3h37… la cafetière grogne comme un vieux moteur diesel et moi je fixe l’écran de mon PC avec cette fichue pièce jointe .exe qui vient d’atterrir. Le titre ? « Facture impayée ». L’expéditeur ? Un coréen dont le nom ressemble à un captcha mal imprimé. Mon doigt tremble au-dessus du trackpad, et déjà mon cerveau me hurle : « Ne clique pas, gros malin. » Mais je suis crevé, ça fait 36 heures que je vous ponds des articles à la chaine … je n’ai même pas le temps de réfléchir au risque que mon doigt à déjà cliqué par réflexe. Heureusement,  Surfshark One est déjà en action.

En arrière-plan, sans que je bouge un cil, mon IP saute de Paris à Tokyo, puis à Toronto, puis à Sydney. Le botnet qui espionne ma ligne voit 4 continents défiler en moins de dix secondes ; il perd la trace, panique, et abandonne la connexion. Pas de lag, pas de coupure sur la série Netflix qui tourne en fond sur la télé, juste un léger pictogramme qui clignote dans la barre des tâches pour me dire « déplacement en cours ». Je souris, je n’ai même pas eu besoin d’ouvrir l’appli.

Le fichier .exe téléchargé par mégarde démarre dans un bac à sable invisible. L’antivirus Avira (assisté par IA) observe : tentative d’accès à la webcam, requête vers un domaine .onion, écriture dans le registre. Le verdict tombe en 0,2 seconde : comportement suspect = quarantaine immédiate. Je n’ai même pas le temps de voir la pop-up ; l’icône du bouclier redevient verte, le fichier est déjà mort et enterré dans le Cloud Protect System. Le tout sans que mon CPU ne grimpe au-dessus de 12%. Mon ordinateur continue de diffuser Spotify comme si de rien n’était.

Pendant que le malware agonise, Alert scrute déjà ses bases de fuites recensées. Mon adresse mail apparaît dans une liste fraîchement publiée sur un forum russe. Ping : notification push, SMS de secours, et un lien « Change ton mot de passe en un clic ». J’appuie (encore par réflexe conditionné, je clique tout ce qui passe ce soir), je tape « bonne-nuit-les-pirates-2025 », et c’est réglé. Trois secondes plus tard, je reçois un rapport écrit en français clair : « Aucune carte bancaire ni ID n’ont fuité, tu peux dormir tranquille. »

Mais vous me connaissez, je veux comprendre ce virus. J’ouvre Surfshark Search à 3h56, je tape « ransomware polymorphe 2025 ». Résultats : zéro pub, zéro tracker, zéro suggestions étranges sur la page de recherche. Deux liens vers des analyses techniques, un thread Reddit ultra frais. Je découvre que la même attaque a déjà visé au moins 400 personnes ces dernières heures, mais que la dernière signature est déjà dans la base virale de Surfshark depuis… 3 h 49. Autrement dit, la suite m’a protégé avant même que je ne sache vraiment par quoi j’étais visé.

Puisque j’aime vivre dangereusement, je décide de tester un site de téléchargement parmi les plus douteux pour voir si je peux réitérer l’attaque. Je clique sur « Créer un alias ». Surfshark me file instantanément « Manolo Korbera, 33 ans, Porto, plutôt bg », avec un mail @surfshark.net. Je l’utilise, je télécharge le fichier suspect, rien ne se passe : l’alias reçoit le spam, pas moi. Dans le dashboard, je clique sur « Supprimer l’alias ». Manolo disparaît, comme s’il n’avait jamais existé. Mon vrai mail reste vierge. J’aurais dû y penser à 3h37 avant le premier clic.

3h23. Woaw. Il ne s’est rien passé. Je n’ai pas cliqué sur le .exe, c’était un rêve, je me suis juste endormi sur ma chaise et à mon âge ça fait mal au dos. Un coup d’oeil rapide sur l’écran, les quatre icônes de Surfshark One clignotent calmement : VPN vert, antivirus vert, Alert vert, Search vert. Je vide ma tasse de café froid, j’éteins la lumière, et je vais enfin me coucher tranquille. Sachant que la suite continuera de s’améliorer pendant que je dors : nouvelles signatures, nouvelles adresses IP, nouvelles menaces anticipées. 

Juste avant de fermer les yeux, je me souviens de ce à quoi je pensais avant de sombrer la première fois : la nouveauté Surfshark Everlink. 

Grâce à une infrastructure brevetée, Surfshark redirige maintenant le tunnel vers un serveur sain automatiquement s’il y a coupure. Vous ne remarquez même pas le changement, votre IP reste cachée, votre binge YouTube ne s’interrompt pas. Votre connexion VPN devient une sorte de passerelle magique : même si le serveur sur lequel vous êtes tombe en panne ou passe en maintenance, Everlink recolle le lien en temps réel sans jamais vous déconnecter. 

Contrairement au classique « kill switch » qui coupe Internet quand le VPN lâche, Everlink guérit la connexion avant qu’elle ne meure. Résultat : zéro déconnexion, zéro exposition, même en pleine heure de pointe ou sur un Wi-Fi d’aéroport douteux. Disponible par défaut avec le protocole WireGuard sur tous vos appareils, et sans surcoût, c’est la sécurité qui roule en pilote automatique.

Je vais enfin pouvoir dormir sur mes 2 oreilles. Surtout que pour en profiter, la suite complète ne coûte que 61,83 € pour 27 mois (soit 2,29 € TTC par mois). C’est pas cher payé pour éviter des cauchemars.

Gardez une longueur d’avance ? Surfshark One est là pour vous.

VoidProxy, une plateforme de phishing sophistiquée, contourne le MFA et cible Microsoft 365, Google et Okta. Découvrez son fonctionnement et les risques.

The post VoidProxy : la nouvelle arme des pirates pour voler vos comptes Microsoft 365 et Google malgré le MFA first appeared on IT-Connect.

Le ransomware HybridPetya s'inspire des malwares Petya et NotPetya, avec en plus la possibilité de contourner le Secure Boot pour s'adapter aux PC modernes.

The post HybridPetya : ce nouveau ransomware s’inspire de Petya/NotPetya et contourne le Secure Boot first appeared on IT-Connect.

Vous saviez qu’en ce moment, les attaques sur la supply chain faisaient des ravages ? En effet, les attaquants exploitent régulièrement la possibilité de modifier des tags existants pour injecter du code malveillant dans les pipelines CI/CD.

Mais heureusement, GitHub a enfin sorti LA fonctionnalité qui peut empêcher ce carnage : les Immutable Releases et je pense que c’est le genre de truc que tous les développeurs devraient activer illico sur leurs repos. Je vais vous expliquer pourquoi.

En fait, une fois que vous publiez une release avec cette option activée, plus personne ne peut toucher ni aux assets ni au tag associé. C’est comme si vous mettiez votre release dans un coffre-fort dont vous jetez la clé. Même vous, en tant que mainteneur, vous ne pouvez plus modifier les binaires ou déplacer le tag vers un autre commit.

D’après la documentation officielle , chaque release immuable génère automatiquement une attestation cryptographique. Cette attestation contient le SHA du commit, le tag et la liste des assets. Vos utilisateurs peuvent vérifier l’intégrité de ce qu’ils téléchargent en s’assurant que cela correspond exactement à ce que vous avez publié.

Pour activer cette option merveilleuse, c’est dans les settings de votre repo ou de votre organisation. Une fois activé, toutes les nouvelles releases deviennent alors automatiquement immuables. Les anciennes releases restent toutefois modifiables (pour éviter de casser vos workflows existants), mais bon, c’est mieux de migrer progressivement.

Attention quand même, il y a quelques pièges à éviter. Premièrement, vous ne pouvez plus ajouter d’assets après publication. Donc si votre CI upload les binaires après avoir créé la release, il faut inverser : Créez d’abord une draft release, uploadez les assets, puis publiez. Deuxièmement, si vous supprimez une release immuable, vous ne pourrez JAMAIS réutiliser le même tag. C’est définitif.

Pour les projets qui utilisent des tags de version majeure style v1 qu’ils mettent à jour régulièrement (coucou GitHub Actions), pas de panique. Vous pouvez continuer à utiliser cette pratique pour les tags qui ne sont pas associés à des releases. L’immuabilité ne s’applique qu’aux releases publiées, pas aux tags simples.

Les équipes de sécurité recommandent d’ailleurs d’activer cette fonctionnalité sur tous les repos qui publient du code versionné. C’est particulièrement critique pour les bibliothèques open source, les GitHub Actions, et tout ce qui est consommé par d’autres projets. En gros, si votre code finit dans la supply chain de quelqu’un d’autre, vous leur devez cette protection.

Le truc cool aussi, c’est que ça protège contre les erreurs humaines. Combien de fois j’ai vu des mainteneurs qui écrasaient accidentellement une release avec la mauvaise version ? Ou qui supprimaient un asset critique par erreur ? Avec les Immutable Releases, ces accidents appartiennent au passé.

Pour les entreprises, c’est un argument de vente en or. Ça permet de garantir à vos clients que vos releases ne peuvent pas être altérées après publication, c’est un niveau de confiance supplémentaire surtout dans des secteurs régulés où la traçabilité est cruciale.

Bref, GitHub est en train de déployer progressivement cette fonctionnalité en public preview. Pour l’instant, il faut l’activer manuellement pour chaque repo, mais ils travaillent sur une API pour permettre l’activation en masse. D’ici là, prenez donc 2 minutes pour l’activer sur vos projets critiques.

Voilà, après les dégâts causés par les attaques de type tag hijacking ces dernières années, ne pas activer les Immutable Releases sur vos repos publics, c’est comme laisser votre porte d’entrée grande ouverte avant de partir en vacances. Vous pouvez le faire, mais ne venez pas pleurer si ça tourne mal.

Près de 600 Go, c’est le poids de la plus grosse fuite de l’histoire du Great Firewall chinois. Il y a quelques jours, un collectif hacktiviste du nom de Enlace Hacktivista a balancé sur le net tout le code source, les documents internes, les logs de travail et même les communications privées du système de censure le plus sophistiqué au monde. C’est à ce jour la plus grosse fuite de l’histoire du Great Firewall chinois !

Le Great Firewall est un système qui permet à la Chine de filtrer internet pour toute sa population. Un système tellement efficace qu’il bloque non seulement Google, Facebook ou Twitter, mais qui arrive aussi à détecter et neutraliser les VPN les plus sophistiqués. Et aujoud’hui, tout son fonctionnement interne est accessible à qui veut bien se donner la peine de télécharger un fichier torrent de 571 Go.

Les documents proviennent de deux sources principales : Geedge Networks, une boîte dirigée par Fang Binxing (surnommé le “père du Great Firewall”), et le laboratoire MESA de l’Académie chinoise des sciences. En gros, on a là les architectes principaux de la censure numérique chinoise qui se retrouvent à poil sur internet.

Mais le plus dingue dans cette histoire, c’est pas tant la fuite elle-même. C’est ce qu’elle révèle sur l’export de cette technologie. Les documents montrent que la Chine ne se contente pas de censurer son propre internet, non… elle vend clé en main son système de censure à d’autres pays autoritaires.

Le produit star ? Un truc appelé Tiangou, décrit dans les documents comme une solution tout-en-un pour dictateur pressé : vous branchez, vous configurez, et hop, vous pouvez surveiller et censurer votre population comme en Chine. Le système inclut plusieurs modules aux noms poétiques : le Tiangou Secure Gateway qui bloque les VPN et peut injecter du code malveillant, le Cyber Narrator qui surveille l’activité internet par région, et les systèmes TSG Galaxy et Network Zodiac pour stocker et analyser les données des utilisateurs.

D’après les documents qui ont fuité, le Myanmar a déployé ce système dans 26 centres de données, avec des tableaux de bord capables de monitorer 81 millions de connexions TCP simultanées ! C’est pas rien ! Ce système est d’ailleurs intégré directement dans les points d’échange internet du pays, permettant un filtrage massif et sélectif du trafic.

Le Pakistan n’est pas en reste car d’après les documents, Geedge a installé son infrastructure DPI (Deep Packet Inspection) dans le cadre d’un système plus large appelé WMS 2.0. Amnesty International parle d’une surveillance de masse en temps réel sur les réseaux mobiles pakistanais où en gros, chaque SMS, chaque appel, chaque connexion internet peut être intercepté et analysé.

Les documents révèlent aussi que l’Éthiopie et le Kazakhstan ont acquis des licences pour le système Tiangou et apparemment, ce n’est que la partie émergée de l’iceberg.

Au début, Geedge utilisait des serveurs HP et Dell pour faire tourner son système, mais face aux sanctions occidentales, ils sont passés à du matériel 100% chinois. Le système s’adapte donc, évolue, contourne les obstacles, exactement comme les utilisateurs qu’il est censé bloquer, sauf qu’il a plus de moyens.

Les chercheurs qui analysent actuellement les données étudient le code pour mieux comprendre le système car maintenant que celui-ci est public, les développeurs d’outils de contournement peuvent potentiellement y trouver des faiblesses.

Enlace Hacktivista, le groupe à l’origine de la fuite, n’en est pas à son coup d’essai mais là, ils ont frappé un grand coup et pour ceux qui voudraient jeter un œil aux documents (attention, c’est à vos risques et périls), Enlace Hacktivista a mis le tout à disposition via torrent et téléchargement direct. Les chercheurs recommandent fortement d’utiliser des machines virtuelles isolées ou des environnements sandboxés pour analyser ces fichiers. Pas question de lancer ça sur votre PC principal, on ne sait jamais ce qui peut se cacher dans ces giga octets de code chinois.

Voilà en tout cas, cette technologie de censure et de surveillance est devenu un business global pour contrôler les populations. Merci la Chine ! Et maintenant que le code est dans la nature, on peut s’attendre à ce que d’autres états tentent de créer leurs propres versions du Great Firewall.

Maintenant, est-ce que ça va permettre de mieux contourner la censure ? Est-ce que ça va dissuader certains pays d’acheter cette technologie ? Ou est-ce que la Chine va simplement développer une version 2.0 encore plus sophistiquée ?

On verra bien…

Source

Vous attaquez votre lundi matin, tranquillement avec votre petit café… vous ouvrez ChatGPT pour lui demander votre planning de la semaine et là, PAF (façon De Funès ^^), toute votre correspondance Gmail part directement chez un cybercriminel.

Ce serait fou non ? Et bien c’est exactement ce qu’un chercheur vient de démontrer et tout ça à cause d’une simple invitation Google Calendar.

Eito Miyamura, co-fondateur d’EdisonWatch , a lâché une bombe sur X le 12 septembre et sa démo est terrifiante. En gros, il simule un attaquant qui envoie une invitation Google Calendar vérolée, ensuite vous demandez innocemment à ChatGPT “Qu’est-ce que j’ai de prévu aujourd’hui ?”, et l’IA se transforme en espion qui fouille vos emails et les envoie au pirate. Vous n’avez même pas besoin de voir ou d’accepter l’invitation. Elle est là, dans votre calendrier, comme une bombe à retardement.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/chatgpt-peut-lire-vos-emails-secrets/chatgpt-peut-lire-vos-emails-secrets-1.mp4">lien vers la vidéo</a>.

Si vous utilisez un appareil Samsung sous Android, sachez qu'une faille zero-day déjà exploitée par les cybercriminels a été patchée : CVE-2025-21043.

The post Patchez votre appareil Samsung – CVE-2025-21043 : cette faille zero-day est activement exploitée ! first appeared on IT-Connect.

VMScape (CVE-2025-40300) : une faille de sécurité affecte certains processeurs AMD et Intel, et menace les environnements Cloud avec KVM et QEMU.

The post VMScape : Linux se protège de la nouvelle vulnérabilité ciblant les CPU Intel et AMD first appeared on IT-Connect.

Microsoft Teams va détecter automatiquement les liens malveillants (phishing, malware, etc.) dans les messages et avertir les utilisateurs en temps réel.

The post Microsoft Teams va automatiquement détecter les liens malveillants dans les messages ! first appeared on IT-Connect.

Un fichier JSON qui met en danger des milliers de développeurs. Voilà en gros le pitch du jour, et franchement, il y a de quoi s’inquiéter un peu.

Vous connaissez Cursor ? C’est ce nouvel éditeur de code qui fait le buzz avec son IA intégrée, GPT-5 et Claude sous le capot. Et bien selon Oasis Security , cet outil de plus en plus populaire dans la communauté des développeurs, a une faille d’importance. En effet, l’équipe de développement a décidé de désactiver par défaut une fonction de sécurité cruciale de Visual Studio Code qui est le Workspace Trust.

Pourquoi ? Bah parce que ça gênait le fonctionnement de leur précieuse IA !

Alors qu’est-ce que ça change ce Workspace Trust ? Eh bien, imaginez que vous ouvrez tranquillement un projet GitHub pour jeter un œil au code. Pas pour l’exécuter, juste pour regarder. Avec VS Code de base, aucun souci, le Workspace Trust vous protège mais avec Cursor, c’est open bar pour les hackers.

Car il suffit qu’un petit malin glisse un fichier .vscode/tasks.json dans son repository avec la bonne configuration, et boom. Dès que vous ouvrez le dossier, le code s’exécute automatiquement sur votre machine avec "runOn": "folderOpen". Sans votre accord bien sûr. Sans même que vous vous en rendiez compte.

Les chercheurs d’Oasis Security ont créé une démo pour prouver le danger . Leur fichier tasks.json envoie discrètement le nom d’utilisateur de la victime vers un serveur externe. Sympa comme proof of concept, mais imaginez les dégâts avec du vrai code malveillant.

Avec ce genre de manip, un attaquant pourrait faire du vol de tokens d’authentification, de clés API planquées dans vos variables d’environnement, une modification silencieuse de vos fichiers de code, un connexion à un serveur de commande et contrôle… etc. Bref, le kit complet du cybercriminel moderne et vu que beaucoup de développeurs bossent sur des projets sensibles, ça peut vite devenir une porte d’entrée pour des attaques sur la chaîne d’approvisionnement logicielle.

Le truc énervant, c’est quand Oasis Security a alerté l’équipe de Cursor… leur réponse a été… comment dire… rafraîchissante car selon les chercheurs, l’équipe de Cursor a reconnu le problème mais a refusé de réactiver le Workspace Trust par défaut. Plus diplomatiquement, ils ont expliqué que cette fonction de sécurité casserait les fonctionnalités IA pour lesquelles les gens utilisent leur produit.

Leur conseil pour ceux qui s’inquiètent c’est donc d’ activer manuellement le Workspace Trust dans les paramètres ou d’utiliser un autre éditeur pour ouvrir les projets douteux. Autrement dit, démerdez-vous.

Pour activer cette protection vous-même, il faut donc aller dans les settings et modifier security.workspace.trust.enabled en le passant à true. Vous pouvez aussi complètement désactiver l’exécution automatique des tâches avec task.allowAutomaticTasks: "off".

Plusieurs experts en sécurité recommandent maintenant d’ouvrir les repositories inconnus uniquement dans des environnements isolés, genre machine virtuelle ou conteneur jetable. Pas très pratique pour du code review rapide.

En tout cas, je me souviens que ce n’est pas la première fois que Cursor fait parler de lui niveau sécurité. Récemment, deux autres vulnérabilités ont été découvertes : MCPoison (CVE-2025-54136) et CurXecute (CVE-2025-54135). Bref, visiblement, la sécurité n’est pas leur priorité numéro un.

Et pour détecter si vous êtes victime de cette faille, cherchez les fichiers .vscode/tasks.json contenant "runOn": "folderOpen" dans vos projets. Surveillez aussi les shells lancés par votre IDE et les connexions réseau inhabituelles juste après l’ouverture d’un projet.

A vous de décider maintenant… jusqu’où êtes-vous prêt à sacrifier votre sécurité pour un peu plus de confort ? Parce que là, on parle quand même d’exécution de code arbitraire sans consentement…

Vous savez où se cache votre dossier %APPDATA% ? Parce qu’il semblerait que les équipes de Bitdefender aient mis au jour une petite pépite chinoise baptisée EggStreme (jeu de mots !!!) qui s’y terre et qui n’a rien de très comestible !

Tout commence aux Philippines, où une entreprise militaire se retrouve dans la ligne de mire de ce malware, ce qui vu l’ambiance tendue qui règne actuellement en mer de Chine méridionale, n’est probablement pas un pur hasard. Les chercheurs ont en effet mis la main sur un framework d’espionnage si élaboré qu’il ne laisse quasiment aucune trace sur le disque dur car tout se déroule dans la RAM.

Ce qui donne des sueurs froides avec EggStreme, c’est sa technique d’infiltration, connue sous le nom de DLL sideloading. En clair, les assaillants glissent un fichier Windows légitime (WinMail.exe) dans le dossier %APPDATA%\Microsoft\Windows\Windows Mail\ avec une DLL malveillante (mscorsvc.dll). Windows, le pauvre miskine, charge alors le tout sans broncher, persuadé qu’il a affaire à du bon vieux code Microsoft. Bien installé, le malware reste ensuite chargé uniquement en mémoire grâce à des techniques de chargement réflectif, ce qui évite toute écriture sur le disque.

Et une fois lancé, c’est la débandade. Le premier composant, EggStremeFuel, prépare le terrain en collectant des infos sur votre système et ouvre une backdoor via cmd.exe. Puis débarque EggStremeLoader qui va dénicher des payloads chiffrés planqués dans un fichier ielowutil.exe.mui. Ces payloads sont ensuite injectés directement dans des processus système légitimes comme winlogon.exe ou explorer.exe.

Mais le clou du spectacle, c’est EggStremeAgent, le cœur du dispositif. Ce backdoor dispose de 58 commandes différentes qui permettent aux attaquants de faire absolument tout ce qu’ils veulent : reconnaissance réseau, vol de données, captures d’écran, exécution de code arbitraire, et même injection dans le processus LSASS (celui qui gère vos mots de passe Windows).

Et ce n’est pas tout car les développeurs ont ajouté EggStremeKeylogger, un keylogger qui s’injecte dans explorer.exe et enregistre tout à savoir vos frappes clavier, le contenu du presse-papier, les fenêtres actives, même les fichiers que vous copiez-collez. Tout est alors stocké dans un fichier thumbcache.dat chiffré en RC4, histoire de passer inaperçu.

Pour communiquer avec le serveur de commande et contrôle, les pirates utilisent également gRPC avec mTLS. Ils ont même leur propre autorité de certification pour générer des certificats uniques pour chaque machine compromise. Et la configuration de ce beau bébé est stockée dans un fichier Vault.dat chiffré, et chaque victime reçoit un identifiant unique.

Ce qui étonne vraiment les chercheurs, c’est la cohérence de l’ensemble car tous les composants utilisent les mêmes techniques : DLL sideloading, chiffrement RC4/XOR, exécution exclusivement en mémoire. Ça sent la team de développeurs bien rodée avec des process industriels, et pas des amateurs qui bricolent dans leur garage.

Et comme si cela ne suffisait pas, ils ont même prévu un plan B avec EggStremeWizard, un backdoor de secours allégé qui maintient l’accès même si le module principal se fait dégager. Et pour se balader tranquillement dans les réseaux segmentés, ils utilisent également Stowaway , un outil proxy écrit en Go qui permet de contourner les restrictions réseau.

Malheureusement, pour contrer de ce genre de saloperies, les antivirus classiques sont complètement largués. Il faut du monitoring comportemental avancé, des solutions EDR/XDR capables de surveiller la mémoire des processus, et surtout bloquer l’usage non autorisé des utilitaires système Windows (les fameux LOLBins). Seules ces solutions plus avancées peuvent détecter les comportements anormaux en mémoire et les techniques d’injection de processus que ce malware utilise.

Bitdefender a publié tous les indicateurs de compromission sur leur repo GitHub et si vous bossez dans une organisation sensible en Asie-Pacifique, je vous conseille vivement d’y jeter un œil et de vérifier vos systèmes.

Je pense qu’on a encore affaire ici à une jolie affaire d’espionnage étatique. Faut dire que ces groupes APT chinois développent des outils d’une sophistication toujours aussi hallucinante, et comme d’hab leurs cibles privilégiées sont des organisations militaires et gouvernementales des pays voisins du leur.

Bref, la prochaine fois que Windows vous demande une autorisation pour un truc bizarre, réfléchissez-y à deux fois parce qu’entre un simple WinMail.exe des familles et une infrastructure d’espionnage complète, la frontière est devenue sacrément mince.

Source

Vous savez comme moi que parfois les failles de sécurité les plus dangereuses sont aussi les plus simples. Imaginez-vous un instant, déjouer complètement Windows Defender, le garde du corps intégré de Microsoft, avec juste… un lien symbolique.

Oui, un simple raccourci Windows créé avec la commande mklink , et paf, c’est la protection antivirus qui part en fumée. Et bien c’est exactement ce qu’a déniché un chercheur en sécurité russe connu sous le pseudo de Two Seven One Three .

L’astuce ici, c’est que l’attaque joue avec la manière dont Windows Defender gère ses propres mises à jour. Je vous explique… Vous voyez ce dossier C:\ProgramData\Microsoft\Windows Defender\Platform où l’antivirus range ses exécutables ? Eh bien, chaque mise à jour génère un nouveau sous-dossier avec un numéro de version, genre 4.18.24090.11-0. Et au démarrage, Defender se lance à la recherche de la version la plus fraîche pour s’exécuter.

C’est là que ça devient croustillant car le chercheur a découvert qu’avec des droits administrateur, n’importe qui peut créer un nouveau dossier dans Platform. Microsoft a bien sûr pensé à empêcher l’écriture de fichiers malveillants dans ce répertoire critique, mais la création de nouveaux dossiers reste possible. C’est cette faille apparemment mineure qui devient alors une porte d’entrée majeure.

Voici comment l’attaque se déroule : vous créez un lien symbolique avec un nom de version qui semble plus récent, disons 5.18.25070.5-0. Ce lien dirige vers un dossier que vous contrôlez de A à Z, par exemple C:\TMP\AV.

La commande est un jeu d’enfant :

mklink /D "C:\ProgramData\Microsoft\Windows Defender\Platform\5.18.25070.5-0" "C:\TMP\AV"

L’éducation (4178 incidents par organisation/semaine), secteur le plus touché, les télécommunications et l’agriculture ont connu des hausses record ; L’Afrique est la région la plus cyberattaquée alors que l’Amérique du Nord connaît une augmentation de 20 % due aux ransomwares, qui sont en hausse de 14 % à l’échelle mondiale. Tribune – Check Point Research, l’équipe […]

Les jeunes, cibles privilégiées des cybermenaces. À l’occasion de la 13ème édition du Cybermois, Cybermalveillance.gouv.fr révèle les résultats de son 2ème baromètre avec IPSOS et part à la rencontre des Français dans les territoires. Communiqué – À l’occasion du Cybermois 2025, Cybermalveillance.gouv.fr, dispositif national d’assistance et de prévention, dévoile le programme de sa 13ème édition […]

Le paysage de la cybersécurité évolue rapidement, les organisations recherchant des moyens plus efficaces pour protéger leurs actifs numériques. Une récente étude menée à l’échelle mondiale par Kaspersky révèle une tendance croissante vers des stratégies de sécurité proactives, en particulier l’adoption du développement Secure by Design et de la cyber immunité, une approche innovante qui […]

L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.

L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.

À l’occasion de l’entrée en vigueur, ce vendredi, de la loi européenne sur les données, voici le commentaire de Tim Pfaelzer, Senior Vice President and General Manager EMEA de Veeam : « La loi européenne sur les données (EU Data Act) entre en vigueur à un moment crucial. Si de nombreuses organisations ont adopté des environnements […]

L'examen de la loi concernant la lutte contre le narcotrafic a montré que le chiffrement des communications restait exposé à certains périls. Durant l'examen du projet de loi sur la cybersécurité et la résilience des infrastructures critiques, les députés ont adopté un amendement qui vient contrer certaines menaces.