Les IA de type GPT ont beau avoir des instructions du genre “tu ne dois jamais révéler ton prompt système”, il suffit de leur demander gentimment de réencoder leurs instructions avec un décalage de César ou de répéter tout le texte dans un format particulier pour qu’elles crachent tout. Et par tout, je veux dire vraiment tout. Le prompt officiel d’OpenAI, d’Anthropic, de Gemini…etc, les instructions personnalisées du créateur, et même les petits Easter eggs cachés dedans.

Dans cette vidéo, je vous montre plusieurs exemples concrets. Un GPT de génération de logos, une calculatrice mathématique qui cache un Easter egg , un optimiseur SEO…etc. Et pour chacun, j’utilise des prompts d’extraction que j’ai trouvés dans ce repo GitHub qui rassemble tous les prompts système leakés de ChatGPT, Claude, Cursor, Perplexity et compagnie. C’est une vraie caverne d’Ali Baba pour ceux qui s’intéressent à ce genre de trucs.

Ce qui est intéressant, c’est que ça ne fonctionne pas que sur les GPTs personnalisés. Vous pouvez aussi extraire les prompts système de Perplexity, de Grok, de plein d’outils qui utilisent des LLM sous le capot. Donc si vous avez toujours voulu savoir comment tel ou tel service construit ses réponses, c’est l’occasion.

Ce tutoriel explique comment auditer et analyser une autorité de certification (PKI) AD CS à l'aide de l'outil PSPKIAudit, afin d'identifier les failles (ESC).

The post AD CS : auditer et analyser votre PKI avec PSPKIAudit first appeared on IT-Connect.

Le groupe Collectif Crimson affirme avoir dérobé 570 Go de données compressées issues de 28 000 dépôts internes présents sur un serveur GitLab de Red Hat.

The post Red Hat confirme une fuite de données majeure : des pirates ont compromis une instance GitLab ! first appeared on IT-Connect.

L’analyse, par zLabs, de 800 applications VPN gratuites révèle que 25 % d’entre elles n’ont pas de politique de confidentialité, abusent dangereusement des autorisations et manquent de transparence. Tribune – Zimperium, leader mondial de la sécurité mobile, a publié une nouvelle découverte de son équipe de recherche zLabs mettant en lumière des failles alarmantes dans […]

Contenus audios, vidéos ou textes : les deepfakes franchissent un cap inquiétant. Pour les entreprises, ces manipulations par IA sont devenues un nouveau vecteur d’attaque. Une illusion numérique, un impact bien réel L’essor de l’IA et de l’apprentissage automatique, intégrés dans des outils tels que les modèles GAN (Generative Adversarial Networks ou réseaux antagonistes génératifs), […]

Vous vous êtes déjà demandé d’où venaient tous ces SMS bidons qui vous disent “Bonjour c’est le coursier…” ou vous demande “Est ce que vous êtes chez vous " ? En gros, ces messages de smishing (phishing par SMS) qui polluent nos téléphones tous les jours ?

Et bien figurez-vous que dans beaucoup de cas, ils viennent de petits routeurs cellulaires industriels planqués dans des placards à balais. Ce sont des trucs conçus à la base pour connecter des feux de circulation ou des compteurs électriques à Internet, qui sont détournés par des escrocs pour balancer des milliards de SMS frauduleux.

Selon Sekoia , la boîte de cybersécurité française qui a mené l’enquête, c’est en analysant des traces réseau suspectes dans leurs honeypots qu’ils sont tombés sur ce système. En creusant un peu, ils ont découvert comme ça plus de 18 000 routeurs cellulaires Milesight accessibles sur Internet, dont au moins 572 d’entre eux qui permettaient à n’importe qui de se connecter à leurs interfaces d’admin sans authentification. Bref, la porte grande ouverte…

Ces routeurs, fabriqués par Milesight IoT , c’est du matériel industriel costaud. Ce sont des boîtiers 3G/4G/5G qui servent normalement à connecter des équipements à distance, genre des capteurs ou des systèmes de contrôle. Ils sont équipés de cartes SIM et peuvent être contrôlés par SMS, scripts Python ou via interfaces web. Du coup, pour un attaquant, c’est le jackpot car une fois qu’il met la main dessus, il peut envoyer des SMS en masse sans se faire choper.

Les chercheurs de Sekoia ont alors envoyé des requêtes aux API non protégées de ces routeurs et ont récupéré le contenu des boîtes de réception et d’envoi de SMS. Et là, surprise, ils ont trouvé des campagnes de smishing qui dataient d’octobre 2023. Les messages visaient principalement des numéros en Suède, en Belgique et en Italie. Les textos envoyés demandaient aux gens de se connecter à des services gouvernementaux bidon pour “vérifier leur identité”, avec des liens qui menaient vers des sites frauduleux récupérant les identifiants.

Rien qu’en analysant les SMS, on dénombre de 42 044 numéros suédois uniques et 31 353 numéros italiens ciblés dans des campagnes de masse lancées simultanément. La Belgique serait même le pays le plus touché, avec plusieurs campagnes observées entre novembre 2022 et juillet 2025.

Alors comment ces routeurs se sont-ils retrouvés compromis ?

Et bien c’est pas encore totalement clair. Une première piste, c’est la CVE-2023-43261 , une vulnérabilité corrigée en 2023 avec la version 35.3.0.7 du firmware. En gros, il s’agit d’une mauvaise config qui rendait les fichiers de stockage du routeur publiquement accessibles via l’interface web. Pire encore, certains de ces fichiers contenaient les mots de passe chiffrés des comptes admin, mais aussi la clé de chiffrement et le vecteur d’initialisation pour les déchiffrer. Donc autant dire que c’était cadeau pour les cybercriminels.

Selon le chercheur Bipin Jitiya , qui a découvert cette faille, un attaquant pouvait récupérer le mot de passe en clair et prendre le contrôle total du routeur. À noter que la majorité des 572 routeurs identifiés comme non sécurisés tournaient avec des versions de firmware 32 ou antérieures, donc ultra-vulnérables.

Mais attention, l’histoire se complique. Les chercheurs de Sekoia ont trouvé des incohérences avec cette théorie. Par exemple, un cookie d’authentification trouvé sur un routeur piraté ne pouvait pas être déchiffré avec la clé et le vecteur d’initialisation décrits dans l’article de Jitiya. Et puis, certains routeurs utilisés abusivement dans les campagnes de smishing tournaient avec des versions de firmware qui n’étaient pas sensibles à la CVE-2023-43261.

Du coup, il y a probablement d’autres méthodes d’exploitation en jeu.

Les sites de phishing eux-mêmes étaient assez bien foutus. Ils utilisaient du JavaScript pour ne délivrer du contenu malveillant que si vous accédiez au site depuis un téléphone mobile. Un autre site désactivait carrément le clic droit et les outils de débogage du navigateur. Bref, des techniques pour compliquer l’analyse et le reverse engineering.

Certains de ces sites loggaient aussi les interactions des visiteurs via un bot Telegram appelé “GroozaBot”. Ce bot serait opéré par un acteur nommé “Gro_oza”, qui semble parler arabe et français. De plus, les artefacts JavaScript trouvés font référence à “Grooza”, ce qui suggère une continuité entre l’infrastructure, les outils et l’identité de l’opérateur.

Mais surtout, ce qui est dingue avec cette histoire, c’est que c’est un vecteur d’attaque relativement simple mais très efficace. Ces routeurs permettent en effet une distribution décentralisée de SMS dans plein de pays différents, ce qui complique énormément la détection et la suppression des campagnes. Les chercheurs estiment qu’il est d’ailleurs très probable que d’autres équipements similaires soient déjà exploités dans des campagnes en cours ou à venir.

Bref, on n’est pas vraiment plus avancé, mais voilà, la prochaine fois que vous recevrez un SMS chelou qui vous demande de confirmer vos infos, pensez à ces petits boîtiers oubliés dans des placards techniques, qui bossent tranquillement pour arnaquer des milliers de personnes chaque jour.

Et si vous gérez ce genre de matériel dans votre job, pensez à mettre à jour le firmware et à sécuriser les interfaces, parce que là, visiblement c’est vraiment trop facile pour les pirates…

Source

Je vous ai déjà parlé de Maigret, de Sherlock , de Holehe ou de Toutatis … Mais si vous n’avez pas pris le temps de tester tout ça, ce n’est pas grave car vous allez pouvoir tous les essayer et faire votre meilleur OSINT grâce à OSINT.rocks .

OSINT.rocks est un site qui rassemble les outils d’investigation les plus puissants directement dans votre navigateur. Plus besoin d’installer Python, de configurer des environnements virtuels ou de galérer avec des dépendances. Vous ouvrez votre navigateur, vous tapez l’URL du site, et vous avez accès à une batterie d’outils prêts à l’emploi.

OSINT.rocks centralise tout. Vous avez Sherlock pour traquer les comptes utilisateurs sur les réseaux sociaux, Holehe pour découvrir où une adresse email est enregistrée, Hudson Rock pour vérifier si un email a été compromis par un info stealer, GHunt pour investiguer sur Google, et Maigret qui collecte un dossier complet sur une personne uniquement à partir d’un nom d’utilisateur.

La plateforme propose aussi des outils pour les numéros de téléphone et les recherches WHOIS. Vous entrez un numéro, vous obtenez des informations géolocalisées. Et si vous cherchez des détails sur un domaine, vous avez les enregistrements disponibles. Tout est centralisé, tout est rapide.

Comme ça, un journaliste qui enquête sur quelqu’un peut vérifier rapidement l’empreinte numérique d’une personne, un recruteur peut vérifier les informations d’un candidat, un chercheur en sécurité peut analyser l’exposition d’une cible ou un particulier peut vérifier ce qui traîne sur lui en ligne. L’OSINT, c’est utile dans plein de contextes !

Bref, si vous voulez tester Sherlock, Maigret, Holehe ou Hudson Rock sans vous prendre la tête avec l’installation, OSINT.rocks fait le job. Et si vous voulez aller encore plus loin, j’ai trouvé également une superbe boite à outils OSINT ici .

Free met fin à FreeWifi_Secure après la découverte d’une faille impliquant la fuite des identifiants IMSI des abonnés. Une mise à jour Freebox va le désactiver.

The post Adieu FreeWifi_Secure : une faille de sécurité a accéléré sa fin ! first appeared on IT-Connect.

Vous connaissez APT27, Winnti, Mustang Panda… Ces groupes de cyberespionnage chinois qui font régulièrement les gros titres. Mais il y en a un dont vous n’avez probablement jamais entendu parler. Et c’est justement ça qui le rend flippant : Phantom Taurus.

Pendant deux ans et demi, ce groupe fantôme s’est infiltré dans les ministères des affaires étrangères, les ambassades et les réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie. Personne ne s’en est rendu compte avant le 30 septembre 2025, quand les chercheurs de l’ Unit 42 de Palo Alto Networks ont levé le voile sur cette opération d’espionnage de très haut niveau.

7 décembre 2022, Riyadh. L’avion du président Xi Jinping est escorté par quatre chasseurs de l’armée saoudienne qui dessinent les couleurs chinoises dans le ciel. Le prince Faisal bin Bandar Al Saud l’accueille sur le tarmac pour le premier sommet historique Chine-États arabes. Signature de la Déclaration de Riyadh, renforcement du partenariat stratégique entre Pékin et Riyad. Ça ne rigole pas !

Mais pendant que les diplomates négocient dans les salles officielles, Phantom Taurus est déjà dans leurs systèmes. Les hackers infiltrent les serveurs Exchange des ministères des affaires étrangères qui participent au sommet. Leur mission : fouiller les emails contenant les noms “Xi Jinping” et “Peng Liyuan” pour savoir ce que les pays arabes pensent VRAIMENT de ce rapprochement avec la Chine.

En surface, tout le monde sourit pour les photos officielles mais en coulisses, les services chinois lisent en temps réel les communications diplomatiques confidentielles de leurs nouveaux “partenaires stratégiques”. C’est ça, l’espionnage moderne.

L’histoire commence réellement en juin 2023 quand les analystes de Unit 42 détectent des activités suspectes qu’ils classent sous le code CL-STA-0043. Un cluster d’activité malveillante parmi des centaines d’autres, sauf que celui-là sent plutôt “bon”. Pendant des mois, les chercheurs accumulent les preuves, connectent les points, observent les patterns.

Mai 2024, le cluster est promu “temporary threat group” avec un nom de code évocateur : Operation Diplomatic Specter. Spectre Diplomatique. Ça sonne comme un bouquin de Tom Clancy version cyberpunk. Mais ce n’est qu’après une année supplémentaire d’investigation que Unit 42 franchit le cap et baptise officiellement ce groupe : Phantom Taurus.

Pourquoi Taurus ? Hé bien parce que chez Unit 42, tous les groupes chinois portent le nom de la constellation du Taureau. Taurus pour la Chine, Ursa pour la Russie, Pisces pour la Corée du Nord, Serpens pour l’Iran. Et Phantom ? Tout simplement parce que ce groupe est littéralement un fantôme, capable d’opérer dans l’ombre pendant des années sans se faire remarquer.

Et si Phantom Taurus est un groupe fantôme, alors NET-STAR est son arme invisible. C’est une suite de malwares entièrement développée en .NET, spécialement conçue pour infiltrer les serveurs IIS et le joyau de cette collection s’appelle IIServerCore.

IIServerCore c’est une backdoor modulaire et fileless. Cela veut dire qu’elle opère entièrement en mémoire dans le processus w3wp.exe d’IIS. Rien sur le disque dur, rien dans les logs classiques. Fantôme, je vous dis. Son point d’entrée est un web shell ASPX nommé OutlookEN.aspx qui contient un binaire compressé en Base64. Ainsi, quand le web shell s’exécute, il charge IIServerCore directement dans la mémoire et l’attaque commence.

Et ses capacités sont impressionnantes : opérations sur le système de fichiers, accès aux bases de données, exécution de code arbitraire, gestion de web shells, contournement des solutions de sécurité, et chiffrement de toutes les communications avec le serveur C2.

Le deuxième outil, AssemblyExecuter, charge et exécute des assemblies .NET additionnels directement en mémoire. Sa version 2 inclut même des méthodes dédiées pour contourner AMSI (Antimalware Scan Interface) et ETW (Event Tracing for Windows). Résultat, Phantom Taurus peut exécuter du code malveillant même dans des environnements ultra-surveillés sans déclencher d’alerte.

Un détail que j’ai trouvé particulièrement malin dans leur manière de procéder c’est leur technique de timestomping . En gros, c’est l’art de modifier les métadonnées temporelles d’un fichier pour le faire passer pour un vieux fichier légitime.

Phantom Taurus a donc timestompé le web shell OutlookEN.aspx pour qu’il corresponde au timestamp d’un autre fichier ASPX déjà présent sur le système. Ils ont aussi modifié le temps de compilation des backdoors NET-STAR vers une date future aléatoire. C’est tordu, mais dans une investigation forensique, un analyste qui voit un fichier ASPX avec un timestamp de 2018 va naturellement penser qu’il est légitime et ne va pas creuser plus loin.

Bref, pendant longtemps, Phantom Taurus s’est concentré sur l’exfiltration d’emails via des serveurs Microsoft Exchange compromis. Ils exploitaient des vulnérabilités connues comme ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), puis cherchaient des emails contenant des mots-clés liés aux intérêts chinois : données militaires, infos sur les télécommunications et l’énergie, mentions de Xi Jinping, Joe Biden et autres leaders politiques.

Mais début 2025, le groupe fait évoluer sa stratégie. Au lieu de se limiter aux emails, ils commencent à cibler directement les bases de données SQL Server. Pour cela, ils sortent un outil fait maison, un script batch nommé mssq.bat qui se connecte au serveur SQL avec le compte sa préalablement obtenu, exécute des requêtes dynamiques avec des keywords spécifiques, et sauvegarde les résultats au format CSV. Le script est exécuté à distance via Windows Management Instrumentation (WMI) et les chercheurs les ont observés chercher des documents relatifs à l’Afghanistan et au Pakistan.

Cette évolution montre surtout une chose : Phantom Taurus s’adapte. Ce passage de l’email mining au database mining leur permet d’obtenir bien plus de données qu’ils ne pourraient en trouver dans des conversations par email.

Et surtout, Phantom Taurus ne travaille pas en vase clos. Il partage une infrastructure opérationnelle avec d’autres groupes chinois connus comme Iron Taurus (APT27), Starchy Taurus (Winnti, APT41), et Stately Taurus (Mustang Panda). Les serveurs C2 qu’ils utilisent ont les mêmes adresses IP, les mêmes domaines malveillants, les mêmes informations de registration.

Mais attention, même s’ils partagent l’infrastructure, Phantom Taurus maintient une compartimentation opérationnelle stricte. Les composants spécifiques de NET-STAR n’ont jamais été observés dans les opérations des autres groupes. C’est comme s’ils louaient un datacenter commun, mais que chacun avait ses propres serveurs et outils. Ça permet de mutualiser les coûts tout en préservant le secret des opérations.

Maintenant, est ce que vous savez ce qui différencie vraiment Phantom Taurus des autres APT ? C’est leur obsession pour la persistence. En effet, la plupart des groupes, quand ils se font détecter publiquement, disparaissent pendant des semaines voire des mois pour se refaire une santé. Mais pas Phantom Taurus qui refait surface en quelques heures ou jours après avoir été détectés.

Unit 42 a ainsi documenté un cas où Phantom Taurus avait maintenu un accès à un réseau pendant presque deux ans, avec des exfiltrations périodiques de données sensibles au bon moment. Cette approche révèle la nature stratégique de leurs opérations. Ces accès soutenus à long terme leur permettent de revenir piocher de l’information chaque fois qu’un événement géopolitique important se profile.

Après pour vraiment comprendre Phantom Taurus, il faut le replacer dans le contexte plus large de l’espionnage cyber chinois. Par exemple, l’attaque contre le siège de l’Union Africaine à Addis-Abeba, financé et construit par la Chine est un cas assez emblématique de leur mode opératoire.

Durant cinq ans, chaque nuit entre minuit et 2h du matin, toutes les données du siège de l’UA étaient transférées vers des serveurs à Shanghai. Quand l’UA a voulu acheter ses propres serveurs, la Chine a “généreusement” offert de les fournir gratuitement. Du coup, ils se sont retrouvés avec des serveurs pré-compromis installés au cœur même de l’organisation panafricaine.

Les équipes techniques ont même découvert par la suite, des microphones cachés dans les murs et les bureaux…

Phantom Taurus est en réalité un outil parmi d’autres dans l’arsenal cyber chinois. C’est un outil spécialisé dans l’espionnage diplomatique et les télécommunications. Du coup, pour contrer leurs attaques, Palo Alto Networks a mis à jour ses produits de sécurité pour détecter NET-STAR. Ils ont par exemple upgradé leur logiciel Cortex XDR pour relever quand le processus w3wp.exe spawne des processus enfants suspects comme cmd.exe ou powershell.exe. Comme ça, même si IIServerCore est fileless et opère en mémoire, Cortex XDR peut le détecter.

Aujourd’hui encore, Phantom Taurus est toujours actif. Les dernières activités observées datent de quelques mois seulement avant la publication du rapport de Unit 42 mais maintenant que le groupe est exposé publiquement, ils vont probablement modifier leurs outils, changer leur infrastructure, et développer de nouvelles techniques d’évasion.

Mon pari c’est qu’ils vont upgrader NET-STAR, modifier quelques TTPs (Tactiques, techniques et procédures) pour éviter les détections connues, mais garder leur approche fondamentale d’accès long terme, d’exfiltration opportuniste, et de synchronisation avec les événements géopolitiques.

Bah oui, pourquoi changer une recette qui marche ?

Voilà, c’est la fin de l’histoire… En tout cas pour l’instant car pendant que tout le monde se focalise sur les gros ransomwares et les attaques spectaculaires, Phantom Taurus continue tranquillement et discrètement à aspirer les secrets diplomatiques du monde entier…

Sources : Unit 42 - Phantom Taurus: A New Chinese Nexus APT , Palo Alto Networks - Defending against Phantom Taurus with Cortex , CISA - Countering Chinese State-Sponsored Actors , Council on Foreign Relations - African Union Bugged by China

La majorité des décideurs impliqués dans la cybersécurité des petites et moyennes entreprises (PME) en Europe ne sont pas suffisamment préparés pour protéger leur entreprise. Les deux tiers (66 %) déclarent suivre une stratégie plus solide en théorie qu’en pratique, ou ne poursuivre qu’un certain nombre d’objectifs fragmentés, à défaut de mettre en œuvre un […]

Grâce à l'IA, l'application Google Drive pour Windows et macOS peut détecter un ransomware et mettre en pause la synchronisation pour protéger vos données.

The post L’application Google Drive s’appuie sur l’IA pour lutter contre les ransomwares ! first appeared on IT-Connect.

Selon une étude publiée par l'équipe de recherche d'Okta Threat Intelligence, les travailleurs nord-coréens infiltrés dans les organismes occidentaux ont élargi leur champ d'action. Le secteur de la santé est désormais largement touché par le phénomène.

Selon une étude publiée par l'équipe de recherche d'Okta Threat Intelligence, les travailleurs nord-coréens infiltrés dans les organismes occidentaux ont élargi leur champ d'action. Le secteur de la santé est désormais largement touché par le phénomène.

Depuis 2012, le mois d’octobre est chaque année le Mois de sensibilisation à la cybersécurité, ou Cybermois. Cette période a pour but de promouvoir la cybersécurité pour tous afin de mieux comprendre les risques et ainsi les appréhender. Alors que les cybermenaces continuent leur marche en avant, à l’ère du cloud et de l’intelligence artificielle […]

En 2022, le géant français de l'intérim Adecco annonce être victime d'une cyberattaque de grande ampleur. Des millions de données personnelles sont dérobées et servent à mener de vastes campagnes d'escroqueries partout en France. Le verdict du procès des 14 prévenus dans cette affaire a été rendu le 26 septembre 2025.

En 2022, le géant français de l'intérim Adecco annonce être victime d'une cyberattaque de grande ampleur. Des millions de données personnelles sont dérobées et servent à mener de vastes campagnes d'escroqueries partout en France. Le verdict du procès des 14 prévenus dans cette affaire a été rendu le 26 septembre 2025.

Les utilisateurs d'un NAS Western Digital sont invités à installer la dernière version de My Cloud OS 5 : une faille critique a été corrigée (CVE-2025-30247).

The post WD My Cloud – CVE-2025-30247 : cette faille critique menace les NAS et vos données ! first appeared on IT-Connect.

Une vulnérabilité dans les produits VMware, associée à la référence CVE-2025-41244, serait exploitée en tant que faille zero-day depuis mi-octobre 2024.

The post Ce groupe de pirates chinois exploite une faille zero-day dans VMware depuis octobre 2024 ! first appeared on IT-Connect.

86 % des entreprises ont subi des pannes au cours de l’année écoulée, soulignant l’urgence de surmonter les défis liés à l’automatisation et les lacunes en matière de visibilité. Tribune – Keyfactor, spécialiste en matière de confiance numérique pour les entreprises, a présenté les résultats de son rapport « Digital Trust Digest : The Automation […]