- Erreur 403
- Posts
- Erreur 403 | #26
Erreur 403 | #26
Cyberattaque paralysante sur les Hauts-de-Seine, vol de données clients chez Dior, vulnérabilités critiques SAP NetWeaver et Ivanti EPMM activement exploitées jusqu'au cloud, corruption d'employés Coinbase pour une rançon de 20M$, campagne d'espionnage russe RoundPress ciblant les webmails, dispositifs cachés dans les onduleurs solaires chinois, etc.
Bastien Cacace
22nd mai 2025
Sommaire
Infos
L'ANSSI et le COMCYBER français ont terminé deuxièmes de l'exercice international de cyberdéfense Locked Shields 2025, organisé par le CCDCOE de l'OTAN en Estonie du 28 avril au 9 mai. Cette compétition, la plus importante au monde, a rassemblé 4 000 spécialistes de 41 nations pour tester leurs capacités de réponse à incidents cyber sur infrastructures critiques. L'équipe franco-polonaise, renforcée par des étudiants de l'EPITA, ENSIBS, École 2600 et ESGI, a démontré l'efficacité de la coopération bilatérale initiée en 2022, renforçant les liens stratégiques, tactiques et opérationnels entre les deux pays.
Le 20 mai dernier, le département des Hauts-de-Seine a annoncé sur ses réseaux sociaux avoir été victime d'une cyberattaque majeure, entraînant l’arrêt de l'ensemble de ses systèmes d'information et moyens de communication pour une durée indéterminée. Si le site officiel reste accessible, le portail des subventions e-partenaires est hors service. Peu d’information supplémentaire est accessible à l’heure actuelle.
Une campagne de phishing abuse du mécanisme de redirection /travel/clk de Google pour contourner la confiance des utilisateurs. Ce endpoint du service Google Travel redirige vers n'importe quelle URL via le paramètre pcurl, protégé par un token cryptographique qui semble ne jamais expirer. Les chercheurs ont découvert qu'un même token utilisé en avril 2025 était déjà exploité en février, et qu'un token de 2023 fonctionne encore aujourd'hui. Cette vulnérabilité de redirection ouverte permet aux attaquants d'exploiter la réputation de confiance du domaine google.com pour leurs campagnes malveillantes.
La maison de luxe française Dior a confirmé avoir été victime d'un vol de données personnelles de clients. L'incident, découvert récemment, mais ayant eu lieu le 26 janvier, expose les noms, adresses postales, courriels et numéros de téléphone des clients concernés. L'entreprise assure qu'aucune donnée bancaire ou de carte de crédit ne figurait dans la base compromise. Des clients asiatiques ont été alertés le 13 mai.
À la suite d'une enquête de WIRED, Telegram a banni des milliers de comptes utilisés pour le blanchiment d'argent dans le cadre d'escroqueries aux cryptomonnaies, notamment ceux de Haowang Guarantee, un marché noir qui a permis de réaliser plus de 27 milliards de dollars de transactions.
La compétition Pwn2Own Berlin 2025 s'est terminée avec un total de 1 078 750$ de prix distribués sur trois jours, dont 383 750$ lors de la dernière journée. Les participants ont démontré 28 vulnérabilités zero-day uniques dans plusieurs produits, dont 7 dans la nouvelle catégorie IA. STAR Labs SG a remporté le titre de "Master of Pwn" avec 320 000$ et 35 points. Les exploits les plus remarquables incluent celui de Corentin Bayet sur ESXi (112 500$), l'équipe Synacktiv sur VMware Workstation (80 000$), et diverses vulnérabilités sur Windows, NVIDIA et Firefox.
Coinbase a révélé une cyberattaque majeure où des cybercriminels ont corrompu des employés du service client basés à l'étranger pour voler des données clients. Les attaquants ont récupéré noms, adresses, numéros de téléphone, emails, derniers chiffres de sécurité sociale, identifiants bancaires et copies de pièces d'identité. Ces informations ont permis des campagnes de phishing très ciblées contre moins de 1% des utilisateurs actifs. Les cybercriminels ont demandé une rançon de 20 millions de dollars, refusée par Coinbase qui offre la même somme pour leur arrestation. L'entreprise estime les coûts totaux entre 180 et 400 millions de dollars.
Le Japon a promulgué une nouvelle loi de cyberdéfense active permettant aux autorités de mener des opérations cyber offensives préventives contre les adversaires. Cette législation, initialement proposée en 2022, marque une rupture avec l'approche traditionnelle pacifiste du pays. La loi autorise les forces de l'ordre à infiltrer et neutraliser des serveurs hostiles avant toute activité malveillante, tandis que les forces d'autodéfense traiteront les incidents sophistiqués.
Cloudflare introduit deux nouvelles méthodes d'authentification pour les bots légitimes et agents IA : les signatures de messages HTTP (RFC 9421) et le mTLS conditionnel. Face aux limites des mécanismes actuels (User-Agent falsifiable, plages IP changeantes), ces approches cryptographiques permettent aux développeurs de signer leurs requêtes de manière infalsifiable. Les signatures HTTP utilisent des clés publiques pour authentifier les requêtes, tandis que le mTLS conditionnel propose un nouveau flag TLS "req mTLS" pour éviter de bloquer le trafic utilisateur normal. OpenAI utilise déjà ces signatures pour Operator. Ces solutions visent à donner plus de contrôle aux propriétaires de sites tout en facilitant l'identification des bots bienveillants.
ESET a identifié l'opération RoundPress, attribuée avec une confiance moyenne au groupe Sednit (APT28/Fancy Bear), ciblant des serveurs webmail via des vulnérabilités XSS. La campagne utilise des emails de spearphishing exploitant des failles dans Roundcube, Horde, MDaemon et Zimbra pour injecter du code JavaScript malveillant. Les payloads peuvent voler les identifiants webmail, exfiltrer contacts et emails, et contourner l'authentification à deux facteurs. Les cibles principales sont des entités gouvernementales et entreprises de défense en Europe de l'Est, particulièrement liées au conflit ukrainien.
Après plus d'un an de développement, Have I Been Pwned dévoile sa version 2.0 avec une refonte complète du site web. Les principales nouveautés incluent une interface de recherche améliorée avec des confettis pour les résultats négatifs 🎉, des pages dédiées pour chaque fuite de données avec des conseils ciblés, un tableau de bord unifié regroupant toutes les fonctionnalités, et une recherche de domaines repensée. Le site abandonne la recherche par nom d'utilisateur et numéro de téléphone au profit d'une meilleure expérience utilisateur.
Le SANS Internet Storm Center suit actuellement 36 groupes de chercheurs effectuant des scans Internet, avec environ 33 000 adresses IP répertoriées. Johannes Ullrich rappelle l'importance de la RFC 9511 "Attribution of Internet Probes" qui recommande aux chercheurs de s'identifier lors de leurs scans pour éviter les dommages involontaires. La RFC suggère d'ajouter une URL dans les paquets de sonde et un fichier de description à /.well-known/probing.txt. Certains scans peuvent causer des problèmes, comme l'ancien bug Cisco qui plantait les routeurs avec des paquets UDP vides.
Des experts américains ont découvert des équipements de communication non documentés, incluant des radios cellulaires, dans des onduleurs solaires et batteries chinoises connectés aux réseaux électriques. Ces composants cachés permettraient de contourner les pare-feu et de contrôler à distance les installations, risquant de déstabiliser les réseaux électriques ou provoquer des pannes massives. Huawei domine 29% du marché mondial des onduleurs, suivi par Sungrow et Ginlong Solis.
Vulnérabilités
21 vulnérabilités critiques, dont 12 activement exploitées. Cela concerne notamment les failles SAP NetWeaver (CVE-2025-31324 / CVSS 10 et CVE-2025-42999 / CVSS 9.1) permettant l'exécution de code à distance pour des utilisateurs non authentifiés. Microsoft Windows présente 5 vulnérabilités d'élévation de privilèges exploitées, tandis qu'Ivanti EPMM est affecté par deux failles critiques (CVE-2025-4427 et CVE-2025-4428).
Le CERT-FR rappelle également qu’une alerte a été émise concernant la vulnérabilité Fortinet CVE-2025-32756 (CVSS 9.6). Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. L'éditeur indique que cette vulnérabilité est activement exploitée. Les exploitations constatées jusqu'ici concernent les produits FortiVoice.
L'exploitation "continue" de deux vulnérabilités Ivanti (CVE-2025-4427 et CVE-2025-4428) s'étend désormais au-delà des environnements on-premises pour atteindre les instances cloud des clients, selon Wiz. La première faille permet un contournement d'authentification, tandis que la seconde constitue une vulnérabilité d'exécution de code à distance post-authentification. Cette extension vers le cloud élargit considérablement la surface d'attaque et souligne l'urgence pour les organisations utilisant Ivanti Endpoint Manager Mobile de mettre à jour leurs systèmes, qu'ils soient hébergés localement ou dans le cloud.
La CISA a confirmé l'exploitation active d'une vulnérabilité critique dans Chrome (CVE-2025-4664) et l'a ajoutée à son catalogue de vulnérabilités exploitées (KEV). Cette faille permet à des attaquants distants de voler des données cross-origin via des pages HTML malveillantes.
Articles
Un chercheur a découvert une vulnérabilité d'élévation de privilèges dans Windows Server 2025 exploitant la fonctionnalité dMSA (delegated Managed Service Account). Baptisée “BadSuccessor”, cette faille permet à un attaquant de compromettre n'importe quel utilisateur dans Active Directory avec la configuration par défaut. L'attaque est triviale à implémenter et affecte potentiellement la majorité des organisations utilisant AD. Dans 91% des environnements analysés, des utilisateurs non-administrateurs possédaient les permissions nécessaires pour réaliser cette attaque. Microsoft a confirmé la vulnérabilité, mais l'a classée comme modérée, sans correctif immédiat prévu, nécessitant des mesures proactives de mitigation proposée dans l’article.
Une analyse approfondie compare les capacités de sécurité entre l’Elastic Kubernetes Service (EKS) d’AWS et le Google Kubernetes Engine (GKE) de GCP.
Une vulnérabilité critique (CVE non spécifiée) dans VS Code <= 1.89.1 permet d'escalader une faille XSS en exécution de code à distance, même en mode restreint. La faille exploite le rendu d'erreurs minimal des notebooks Jupyter via une injection HTML dans la fonction createMinimalError. L'attaquant peut injecter du JavaScript malveillant dans un fichier .ipynb craftée qui s'exécute. Une vidéo de démonstration est disponible.
Un retex de test d'intrusion qui révèle une chaîne d'exploitation via un convertisseur HTML vers PDF. L'analyse des métadonnées PDF révèle l'utilisation d'un framework .NET basé sur Chromium 62 obsolète. En exploitant une vulnérabilité WebAssembly connue dans ce moteur de rendu, ils parviennent à exécuter du code à distance en adaptant un exploit existant pour cette version spécifique. Le processus de rendu fonctionnait sans sandbox, facilitant l'escalade vers une exécution de code complète.
Une entreprise de SaaS a subi une compromission majeure de son environnement AWS après la fuite de clés d'accès IAM avec des privilèges AdministratorAccess. L'attaquant a exploité une architecture peu sécurisée (compte unique, bases de données publiques, logs insuffisants) pour compromettre les bases de données, supprimer les ressources critiques et exfiltrer des données. L'incident a causé une semaine d'interruption de production. L'analyse post-incident révèle les tactiques utilisées par les attaquants : utilisation de VPN, scripts d'énumération personnalisés, modification des groupes de sécurité et suppression des logs CloudTrail.
Cet article détaille les fondements cryptographiques des passkeys, qui reposent sur des paires de clés pour générer des signatures numériques. Contrairement aux mots de passe, les passkeys transmettent uniquement des clés publiques au serveur, réduisant les risques de fuite de données sensibles. La spécification WebAuthn résout le problème du phishing via la liaison d'origine : chaque site web obtient une paire de clés unique et l'authentificateur refuse les requêtes provenant de domaines non autorisés. Malgré leurs avantages, les passkeys restent vulnérables aux attaques basées sur les navigateurs et aux authentificateurs compromis.
Cet article présente cinq décisions stratégiques cruciales pour les startups souhaitant minimiser leurs risques de sécurité dès le départ :
L'adoption rapide d'un fournisseur d'identité centralisé (Google Workspace, Okta, Microsoft Entra ID).
L'utilisation obligatoire de clés de sécurité matérielles offre une authentification multifacteur plus résistante au phishing.
Une Infrastructure as Code (Terraform/OpenTofu) qui permet un contrôle de version et une analyse statique des configurations.
Une utilisation de services d'infrastructure managés (AWS Fargate, RDS) qui déchargent la complexité opérationnelle.
Une solution MDM (Kandji, Intune) qui pose les bases du contrôle des endpoints.
Cette étude présente une technique simple d'évasion d'antivirus en utilisant Python pour exécuter du shellcode Meterpreter. L'auteur convertit un loader C basique en Python utilisant la bibliothèque ctypes pour interagir avec les API Win32. Cette technique exploite la faible visibilité des moteurs de détection sur l'environnement Python. Les limitations incluent l'absence de Python par défaut sur Windows et la facilité de rétro-ingénierie du code. L'article propose des contre-mesures : EDR correctement configuré, liste d'applications autorisées (WDAC) et une règle de détection Elastic EDR basée sur le chargement de _ctypes.pyd depuis des répertoires utilisateur.
Le groupe d’attaquants Hazy Hawk se spécialise dans le détournement de ressources cloud abandonnées via des enregistrements DNS CNAME (dangling records). Contrairement aux détournements de domaines traditionnels, cette technique cible des ressources cloud (S3, Azure, GitHub) dont les enregistrements DNS pointent vers des services supprimés. L'acteur a compromis des sous-domaines d'organisations prestigieuses, comme le CDC américain, des universités (Berkeley, UCL) et des entreprises (Deloitte, EY). Les domaines détournés hébergent des URLs malveillantes dirigeant vers des sites d’escroqueries.
Outils
Wtfis est un outil en ligne de commande conçu pour rassembler des informations sur un domaine, FQDN ou adresse IP via diverses sources OSINT. L'outil utilise plusieurs services comme VirusTotal, Shodan, GreyNoise, URLhaus et AbuseIPDB, en privilégiant les comptes gratuits pour minimiser les appels API et éviter les limitations de quota.
flawz est une interface utilisateur terminal (TUI) permettant de parcourir les vulnérabilités de sécurité (CVE). Par défaut, il utilise la base de données NVD de NIST et offre des fonctionnalités de recherche et de listage dans le terminal avec différentes options de thèmes.
EntraFalcon est un outil basé sur PowerShell destiné aux pentesters et analystes de sécurité pour évaluer la sécurité d'un environnement Microsoft Entra ID. L'outil identifie les objets privilégiés, les affectations risquées et les mauvaises configurations d'accès conditionnel, comme les utilisateurs contrôlant des groupes privilégiés ou les applications avec permissions excessives. Il génère des rapports HTML interactifs avec un score de risque.
Certipy revient avec la version 5, apportant le support d'ESC13, ESC15 et une nouvelle technique d'élévation de privilège ESC16. Cette version majeure améliore considérablement la robustesse dans les environnements AD CS durcis avec support du Channel Binding HTTPS, LDAP Signing et LDAPS Channel Binding par défaut. La détection a été affinée pour réduire les faux positifs/négatifs, notamment pour ESC1 et ESC8.
Un pentester partage ses extensions Burp favorites, absentes du top 30 populaire, mais redoutablement efficaces. Parmi ses pépites : ATOR pour la gestion automatique des tokens expirés, SAML Raider pour manipuler les messages SAML, Hunt Scanner qui priorise les paramètres intéressants pendant l'exploration, et GAP qui génère des wordlists personnalisées depuis les réponses.
Neo4LDAP est une alternative à BloodHound qui combine la syntaxe LDAP familière avec l'analyse graphique Neo4j. Il traduit automatiquement les requêtes LDAP en Cypher, permettant aux utilisateurs d'éviter l'apprentissage de ce langage complexe. L'outil propose une interface graphique avancée avec exclusion de nœuds, masquage temporaire et recherche limitée en profondeur pour améliorer la visibilité dans les grands environnements. Il supporte l'importation des fichiers JSON BloodHound (Legacy et Community Edition) pour s'intégrer aux workflows existants.
PowerDodder est un utilitaire post-exploitation qui injecte discrètement des commandes de persistance dans les fichiers de scripts existants sur le système cible. Contrairement aux méthodes traditionnelles facilement détectées par les EDR (clés de registre, tâches planifiées), il cible les scripts (.ps1, .bat, .cmd, .vbs, .js) récemment accédés, mais rarement modifiés.
Oniux est un outil expérimental qui isole des applications arbitraires sur le réseau Tor en exploitant les namespaces Linux. Il utilise onionmasq pour créer un dispositif TUN dédié au trafic Tor.
La Volatility Foundation annonce la première version officielle de Volatility 3 (outil de forensic mémoire) qui remplace entièrement Volatility 2, désormais dépréciée et archivée. Cette version apporte des améliorations majeures :
suppression de l'argument --profile (détection automatique de l'OS),
nouveau flag --filters pour un filtrage précis,
formats de sortie génériques (CSV, JSON)
API d'extraction de données unifiée.
Volatility 3 supporte Windows XP à 11 et Linux 2.6.18 aux versions récentes, avec des tests automatisés sur ~500 échantillons mémoire. Le support macOS est abandonné en raison des restrictions d'Apple sur l'accès au kernel.
NetImpostor est un outil écrit en Go qui établit des connexions TCP avec une IP source usurpée du même sous-réseau via ARP poisoning. La technique consiste à empoisonner le cache ARP de la cible (ou de la passerelle pour les communications externes) pour rediriger les réponses vers notre MAC au lieu de l'hôte légitime.
Cariddi est un outil écrit en Go qui prend une liste de domaines, explore les URLs et scanne à la recherche d'endpoints, secrets, clés API, extensions de fichiers et tokens. Il propose plusieurs modes de scan : recherche incluant les sous-domaines, chasse aux secrets, etc. L'outil supporte la configuration de proxies et les résultats peuvent être exportés en TXT, HTML ou JSON.
Okta Security Detection Catalog est un dépôt GitHub contenant des règles de détection de sécurité et des descriptions détaillées des champs de logs pour l'analyse de menaces dans les environnements Okta. Il propose des fichiers YAML de détections recommandées, des requêtes de threat hunting et des descriptions de champs de logs du System Log d'Okta.
Frida 17.0.0 apporte une refonte majeure en séparant les composants runtime pour réduire la taille et améliorer les performances de compilation (divisées par 4). Les anciennes méthodes de programmation avec callbacks sont remplacées par des versions plus simples utilisant des tableaux. L'accès à la mémoire et aux modules est également simplifié avec une nouvelle syntaxe plus intuitive.
Podcasts
🎧️ Nolimitsecu - Modèle de Politique de Sécurité des Systèmes d’Information pour l’IA
🎧️ Underscore - Hacker génial ou imposteur ? L'enquête sur Florent Curtet
Conférences / Salons
🗓️ SSTIC - Du 4 au 6 juin 2025 à Rennes, France
🗓️ Hack'In - du 14 juin au 15 juin 2025 à Aix-en-Provence, France
Finances / Marché
Les concours comme RSA Innovation Sandbox ou Black Hat Startup Spotlight sont des accélérateurs de crédibilité cruciaux pour les startups. L'article détaille une stratégie en 11 points : partir d'un problème clair avec des données récentes, positionner stratégiquement sa différenciation, utiliser la visualisation, expliquer pourquoi les solutions existantes ne suffisent plus, démontrer le produit et l'innovation, montrer l'équipe et la validation marché. En Q1 2025, les startups cyber ont levé 2,7 milliards $ (+29%). L'IA sécurisée domine : 7 des 10 finalistes RSA 2025 étaient centrés sur l'IA security, reflétant cette tendance majeure du secteur.
🤝 Olfeo, une plateforme française spécialisée dans les solutions Secure Access Service Edge (SASE), a été rachetée par Ekinops pour un montant non divulgué.
🤝 InfoSec Global, une plateforme canadienne de découverte et gestion des secrets cryptographiques, a été rachetée par Keyfactor pour un montant non divulgué.
Misc
Btop++ est un moniteur de ressources système qui affiche l'utilisation du processeur, de la mémoire, des disques, du réseau et des processus. Il succède à bashtop et bpytop avec une interface utilisateur inspirée des jeux vidéo, un support complet de la souris, et une navigation rapide au clavier.
Le site expérimental discmaster.textfiles.com a rouvert ses portes, proposant une navigation et recherche dans une collection massive de programmes anciens, jeux rétro et magazines vintage hébergés sur archive.org. La plateforme recense 59,6 To de données, incluant des applications, drivers, jeux et contenus éducatifs des années 80. Compatible avec les navigateurs modernes et vintage, le site offre des ISO de CD-ROM, contenus de disquettes et miroirs d'anciens serveurs FTP.
"Internet Artifacts" propose un voyage nostalgique depuis ARPANET (111 terminaux connectés) jusqu'à l'iPhone, en passant par les premières innovations : le premier spam (1978), le smiley :-) (1982), le MP3 "Tom's Diner", la webcam surveillant une cafetière à Cambridge, Yahoo!, Amazon, Napster, et les mèmes viraux comme Dancing Baby.
Un développeur explique comment il a abandonné Kubernetes au profit d'une solution plus simple combinant Podman, systemd et user lingering.
Clippy est une application qui permet d'exécuter des modèles de langage (LLMs) localement tout en conservant l'interface utilisateur emblématique des années 90. Basée sur Llama.cpp, elle supporte les modèles GGUF populaires avec installation en un clic pour Gemma3, Llama 3.2, Phi-4 et Qwen3. Cette application-hommage au célèbre assistant de Microsoft Office 1997 fonctionne entièrement hors ligne, détecte automatiquement la meilleure configuration (Metal, CUDA, Vulkan) et permet de charger des modèles personnalisés (lien Github).
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien