🏆 Top news du mois de decembre
🔒 Protection des données : Permissions dans les applications mobilesLa CNIL revient dans cet article sur le rôle clé des permissions au sein des applications mobiles.
En lire plus...
📰 News : The Yeswehack bug bounty reportRapport de l'année 2024 de la plateforme YesWeHack sur les usages du BugBounty pour les CISOs et les hunters. Quelques graphes sont présents pour comprendre l'évolution et les bénéfices de mettre en place des programmes de BugBounty.
En lire plus...
📰 News : Baromètre des risques 2025Allianz publie son baromètre des risques 2025. Pour la quatrième année consécutive, les incidents cyber arrivent en tête du classement mondial, mais avec une marge plus élevée que jamais. Ils constituent le risque nº 1 dans 20 pays, dont l'Afrique du Sud, l'Allemagne, l'Argentine, la France, l’Inde, le Royaume-Uni et les Etats-Unis.
En lire plus...
📰 News
03/01/2025
La géolocalisation précise de 800.000 véhicules Volkswagen était en accès libre depuis des mois
Les données de géolocalisation de plus de 800.000 véhicules Volkswagen, Audi, Skoda, et Seat étaient accessibles en libre accès sur des serveurs hébergés par Amazon.
06/01/2025
ESET et Stellar Cyber étendent leur partenariat
La plateforme Stellar Cyber exploite les données de surveillance mondiale d’ESET pour améliorer la détection et la réponse aux incidents.
06/01/2025
L’IA générative s’occupe maintenant de votre audit
Si l’IA générative révolutionne les audits, elle pose des défis majeurs en matière de confidentialité. Ces audits impliquent souvent des données sensibles, stratégiques ou critiques qui exigent des garanties strictes. Confier ces analyses à des systèmes automatisés sans contrôle rigoureux peut exposer à des risques critiques. Il est donc indispensable de prévoir des mesures supplémentaires, souvent coûteuses, pour garantir la sécurité et la confidentialité des données
07/01/2025
La Cour des Comptes met les hôpitaux en PLS
Les établissements de santé étant le 3ᵉ type d’infrastructure ciblée en France et faisant face à des infrastructures numériques toujours plus vieillissantes, des moyens ont été mis à disposition pour rattraper ce retard. Engagement financier que la Cour des comptes juge indispensable de poursuivre dans le temps tout en déplorant d’autres retards dans différents domaines.
08/01/2025
Encore un domaine à 20 $, plus de gouvernements
Les équipes de Watchtowr ont analysé une multitude de webshells et ont identifié que nombre d’entre eux réalisaient des callbacks vers des noms de domaines abandonnés. L’enregistrement de ces noms de domaines leur a permis de collecter des logs et identifier de nombreux systèmes compromis à travers le monde. L’article revient sur les dangers de l’utilisation et de l’abandon de noms de domaines, à la fois dans les outils offensifs, mais également dans des logiciels grand public.
09/01/2025
Une faille de sécurité touchant les VPN Ivanti permet à des hackers de déployer des malwares
La société de logiciels américaine alerte sur l’exploitation par des pirates informatiques d’une faille de sécurité dans plusieurs de ses solutions VPN. En s’infiltrant dans les réseaux d’entreprise, les cybercriminels peuvent installer des logiciels malveillants. Assez vulnérables, les produits d’Ivanti sont régulièrement ciblés par les attaquants.
09/01/2025
Salt Typhoon, la menace qui s’intéresse aussi à ceux qui n’ont rien à cacher
L’attaque Salt Typhoon démontre que le contenu d’un SMS ne peut pas être considéré comme confidentiel puisqu’une part importante du trafic SMS mondial est écoutée. Toute application dont la sécurité repose exclusivement sur la confidentialité d’un code reçu par SMS s’expose donc à des attaques. Cet article s’intéresse au SMS ; l’un des moyens de communication les moins confidentiels du monde.
14/01/2025
The Yeswehack bug bounty report
Rapport de l’année 2024 de la plateforme YesWeHack sur les usages du BugBounty pour les CISOs et les hunters. Quelques graphes sont présents pour comprendre l’évolution et les bénéfices de mettre en place des programmes de BugBounty.
20/01/2025
Traduire du code C en Rust « safe » ?
La migration des anciens codes C vers Rust « safe » est une solution prometteuse pour réduire les failles comme les buffer overflows, responsables de nombreuses vulnérabilités. Cependant, cette transition nécessite un accompagnement d’expert pour garantir la conformité, la vérification des codes traduits et une intégration réussie. Ce processus, souvent complexe et coûteux, est indispensable pour sécuriser durablement les systèmes critiques tout en modernisant les bases existantes.
20/01/2025
Une IA empoisonnée par un hacker pourrait tromper un médecin ou un tank
L’empoisonnement des données utilisées pour entraîner une IA peut transformer un outil performant en un danger potentiel, induisant des erreurs graves dans des domaines critiques comme la médecine, la défense ou la cybersécurité. Ces dérives rappellent l’importance de ne pas se fier aveuglément aux résultats produits par l’IA. L’expertise humaine reste donc cruciale pour valider et encadrer les résultats fournis par ces technologies.
22/01/2025
Publication de deux documents relatifs à l’entrée en vigueur de DORA
Le règlement européen 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier DORA vient d’entrer en application ce 17 janvier 2025. L’ACPR vient de publier deux documents relatifs à l’entrée en vigueur de DORA : un FAQ sur le règlement et la directive DORA et un formulaire de déclaration d’externalisation de notification des incidents majeurs
22/01/2025
Baromètre des risques d’Allianz 2025
Allianz publie son baromètre des risques 2025. Pour la quatrième année consécutive, les incidents cyber (38 % des réponses) arrivent en tête du classement mondial, mais avec une marge plus élevée que jamais (7 points de pourcentage). Ils constituent le risque nº 1 dans 20 pays, dont l’Afrique du Sud, l’Allemagne, l’Argentine, la France, l’Inde, le Royaume-Uni et les Etats-Unis.
29/01/2025
Une révolution énergétique pour les centres de données
Des chercheurs ont réussi à réduire jusqu’à 30 % la consommation énergétique des data centers en optimisant le noyau Linux. Cette avancée montre l’impact direct d’une optimisation logicielle sur les performances et la durabilité des infrastructures informatiques. Elle nécessite une expertise pointue pour identifier et corriger les goulets d’étranglement. Au-delà des gains financiers considérables pour les entreprises, cette optimisation réduit aussi l’empreinte carbone.
🛑 Vulnérabilité
07/01/2025Le Trésor américain victime d’une intrusion via BeyondTrust
Ne pas faire confiance aux outils de cyber ? Lorsqu'il faut penser la .sécurité à de multi-niveaux, on peut évoquer le zero trust ou surtout la défense en profondeur
07/01/2025
LDAPNightmare
Une preuve de concept de la CVE-2024-49113 concernant le service LDAP est désormais disponible. Cette vulnérabilité a été corrigée le mois dernier, il est temps de patcher !
13/01/2025
Des millions de comptes vulnérables à cause d’une faille OAuth de Google
Lorsqu’une entreprise ne renouvelle pas son nom de domaine, il devient disponible. Dans cet article, la personne indique que si l’entreprise utilisait les services de Google, il est alors possible d’acheter le nom de domaine et de recréer les comptes des anciens employés. Cela permet d’utiliser les comptes sur les plateformes SaaS (Notion, ChatGPT, Slack, …) dû à une faiblesse dans ‘Sign in with Google’ qui ne permet pas de vérifier l’authenticité d’un utilisateur avec un ID unique.
13/01/2025
Dévoilement des transformateurs cachés dans Windows ANSI !
Le chercheur en sécurité Orange Tsai, revient en détail dans cet article de blog sur une vulnérabilité baptisée WorstFit, qui exploite des faiblesses dans la conversion des charsets utilisés sous Windows afin d’abuser de ces mécanismes et réaliser différentes attaques.
28/01/2025
Contournement de l’authentification Fortinet FortiOS CVE-2024-55591
Les chercheurs de WatchTowr détaillent la vulnérabilité impactant l’interface de management de FortiOS et permettant d’exécuter des commandes CLI en contournant les mécanismes d’authentification (CVE-2024-55591).
⚠️ Menace
02/01/2025Plusieurs collectivités françaises visées par une cyberattaque pro-russe
Attaques DDoS contre les sites internet des villes d'Angers, Bordeaux, Le Havre, Marseille, Nantes, Nice, Nîmes, Pau, Poitiers et Tarbes et de certains départements revendiquées par des attaquants pro-russes.
🔒 Protection des données
06/01/2025
Certification RGPD des sous-traitants
La CNIL consulte sur un projet de référentiel d’évaluation. La certification permet aux professionnels de communiquer sur le niveau de protection des données de leurs produits, services, processus ou systèmes de données. Afin de construire un référentiel adapté aux sous-traitants, la CNIL ouvre une consultation publique jusqu’au 28 février 2025.
14/01/2025
Permissions dans les applications mobiles
La CNIL revient dans cet article sur le rôle clé des permissions au sein des applications mobiles.
28/01/2025
Violations massives de données en 2024
En 2024, plusieurs violations de données d’une ampleur exceptionnelle ont touché de grandes bases de données et entraîné l’exfiltration des données de millions de Français. Pour prévenir ces violations, la CNIL propose des mesures adaptées et contrôle leur mise en œuvre.
🔨 Outil
01/01/2025
PentestGPT
Nouvel outil de pentest automatisé alimenté par GPT-4 capable de résoudre des CTF de HackTheBox.
📍 Guide
07/01/2025
identifier et exploiter les erreurs de configuration
Cet article traite de la sécurisation du protocole NFS : les exploitations possibles dans les faiblesses de configuration ainsi que les bonnes pratiques de configuration à respecter.
