- Erreur 403
- Posts
- Erreur 403 | #24
Erreur 403 | #24
Fraudes BEC ciblant les locataires français, fuite massive de captures d’écran chez WorkComposer, attaques exploitant OAuth sur M365, tentative d’infiltration nord-coréenne déjouée chez Kraken, vulnérabilités critiques dans AirPlay et Commvault, sujets juridiques autour des VPN et des logs IP, la CNIL veut imposer le MFA pour les grandes bases de données, etc.
Bastien Cacace
7th mai 2025
Sommaire
Infos
Proofpoint a identifié un nouvel acteur malveillant spécialisé en fraude BEC (Business Email Compromise), nommé TA2900, qui opère principalement en français. Ce groupe cible les locataires en France et parfois au Canada en envoyant des emails frauduleux qui prétendent que le paiement du loyer n'a pas été reçu et que les coordonnées bancaires ont changé.
Google déploie une mise à jour pour Android qui introduit un redémarrage automatique après 3 jours d'inactivité. Cette fonctionnalité améliore la sécurité, car un appareil dans l'état "Before First Unlock" (BFU) reste chiffré, rendant les données difficilement accessibles, même pour des outils avancés d’extraction. Inspiré d’une fonctionnalité iOS, ce changement vise à limiter l’exposition des données personnelles sur un téléphone inutilisé.
L'Internet Crime Complaint Center (IC3) du FBI révèle dans son rapport annuel 2024 une augmentation alarmante des cybercrimes, avec 859 532 plaintes enregistrées et des pertes financières atteignant 16,6 milliards de dollars, soit une hausse de 33% par rapport à 2023. Les personnes de plus de 60 ans restent les plus touchées (4,8 milliards de pertes). Les fraudes liées aux investissements, au support technique et aux compromissions d'emails professionnels dominent les attaques.
L'histoire de Yegor Sak, co-fondateur de Windscribe (VPN), illustre les défis qu'affrontent les VPN en matière de confidentialité. Accusé personnellement d'un crime commis par un utilisateur via un serveur VPN en Finlande, il a passé presque deux ans à se défendre en Grèce, malgré l'absence de logs en raison de la politique stricte de non-conservation de données de Windscribe.
Les entreprises de cybersécurité, telles que SentinelOne, font face à des attaques de plus en plus nombreuses, allant d'opérations étatiques ciblées à des campagnes criminelles sophistiquées :
Insiders nord-coréens (tentatives d'infiltration par de faux candidats IT nord-coréens)
Groupes de ransomware et exploitation de produits de sécurité
Cyberespionnage chinois (ex. PurpleHaze, APT15 et APT41)
L'équipe Kali Linux a dû générer une nouvelle clé de signature pour leurs dépôts suite à la perte d'accès à l'ancienne clé. Cette situation provoque l'échec de la commande apt update sur tous les systèmes Kali avec un message d'erreur. Pour résoudre ce problème, les utilisateurs doivent télécharger et installer manuellement la nouvelle clé.
Des groupes d'attaquants russes (UTA0352 et UTA0355) mènent depuis mars 2025 une campagne de phishing sophistiquée ciblant des organisations liées à l'Ukraine. Via Signal et WhatsApp, ils se font passer pour des responsables européens et invitent leurs cibles à des réunions fictives. Leur technique consiste à exploiter les workflows OAuth légitimes de Microsoft 365, notamment via Visual Studio Code et le service d'enregistrement d'appareils.
La célèbre application de surveillance des employés WorkComposer a laissé 21 millions de captures d’écran accessibles sur un bucket Amazon S3 non protégé, selon les chercheurs de Cybernews. Ces photos, prises toutes les 20 secondes, révèlent potentiellement des communications sensibles, des identifiants, des données propriétaires, etc. La société compte 200 000 de clients.
Microsoft célèbre le premier "World Passkey Day". L'entreprise renforce son virage vers l'authentification sans mot de passe en rendant les nouveaux comptes Microsoft "passwordless by default". Microsoft rappelle l'urgence de cette transition face aux 7000 attaques par seconde ciblant les mots de passe.
La Cour de cassation a jugé que l'exploitation des fichiers de journalisation contenant des adresses IP internes pour identifier un salarié constitue un traitement de données personnelles nécessitant son consentement explicite. Cette décision renverse celle de la Cour d'appel d'Agen qui distinguait les adresses IP de réseau local des données personnelles.
Le Centre national de cybersécurité britannique (NCSC) vient de publier un livre blanc sur la "cryptographie avancée", qui englobe des techniques comme le chiffrement homomorphique, le chiffrement basé sur les attributs, les preuves à divulgation nulle de connaissance et le calcul multipartite sécurisé.
Kraken, une plateforme d'échange de cryptomonnaies, a révélé avoir identifié puis délibérément fait avancer dans son processus de recrutement un hacker nord-coréen qui tentait d'infiltrer l'entreprise. Les équipes de sécurité ont repéré plusieurs signes suspects : changement de nom pendant l'entretien, voix qui alternait (suggérant un coaching en temps réel), et utilisation d'une adresse email figurant sur une liste d’attaquants nord-coréens connus. Ce nouveau risque a fait l’objet de discussion à la RSA Conference de San Francisco.
Des chercheurs en cybersécurité ont découvert une nouvelle campagne ciblant les sites WordPress avec un malware déguisé en plugin de sécurité. Nommé "WP-antymalwary-bot.php", ce faux plugin offre aux attaquants un accès administrateur complet et des capacités d'exécution de code à distance via l'API REST.
Des chercheurs de Sansec ont identifié une importante attaque de la chaîne d'approvisionnement touchant plusieurs fournisseurs d'extensions e-commerce. Une même backdoor a été trouvée dans 21 applications différentes provenant de Tigren, Meetanshi et MGS. Curieusement, ce malware a été injecté il y a 6 ans, mais n'a été activé qu'à partir du 20 avril 2025. Entre 500 et 1000 boutiques seraient affectées, dont une multinationale valorisée à 40 milliards de dollars.
Suite à son rapport 2024 qui souligne une forte hausse des fuites de données, la CNIL envisage de rendre obligatoire la double authentification pour les organisations détenant des bases de données de plus de 2 millions de personnes.
Selon le rapport 2025 de Chainalysis sur la criminalité liée aux cryptomonnaies, le crime organisé adopte rapidement les crypto-actifs mais avec une expertise technique souvent rudimentaire. Cette situation offre une opportunité unique aux forces de l'ordre. Les cartels de drogue mexicains utilisent des cryptomonnaies pour payer des fournisseurs chinois de précurseurs de fentanyl sans techniques d'anonymisation complexes. Le trafic d'espèces protégées et le piratage IPTV exploitent également ces méthodes de paiement. Les chercheurs notent une inquiétante tendance à la violence physique pour extorquer des cryptomonnaies, incluant enlèvements et séquestrations.
Vulnérabilités
11 vulnérabilités critiques notamment dans IBM QRadar SIEM (CVE-2025-24813 / CVSS 9.8) permettant l'exécution de code à distance (exploitée), Tenable Identity Exposure (CVE-2025-32433, CVSS 10) avec un code d'exploitation public disponible. À noter également que le CERT-FR a émis une alerte concernant SAP NetWeaver (CVE-2025-31324), vulnérabilité activement exploitée permettant le téléchargement de fichiers arbitraires et l'exécution de code à distance sans authentification.
Des chercheurs d'Oligo Security ont découvert une série de vulnérabilités critiques dans le protocole AirPlay d'Apple, baptisées "AirBorne". Ces failles, telles que la CVE-2025-24252 et la CVE-2025-24132 permettent notamment une exécution de code à distance sans interaction utilisateur (zero-click RCE), et sont exploitables sur des millions d'appareils Apple et tiers prenant en charge AirPlay. Les vulnérabilités exploitent des faiblesses dans le parsing des fichiers plists, un format de données utilisé par le protocole AirPlay. Apple a publié des correctifs pour ces 17 CVE.
Une vulnérabilité critique permettant une exécution de code à distance a été identifiée dans la solution de sauvegarde Commvault (CVE-2025-34028 / CVSS 10). La faille impacte l'endpoint /commandcenter/deployWebpackage.do qui permet à un attaquant d'envoyer une requête HTTP malveillante pour déclencher une SSRF, forçant le serveur à télécharger un fichier ZIP contenant du code malveillant depuis un serveur externe. Ce code peut ensuite être exécuté sur le serveur Commvault sans authentification. La CISA a ajouté la vulnérabilité à son catalogue des vulnérabilités activement exploitées (KEV) le 2 mai 2025.
| Vulnérabilité | Editeur | Produit | Occurence | Sévérité |
|---|---|---|---|---|
| CVE-2025-22457 | Ivanti | Connect Secure | 188 | 9 |
| CVE-2025-32433 | erlang | otp | 119 | 10 |
| CVE-2025-31324 | SAP | SAP NetWeaver | 101 | 10 |
| CVE-2025-31161 | CrushFTP | CrushFTP | 108 | 9.8 |
| CVE-2025-29824 | Microsoft | Windows 10 Version 1809 | 85 | 7.8 |
| CVE-2025-24054 | Microsoft | Windows 10 Version 1809 | 79 | 6.5 |
| CVE-2025-30406 | Gladinet | CentreStack | 64 | 9 |
| CVE-2025-24200 | Apple | iPadOS | 61 | 6.1 |
| CVE-2017-18368 | ZyXEL | p660hn-t1a_v1, p660hn-t1a_v2, 5200w-t | 60 | 9.8 |
| CVE-2015-2051 | dlink | dir-645 | 60 | 8.8 |
Articles
Une technique inédite de phishing exploite le Device Code Flow pour compromettre les comptes protégés par FIDO. L'attaque automatise le processus grâce à un navigateur headless qui génère un code d'appareil dès que la victime clique sur un lien malveillant, la redirigeant instantanément vers la page d'authentification légitime. Cette méthode élimine la contrainte des 10 minutes de validité du token et ne nécessite aucune saisie manuelle de code. La seule solution efficace est de désactiver le Device Code Flow, notamment sur Azure Entra. Un outil est disponible ici.
Une analyse approfondie du relais Kerberos comme alternative au relais NTLM. Cette technique exploite l'interception d'un message AP-REQ pour usurper l'identité d'un utilisateur légitime, et fonctionne principalement via deux vecteurs d'attaque : l'usurpation de résolution DNS et la manipulation de SPN (Service Principal Name).
L'équipe Sekoia TDR a surveillé une infrastructure exploitant les tunnels Cloudflare pour distribuer des chevaux de Troie d'accès à distance (RATs). L'article détaille une chaîne d'infection AsyncRAT particulièrement complexe débutant par un email de phishing avec pièce jointe windows-library+xml puis l’exécution de scripts jusqu'à l'injection dans notepad.exe et l'établissement de la persistance.
Une recherche révèle que le protocole RDP de Windows continue d'accepter des mots de passe révoqués même après leur changement. Le chercheur a découvert que lorsqu'un utilisateur configure l'accès à distance avec un compte Microsoft ou Azure, les anciens mots de passe restent valides indéfiniment pour les connexions RDP. Microsoft a confirmé qu'il s'agit d'une "décision de conception" pour éviter que les utilisateurs ne soient bloqués.
Cette analyse de la fonctionnalité "Elevate Access" d'Azure, un mécanisme qui accorde aux administrateurs globaux le rôle "User Access Administrator" au niveau du scope racine. Contrairement aux idées reçues, ce niveau de permissions ne s'applique pas au "Root Management Group", mais bien au niveau supérieur et offre un contrôle total de l'environnement Azure.
L'article révèle d'importantes lacunes dans les journaux d'activité de Microsoft 365, compromettant la capacité des équipes de sécurité à détecter et analyser les potentielles attaques. Grâce à l'outil msInvader, les tests démontrent que de nombreuses actions critiques restent invisibles dans les logs, notamment l'énumération d'utilisateurs via l'API Graph, les tentatives d'élévation de privilèges échouées et certaines requêtes bloquées.
L'équipe de sécurité de Darktrace a documenté une campagne sophistiquée de phishing utilisant le kit Tycoon 2FA et l'application légitime Milanote. Cette attaque Adversary-in-the-Middle (AiTM) intercepte les jetons d'authentification et contourne la MFA en capturant les cookies de session.
Cet article détaille les aspects essentiels de la forensique USB à travers un challenge pratique. L'auteur montre comment extraire méthodiquement des informations cruciales, comme le numéro de série, la lettre de lecteur, le système de fichiers, les partitions, et l'historique de connexion d'un périphérique USB.
Outils
Hetty est un proxy HTTP dédié aux tests de sécurité web, écrit en Go, avec une interface simple, rapide, qui se veut économe en ressource.
PowerView.py est une réimplémentation en Python du populaire script PowerView.ps1, conçue pour l'énumération Active Directory. Son principal avantage est d'offrir une session interactive qui évite de s'authentifier répétitivement au serveur LDAP.
Le Eventlog Compendium est une application SaaS qui sert de guide de référence pour la blue team ayant besoin de rechercher des Journaux d'événements Windows (Event Logs) pour des analyses ou des déploiements de stratégies.
Chronos est une extension légère de noyau apportant des capacités EDR aux systèmes embarqués temps réel.
Rulehound est une application SaaS open-source qui indexe les règles de détection provenant de plusieurs référentiels open-source (Splunk Security Content Rules, Elastic Detection Rules, Panther Rules, Sigma Rules et Anvilogic Forge Rules)
Suzaku est un outil open-source de threat hunting et de génération de chronologie forensique pour les logs cloud. Actuellement en développement actif, il supporte nativement les détections Sigma pour les logs AWS CloudTrail, avec Azure et GCP prévus ultérieurement.
Cet outil nommé "DocEx APT Emulation" permet l'exfiltration discrète de fichiers sensibles tels que .docx, .pptx, .xlsx et .pdf. Cet outil exploite les WebHooks de Discord pour transmettre les données exfiltrées.
Ce dépôt contient des serveurs Model Context Protocol (MCP) permettant aux clients comme Claude Desktop d'accéder aux services de sécurité de Google : Google Security Operations (Chronicle) pour la détection de menaces, SOAR pour l'automatisation, Google Threat Intelligence (GTI) pour le renseignement sur les menaces, et Security Command Center (SCC) pour la gestion des risques cloud.
NimDump est un portage en Nim de l'outil NativeDump, conçu pour extraire le processus LSASS en utilisant uniquement des fonctions NTAPI. NimDump fonctionne sur les versions récentes de Windows 10/11 et contourne de nombreux EDR, bien qu'il soit inefficace face à la protection PPL.
Podcasts
🎧️ NoLimitSecu : Référentiels de vulnérabilités
Conférences / Salons
🗓️ ESIEA Secure Edition - Le 17 mai 2025 à Paris, France
🗓️ BotConf - Du 20 au 23 mai 2025 à Angers, France
Misc
Cet article met en lumière les pratiques obsolètes de Docker datant de 2015 qui persistent malgré l'évolution de l'outil. L'auteur critique notamment l'utilisation du champ version: dans docker-compose.yml, l'absence de healthchecks, l'exécution en tant que root, l'absence de .dockerignore et les Dockerfiles mono-étape trop volumineux.
Lors d'une discussion avec Mark Zuckerberg à la conférence LlamaCon de Meta, Satya Nadella a révélé que 20% à 30% du code dans les dépôts Microsoft est désormais généré par l'IA.
DeepWiki est un outil open-source qui génère automatiquement des wikis complets et interactifs pour tout dépôt GitHub, GitLab ou BitBucket. En analysant le code source avec l'IA, il crée une documentation complète, des diagrammes Mermaid explicatifs et organise le tout en wiki navigable.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien