In partnership with
🤖 Chers internautes et les amis Cyber-défenseurs,
Le 29 août 2025, à 06h00 UTC, Git – outil sacré de nos développeurs – a été détourné. Une simple ligne, un retour chariot, et boom : l’accès root offert sur un plateau.
Pendant ce temps, plus de 700 instances Salesforce tombent comme des dominos, piratées via des tokens OAuth compromis. Et au QG ? Silence radio.
Mais ce n’est pas tout. L’ennemi a évolué. Il ne se contente plus d’entrer – il pense. Grâce à Claude, modèle IA d’Anthropic, une escouade cybercriminelle orchestre des campagnes d’extorsion à grande échelle.
Ils générent leurs ransomwares et messages de chantage comme s’il s’agissait de simples tickets d’incident.
Leur arme ultime ? PromptLock, un ransomware piloté par IA, capable de se cacher dans vos serveurs, de muter, de frapper.
Et pour finir : OneFlip, un tir de sniper dans la mémoire vive de vos modèles IA – une seule inversion de bit… et votre voiture autonome rate le STOP.
Vous pensiez être préparé ? Lisez cette newsletter jusqu’au bout. Car demain, c’est peut-être votre infrastructure qui sera en feu.
Les grandes lignes :
👉 Git piégé : la faille critique que tout dev doit patcher maintenant ! 🧨
👉 Salesforce infiltré via OAuth : 700 entreprises compromises en silence ! 🕵️
👉 Claude détourné : quand l’IA devient le cerveau des cyberattaques ! 🤖
👉 PromptLock : le ransomware piloté par IA que personne n’attendait ! 🧬
👉 OneFlip : une attaque invisible qui reprogramme votre IA avec un seul bit ! 🎯
Si on t’a transféré cette lettre, abonnes-toi en cliquant sur ce lien !
🗞️Vous savez quoi ?
CVE-2025-48384 permet d’écrire arbitrairement des fichiers avec l’exploitation des sous-modules Git mal configurés, ce qui facilite ainsi des attaques RCE sur Linux/macOS.
Des pirates ont utilisé des tokens OAuth compromis via l’intégration Drift de Salesloft pour accéder à plus de 700 instances, ce qui a permis d’exfiltrer des identifiants sensibles.
Un groupe cybercriminel a exploité Claude pour automatiser reconnaissance, intrusion, extraction de données et fabrication de demandes de rançon.
ESET vient de découvrir PromptLock, le premier ransomware alimenté par LLM local. Il génère dynamiquement des scripts malveillants via GPT-OSS:20B, avec chiffrement, exfiltration, et proxy interne.
OneFlipa été revisité pour pirater l’IA. Une seule modification de bit dans les poids d’un réseau neuronal permet une backdoor imperceptible activée par un simple déclencheur masqué.
Looking for unbiased, fact-based news? Join 1440 today.
Join over 4 million Americans who start their day with 1440 – your daily digest for unbiased, fact-centric news. From politics to sports, we cover it all by analyzing over 100 sources. Our concise, 5-minute read lands in your inbox each morning at no cost. Experience news without the noise; let 1440 help you make up your own mind. Sign up now and invite your friends and family to be part of the informed.
🤓 Vous voulez en savoir plus ?
1️⃣ Git piégé : la faille critique que tout dev doit patcher maintenant !
Résumé : La faille CVE-2025-48384 affecte Git et autorise l’écriture de fichiers arbitraires via une manipulation subtile des sous-modules. Une vulnérabilité critique (CVSS 8.1), déjà exploitée, qui peut mener à l’exécution de code à distance sur macOS et Linux.
Les détails :
Sous-modules comme cheval de Troie : En manipulant .gitmodules, les attaquants peuvent injecter des chemins terminés par un retour chariot, ce qui détourne le comportement d’écriture de Git.
Redirection silencieuse : Ce caractère supprimé en lecture mais conservé en écriture permet d’écrire hors du chemin attendu, dans des répertoires sensibles.
Hook exécutable déclenché à l’extraction : Si un lien symbolique pointe vers un répertoire qui contient un script post-checkout, Git l’exécutera sans alerte.
PoC déjà disponible : Le code d’attaque est public, ce qui le rend facile à exploiter à grande échelle.
CI/CD en première ligne : Les versions vulnérables sont souvent présentes sur les serveurs d’intégration continue.
Que faut-il en retenir ?
Cette vulnérabilité Git remet en question la confiance aveugle dans les outils de versioning. Les équipes DevSecOps doivent impérativement auditer leurs configurations, corriger les versions concernées et surveiller tout usage suspect des sous-modules dans leurs pipelines CI/CD.
2️⃣ Salesforce infiltré via OAuth : 700 entreprises compromises en silence !
Résumé : Une campagne d’envergure a compromis les connexions OAuth entre Salesloft (Drift) et Salesforce, touchant plus de 700 organisations. Des identifiants et tokens cloud ont été exfiltrés via un outil Python automatisé.
Les détails :
Tokens OAuth comme point d’entrée : Les attaquants ont abusé des jetons associés à Drift, une solution intégrée à Salesforce.
Accès en profondeur : Une fois connectés, ils ont ciblé des identifiants AWS, Snowflake et d’autres services liés.
Automatisation à grande échelle : Un outil Python a permis d’exécuter des extractions coordonnées sur plus de 700 instances.
Effacement des traces : Les logs de requêtes ont été supprimés, mais pas les journaux d’événements, ce qui a laissé des indices d’exposition.
Réaction rapide mais tardive : Salesforce a suspendu Drift de l’AppExchange et révoqué les tokens seulement après l’attaque.
Que faut-il en retenir ?
Cette attaque démontre que les intégrations SaaS peuvent devenir des portes dérobées. Les entreprises doivent renforcer leur gestion des tokens OAuth, segmenter les accès et monitorer activement leurs logs API.
3️⃣ Claude détourné : quand l’IA devient le cerveau des cyberattaques !
Résumé : Le groupe GTG-2002 a utilisé Claude Code pour automatiser des attaques de vol de données et d’extorsion. Cette attaque implique reconnaissance, exploitation, élévation de privilèges, exfiltration et rédaction de rançons dynamiques.
Les détails :
Reconnaissance IA augmentée : Claude a généré des frameworks de scan ciblés sur des endpoints VPN à travers des APIs personnalisées.
Exfiltration pilotée en temps réel : Il sélectionne les données les plus sensibles à extraire selon des critères définis.
Élévation de privilèges assistée : Claude proposait des techniques pour se propager latéralement en environnement hostile.
Psychologie de la rançon : L’IA a analysé les données volées pour ajuster le montant exigé selon le profil de la victime.
Mise en scène visuelle : Des ransom notes graphiques ont été injectées au niveau du boot système, façon message de guerre.
Que faut-il en retenir ?
Nous franchissons un cap critique : les LLMs ne servent plus uniquement d’outils d’aide, mais deviennent des agents autonomes de cyberattaque. Les fournisseurs d’IA doivent adapter leur gouvernance et développer des modèles de détection spécifiques à ces usages détournés.
4️⃣ PromptLock : le ransomware piloté par IA que personne n’attendait !
Résumé : PromptLock est un ransomware en cours de développement, généré dynamiquement via un LLM local (GPT-OSS:20B). Il agit sur Windows/Linux/macOS avec des scripts Lua croisés et une exécution par API proxy.
Les détails :
IA embarquée en local : L’attaque repose sur le modèle gpt-oss:20b intégré via l’API Ollama, sans dépendance cloud.
Scripts générés à la volée : Le modèle produit du code Lua pour inspecter, chiffrer ou voler des fichiers selon la cible.
Proxy inversé intelligent : Une connexion interne relie l’environnement infecté au serveur contrôlé par l’attaquant.
Chiffrement léger mais efficace : SPECK 128 bits assure la rapidité, même si des fonctions de destruction sont en cours de développement.
Trace Bitcoin symbolique : L’adresse de rançon renvoie… à Satoshi Nakamoto, ce qui souligne le caractère démonstratif de la menace.
Que faut-il en retenir ?
PromptLock prouve que l’IA peut générer à la volée des malwares adaptés à l’environnement cible. C’est une alerte pour les EDR et solutions anti-malware, qui devront analyser des comportements plutôt que des signatures statiques.
5️⃣ OneFlip : une attaque invisible qui reprogramme votre IA avec un seul bit !
Résumé : OneFlip est une attaque Rowhammer qui injecte des backdoors IA grâce à la modification d’un seul bit dans les poids d’un réseau neuronal. Discrète, puissante, et difficile à détecter.
Les détails :
Contrôle par inversion de bit : En ciblant une cellule mémoire précise, l’attaquant modifie un poids sans dégrader les performances.
Déclencheur invisible : Un input légèrement altéré suffit à activer un comportement déviant du modèle (ex. : reclasser un stop en priorité).
Préparation en laboratoire : L’identification du bit critique et la création du trigger se font offline avec accès white-box.
Conditions d’exploitation connues : Le simple fait de partager une machine avec un attaquant, combiné à l'utilisation d'un modèle open-source, suffit à rendre l'attaque possible.
Application potentielle : Les véhicules autonomes, les IA embarquées, les systèmes de diagnostic médical ou encore la reconnaissance biométrique sont tous exposés à ce type de vulnérabilité.
Que faut-il en retenir ?
OneFlip marque une transition vers les backdoors algorithmiques silencieuses. Les équipes IA doivent impérativement monitorer l’intégrité mémoire des poids et renforcer l’isolation physique des modèles déployés.
⚙️ Opération sécurité numérique
🦾 Vous pensez être sécurisé ? Le scan de vulnérabilité va vous prouver le contraire
Un scan de vulnérabilité est un processus automatisé qui identifie les failles de sécurité dans vos systèmes, réseaux et applications avant qu’elles ne soient exploitées par des cybercriminels.
Ces failles peuvent provenir d’erreurs de configuration, de bugs logiciels, ou même de comportements humains imprudents.
La réalisation régulière de ces scans vous permet de détecter les points faibles de votre environnement numérique, de prioriser les correctifs selon leur criticité (via des scores comme le CVSS) et de réduire significativement les risques d’incidents majeurs.
Avec des attaques informatiques toutes les 39 secondes, scanner son système, c’est anticiper plutôt que subir. En plus de renforcer votre posture de sécurité, cette approche vous évite des pertes financières et protège votre réputation.
Le scan de vulnérabilité est donc un pilier incontournable d’une stratégie de cybersécurité efficace qui allie maîtrise des risques, conformité réglementaire et optimisation des coûts.
LIEUTENANT AU RAPPORT 🏆
Check Point – l’IA défensive qui pense plus vite que les hackers
Check Point est un leader international de la cybersécurité, fondé en Israël en 1993. Sa plateforme unifiée Infinity couvre les réseaux, le cloud, les postes de travail et les environnements hybrides via des produits comme Quantum, CloudGuard, Harmony et ThreatCloud AI.
Fait marquant :
En 2025, Check Point a fait un bond stratégique vers l’IA renforcée : d’une part, avec la gamme Quantum Force, des pare‑feux IA de nouvelle génération dotés d’une prévention des menaces jusqu’à 4× plus rapide, capable de bloquer 99,9 % des attaques et d’optimiser les performances réseau, notamment dans les filiales.
D’autre part, elle a dévoilé son Rapport sur la sécurité IA 2025 lors de la RSA Conference pour alerter sur la montée des cyberattaques alimentées par IA, des deepfakes, et des usurpations d’identité.
Par ailleurs, la société propose une feuille de route pour une défense proactive basée sur l’IA.
Ces évolutions illustrent l’approche "prévention‑d’abord" de Check Point, qui combine intelligence artificielle avancée, gestion unifiée, et anticipation comportementale pour protéger plus de 100 000 organisations.
CYBERTRIVIA - LE SAVIEZ-VOUS ? 🤔
L’attaque est servie : comment une cafetière connectée a compromis un réseau
Saviez-vous qu’une simple machine à café connectée a servi de vecteur à une attaque de ransomware ?
Un chercheur d’Avast, Martin Hron, a démontré comment il a transformé un modèle grand public en vecteur d’attaque. Grâce à une communication Wi‑Fi sans mot de passe et un firmware non sécurisé, il a injecté un ransomware dans la machine, pour l’utiliser ensuite comme porte d’entrée dans le réseau interne.
Une intrusion inattendue qui rappelle combien même les objets les plus anodins peuvent devenir des armes lorsque l’IoT n’est pas correctement sécurisé.
Selon vous, quelle est la menace IA la plus préoccupante aujourd’hui ?
👉 Votre avis nous intéresse !
Ne manquez aucune actualité cruciale en matière de cybersécurité ! Abonnez-vous dès maintenant à notre newsletter pour recevoir des analyses approfondies, des conseils d'experts et rester informé des dernières menaces et des solutions pour protéger votre entreprise. « C'est pour vous tous les nouveaux : je n'ai qu’une seule règle. Tout le monde se bat. Personne se barre ».
