- Erreur 403
- Posts
- Erreur 403 | #28
Erreur 403 | #28
Harmonisation des acteurs de menace par Microsoft et CrowdStrike, APT41 détourne Google Calendar pour ses communications C&C, vulnérabilité critique zero-day Chrome corrigée en urgence, nouveau botnet AyySSHush ciblant les routeurs ASUS, problème de démarrage Windows 11 après le Patch Tuesday, Top 10 des vulnérabilités du mois, etc.
Bastien Cacace
6th juin 2025
Sommaire
Infos
Microsoft et CrowdStrike s'associent pour harmoniser leurs taxonomies d'acteurs de menace en publiant un mapping conjoint. Cette initiative vise à démêler la confusion créée par la multitude de surnoms attribués aux groupes d’attaquants par les différents éditeurs de sécurité. Par exemple, le groupe russe Midnight Blizzard de Microsoft est aussi connu sous APT29, Cozy Bear ou The Dukes 🙃. Google Mandiant et Palo Alto Networks Unit 42 devraient également contribuer à cet effort collaboratif sans imposer une nomenclature unique.
Microsoft a confirmé qu'une mise à jour de sécurité Windows 11 (KB5058405) publiée le 13 mai 2025 empêche certaines machines virtuelles de démarrer. Les utilisateurs affectés rencontrent l'erreur 0xc0000098 liée au fichier ACPI.sys, un pilote critique gérant l'alimentation et la configuration matérielle. Le problème touche principalement les environnements virtualisés (Hyper-V, Citrix, Azure VM) sur Windows 11 22H2 et 23H2, épargnant la version 24H2. Microsoft a publié un correctif en urgence disponible uniquement via le Microsoft Update Catalog.
Vincent Strubel, directeur général de l'ANSSI, a souligné lors de son audition au Sénat la forte dépendance de l'État français aux solutions étrangères, notamment Microsoft. Il évoque également les problématiques liées au rachat de VMware par Broadcom et questionne cette "dépendance quasi-exclusive" à certaines technologies, dépassant le seul cadre de la cybersécurité pour toucher à la souveraineté numérique.
Depuis le retour de Trump, Palantir a décroché 113 millions de dollars de contrats avec diverses agences fédérales pour déployer sa plateforme Foundry. Cette solution pourrait faciliter le croisement de données entre les administrations, conformément à la volonté présidentielle de supprimer le fonctionnement "en silos". Des experts juridiques dénoncent une potentielle violation de la loi sur la protection de la vie privée de 1974.
Google Threat Intelligence révèle une campagne sophistiquée d'APT41 utilisant un malware baptisé TOUGHPROGRESS qui détourne Google Calendar comme C&C. Les attaquants diffusent des archives ZIP via des sites gouvernementaux compromis, contenant des fichiers LNK déguisés en PDF. Le malware déploie trois modules successifs avec des techniques d'évasion avancées. TOUGHPROGRESS chiffre ses communications dans les descriptions d'événements Calendar à des dates prédéfinies. Google a neutralisé l'infrastructure des attaquants et mis à jour ses protections.
GreyNoise révèle la découverte d’un botnet exploitant les routeurs ASUS RT-AC3100/3200. Les attaquants combinent brute-force, contournement d'authentification via null byte, et exploitation de la vulnérabilité CVE-2023-39780 pour injecter des commandes. Une fois compromis et avoir exploité une vulnérabilité non divulguée dans bwsdpi_sqlite permettant l'injection de commandes, ils activent SSH sur le port 53282 avec leur clé publique RSA, créant une backdoor persistante aux mises à jour firmware. Plus de 4800 routeurs sont compromis, selon Censys.
Les chercheurs de Palo Alto démontrent comment l'IA agentique peut accélérer les cyberattaques de 100x, simulant un ransomware complet en 25 minutes contre 9 jours en 2021. Le framework utilise des agents IA spécialisés pour chaque phase d'attaque : reconnaissance, accès initial par différents canaux, exécution contextuelle, persistance, techniques d’évasion, découverte passive et exfiltration intelligente. Ces systèmes autonomes s'auto-corrigent en temps réel sans intervention humaine.
Du 19 au 23 mai 2025, une nouvelle phase de l'opération internationale ENDGAME a visé plusieurs infrastructures cybercriminelles. Cette coopération judiciaire multinationale a ciblé six malwares majeurs :
BumbleBee
Danabot
HijackLoader
Latrodectus
WarmCookie
Lumma.
Ces codes malveillants servent de point d'entrée aux attaquants pour exfiltrer des données et déployer ransomware ou autres outils offensifs.
Vulnérabilités
2 vulnérabilités critiques impactant respectivement IBM Db2 et le noyau Linux Debian (sans PoC ou trace d’exploitation).
IBM Db2 est affecté par la CVE-2025-30065 (CVSS 10.0) permettant l'exécution de code arbitraire à distance. Le noyau Linux Debian est affecté par la CVE-2024-38541 (CVSS 9.8) de type non spécifié.
Le CERT-FR a publié un avis de sécurité qui confirme l’existence de codes d'exploitation publics pour la vulnérabilité CVE-2025-20188 (CVSS 10.0) qui permet à un attaquant non authentifié d'exécuter du code arbitraire à distance dans Cisco IOS XE.
Google a publié une mise à jour de sécurité d'urgence pour corriger une troisième vulnérabilité zero-day Chrome exploitée dans des attaques depuis le début de l'année. La nature critique de cette vulnérabilité et son exploitation active dans des campagnes malveillantes soulignent l'importance d'appliquer rapidement cette mise à jour de sécurité.
| Vulnérabilité | Éditeur | Produit | Sévérité | Sévérité VLAI |
|---|---|---|---|---|
| CVE-2025-31324 | SAP SE | SAP NetWeaver (Visual Composer development server) | Critical | Critical |
| CVE-2025-4427 | Ivanti | Endpoint Manager Mobile | Medium | Critical |
| CVE-2025-37899 | Linux | Linux | - | High |
| CVE-2025-4428 | Ivanti | Endpoint Manager Mobile | High | High |
| CVE-2025-32756 | Fortinet | FortiVoice | Critical | Critical |
| CVE-2025-4664 | Chrome | Medium | Medium | |
| CVE-2025-20188 | Cisco | Cisco IOS XE Software | Critical | Critical |
| CVE-2017-18368 | ZyXEL | P660HN-T1A | Critical | Critical |
| CVE-2015-2051 | D-Link | DIR-645 | High | Critical |
| CVE-2024-38475 | Apache Software Foundation | Apache HTTP Server | Critical | Critical |
Articles
La tâche planifiée intégrée "MareBackup" de Windows est vulnérable à un détournement trivial d'ordre de recherche d'exécutable. Un utilisateur avec de faibles privilèges peut exploiter cette faille pour obtenir des privilèges SYSTEM lorsqu'un dossier vulnérable est ajouté au début (plutôt qu'à la fin) de la variable d'environnement PATH du système.
L'article analyse l'efficacité des primitives d'exploitation BLASTPASS sur iOS 18. BLASTPASS est une chaîne d'exploitation zero-click découverte et documentée. Il s'agit d'un exploit sophistiqué qui ciblait iOS et permettait une compromission complète sans aucune interaction de l'utilisateur.
GitHub détaille ses efforts pour sécuriser son implémentation SAML après plus d'une décennie d'utilisation. Face aux vulnérabilités récurrentes liées à la complexité du XML et de la cryptographie, l'équipe a adopté une stratégie en quatre étapes :
Migration vers la bibliothèque ruby-saml avec audit de sécurité approfondi
Validation par A/B testing sur un million de requêtes quotidiennes
Restriction du schéma XSD pour limiter la surface d'attaque en éliminant les structures ambiguës
Implémentation d'une stratégie de double parsing utilisant deux bibliothèques en parallèle.
Des chercheurs ont analysé un infostealer macOS sophistiqué distribué via le fichier libsystd.dylib. Ce malware multi-étapes utilise Objective-C et Grand Central Dispatch pour communiquer avec son serveur C2.
Les chercheurs ont identifié une campagne d'ingénierie sociale sophistiquée utilisant la technique ClickFix pour distribuer DCRat. L'attaque débute par un faux fil email concernant une réservation d'appartement, dirigeant vers un lien malveillant imitant Booking.com. Après un vrai CAPTCHA Cloudflare, les victimes sont confrontées à un faux CAPTCHA qui copie automatiquement une commande PowerShell obfusquée dans le presse-papiers.
L’auteur propose une approche structurée en 4 phases pour bâtir ou reconstruire un programme de cybersécurité.
Phase 1 : définir un responsable exécutif, établir une gouvernance, effectuer un test d'intrusion critique et corriger immédiatement les vulnérabilités majeures.
Phase 2 : audit sécuritaire complet basé sur NIST et CIS Controls, plan d'implémentation multi-étapes, sélection de prestataires de services managés et constitution d'une équipe.
Phase 3 : formalisation du pilotage, évaluation continue des risques, planification d'incidents et souscription d'assurances cyber.
Phase 4 : alignement stratégique business, extension produits, amélioration des compétences équipe et exercices Red Team.
L'auteur insiste sur l'adaptation selon la taille organisationnelle tout en gardant une progression méthodique des fondamentaux vers l'excellence stratégique.
L'article détaille comment Sysmon peut combler les lacunes des solutions EDR face aux techniques d'évasion sophistiquées. Les attaquants contournent les EDR via cinq méthodes principales :
manipulation des hooks kernel,
appels syscall directs évitant les hooks user-mode,
“décrochage” de DLL en réécrivant la mémoire,
process hollowing remplaçant le code légitime
injection APC dans d'autres processus.
Sysmon offre une granularité de logging supérieure en capturant ces activités au niveau système.
Cette quatrième partie de la série "Attacking EDRs" détaille le fuzzing du moteur de scan et d'émulation mpengine.dll de Microsoft Defender. Utilisant les techniques de Snapshot Fuzzing avec WTF et kAFL/NYX, l'analyse a révélé plusieurs bugs de lecture out-of-bound et déréférencements de pointeurs null. Ces vulnérabilités permettent de crasher le processus principal de Defender lors du scan de fichiers malformés.
Outils
Telegram TeleGraphite est un outil Python open-source conçu pour extraire et archiver automatiquement les publications de canaux Telegram publics. L'outil permet de sauvegarder les posts au format JSON avec extraction automatique des contacts (emails, téléphones, liens), téléchargement des médias, etc.
Secrets Patterns Database constitue une grande base de données open-source d'expressions régulières pour détecter secrets, clés API, mots de passe et tokens. Avec plus de 1600 patterns testés et catégorisés par niveau de confiance, elle permet de surpasser les solutions existantes (TruffleHog ~700 règles, GitLeaks ~60 règles).
Ce dépôt GitHub constitue une collection massive de ressources techniques incluant manuels, cheatsheets, blogs, outils CLI/web et one-liners destinés principalement aux administrateurs système/réseau, DevOps, pentesters et chercheurs en sécurité.
URL Abuse fournit une base de données ouverte d'URLs malveillantes disponible en multiples formats (JSON, CSV, etc.) et mises à jour temps réel toutes les 5 minutes. Le service catégorise les menaces (malware, phishing, sites piratés) avec des flux spécialisés et des dumps quotidiens complets.
LDAPx est un proxy LDAP flexible écrit en Go qui intercepte et transforme en temps réel tous les paquets LDAP générés par d'autres outils. L'outil supporte LDAPS, les proxies SOCKS et offre différents niveaux de verbosité pour les paquets entrants/sortants.
Godump est un outil de débogage pour Go sans dépendances externes, inspiré du VarDumper de Symfony utilisé dans Laravel. Il offre un affichage colorisé et formaté des structures, slices, maps et autres types de données directement dans le terminal ou en HTML. L'outil inclut la détection des références cycliques, l'inspection des champs de structures avec marqueurs de visibilité, l'échappement des caractères de contrôle et la gestion des pointeurs imbriqués.
LoggiFly est un outil léger de monitoring qui analyse en temps réel les logs de conteneurs Docker pour détecter des mots-clés ou patterns regex prédéfinis. Il envoie des notifications via Ntfy, Apprise, Slack, Discord, Telegram etc. Il peut déclencher des actions automatiques comme redémarrer ou arrêter des conteneurs.
Boîte à outils de post-exploitation pour les équipes Red Team sur les systèmes Linux. Elle comprend 14 techniques distinctes, principalement axées sur l’évasion, la persistance et également l’élévation de privilèges.
Monkey365 est un outil open-source basé sur PowerShell conçu pour auditer sécurité de la configuration des environnements Microsoft 365, Azure et Entra ID.
SharpEye est un framework de détection d'intrusions Linux développé par innora.ai, utilisant machine learning et analyse comportementale pour identifier les menaces en temps réel. Ses capacités incluent l'analyse des ressources système par ML, la surveillance des comptes utilisateurs, l'inspection des processus et connexions réseau, la vérification d'intégrité du système de fichiers et l'analyse des logs multi-sources.
Vidéos
🎬 La guerre des puces | ARTE.
🎬 Le fiasco des sites secrets de la CIA | SYLVQIN
Conférences / Salons
🗓️ Hack'In - du 14 juin au 15 juin 2025 à Aix-en-Provence, France
🗓️ LeHACK - du 27 et 28 juin 2025 à Paris
🎤 Les conférences du SSTIC 2025.
Finances / Marché
🤝 APEX, une plateforme israélienne de gouvernance et de sécurité de l'IA générative, a été rachetée par Tenable pour un montant non divulgué.
🤝 Red Canary, une plateforme américaine de détection et réponse managée (MDR), a été rachetée par Zscaler pour 675 millions de dollars.
Misc
Paradoxalement, l'informatique, filière très populaire, affiche l'un des taux de chômage les plus élevés chez les jeunes diplômés américains (6,1% selon la Fed de New York). L'IA automatise désormais les postes d'entrée, réduisant les opportunités pour les débutants. Les Big Tech ont diminué de 25% leur recrutement de nouveaux diplômés en 2024. La saturation du marché, le décalage entre formation académique et besoins industriels, ainsi que des processus de recrutement exigeants aggravent la situation. Les emplois de développeur ont chuté à leur niveau le plus bas depuis 1980, coïncidant avec l'essor de ChatGPT.
Kubero offre une solution pour déployer plus facilement des applications 12-factor (méthodologie de développement) sur K8s sans nécessiter la rédaction de manifestes K8s ou de Dockerfiles. Cet outil vise à simplifier le processus de déploiement en permettant aux développeurs de se concentrer sur la création d'applications plutôt que sur la gestion de l'infrastructure sous-jacente.
Dagu, orchestrateur de workflows écrit en Go, propose une alternative simple aux solutions complexes comme Airflow. Avec un seul binaire sans base de données externe, il permet de définir des workflows sous forme de DAG dans des fichiers YAML simples. L'outil offre une interface web pour visualiser les pipelines, consulter les logs et éditer les configurations.
OneMCP simplifie l'installation et la gestion des serveurs MCP (Model Context Protocol) via une application desktop intuitive. L'outil permet d'installer des serveurs MCP très rapidement.
Oracle a publié la première bêta de VirtualBox 7.2, apportant une nouveauté majeure : la prise en charge des machines virtuelles Windows 11 sur processeurs ARM. Cette fonctionnalité permet de virtualiser Windows 11 ARM directement sur des systèmes Windows 11 ARM natifs.
Google IA déploie massivement ses AI Overviews et le nouveau "AI Mode", transformant radicalement l'expérience de recherche. Ces fonctionnalités génèrent des résumés IA directement dans les résultats, réduisant drastiquement les clics vers les sites web sources. L’IA Mode va plus loin en remplaçant complètement la recherche traditionnelle par une interface conversationnelle. Cette évolution crée un paradoxe : Google s'appuie sur le contenu web pour entraîner ses modèles tout en privant ces mêmes sites du trafic nécessaire à leur survie économique.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien