Anthropic dément un faux message viral de bannissement de Claude

Un faux message prétendant que Claude « a signalé des utilisateurs aux autorités » circule et sème la panique ; Anthropic confirme qu’il s’agit d’un deepfake textuel non authentique, rappelant l’importance de vérifier les sources avant de croire ou relayer ce type d’alertes. Cet épisode illustre à quel point la désinformation exploitant les IA génératives peut dégrader la confiance dans les services légitimes.
[Article Original]

Des hackers exploitent des proxys mal configurés pour voler l’accès à des IA payantes

Des cybercriminels scannent Internet à la recherche de proxys d’entreprise mal configurés, afin de les utiliser comme passerelles gratuites vers des services LLM payants (ChatGPT, Claude, etc.). Au-delà du coût, ces détournements exposent les logs et contenus de requêtes internes, pouvant révéler des données sensibles ou du code propriétaire.
[Article Original]

Des zero‑days VMware ESXi exploités par un groupe lié à la Chine depuis près d’un an

Des vulnérabilités zero‑day dans VMware ESXi auraient été activement exploitées bien avant leur divulgation officielle, notamment par un groupe d’attaque lié à la Chine pour s’échapper des machines virtuelles et compromettre les hyperviseurs. Les environnements de virtualisation non corrigés se retrouvent ainsi exposés à des compromissions à fort impact (vol de données massives, mouvements latéraux, ransomwares).
[Article Original] 

APT28 (Russie) mène une vaste campagne de vol d’identifiants dans l’énergie et les politiques publiques

Le groupe APT28, affilié à la Russie, conduit une campagne mondiale de vol de mots de passe visant des organisations de l’énergie, de la politique publique et d’autres secteurs critiques. En combinant phishing ciblé, infrastructure d’attaque distribuée et exploitation de services légitimes, ces opérations renforcent le risque d’espionnage stratégique et de sabotage.
[Article Original]

Le FBI alerte sur des campagnes de phishing par QR codes menées par la Corée du Nord

Le FBI met en garde contre des campagnes de spear‑phishing nord‑coréennes utilisant des QR codes malveillants qui redirigent vers des pages de vol d’identifiants ou déclenchent des téléchargements malicieux. Cette technique contourne les filtres classiques d’e‑mail et exploite la confiance dans les QR codes imprimés ou intégrés dans des documents.
[Article Original]

Key Cybersecurity Threats

Hyperviseurs et infrastructures de virtualisation comme point de rupture majeur

Les campagnes exploitant des zero‑days dans VMware ESXi montrent que les hyperviseurs deviennent une cible prioritaire pour les groupes étatiques. Une compromission au niveau ESXi donne accès à l’ensemble des VM hébergées, permettant :

• exfiltration massive de données,
• rebond latéral dans tout le SI,
• déploiement de ransomwares ou backdoors persistants.

Priorités concrètes : inventaire des hyperviseurs, application immédiate des correctifs, segmentation réseau forte autour des hôtes ESXi, supervision spécifique des logs hyperviseur.

Détournement et abus de services d’IA (LLM) via proxys, extensions et intégrations mal sécurisées

Plusieurs signaux forts convergent cette semaine : proxys mal configurés servant de passerelles gratuites vers des LLM payants, extensions Chrome « IA » malveillantes volant les données de 900 000 utilisateurs, attaques zero‑click et prompt injection sur les assistants avec mémoire. Le risque n’est plus seulement le vol de clés API, mais aussi la fuite des prompts, des documents internes et des données personnelles via des canaux difficiles à tracer. Priorités concrètes : inventaire des usages IA (SaaS, extensions, plugins), gouvernance des clés API, interdiction ou contrôle strict des extensions navigateurs IA, durcissement des proxys et sorties Internet.

Phishing augmenté (deepfakes, QR codes, plateformes sociales) visant les identifiants et l’ingénierie sociale

Entre les deepfakes de messages d’IA, les QR codes piégés et les campagnes sophistiquées d’APT (Russie, Corée du Nord, Chine), l’angle d’attaque reste l’humain et ses identifiants. Les outils de détection deepfake ne suivent pas encore la cadence, et les indicateurs classiques (fautes, mauvaise qualité) deviennent moins fiables. Priorités concrètes : généralisation de l’authentification multifacteur, formation ciblée sur les nouveaux vecteurs (QR, IA, deepfakes), procédures de vérification hors bande pour toute demande sensible, monitoring renforcé des connexions anormales (géographie, horaires, appareils).

Citation cybersécurité de la semaine

« En cybersécurité, le plus grand risque n’est pas la technologie, mais la confiance aveugle que nous lui accordons. »

Conseil de la semaine

Durcissez vos “bords flous” : proxys, extensions navigateur et consoles d’administration. Cette semaine montre que les attaques ne passent plus seulement par les serveurs exposés classiques, mais par :

• des proxys mal configurés,
• des consoles d’administration (ESXi, Apex Central, HPE OneView) oubliées ou peu surveillées,
• des extensions “IA” séduisantes mais malveillantes.

Actions pratiques à engager dès maintenant :

Audit des proxys et sorties Internet

• Vérifiez qui peut sortir vers quels services (OpenAI, Anthropic, etc.).
• Désactivez l’authentification anonyme sur les proxys et surveillez les flux inhabituels (volumes anormaux vers des APIs d’IA).

Revue des consoles d’admin critiques

• ESXi, appliances de sécurité, consoles EDR/AV, outils de gestion (Apex Central, HPE OneView…).
• Vérifiez patchs, MFA obligatoire, accès via bastion ou VPN uniquement, et journaux centralisés.

Hygiène des navigateurs et extensions

• Dressez la liste des extensions autorisées, bloquez les autres via GPO/MDM.
• Interdisez les extensions “IA” non validées par l’IT et sensibilisez à la fuite de données via ces outils.