Authentication
17 articlesAttaque de force brute contre Dashlane
Le système de sécurité de Dashlane a automatiquement verrouillé les comptes pour les protéger contre les tentatives de piratage. L'attaque a permis à certains pirates d'accéder à des données chiffrées limitées.
Attaque de la chaîne d'approvisionnement 'Megalodon' sur GitHub
Plus de 5 500 référentiels GitHub ont été infectés par une attaque de la chaîne d'approvisionnement qui injecte des commits automatisés fictifs dans les flux de travail GitHub Actions pour voler des informations d'identification, des secrets de CI, des clés et des jetons. Cette attaque, baptisée 'Megalodon', vise à compromettre la sécurité des référentiels en ligne.
Ver de PCPJack : suppression de TeamPCP et vol de mots de passe
Le cadre de malware vise les applications web et les environnements cloud, notamment AWS, Docker, Kubernetes et d'autres. Le ver PCPJack est capable de supprimer les infections de TeamPCP tout en volant des informations d'authentification.
Cisco renforce sa sécurité avec l'acquisition d'Astrix
L'acquisition vise à renforcer la sécurité basée sur l'identité pour les accès non humains, tels que les machines et les applications. Cette opération permet à Cisco de consolider sa position sur le marché de la sécurité des identités
Tycoon 2FA perd son titre de phishkit le plus utilisé
Les acteurs de menace réutilisent les outils Tycoon 2FA dans d'autres kits de phishing après la perturbation de la plateforme. Les attaques de phishing connaissent une augmentation significative.
Gmail déploie le chiffrement de bout en bout sur Android et iOS
La fonctionnalité permet aux utilisateurs d'entreprise de composer et de lire des messages chiffrés de bout en bout de manière native sur leurs appareils mobiles. Cette fonctionnalité est désormais disponible pour les utilisateurs d'entreprise sur les plates-formes Android et iOS.
Google améliore la sécurité de Chrome contre le vol de cookies
Google a déployé une nouvelle fonctionnalité de protection contre le vol de cookies dans Chrome, appelée Device Bound Session Credentials. Cette fonctionnalité rend les cookies de session volés inutilisables en les liant cryptographiquement à l'authentification. Les attaques de vol de cookies sont un problème majeur de sécurité, car elles permettent aux attaquants d'accéder à des comptes sans mot de passe.
Vulnérabilité critique dans OpenAI Codex
Des chercheurs ont découvert une vulnérabilité dans OpenAI Codex qui pouvait être exploitée pour compromettre les jetons GitHub. Cette faille de sécurité a été identifiée et corrigée, mais elle soulève des inquiétudes quant à la sécurité des applications basées sur l'intelligence artificielle.
Groupe de pirates pro-iraniens revendique une faille de sécurité
Un groupe de pirates informatiques pro-iraniens a revendiqué la responsabilité d'une faille de sécurité sur le compte personnel de Kash Patel, directeur adjoint du FBI. Le groupe a mis à disposition des internautes des emails et d'autres documents issus du compte de Patel.
Hightower Holding victime d'une faille de sécurité
La société Hightower Holding a annoncé que des hackers ont volé des noms, des numéros de sécurité sociale et des numéros de permis de conduire à partir de son environnement. Cette faille de sécurité a touché environ 130 000 personnes.
FBI met en garde contre des attaques de phishing liées aux services de renseignement russes
Le FBI a émis un avertissement public concernant des acteurs menaçants liés aux services de renseignement russes qui ciblent activement les utilisateurs d'applications de messagerie chiffrée comme Signal et WhatsApp dans des campagnes de phishing. Ces campagnes ont déjà compromis des milliers de comptes.
Les attaquants préfèrent se connecter plutôt que forcer l'accès
Le vol de mots de passe a connu une augmentation significative dans la deuxième moitié de 2025, en partie due à l'industrialisation des logiciels malveillants de vol d'informations et à l'utilisation de l'intelligence artificielle pour l'ingénierie sociale. Cette tendance souligne l'importance croissante de la sécurité des informations d'identification.
Starbucks victime d'une faille de sécurité
Starbucks a annoncé une faille de sécurité affectant des centaines d'employés après que des acteurs menaçants ont accédé à leurs comptes Starbucks Partner Central. Les informations personnelles des employés ont été compromises, ce qui soulève des inquiétudes quant à la sécurité des données de l'entreprise.
Groupe de menace 0ktapus : 130 entreprises victimes
Plus de 130 entreprises ont été victimes d'une vaste campagne de phishing qui a contrefait un système d'authentification à plusieurs facteurs. Cette attaque a mis en évidence les vulnérabilités des systèmes de sécurité actuels.
Nouveau service de phishing « Starkiller » utilise des pages de connexion réelles
Un nouveau service de phishing-as-a-service permet aux attaquants d'utiliser des liens déguisés pour charger les pages de connexion réelles des sites ciblés, contournant ainsi les mécanismes de protection classiques. Ce service agit comme un relais entre la victime et le site légitime, transmettant les informations d'identification et les codes de vérification à plusieurs facteurs.
Sécurité des clés API : éviter les factures exorbitantes
Un développeur mexicain a reçu une facture de 82 314 dollars après que ses clés API ont été volées et utilisées de manière frauduleuse. Cet incident souligne l'importance de sécuriser correctement les clés API pour éviter de tels désagréments.
Fuite de données de prêts étudiants : 2,5 millions de dossiers exposés
Une faille de sécurité a exposé les informations personnelles de 2,5 millions de personnes, ce qui pourrait avoir des conséquences négatives à long terme. Les données compromises pourraient être utilisées pour des activités malveillantes telles que le phishing ou l'usurpation d'identité.