VMScape (CVE-2025-40300) : une faille de sécurité affecte certains processeurs AMD et Intel, et menace les environnements Cloud avec KVM et QEMU.
The post VMScape : Linux se protège de la nouvelle vulnérabilité ciblant les CPU Intel et AMD first appeared on IT-Connect.
Microsoft Teams va détecter automatiquement les liens malveillants (phishing, malware, etc.) dans les messages et avertir les utilisateurs en temps réel.
The post Microsoft Teams va automatiquement détecter les liens malveillants dans les messages ! first appeared on IT-Connect.
Un fichier JSON qui met en danger des milliers de développeurs. Voilà en gros le pitch du jour, et franchement, il y a de quoi s’inquiéter un peu.
Vous connaissez Cursor ? C’est ce nouvel éditeur de code qui fait le buzz avec son IA intégrée, GPT-5 et Claude sous le capot. Et bien selon Oasis Security , cet outil de plus en plus populaire dans la communauté des développeurs, a une faille d’importance. En effet, l’équipe de développement a décidé de désactiver par défaut une fonction de sécurité cruciale de Visual Studio Code qui est le Workspace Trust.
Pourquoi ? Bah parce que ça gênait le fonctionnement de leur précieuse IA !
Alors qu’est-ce que ça change ce Workspace Trust ? Eh bien, imaginez que vous ouvrez tranquillement un projet GitHub pour jeter un œil au code. Pas pour l’exécuter, juste pour regarder. Avec VS Code de base, aucun souci, le Workspace Trust vous protège mais avec Cursor, c’est open bar pour les hackers.
Car il suffit qu’un petit malin glisse un fichier .vscode/tasks.json dans son repository avec la bonne configuration, et boom. Dès que vous ouvrez le dossier, le code s’exécute automatiquement sur votre machine avec "runOn": "folderOpen". Sans votre accord bien sûr. Sans même que vous vous en rendiez compte.
Les chercheurs d’Oasis Security ont créé une démo pour prouver le danger . Leur fichier tasks.json envoie discrètement le nom d’utilisateur de la victime vers un serveur externe. Sympa comme proof of concept, mais imaginez les dégâts avec du vrai code malveillant.
Avec ce genre de manip, un attaquant pourrait faire du vol de tokens d’authentification, de clés API planquées dans vos variables d’environnement, une modification silencieuse de vos fichiers de code, un connexion à un serveur de commande et contrôle… etc. Bref, le kit complet du cybercriminel moderne et vu que beaucoup de développeurs bossent sur des projets sensibles, ça peut vite devenir une porte d’entrée pour des attaques sur la chaîne d’approvisionnement logicielle.
Le truc énervant, c’est quand Oasis Security a alerté l’équipe de Cursor… leur réponse a été… comment dire… rafraîchissante car selon les chercheurs, l’équipe de Cursor a reconnu le problème mais a refusé de réactiver le Workspace Trust par défaut. Plus diplomatiquement, ils ont expliqué que cette fonction de sécurité casserait les fonctionnalités IA pour lesquelles les gens utilisent leur produit.
Leur conseil pour ceux qui s’inquiètent c’est donc d’ activer manuellement le Workspace Trust dans les paramètres ou d’utiliser un autre éditeur pour ouvrir les projets douteux. Autrement dit, démerdez-vous.
Pour activer cette protection vous-même, il faut donc aller dans les settings et modifier security.workspace.trust.enabled en le passant à true. Vous pouvez aussi complètement désactiver l’exécution automatique des tâches avec task.allowAutomaticTasks: "off".
Plusieurs experts en sécurité recommandent maintenant d’ouvrir les repositories inconnus uniquement dans des environnements isolés, genre machine virtuelle ou conteneur jetable. Pas très pratique pour du code review rapide.
En tout cas, je me souviens que ce n’est pas la première fois que Cursor fait parler de lui niveau sécurité. Récemment, deux autres vulnérabilités ont été découvertes : MCPoison (CVE-2025-54136) et CurXecute (CVE-2025-54135). Bref, visiblement, la sécurité n’est pas leur priorité numéro un.
Et pour détecter si vous êtes victime de cette faille, cherchez les fichiers .vscode/tasks.json contenant "runOn": "folderOpen" dans vos projets. Surveillez aussi les shells lancés par votre IDE et les connexions réseau inhabituelles juste après l’ouverture d’un projet.
A vous de décider maintenant… jusqu’où êtes-vous prêt à sacrifier votre sécurité pour un peu plus de confort ? Parce que là, on parle quand même d’exécution de code arbitraire sans consentement…
Vous savez où se cache votre dossier %APPDATA% ? Parce qu’il semblerait que les équipes de Bitdefender aient mis au jour une petite pépite chinoise baptisée EggStreme (jeu de mots !!!) qui s’y terre et qui n’a rien de très comestible !
Tout commence aux Philippines, où une entreprise militaire se retrouve dans la ligne de mire de ce malware, ce qui vu l’ambiance tendue qui règne actuellement en mer de Chine méridionale, n’est probablement pas un pur hasard. Les chercheurs ont en effet mis la main sur un framework d’espionnage si élaboré qu’il ne laisse quasiment aucune trace sur le disque dur car tout se déroule dans la RAM.
Ce qui donne des sueurs froides avec EggStreme, c’est sa technique d’infiltration, connue sous le nom de DLL sideloading. En clair, les assaillants glissent un fichier Windows légitime (WinMail.exe) dans le dossier %APPDATA%\Microsoft\Windows\Windows Mail\ avec une DLL malveillante (mscorsvc.dll). Windows, le pauvre miskine, charge alors le tout sans broncher, persuadé qu’il a affaire à du bon vieux code Microsoft. Bien installé, le malware reste ensuite chargé uniquement en mémoire grâce à des techniques de chargement réflectif, ce qui évite toute écriture sur le disque.
Et une fois lancé, c’est la débandade. Le premier composant, EggStremeFuel, prépare le terrain en collectant des infos sur votre système et ouvre une backdoor via cmd.exe. Puis débarque EggStremeLoader qui va dénicher des payloads chiffrés planqués dans un fichier ielowutil.exe.mui. Ces payloads sont ensuite injectés directement dans des processus système légitimes comme winlogon.exe ou explorer.exe.
Mais le clou du spectacle, c’est EggStremeAgent, le cœur du dispositif. Ce backdoor dispose de 58 commandes différentes qui permettent aux attaquants de faire absolument tout ce qu’ils veulent : reconnaissance réseau, vol de données, captures d’écran, exécution de code arbitraire, et même injection dans le processus LSASS (celui qui gère vos mots de passe Windows).
Et ce n’est pas tout car les développeurs ont ajouté EggStremeKeylogger, un keylogger qui s’injecte dans explorer.exe et enregistre tout à savoir vos frappes clavier, le contenu du presse-papier, les fenêtres actives, même les fichiers que vous copiez-collez. Tout est alors stocké dans un fichier thumbcache.dat chiffré en RC4, histoire de passer inaperçu.
Pour communiquer avec le serveur de commande et contrôle, les pirates utilisent également gRPC avec mTLS. Ils ont même leur propre autorité de certification pour générer des certificats uniques pour chaque machine compromise. Et la configuration de ce beau bébé est stockée dans un fichier Vault.dat chiffré, et chaque victime reçoit un identifiant unique.
Ce qui étonne vraiment les chercheurs, c’est la cohérence de l’ensemble car tous les composants utilisent les mêmes techniques : DLL sideloading, chiffrement RC4/XOR, exécution exclusivement en mémoire. Ça sent la team de développeurs bien rodée avec des process industriels, et pas des amateurs qui bricolent dans leur garage.
Et comme si cela ne suffisait pas, ils ont même prévu un plan B avec EggStremeWizard, un backdoor de secours allégé qui maintient l’accès même si le module principal se fait dégager. Et pour se balader tranquillement dans les réseaux segmentés, ils utilisent également Stowaway , un outil proxy écrit en Go qui permet de contourner les restrictions réseau.
Malheureusement, pour contrer de ce genre de saloperies, les antivirus classiques sont complètement largués. Il faut du monitoring comportemental avancé, des solutions EDR/XDR capables de surveiller la mémoire des processus, et surtout bloquer l’usage non autorisé des utilitaires système Windows (les fameux LOLBins). Seules ces solutions plus avancées peuvent détecter les comportements anormaux en mémoire et les techniques d’injection de processus que ce malware utilise.
Bitdefender a publié tous les indicateurs de compromission sur leur repo GitHub et si vous bossez dans une organisation sensible en Asie-Pacifique, je vous conseille vivement d’y jeter un œil et de vérifier vos systèmes.
Je pense qu’on a encore affaire ici à une jolie affaire d’espionnage étatique. Faut dire que ces groupes APT chinois développent des outils d’une sophistication toujours aussi hallucinante, et comme d’hab leurs cibles privilégiées sont des organisations militaires et gouvernementales des pays voisins du leur.
Bref, la prochaine fois que Windows vous demande une autorisation pour un truc bizarre, réfléchissez-y à deux fois parce qu’entre un simple WinMail.exe des familles et une infrastructure d’espionnage complète, la frontière est devenue sacrément mince.
Vous savez comme moi que parfois les failles de sécurité les plus dangereuses sont aussi les plus simples. Imaginez-vous un instant, déjouer complètement Windows Defender, le garde du corps intégré de Microsoft, avec juste… un lien symbolique.
Oui, un simple raccourci Windows créé avec la commande mklink , et paf, c’est la protection antivirus qui part en fumée. Et bien c’est exactement ce qu’a déniché un chercheur en sécurité russe connu sous le pseudo de Two Seven One Three .
L’astuce ici, c’est que l’attaque joue avec la manière dont Windows Defender gère ses propres mises à jour. Je vous explique… Vous voyez ce dossier C:\ProgramData\Microsoft\Windows Defender\Platform où l’antivirus range ses exécutables ? Eh bien, chaque mise à jour génère un nouveau sous-dossier avec un numéro de version, genre 4.18.24090.11-0. Et au démarrage, Defender se lance à la recherche de la version la plus fraîche pour s’exécuter.
C’est là que ça devient croustillant car le chercheur a découvert qu’avec des droits administrateur, n’importe qui peut créer un nouveau dossier dans Platform. Microsoft a bien sûr pensé à empêcher l’écriture de fichiers malveillants dans ce répertoire critique, mais la création de nouveaux dossiers reste possible. C’est cette faille apparemment mineure qui devient alors une porte d’entrée majeure.
Voici comment l’attaque se déroule : vous créez un lien symbolique avec un nom de version qui semble plus récent, disons 5.18.25070.5-0. Ce lien dirige vers un dossier que vous contrôlez de A à Z, par exemple C:\TMP\AV.
La commande est un jeu d’enfant :
Connexionmklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\TMP\AV"
Ainsi, au prochain redémarrage de Windows, Defender se dit “Oh chouette, une nouvelle version !” et démarre depuis votre dossier piégé. De là, vous avez alors le contrôle total. Vous pouvez modifier les fichiers de Defender, lui injecter du code via DLL side-loading, ou carrément supprimer les exécutables, car sans ses fichiers principaux, l’antivirus ne peut plus démarrer et toute la protection s’effondre.
Y’a aussi
une variante encore plus sournoise détectée
en début d’année qui consiste à utiliser Process Monitor avec des liens symboliques, cet outil de monitoring système de Microsoft, avec lequel vous pouvez carrément écraser le fichier principal de Defender au démarrage. Il suffit de créer un lien symbolique C:\Windows\Procmon.pmb qui pointe vers MsMpEng.exe, et Process Monitor fait le sale boulot pour vous pendant le boot.
Les hackers combinent de plus en plus cette approche avec d’autres méthodes comme le BYOVD (Bring Your Own Vulnerable Driver). Par exemple, le groupe de ransomware Akira qui utilise des drivers Intel légitimes pour obtenir un accès kernel et désactiver ainsicomplètement les protections Windows.
Les implications sont énormes car une fois Defender neutralisé, la page Windows Security devient inaccessible car le service n’est plus actif. Il n’y a plus aucune protection en temps réel, plus de détection de malware, rien. La machine devient alors une proie facile pour n’importe quel ransomware ou malware.
Le pire dans tout ça c’est que cette attaque utilise uniquement des outils déjà présents dans Windows. C’est la simplicité même de cette technique qui explique comment elle a pu passer inaperçue si longtemps.
Microsoft n’a pas encore communiqué officiellement sur cette vulnérabilité spécifique déterrée par Two Seven One Three mais vu l’exploitation enfantine et son efficacité redoutable, on peut parier qu’un correctif arrivera rapidement.
En attendant, les entreprises feraient bien de surveiller de très près les modifications dans le dossier Platform de Windows Defender…
L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.
L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.
L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.
L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.
Le Patch Tuesday de Septembre 2025 publié par Microsoft corrige un ensemble de 81 vulnérabilités dont 2 failles zero-day dans Windows SMB et SQL Server.
The post Patch Tuesday – Septembre 2025 : Microsoft a patché 81 vulnérabilités dont 2 zero-day first appeared on IT-Connect.
Hier, vous vous êtes peut-être retrouvé avec un mail de Plex commençant par “Nous avons détecté une activité inhabituelle sur votre compte”. Pas de panique, vous n’êtes pas seul car en effet, ce lundi 8 septembre, les 17 millions d’utilisateurs actifs de Plex ont eu le même réveil douloureux.
Plex, si vous ne connaissez pas encore, c’est un super outil qui permet de gérer votre bibliothèque média personnelle et d’accéder à du contenu gratuit. Malheureusement, il y a quelques jours, leurs serveurs ont été à nouveau compromis (la précédente c’était en 2022) et le pirate a réussi à se faufiler et à accéder à une base de données contenant des informations d’authentification.
Dans cette nouvelle attaque, les données exposées incluent donc les adresses email, les noms d’utilisateur et les mots de passe hashés. Plex se veut rassurant et précise que les mots de passe étaient “sécurisés par hachage, conformément aux meilleures pratiques” ce qui est plutôt cool sur le papier, mais qui n’empêche pas que vos données perso soient maintenant entre de mauvaises mains.
Heureusement, nos informations de paiement n’ont pas été compromises car Plex ne stocke pas les données de cartes bancaires sur ses serveurs, ce qui limite les dégâts financiers directs pour les utilisateurs mais du coup, face à cette situation, Plex impose une réinitialisation obligatoire des mots de passe pour tous ses utilisateurs.
Vous devez donc vous rendre sur https://plex.tv/reset pour créer un nouveau mot de passe. L’entreprise recommande vivement d’activer l’option “Déconnecter les appareils connectés après le changement de mot de passe” ce qui signifie que vous devrez ensuite vous reconnecter sur tous vos appareils, y compris votre Plex Media Server. C’est super relou mais c’est un petit prix à payer pour la sécurité.
Et pour ceux qui utilisent la connexion unique (SSO), Plex conseille de se déconnecter de toutes les sessions actives via https://plex.tv/security , puis si vous ne l’avez pas encore fait, c’est vraiment le moment d’activer l’authentification double facteurs.
En tout cas, pour l’instant, on a eu aucuns détails techniques sur la méthode utilisée par le pirate pour récupérer toutes ces données. Plex affirme avoir “corrigé la méthode d’intrusion” mais refuse de partager plus d’informations, du coup, on ne connait pas vraiment l’ampleur du problème et si d’autres services similaires sont vulnérables.
Notez que Plex ne vous demandera jamais votre mot de passe ou vos informations de paiement par email donc si vous recevez ce genre de demande, c’est du phishing. Et si vous utilisez le même mot de passe Plex sur d’autres services (ce qu’il ne faut jamais faire, morbleu !), changez-le partout immédiatement !
Voilà, après cette seconde fuite en trois ans je commence à me poser des questions sur la façon dont ils gèrent leur sécurité. Faut pas oublier qu’il y a plein de gens qui utilisent Plex pour y mettre également leurs vidéos perso, donc je vous laisse imaginer le drame si demain, des cybercriminels pouvaient accéder aux bibliothèques médias des utilisateurs.
Bon courage à tous !
Le logiciel de gestion multimédia Plex a annoncé le 8 septembre 2025 avoir été victime d'un incident de sécurité. Les pirates responsables de l’attaque auraient eu accès à de nombreuses données clients. Dans un mail adressé aux personnes concernées, l’entreprise américaine invite ses utilisateurs à prendre plusieurs mesures de précaution.
Le logiciel de gestion multimédia Plex a annoncé le 8 septembre 2025 avoir été victime d'un incident de sécurité. Les pirates responsables de l’attaque auraient eu accès à de nombreuses données clients. Dans un mail adressé aux personnes concernées, l’entreprise américaine invite ses utilisateurs à prendre plusieurs mesures de précaution.
Suite à la compromission du compte d'un dev, un malware a été injecté dans des paquets NPM comptabilisant plus de 2,6 milliards de téléchargements par semaine.
The post NPM : des paquets totalisant 2,6 milliards de téléchargements par semaine infectés par un malware first appeared on IT-Connect.
Saviez-vous qu’il y a plus de 3,7 millions de fausses étoiles qui polluent GitHub , et que 16% des repos étaient déjà touchés fin 2024. C’est pour cela que DataDog a sorti GHBuster , un outil qui détecte justement les comptes et repos GitHub suspects grâce à des algos heuristiques bien senties.
Le principe c’est qu’au lieu de chercher bêtement des patterns, GHBuster analyse plusieurs comportements louches en même temps. Genre, il repère quand un repo a plein d’étoiles venant de comptes créés le même jour et check aussi d’autres trucs sympas comme les commits avec des emails non liés au profil GitHub (pratique pour repérer les acteurs malveillants qui utilisent plusieurs comptes bidons). Il trouve aussi les utilisateurs qui n’ont que des forks de repos supprimés, ou ceux dont tous les commits viennent d’emails non vérifiés.
L’installation est super simple pour ceux qui veulent tester :
uv pip install "git+https://github.com/DataDog/ghbuster.git"
export GITHUB_TOKEN=votre_token_github
ghbuster
Et le problème de ces fausses “étoiles”, c’est un phénomène qui prend de l’ampleur et ces repos vérolés contiennent souvent des malwares cachés dans des logiciels piratés, des cheats de jeux ou des bots crypto.
DataDog ne s’arrête pas là car ils ont aussi intégré GHBuster dans leur suite de sécurité Cloud SIEM. Ça permet de monitorer en temps réel les activités suspectes sur GitHub, comme l’ajout de clés SSH depuis des IP douteuses ou la désactivation du secret scanning.
Pour les devs et les entreprises, c’est un vrai casse-tête car comment faire confiance à un repo avec 10 000 étoiles si la moitié sont bidons ? GHBuster apporte heureusement une partie de la réponse en permettant d’identifier rapidement les patterns suspects.
DataDog recommande aussi de configurer vos filtres web pour surveiller le trafic GitHub et détecter les téléchargements anormaux. Utilisez des outils de scan automatique comme GitGuardian ou GitHub Advanced Security pour repérer les malwares potentiels dans le code.
Je trouve ça cool de voir des boîtes comme DataDog partager leurs outils en open source et j’espère que GHBuster vous aidera à y voir un peu plus clair dans ce bazar sur GitHub.
Plex a révélé un nouvel incident de sécurité : les pirates ont pu accéder à une base avec des informations sur les utilisateurs, dont les mots de passe.
The post Cyberattaque chez Plex : vos mots de passe exposés, réinitialisez-les sans attendre ! first appeared on IT-Connect.
Le 3 septembre 2025, Nati Tal, directeur de Guardio Labs, a révélé sur X le mode opératoire d'une nouvelle menace cyber appelée « Grokking ». Une attaque où l’IA du réseau social, Grok, est exploitée pour contourner la sécurité et diffuser des liens malveillants auprès de millions d'utilisateurs.
Le 3 septembre 2025, Nati Tal, directeur de Guardio Labs, a révélé sur X le mode opératoire d'une nouvelle menace cyber appelée « Grokking ». Une attaque où l’IA du réseau social, Grok, est exploitée pour contourner la sécurité et diffuser des liens malveillants auprès de millions d'utilisateurs.
Une faille de sécurité critique affecte la solution SAP S/4HANA : CVE−2025−42957. Cette menace est à prendre au sérieux, car elle est exploitée par les pirates.
The post SAP S/4HANA – CVE-2025-42957 : cette faille critique est exploitée dans des cyberattaques ! first appeared on IT-Connect.
