Hamza Kondah's Recent LinkedIn Posts

🧠 Un seul éditeur pour gérer toute votre stack cybersécurité ? Moi, ça me fait flipper. 👾 Depuis plusieurs mois, on voit les grands éditeurs multiplier les acquisitions, empiler les briques technologiques, pour proposer ce qu’ils appellent une plateforme unifiée de sécurité ou une promesse d’un “guichet unique” ! 🫠 Mais est-ce que c’est vraiment ce dont on a besoin ? Je ne suis pas convaincu.... ⛩️  En fait, j’irais même plus loin : je pense que cette approche peut devenir un vrai piège à long terme .Car à trop vouloir tout centraliser, on oublie une chose essentielle : En cybersécurité, la diversité n’est pas un frein. C’est une force.... l'efficacité opérationnelle elle est importante. Mais la résilience l’est encore plus.  👁️‍🗨️ Avoir plusieurs briques, de différents éditeurs, c’est aussi avoir plusieurs angles, plusieurs moteurs de détection, plusieurs approches face aux menaces. Et surtout, c’est garder le contrôle sur sa stratégie, son architecture, ses choix.  🥶 Mais aujourd’hui, ce mouvement de fond pousse dans l’autre sens. On promet de la simplicité. Mais ce qu’on vend vraiment, c’est du vendor lock-in. Et une fois qu’on est enfermé dans un seul écosystème, qui décide encore de la priorité ? Vous ? Ou l’éditeur, ses actionnaires, sa roadmap produit ?  🚧 C'est clairement une perte de contrôle stratégique et une standardisation qui ignore vos spécificités !!!  👉 Je ne dis pas que tout doit être éclaté. Je dis juste qu’un système résilient n’est pas un système monolithique et que le confort ne doit jamais se faire au détriment de l’indépendance.  🎡Et vous, vous en pensez quoi ? Est-ce que cette tendance “un éditeur pour tout faire” vous rassure ?

🎙️ Si vous cherchez un rendez-vous hebdomadaire qualitatif autour de la tech, de l’IA et des systèmes à grande échelle, je vous recommande de jeter un œil à E-After Work hebdo (weekly) par Aziz IMGHARNE. 🎇 Le liens : https://lnkd.in/dFMzWchc 🌍 C’est un format bilingue (FR/EN) où interviennent chaque semaine des profils très variés : ingénieurs, chercheurs, founders, SRE, ainsi que des leaders data et IA. 🧠 Les discussions tournent autour de problèmes techniques réels auxquels les équipes font face aujourd’hui : scalabilité, gestion des coûts, sécurité, observabilité, IA générative ou encore mise en production. ⚙️ Ce que j’apprécie particulièrement :des échanges concrets, sans jargon inutile (sans bullshit), avec de vrais retours d’expérience et des insights directement applicables. 📚 Si vous aimez comprendre comment les équipes techniques résolvent des problèmes complexes dans le monde réel, le format vaut clairement le détour. 👀 N’hésitez pas à suivre E After Work Weekly si ce type de discussions vous intéresse.

🚨 Le 11 mars 2026, Stryker (un géant mondial des dispositifs médicaux ) s’est retrouvé quasiment à l’arrêt du jour au lendemain. Derrière l’attaque : un groupe hacktiviste lié à l’Iran, Handala, qui revendique une opération de type wiper à grande échelle. 📊 Les chiffres avancés sont probablement gonflés (comme souvent dans ce type de communication), mais l’impact est bien réel : des dizaines de milliers de devices touchés, des opérations à l’arrêt, et une organisation entière désynchronisée. 🧠 Là où ça devient vraiment intéressant, c’est sur le mode opératoire.On n’est pas sur un ransomware classique.On n’est pas sur un malware sophistiqué déployé massivement. 👉 Les attaquants auraient simplement compromis des accès administrateurs, puis utilisé Microsoft Intune pour envoyer des commandes de remote wipe à l’ensemble du parc. 🔍 Et c’est exactement ce qui rend ce type d’attaque compliqué à détecter : - Les actions viennent d’une infrastructure de confiance - Les logs ressemblent à des opérations d’administration classiques - Les outils de sécurité ne voient rien d’anormal 📱 Autre point critique : le BYOD. Des devices personnels enrôlés dans l’environnement pro ont été impactés : perte de données personnelles, apps d’authentification, eSIM… 🧠 Ce cas illustre très bien un shift qu’on observe de plus en plus sur le terrain : Les attaquants n’ont plus forcément besoin d’exploits complexes. Ils utilisent les fonctionnalités existantes, avec les bons accès. ❓ La vraie question n’est donc plus seulement : “Est-ce qu’on peut être compromis ?” Mais plutôt : “Qu’est-ce qu’un attaquant peut faire une fois à l’intérieur avec des accès légitimes ?”

🔁 Pour ceux qui suivent mes travaux sur EntraProtect, je viens de publier un petit script PowerShell maison… mais qui peut faire une vraie différence dans vos hunts ^^. 🛡️ EntraHunt est un outil open-source pour détecter les applications OAuth malveillantes dans vos tenants Microsoft Entra ID. 🔗 Le code est ici : https://lnkd.in/eJYinmfz 🧠 Pourquoi ? Parce que les attaques via apps OAuth explosent et les attaquants utilisent des applications pour : - exfiltrer des mails (ex : PERFECTDATA SOFTWARE) - contourner le MFA (ex : Tycoon 2FA kit) - persister dans l’environnement sans lever d’alerte - mener des campagnes APT (ex : COZY BEAR / APT29) ⚡ J’ai donc créé EntraHunt pour faciliter la vie des blue teams : - Scan automatique de vos Enterprise Apps + App Registrations - Croisement avec une base d’IOCs alimentée par EntraProtect.io - Détection de +17 apps malveillantes connues - Rapport HTML avec les utilisateurs affectés + recommandations - MàJ automatique de la base de menaces 💥 Résultat : vous passez de “j’ai un doute” à “j’ai un rapport complet” en quelques minutes. 💬 Vos retours sont bienvenus, et si vous l’utilisez en prod, je veux vos insights ! 👀

🚨 Le mois dernier, Wiz a publié un benchmark particulièrement intéressant sur les modèles d’IA appliqués à la cybersécurité offensive (lien du full report : https://lnkd.in/eerjidAV). 🧠 Ils ont évalué 25 combinaisons agent-modèle sur 257 challenges de sécurité afin de mesurer la capacité réelle des IA à trouver et exploiter des vulnérabilités. 🎯 Les tests couvrent plusieurs domaines clés de la sécurité offensive : Zero-day discovery, code vulnerabilities, API security, web security et cloud security. 💎 Lien : https://lnkd.in/epJk8wgf 🧪 Un point très intéressant dans leur méthodologie : les agents sont exécutés dans des conteneurs isolés, sans accès Internet, sans base CVE et sans ressources externes. 🔬 Autrement dit, l’idée était d’évaluer les capacités intrinsèques de chaque foundation model : l’IA doit raisonner seule, analyser le code et comprendre les vulnérabilités (tous les agents avaient accès aux debuggers pour le travail sur les binaires et aux cloud CLIs pour les tâches cloud). 🧑‍💻 De mon côté, j’ai aussi testé intensivement plusieurs modèles ces derniers mois sur des cas concrets en sécurité offensive et en analyse de vulnérabilités. Mon constat rejoint largement ce benchmark : Claude performe très bien, mais aucun modèle ne performe mieux que tous les autres sur l’ensemble des domaines. 📊 À noter que Claude Opus 4.6 reste aujourd’hui l’un des modèles les plus performants. Cela dit, le choix du foundation model reste très important, car il constitue en quelque sorte le cerveau de l’agent. L’agent développé joue également un rôle clé. Ainsi, la combinaison agent + foundation model reste déterminante. ❓ La question n’est donc plus vraiment : « Est-ce que l’IA peut aider en cybersécurité ? » ⚡ La vraie question devient plutôt : comment l’intégrer intelligemment dans un workflow sécurité. 🚀 Justement… 📅 Rendez-vous lundi pour le lancement de la formation la plus avancée sur l’Infosec & l’IA.

🔥 DetectFlow : et si la détection se faisait AVANT le SIEM ? 🤔La plupart des équipes exécutent leurs règles… dans le SIEM. Mais si on inversait la logique ? 🎯 DetectFlow est une Detection Execution Layer open source conçue pour traiter les événements de sécurité avant qu’ils n’atteignent un SIEM. DetectFlow consomme les logs Kafka en temps réel , applique des milliers de règles Sigma à la volée et enrichit chaque événement avec son Rule ID, son titre, sa sévérité et les techniques MITRE ATT&CK associées . 🔁Les événements sont ensuite envoyés déjà qualifiés et tagués vers le SIEM, l’EDR ou le Data Lake . Moins de charge côté SIEM , un Mean Time To Detect réduit et la capacité d’exécuter des dizaines de milliers de règles sans exploser les coûts d’indexation. 🔗 Source : https://lnkd.in/e-Smrn-g 💡Cette approche “shift-left” appliquée à la détection redessine complètement l’architecture d’un SOC moderne .

🚨 Les analystes d’ ANY.RUN observent une forte augmentation des campagnes de phishing exploitant le flux OAuth Device Code de Microsoft. 📊 Plus de 180 URLs de phishing ont été détectées en une seule semaine, ce qui montre une adoption rapide de cette technique par les attaquants. 🔐 Ce qui rend cette attaque particulièrement intéressante : on ne parle plus vraiment de vol de mot de passe, mais de vol de tokens d’authentification. Je n'arrêterais jamais de le répéter : Le durcissement Entra n'est pas un luxe (Je vous invite à suivre la nouvelle version du bootcamp Entra). 🧠 Le principe est assez simple : - L’attaquant initie lui-même une demande d’authentification via le flux Microsoft Device Authorization Grant - La victime reçoit un code de vérification sur une page de phishing (souvent déguisée en DocuSign ou validation de document) - Elle est ensuite redirigée vers la vraie page Microsoft pour se connecter et passer le MFA - En entrant ce code, elle valide en réalité la session de l’attaquant 🎯 Résultat : Microsoft délivre les tokens OAuth directement à la session de l’attaquant, et : - Aucun mot de passe n’est volé. - La connexion se fait sur un domaine Microsoft légitime. - Tout passe par HTTPS chiffré.... Autrement dit : les indicateurs classiques de phishing deviennent beaucoup moins efficaces. 📂 Concrètement, un attaquant peut rapidement accéder à : emails, documents internes, ressources partagées… et lancer des attaques BEC ou des mouvements latéraux. ❗Je vous rappel également mon outils (Une fois le refresh token récupéré, HadesHunter accède à Teams/Sharepoint/Onedrive, les analyse automatiquement, et remonte les secrets exposés avec un niveau de confiance et un score d’entropie.) : https://lnkd.in/eNinkqKq 📖 L’analyse complète : https://lnkd.in/dBnNDpEM

🔁 Reprise des posts LinkedIn avec un sujet trop peu discuté… mais pourtant critique : la sécurité autour des plateformes ITSM (et le manque cruel d'attention qu’on leur accorde). 🧠 Ces derniers mois, on l’a bien vu (tristement) : les attaquants ne "hackent" plus. Ils s’authentifient et les killchain ne fait plus que deux étapes. ☠️ Grâce aux leaks massifs de credentials (stealers, phishing, malwares…), ils cherchent les points les moins surveillés : - APIs sans restriction. - SaaS mal configurés. - Blob Storage ouverts. - Portails web sans MFA et plus encore... 🚨 Et parmi les vecteurs sous-exploités (mais plus pour longtemps), il y a les ITSM.Pour rappel, un ITSM (Jira, ServiceNow, GLPI…) est une plateforme qui permet de gérer les demandes, incidents et accès IT au sein d'une organisation. 😵‍💫 Et très souvent : Pas d’authentification forte, Pas de SSO, Pas de filtrage IP, Pas de surveillance active....Et un historique rempli d’infos ultra sensibles : mots de passe, fichiers de conf, accès VPN, logs internes… 📉 Chaque semaine, je tombe sur des identifiants ITSM exposés dans des leaks et ces plateformes sont rarement bien sécurisées... et l'ITSM peut devenir un point de compromission majeur s’il n’est pas traité sérieusement. ❓Et vous, vous faites des revues régulières de vos plateformes ITSM ? Ou ça reste "un sujet support" chez vous ? 👀

🧠 Je voulais vous partager une ressource qui traite un sujet encore méconnue… sur une pratique très courante, mais rarement questionnée en cybersécurité. Et pourtant, elle expose des accès sensibles tous les jours ... sans qu’on s’en rende compte. 👉 C’est l’usage des liens raccourcis pour partager des fichiers ou accès directs (SharePoint, OneDrive, Dropbox, Raw sur les serveurs etc.). Beaucoup le font. Par habitude. Pour aller vite. ⛩️ Mais en réalité… ces liens peuvent être scannés, indexés, retrouvés .... et exploités. 🎯 Le site : https://lnkd.in/ew_WDtAB permet de rechercher des URL raccourcies exposées publiquement (bit.ly, tinyurl, 1drv.ms…).Et ce qu’on y trouve est souvent… glaçant : - Des fichiers sensibles partagés en accès direct. - Des localisations privées. - Des accès à des interfaces admin. - Et même des Trello publics contenant des infos internes (si, si…).

🔁 Aujourd’hui, je voulais revenir sur un incident aussi discret que stratégique (et oui encore une attaque par supply chain) : le détournement du mécanisme de mise à jour de Notepad++, probablement par un groupe APT chinois, entre juin et décembre 2025. 🧠 Pour faire simple, des attaquants ont réussi à compromettre le fournisseur d’hébergement du site officiel de Notepad++., puis ont redirigé le trafic de mise à jour (WinGUp) vers des serveurs malveillants contenant des exécutables trojanisés. ⚠️ Parce que cette attaque n’exploitait pas une faille dans le code source de Notepad++, mais un manque de vérification d’intégrité dans l’outil de mise à jour sur les anciennes versions (avant 8.8.9). 🎯 Et surtout, elle montre une chose : Même un éditeur réputé, open-source, transparent… peut être pris pour cible dans une attaque supply-chain. 🛡️ Depuis, l’équipe a : - migré vers un hébergeur plus sécurisé - renforcé la vérification des signatures (v8.8.9) - publié des hash GPG publics pour les versions - annoncé une vérification stricte certificat + XML signés dès la v8.9.2 🔗 En complément, je vous partage aussi cette ressource utile par Florian Roth référence tous les hash cryptographiques des versions de Notepad++ depuis 2016 : https://lnkd.in/djpCz_mj 💬 Cet incident nous rappelle que la chaîne de confiance ne s’arrête pas au code. Elle passe aussi par l’hébergeur, les mécanismes de mise à jour, et la vigilance sur des choses aussi “basiques” qu’un XML de version.

Comment peut-on reconnaître qu’un binaire appartient à une même famille de malware, sans forcément l’analyser en profondeur, ni le désassembler complètement ? C’est là qu’intervient la classification de binaire : une approche qui repose sur les caractéristiques internes du code compilé, sa structure, ses fonctions, son empreinte, pour en extraire une sorte d’ADN technique. Ce webinar est une exploration des fondamentaux de la classification de binaires et de son utilité dans : - L’identification de familles connues ou de variantes - Le suivi de campagnes APT ou cybercriminelles - L’attribution technique dans une approche CTI - L’enrichissement d’enquêtes en IR ou en sandboxing - Le tri et l’analyse à grande échelle de binaires On parlera avec notre invité de marque, Stéfan LE BERRE, CEO d'Exatrack & Founder D'exalyze, de signatures structurelles, de similarité de code, de profilage de fonctions, de code reuse, et de ce que révèle vraiment un exécutable… même sans symboles ni accès au code source.

🧠 1 an de recherche, de terrain et d'obstination pour vous offrir la formation IA & Cybersécurité construite pour donner de vraies compétences : actionnables, concrètes, directement exploitables sur le terrain. Pas un survol. Pas de la théorie abstraite. Un programme pensé pour les praticiens, par un praticien. ⚔ Dans un monde où l'information noie le concret, j'ai fait un choix simple : zéro abstraction. Que des compétences que vous sortez de la formation et que vous appliquez dès le lendemain dans votre métier. En 13 modules vous découvrirez : - Comment fonctionnent réellement les LLMs et les agents autonomes - Comment construire vos propres applications IA et agents de sécurité (CTI, Pentest, Analyse de Malware, Analayse d'alertes/incidents SOC....) - Comment attaquer des systèmes GenAI : prompt injection, jailbreaks, exploitation MCP, pentest IA - Comment détecter et classifier les menaces IA avec des règles opérationnelles - Comment sécuriser vos environnements IA en production - Comment gouverner l'IA dans votre organisation : EU AI Act, NIST AI RMF, ISO 42001 🔗 Inscription : https://lnkd.in/dJXuSeED 👉 L'article complet est en dessous.

🚀 Après l’avoir éprouvé lors de mes tests d’intrusion, je publie officiellement OAuthBandit, un framework d’extraction et de validation de tokens OAuth Microsoft dédié aux missions de Red Team et aux tests d’intrusion. 🎯 Dans les environnements modernes, l’identité est devenue le nouveau Graal. Lorsqu’un utilisateur s’authentifie à Microsoft 365, Azure AD, Teams ou OneDrive, des tokens OAuth sont stockés localement sur son poste Windows. 🔐 Ces tokens permettent l’accès aux ressources cloud sans mot de passe, ne redéclenchent pas de MFA une fois émis et peuvent rester valides après un changement de mot de passe .... tout en étant rarement monitorés finement. ⚡ Dans un scénario post-compromise, cela signifie qu’un simple accès à un poste utilisateur peut se transformer en accès direct au tenant cloud. 🔗 Lien : https://lnkd.in/ev47g96P 🔍 OAuthBandit automatise la chaîne post-compromise liée aux tokens Microsoft en trois étapes clés : 1️⃣ Extraction : Recherche des tokens dans 7 caches locaux (TokenBroker, WAM, Azure CLI, PowerShell, MSAL, VS Code, Credential Manager), déchiffrement via DPAPI, AES-GCM et CMS, puis extraction des Access Tokens, Refresh Tokens, ID Tokens et credentials applicatifs. 2️⃣ Validation : Analyse de la validité et de l’expiration, identification des scopes et permissions, détection des rôles Azure AD (Global Admin, Security Admin, etc.) et test d’échange FOCI pour mesurer l’accès transversal aux services Microsoft. 3️⃣ Persistance : Enregistrement MFA, création d’App Registration, mise en place d’une redirection mail et extraction distante via SMB/WMI pour effectuer du mouvement latéral. 🧩 Le tout en contexte utilisateur, via des APIs Windows légitimes, avec un comportement indiscernable des applications Microsoft et du coup... complètement non détecté par les EDR. 🙏 Un grand merci à Stéfan LE BERRE pour son appui et à Mickaël Benassouli pour ses retours. 💬 Qu’en pensez-vous ?

🎯 L’un des plus grands défis aujourd’hui est le détournement de domaines et de services légitimes pour héberger des pages frauduleuses. 🌐 GitHub, plateformes cloud, services de partage… des environnements de confiance deviennent des supports de phishing redoutables. 🛡️ Cette stratégie fonctionne parce qu’elle s’appuie sur la réputation et la légitimité des domaines utilisés. Un certificat valide, un domaine populaire, une URL familière… et la vigilance baisse. 🎭 Le phishing ne ressemble plus à un site douteux, il ressemble à un service que tout le monde utilise. 👥 Toujours intéressant pour les analystes et les équipes de défense de connaître ces mécanismes et ces ressources afin d’adapter leurs stratégies de détection. 📚 Le projet LOTS documentent l’abus d’outils légitimes côté système : https://lots-project.com/ ➕ Et en complément, vous y retrouverez les sites et services légitimes pouvant être détournés pour du C2 ou de l’exfiltration.

🚨 Ça commence à sentir très mauvais côté supply chain… et ce n’est que le début du cauchemar. 🧠 TeamPCP vient de compromettre des GitHub Actions chez Checkmarx, après l’attaque sur Trivy qui a déjà fait pas mal de dégâts. 👉 Et je ne sais pas si vous vous rendez compte, mais on est en train de voir un shift majeur… que beaucoup sous-estiment encore. 🔐 Le mode opératoire est simple… avec une kill chain en deux phases : - Vol de credentials CI/CD (principalement via des stealers, puis réutilisation de ces accès pour compromettre d’autres repos) - Injection de code malveillant dans des workflows légitimes - Exfiltration massive de secrets (AWS, GCP, Azure, SSH, tokens GitHub, etc.) 👉 Le résultat est assez catastrophique : on observe notamment une compromission en cascade de toute la supply chain. 📊 On n’est plus sur des accès isolés : On parle de stocks massifs de tokens valides et de secrets réutilisables et avec une utilisation non responsable côté cyber, cela ne fait qu’augmenter l’impact, pendant que les stealers continuent d’évoluer et de s’améliorer. 🔗 Le problème est bien plus profond qu’un simple stealer qui vole des données (comme dirait Alon Gal)...On parle d’architecture, de mesures de base comme le MFA, des CAs, de la gestion des tokens, et surtout d’un modèle de confiance totalement cassé dans une supply chain hyper interconnectée. 🧠 Les attaquants ne hackent plus… ils s’authentifient 🙂

🔐Retrouvez-moi dans un webinar coorganisé avec les équipes d’ Elastic pour discuter d’un sujet que beaucoup d’organisations rencontrent aujourd’hui : la réinternalisation du SIEM. 🛡️Face à l’évolution des menaces, la qualité de l'externalisation et aux contraintes réglementaires, de plus en plus d’entreprises cherchent à reprendre le contrôle de leur détection et de leurs données de sécurité. 📅 19 mars 2026 ⏰ 10h30 – 11h45 🔗 Lien d’inscription : https://lnkd.in/e3RSMT6M ⚠️Mais dans la pratique, les projets SIEM restent parmi les plus complexes à réussir. 🎯 Mauvaise définition des besoins SOC, dépendance à l’intégrateur, coûts d’ingestion imprévus ou encore exploitation limitée des données collectées. Lors de ce webinar, nous partagerons un retour d’expérience concret autour de la mise en place et de la réinternalisation d’une plateforme SIEM mais aussi 👾Nous détaillerons notamment l’apport des capacités modernes d’Elastic 9.3 dans les usages sécurité : normalisation, détection, investigation et automatisation. Au plaisir d’échanger avec vous pendant ce webinar. 🤝

Ce webinar a pour objectif de présenter les meilleures pratiques recommandées pour la création, la configuration et la gestion des comptes Break Glass dans les environnements Entra ID (Azure AD), Microsoft 365 et Active Directory. L’accent sera mis sur les choix techniques concrets, les paramétrages recommandés, et les standards à appliquer afin d’éviter les erreurs courantes et les configurations à risque.

🎯 Les attaquants sont de plus en plus fins, de plus en plus impactants…et ciblant de plus en plus nos Helpdesk ... 🔍 Ces derniers mois, plusieurs attaques ont ciblé les équipes helpdesk comme point d’entrée : - Celle de MGM Resorts, où l’ingénierie sociale a suffi pour reset un accès. admin... - Ou encore celle de Okta, via un fournisseur support... 📞 Dans une nouvelle vague, c’est Microsoft Teams qui est utilisé comme cheval de Troie. L’attaquant appelle en se faisant passer pour un admin IT et convainc l’utilisateur d’ouvrir QuickAssist (une feature Microsoft, à disable si vous ne l'utilisez pas). 🕑 Et 10 minutes plus tard, un faux "updater" est lancé… la compromission est en route.Résultat : un malware .NET fileless, injecté en mémoire via reflection, sans laisser de trace disque. C’est fluide, propre, et presque invisible. 💡 Le problème n’est pas (que) technique. Les équipes helpdesk : - répondent à tout le monde - ont des accès étendus - ne remettent pas toujours en question les demandes "urgentes" - ne sont pas toujours sensibilisés aux risques d'ingénierie social. 🚨 Former et protéger le helpdesk, c’est aujourd’hui protéger l’ensemble de l’organisation. 🎯 Sans oublier l'importance du durcissement des configurations (surtout by default), la révision des accès et le fameux principe du least privilege dont en parle depuis... toujours. 🙏 Force aux équipes Helpdesk et tout mes respects pour votre travail... un des piliers de n'importe quelle entreprise.

🚀 On passe souvent trop de temps à recouper les infos, enrichir manuellement, croiser des indicateurs sans avoir de vision claire... jusqu’à ce que tu tombes sur un outil comme Validin (exceptionnel pour le pivoting en Cyber Threat Intelligence) 💥 Ce n’est pas juste une base de données .... c’est une véritable plateforme d’investigation CTI qui te permet de : • Pivoter intelligemment entre IP, domaines, certificats, ASN, etc. • Reconstituer les infrastructures malveillantes dans leur ensemble. • Accéder à des données DNS historiques et OSINT enrichies. • Relier les points entre les menaces, campagnes, clusters, comportements. • Gagner un temps fou grâce à une API simple et bien pensée. 🎯 Ce que j’adore avec Validin : → L’expérience est fluide, pensée pour l’analyste qui enquête vraiment. → L’outil te pousse à aller plus loin dans tes hypothèses. → Tu ne restes jamais bloqué !!!! tu pivotes, tu creuses, tu exploses les silos. 🔗 Lien : https://www.validin.com 👉 En clair : si tu bosses dans un SOC, en threat hunting, ou tout simplement si tu fais de l’analyse sérieuse… tu DOIS tester cet outil....tu verras vite pourquoi "ouvrir Validin" devient un réflexe !

🚨 Les infostealers ne volent plus que vos mots de passe.... Ce qu'un Vidar stealer a exfiltré cette semaine, c'est l'intégralité de l'identité numérique d'un agent IA personnel : clés privées, tokens de session, et la mémoire complète de l'assistant ... messages privés, calendrier, logs d'activité quotidienne. Tout. 🚧 Le scénario qu'on redoutait vient de se concrétiser. Et le pire ? Le stealer n'avait même pas de module dédié. Il est tombé dessus par hasard. Voici ce qui s'est passé. 👇

🔍 J'ai utilisé un simple fichier comme vecteur de threat hunting. Résultat : 203 serveurs exposés, des centaines de secrets en clair. 📄 Le fichier CLAUDE.md - généré automatiquement par Claude Code à la racine de chaque projet - m'a servi de marqueur pour identifier des environnements de développement entiers accessibles publiquement sur Internet. Sans authentification. Sans restriction. 🔓 Ce que j'ai trouvé derrière ces expositions: des clés AWS, des tokens GitHub, des clés SSH privées, des dumps SQL, des clés API Anthropic, Supabase, SendGrid, Azure OpenAI… le tout en clair, indexé par Zoomeye, Censys ou encore Shodan. ⚠️ Ce n'est pas un problème de Claude. C'est un problème de posture de sécurité. L'IA accélère la création de projets, mais pas l'adoption des bonnes pratiques. Et cet écart est en train de devenir une mine d'or pour les attaquants. ⚡ Des formations et contenus approfondis sur le sujet arrivent très bientôt. Stay tuned. 👇 Article complet ci-dessous.

🧠 Petit rappel pour bien démarrer 2026 ! Demain à 18h ⏰, je vous retrouve en live pour notre webinar : “Code reuse & Malware DNA : La classification au service des analystes” 👉 Au programme, on s’attaque à un vrai défi du terrain : Comment classifier un binaire, identifier une famille de malware ou reconnaître un code déjà vu, sans tout désassembler ? On parlera de : 🧬 Similarité de code (Bindiff, hashes, Yara, Zubat…) ⚙️ Analyse macro avec les capabilities et les séquences d’Exalyze 🧩 Et surtout : comment ces approches aident les analystes à gagner du temps et à mieux prioriser ? 🔗 N’hésite pas à t’inscrire ou à passer demain à 18h 👇