Sommaire

• Infos

• Articles

• Outils

• Podcasts

• Conférences

• Marché

• Misc

Infos

Des attaquants tentent activement d'exploiter la vulnérabilité sur Apache Struts CVE-2024-53677. Avec un score CVSS de 9.5, celle-ci permet d’exécuter du code à distance via un envoi de fichier malveillant. Un PoC a été publié sur GitHub. Lien 

Bulletin d'actualité du CERT-FR de la semaine 51 avec notamment 5 vulnérabilités critiques impactant les produit Sophos Firewall, Apache Tomcat et Fortinet FortiWLM. Deux codes d’exploitation sont publiquement disponibles. Lien 

Le pirate IntelBroker a divulgué 2,9 Go de données volées récemment depuis une instance Cisco DevHub, mais affirme qu’il ne s’agit que d’une fraction des données dérobées. Lien

La CNIL va lancer une certification RGPD des sous-traitants. Lien

Une faille dans l’API du système de livraison de McDonald en Inde a exposé les données personnelles des clients. Lien 

Un Américain s’est fait dérober 500 000 dollars en cryptomonnaies en un temps record. Un escroc l’a appelé en utilisant un véritable numéro de téléphone Google pour l’avertir que son compte Gmail était en train d’être piraté, lui a envoyé des alertes de sécurité directement depuis google.com, puis a finalement pris le contrôle du compte en le convainquant de cliquer sur « oui » à une invite Google sur son appareil mobile. Lien 

Des chercheurs ont découvert une nouvelle backdoor en PHP baptisée « Glutton », utilisée dans des cyberattaques contre des frameworks PHP populaires (Laravel et ThinkPHP). Lien 

La police serbe a utilisé les outils de la société Cellebrite pour déverrouiller le téléphone d’un journaliste, puis y installer un logiciel espion. Lien 

Arrestation d’un développeur du ransomware LockBit en Israël. Lien

La société NSO Group reconnue coupable de piratage par la justice américaine après un épilogue de cinq ans de procédure judiciaire. L’entreprise israélienne est reconnue coupable d’avoir exploité une faille de sécurité dans l’application de messagerie WhatsApp pour installer le logiciel espion Pegasus. Lien 

Une étude qui explore l'augmentation des "fausses étoiles" (fake stars) sur GitHub, utilisé pour manipuler la popularité des projets open source. L'étude, menée via l'outil StarScout, analyse ces activités anormales et leurs impacts sur la sécurité de la chaîne d'approvisionnement logicielle. Lien

Articles

Un article qui explique le phénomène en vogue du "email bombing", une attaque où une victime reçoit une avalanche d'emails inutiles pour inonder sa boîte de réception dans le but de dissimuler une autre attaque. Lien 

La réalité de faire du bug bounty à plein temps. L’article revient sur les différentes problématiques que les chasseurs de bogues doivent résoudre au quotidien. Lien

L’équipe de Google TAG (Thread Analysis Group) a publiée son bulletin du 4e trimestre 2024. Lien 

Les chercheurs d’ESET ont publié leur rapport de Threat Intelligence du second semestre 2024. Lien

Un bel exemple d’une attaque Punycode qui exploite la façon dont les navigateurs gèrent l’encodage de caractères Unicode dans les noms de domaine. Lien 

Une attaque de vishing (contraction de "voice" et "phishing") via Microsoft Teams facilite l’intrusion du malware DarkGate. Les chercheurs de TrendMicro décrivent une attaque d’ingénierie sociale qui a trompé la victime pour l’amener à installer un outil d’accès à distance, déclenchant des activités liées au malware DarkGate. Lien

Un article sur l’exploitation d’une injection SQL avec des procédures stockées. Lien

Outils

Decompyle++ a pour objectif de traduire du byte-code Python compilé en code source Python valide et lisible. Lien 

HPI Identity Leak Checker est une alternative au service de vérification de fuite des données personnelles HaveIBeenPwned. Lien

Holehe OSINT vérifie si une adresse e-mail est associée à un compte sur des sites comme Twitter, Instagram, Imgur et plus de 120 autres. Lien

Kali Linux a publié la version 2024.4 qui propose l’intégration de quatorze nouveaux outils (bloodyad, certi, chainsaw, findomain, etc.) et de nombreuses améliorations (notamment pour le Raspberry Pi). Lien

WalletScan permet d’effectuer une recherche dans une liste de portefeuilles de cryptomonnaie illicites afin de vérifier si l’adresse d’un portefeuille est connue pour des activités illégales ou si elle a fait l’objet de sanctions. Lien

Code Snippets Monitor est un outil pour surveiller les modifications de code qui corrigent silencieusement des bogues ou en introduisent de nouveaux sur plusieurs dépôts. Lien

Podcasts

🎧️ Underscore_ : comment le DDOS devient un problème grandissant. Lien

🎧 NoLimitSecu : La Cryptographie déchiffrée, une introduction pratique au chiffrement moderne. Lien

Conférences

🎤 Blackhat London 2024. Présentation sur les vulnérabilités affectant le protocole de téléchargement des eSIM. Lien 

🗓️ 38e édition du Chaos Communication Congress organisé par le CCC : 27 au 30 décembre 2024 à Hambourg, Allemagne.

Marché

Un aperçu des acteurs de la cybersécurité française par secteur d’activité. Lien

Misc

Top 10 des phrases les plus redoutées par les développeurs aux repas de fin d'année. Lien

MyRetroTV : Plongez dans la TV nostalgique des années 50 à 2000. Lien 

« Devenir riche à tous les coups » : les nouvelles tendances des arnaques en ligne. Lien

Le nouveau documentaire de Netflix explique comment le « Bonnie & Clyde du Bitcoin » a dérobé pour 4,5 milliards de dollars de bitcoins. Lien

Backstage : un portail dev unique qui permet de retrouver tous vos services, leur documentation à jour, les templates pour créer de nouveaux projets. Lien

Automatisch : l’alternative libre à Zapier pour vos automatisations. Lien

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter