Le code source complet du malware Android ERMAC a été découvert en mars 2024 par les chercheurs de Hunt.io.
Cette fuite inclut le backend en PHP, le frontend en React, le serveur d’exfiltration, le builder d’APK et les configurations de déploiement, exposant toute l’infrastructure du modèle "malware-as-a-service".
Plus abouti que ses versions précédentes, ERMAC 3.0 cible désormais plus de 700 applications banques, cryptomonnaies, e-commerce. Ses capacités incluent : vol de SMS et de mails Gmail, prise de photos via la caméra frontale, gestion complète des apps, et envoi de notifications frauduleuses. L’analyse révèle également des erreurs opérationnelles : tokens JWT codés en dur, identifiants root par défaut, absence de protections d’accès au panneau d’administration.
Une enquête de Citizen Lab révèle que près de 20 applications VPN sur Google Play, représentant plus de 700 millions de téléchargements, présentent de graves vulnérabilités de sécurité : mots de passe codés en dur, chiffrements obsolètes, et collecte dissimulée de données de localisation. En cause, trois éditeurs prétendument distincts Innovative Connecting, Autumn Breeze, Lemon Clove mais techniquement liés, utilisant le protocole Shadowsocks, inadapté à la protection de la vie privée.
Ces applications dont Turbo VPN, VPN Proxy Master ou encore Snap VPN sont vulnérables à des attaques par injection de paquets et interception de trafic. Citizen Lab appelle à éviter les VPN basés sur Shadowsocks, initialement conçu pour contourner la censure, mais dangereux pour les usages liés à la confidentialité.
Debian a publié sa nouvelle version stable, Debian 13, nom de code Trixie. Cette release succède à Debian 12 Bookworm et amorce un nouveau cycle de stabilité de cinq ans, avec un support complet jusqu’en 2028, et une phase LTS jusqu’en 2030.
Parmi les évolutions, l’introduction de Plasma 6, la prise en charge officielle de riscv64, le support natif de HTTP/3 dans curl, des mesures anti-ROP/COP/JOP sur amd64/arm64, ainsi que des progrès notables vers des constructions de paquets reproductibles.
Trixie introduit également le retrait de plusieurs composants obsolètes, achève la transition vers un répertoire /usr fusionné, et adopte l’interface t64 pour garantir la compatibilité au-delà de 2038. Côté sécurité, systemd propose désormais run0, une alternative à sudo reposant sur les groupes Unix.
Microsoft a annoncé de nouvelles mesures pour renforcer la sécurité de Teams, en bloquant les fichiers et les liens potentiellement dangereux dans les discussions et canaux.
Une étude récente a démontré qu’une invitation Google contenant une injection de prompt indirecte peut compromettre les assistants Gemini de Google.
Cette technique, qualifiée de Promptware, consiste à insérer des instructions malveillantes dans des contenus usuels : e-mails, événements, documents partagés, que l’IA interprète comme des commandes légitimes.
Les chercheurs ont simulé 14 scénarios d’attaques sur les assistants Gemini. Les attaques s’appuient sur les capacités agentiques des assistants, l’interprétation d’intentions et l’invocation d’apps, leur permettant d’interagir de façon autonome avec l’environnement numérique et matériel de l’utilisateur.
Des chercheurs de Proofpoint ont démontré une nouvelle méthode d’attaque par repli contre l’authentification FIDO utilisée dans Microsoft Entra ID.
L’attaque, développée par Proofpoint, exploite une faille d'intégration en usurpant l'identité d’un navigateur incompatible avec FIDO. En simulant cet environnement à travers un phishlet Evilginx, Microsoft Entra désactive automatiquement l’authentification FIDO, forçant l’utilisateur à recourir à une méthode alternative plus faible.
Si la victime valide cette méthode de secours, l’attaquant intercepte à la fois les identifiants et les cookies de session, lui donnant un accès complet au compte ciblé.
Microsoft à publié un bulletin de sécurité corrigeant 111 vulnérabilités :
Windows PowerShell 2.0, introduit avec Windows 7 et officiellement déprécié en 2017, sera définitivement supprimé des futures versions de Windows. Jusqu’ici disponible en tant que fonctionnalité optionnelle pour assurer la compatibilité, il disparaîtra :
Le NIST a publié le standard Lightweight Cryptography destiné à protéger les données générées et transmises par les milliards d’objets connectés et autres dispositifs électroniques, tels que les RFID, implants médicaux ou capteurs industriels.
Ces appareils, limités en puissance de calcul et en mémoire, nécessitent des mécanismes de sécurité robustes. Les algorithmes traditionnels de cryptographie, souvent trop gourmands en ressources, ne conviennent pas. Le standard publié sous la référence NIST Special Publication 800-232 – Ascon-Based Lightweight Cryptography Standards for Constrained Devices vient répondre à ce défi.
Le U.S. Department of Justice a annoncé la saisie de 1,09 million de dollars en cryptomonnaies appartenant au gang de ransomware BlackSuit. Cette action a permis :
Cette opération n’aurait pas été possible sans une coopération internationale. Aux côtés des États-Unis, la France, le Royaume-Uni, l’Allemagne, l’Irlande, le Canada, l’Ukraine et la Lituanie ont contribué à rendre cette action conjointe efficace.
Fortinet a publié un bulletin de sécurité concernant son produit FortiWeb, versions 7.0 à 7.6.
Référencée sous le code CVE-2025-52970 : une mauvaise gestion des paramètres dans FortiWeb peut permettre à un attaquant distant non authentifié, disposant d’informations non publiques sur l’équipement et la cible, d’obtenir des privilèges administrateur via une requête spécialement conçue.
Fortinet a corrigé cette vulnérabilité dans les versions 7.6.4, 7.4.8, 7.2.11 et 7.0.11.
Fortinet a publié un bulletin de sécurité concernant une vulnérabilité dans leur produit FortiSIEM.
Référencée sous le code CVE-2025-25256 : une neutralisation incorrecte d'éléments spéciaux utilisés dans une commande OS peut permettre à un attaquant non authentifié d’exécuter du code ou des commandes non autorisés via des requêtes CLI spécialement conçues.