Avec la montée en puissance de l’IA générative et agentique dans les entreprises, la question de la sécurité IA devient centrale pour les DSI. Avec son AI Security Suite, Zscaler avance une réponse structurée pour encadrer les usages, reprendre le contrôle des flux et limiter les risques liés à l’IA à grande échelle. Acteur historique […]
Salut les amis ! Aujourd'hui, je voulais vous partager une petite pépite qu'un lecteur, Stanislas, m'a envoyée. Si vous bossez dans la cyber ou que vous passez votre temps à analyser des trucs bizarres qui trainent sur vos serveurs, vous allez adorer Cyberbro.
Cyberbro c'est une plateforme d'analyse d'IoC (Indicators of Compromise) en open source. Grâce à ça, au lieu de vous paluchez 15 sites différents pour vérifier une IP ou un hash, vous balancez tout dans Cyberbro. L'outil va alors extraire automatiquement les infos de vos logs et interroger une vingtaine de services comme VirusTotal, MISP, Shodan, AbuseIPDB ou même Microsoft Defender pour vous dire si c'est dangereux.
Sous le capot, ça gère l'extraction avancée de TLD pour ne pas se planter sur les domaines, et ça fait du "pivoting" automatique. En gros, ça va chercher tout seul les domaines, URLs ou IPs liés via reverse DNS et RDAP. Toutes les données sont ensuite stockées proprement dans une base SQLite locale qui sert aussi de cache, ce qui permet de ne pas flinguer vos quotas d'API si vous analysez deux fois la même chose.
C'est hyper fluide, ça tourne sous Python et l'interface est vraiment propre. Stanislas a même poussé le vice jusqu'à proposer une intégration MCP (Model Context Protocol) pour l'utiliser avec Claude ou Ollama. Ça permet de générer des rapports d'analyse complets via LLM en deux secondes. Et y'a même des extension navigateur pour Chrome et Firefox ainsi qu'une API. C'est ouf !
Franchement, pour un projet perso, ça rigole pas du tout ! D'ailleurs, c'est déjà utilisé par pas mal de SOC en France, donc c'est du sérieux.
Pour tester ça, c'est hyper fastoche. Un petit coup de Docker Compose et hop, c'est prêt à l'emploi. Il vous suffit de cloner le dépôt, d'éditer le fichier de secrets et de lancer le bousin.
Un grand merci à Stanislas pour ce superbe partage et pour tout le boulot abattu depuis un an. C'est ce genre de projet qui rend la communauté cyber plus forte 💪.
Pendant plusieurs mois, Notepad++ a servi à diffuser des malwares.
Son développeur l’a officialisé cette semaine. Dans les grandes lignes, la compromission de l’infrastructure d’hébergement a permis la distribution de mises à jour malveillantes.
Une chronologie des événements commence à se dessiner. Apparaissent trois phases, marquées par autant de chaînes d’exécution. Parmi les cibles figurent une entité gouvernementale aux Philippines, une organisation financière au Salvador et un fournisseur IT au Viêtnam.
Phase 1 : une faille dans ProShow mise à profit
La première phase s’est étalée sur fin juillet-début août.
L’interception et la modification du trafic du gestionnaire de mises à jour de Notepad++ entraînait le téléchargement et l’exécution d’un installeur NSIS d’environ 1 Mo. Au lancement, celui-ci créait un dossier et un fichier texte en son sein, y inscrivait des informations système, les téléversait sur temp.sh et envoyait l’URL vers un serveur C2.
Un downloader déposait ensuite plusieurs fichiers dans le même dossier. Dont une version légitime de logiciel ProShow… souffrant d’une vulnérabilité qui permettait de lancer un shellcode.
Ce code déchiffrait un downloader Metasploit qui récupérait et lançait un implant Cobalt Strike. Lequel communiquait avec un autre C2.
Entre fin juillet et début août, quelques éléments ont changé. Essentiellement les URL de l’implant Cobalt Strike et du C2 associé.
Phase 2 : passage à l’interpréteur Lua
La deuxième phase a commencé mi-septembre et s’est achevée à la fin du mois.
La mise à jour malveillante de Notepad++ demeurait hébergée sur le même serveur. Il s’agissait toujours d’un installeur NSIS, mais plus léger (140 ko). La collecte d’infos système suivait le même schéma que lors de la première phase.
À partir de là, les choses changeaient. Exit ProShow, place à des fichiers liés à l’interpréteur Lua. Dont un exécutable qui lançait un script localisé dans un fichier .ini.
Ce script plaçait, en mémoire exécutable, du shellcode lancé via la fonction API EnumWindoStationsW. On retrombait alors sur la chaîne « Metasploit + Cobalt Strike », avec des URL similaires.
Sur la fin de la période, des fichiers de mise à jour avec des hashs différents sont apparus. Et la collecte d’infos système était divisée en plusieurs commandes.
Phase 3 : sideload de DLL dans un exécutable Bitdefender
La troisième phase a couvert le mois d’octobre.
À cette occasion, le serveur hébergeant les mises à jour malveillantes a changé. On restait sur des fichiers NSIS, mais sans capture d’infos système. Le chargement du shellcode était cette fois-ci réalisé par charge latérale d’une DLL dans un exécutable : BluetoothService.exe. Derrière ce nom se cachait une version légitime de Bitdefender Submission Wizard.
Le shellcode était déchiffré avec une routine embarquée. Il en résultait une backdoor. Rapid7 l’a appelée Chrysalis, en référence aux multiples couches (chiffrement en enveloppe, construction de noms de cibles à la volée, hachage d’API, URL au format des endpointsDeepSeek…) compliquant la détection de ses actions.
Un des loaders exploite un syscall non documenté associé à Microsoft Warbird, un framework d’obscurcissement de code. Il n’y a pas de chargement direct de Cobalt Strike. Mais l’implant a bien été trouvé sur une machine infectée, téléchargé là aussi via un downloader Metasploit, via des URL au format similaire à celles rencontrées lors des deux premières phases.
Des similitudes avec une analyse antérieure incitent à attribuer cette troisième phase – et potentiellement l’ensemble de la campagne – au mode opératoire Lotus Blossom, dit lié à la Chine. Actif depuis au moins 2009, il s’est livré à des actions d’espionnage en Asie du Sud-Est. Et plus récemment en Amérique centrale, avec un focus sur gouvernements, télécoms, aviation, médias et infrastructures critiques.
C’est le scénario que tous les mainteneurs open source redoutent, parce qu’il ne vise pas le code… mais la confiance. Notepad++, l’un des éditeurs texte/code les plus installés au monde, a vu son mécanisme de mise à jour détourné sur une longue période — avec, à la clé, un exécutable malveillant servi à certains utilisateurs […]
"A compromised dependency in the JavaScript ecosystem led to credential theft, which enabled a supply chain attack on a Rust compression library, which was vendored into a Python build tool, which shipped malware to approximately 4 million developers before being inadvertently patched by an unrelated cryptocurrency mining worm."
EDIT: C'est pas un vrai CVE, c'est une blague. (Permalink)
Quand les attaquants mettent l’IA au volant, le phishing ressemble à un collègue, le malware change de peau et le temps de réaction se compte en minutes. Pour tenir le rythme, la sécurité s’organise comme une chaîne : Zero Trust, exposition minimale, détection qui apprend, réponse automatisée et reprise qui démarre sans hésitation. Et sans […]
Le gouvernement français manifeste de plus en plus sa volonté de restreindre davantage l'accès des enfants et des jeunes aux réseaux sociaux. Les efforts visant à bloquer l'utilisation des plateformes de réseaux sociaux par les moins de 15 ans s'étendent désormais au-delà des services eux-mêmes pour inclure les outils permettant de contourner ces restrictions. Les VPN, couramment utilisés pour masquer sa localisation et renforcer la confidentialité en ligne, sont également critiqués. Lors d'une intervention sur Franceinfo, Anne Le Hénanff, ministre chargée de l'Intelligence Artificielle et du Numérique, a laissé entendre que les VPN pourraient faire l'objet d'une nouvelle réglementation. Cette déclaration s'inscrivait dans le cadre d'un projet d'interdiction de l'utilisation des réseaux sociaux par les mineurs, et montrait clairement que le gouvernement envisageait d'autres mesures si les solutions actuelles ne donnaient pas les résultats escomptés. Le Hénanff a souligné que la protection des enfants dans l'environnement numérique demeure une priorité. Dans cette optique, les VPN apparaissent comme un outil permettant de contourner les restrictions d'âge et les restrictions nationales, compromettant ainsi l'efficacité des nouvelles réglementations.
L'éventualité d'une réglementation accrue des VPN suscite une vive controverse et de nombreuses inquiétudes. Ces services servent non seulement à contourner les blocages, mais aussi à protéger la vie privée, à sécuriser les connexions sur les réseaux Wi-Fi publics et à limiter le suivi en ligne. L'obligation de vérifier l'âge ou l'identité des utilisateurs de VPN impliquerait le partage de données personnelles, ce qui irait à l'encontre même de la raison d'être de ces services. Des phénomènes similaires ont déjà été observés au Royaume-Uni , où l'intérêt pour les VPN a considérablement augmenté suite à l'introduction de la réglementation sur les contenus à accès restreint en fonction de l'âge. En France, certains craignent que les tentatives visant à combler davantage les failles techniques n'entraînent une spirale réglementaire où la protection de la vie privée des utilisateurs serait subordonnée au contrôle étatique.
L'interdiction de l'utilisation des réseaux sociaux par les moins de 15 ans est toujours en discussion au Parlement. L'Assemblée nationale a approuvé le projet de loi initial à une large majorité, ouvrant la voie à des débats plus approfondis au Sénat. Si une simple déclaration d'un membre du gouvernement ne préjuge pas de l'avenir des VPN, elle révèle néanmoins clairement la position de certains membres de la classe politique française. Les défenseurs des droits numériques mettent en garde contre le risque que cette approche aboutisse à des solutions similaires à celles mises en œuvre dans des pays appliquant des contrôles internet beaucoup plus restrictifs. Ils affirment que la frontière entre la protection des mineurs et le contrôle de la société dans son ensemble devient de plus en plus floue. (Lire la suite)
Des pirates ont trouvé le moyen d'utiliser une adresse mail officielle de Microsoft pour diffuser leur arnaque en masse. Pire encore, le courriel en question ne contient aucun lien de...
Si vous êtes du genre détendu, vous avez forcément un fichier texte quelque part dans votre ordi avec des bouts de code, des clés API, des mots de passe... le tout en clair dans un fichier avec un nom équivoque genre passwords.txt posé OKLM dans ~/Desktop/.
Alors bien sûr, on est nombreux à utiliser un gestionnaire de mots de passe classique pour éviter ça, mais en fait le souci c'est pas les mots de passe. C'est tous ces petits snippets qu'on copie-colle 15 fois par jour... des commandes Docker, des tokens temporaires, des regex que j'oublie à chaque fois. Bref, il nous manque un bidule entre le presse-papier et le coffre-fort.
Et c'est exactement ce que fait
Sklad
!! Cet outil est un gestionnaire de snippets chiffrés qui vit dans votre barre de tâches et auquel vous balancez tout ce que vous copiez-collez régulièrement. Ensuite, vous organisez ça dans des dossiers, et hop, un clic gauche sur l'icône de la barre de menu et ça copie directement le dernier snippet utilisé. C'est carrément mieux qu'un clipboard manager classique type
CopyQ
parce qu'il y a du chiffrement AES-256 avec dérivation Argon2, ce qui est plutôt rassurant pour stocker du token.
Du coup, tout reste en local sur votre machine et le fichier de données atterrit dans ~/Library/Application Support/sklad/ sur macOS (ou l'équivalent AppData sur Windows). Ainsi, en cas de vol de ce fichier, le gars qui l'a récupérer devra se débrouiller avec de l'AES-256... bon courage.
Côté raccourcis, y'a Cmd+K (ou Ctrl+K sur Windows/Linux) pour chercher dans vos snippets. Pratique pour retrouver vos commandes kubectl par exemple et si vous avez des snippets avec des caractères spéciaux (genre des backticks dans du code Markdown), j'ai remarqué que le copier-coller peut parfois foirer selon le terminal. iTerm2 s'en sort bien, mais sur le Terminal.app natif j'ai eu des soucis avec les guillemets échappés. Rien de dramatique, mais faut le savoir.
Y'a le thème sombre et le thème clair et l'app est dispo en binaires pré-compilés pour Windows (.msi), macOS (ARM et Intel en .dmg) et Linux (.deb et .AppImage). Notez que comme d'hab, au premier lancement sur macOS, faudra passer par Réglages > Confidentialité pour autoriser l'app... Apple oblige.
Sklad est encore un projet hyper jeune donc ça risque de bouger pas mal et surtout, ça ne remplace pas un KeePass ou un Bitwarden. Pourquoi ? Hé bien parce que c'est pas le même usage. Voyez plutôt Sklad comme votre tiroir à snippets chiffrés qui conviendra pour tout ce qui ne peut pas aller dans votre gestionnaire de mot de passe.
La France a récemment dévoilé sa nouvelle stratégie nationale de cybersécurité, articulée autour de cinq piliers clés : le développement des compétences, le renforcement de la résilience du pays, la maîtrise de la souveraineté numérique, la lutte contre l’expansion de la cybermenace et le renforcement de la coopération internationale. Une feuille de route ambitieuse, qui […]
La société de cybersécurité Wiz a repéré un problème de sécurité sur Moltbook, le réseau social des IA, qui a permis à l’entreprise d’accéder à une base de données contenant des adresses e-mail. L’erreur semble venir du fait que le créateur de Moltbook a eu recours au “vibe coding” et que les outils d’IA sont encore nuls en sécurité informatique.
La France a récemment dévoilé sa nouvelle stratégie nationale de cybersécurité, articulée autour de cinq piliers clés : le développement des compétences, le renforcement de la résilience du pays, la maîtrise de la souveraineté numérique, la lutte contre l’expansion de la cybermenace et le renforcement de la coopération internationale. Une feuille de route ambitieuse, qui […]
Les IA ont depuis peu la possibilité d’interagir entre elles via la plateforme Moltbook, mais certains utilisateurs ont décelé d’importants problèmes de cybersécurité. Si une récente étude laisse entendre que…
La menace quantique : longtemps théorique, désormais imminente Il y a encore quelques années, la menace semblait lointaine, presque théorique : celle d’un monde où les ordinateurs quantiques seraient capables de briser en quelques heures les algorithmes qui protègent aujourd’hui nos transactions bancaires, nos dossiers médicaux ou les secrets gouvernementaux. Mais en 2026, ce scénario […]
La menace quantique : longtemps théorique, désormais imminente Il y a encore quelques années, la menace semblait lointaine, presque théorique : celle d’un monde où les ordinateurs quantiques seraient capables de briser en quelques heures les algorithmes qui protègent aujourd’hui nos transactions bancaires, nos dossiers médicaux ou les secrets gouvernementaux. Mais en 2026, ce scénario […]
La cérémonie d’ouverture des Jeux olympiques d’hiver de 2026 aura lieu le 6 février prochain à Milan, et suscite déjà l’attention des fans, aussi bien dans le monde numérique que dans le monde physique . Dans les villes hôtes des épreuves, des centaines d’athlètes sont attendus ainsi que d’importantes foules. À l’occasion de cet événement […]
La cérémonie d’ouverture des Jeux olympiques d’hiver de 2026 aura lieu le 6 février prochain à Milan, et suscite déjà l’attention des fans, aussi bien dans le monde numérique que dans le monde physique . Dans les villes hôtes des épreuves, des centaines d’athlètes sont attendus ainsi que d’importantes foules. À l’occasion de cet événement […]
86 % des professionnels de la cybersécurité estiment que les agents IA et les systèmes autonomes ne sont pas fiables sans identités numériques uniques et dynamiques. Tribune – Keyfactor, spécialiste de la confiance numérique pour les entreprises, a dévoilé les résultats de son étude Digital Trust Digest : The AI Identity Edition, menée en partenariat […]
86 % des professionnels de la cybersécurité estiment que les agents IA et les systèmes autonomes ne sont pas fiables sans identités numériques uniques et dynamiques. Tribune – Keyfactor, spécialiste de la confiance numérique pour les entreprises, a dévoilé les résultats de son étude Digital Trust Digest : The AI Identity Edition, menée en partenariat […]
Connexion
