News

Cybersecurity, News

Nucleon Security lève 3 millions d’euros pour renforcer la cybersécurité en Afrique

Une levée de fonds stratégique Nucleon Security, entreprise spécialisée dans la cybersécurité basée en Afrique, a récemment finalisé une levée de fonds de 3 millions d’euros. Ce financement, soutenu par un consortium d’investisseurs africains et internationaux — dont le groupe Axian — aura pour objectif d’accélérer le déploiement et l’industrialisation de technologies innovantes dans la région. APAnews – Agence de Presse Africaine Objectifs et ambitions Avec ce capital frais, Nucleon Security prévoit notamment de : Développer ses plateformes avancées de sécurité, particulièrement dans les domaines du Zero Trust et des systèmes d’IA agentielle (agentic AI), qui permettent une surveillance proactive, une réponse automatisée aux menaces et une adaptation continue. APAnews – Agence de Presse Africaine Étendre son ancrage territorial à plusieurs pays africains — notamment le Maroc, la Tunisie, le Bénin, le Togo, la Côte d’Ivoire et Madagascar — afin de mieux répondre aux vulnérabilités spécifiques des infrastructures locales. APAnews – Agence de Presse Africaine Servir davantage de clients : aujourd’hui déjà plus de 100 organisations utilisent les solutions de Nucleon. Le financement doit permettre d’augmenter cette base et d’offrir des services de cybersécurité plus robustes, évolutifs et adaptés aux réalités africaines. APAnews – Agence de Presse Africaine Contexte : un besoin criant de sécurité numérique Les cyberattaques en Afrique connaissent une croissance rapide, dans les secteurs public, privé et infrastructures critiques. Le coût global de la cybercriminalité à l’échelle mondiale pourrait atteindre 10,5 billions de dollars d’ici la fin de 2025 selon Cybersecurity Ventures. Cela montre l’ampleur des enjeux que les entreprises comme Nucleon cherchent à adresser. APAnews – Agence de Presse Africaine Le soutien du groupe Axian, acteur régional, souligne une tendance importante : les investisseurs africains s’impliquent de plus en plus dans les technologies de sécurité locale, reconnaissant à la fois la vulnérabilité des systèmes existants et le potentiel de marché. APAnews – Agence de Presse Africaine Pourquoi c’est significatif Indépendance technologique & souveraineté numériqueLe renforcement de capacités locales est essentiel pour réduire la dépendance aux fournisseurs étrangers et pour mieux répondre aux besoins spécifiques d’Afrique (réglementations, langues, infrastructures, contextes de connectivité). Réactivité face à des menaces spécifiquesLes solutions Zero Trust et IA proactive permettent de détecter, réagir et neutraliser des attaques avant qu’elles ne causent des dommages majeurs. Effet démultiplicateurEn se développant dans plusieurs pays, Nucleon peut favoriser le partage de bonnes pratiques, la mutualisation de ressources (formations, pools de talents, normes de sécurité), ce qui profite à l’ensemble de l’écosystème. Recommandations & pistes d’actions Pour les organisations, autorités et investisseurs intéressés par cette dynamique, voici quelques idées à considérer : Renforcer les politiques publiques : encourager les gouvernements à adopter des cadres réglementaires (cyberlois, normes, exigences de conformité) qui favorisent les acteurs locaux. Investir dans la formation : préparer une main-d’œuvre qualifiée en cybersécurité (analystes SOC, ingénieurs de red team, etc.), afin que la croissance technologique soit soutenable. Promouvoir la recherche locale : soutenir les partenariats entre entreprises, universités et laboratoires pour développer des solutions adaptées aux réalités africaines. Adopter une approche “cyber-résilience” : ne pas seulement se protéger contre les attaques, mais préparer la détection, la réponse et la récupération. Conclusion Cette levée de fonds de 3 millions d’euros par Nucleon Security représente plus qu’un simple investissement : c’est un signal fort. Cela montre que la cybersécurité africaine évolue, que l’on prend conscience de ses enjeux, et que des acteurs locaux montent en puissance. En soutenant des technologies comme le Zero Trust et l’IA proactive, Nucleon se positionne pour offrir des défenses adaptées, réactives, et étendues dans toute l’Afrique, et pour participer à la construction d’un écosystème numérique plus sûr et plus souverain.

Read more
Cybersecurity, News

Une campagne de redirections multi-niveaux exploitant des sites web compromis identifiée par des experts

Juillet 2025 – Une nouvelle campagne de cyberattaque sophistiquée a été mise au jour par les chercheurs en cybersécurité de Sekoia et Trend Micro. Cette opération, en apparence discrète, exploite des sites web compromis pour rediriger les internautes vers des serveurs malveillants, à travers une chaîne complexe de redirections multi-niveaux. Plutôt que de se reposer sur une attaque directe, les cybercriminels misent ici sur une approche furtive et conditionnelle, ciblant uniquement les utilisateurs qui répondent à certains critères, afin d’éviter la détection par les systèmes de sécurité et les chercheurs. Une architecture d’infection en plusieurs couches La particularité de cette campagne réside dans sa structure en couches, qui permet de masquer le but final jusqu’au dernier moment. Le schéma d’attaque suit généralement les étapes suivantes : Infection initiale via site compromisL’utilisateur visite un site web légitime, souvent basé sur WordPress, qui a été compromis par les attaquants. Redirections multiples via des scripts obfusquésLe site initial déclenche une série de redirections via du JavaScript obscurci, souvent vers plusieurs domaines relais contrôlés par les attaquants. Filtrage comportemental et environnementalAvant de livrer la charge utile, le système analyse le profil de la victime (géolocalisation, système d’exploitation, signatures de sandbox, outils d’analyse, etc.). Déclenchement conditionnel du malwareSi l’environnement est jugé « légitime » (non-analytique, non-automatisé), l’utilisateur est redirigé vers une page contenant soit un malware, soit du phishing. Une exploitation massive des sites WordPress vulnérables Les attaquants ont ciblé en priorité des sites WordPress mal sécurisés. Ces derniers sont utilisés comme : Relais de redirection : des scripts injectés dans les pages redirigent l’utilisateur vers un second domaine contrôlé par les attaquants. Stockage de scripts malveillants : certains sites servent directement des charges utiles déguisées (ex. : fichiers JS, ZIP, EXE, extensions de navigateur). Serveurs de commandes temporaires : les domaines changent régulièrement pour échapper aux listes de blocage. Les chercheurs notent que le nombre de sites compromis est élevé, avec une infrastructure en constante évolution pour maintenir la pérennité de l’attaque. Un ciblage intelligent basé sur des critères contextuels L’un des éléments les plus pernicieux de cette campagne est sa capacité à filtrer les cibles avant de livrer son contenu malveillant. Parmi les critères utilisés : Adresse IP et localisation géographiquePour éviter certains pays ou services de renseignement. Empreintes de navigateur et système d’exploitationPour adapter la charge utile au système ciblé (Windows, macOS, Android, etc.). Présence d’outils de surveillance ou de sandboxPour éviter d’être analysé dans un environnement virtuel. Historique de navigation ou cookiesPour déterminer si la cible est un utilisateur légitime ou un chercheur en sécurité. Ce filtrage rend la détection extrêmement difficile, car la charge malveillante n’apparaît que dans des conditions très spécifiques. Objectifs finaux : phishing, malwares, vols de données Selon les analyses, les redirections aboutissent principalement à deux types de contenus : Pages de phishing personnaliséesDéguisées en fausses pages de connexion (Google, Microsoft, Apple, etc.) ou en portails bancaires. Téléchargements malveillants Faux installeurs d’outils populaires (ex. : VLC, Adobe, Zoom) Extensions de navigateur corrompues Fichiers ZIP ou EXE contenant des chevaux de Troie (trojans), stealers ou ransomware Dans certains cas, les chercheurs ont également observé des malwares de type infostealer, conçus pour siphonner les informations d’identification et les données bancaires, ou encore des loaders servant à installer d’autres malwares à distance. Évasion active et renouvellement constant des domaines Les cybercriminels derrière cette opération démontrent une stratégie d’évasion avancée : Changement fréquent des noms de domaine utilisés dans les redirections Utilisation de services de CDN et d’obfuscation de DNS Hébergement des scripts sur des services cloud temporaires Injection dynamique de scripts via des plugins vulnérables Ces techniques permettent de prolonger la durée de vie de la campagne et de rendre son démantèlement plus complexe pour les équipes de réponse à incident. Recommandations pour les entreprises et les webmasters Face à cette menace, les experts recommandent une vigilance accrue, notamment sur les plateformes web exposées. Voici quelques bonnes pratiques : Mettre à jour régulièrement WordPress et ses extensions Surveiller les modifications de fichiers système ou de thèmes Mettre en place une détection comportementale côté serveur Utiliser des solutions EDR/NGAV dotées d’analyse heuristique Bloquer les redirections suspectes au niveau du proxy ou DNS Mettre en quarantaine automatiquement les URL issues de sites compromis connus Conclusion : une campagne symptomatique de l’évolution des menaces web Cette campagne de redirections multi-niveaux marque une nouvelle étape dans la sophistication des attaques par le web. En combinant des techniques de compromission de sites légitimes, de filtrage conditionnel et de diffusion ciblée de malware, les cybercriminels parviennent à contourner les barrières classiques de sécurité. Elle met en lumière plusieurs enjeux : La nécessité de renforcer la sécurité des CMS open source largement utilisés Le besoin d’une détection basée sur le comportement, et non uniquement sur des signatures L’importance de surveiller en permanence les flux web, même lorsqu’ils semblent provenir de domaines « sûrs » Enfin, cette attaque illustre le fait que la confiance dans les sites légitimes ne suffit plus. Dans un contexte de menaces évolutives, la sécurité web doit être abordée de manière globale, dynamique et proactive.

Read more
Cybersecurity, News

Faille critique dans les cartes eUICC de Kigen : des milliards d’appareils IoT en danger

Une vulnérabilité majeure a été identifiée dans la pile logicielle eSIM (eUICC) développée par Kigen, un fournisseur basé en Irlande dont la technologie équipe plus de 2 milliards de dispositifs IoT à travers le monde. Cette faille permet à un attaquant ayant un accès physique à un appareil de compromettre l’eUICC, d’en extraire les certificats cryptographiques sensibles et d’accéder frauduleusement à des profils opérateurs mobiles. La vulnérabilité, révélée par la société de cybersécurité Security Explorations, remet en question les fondations de la chaîne de confiance sur laquelle repose l’écosystème eSIM. Détails techniques Le problème provient d’un composant standardisé : le Generic Test Profile défini par la spécification TS.48 de la GSMA, utilisé pour les tests radio lors de la certification des appareils. Les versions de cette spécification antérieures à la v7.0 présentent une faiblesse importante : elles permettent le chargement d’applets JavaCard non authentifiées, à l’aide de clés connues et non sécurisées. Une fois qu’un attaquant a installé une applet malveillante, il est en mesure de déverrouiller le contenu sécurisé de la carte eUICC, y compris les clés privées et les certificats d’identité. Ces éléments permettent ensuite de télécharger ou modifier des profils eSIM légitimes à distance, tout en contournant les restrictions imposées par les opérateurs. Chaîne d’exploitation Le scénario d’attaque comprend plusieurs étapes critiques : Accès physique à l’appareil ciblé : condition préalable pour toute exploitation. Activation du profil de test générique (GTP) : souvent laissé activé pendant les phases de fabrication ou de certification. Utilisation de clés par défaut pour installer un applet malveillant. Extraction des identifiants (certificats et clés) de la carte eSIM. Utilisation frauduleuse de profils eSIM : téléchargement, modification ou clonage des profils opérateurs. Conséquences potentielles Les impacts de cette vulnérabilité sont graves, en particulier dans les cas d’attaques ciblées ou d’espionnage à grande échelle : Vol d’identité numérique des appareils. Manipulation des communications mobiles en modifiant les profils opérateurs. Surveillance des utilisateurs via des canaux eSIM compromis. Propagation à grande échelle, car les profils compromis peuvent être réutilisés pour attaquer d’autres dispositifs. Références aux vulnérabilités passées Cette faille s’inscrit dans la continuité de découvertes similaires effectuées en 2019, lorsque des vulnérabilités JavaCard avaient été révélées par la même société de recherche, affectant notamment les cartes SIM de marques comme Gemalto. Mesures correctives Face à cette menace, plusieurs actions ont été engagées : La GSMA a publié une nouvelle version TS.48 (v7.0), corrigeant les failles identifiées. Kigen a diffusé un bulletin de sécurité et recommande vivement à ses clients de mettre à jour leur firmware. Les versions antérieures de la spécification TS.48 sont désormais obsolètes et ne doivent plus être utilisées dans les processus de test. Conclusion Cette vulnérabilité met en lumière une faiblesse structurelle dans l’écosystème eSIM, notamment dans les processus de certification et de test. Elle démontre que, sans un contrôle rigoureux de l’accès aux profils de test et une gestion stricte des clés, la sécurité de l’ensemble de la chaîne mobile peut être compromise. Les entreprises, fabricants d’appareils et opérateurs doivent agir rapidement en appliquant les mises à jour nécessaires et en adoptant les dernières recommandations de la GSMA et de Kigen

Read more
Cybersecurity, News

Plus de 40 extensions Firefox malveillantes dérobent des crypto-portefeuilles

Des chercheurs de Koi Security ont découvert une campagne de grande ampleur dans le Firefox Add‑ons Store : plus de 40 extensions usurpant des portefeuilles connus (MetaMask, Coinbase, Trust Wallet, Phantom, Exodus, OKX…) ont été repérées. Actives depuis au moins avril 2025, certaines ont été mises en ligne aussi récemment que la semaine dernière arstechnica.com+12thehackernews.com+12bleepingcomputer.com+12.  Méthodes d’usurpation et collecte de données Les extensions se présentent sous les noms et logos officiels de portefeuilles populaires pour masquer leur nature malveillante thehackernews.com. La majorité sont des clones de solutions open-source : le code légitime est reproduit, puis une logique malveillante est insérée pour extraire les clés privées et phrases mnémoniques, et les transmettre à un serveur distant bleepingcomputer.com. Certains scripts interceptent les champs de saisie dès que l’utilisateur entre plus de 30 caractères—typiquement la longueur d’une vraie clé ou phrase de récupération . Les extensions affichent de faux avis 5 étoiles en grand nombre pour tromper l’utilisateur quant à leur popularité thehackernews.com. Profil de l’attaquant Les analyses du code source et des métadonnées révèlent des indices d’un groupe parlant russe .  Réponse de Mozilla La quasi-totalité de ces extensions (sauf MyMonero Wallet) ont été retirées du store cryptonews.com+2thehackernews.com+2bleepingcomputer.com+2. Mozilla a également indiqué avoir mis en place un système de détection précoce pour bloquer les extensions de portefeuille crypto malicieuses dès qu’elles sont identifiées thehackernews.com.  Recommandations pour les utilisateurs N’installez que depuis des auteurs vérifiés, et évitez les versions VSIX ou sources non officielles. Vérifiez les statistiques de téléchargement et les avis : un écart anormal entre nombre d’installations et reviews est suspect. Si vous avez déjà installé une extension de portefeuille, supprimez-la immédiatement et surveillez vos comptes pour toute activité inhabituelle. Privilégiez les solutions open source et transparentes, comme uBlock Origin, pour limiter les risques d’expositions en.wikipedia.org.  Contexte général Cette vague malveillante s’inscrit dans une montée en puissance des menaces sur les extensions navigateur. Firefox, avec ses API souples, facilite l’injection de comportements malveillants, comme le démontre une étude récente signalant qu’un tiers des extensions malveillantes détectées sur Chrome étaient encore actives malgré les contrôles réguliers . À retenir Impact : des crypto-actifs volés directement via le navigateur, irréversibles et invisibles à l’utilisateur. Souplesse exploitée : les API Firefox permettent cette manipulation, car elles sont plus permissives que celles de Chrome . Nécessité : vigilance accrue lors de l’ajout d’extensions, contrôles réguliers, et utilisation de sources fiables.

Read more
Cybersecurity, News

Kali GPT : l’assistant IA qui révolutionne le pentesting sur Kali Linux

Dans le domaine de la cybersécurité offensive, l’innovation est constante, mais certaines avancées marquent un véritable tournant. C’est le cas de Kali GPT, un assistant intelligent basé sur l’architecture GPT‑4, conçu spécifiquement pour s’intégrer à l’environnement Kali Linux. Cette nouvelle génération d’outil IA transforme profondément la manière dont les professionnels et les étudiants abordent les tests d’intrusion. Un copilote IA pour les experts en cybersécurité Développé pour accompagner les spécialistes de la sécurité offensive, Kali GPT agit comme un copilote intelligent capable de comprendre les requêtes, de générer automatiquement des payloads, d’expliquer des outils complexes comme Metasploit, Nmap ou Burp Suite, et de proposer des scénarios d’exploitation adaptés – le tout directement depuis le terminal Linux. Pour les professionnels chevronnés, cet outil permet de réduire drastiquement le temps de recherche et d’accroître la productivité lors des audits de sécurité. Il automatise certaines tâches chronophages et fournit des réponses contextuelles précises, accélérant les analyses et les prises de décision. « Dans un paysage numérique en perpétuelle mutation, la cybersécurité n’est pas seulement une nécessité, c’est un art où la maîtrise fait toute la différence. Kali GPT agit comme la baguette magique du maestro », souligne un expert du secteur. Un mentor numérique pour les débutants Kali GPT ne se contente pas d’assister les experts : il agit également comme un mentor numérique pour les apprenants en cybersécurité. Grâce à ses capacités pédagogiques, il rend accessibles des concepts techniques souvent complexes, facilitant l’apprentissage de méthodologies comme l’exploitation de failles, la reconnaissance réseau ou la rédaction de rapports de vulnérabilités. Les établissements d’enseignement supérieur intègrent déjà Kali GPT dans leurs programmes de formation, où il fournit des exemples interactifs et des démonstrations en temps réel, renforçant considérablement l’engagement des étudiants. Un levier d’automatisation pour les entreprises Dans un cadre professionnel, Kali GPT s’impose comme un outil d’automatisation stratégique. Il permet de lancer des scans de sécurité réguliers, de détecter automatiquement les vulnérabilités réseau, et d’optimiser les processus de contrôle technique. Cette automatisation permet de libérer du temps pour des analyses approfondies, tout en réduisant les ressources nécessaires aux évaluations de sécurité. Une IA adaptative et personnalisée L’une des forces majeures de Kali GPT réside dans son adaptabilité au niveau d’expertise de l’utilisateur. Débutant ou professionnel confirmé, l’outil ajuste ses réponses : de simples explications didactiques à des guides techniques pointus, Kali GPT propose une assistance personnalisée et contextuelle. Ses capacités d’apprentissage en temps réel assurent des réponses instantanées aux commandes et scénarios soumis. Ce retour rapide facilite le dépannage, l’analyse, et l’expérimentation, accélérant les cycles d’apprentissage et d’exécution. Vers une cybersécurité plus accessible Kali GPT participe activement à la démocratisation de la cybersécurité. En rendant les techniques de hacking éthique plus accessibles, il ouvre la voie à une nouvelle génération de talents dans un secteur en tension, où la pénurie de compétences reste un défi mondial. Les limites : l’IA ne remplace pas l’humain Malgré ses nombreux avantages, les concepteurs de Kali GPT insistent sur un point crucial : l’intelligence artificielle ne remplace pas l’expertise humaine. Le contenu généré par l’assistant doit être validé manuellement, car il peut produire à l’occasion des faux positifs ou des scripts peu optimisés. L’outil est un accélérateur de compétences, mais non un substitut aux connaissances fondamentales en systèmes, réseaux et sécurité offensive. En conclusion Kali GPT s’impose comme une avancée majeure dans l’écosystème des outils de cybersécurité offensive. À la fois assistant, formateur et automate, il redéfinit le quotidien des pentesters, facilite l’apprentissage, et optimise les ressources dans les environnements professionnels. Une innovation à suivre de près — mais à utiliser avec discernement.

Read more
Cybersecurity, News

De faux sites antivirus diffusent le malware Venom RAT pour voler des portefeuilles crypto

Une nouvelle campagne d’usurpation d’identité ciblée sur les utilisateurs de Bitdefender Des chercheurs en cybersécurité ont découvert une campagne malveillante sophistiquée dans laquelle des cybercriminels ont cloné un site officiel de l’éditeur antivirus Bitdefender pour inciter les internautes à télécharger un cheval de Troie d’accès à distance connu sous le nom de Venom RAT. Selon le rapport du DomainTools Intelligence (DTI), cette opération malveillante démontre une volonté claire de compromettre les identifiants des victimes, d’accéder à leurs portefeuilles de cryptomonnaies et de revendre potentiellement l’accès à leurs systèmes. Un site frauduleux qui mime Bitdefender pour distribuer un logiciel malveillant Le faux site, hébergé à l’adresse bitdefender-download[.]com, imite fidèlement l’apparence du site officiel de Bitdefender. Il invite les visiteurs à télécharger une version Windows de l’antivirus. En cliquant sur le bouton “Download for Windows”, l’utilisateur télécharge un fichier depuis un dépôt Bitbucket redirigeant vers un espace Amazon S3. Le dépôt Bitbucket a, depuis, été désactivé. Le fichier compressé, intitulé BitDefender.zip, contient un exécutable malveillant StoreInstaller.exe. Ce dernier embarque plusieurs charges utiles, notamment : Le cheval de Troie Venom RAT Le framework open-source de post-exploitation SilentTrinity Le stealer StormKitty, utilisé pour voler des identifiants et des données sensibles Qu’est-ce que Venom RAT ? Venom RAT est une variante avancée de Quasar RAT. Il permet à l’attaquant de maintenir un accès persistant à distance sur le système de la victime, d’exfiltrer des données confidentielles et d’exécuter des commandes à distance. DomainTools précise que le faux site partage des similarités techniques et temporelles avec d’autres campagnes de phishing ciblant des institutions financières comme la Banque Royale du Canada ou des services IT de confiance comme Microsoft. Ces opérations cherchent à récolter des identifiants en exploitant la notoriété de grandes marques. Une attaque modulaire et difficile à détecter L’un des aspects notables de cette campagne est l’usage d’outils open-source imbriqués. Venom RAT infiltre discrètement le système, StormKitty collecte les données sensibles (mots de passe, portefeuilles crypto), et SilentTrinity permet à l’attaquant de garder un contrôle durable sans être détecté. Cette approche modulaire rend les attaques plus efficaces, adaptables et difficiles à repérer par les solutions de sécurité traditionnelles. D’autres campagnes similaires détectées Cette découverte intervient peu après une alerte de Sucuri sur une campagne “ClickFix” utilisant de faux écrans Google Meet. Ces pages frauduleuses incitent les utilisateurs à exécuter une commande PowerShell, leur promettant une correction d’un prétendu problème de microphone. Par ailleurs, une autre campagne d’hameçonnage sophistiquée exploitant la plateforme AppSheet de Google a été signalée. Celle-ci vise à contourner les mécanismes de sécurité des emails (SPF, DKIM, DMARC) en envoyant des messages depuis un domaine valide, noreply@appsheet[.]com, dans le but d’usurper l’identité de Meta (Facebook). Les liens piégés redirigent vers des pages de type adversary-in-the-middle (AitM), capables de voler identifiants et codes 2FA en temps réel. Conclusion : rester vigilant face aux campagnes de phishing avancées Cette série de campagnes démontre la sophistication croissante des menaces en ligne. En s’appuyant sur des outils open-source et en exploitant la confiance des utilisateurs envers des marques établies, les cybercriminels redoublent d’ingéniosité. Pour se protéger, il est essentiel : De vérifier l’authenticité des sites visités De ne jamais télécharger d’application en dehors des sources officielles D’utiliser des solutions de sécurité à jour De renforcer la sensibilisation des utilisateurs aux techniques de phishing La vigilance collective et la mise en œuvre de bonnes pratiques de cybersécurité restent les meilleurs remparts face à ces attaques ciblées.

Read more
deepseek AI
AI, Cybersecurity, Events

DeepSeek : L’application d’IA Chinoise Qui Détrône ChatGPT Mais Fait Face à Des Cyberattaques

Une montée en puissance ralentie par des attaques malveillantes Depuis sa fondation en 2023, DeepSeek est devenue une figure de proue dans le domaine de l’intelligence artificielle générale (AGI). Cette startup chinoise s’est rapidement imposée comme un acteur clé, avec son application chatbot iOS atteignant la première place des applications gratuites sur l’App Store aux États-Unis, dépassant même ChatGPT d’OpenAI. Mais cette ascension fulgurante n’est pas sans obstacles. Récemment, la plateforme a annoncé qu’elle limitait les inscriptions de nouveaux utilisateurs en raison de cyberattaques massives. Dans un communiqué, l’entreprise a déclaré : « En raison d’attaques malveillantes à grande échelle sur nos services, nous limitons temporairement les inscriptions pour garantir la continuité du service. Les utilisateurs existants peuvent se connecter comme d’habitude. Merci pour votre compréhension et votre soutien. » Les utilisateurs qui tentent de s’inscrire reçoivent un message leur demandant de patienter et de réessayer plus tard, signalant que la plateforme est en « surcharge ». Pourquoi DeepSeek est-elle ciblée ? Selon Eric Kron, expert en cybersécurité chez KnowBe4 : « Avec la popularité croissante de DeepSeek, il n’est pas surprenant qu’elle soit prise pour cible par du trafic web malveillant. » Ces attaques peuvent avoir plusieurs motivations : Extorsion financière : Les attaquants pourraient exiger un paiement en échange de l’arrêt des perturbations. Concurrence déloyale : Des organisations rivales pourraient chercher à nuire à la réputation de DeepSeek. Protéger des investissements concurrents : Certains individus pourraient vouloir protéger leurs intérêts financiers dans des entreprises opposées. Les avancées technologiques de DeepSeek DeepSeek n’est pas une simple alternative à ChatGPT. L’entreprise a développé des modèles de langage sophistiqués, notamment DeepSeek-V3, conçus pour surpasser les performances de leurs concurrents tout en étant formés à moindre coût. Une efficacité impressionnante malgré les sanctions Malgré les sanctions américaines limitant l’accès aux puces d’IA avancées, DeepSeek a réussi un exploit : Formation de DeepSeek-V3 sur un trillion de tokens en seulement 180K heures GPU (soit environ 3,7 jours avec un cluster de 2048 GPUs H800). Coût total de l’entraînement estimé à 5,576 millions de dollars, soit une fraction des dépenses habituellement nécessaires pour des modèles équivalents. Ces résultats prouvent que DeepSeek s’impose comme un innovateur dans un marché dominé par des géants de la Silicon Valley. Une innovation controversée Cependant, le succès de DeepSeek n’est pas sans critiques. La plateforme applique une censure stricte sur des sujets sensibles comme la place Tiananmen, Taiwan, et les Ouïghours. De plus, sa politique de confidentialité précise que les données des utilisateurs – y compris les informations personnelles et les détails de paiement – sont hébergées sur des serveurs situés en Chine, soulevant des préoccupations, notamment aux États-Unis dans le contexte des débats sur TikTok. Jim Fan, chercheur senior chez NVIDIA, a salué l’approche de DeepSeek, déclarant : « Nous vivons dans une époque où une entreprise non-américaine reste fidèle à la mission initiale d’OpenAI : une recherche ouverte et de pointe qui bénéficie à tous. » Même Sam Altman, PDG d’OpenAI, a qualifié le modèle R1 de DeepSeek d’ »impressionnant » et a reconnu qu’il était « revigorant de voir une nouvelle concurrence ». Une réussite qui inspire, malgré les défis Malgré les cyberattaques et les critiques, DeepSeek incarne l’émergence d’une nouvelle ère dans l’intelligence artificielle. Ses avancées technologiques et son positionnement stratégique la placent comme un concurrent sérieux face aux géants de la tech. Mais son avenir dépendra de sa capacité à surmonter les défis techniques et géopolitiques qui se dressent sur sa route.

Read more
Apple vulnérabilité
Case Studies, Company, Cybersecurity

Sécurité Apple : Une vulnérabilité zero-day corrigée

Apple a récemment publié une série de mises à jour pour corriger des failles de sécurité critiques affectant ses appareils, dont une vulnérabilité zero-day activement exploitée. Ce type de faille, particulièrement dangereux, cible directement les utilisateurs avant qu’un correctif ne soit disponible. Découvrez pourquoi il est urgent d’appliquer ces mises à jour et comment elles renforcent la sécurité de vos appareils. Une vulnérabilité zero-day menaçant vos appareils La faille en question, identifiée sous le code CVE-2025-24085, est un problème de type use-after-free (utilisation après libération) dans le composant Core Media. Ce bug pourrait permettre à une application malveillante déjà installée sur un appareil d’obtenir des privilèges accrus, compromettant ainsi la sécurité de l’utilisateur. Dans son communiqué, Apple précise : « Nous sommes conscients qu’un rapport indique que cette faille aurait été activement exploitée sur des versions d’iOS antérieures à iOS 17.2. » Les appareils et versions concernés Apple a déployé des correctifs pour résoudre ce problème grâce à une gestion améliorée de la mémoire. Les mises à jour sont disponibles pour les appareils et systèmes suivants : iOS 18.3 et iPadOS 18.3 : iPhone XS et modèles ultérieurs, iPad Pro 13 pouces, iPad Pro 12,9 pouces (3e génération et suivantes), iPad Air (3e génération et suivantes), et plus. macOS Sequoia 15.3 : Tous les Mac exécutant cette version. tvOS 18.3 : Apple TV HD et Apple TV 4K (tous modèles). visionOS 2.3 : Apple Vision Pro. watchOS 11.3 : Apple Watch Series 6 et modèles ultérieurs. Des détails encore flous sur l’exploitation de la faille Pour l’instant, peu d’informations sont disponibles sur la manière exacte dont cette vulnérabilité a été exploitée, par qui, et qui en a été victime. Apple n’a pas encore attribué la découverte de cette faille à un chercheur en cybersécurité. Autres failles corrigées dans cette mise à jour En plus de la vulnérabilité CVE-2025-24085, Apple a corrigé plusieurs autres failles, notamment : Cinq vulnérabilités dans AirPlay, signalées par Uri Katz d’Oligo Security, permettant des attaques de type denial-of-service (DoS), des arrêts système inattendus ou l’exécution arbitraire de code. Trois vulnérabilités dans le composant CoreAudio (CVE-2025-24160, CVE-2025-24161, CVE-2025-24163), découvertes par l’équipe Threat Analysis Group (TAG) de Google, pouvant entraîner l’arrêt inattendu d’une application lors de l’analyse d’un fichier malveillant. Pourquoi appliquer ces mises à jour est crucial Avec la faille zero-day CVE-2025-24085 déjà exploitée dans la nature, Apple recommande vivement aux utilisateurs d’installer les correctifs sans délai. Ces mises à jour réduisent les risques d’attaques et garantissent la protection de vos données et appareils.

Read more
Case Studies, Cyber Security, News

Une vulnérabilité critique LDAP de Windows mise en lumière par SafeBreach

Le 1er janvier 2025, les chercheurs de SafeBreach Labs ont publié un exploit proof-of-concept (PoC), baptisé LDAPNightmare. Ce PoC illustre une faille critique dans le protocole Lightweight Directory Access Protocol (LDAP) de Windows, enregistrée sous l’identifiant CVE-2024-49113. Cette vulnérabilité met en péril la stabilité des serveurs Windows non corrigés, exposant les entreprises à des interruptions de service et des risques de sécurité accrus. Cet article détaille les mécanismes de cette faille, ses impacts, et les mesures nécessaires pour protéger vos infrastructures. Une vulnérabilité avec un impact majeur : CVE-2024-49113 Cette faille affecte les serveurs Windows et surtout les contrôleurs de domaine  (DC) utilisant LDAP, un protocole couramment employé pour gérer les annuaires réseau. Lorsqu’elle est exploitée, un attaquant distant et non authentifié peut provoquer un déni de service (DoS), entraînant le crash du processus Local Security Authority Subsystem Service (LSASS). Ce dysfonctionnement force un redémarrage du serveur, perturbant gravement les activités des organisations ciblées. Pourquoi cette faille est-elle dangereuse ? Les failles de sécurité qui touchent les DC sont généralement bien plus graves que celles affectant des postes de travail classiques, offrant aux attaquants la possibilité de prendre le contrôle complet des agents et des serveurs sous ce domaine. De plus, puisqu’un DC est un élément critique du système d’une organisation, les mises à jour et les correctifs sont souvent plus complexes à exécuter. Cela donne à un attaquant une fenêtre de temps prolongée pour exploiter la vulnérabilité, augmentant ainsi les risques de compromission des données sensibles et des systèmes essentiels. Mécanisme de l’exploitation : une attaque en sept étapes L’exploit LDAPNightmare s’appuie sur une série d’interactions réseau sophistiquées entre un serveur victime et un attaquant. Voici le déroulement technique de l’attaque : Envoi initial : L’attaquant envoie une requête DCE/RPC au serveur cible. Requête DNS SRV : Le serveur victime demande une résolution DNS SRV pour un domaine contrôlé par l’attaquant. Réponse malveillante : Le serveur DNS de l’attaquant renvoie un nom d’hôte contrôlé par lui, accompagné d’un port LDAP. Requête NBNS : Le serveur victime utilise NetBIOS Name Service (NBNS) pour résoudre l’adresse IP associée au nom d’hôte malveillant. Résolution de l’adresse IP : L’attaquant fournit une réponse contenant l’adresse IP de sa machine. Connexion LDAP : Le serveur victime agit comme un client LDAP et contacte la machine de l’attaquant via CLDAP. Crash de LSASS : L’attaquant envoie une réponse LDAP spécialement conçue, provoquant un crash du processus LSASS sur le serveur victime. Conséquences potentielles pour les entreprises Le crash de LSASS déclenche automatiquement un redémarrage du serveur pour des raisons de sécurité. Dans un environnement professionnel, une telle interruption peut : Propagation latérale dans le réseau, Cela ouvre la voie à des attaques supplémentaires, telles que le déploiement de ransomwares ou le sabotage d’autres services critiques. Perturbation opérationnelle. Recommandations pour contrer la menace Face à une telle vulnérabilité, il est crucial d’adopter une approche proactive pour protéger vos systèmes. Voici les mesures préconisées : Appliquer les correctifs : Microsoft a publié des mises à jour pour résoudre CVE-2024-49113 et une faille connexe, CVE-2024-49112. Assurez-vous que vos serveurs sont à jour. Tester vos systèmes : Utilisez le le PoC  LDAPNightmare publié par SafeBreach Labs, pour vérifier si vos serveurs sont exposés https://github.com/SafeBreach-Labs/CVE-2024-49113. Source : https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49112/

Read more
Cyber Security, News

Extensions Chrome Piratées : Plus de 600 000 Utilisateurs Victimes d’un Vol de Données

Une faille inquiétante dans la sécurité des navigateurs Un nouveau type d’attaque informatique a ciblé une vingtaine d’extensions populaires pour le navigateur Chrome, exposant plus de 600 000 utilisateurs à des risques de vol de données et d’identifiants. Ces attaques, combinant phishing et codes malveillants, soulignent une vulnérabilité critique dans la gestion des extensions. Des techniques de phishing ciblant les éditeurs La campagne d’attaques a démarré par une série de phishing ciblant les éditeurs d’extensions sur le Chrome Web Store. En se faisant passer pour le support technique de Google, les attaquants ont incité les développeurs à cliquer sur des liens frauduleux, accédant ainsi à leurs comptes administrateurs et modifiant leurs extensions pour y insérer des scripts malveillants. Cyberhaven : une cible de choix Le 24 décembre 2024, un pirate a accédé au compte administrateur Chrome Web Store d’un employé de Cyberhaven, une entreprise spécialisée dans la prévention contre les pertes de données, qui compte parmi ses clients des entreprises majeures telles que Snowflake, Motorola, Reddit et Canon. Le pirate a publié une version infectée (24.10.4) de l’extension Cyberhaven contenant un code permettant de voler les cookies de session des utilisateurs et d’envoyer les informations collectées vers un domaine malveillant (« cyberhavenext[.]pro »). Cette version a été retirée moins d’une heure après sa détection. Cyberhaven a depuis publié une version sécurisée (24.10.5) et recommande aux utilisateurs de changer leurs mots de passe et de réinitialiser leurs jetons API. Une attaque étendue à de nombreuses extensions Selon les chercheurs en cybersécurité, cette attaque ne se limite pas à Cyberhaven. Des extensions telles que Internxt VPN, VPNCity, Uvoice, et ParrotTalks ont également été compromises. Les pirates ont injecté un code similaire à celui utilisé pour Cyberhaven, communiquant avec des serveurs malveillants. D’autres extensions comme Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, et AI Shop Buddy figurent parmi les victimes. Certaines extensions ont déjà été supprimées du Chrome Web Store, notamment Effets visuels pour Google Meet, Rewards Search Automator, Tackker, Bard AI chat, et Reader Mode. Un stratagème bien organisé L’email de phishing était conçu pour imiter une communication officielle de Google, alertant les développeurs d’un risque imminent de suppression de leur extension. En accédant à une page frauduleuse et en accordant des permissions, les éditeurs ont permis aux pirates de modifier leurs extensions. Les conséquences pour les utilisateurs Les pirates ont utilisé les extensions infectées pour voler des informations sensibles, comme les cookies de session et les jetons d’authentification. Ces données permettent aux attaquants d’accéder à des comptes personnels et professionnels, y compris sur des plateformes comme Facebook Ads, augmentant ainsi les risques de fraudes financières. Comment se protéger ? Voici quelques recommandations pour éviter d’être victime de ces attaques : Vérifiez régulièrement vos extensions installées et supprimez celles que vous n’utilisez pas. Limitez les permissions accordées aux extensions, en particulier celles demandant un accès à vos données sensibles. Mettez à jour vos extensions pour bénéficier des correctifs de sécurité. Changez vos mots de passe et réinitialisez vos jetons API si vous êtes concerné. Soyez vigilant face aux emails suspects, surtout ceux prétendant provenir de services officiels. En conclusion Cette attaque met en évidence les failles critiques dans la sécurité des extensions de navigateur, souvent perçues comme anodines. Les utilisateurs et les entreprises doivent renforcer leur vigilance et adopter des pratiques de cybersécurité plus strictes pour limiter leur exposition à ces menaces.

Read more
Load More
Nous contacter

Collaborez avec nous pour sécuriser et optimiser vos solutions IT !

Nous serons ravis de répondre à vos questions et de vous aider à choisir les services adaptés à vos besoins.

Nos avantages
  • Orienté client
  • Expert
  • Réactif
  • Axé sur les résultats
  • Fiable
  • Transparent
Quelle est la prochaine étape ?
1

Nous planifions un appel selon votre disponibilité

2

Nous organisons une réunion d’analyse et de conseil

3

Nous préparons une proposition

Vos informations