Alertes

Introduction : Deux extensions Chrome malveillantes ont été prises la main dans le sac en train de piller vos données. Elles sont capables de détourner tout votre trafic web vers des serveurs contrôlés par des pirates , ce qui permet d’intercepter mots de passe, identifiants et données bancaires… Toutes les deux intitulées Phantom Shuttle, elles ont été mises en ligne par le même développeur. Elles se présentent comme des plugins de VPN qui permettent aussi de tester la connectivité et la vitesse du réseau Internet. Il ne s’agit pas de solutions gratuites.

Introduction : Des chercheurs ont découvert une méthode nommée GhostPairing détournant le mécanisme d’association entre les terminaux de WhatsApp. Ils peuvent ainsi accéder aux conversations et envoyer des messages à l’insu de l’utilisateur.

Introduction : Un collectif de militants pirates affirme avoir eu accès à 256 millions de lignes de métadonnées et à 86 millions de fichiers audio, l’équivalent d’environ 300 téraoctets de données, de Spotify, rapporte Billboard. Les métadonnées, mais aucun fichier audio, ont été rendues publiques via le moteur de recherche ouvert Anna’s Archive.

Introduction : Les chercheurs de Riot Games découvrent que votre firmware UEFI vous ment : il prétend vous protéger contre les attaques DMA mais ne fait rien, et seul un accès physique à votre machine peut le révéler Quatre géants de la carte mère (ASUS, Gigabyte, MSI, ASRock) laissent des dizaines de chipsets vulnérables en attente de correctifs, certains ne seront patchés qu’en 2026 Votre réparateur, votre collègue jaloux ou l’ancien proprio du PC d’occasion que vous avez acheté pouvaient lire toute votre mémoire avant même que Windows ne démarre

Introduction : Ils sont pratiques, mais ils énervent tout autant. Les casiers à colis envahissent la France pour le meilleur comme pour le pire… Le flou juridique n’arrange rien. Une installation de moins de 5 m² ne nécessite pas d’autorisation formelle, ce qui permet aux opérateurs d’agir rapidement, parfois au grand dam des municipalités. Plusieurs maires dénoncent des stratégies de contournement des règles d’urbanisme et réclament davantage de contrôle comme c’est le cas à Rives-en-Seine où des consignes ont même été retirées après coup.

Introduction : Si vous utilisez GitHub Copilot ou ChatGPT pour coder plus vite, voici une nouvelle qui va peut-être vous refroidir un peu. Une fintech a découvert que des attaquants avaient extrait des données clients via un endpoint API qui n’était documenté nulle part. Personne dans l’équipe ne se souvenait l’avoir créé et après 3 semaines d’enquête, le verdict est tombé : c’est Copilot qui l’avait généré pendant une session de code nocturne…. Ils ont testé plus de 100 LLM sur 80 tâches de codage différentes, et le résultat fait mal puisque 45% du code généré par IA contient des vulnérabilités classées OWASP Top 10. En gros, presque une fois sur deux, votre assistant IA vous pond du code troué comme une passoire. Java est le grand gagnant avec 72% de taux d’échec, suivi par Python, JavaScript et C# qui tournent autour de 38-45%.

Introduction : Windows 10 n’a officiellement plus de support technique depuis le 14 octobre dernier. Dans l’ensemble des marchés, il est d’ordinaire possible de payer pour obtenir une année de support supplémentaire. Ce programme, nommé Extended Security Updates (ESU), est cependant gratuit en Europe. Il est limité à la première année et prendra fin (en théorie) en octobre 2026.

Introduction : Le ministère des Sports, de la Jeunesse et de la Vie associative reconnaît avoir été victime d’une cyberattaque. L’intrusion a abouti au vol de données concernant 3,5 millions de foyers. Il s’agit en fait d’informations récemment attribuées par erreur à un hack de la Caisse Nationale d’Allocations Familiales.

Introduction : Google et Microsoft ont certifié des extensions qui enregistrent vos conversations ChatGPT pour les revendre : le badge “Sécurisé” du Chrome Web Store n’a jamais été aussi ironique 8 millions de gens utilisent un VPN gratuit qui injecte du code malveillant directement dans vos chats IA pour aspirer vos secrets médicaux, financiers et professionnels Urban Cyber Security transforme silencieusement la surveillance de votre navigation en surveillance de vos pensées : vos prompts IA valent bien plus chers que votre historique web… Hé bien c’est exactement ce que viennent de découvrir les chercheurs en sécurité de Koi qui ont mis le doigt sur 4 extensions très populaires comptabilisant plus de 8 millions d’utilisateurs au total : Urban VPN Proxy (6 millions à elle seule), 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker qui aspirent silencieusement tout ce que vous tapez dans vos chat IA préférées.

Introduction : Alerte en cours chez SFR ! Un outil interne dédié au raccordement fixe a été piraté. Les cybercriminels ont compromis les données des abonnés, dont des coordonnées de contact. Une mine d’or pour les escrocs.

Introduction : Le ministère de l’Intérieur a été piraté. Des hackers prétendent avoir mis la main sur le casier judiciaire de 16 millions de personnes, ainsi que sur d’autres informations de police. Ils donnent une semaine à la France pour négocier.

Introduction : Les données de certains utilisateurs de Pornhub ont été compromises. En piratant une plateforme tierce, des pirates bien connus ont mis la main sur une grande quantité d’informations sensibles, à commencer par l’historique des vidéos regardées.

Introduction : Wizz, une application présentée comme un moyen pour les adolescents de se faire de nouveaux amis, se retrouve accusée d’avoir servi de terrain de chasse à de nombreux prédateurs sexuels pour entrer en contact avec des mineurs. Aux États-Unis, les médias tirent la sonnette d’alarme et appellent les politiques à agir.

Introduction : Deux vulnérabilités ont été découvertes dans le code de l’iPhone et de plusieurs autres appareils Apple. Le duo de failles a permis à des cybercriminels de déployer une cyberattaque sophistiquée contre des utilisateurs. Apple déploie un correctif pour colmater les brèches.

Introduction : Cette technique trompe les utilisateurs pour qu’ils copient-collent une URL malveillante, donnant aux pirates l’accès à leurs comptes Microsoft sans voler de mots de passe.

Introduction : Un nouveau malware cherche à rançonner les utilisateurs d’un smartphone Android. Caché dans de fausses applications, le virus menace en effet d’effacer toutes les données enregistrées sur le téléphone.

Introduction : Les faux SMS, e‑mails et appels se multiplient à l’approche des fêtes de fin d’année. Dans ce contexte, Amazon prévient que des escrocs usurpent massivement son identité pour piéger ses clients.

Introduction : Dans un email, la Fédération française de handball explique que « le logiciel fédéral GestHand, utilisé par les clubs, comités et ligues pour leur gestion administrative, a été victime d’un acte de cybermalveillance avec un accès non-autorisé ». Un effet boule de neige est donc à prévoir sur les adhérents et pratiquants. .. Chez Cuisinella, « un tiers non autorisé a accédé à certaines données relatives à nos clients. Dès la détection de l’incident, nos équipes de cybersécurité ont immédiatement mis fin à l’intrusion, lancé des investigations approfondies et pris les mesures nécessaires ».

Introduction : Asus confirme avoir été touché par une cyberattaque visant l’un de ses fournisseurs. Une partie du code source des caméras de ses smartphones a été compromise par les cybercriminels russe.

Introduction : Une intrusion informatique chez MédecinDirect pourrait toucher près de 300 000 utilisateurs et relance la question de la sécurité des données médicales dans les services de santé en ligne.

Introduction : Un piratage visant le groupe Schmidt et ses enseignes, dont Cuisinella, expose des données de contact de milliers de clients français, sur fond de série noire de cyberattaques hexagonales.

Introduction : Le groupe de ransomware Qilin revendique une nouvelle vague d’attaques contre des organisations américaines et européennes, dont une branche de la Scientologie, en exposant fichiers internes, événements et données sensibles.

Introduction : Un chercheur a découvert dans le composant React Server Components une faille dont le score de gravité CVSS atteint la note maximale de 10. Des correctifs ont été rapidement publiés et il est recommandé de mettre à jour les applications et autres composants concernés le plus rapidement possible.

Introduction : Des pirates ont transformé 145 extensions Chrome et Edge réputées sûres en outils d’espionnage, collectant discrètement les données de millions d’utilisateurs et révélant les failles du contrôle des mises à jour, à travers un plan s’étalant sur plusieurs années.

Introduction : Les données bancaires et les mots de passe des comptes clients ne sont pas concernés, selon Leroy Merlin, qui explique que la cyberattaque concerne des données comme les noms et les prénoms, les numéros de téléphone ou les adresses.

Introduction : Votre téléphone Android est déjà entre les mains des pirates : deux failles 0-day permettent le vol de données ET la prise de contrôle totale de votre appareil Google corrige 107 vulnérabilités mais des millions de téléphones resteront à jamais exposés faute de mises à jour de sécurité Les activistes et journalistes sont déjà ciblés, mais maintenant que les failles sont publiques, c’est l’arme de demain pour les cybercriminels lambda

Introduction : Un malware s’est caché dans le code d’au moins 15 applis Android du Play Store. Intitulé GhostAd, le virus a transformé des millions de smartphones en « usines à publicités ». Ces pubs incessantes plombent les performances et la batterie des téléphones infectés.

Introduction : Pendant sept ans, une entité pirate intitulée ShadyPanda a transformé 145 extensions Chrome et Edge en véritables logiciels espions. Au terme de leur mutation, les extensions étaient capables de siphonner l’historique, les cookies et les recherches des internautes…

Alerté par les experts de Koi Security, Google a fait le ménage en supprimant toutes les extensions malveillantes liées à la campagne. Ce n’est malheureusement pas le cas de Microsoft. Certaines extensions sont encore disponibles sur la boutique d’extensions de Microsoft Edge.

Introduction : Les faux conseillers bancaires ont une nouvelle astuce pour piéger les Français. De plus en plus souvent, ils envoient un faux coursier au domicile de leur cible. Celui-ci vient récupérer la carte bancaire et le code…

Introduction : Un vague d’arnaques aux faux PV déferle en France. Dans plusieurs villes françaises, de fausses contraventions munies d’un QR code frauduleux ont été identifiées. Ces escroqueries peuvent faire de sérieux dégâts…