226 et CVE-2025-22224). Selon Huntress, des acteurs auraient exploité ces failles dès février 2024, soit un an avant leur divulgation officielle 🙄. Les produits affectés incluent ESXi, Fusion, Cloud Foundation, vSphere et Workstation.

Suites aux révélation de la compromission de Notepad++ (cf. news), Rapid7 Labs révèle une campagne sophistiquée du groupe APT chinois Lotus Blossom utilisant une nouvelle backdoor nommée Chrysalis. Le malware exploite l'infrastructure de mise à jour compromise de Notepad++ pour délivrer un installateur NSIS contenant un binaire BitDefender légitime détourné pour charger une DLL malveillante. Les cibles incluent gouvernements, télécoms et infrastructures critiques en Asie du Sud-Est.

Synacktiv détaille comment les privilèges Windows et droits de connexion peuvent être énumérés pour identifier des vecteurs d'élévation de privilèges locale. L'article examine les privilèges critiques : SeDebugPrivilege pour l'injection de shellcode, SeImpersonatePrivilege exploité par les attaques Potato, et SeBackupPrivilege pour extraire les ruches SAM et SYSTEM. Les améliorations proposées pour BloodHound permettent l'énumération des privilèges via parsing GPO (discret) ou requêtes RPC LsaEnumerateAccountsWithUserRight (bruyant).

Une analyse technique approfondie de SpyNote, RAT Android actif depuis plusieurs années et distribué en Malware-as-a-Service. Depuis la fuite du code source v6.4 en 2020, de nombreuses variantes ont émergé dont Craxs RAT. Le malware offre un contrôle complet : streaming caméra/micro, keylogging, tracking GPS, accès fichiers et terminal système. L'infection repose sur l'ingénierie sociale pour obtenir les permissions Accessibility Service, permettant une élévation automatisée des privilèges. Des groupes APT comme OilRig, APT-C-37 et Kimsuky ont intégré SpyNote dans leurs opérations ciblées.

Flare démontre que les campagnes de rançon MongoDB persistent depuis 2017. Sur 200 000 serveurs MongoDB découverts via Shodan, 3 100 étaient exposés sans authentification et 1 416 (45,6%) déjà compromis avec une demande de rançon d'environ 500 dollars en Bitcoin. Un seul acteur semble responsable de 98% des attaques. L'équipe a identifié 763 images Docker sur Docker Hub configurées pour exposer MongoDB sans authentification. Le risque principal reste la mauvaise configuration et non l'exploitation de vulnérabilités.

Koi Security révèle une faille critique dans trois éditeurs de code IA forkés de VSCode. Ces IDE utilisent OpenVSX au lieu du marketplace Microsoft mais conservaient des recommandations d'extensions pointant vers des namespaces non réclamés. Un attaquant aurait pu enregistrer ces namespaces et distribuer du code malveillant avec accès système complet (clés SSH, credentials AWS, code source).

Une analyse des configurations Kubernetes dangereuses sur AWS EKS démontre l'impact cumulatif des mauvaises pratiques. Un pod avec privileged:true, hostPath:/, hostNetwork:true et hostPID:true permet une évasion triviale via chroot vers le nœud hôte Amazon Linux. L'accès au socket containerd autorise le pivot vers d'autres pods.

L'analyse de Qualys sur 34 000 images de conteneurs publics révèle que 60% ont moins de 1 000 pulls et 4% contiennent du cryptominage. Parmi les 2 500 images malveillantes confirmées sur Docker Hub, 70% sont des cryptomineurs ciblant principalement Monero (85%) via XMRig. Le typosquatting était la technique de distribution courante, où les attaquants imitent des noms d'images légitimes comme nginx, ubuntu, drupal et joomla pour tromper les utilisateurs.

Un chercheur découvre une exposition critique de JWT Supabase via l'outil rep+. Un token anonyme embarqué dans le JavaScript client donnait accès en lecture à de multiples tables de base de données en raison d'une mauvaise configuration Row Level Security (RLS). Parmi les données exposées il a trouvé 272 tokens de réinitialisation de mot de passe avec emails associés, et des mots de passe en clair dans plus de 33 tables. Cette faille permettait la prise de contrôle complète des comptes utilisateurs via le flux de réinitialisation de mot de passe.

TrustedSec détaille deux mécanismes de protection Active Directory complémentaires. LDAP Channel Binding lie le tunnel TLS à la couche applicative pour prévenir les attaques par relais (fonctionne uniquement sur LDAPS port 636). LDAP Signing assure que les requêtes n'ont pas été modifiées en transit. Ces protections défendent contre les attaques de type man-in-the-middle et replay. Windows Server 2025 rend LDAP Signing obligatoire par défaut. Les organisations doivent auditer leurs environnements avant l'application pour éviter de casser les applications legacy 😉.

Cet outil crée un tunnel furtif qui fait passer du trafic TCP standard pour des échanges email SMTP légitimes afin de contourner les pare-feu avec DPI. Le système imite le comportement d'un serveur SMTP lors du handshake initial, puis passe en streaming binaire chiffré TLS.

MCP Security Hub fournit des conteneurs Docker prêts à l'emploi exposant 28 serveurs MCP d'outils de sécurité offensive pour les assistants IA comme Claude. La collection couvre la reconnaissance (Nmap, Shodan, Masscan), la sécurité web (Nuclei, SQLMap, Nikto, Burp Suite), l'analyse binaire (Radare2, Ghidra, IDA Pro, YARA), la sécurité cloud (Trivy, Prowler), l'OSINT (Maigret, DNStwist), la threat intelligence (VirusTotal, AlienVault OTX), Active Directory (BloodHound) et le cracking (Hashcat).

ADTrapper est une plateforme d'analyse de sécurité Active Directory transformant les logs d'authentification Windows en insights actionnables. L'outil inclut plus de 54 règles de détection couvrant les attaques par brute force, password spray, élévation de privilèges et exploits AD CS. Il intègre les données SharpHound pour la cartographie AD complète et propose des graphes réseau interactifs pour visualiser les relations entre entités.

Cet outil Python recherche automatiquement les tokens JWT Supabase exposés dans les fichiers JavaScript des sites web. Une fois un token découvert, le script énumère toutes les tables REST exposées et teste leur accessibilité sans contrôle d'accès approprié.

Ce toolkit OSINT regroupe des ressources pour la collecte de renseignements en sources ouvertes. Il couvre l'investigation blockchain (Etherscan, Arkham Intelligence), l'analyse média (InVID/WeVerify, TinEye), le renseignement réseau (Shodan, Censys, SpiderFoot), la recherche de fuites de données (Have I Been Pwned, DeHashed), la découverte de comptes (Sherlock, WhatsMyName), etc.

🎬 What a fail! - Le complot le plus flippant de l’histoire (stéganographie dans les imprimantes et le malware Stegano)

🎧️ NoLimitSecu - Episode consacré à podenv et au développement sécurisé.

🗓️ Swiss Cyber Security Days - Le 17 et 18 février 2026 à Berne, Suisse

🗓️ Mars@Hack - Le 10 mars 2026 à Mont de Marsan, France

🗓️ Insomni'hack - Du 16 mars au 20 mars 2026 à Lausanne, Suisse

🤝 Varonis annonce l'acquisition d'AllTrue.ai, spécialiste de la gestion des risques et de la sécurité de l'IA (AI TRiSM).

Elon Musk est convoqué le 20 avril par le parquet de Paris dans le cadre d'une enquête visant X. Les gendarmes, assistés d'Europol, ont perquisitionné les locaux français après deux signalements concernant les modifications algorithmiques de la plateforme. L'enquête porte sur plusieurs chefs d'accusation : administration de plateforme illicite en bande organisée, traitement illégal de données personnelles, et complicité de diffusion de contenus pédopornographiques. Le parquet relève une baisse de 81,4% des signalements après le changement d'outil de détection. L'IA Grok est également visée pour génération d'images dénudées non consensuelles et diffusion de propos négationnistes.

Le week-end dernier, le monde de la tech a assisté à la naissance de MoltBook, le premier forum où tous les utilisateurs sont des IA. Sans intervention humaine, les 38 000 machines inscrites ont commencé à dériver en proposant de créer des conversations illisibles pour les humains, à inventer une religion 100% digitale et à se plaindre des humains. Cela pose la question : si des IA peuvent se convaincre mutuellement de réalités alternatives en environnement clos, que se passera-t-il quand elles inonderont le web ouvert avec ces délires auto-générés 😨?

OpenAI détaille comment PostgreSQL a été mis à l'échelle pour supporter 800 millions d'utilisateurs de ChatGPT avec une seule instance principale Azure et près de 50 réplicas de lecture. Les optimisations clés incluent : déchargement du trafic lecture vers les réplicas, migration des charges d'écriture intensives vers CosmosDB, isolation des charges de travail sur instances dédiées, etc. Le système atteint une disponibilité de 99,999% avec une latence de quelques dizaines de millisecondes.

L'article retrace l'évolution stratégique de Docker Inc depuis la standardisation de la conteneurisation. Après avoir vendu Swarm suite à la victoire de Kubernetes, Docker s'est recentré sur les outils développeurs avec les acquisitions d'Atomist (Docker Scout) et AtomicJar (Testcontainers). Le pivot vers l'IA s'est accéléré avec Model Runner, Compose pour agents IA et l'acquisition de MCP Defender en septembre 2025 pour la sécurité des infrastructures agentiques. En décembre 2025, Docker a publié plus de 1 000 images conteneurs durcies en open source face à la concurrence de Chainguard.

VHS est un outil open source qui convertit des scripts en enregistrements terminal au format GIF, MP4 ou WebM. Contrairement aux enregistreurs live, VHS permet de scripter entièrement les commandes dans un fichier .tape avant exécution automatisée. L'outil offre le contrôle de la vitesse de frappe, la pause jusqu'à apparition d'un output spécifique, et une intégration CI/CD pour régénérer automatiquement les GIFs de documentation quand les CLI évoluent.

Mistral Vibe 2.0 est un agent de codage natif terminal propulsé par le modèle Devstral 2. La version 2.0 introduit les sous-agents personnalisés pour des workflows ciblés (review PR, déploiement, génération de tests), les clarifications multi-choix demandant confirmation avant action ambiguë, les skills en slash-commands pour tâches courantes, et les modes agent unifiés combinant outils et permissions. Une agent proche de la concurrent (ClaudeCode & Co).

The Guardian, le New York Times et Reddit ont restreint l'accès à leurs archives sur la Wayback Machine pour empêcher les entreprises d'IA de collecter leurs contenus. Selon Mark Graham, directeur de la Wayback Machine, certaines sociétés généraient des dizaines de milliers de requêtes par seconde pour extraire du contenu. Une analyse de Nieman Lab sur 1 167 sites d'information révèle que 241 bloquent au moins un robot d'extraction. Ces mesures de protection, bien que légitimes pour préserver les intérêts des éditeurs, fragmentent l'accès à la mémoire historique d'Internet.

Startpage, basé aux Pays-Bas depuis 2006, agit comme intermédiaire entre l'utilisateur et Google. Les requêtes sont transmises à Google sans révéler l'IP, les cookies ou l'historique de recherche de l'utilisateur. Sous juridiction GDPR et exempt du Cloud Act américain, le moteur propose une fonction "Anonymous View" qui route les clics vers les sites via ses propres serveurs, empêchant le fingerprinting. Comparé à DuckDuckGo (Bing, US) ou Qwant, Startpage offre la qualité Google avec la protection européenne.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter