ā€‹šŸ¤–ā€‹ Chers internautes et les amis Cyber-dĆ©fenseurs,

Le groupe Earth Lamia ā€” une escouade dā€™Ć©lite cyberterroriste originaire de la RĆ©publique Populaire ā€” a lancĆ© une campagne dā€™infiltration sur plusieurs fronts : Ć©ducation, finance, logistique, gouvernement. Leur arme ? Des injections SQL. Leur mĆ©thode ? Lā€™omniprĆ©sence.

Pendant que vous dormiez, plus de 364 000 identitƩs ont ƩtƩ siphonnƩes depuis une plateforme de dƩveloppement tierce. LexisNexis ? Compromis. GitHub ? ContrƓlƩ. Les donnƩes ? Ennemies.

Et ce nā€™est pas tout. Une nouvelle menace a Ć©tĆ© repĆ©rĆ©e sur les radars : les attaques Browser-in-the-Middle. Vous pensiez ĆŖtre sur votre navigateur ? Faux. Vous Ć©tiez dans celui de lā€™ennemi. MFA ? ObsolĆØte. Cookies et tokens ? CapturĆ©s avant que vous ne puissiez dire ".htaccess".

La FĆ©dĆ©ration (a.k.a. la CISA et lā€™ACSC) riposte grĆ¢ce Ć  la publication dā€™un manuel de guerre pour la mise en place des plateformes SIEM/SOAR. Trop tard pour certains. Juste Ć  temps pour vous.

Mais dans lā€™ombre du chaos, une escouade de jeunes recrues singapouriennes, menĆ©e par le Capitaine Senthil, dĆ©veloppe une nouvelle arme : Virage, un simulateur IA de scams vocaux. Leur but ? Former la prochaine gĆ©nĆ©ration de dĆ©fenseurs numĆ©riques.

Les grandes lignes :

šŸ‘‰ Earth Lamia exploite les failles SQL pendant que tout le monde regarde ailleursšŸ’£

šŸ‘‰364 000 identitĆ©s volĆ©es sans alarme chez LexisNexis šŸšØ

šŸ‘‰ PiĆ©gĆ© en quelques clics : la menace invisible des Browser-in-the-Middle šŸ•µļøā€ā™‚ļø

šŸ‘‰Ā La CISA met en garde les SOC qui croient trop aux promesses de leurs outils āš™ļø

šŸ‘‰ Lā€™IA dĆ©tourne des appels pour arnaquer šŸ¤–

Si on tā€™a transfĆ©rĆ© cette lettre, abonne-toi en cliquant sur ce lien !

šŸ—žļøā€‹Vous savez quoi ?

  • Earth Lamia exploite plusieurs failles critiques pour infiltrer discrĆØtement des systĆØmes sensibles : injections SQL, backdoors .NET, outils modifiĆ©sā€¦ tout y passe.

  • LexisNexis Risk Solutions a perdu le contrĆ“le de donnĆ©es sensibles hĆ©bergĆ©es sur GitHub. Les 364 000 victimes ne lā€™apprendront que trois mois plus tard.

  • Le malware Browser-in-the-Middle permet de dĆ©tourner des sessions MFA en quelques secondes, en passant par un navigateur distant. Il reste invisible, agit rapidement et sā€™avĆØre redoutablement efficace.

  • La CISA a publiĆ© un guide prĆ©occupant sur les outils SIEM et SOAR. Elle alerte sur les risques liĆ©s Ć  un mauvais paramĆ©trage, aux coĆ»ts cachĆ©s et aux alertes peu fiables.

  • La startup Virage, issue dā€™un projet Ć©tudiant, dĆ©veloppe une intelligence artificielle capable de simuler des arnaques vocales rĆ©alistes afin de sensibiliser les utilisateurs. Ce nouveau type de prĆ©vention marque une Ć©volution vers la version 3.0 de la cybersĆ©curitĆ©.

Business news as it should be.

Join 4M+ professionals who start their day with Morning Brewā€”the free newsletter that makes business news quick, clear, and actually enjoyable.

Each morning, it breaks down the biggest stories in business, tech, and finance with a touch of wit to keep things smart and interesting.

Try it yourself (for free)

šŸ¤“ā€‹ Vous voulez en savoir plus ?

1ļøāƒ£ Earth Lamia exploite les failles SQL pendant que tout le monde regarde ailleurs

RĆ©sumĆ© : Depuis 2023, le groupe Earth Lamia cible activement plusieurs secteurs critiques grĆ¢ce Ć  lā€™exploitation des failles bien connues, principalement via des injections SQL. Leur arsenal comprend des backdoors sur mesure, la crĆ©ation dā€™administrateurs fantĆ“mes, et le contournement de solutions de sĆ©curitĆ© grĆ¢ce Ć  des outils modifiĆ©s. La sophistication de leur mode opĆ©ratoire impose une vigilance renforcĆ©e.

Les dƩtails :

  1. Ciblage multisectoriel : Finance, IT, Ć©ducation, logistiqueā€¦ Earth Lamia alterne ses campagnes selon les secteurs. Cā€™est ce qui a augmentĆ© lā€™effet de surprise et le potentiel de dĆ©gĆ¢ts.

  2. Exploitation de failles connues : CVE Apache Struts, GitLab, WordPress, SAP NetWeaverā€¦ Le groupe capitalise sur les dĆ©fauts non corrigĆ©s dans les infrastructures exposĆ©es.

  3. Techniques dā€™intrusion avancĆ©es : Webshells, escalade de privilĆØges, extraction de credentials et pivot rĆ©seau, avec des outils comme BypassBoss et Pulsepack.

  4. Contournement de la dĆ©tection : DLL sideloading dans les outils de sĆ©curitĆ©, shellcodes Cobalt Strike et Brute Ratelā€¦ tout est pensĆ© pour rester sous le radar.

  5. Affiliations suspectĆ©es : Connexions possibles avec REF0657, CL-STA-0048 et DragonRank, ce qui renforce lā€™hypothĆØse dā€™un groupe soutenu par lā€™Ć‰tat chinois.

Que faut-il en retenir ?

Earth Lamia reprĆ©sente un modĆØle de cyber-opĆ©ration Ć©tatique moderne : agile, modulaire et persistant. Sa capacitĆ© Ć  infiltrer des environnements critiques via des vulnĆ©rabilitĆ©s publiques souligne lā€™urgence de la remĆ©diation proactive et de la surveillance continue.

2ļøāƒ£ Fuite massive chez LexisNexis : 364 000 identitĆ©s volĆ©es sans alarme

RĆ©sumĆ© : Un tiers a accĆ©dĆ© au GitHub de LexisNexis Risk Solutions en dĆ©cembre 2024 et exfiltre des donnĆ©es sensibles sans dĆ©clencher dā€™alerte. Ce nā€™est quā€™en avril 2025 que lā€™intrusion est dĆ©tectĆ©e. Lā€™entreprise assure que ses systĆØmes nā€™ont pas Ć©tĆ© touchĆ©s, mais des informations critiques comme les noms, les SSN et les adresses ont bien Ć©tĆ© volĆ©es.

Les dƩtails :

  1. Origine de lā€™intrusion : Un accĆØs non autorisĆ© Ć  un dĆ©pĆ“t GitHub utilisĆ© pour le dĆ©veloppement logiciel a permis lā€™exfiltration de donnĆ©es internes.

  2. DonnƩes compromises : Bien que sans impact sur les rƩseaux internes, les informations volƩes incluent SSN, permis de conduire et autres donnƩes PII.

  3. RĆ©action tardive : Lā€™attaque a eu lieu le 25 dĆ©cembre, mais LexisNexis ne lā€™a dĆ©couverte quā€™en avril via une alerte externe.

  4. Communication rĆ©glementaire : Notification envoyĆ©e aux victimes, rĆ©gulateurs informĆ©s, et services de protection dā€™identitĆ© offerts pendant 2 ans.

Que faut-il en retenir ?

Cette attaque prouve que la chaĆ®ne de dĆ©veloppement logiciel est un vecteur critique de compromission. La nĆ©gligence en matiĆØre de sĆ©curitĆ© DevOps peut exposer des centaines de milliers de personnes sans mĆŖme toucher le cœur de l'infrastructure.

3ļøāƒ£ PiĆ©gĆ© en quelques clics : la menace invisible des Browser-in-the-Middle

RĆ©sumĆ© : Les attaques Browser-in-the-Middle (BiTM) dĆ©tournent la session dā€™un utilisateur via un navigateur distant pour imiter un vrai site. MFA devient inutile dĆØs lors que le token de session est volĆ©. Mandiant et lā€™UniversitĆ© de Salento alertent : les BiTM sont rapides, silencieuses et redoutablement efficaces.

Les dƩtails :

  1. Fonctionnement : Lā€™utilisateur pense interagir avec son navigateur local, alors quā€™il est sur un navigateur contrĆ“lĆ© par lā€™attaquant.

  2. Contournement de MFA : Une fois lā€™utilisateur connectĆ©, les tokens de session sont volĆ©s, ce qui a rendu les systĆØmes de double authentification caducs.Ā 

  3. MĆ©thodes dā€™injection : Script malicieux, phishing et redirections transparentes rendent cette attaque difficile Ć  dĆ©tecter.

  4. VulnĆ©rabilitĆ© universelle : Toute application web est potentiellement ciblable, et aucune technologie de session nā€™y Ć©chappe.

  5. Mesures de dƩfense : Rotation de tokens, CSP rigoureuse, sandboxing et surveillance comportementale sont les seules protections viables.

Que faut-il en retenir ?

BiTM illustre une nouvelle frontiĆØre des cyberattaques, oĆ¹ lā€™expĆ©rience utilisateur est dĆ©tournĆ©e de maniĆØre imperceptible. Le vol de session en temps rĆ©el transforme chaque interaction web en risque potentiel.

4ļøāƒ£ ā€‹SIEM & SOAR : lā€™avertissement cash de la CISA aux SOC mal prĆ©parĆ©s

RĆ©sumĆ© : La CISA et lā€™ACSC publient une alerte dĆ©taillĆ©e sur les erreurs courantes dans lā€™implĆ©mentation des plateformes SIEM et SOAR. Projets complexes, coĆ»teux et souvent mal pilotĆ©s, ces outils peuvent devenir inefficaces sā€™ils ne sont pas contextualisĆ©s et testĆ©s correctement.

Les dƩtails :

  1. CoĆ»ts cachĆ©s : Les frais liĆ©s Ć  lā€™ingestion de donnĆ©es, la formation et la maintenance explosent souvent les budgets initiaux.

  2. Configuration critique : Un SOAR sans SIEM bien paramĆ©trĆ© gĆ©nĆØre des faux positifs, ce qui surcharge les analystes au lieu de les soulager.

  3. Baselines indispensables : DƩfinir un comportement rƩseau normal est clƩ pour dƩtecter les anomalies rƩelles.

  4. Dangers de lā€™externalisation : Lā€™outsourcing peut gĆ©nĆ©rer des angles morts et une mauvaise connaissance du systĆØme surveillĆ©.

  5. Absence dā€™IA dĆ©noncĆ©e : Le document ignore le facteur IA, alors que les attaquants lā€™utilisent dĆ©jĆ  massivement pour automatiser leurs offensives.

Que faut-il en retenir ?

Le dĆ©ploiement de SIEM/SOAR doit ĆŖtre guidĆ© par une stratĆ©gie mĆ©tier et une gouvernance forte. Sans cela, ces outils deviennent des mirages technologiques, coĆ»teux et inefficaces face Ć  des menaces automatisĆ©es

5ļøāƒ£ Lā€™IA simule des arnaques tĆ©lĆ©phoniquesĀ 

RƩsumƩ : Virage, une startup fondƩe par deux jeunes diplƓmƩs de Singapour, propose une plateforme IA qui simule des appels de scams vocaux rƩalistes. ConƧue pour former les utilisateurs Ơ dƩtecter les arnaques, cette technologie immersive rƩvolutionne la sensibilisation Ơ la cybersƩcuritƩ.

Les dƩtails :

  1. Origine Ć©ducative : InspirĆ© de sessions de sensibilisation pour seniors, le projet est nĆ© dā€™un besoin de pĆ©dagogie plus concrĆØte.

  2. Simulation rĆ©aliste : Lā€™IA gĆ©nĆØre en temps rĆ©el des rĆ©ponses vocales en fonction des interactions de lā€™utilisateur.

  3. DĆ©ploiement rapide : PassĆ© dā€™un projet dā€™Ć©tudiants Ć  une entreprise active en 2 mois, avec premiers clients B2B dĆØs janvier 2025.

  4. Campagnes vishing personnalisƩes : Les entreprises peuvent tester leurs employƩs et leur envoyer des appels simulƩs par IA.

  5. Ɖvolution constante : Les scĆ©narios suivent lā€™actualitĆ© des scams (ex. Ć©lections), et le moteur vocal est entraĆ®nĆ© sur des voix locales.

Que faut-il en retenir ?

Virage dĆ©montre que lā€™innovation locale et la pĆ©dagogie immersive peuvent combler le maillon faible de la cybersĆ©curitĆ© : lā€™humain. Une rĆ©ponse intelligente Ć  une menace de plus en plus sociale et psychologique.

āš™ļø OpĆ©ration sĆ©curitĆ© numĆ©rique

CybersĆ©curitĆ© made in France ā€“Ā  pourquoi la souverainetĆ© devient vitale

La cyber-souverainetĆ© dĆ©signe la capacitĆ© dā€™un Ɖtat Ć  maĆ®triser ses infrastructures numĆ©riques, ses donnĆ©es et ses outils technologiques.Ā 

Face Ć  lā€™augmentation des cyberattaques, notamment envers les PME et Ć©tablissements publics, la France a lancĆ© un plan ambitieux pour renforcer sa cybersĆ©curitĆ© nationale.

Le plan a pour principal objectif de protĆ©ger les entreprises, crĆ©er des solutions locales, rĆ©duire la dĆ©pendance aux GAFAM et garantir le respect du RGPD. Cette stratĆ©gie sā€™appuie sur des enjeux politiques, Ć©conomiques, Ć©thiques, Ć©cologiques et stratĆ©giques.Ā 

La souverainetƩ numƩrique vise aussi Ơ limiter le Shadow IT, renforcer la cyberculture des entreprises, et affirmer la position de la France dans la cybersƩcuritƩ mondiale.

LIEUTENANT AU RAPPORT šŸ†

Patrowl : Le cyber-radar franƧais qui cartographie les menaces en temps rƩel

FondĆ©e en 2020, Patrowl est une start-up franƧaise spĆ©cialisĆ©e dans la gestion de la surface dā€™attaque externe (EASM). Elle propose une plateforme SaaS capable dā€™identifier en temps rĆ©el les vulnĆ©rabilitĆ©s exposĆ©es sur Internet, en dĆ©tectant les failles, les erreurs de configuration, les services oubliĆ©s ou les shadow IT. Patrowl sā€™adresse aux entreprises soucieuses de leur visibilitĆ© numĆ©rique et de la sĆ©curisation de leurs actifs web.

Faits marquants :Ā 

En mars 2025, Patrowl a Ć©tĆ© sacrĆ©e laurĆ©ate du Grand Prix de la Start-up Cyber lors du Forum InCyber. Il sā€™agit dā€™une distinction majeure qui rĆ©compense lā€™innovation dans la cybersĆ©curitĆ©. Ce prix met en lumiĆØre leur approche proactive de la dĆ©tection de surface dā€™attaque.

La start-up sā€™est distinguĆ©e par sa capacitĆ© Ć  dĆ©tecter automatiquement des actifs exposĆ©s sans intervention humaine, ce qui permet ainsi Ć  de nombreuses entreprises de corriger des failles de sĆ©curitĆ© avant quā€™elles ne soient exploitĆ©es. Ce succĆØs lui a permis de renforcer sa notoriĆ©tĆ© auprĆØs des grands comptes et des institutions publiques.

CYBERTRIVIA - LE SAVIEZ-VOUS ? šŸ¤”

Le mot de passe le plus utilisƩ ? Une blague... toujours pas drƓle

šŸ” Le savais-tu ? Le mot de passe "123456" est encore utilisĆ© par plus de 20 millions dā€™utilisateurs dans le monde.

Selon un rapport de NordPass en 2024, "123456" reste le mot de passe le plus utilisĆ© au niveau mondial, malgrĆ© des dĆ©cennies de campagnes de sensibilisation. Ce mot de passe peut ĆŖtre craquĆ© en moins dā€™une seconde par un script automatisĆ©. Cela souligne Ć  quel point lā€™erreur humaine demeure la plus grande faiblesse en cybersĆ©curitĆ©, mĆŖme Ć  lā€™ĆØre de lā€™intelligence artificielle et des outils de dĆ©tection avancĆ©e.

šŸšØ Quelle faille humaine reprĆ©sente selon vous le plus grand risque pour la cybersĆ©curitĆ© ?

Login or Subscribe to participate

šŸ‘‰ Votez et partagez votre point de vue avec la cybercommunautĆ© !

ā

Ne manquez aucune actualitĆ© cruciale en matiĆØre de cybersĆ©curitĆ©ā€Æ! Abonnez-vous dĆØs maintenant Ć  notre newsletter pour recevoir des analyses approfondies, des conseils d'experts et rester informĆ© des derniĆØres menaces et des solutions pour protĆ©ger votre entreprise.Ā  Ā« C'est pour vous tous les nouveaux : je n'ai quā€™une seule rĆØgle. Tout le monde se bat. Personne se barre Ā».

JE Mā€™ABONNE POUR RENFORCER MA DEFENSE CONTRE LES HACKERS šŸ›”ļø

Keep Reading

No posts found

Ā© 2026 CYBERDEFENSE.NET.

Report abuse

Privacy policy

Terms of use

Powered by beehiiv