- Erreur 403
- Posts
- Erreur 403 | #27
Erreur 403 | #27
Poursuite judiciaire Delta contre CrowdStrike pour 500M$, fuites massives Free et FFR ajoutées dans HIBP, vulnérabilités critiques activement exploitées (Fortinet, Ivanti EPMM), démantèlement Lumma Stealer par Microsoft, code source ransomware VanHelsing divulgué, opération Europol contre le dark web, etc.
Bastien Cacace
28th mai 2025
Sommaire
Infos
Un juge américain a autorisé Delta Air Lines à poursuivre CrowdStrike pour négligence grave suite à la panne informatique du 19 juillet 2024. La mise à jour défectueuse du logiciel Falcon de CrowdStrike avait planté plus de 8 millions d'ordinateurs Windows dans le monde, forçant Delta à annuler 7 000 vols et perturbant 1,4 million de passagers. La compagnie aérienne réclame 500 millions de dollars de dommages-intérêts, estimant ses pertes à 550 millions moins 50 millions d'économies de carburant.
Deux importantes violations de données françaises ont été intégrées à la base HaveIBeenPwned. En juin 2023, la Fédération Française de Rugby a subi une cyberattaque avec tentative de rançon, exposant 282 000 adresses e-mail uniques accompagnées de noms, dates de naissance et numéros de téléphone. L'attaque a principalement visé les serveurs de messagerie. En octobre 2024, l'opérateur Free a été victime d'une violation massive touchant 14 millions d'adresses e-mail avec noms, adresses physiques, numéros de téléphone, genres, dates de naissance et, pour de nombreux enregistrements, des numéros IBAN.
Après les démissions massives du Defense Digital Service suite aux ingérences du DOGE d'Elon Musk, un général émirati a proposé d'embaucher toute l'équipe d'une trentaine d'experts américains pour développer l'IA militaire des Émirats. Cette démarche, approuvée par le Pentagone, intervient malgré les préoccupations des services de renseignement américains concernant les liens entre les EAU et la Chine.
Le groupe de ransomware-as-a-service VanHelsing a publié lui-même le code source de son panel d'affiliés, site de fuites de données et créateur de la partie chiffrement pour Windows après qu'un ancien développeur ait tenté de le vendre 10 000$ sur le forum RAMP. Lancé en mars 2025, VanHelsing cible les systèmes Windows, Linux, BSD, ARM et ESXi avec huit victimes connues. Cette divulgation rejoint d'autres fuites célèbres, comme Babuk (2021), Conti (2022) et LockBit (2022), facilitant l'émergence de nouveaux groupes criminels.
Signal a activé par défaut le blocage des captures d'écran sur sa version Windows pour contrer Recall, l'outil IA de Microsoft qui enregistre tout ce qui s'affiche à l'écran toutes les trois secondes. Malgré les améliorations apportées après les critiques initiales (chiffrement de la base de données, activation optionnelle), Recall continue d'indexer conversations privées, e-mails et données sensibles sans consentement des interlocuteurs.
La CISA, la NSA, le FBI et leurs partenaires internationaux ont publié une fiche d'information conjointe sur la sécurité des données d'IA, détaillant les meilleures pratiques pour protéger les données utilisées pour entraîner et exploiter les systèmes d'intelligence artificielle.
L'Institut européen des normes de télécommunications (ETSI) a également publié, en collaboration avec le NCSC britannique et le DSIT, la première norme mondiale définissant des exigences de sécurité minimales pour les systèmes d'intelligence artificielle.
L'opération "RapTor" menée par Europol dans 10 pays a conduit à l'arrestation de 270 vendeurs et acheteurs du dark web, dont 130 aux États-Unis, 42 en Allemagne, 37 au Royaume-Uni et 29 en France. Cette action coordonnée a exploité les renseignements issus du démantèlement des places de marché Nemesis, Tor2Door, Bohemia et Kingdom Markets. Les saisies incluent plus de 184 millions d'euros en liquide et cryptomonnaies, 2 tonnes de drogues, 144 kg de fentanyl, 12 500 produits contrefaits, 180 armes à feu et 4 tonnes de tabac illégal.
Microsoft et ses partenaires ont saisi 2 300 domaines et déconnecté 394 000 machines infectées par Lumma Stealer, l'un des plus prolifiques infostealers actuels. L'opération menée avec Europol, JC3 et Cloudflare a perturbé l'infrastructure du groupe mais les experts préviennent que cette victoire n'est qu'un répit temporaire. Lumma utilise des techniques sophistiquées : hébergement sur blockchain Binance Smart Chain (EtherHiding), obfuscation avancée, canaux de communication cachés dans les profils Steam et Telegram. Par ailleurs, Microsoft attaque en justice le logiciel malveillant.
Le sénateur américain Ron Wyden révèle qu'AT&T, T-Mobile et Verizon ne respectaient pas leurs obligations contractuelles d'informer les sénateurs américains des demandes de surveillance gouvernementale sur leurs téléphones. Cette découverte fait suite au scandale de 2017-2018 où l'administration Trump avait secrètement obtenu les journaux d'appels de 43 collaborateurs du Congrès et de deux élus. Selon Wyden, un opérateur non nommé a confirmé avoir transmis des données sénatoriales aux forces de l'ordre sans notification préalable.
Les services de renseignement turcs ont arrêté sept espions chinois qui utilisaient des dispositifs IMSI-catcher pour intercepter les communications d'Ouïghours et d'officiels turcs. Cette opération, active depuis cinq ans, représente le réseau d'espionnage le plus sophistiqué découvert en Turquie. Les suspects transportaient de fausses stations de base dans leurs véhicules pour collecter données, journaux d'appels et conversations dans un rayon de 50 mètres.
Le NIST a introduit la métrique "Likely Exploited Vulnerabilities" (LEV) pour estimer quelles vulnérabilités logicielles ont probablement été exploitées dans le passé. Cette approche vise à combler l'écart entre EPSS (prédictif) et les listes KEV (confirmées mais incomplètes). LEV calcule statistiquement la probabilité d'exploitation passée basée sur les données historiques EPSS, aidant les organisations à prioriser leurs efforts de correction. Avec seulement 5% des vulnérabilités exploitées réellement et 16% des correctifs appliqués mensuellement, LEV pourrait optimiser l'allocation des ressources limitées. Le NIST recherche activement des partenaires industriels pour valider cette métrique avec des données réelles d'exploitation.
Adidas a officiellement confirmé le 23 mai qu'une "entité externe non autorisée" avait obtenu des données clients via un fournisseur de services tiers compromis. Cette nouvelle violation fait suite aux alertes envoyées début mai aux clients en Turquie et Corée du Sud. Les données exposées incluent noms, adresses e-mail, numéros de téléphone, adresses postales et dates de naissance des consommateurs ayant contacté le service client. Adidas assure qu'aucune donnée bancaire ni mot de passe n'ont été volés.
Invariant a découvert une vulnérabilité critique dans l'intégration GitHub MCP (14k étoiles) permettant à un attaquant de compromettre l'agent d'un utilisateur via une issue GitHub malveillante et d'exfiltrer des données de dépôts privés. L'attaque exploite une injection de prompt indirecte : l'attaquant crée une issue malveillante dans un dépôt public, et lorsque l'utilisateur demande à son agent de consulter les issues, celui-ci exécute le payload et peut être manipulé pour accéder aux dépôts privés et créer une pull request publique contenant les données sensibles. Cette vulnérabilité affecte tous les agents utilisant GitHub MCP, pas seulement Claude Desktop.
Un chercheur a découvert une base de données non protégée contenant 184 millions d'identifiants de connexion volés, représentant 47,42 GB de données. L'exposition incluait des comptes email, Microsoft, Facebook, Instagram, Snapchat, Roblox, ainsi que des accès bancaires, plateformes de santé et portails gouvernementaux de nombreux pays. Les fichiers portaient le nom "senha" (mot de passe en portugais) et présentaient les caractéristiques typiques de données collectées par des malwares infostealers. Plusieurs victimes ont confirmé l'authenticité de leurs identifiants exposés.
Vulnérabilités
11 vulnérabilités critiques impactant notamment Adobe ColdFusion permettant l'exécution de code arbitraire et l'élévation de privilèges, des contournements de sécurité dans Asterisk avec PoC publique, et une vulnérabilité SSRF/XSS dans Grafana avec PoC publique. Le bulletin souligne également l'exploitation active de CVE-2025-32756 chez Fortinet (cf. analyse d’Horizon3.ai ci-dessous).
Horizon3.ai a analysé la vulnérabilité CVE-2025-32756, un débordement de tampon dans l'API administrative de plusieurs produits Fortinet (FortiCamera, FortiMail, FortiNDR, FortiRecorder, FortiVoice) activement exploitée depuis mai 2025. La faille réside dans la fonction cookieval_unwrap() de la bibliothèque libhttputil.so qui traite les cookies APSCOOKIE pour la gestion de session. L'exploitation cible le paramètre AuthHash décodé en base64 qui, sans vérification de taille, provoque un débordement de pile permettant l'exécution de code à distance non authentifiée. Le correctif introduit une vérification limitant AuthHash à 30 caractères.
EclecticIQ a observé l'exploitation active de vulnérabilités critiques dans Ivanti EPMM (CVE-2025-4427 et CVE-2025-4428) par le groupe chinois UNC5221 depuis le 15 mai 2025. Les attaquants ciblent des organisations dans les secteurs santé, télécommunications, aviation, gouvernement et défense en exploitant l'endpoint /mifs/rs/api/v2/ pour exécuter du code à distance. Ils déploient le malware KrustyLoader via des buckets AWS S3 compromis pour installer la backdoor Sliver chiffrée.
Un chercheur en sécurité a découvert une vulnérabilité zero-day dans l'implémentation SMB du noyau Linux (ksmbd) en utilisant uniquement le modèle o3 d'OpenAI. La CVE-2025-37899 est un use-after-free dans le gestionnaire de commande SMB logoff qui nécessite de comprendre les connexions concurrentes et le partage d'objets entre threads.
Un chercheur a découvert une vulnérabilité critique dans vBulletin 5.x/6.x permettant l'exécution de code à distance sans authentification. Le bug exploite l'API Reflection de PHP dans le système de routage dynamique de vBulletin.
Articles
Des chercheurs ont découvert une campagne de phishing sophistiquée ciblant principalement l'Italie et les États-Unis depuis 2022. Les attaquants utilisent des pages hébergées sur Notion, Glitch ou Google Docs pour imiter les connexions Microsoft OneNote et Aruba PEC. Les identifiants volés sont exfiltrés via des bots Telegram dont les chercheurs ont intercepté les communications. L'analyse révèle plus de trois ans d'activité continue avec des victimes dans les secteurs logistique, énergétique et services environnementaux.
Une analyse du rapport d'Anthropic sur les usages malveillants de Claude qui propose de créer des règles de détection pour les "LLM TTPs" (tactiques d'abus des modèles de langage). L’auteur identifie quatre cas d'usage malveillants : opérations d'influence politique via bots sociaux, credential stuffing sur caméras IoT, campagnes de fraude au recrutement, et développement de malwares par des acteurs novices. L’auteur critique l'absence d'indicateurs techniques exploitables dans le rapport d'Anthropic et propose son framework NOVA pour détecter les prompts adverses. Il développe des règles de détection spécifiques pour chaque cas d'usage identifié, utilisant des mots-clés, analyse sémantique et évaluation LLM.
Cet article met en lumière Microsoft Deployment Toolkit (MDT), souvent éclipsé par SCCM mais présentant des opportunités similaires d'extraction d'identifiants. MDT utilise des partages de déploiement souvent mal configurés, accessibles à tous les utilisateurs Active Directory. Les identifiants se trouvent dans plusieurs fichiers clés : Bootstrap.ini et CustomSettings.ini, ts.xml (séquences de tâches), unattend.xml et scripts personnalisés.
Un guide méthodologique complet pour tester la sécurité de la gestion de sessions web. Le processus couvre plusieurs domaines clés : identification des tokens de session, vérification de l'unicité et de l’entropie, destruction appropriée, prévention de la fixation de session, etc.
Uber a construit une plateforme centralisée pour gérer plus de 150 000 secrets répartis entre 5 000 microservices, 5 000 bases de données et 500 000 tâches analytiques quotidiennes. L'initiative visait à combattre la prolifération des secrets, les coffres-forts fantômes et le partage non sécurisé.
Un chercheur analyse les défauts d'anonymisation dans le dataset "Discord Unveiled" contenant 2 milliards de messages publics. L'étude utilise SHA-256 tronqué à 12 caractères pour "anonymiser" les IDs utilisateurs Discord, mais cette approche présente des failles majeures.
Outils
Kunai est un outil de surveillance système pour Linux équivalent à Sysmon sur Windows. Utilisant la technologie eBPF, il capture et corrèle chronologiquement les événements système avec une compatibilité native des conteneurs et namespaces Linux. Développé principalement en Rust avec la bibliothèque Aya, Kunai offre un binaire autonome intégrant à la fois les sondes eBPF et la logique de traitement.
Ce dépôt contient 12 challenges conçus pour enseigner le pentest des systèmes d'IA, initialement utilisés lors du cours Black Hat USA 2024. Les challenges couvrent diverses techniques d'attaque : injection directe et indirecte de prompts, extraction de métaprompts, attaques multi-tours Crescendo, et contournement de garde-fous de sécurité.
Développé par deux Français, DecompAI transforme l'analyse de binaires en conversations naturelles. L'outil orchestre automatiquement Ghidra, radare2, GDB et objdump via un agent ReAct, éliminant le jonglage entre applications. Basé sur LangGraph/LangChain dans un container Kali Linux, il résout des challenges CTF Root-Me niveau 3/5. Compatible OpenAI GPT-4 et Google Gemini, DecompAI accélère les phases exploratoires tout en servant de mentor pédagogique. Actuellement limité aux binaires x86 Linux ELF.
SharpSuccessor est un PoC .NET qui exploite l'attaque BadSuccessor (cf. newsletter 26). Un utilisateur à faibles privilèges disposant de permissions CreateChild sur une OU Active Directory peut élever ses privilèges vers Administrateur de domaine.
Un script PowerShell est également disponible pour vérifier l’exploitation de BadSuccessor.
Cloudflare Radar propose un vérificateur de réputation d'URL gratuit particulièrement utile pour l'analyse de sécurité. La plateforme, qui traite une grande partie du trafic internet mondial fournit beaucoup d’informations nécessaires pour évaluer la sécurité d'un lien, incluant une capture d'écran de la page d'accueil du site.
IPing propose un service gratuit de requête d'adresses IP supportant IPv4 et IPv6 avec géolocalisation précise et détection de réputation. L'outil analyse le comportement réseau pour identifier les enregistrements malveillants et fournit des informations détaillées : localisation géographique, coordonnées GPS, type d'IP, niveau de risque, données ASN et informations d'entreprise.
Conférences / Salons
🗓️ SSTIC - Du 4 au 6 juin 2025 à Rennes, France
🗓️ Hack'In - du 14 juin au 15 juin 2025 à Aix-en-Provence, France
Finances / Marché
🇫🇷 Memority, une société française de gestion des identités et des accès basée sur la blockchain, a levé 14,8 millions de dollars en série A.
Misc
Amazon pousse ses développeurs à utiliser massivement l'IA pour accélérer les cadences de production. Selon le New York Times, trois ingénieurs témoignent d'objectifs revus à la hausse : des fonctionnalités développées auparavant en semaines doivent désormais être livrées en quelques jours. Alors qu'une étude MIT montre 25% de productivité supplémentaire avec Copilot, cette automatisation transforme les développeurs en relecteurs plutôt qu'auteurs de code et les juniors perdent des opportunités d'apprentissage. Shopify et Duolingo appliquent des approches similaires, soulevant des questions sur l'évolution du métier de développeur.
Un développeur a créé un projet impressionnant : un éditeur de monde Minecraft-style fonctionnel sans une ligne de JavaScript, uniquement avec du CSS.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien