Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !

Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !

Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.

Ah et au fait, n’oubliez pas d’installer Firefox , c’est mieux quand même !

Merci à Lorenper pour le partage !

Le 21 novembre 2025, l'Association internationale pour la recherche cryptologique (IACR) s'est fendue d'un communiqué pour annoncer l'annulation de son élection annuelle à la direction. La raison ? Un des membres du comité électoral «a irrémédiablement perdu sa clé privée» permettant d'accéder aux résultats du scrutin.

Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).

En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :

• Recherche d’indicateurs de compromission (REC)
• Investigation numérique (INV)
• Analyse de codes malveillants (CODE)
• Pilotage et coordination des investigations (PCI)

La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.

Une marge de manœuvre pour déléguer

La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.

L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :

• Retranscription et rédaction des comptes rendus de réunions
• Mise en œuvre de l’organisation de crise et des moyens (réservation de salles de réunion et de moyens logistiques, par exemple)
• Retranscription des décisions, actions et arbitrages
• Recueil des entretiens et des aspects logistiques pour la formalisation d’un éventuel retex

Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.

Se synchroniser avec l’activité PCI

En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »

Le prestataire doit être capable d’aider à identifier, en amont :

• Applications, systèmes, données et périodes critiques de l’organisation
• Impacts relatifs à l’incident de sécurité et conséquences sur l’activité du bénéficiaire
• Tiers éventuels dont l’implication pourrait être nécessaire
• Principaux enjeux à court et moyen terme et obligations juridiques applicables
• Enjeux de communication de crise

Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.

Retex et restitution « à chaud » au niveau élevé de qualification

Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.

• Limiter les objectifs stratégiques définis dans le plan d’action et les baser « sur les priorités du contexte » ; spécifier au moins un délai de mise en œuvre pour les objectifs opérationnels qui en découlent.
• Pouvoir mettre à disposition de la cellule de crise stratégique (ou équivalent) des supports d’aide à la décision.
• Prendre en compte les conséquences et impacts permettant de justifier le déroulement des actions consignées dans le registre que doit tenir le prestataire.

Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.

Illustration © VicenSahn – Adobe Stock

The post La gestion de crise cyber consacrée dans le référentiel PRIS appeared first on Silicon.fr.

Une application tierce compromise, et c’est la porte ouverte sur des données clients.

Salesforce s’était retrouvé dans cette situation au mois d’août. L’application concernée – un chatbot de gestion commerciale – émanait de l’éditeur américain Salesloft. Ce dernier avait été compromis au préalable (compte GitHub, puis environnement AWS) afin de récupérer des jetons d’API (tokens OAuth) utilisés par ledit chatbot pour se connecter à Salesforce.

Un incident du même type vient de se produire avec une application d’un autre éditeur américain : CS (Customer Success), de Gainsight. Celui-ci revendique, entre autres clients, GitLab, Glassdoor, GoTo, Jamf, Notion, Okta, Sonos et Zapier.

Salesforce a coupé la connexion avec Gainsight dans la matinée du 20 novembre. Il ne l’a pas rétablie depuis. D’autres éditeurs ont suivi par précaution, dont Hubspot et Zendesk.

Aux dernières nouvelles, Gainsight estime que 3 organisations ont été touchées. Ce n’est pas l’avis de Google/Mandiant, chargé d’enquêter : à l’en croire, plus de 200 instances ont potentiellement été affectées. La campagne est possiblement l’œuvre d’affiliés au collectif ShinyHunters.

Il faudra peut-être réactiver manuellement certaines règles lorsque la connexion sera rétablie, prévient Gainsight. Qui signale par ailleurs que ses plug-in pour Gmail et Outlook ne sont pas fonctionnels pour qui s’y connecte via Salesforce.

Les campagnes contre Salesforce s’accumulent

Les accès indésirables via le chatbot de Salesloft ont fait de multiples victimes dans le secteur IT (Boomi, IBM, Nutanix, OpenText, Proofpoint, Pure Storage, Rubrik, Zscaler…). Des tickets de support ont notamment été exposés… et des secrets avec.

Cet incident, combiné à d’autres, a culminé il y a quelques semaines en un leak. Sous l’enseigne SLSH (Scattered LAPSUS$ ShinyHunters), des cybercriminels ont menacé de publier des données… et de soutenir les actions en justice qui s’ensuivraient, en particulier pour violation du secret des affaires.

SLSH avait fixé un ultimatum au 10 octobre. Il l’avait aussi soumis à Red Hat, après la compromission d’une instance GitLab liée à son activité de conseil (une mine potentielle de secrets d’infra : inventaires, topologies réseau, playbooks et blueprints, résultats d’audits de sécurité…).

Au lendemain de la date, quelques datasets issus des campagnes contre Salesforce furent publiés. Les deux plus gros – contenant l’un et l’autre des données personnelles par million – concernaient les compagnies aériennes Qantas et Vietnam Airlines. Une filiale américaine d’ENGIE était aussi dans le lot.

Dans la foulée, SLSH avait annoncé, sur son Telegram, cesser ses activités jusqu’en 2026. Il avait déclaré vouloir se concentrer sur les employés du FBI et de la NSA, probablement en réponse à la saisie des serveurs de BreachForums.
Quelques jours plus tard, des membres avait officialisé la « dissolution permanente » du groupe après l’arrestation de plusieurs administrateurs.

Illustration générée par IA

The post Nouveau vol de données Salesforce via une intégration SaaS appeared first on Silicon.fr.