<![CDATA[TISI - Tous les forums]]>

<![CDATA[TISI - Tous les forums]]> https://www.tisi-fr.com/board/ Tue, 19 May 2026 10:48:45 +0000 MyBB <![CDATA[DigitStealer nouveau malware pour MacOS]]> https://www.tisi-fr.com/board/showthread.php?tid=4911 Thu, 27 Nov 2025 08:21:53 +0100 Theo]]> https://www.tisi-fr.com/board/showthread.php?tid=4911 [align=start] [/align]
[align=start][font][font][font]DigitStealer est un nouveau malware macOS qui se fait passer pour une appli légitime, vise uniquement les Mac récents avec puces Apple Silicon récentes, et vole un large ensemble de données personnelles avant d’installer une backdoor persistante.[/font][/font][/font][/align]
[align=start][font][font][font]Le malware est diffusé via un faux site qui propose une appli appelée “DynamicLake” sous forme de fichier DMG. L’utilisateur est incité à glisser un élément dans le Terminal, ce qui exécute un script chargé de télécharger et lancer DigitStealer en mémoire.[/font][/font][/font][/align]
[align=start] [/align]
[align=start][font][font][font]Avant de s’exécuter, le script interroge le processeur avec des commandes sysctl pour vérifier la présence de fonctionnalités ARM introduites avec les puces M2 (BTI, SSBS, ECV, RPRES). Cela lui permet d’éviter les Mac Intel, les premiers Mac M1 et surtout les machines virtuelles, ainsi que certains pays selon la région système configurée[/font][/font][/font][/align]
[align=start] [/align]
[font][font][font]- Affiche une fausse fenêtre système pour récupérer le mot de passe et exfiltre les documents du Bureau, des Téléchargements et des Notes.[/font][/font][/font]

[align=start]- V[font][font][font]ole les données des navigateurs (Chrome, Brave, Edge, Firefox), des portefeuilles crypto (Ledger, Electrum, Exodus), du trousseau macOS, des configs VPN (OpenVPN, Tunnelblick)[/font][/font][/font][/align]
[align=start] [/align]
[align=start] [/align]
[align=start] [/align]
[align=start] [/align]
[align=start]Source : [/align]
[align=start]https://www.clubic.com/actualite-587845-...-neuf.html[/align]]]> [align=start] [/align]
[align=start][font][font][font]DigitStealer est un nouveau malware macOS qui se fait passer pour une appli légitime, vise uniquement les Mac récents avec puces Apple Silicon récentes, et vole un large ensemble de données personnelles avant d’installer une backdoor persistante.[/font][/font][/font][/align]
[align=start][font][font][font]Le malware est diffusé via un faux site qui propose une appli appelée “DynamicLake” sous forme de fichier DMG. L’utilisateur est incité à glisser un élément dans le Terminal, ce qui exécute un script chargé de télécharger et lancer DigitStealer en mémoire.[/font][/font][/font][/align]
[align=start] [/align]
[align=start][font][font][font]Avant de s’exécuter, le script interroge le processeur avec des commandes sysctl pour vérifier la présence de fonctionnalités ARM introduites avec les puces M2 (BTI, SSBS, ECV, RPRES). Cela lui permet d’éviter les Mac Intel, les premiers Mac M1 et surtout les machines virtuelles, ainsi que certains pays selon la région système configurée[/font][/font][/font][/align]
[align=start] [/align]
[font][font][font]- Affiche une fausse fenêtre système pour récupérer le mot de passe et exfiltre les documents du Bureau, des Téléchargements et des Notes.[/font][/font][/font]

[align=start]- V[font][font][font]ole les données des navigateurs (Chrome, Brave, Edge, Firefox), des portefeuilles crypto (Ledger, Electrum, Exodus), du trousseau macOS, des configs VPN (OpenVPN, Tunnelblick)[/font][/font][/font][/align]
[align=start] [/align]
[align=start] [/align]
[align=start] [/align]
[align=start] [/align]
[align=start]Source : [/align]
[align=start]https://www.clubic.com/actualite-587845-...-neuf.html[/align]]]> <![CDATA[Visual Studio Code 2026]]> https://www.tisi-fr.com/board/showthread.php?tid=4910 Mon, 24 Nov 2025 09:34:23 +0100 Theo]]> https://www.tisi-fr.com/board/showthread.php?tid=4910 Désormais l’IDE des chaînes de compilation .NET et C++, permettant des mises à jour fréquentes et indépendantes, et élargit certaines fonctionnalités comme la couverture de code à toutes les éditions Community, Professional et Enterprise. Visual Studio 2026 s’adresse à tous les profils de développeurs avec trois éditions et gratuitement

Le Community à l’Enterprise pour les grandes équipes avec des outils avancés de validation, diagnostic et architecture.
Cette version illustre la mutation de l’IDE en un véritable compagnon intelligent, capable d’analyser en continu les performances du code et de proposer des améliorations automatiques, accélérant ainsi la création et la qualité logicielle dans un environnement optimisé pour la productivité et l’innovation.

Source : https://www.informatiquenews.fr/visual-s...ent-107870]]> <![CDATA[Qilin et BYOVD : Vers une nouvelle sophistication des rançongiciels]]> https://www.tisi-fr.com/board/showthread.php?tid=4909 Thu, 16 Oct 2025 09:54:37 +0200 dav_s]]> https://www.tisi-fr.com/board/showthread.php?tid=4909 Contexte et émergence

Le rançongiciel Qilin (parfois nommé « Agenda ») s'est imposé depuis 2022 comme un acteur notable du modèle Ransomware‑as‑a‑Service (RaaS). Il opère principalement contre des cibles commerciales, industrielles et des services professionnels, en pratiquant la double extorsion (chiffrement des données + menace de publication).

Le CERT Santé (cyberveille.esante.gouv.fr) a publié le 12 août 2025 une alerte décrivant une évolution technique importante : l'usage par Qilin d'une méthode dite BYOVD | « Bring Your Own Vulnerable Driver » | permettant de contourner les protections classiques en chargeant des pilotes signés mais vulnérables.

Technique BYOVD : principe et fonctionnement

Le procédé BYOVD exploite la confiance accordée par le système d'exploitation aux pilotes signés. En chargeant un pilote légitime mais vulnérable dans l'espace noyau (kernel), un attaquant peut exploiter des failles (souvent via des IOCTL mal sécurisés) pour exécuter du code au niveau kernel, altérer la mémoire ou désactiver des protections comme les EDR/antivirus.

Dans l'incident analysé, les chercheurs de BlackPoint ont mis en évidence l'utilisation d'un pilote nommé TPwSav.sys (d'origine Toshiba) modifié pour permettre des lectures/écritures arbitraires en mémoire, puis l'exécution d'un shellcode au niveau kernel afin de déployer Qilin sans déclencher les systèmes de détection.

Cas comparables et tendances observées

Des acteurs et laboratoires tels que Elastic, Palo Alto (Unit42), CrowdStrike et Kaspersky ont documenté des attaques exploitant des pilotes vulnérables ou des techniques similaires de contournement d'EDR. Ces cas montrent une tendance à la généralisation de BYOVD et à la commercialisation d'outils facilitant cette technique sur des forums illicites.

Les facteurs favorisant cette propagation incluent : l'ampleur du parc de pilotes vulnérables, la confiance excessive dans la signature numérique des pilotes, ainsi que la difficulté pour les éditeurs d'assurer une revue de sécurité exhaustive des drivers tiers.

Risques et impacts pour les organisations

L'utilisation de BYOVD augmente la capacité d'un attaquant à contourner les protections endpoint, à rester furtif (réduction du bruit) et à obtenir un accès profond et persistant. Une compromission réussie peut mener à des exfiltrations massives, à un chiffrement étendu et à des coûts importants de réponse et de remise en service.

Les secteurs critiques (santé, industrie, infrastructures) sont particulièrement exposés en raison de la criticité des systèmes et parfois d'un parc matériel/logiciel hétérogène.

Recommandations opérationnelles

Prévention et durcissement :
- Maintenir à jour les pilotes et firmwares ; appliquer rapidement les correctifs publiés.
- Restreindre strictement les privilèges d'administration et l'installation de pilotes.
- Mettre en place des politiques de blocklisting pour pilotes connus vulnérables et utiliser les fonctionnalités Windows (Device Guard, HVCI) lorsque possible.

Détection et surveillance :
- Surveiller les drivers chargés au niveau kernel et détecter l'apparition de modules inhabituels.
- Analyser les appels IOCTL suspects et réaliser du threat hunting orienté mémoire/driver.
- Augmenter la visibilité sur les modifications kernel et les comportements anormaux des EDR.

Réponse et résilience :
- En cas d'incident, isoler immédiatement les hôtes, réaliser des dumps mémoire pour analyse et privilégier la restauration depuis backups intègres.
- Mettre en place des procédures de forensic kernel et revoir les règles de sécurité des privilèges et de gestion des pilotes.

Perspectives

La technique BYOVD est susceptible de se répandre davantage parmi les groupes de rançongiciels car elle réduit l'efficacité des défenses traditionnelles. Les éditeurs d'OS et les fournisseurs de drivers devront renforcer leurs contrôles, et les équipes SOC/IR devront améliorer la surveillance kernel‑level.

Une collaboration accrue entre fournisseurs de sécurité, éditeurs de pilotes et communautés de threat intelligence est nécessaire pour identifier rapidement les pilotes exploités et diffuser des mesures de mitigation.

Sources et lectures complémentaires

CERT Santé | Qilin ransomware : la menace du Bring Your Own Vulnerable Driver — 12 août 2025 :
https://cyberveille.esante.gouv.fr/actua...2025-08-12

BlackPoint Cyber | Qilin ransomware and the hidden dangers of BYOVD (analyse technique)

Elastic Security Labs | analyses autour de pilotes vulnérables et contournement d'EDR

Palo Alto Unit42, CrowdStrike, Kaspersky | rapports et blogs sur BYOVD et tentatives d'EDR bypass]]> Contexte et émergence

Le rançongiciel Qilin (parfois nommé « Agenda ») s'est imposé depuis 2022 comme un acteur notable du modèle Ransomware‑as‑a‑Service (RaaS). Il opère principalement contre des cibles commerciales, industrielles et des services professionnels, en pratiquant la double extorsion (chiffrement des données + menace de publication).

Le CERT Santé (cyberveille.esante.gouv.fr) a publié le 12 août 2025 une alerte décrivant une évolution technique importante : l'usage par Qilin d'une méthode dite BYOVD | « Bring Your Own Vulnerable Driver » | permettant de contourner les protections classiques en chargeant des pilotes signés mais vulnérables.

Technique BYOVD : principe et fonctionnement

Le procédé BYOVD exploite la confiance accordée par le système d'exploitation aux pilotes signés. En chargeant un pilote légitime mais vulnérable dans l'espace noyau (kernel), un attaquant peut exploiter des failles (souvent via des IOCTL mal sécurisés) pour exécuter du code au niveau kernel, altérer la mémoire ou désactiver des protections comme les EDR/antivirus.

Dans l'incident analysé, les chercheurs de BlackPoint ont mis en évidence l'utilisation d'un pilote nommé TPwSav.sys (d'origine Toshiba) modifié pour permettre des lectures/écritures arbitraires en mémoire, puis l'exécution d'un shellcode au niveau kernel afin de déployer Qilin sans déclencher les systèmes de détection.

Cas comparables et tendances observées

Des acteurs et laboratoires tels que Elastic, Palo Alto (Unit42), CrowdStrike et Kaspersky ont documenté des attaques exploitant des pilotes vulnérables ou des techniques similaires de contournement d'EDR. Ces cas montrent une tendance à la généralisation de BYOVD et à la commercialisation d'outils facilitant cette technique sur des forums illicites.

Les facteurs favorisant cette propagation incluent : l'ampleur du parc de pilotes vulnérables, la confiance excessive dans la signature numérique des pilotes, ainsi que la difficulté pour les éditeurs d'assurer une revue de sécurité exhaustive des drivers tiers.

Risques et impacts pour les organisations

L'utilisation de BYOVD augmente la capacité d'un attaquant à contourner les protections endpoint, à rester furtif (réduction du bruit) et à obtenir un accès profond et persistant. Une compromission réussie peut mener à des exfiltrations massives, à un chiffrement étendu et à des coûts importants de réponse et de remise en service.

Les secteurs critiques (santé, industrie, infrastructures) sont particulièrement exposés en raison de la criticité des systèmes et parfois d'un parc matériel/logiciel hétérogène.

Recommandations opérationnelles

Prévention et durcissement :
- Maintenir à jour les pilotes et firmwares ; appliquer rapidement les correctifs publiés.
- Restreindre strictement les privilèges d'administration et l'installation de pilotes.
- Mettre en place des politiques de blocklisting pour pilotes connus vulnérables et utiliser les fonctionnalités Windows (Device Guard, HVCI) lorsque possible.

Détection et surveillance :
- Surveiller les drivers chargés au niveau kernel et détecter l'apparition de modules inhabituels.
- Analyser les appels IOCTL suspects et réaliser du threat hunting orienté mémoire/driver.
- Augmenter la visibilité sur les modifications kernel et les comportements anormaux des EDR.

Réponse et résilience :
- En cas d'incident, isoler immédiatement les hôtes, réaliser des dumps mémoire pour analyse et privilégier la restauration depuis backups intègres.
- Mettre en place des procédures de forensic kernel et revoir les règles de sécurité des privilèges et de gestion des pilotes.

Perspectives

La technique BYOVD est susceptible de se répandre davantage parmi les groupes de rançongiciels car elle réduit l'efficacité des défenses traditionnelles. Les éditeurs d'OS et les fournisseurs de drivers devront renforcer leurs contrôles, et les équipes SOC/IR devront améliorer la surveillance kernel‑level.

Une collaboration accrue entre fournisseurs de sécurité, éditeurs de pilotes et communautés de threat intelligence est nécessaire pour identifier rapidement les pilotes exploités et diffuser des mesures de mitigation.

Sources et lectures complémentaires

CERT Santé | Qilin ransomware : la menace du Bring Your Own Vulnerable Driver — 12 août 2025 :
https://cyberveille.esante.gouv.fr/actua...2025-08-12

BlackPoint Cyber | Qilin ransomware and the hidden dangers of BYOVD (analyse technique)

Elastic Security Labs | analyses autour de pilotes vulnérables et contournement d'EDR

Palo Alto Unit42, CrowdStrike, Kaspersky | rapports et blogs sur BYOVD et tentatives d'EDR bypass]]> <![CDATA[VOUS UTILISEZ FIGMA? VOUS POURIEZ ETRE TOUCHE !!!]]> https://www.tisi-fr.com/board/showthread.php?tid=4906 Mon, 13 Oct 2025 17:03:04 +0200 dav_s]]> https://www.tisi-fr.com/board/showthread.php?tid=4906 Vulnérabilité MCP de Figma

Des chercheurs en cybersécurité ont révélé les détails d’une vulnérabilité désormais corrigée dans le serveur figma-developer-mcp (Model Context Protocol), populaire, qui aurait pu permettre à des attaquants d’exécuter du code arbitraire.

Cette faille, suivie sous le nom CVE-2025-53967 (score CVSS : 7,5), est une injection de commande résultant de l’utilisation non sécurisée des entrées utilisateur. Cela ouvre la porte à des scénarios où un attaquant pourrait envoyer des commandes système arbitraires.

« Le serveur construit et exécute des commandes shell en utilisant directement des entrées utilisateur non validées dans des chaînes de commande. Cela introduit la possibilité d’injections de métacaractères shell (|, >, &&, etc.), » selon un avis GitHub concernant cette faille. « Une exploitation réussie peut mener à une exécution de code à distance avec les privilèges du processus serveur. »
Étant donné que le serveur Framelink Figma MCP expose divers outils pour effectuer des opérations dans Figma à l’aide d’agents de codage alimentés par l’IA, comme Cursor, un attaquant pourrait tromper le client MCP pour exécuter des actions non intentionnelles via une injection de prompt indirecte.

Imperva, l’entreprise de cybersécurité qui a découvert et signalé ce problème en juillet 2025, décrit la CVE-2025-53967 comme une « erreur de conception » dans le mécanisme de repli, permettant à des acteurs malveillants d’obtenir une exécution de code à distance complète, mettant ainsi les développeurs en danger d’exposition de données.
La faille d’injection de commande « survient lors de la construction d’une instruction en ligne de commande utilisée pour envoyer du trafic vers le point de terminaison de l’API Figma », explique Yohann Sillam, chercheur en sécurité.
Séquence d’exploitationL’exploitation se déroule en plusieurs étapes :

Le client MCP envoie une requête Initialize au point de terminaison MCP pour recevoir un mcp-session-id, utilisé dans les communications ultérieures avec le serveur MCP.
Le client envoie une requête JSONRPC au serveur MCP avec la méthode tools/call pour appeler des outils comme get_figma_data ou download_figma_images.

Le problème réside dans le fichier « src/utils/fetch-with-retry.ts », qui tente d’abord d’obtenir du contenu via l’API fetch standard. En cas d’échec, il exécute une commande curl via child_process.exec, ce qui introduit la faille d’injection de commande.

[Image: Flow-Chain-of-the-Attack.jpg]

« Comme la commande curl est construite en interpolant directement les valeurs d’URL et d’en-têtes dans une chaîne de commande shell, un acteur malveillant pourrait concevoir une URL ou une valeur d’en-tête spécialement conçue pour injecter des commandes shell arbitraires, » précise Imperva. « Cela pourrait mener à une exécution de code à distance (RCE) sur la machine hôte. »

Preuve de concept:

Un attaquant distant sur le même réseau (par exemple, un Wi-Fi public ou un appareil d’entreprise compromis) pourrait déclencher cette faille en envoyant une série de requêtes au MCP vulnérable. Alternativement, l’attaquant pourrait tromper une victime en la faisant visiter un site spécialement conçu dans le cadre d’une attaque par rebind DNS.
La vulnérabilité a été corrigée dans la version 0.6.3 de figma-developer-mcp, publiée le 29 septembre 2025. Parmi les mesures d’atténuation, il est conseillé d’éviter d’utiliser child_process.exec avec des entrées non fiables et de privilégier child_process.execFile, qui élimine le risque d’interprétation par le shell.

« À mesure que les outils de développement pilotés par l’IA continuent d’évoluer et de gagner en adoption, il est essentiel que les considérations de sécurité suivent le rythme de l’innovation, » déclare l’entreprise détenue par Thales. « Cette vulnérabilité rappelle de manière frappante que même les outils conçus pour fonctionner localement peuvent devenir des points d’entrée puissants pour les attaquants. »
Cette révélation intervient alors que FireTail a annoncé que Google a choisi de ne pas corriger une nouvelle attaque par « ASCII smuggling » dans son chatbot IA Gemini, qui pourrait être exploitée pour contourner les filtres de sécurité et induire des réponses indésirables. D’autres grands modèles de langage (LLM) vulnérables à cette attaque incluent DeepSeek et Grok de xAI.

« Cette faille est particulièrement dangereuse lorsque les LLM, comme Gemini, sont profondément intégrés dans des plateformes d’entreprise comme Google Workspace, » précise FireTail. « Cette technique permet l’usurpation automatisée d’identité et l’empoisonnement systématique des données, transformant une faille d’interface utilisateur en un cauchemar potentiel pour la sécurité. »]]> Vulnérabilité MCP de Figma

Des chercheurs en cybersécurité ont révélé les détails d’une vulnérabilité désormais corrigée dans le serveur figma-developer-mcp (Model Context Protocol), populaire, qui aurait pu permettre à des attaquants d’exécuter du code arbitraire.

Cette faille, suivie sous le nom CVE-2025-53967 (score CVSS : 7,5), est une injection de commande résultant de l’utilisation non sécurisée des entrées utilisateur. Cela ouvre la porte à des scénarios où un attaquant pourrait envoyer des commandes système arbitraires.

« Le serveur construit et exécute des commandes shell en utilisant directement des entrées utilisateur non validées dans des chaînes de commande. Cela introduit la possibilité d’injections de métacaractères shell (|, >, &&, etc.), » selon un avis GitHub concernant cette faille. « Une exploitation réussie peut mener à une exécution de code à distance avec les privilèges du processus serveur. »
Étant donné que le serveur Framelink Figma MCP expose divers outils pour effectuer des opérations dans Figma à l’aide d’agents de codage alimentés par l’IA, comme Cursor, un attaquant pourrait tromper le client MCP pour exécuter des actions non intentionnelles via une injection de prompt indirecte.

Imperva, l’entreprise de cybersécurité qui a découvert et signalé ce problème en juillet 2025, décrit la CVE-2025-53967 comme une « erreur de conception » dans le mécanisme de repli, permettant à des acteurs malveillants d’obtenir une exécution de code à distance complète, mettant ainsi les développeurs en danger d’exposition de données.
La faille d’injection de commande « survient lors de la construction d’une instruction en ligne de commande utilisée pour envoyer du trafic vers le point de terminaison de l’API Figma », explique Yohann Sillam, chercheur en sécurité.
Séquence d’exploitationL’exploitation se déroule en plusieurs étapes :

Le client MCP envoie une requête Initialize au point de terminaison MCP pour recevoir un mcp-session-id, utilisé dans les communications ultérieures avec le serveur MCP.
Le client envoie une requête JSONRPC au serveur MCP avec la méthode tools/call pour appeler des outils comme get_figma_data ou download_figma_images.

« Comme la commande curl est construite en interpolant directement les valeurs d’URL et d’en-têtes dans une chaîne de commande shell, un acteur malveillant pourrait concevoir une URL ou une valeur d’en-tête spécialement conçue pour injecter des commandes shell arbitraires, » précise Imperva. « Cela pourrait mener à une exécution de code à distance (RCE) sur la machine hôte. »

Preuve de concept:

Un attaquant distant sur le même réseau (par exemple, un Wi-Fi public ou un appareil d’entreprise compromis) pourrait déclencher cette faille en envoyant une série de requêtes au MCP vulnérable. Alternativement, l’attaquant pourrait tromper une victime en la faisant visiter un site spécialement conçu dans le cadre d’une attaque par rebind DNS.
La vulnérabilité a été corrigée dans la version 0.6.3 de figma-developer-mcp, publiée le 29 septembre 2025. Parmi les mesures d’atténuation, il est conseillé d’éviter d’utiliser child_process.exec avec des entrées non fiables et de privilégier child_process.execFile, qui élimine le risque d’interprétation par le shell.

« À mesure que les outils de développement pilotés par l’IA continuent d’évoluer et de gagner en adoption, il est essentiel que les considérations de sécurité suivent le rythme de l’innovation, » déclare l’entreprise détenue par Thales. « Cette vulnérabilité rappelle de manière frappante que même les outils conçus pour fonctionner localement peuvent devenir des points d’entrée puissants pour les attaquants. »
Cette révélation intervient alors que FireTail a annoncé que Google a choisi de ne pas corriger une nouvelle attaque par « ASCII smuggling » dans son chatbot IA Gemini, qui pourrait être exploitée pour contourner les filtres de sécurité et induire des réponses indésirables. D’autres grands modèles de langage (LLM) vulnérables à cette attaque incluent DeepSeek et Grok de xAI.

« Cette faille est particulièrement dangereuse lorsque les LLM, comme Gemini, sont profondément intégrés dans des plateformes d’entreprise comme Google Workspace, » précise FireTail. « Cette technique permet l’usurpation automatisée d’identité et l’empoisonnement systématique des données, transformant une faille d’interface utilisateur en un cauchemar potentiel pour la sécurité. »]]> <![CDATA[prévention sur la surveillance de l'IA]]> https://www.tisi-fr.com/board/showthread.php?tid=4907 Mon, 13 Oct 2025 14:14:34 +0200 elly976]]> https://www.tisi-fr.com/board/showthread.php?tid=4907 L’IA en vidéosurveillance : anticiper les gestes suspects en temps réel L’intelligence artificielle (IA) transforme la vidéosurveillance dans le secteur du retail en introduisant une analyse prédictive capable d’identifier les comportements suspects avant même qu’ils ne se produisent. Dans les magasins, cette technologie avancée détecte en temps réel les gestes inhabituels, tels qu’une tentative de vol, permettant ainsi une réaction rapide et une sécurité renforcée. En exploitant les flux vidéo pour repérer les anomalies de comportement, les solutions d’IA offrent une surveillance proactive qui contribue à prévenir les infractions, à réduire les risques de vol et à améliorer la sûreté des points de vente. Cependant cela veut également dire que l’intelligence artificielle dans la vidéosurveillance peut nuire à la vie privée, car elle entraîne une surveillance constante des individus, une collecte excessive de données personnelles, et un risque d’erreurs ou de biais dans l’analyse des comportements. Elle peut aussi compromettre l’anonymat, notamment avec la reconnaissance faciale, et permettre une utilisation secondaire des données sans le consentement des personnes concernées.]]> L’IA en vidéosurveillance : anticiper les gestes suspects en temps réel L’intelligence artificielle (IA) transforme la vidéosurveillance dans le secteur du retail en introduisant une analyse prédictive capable d’identifier les comportements suspects avant même qu’ils ne se produisent. Dans les magasins, cette technologie avancée détecte en temps réel les gestes inhabituels, tels qu’une tentative de vol, permettant ainsi une réaction rapide et une sécurité renforcée. En exploitant les flux vidéo pour repérer les anomalies de comportement, les solutions d’IA offrent une surveillance proactive qui contribue à prévenir les infractions, à réduire les risques de vol et à améliorer la sûreté des points de vente. Cependant cela veut également dire que l’intelligence artificielle dans la vidéosurveillance peut nuire à la vie privée, car elle entraîne une surveillance constante des individus, une collecte excessive de données personnelles, et un risque d’erreurs ou de biais dans l’analyse des comportements. Elle peut aussi compromettre l’anonymat, notamment avec la reconnaissance faciale, et permettre une utilisation secondaire des données sans le consentement des personnes concernées.]]> <![CDATA[Apple alerte des journalistes, militants et politiques visés par des logiciels espion]]> https://www.tisi-fr.com/board/showthread.php?tid=4905 Mon, 13 Oct 2025 09:36:25 +0200 qlf]]> https://www.tisi-fr.com/board/showthread.php?tid=4905 Apple a envoyé en 2025 plusieurs notifications de menace pour avertir des utilisateurs ciblés par des logiciels espions sophistiqués comme Pegasus, Predator, Graphite ou Triangulation.
Ces alertes ont été envoyées lors de quatre vagues (mars, avril, juin et septembre 2025) et concernaient surtout des journalistes, militants, avocats, responsables politiques ou hauts fonctionnaires.
Ces logiciels espions, dits « mercenaires », sont très difficiles à détecter, exploitent souvent des failles zero-day et peuvent infecter un appareil sans action de l’utilisateur.
La notification signifie qu’au moins un appareil lié au compte iCloud de la victime a été visé. Apple envoie ces alertes par iMessage, email officiel ou message lors de la connexion à iCloud, parfois plusieurs mois après la tentative d’intrusion.
Le CERT-FR recommande aux personnes alertées de :

contacter rapidement les autorités spécialisées,
conserver la preuve de la notification,
éviter toute modification de l’appareil (mise à jour, réinitialisation, suppression d’applis),
renforcer la sécurité par des gestes simples : mises à jour rapides, redémarrage régulier du téléphone, séparation des usages pro/perso sur des appareils distincts.

https://www.usine-digitale.fr/article/ap...s.N2237697

]]> Apple a envoyé en 2025 plusieurs notifications de menace pour avertir des utilisateurs ciblés par des logiciels espions sophistiqués comme Pegasus, Predator, Graphite ou Triangulation.
Ces alertes ont été envoyées lors de quatre vagues (mars, avril, juin et septembre 2025) et concernaient surtout des journalistes, militants, avocats, responsables politiques ou hauts fonctionnaires.
Ces logiciels espions, dits « mercenaires », sont très difficiles à détecter, exploitent souvent des failles zero-day et peuvent infecter un appareil sans action de l’utilisateur.
La notification signifie qu’au moins un appareil lié au compte iCloud de la victime a été visé. Apple envoie ces alertes par iMessage, email officiel ou message lors de la connexion à iCloud, parfois plusieurs mois après la tentative d’intrusion.
Le CERT-FR recommande aux personnes alertées de :

contacter rapidement les autorités spécialisées,
conserver la preuve de la notification,
éviter toute modification de l’appareil (mise à jour, réinitialisation, suppression d’applis),
renforcer la sécurité par des gestes simples : mises à jour rapides, redémarrage régulier du téléphone, séparation des usages pro/perso sur des appareils distincts.

https://www.usine-digitale.fr/article/ap...s.N2237697

]]> <![CDATA[Nouvelle Puce pour android : La revolution]]> https://www.tisi-fr.com/board/showthread.php?tid=4904 Mon, 22 Sep 2025 22:53:41 +0200 drak_nightax]]> https://www.tisi-fr.com/board/showthread.php?tid=4904 Android remplace son ancienne puce par une nouvelle « La snapdragon 8 Elite Gen 5 » Ses caractéristique seront dévoilées prochainement lors du snapdragon Summit 2025. ON sait déjà que Xiaomi la célèbre marque de smartphone en fera usage pour son dernier modèle de téléphone le « Xiaomi 17 ». Ce rendez-vous se déroulera le 23 septembre laissant l’occasion a Qualcomm de ^présenter son nouveau bijou. Cependant une information majeure a été dévoilé en amont :le nom de son prochain SoC. Le nom de ce produit suit une suite logique de nom en gardant le terme «Elite» : -Snapdragon Gen 1 (2021)
-Snapdragon Gen 2 (2022)
-Snapdragon Gen 3 (2023)
-Snapdragon Elite “Gen 4” (2024)
-Snapdragon Elite Gen 5 (2025)
Du coté de Xiaomi, il a été indiqué que les Xiaomi 17, 17pro et 17pro Max en seront équipé a leur lancement.]]> Android remplace son ancienne puce par une nouvelle « La snapdragon 8 Elite Gen 5 » Ses caractéristique seront dévoilées prochainement lors du snapdragon Summit 2025. ON sait déjà que Xiaomi la célèbre marque de smartphone en fera usage pour son dernier modèle de téléphone le « Xiaomi 17 ». Ce rendez-vous se déroulera le 23 septembre laissant l’occasion a Qualcomm de ^présenter son nouveau bijou. Cependant une information majeure a été dévoilé en amont :le nom de son prochain SoC. Le nom de ce produit suit une suite logique de nom en gardant le terme «Elite» : -Snapdragon Gen 1 (2021)
-Snapdragon Gen 2 (2022)
-Snapdragon Gen 3 (2023)
-Snapdragon Elite “Gen 4” (2024)
-Snapdragon Elite Gen 5 (2025)
Du coté de Xiaomi, il a été indiqué que les Xiaomi 17, 17pro et 17pro Max en seront équipé a leur lancement.]]> <![CDATA[Le gouvernement du Vietnam confirme avoir été victime d’un vol de données]]> https://www.tisi-fr.com/board/showthread.php?tid=4903 Fri, 19 Sep 2025 00:36:28 +0200 Galactic]]> https://www.tisi-fr.com/board/showthread.php?tid=4903 Gérée par la Banque d'état du Vietnam l'organisation traite les informations relatives aux dettes et revenus des citoyens et entreprises du pays.
La quantité de données acquises illégalment est encore en cours d'estimation, a expliqué le CERT étatique du vietnam, le VN-CERT.

Le 9 septembre 2025, le groupe Shiny Hunters, une émanation de Scarttered Spider, revendique le piratage du CIC.
Les cybercriminels affirment avoir volé environ 160 millions de données financières et personnelles très sensible liées à des millions de citoyens et d'entreprises vietnamiennes, qu'il ont ensuite mis en vente sur un forum cybercriminel. Les pirates ont fourni un échantillon des données dérobées, qui comprener nom, adresse, historique des cartes de crédit, pièces d'identité, déclarations de revenus et dettes.

SOURCES:

https://incyber.org/article/gouvernement...l-donnees/]]> Gérée par la Banque d'état du Vietnam l'organisation traite les informations relatives aux dettes et revenus des citoyens et entreprises du pays.
La quantité de données acquises illégalment est encore en cours d'estimation, a expliqué le CERT étatique du vietnam, le VN-CERT.

Le 9 septembre 2025, le groupe Shiny Hunters, une émanation de Scarttered Spider, revendique le piratage du CIC.
Les cybercriminels affirment avoir volé environ 160 millions de données financières et personnelles très sensible liées à des millions de citoyens et d'entreprises vietnamiennes, qu'il ont ensuite mis en vente sur un forum cybercriminel. Les pirates ont fourni un échantillon des données dérobées, qui comprener nom, adresse, historique des cartes de crédit, pièces d'identité, déclarations de revenus et dettes.

SOURCES:

https://incyber.org/article/gouvernement...l-donnees/]]> <![CDATA[Larry Ellison, l’homme le plus riche du monde ?]]> https://www.tisi-fr.com/board/showthread.php?tid=4902 Thu, 18 Sep 2025 17:41:21 +0200 yanabar]]> https://www.tisi-fr.com/board/showthread.php?tid=4902
Durant la matinée du mardi 9 Septembre 2025, le cours de l’entreprise Oracle a augmenté de 36 % dont un pic de 41 %, soit une augmentation de 257 Milliards de Dollars. L’entreprise valait plus de 937 Milliards contre 680 Milliards de Dollars la veille même. Ce bond soudain pour l’entreprise, lui a permis d’être classé 11ème des plus grandes entreprises par capitalisation boursière.
Larry Ellison, détenant 41 % des actions de Oracle, sa fortune a pu atteindre 393 Milliards de dollars dépassant Elon Musk avec ses 385 Milliards de Dollars. Malheureusement, le patron de l’entreprise a été l’homme le plus riche du monde pendant seulement quelques heures.

L’avenir d’Oracle est présent, dans le monde de la technologie depuis le début, il a su s’adapter et se faire une place dans ce monde. L’entreprise ayant un service d’Intelligence artificielle, est bien placée pour continuer à révolutionner le monde numérique.]]>
Durant la matinée du mardi 9 Septembre 2025, le cours de l’entreprise Oracle a augmenté de 36 % dont un pic de 41 %, soit une augmentation de 257 Milliards de Dollars. L’entreprise valait plus de 937 Milliards contre 680 Milliards de Dollars la veille même. Ce bond soudain pour l’entreprise, lui a permis d’être classé 11ème des plus grandes entreprises par capitalisation boursière.
Larry Ellison, détenant 41 % des actions de Oracle, sa fortune a pu atteindre 393 Milliards de dollars dépassant Elon Musk avec ses 385 Milliards de Dollars. Malheureusement, le patron de l’entreprise a été l’homme le plus riche du monde pendant seulement quelques heures.

L’avenir d’Oracle est présent, dans le monde de la technologie depuis le début, il a su s’adapter et se faire une place dans ce monde. L’entreprise ayant un service d’Intelligence artificielle, est bien placée pour continuer à révolutionner le monde numérique.]]> <![CDATA[[SITE] - Site film gratuit]]> https://www.tisi-fr.com/board/showthread.php?tid=4901 Tue, 16 Sep 2025 11:41:03 +0200 Edrakin]]> https://www.tisi-fr.com/board/showthread.php?tid=4901
Pour ceux qui veulent un site fiable (que j'utilise personnellement depuis 8 ans) pour regarder des films gratuits, de bonnes qualités et surtout tenu par des français...

Vous êtes au bon ENDROIT !

https://bimvup.com/

Le site vous demandera juste de lire une page de pub à l'entrée du site afin de financer son hébergement

Vous tomberez sur une page ressemblant à ça :

Au plaisir]]>
Pour ceux qui veulent un site fiable (que j'utilise personnellement depuis 8 ans) pour regarder des films gratuits, de bonnes qualités et surtout tenu par des français...

Vous êtes au bon ENDROIT !

https://bimvup.com/

Le site vous demandera juste de lire une page de pub à l'entrée du site afin de financer son hébergement

Vous tomberez sur une page ressemblant à ça :

Au plaisir]]> <![CDATA[Article malware wakil abderrahmane]]> https://www.tisi-fr.com/board/showthread.php?tid=4900 Mon, 15 Sep 2025 17:54:43 +0200 wakil.abr]]> https://www.tisi-fr.com/board/showthread.php?tid=4900 Un malware évolutif qui pose problème à Docker ?
Récemment, une boîte de cybersécurité qui s’appelle Akamai a repéré une nouvelle version d’un malware qui fait du cryptomining (il utilise ton ordi pour miner des cryptos en cachette).
Ce malware avait déjà été repéré en juin 2025, mais il a évolué et est devenu encore plus dangereux. La dernière fois qu’on l’a vu, c’était en août 2025.

[b]Qu’est-ce que Docker ?[/b]
Docker, c’est un outil qu’on utilise en informatique pour faire tourner des applications dans des "conteneurs".
On peut dire que c’est un peu comme une boîte dans laquelle on met tout ce qu’il faut pour qu’un programme fonctionne correctement.
Qu’est-ce qui a changé dans cette nouvelle version du malware ?Avant, le malware installait directement un mineur de cryptomonnaie.
Maintenant, il installe d’abord des outils pour s’infiltrer et prendre le contrôle plus facilement.
Il est aussi meilleur pour rester caché et empêcher les autres malwares de venir.

[b]Pourquoi Docker est visé ?[/b]
Le malware attaque surtout les serveurs Docker qui sont mal configurés.
Par exemple, quand l’API Docker est accessible sur Internet sans sécurité (souvent sur le port 2375), les pirates peuvent :

Lancer un conteneur Docker
Accéder aux fichiers du système
Lancer des scripts malveillants qu’ils récupèrent via Tor

Une fois que c’est fait, ils installent des outils comme :
curl
(pour télécharger)
tor
(pour rester anonyme)
Des scanners de réseau

Ensuite, ils mettent une clé SSH pour garder l’accès, créent des tâches automatiques, et surveillent le système.
Il bloque les autres piratesCe malware ne veut pas partager la machine.
Il bloque l’accès au port 2375 pour que d’autres malwares ou pirates ne puissent pas l’utiliser.
Il modifie les règles du pare-feu pour refuser les connexions, et il met ça en place avec des tâches cron.
Un truc nouveau : il touche au fichier crontab directement sur le système de la victime, ce qu’on n’avait jamais vu avant. Et en plus, aucun antivirus ne le détecte encore.
Il pourrait devenir un botnetCe malware est aussi capable de chercher d’autres ports comme :

Telnet (port 23)
Le port 9222 de Chrome

Lancer un conteneur Docker
Accéder aux fichiers du système
Lancer des scripts malveillants qu’ils récupèrent via Tor

Telnet (port 23)
Le port 9222 de Chrome

Il ne les utilise pas encore vraiment, mais ça veut dire qu’il pourrait voler des mots de passe, espionner ou contrôler d’autres machines.
Donc à terme, ça pourrait devenir un botnet (réseau de machines piratées).

[b]En résumé :[/b]
Ce malware attaque les serveurs Docker mal protégés.
Il installe des outils pour prendre le contrôle, rester en place, bloquer les autres pirates, et peut-être voler des données plus tard.
Il est plus avancé que les anciens, et il est difficile à détecter.

[b]Avis personnel : [/b]
En tant qu’étudiant en première année de BTS SIO, je trouve ce cas très intéressant, car il montre à quel point la sécurité informatique est importante, surtout quand on travaille avec des outils comme Docker, qu’on utilise beaucoup dans le développement et l’administration système.
Ce qui peut marquer, c’est que les pirates profitent juste d’une mauvaise configuration pour prendre le contrôle d’un serveur. Ça prouve que même des erreurs simples peuvent avoir de grosses conséquences.
J’ai aussi trouvé ça étonnant de voir à quel point le malware a évolué : il installe ses outils, bloque les autres pirates, et reste présent sur le système sans être détecté. Ça montre que les attaques deviennent de plus en plus difficiles à détecter et à éliminer et qu’en tant que futur informaticien, on faire très attention à la cybersécurité.

[b]SOURCES : www.lemondeinformatique.fr[/b]]]> <![CDATA[Les iPhone Air et iPhone 17 d'Apple sont équipés de puces A19]]> https://www.tisi-fr.com/board/showthread.php?tid=4899 Mon, 15 Sep 2025 17:53:37 +0200 Max]]> https://www.tisi-fr.com/board/showthread.php?tid=4899 Cette techno repose sur EMTE, une évolution du MTE d’Arm qui servait surtout à déboguer. Apple l’a transformé en un vrai système de défense intégré directement dans ses puces A19 et A19 Pro. L’idée est simple : empêcher qu’un programme accède à une partie de la mémoire qui ne lui appartient pas et bloquer la réutilisation de mémoire déjà libérée. Contrairement à Google ou Microsoft qui proposent des solutions similaires mais optionnelles, Apple active cette protection par défaut.
Je trouve ça assez fort, parce que ça rend les iPhone beaucoup plus résistants aux attaques sans que l’utilisateur ait besoin de faire quoi que ce soit. C’est rassurant de se dire que la sécurité est intégrée au matériel, même si on peut se demander si certaines applis ne vont pas bugger à cause de ça. Mais globalement, ça montre qu’Apple prend l’avance sur la concurrence.
Avec MIE, Apple met clairement la sécurité au centre de ses nouveaux appareils. C’est une innovation discrète mais importante qui pourrait bien devenir un standard dans les années à venir.]]> Cette techno repose sur EMTE, une évolution du MTE d’Arm qui servait surtout à déboguer. Apple l’a transformé en un vrai système de défense intégré directement dans ses puces A19 et A19 Pro. L’idée est simple : empêcher qu’un programme accède à une partie de la mémoire qui ne lui appartient pas et bloquer la réutilisation de mémoire déjà libérée. Contrairement à Google ou Microsoft qui proposent des solutions similaires mais optionnelles, Apple active cette protection par défaut.
Je trouve ça assez fort, parce que ça rend les iPhone beaucoup plus résistants aux attaques sans que l’utilisateur ait besoin de faire quoi que ce soit. C’est rassurant de se dire que la sécurité est intégrée au matériel, même si on peut se demander si certaines applis ne vont pas bugger à cause de ça. Mais globalement, ça montre qu’Apple prend l’avance sur la concurrence.
Avec MIE, Apple met clairement la sécurité au centre de ses nouveaux appareils. C’est une innovation discrète mais importante qui pourrait bien devenir un standard dans les années à venir.]]> <![CDATA[ATTENTION : CES SITES WEB INFECTENT VOTRE PC EN UN SIMPLE COPIER-COLLER]]> https://www.tisi-fr.com/board/showthread.php?tid=4898 Mon, 15 Sep 2025 17:41:05 +0200 dav_s]]> https://www.tisi-fr.com/board/showthread.php?tid=4898 L'une des plus grandes tendances de sécurité de l'année écoulée a été l'émergence de la technique d'attaque connue sous le nom de ClickFix.

Initialement appelées "Faux CAPTCHA", ces attaques tentent de tromper les utilisateurs pour qu'ils exécutent des commandes malveillantes sur leur appareil — généralement en résolvant une forme de défi de vérification dans le navigateur.
En réalité, en résolvant le défi, la victime copie en fait du code malveillant depuis le presse-papiers de la page et l'exécute sur son appareil. Cela donne généralement à la victime des instructions qui impliquent de cliquer sur des invites et de copier, coller, et exécuter des commandes directement dans la boîte de dialogue Exécuter de Windows, le Terminal, ou PowerShell. Des variantes telles que FileFix ont également émergé, qui utilisent plutôt la barre d'adresse de l'Explorateur de fichiers pour exécuter des commandes du système d'exploitation, tandis que des exemples récents ont vu cette attaque s'étendre au Mac via le terminal macOS.

Le plus souvent, ces attaques sont utilisées pour délivrer des logiciels malveillants voleurs d'informations, utilisant les cookies de session volés et les identifiants pour accéder aux applications et services professionnels.
Comme l'hameçonnage moderne d'identifiants et de sessions, les liens vers les pages malveillantes sont distribués via divers canaux de livraison et en utilisant une variété d'appâts, notamment en imitant les CAPTCHA, Cloudflare Turnstile, en simulant une erreur de chargement d'une page web, et bien plus encore. Beaucoup des mêmes protections utilisées pour obscurcir et empêcher l'analyse des pages d'hameçonnage s'appliquent également aux pages ClickFix, ce qui les rend tout aussi difficiles à détecter et à bloquer.

[Image: 4.png]

Examples of ClickFix lures used by attackers in the wild.

]]> L'une des plus grandes tendances de sécurité de l'année écoulée a été l'émergence de la technique d'attaque connue sous le nom de ClickFix.

Initialement appelées "Faux CAPTCHA", ces attaques tentent de tromper les utilisateurs pour qu'ils exécutent des commandes malveillantes sur leur appareil — généralement en résolvant une forme de défi de vérification dans le navigateur.
En réalité, en résolvant le défi, la victime copie en fait du code malveillant depuis le presse-papiers de la page et l'exécute sur son appareil. Cela donne généralement à la victime des instructions qui impliquent de cliquer sur des invites et de copier, coller, et exécuter des commandes directement dans la boîte de dialogue Exécuter de Windows, le Terminal, ou PowerShell. Des variantes telles que FileFix ont également émergé, qui utilisent plutôt la barre d'adresse de l'Explorateur de fichiers pour exécuter des commandes du système d'exploitation, tandis que des exemples récents ont vu cette attaque s'étendre au Mac via le terminal macOS.

Le plus souvent, ces attaques sont utilisées pour délivrer des logiciels malveillants voleurs d'informations, utilisant les cookies de session volés et les identifiants pour accéder aux applications et services professionnels.
Comme l'hameçonnage moderne d'identifiants et de sessions, les liens vers les pages malveillantes sont distribués via divers canaux de livraison et en utilisant une variété d'appâts, notamment en imitant les CAPTCHA, Cloudflare Turnstile, en simulant une erreur de chargement d'une page web, et bien plus encore. Beaucoup des mêmes protections utilisées pour obscurcir et empêcher l'analyse des pages d'hameçonnage s'appliquent également aux pages ClickFix, ce qui les rend tout aussi difficiles à détecter et à bloquer.

[Image: 4.png]

Examples of ClickFix lures used by attackers in the wild.

]]> <![CDATA[Opération Endgame]]> https://www.tisi-fr.com/board/showthread.php?tid=4897 Fri, 18 Apr 2025 13:36:07 +0200 Juanito]]> https://www.tisi-fr.com/board/showthread.php?tid=4897 Opération Endgame : les clients du botnet Smokeloader dans le viseur des autorités

La lutte contre la cybercriminalité vient de franchir un nouveau cap avec la deuxième phase de l’opération internationale Endgame, qui cible désormais non plus seulement les opérateurs de malwares, mais aussi leurs clients. Cette offensive, coordonnée par Europol et impliquant les forces de l’ordre d’Europe et d’Amérique du Nord, a conduit début avril 2025 à l’arrestation
d’au moins cinq individus liés au botnet Smokeloader, ainsi qu’à la saisie de serveurs et à de multiples perquisitions.

[Image: OP_ENDGAME_leadimage.png.webp?itok=Wnxj4uVr]

Smokeloader : un outil central du crime informatique

Smokeloader, malware actif depuis plus de dix ans, est un « loader » particulièrement prisé pour sa discrétion et sa capacité à installer d’autres programmes malveillants sur les machines infectées. Exploité par un cybercriminel surnommé « Superstar », il était proposé en mode « pay-per-install » : des clients pouvaient louer l’accès à des ordinateurs compromis pour y déployer à leur tour des ransomwares, des logiciels espions, des enregistreurs de frappe, ou encore des outils de minage de cryptomonnaies.

Une nouvelle stratégie : frapper la demande

Contrairement à la première phase d’Endgame, qui s’était concentrée en mai 2024 sur le démantèlement d’infrastructures et l’arrestation de développeurs de malwares, cette nouvelle vague vise les clients finaux, c’est-à-dire ceux qui alimentent l’économie souterraine du cybercrime en achetant ou revendant l’accès à Smokeloader.
Les enquêteurs ont exploité une base de données saisie lors de la première opération, qui contenait les identités numériques et parfois réelles des clients de Smokeloader. Cette traçabilité a permis de remonter jusqu’à plusieurs suspects, dont certains revendaient eux-mêmes l’accès à des machines compromises, créant de véritables micro-entreprises criminelles.

Arrestations, perquisitions et coopération internationale
Au moins cinq arrestations ont été réalisées en Europe et en Amérique du Nord, accompagnées de perquisitions et de saisies numériques. Plusieurs suspects, confrontés aux preuves accumulées par les enquêteurs, ont choisi de coopérer, fournissant des informations sur les circuits de distribution de Smokeloader et sur d’autres activités cybercriminelles.
L’opération a mobilisé les autorités de nombreux pays, dont la France, l’Allemagne, les Pays-Bas, le Canada, le Danemark, la République tchèque et les États-Unis, illustrant la montée en puissance de la coopération transatlantique contre la criminalité numérique.

Sources:
https://www.europol.europa.eu/media-pres...-takedowns
https://www.bleepingcomputer.com/news/se...s-servers/
https://hackread.com/smokeloader-users-i...n-endgame/
https://incyber.org/article/operation-en...okeloader/]]> <![CDATA[Violations de données :Hertz révèle une violation de données liée au piratage de Cleo]]> https://www.tisi-fr.com/board/showthread.php?tid=4896 Tue, 15 Apr 2025 13:44:52 +0200 Omnous_Luminae]]> https://www.tisi-fr.com/board/showthread.php?tid=4896

Le géant de la location de voitures Hertz Corporation informe ses clients des marques Hertz, Thrifty et Dollar que leurs informations personnelles ont été volées à la suite du piratage de la plateforme Cleo l’année dernière.
Deux vulnérabilités de type zero-day dans la plateforme de transfert de fichiers de Cleo, ont été exploitées par le groupe de ransomware Cl0p en octobre et décembre 2024 pour exfiltrer des données provenant de dizaines d’organisations.
Au cours des derniers mois, Cl0p a ajouté des centaines d’organisations sur son site de fuites hébergé sur le réseau Tor, dont la plupart auraient probablement été touchées par l’incident Cleo.
La semaine dernière, Hertz a commencé à informer des milliers de clients que leurs informations personnelles avaient été volées depuis la plateforme de transfert de fichiers de Cleo, qu'elle utilisait « à des fins limitées ».
Selon la société de location, son analyse des données potentiellement compromises — conclue début avril — a déterminé que les noms, coordonnées, dates de naissance, numéros de permis de conduire, détails des demandes d’indemnisation des accidents du travail, ainsi que les informations de carte de crédit ont été volés lors de l’attaque.
Pour certaines personnes, des numéros de sécurité sociale, identifiants gouvernementaux, informations de passeport, numéros d'identification Medicare ou Medicaid, ainsi que des informations liées à des blessures suite à des accidents pourraient également avoir été compromis.
L’entreprise propose aux personnes potentiellement affectées deux années de services gratuits de surveillance d’identité ou de surveillance du dark web.
Hertz a déposé des notifications de violation de données auprès des Bureaux du Procureur Général dans plusieurs États américains, sans toutefois indiquer le nombre total de personnes potentiellement concernées. Toutefois, la société a informé le bureau du Maine que 3 409 résidents de cet État avaient été touchés.
Cl0p est également responsable de la campagne MOVEit, lors de laquelle le groupe a exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit pour voler des informations auprès de milliers d’organisations.
Hertz Corporation exploite les marques de location de véhicules Hertz, Dollar et Thrifty en Amérique du Nord, Europe, Caraïbes, Amérique latine, Afrique, Moyen-Orient, Asie, Australie et Nouvelle-Zélande.

Sources :

https://www.securityweek.com/hertz-discl...cleo-hack/
https://www.bleepingcomputer.com/news/se...ta-breach/
https://securityaffairs.com/176562/data-...ttack.html]]>

Le géant de la location de voitures Hertz Corporation informe ses clients des marques Hertz, Thrifty et Dollar que leurs informations personnelles ont été volées à la suite du piratage de la plateforme Cleo l’année dernière.
Deux vulnérabilités de type zero-day dans la plateforme de transfert de fichiers de Cleo, ont été exploitées par le groupe de ransomware Cl0p en octobre et décembre 2024 pour exfiltrer des données provenant de dizaines d’organisations.
Au cours des derniers mois, Cl0p a ajouté des centaines d’organisations sur son site de fuites hébergé sur le réseau Tor, dont la plupart auraient probablement été touchées par l’incident Cleo.
La semaine dernière, Hertz a commencé à informer des milliers de clients que leurs informations personnelles avaient été volées depuis la plateforme de transfert de fichiers de Cleo, qu'elle utilisait « à des fins limitées ».
Selon la société de location, son analyse des données potentiellement compromises — conclue début avril — a déterminé que les noms, coordonnées, dates de naissance, numéros de permis de conduire, détails des demandes d’indemnisation des accidents du travail, ainsi que les informations de carte de crédit ont été volés lors de l’attaque.
Pour certaines personnes, des numéros de sécurité sociale, identifiants gouvernementaux, informations de passeport, numéros d'identification Medicare ou Medicaid, ainsi que des informations liées à des blessures suite à des accidents pourraient également avoir été compromis.
L’entreprise propose aux personnes potentiellement affectées deux années de services gratuits de surveillance d’identité ou de surveillance du dark web.
Hertz a déposé des notifications de violation de données auprès des Bureaux du Procureur Général dans plusieurs États américains, sans toutefois indiquer le nombre total de personnes potentiellement concernées. Toutefois, la société a informé le bureau du Maine que 3 409 résidents de cet État avaient été touchés.
Cl0p est également responsable de la campagne MOVEit, lors de laquelle le groupe a exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit pour voler des informations auprès de milliers d’organisations.
Hertz Corporation exploite les marques de location de véhicules Hertz, Dollar et Thrifty en Amérique du Nord, Europe, Caraïbes, Amérique latine, Afrique, Moyen-Orient, Asie, Australie et Nouvelle-Zélande.

Sources :

https://www.securityweek.com/hertz-discl...cleo-hack/
https://www.bleepingcomputer.com/news/se...ta-breach/
https://securityaffairs.com/176562/data-...ttack.html]]>