Erreur 403 | #30

Panne mondiale Google Cloud, passkeys Apple interopérables, espionnage chinois en Haute-Garonne, vulnérabilité zero-click dans Copilot, démantèlement d'Archetyp Market, nouvelle technique d'exfiltration par montres connectées, ransomware destructeur Anubis, cyberattaque Sorbonne Université, etc.

Author

Bastien Cacace
19th juin 2025

Sommaire

Infos

Apple a annoncé que la prochaine mise à jour majeure de ses systèmes d'exploitation, comme iOS et macOS, inclura la possibilité d'importer et d'exporter des passkeys. Cela permettra, par exemple, de les transférer d'un appareil macOS vers un appareil Windows, marquant ainsi une étape vers l'interopérabilité multiplateforme des passkeys. Apple déploie avec iOS 26 une nouvelle fonction Call Screening qui pourrait bloquer plus d'un milliard d'appels indésirables par an rien qu'au Royaume-Uni. Cette fonctionnalité demande automatiquement aux appelants leur nom et la raison de leur appel avant de transférer la communication, s'appuyant sur la technologie Live Voicemail d'iOS 17.

Depuis janvier 2025, Taïwan subit une offensive cyber d'ampleur orchestrée par le groupe HoldingHands, révèle FortiGuard Labs. Cette campagne sophistiquée cible les administrations, entreprises et infrastructures stratégiques via des emails de phishing imitant le Bureau national des impôts taïwanais. Les attaquants déploient trois malwares principaux : Winos 4.0 (keylogger modulaire), HoldingHands RAT (accès distant complet) et Gh0stCringe (exfiltration de données).

Procès du piratage Adecco à Lyon pour 76 000 victimes

Le procès de seize personnes impliquées dans le vol des données de 76 000 intérimaires Adecco a débuté à Lyon. L'affaire révèle comment un alternant d'Adecco Besançon a fourni ses identifiants à des hackers, permettant l'accès aux fichiers contenant des données personnelles et bancaires. Les hackers ont orchestré des prélèvements frauduleux de 49,85 euros via une société écran "Serflex", causant un préjudice global de 1,6 million d'euros.

L'OWASP développe un système de scoring des vulnérabilités spécifique à l'IA avec le projet Artificial Intelligence Vulnerability Scoring System (AIVSS). Cette initiative débute par la création d'une méthodologie de notation pour l'OWASP Agentic AI Top 10, avant de s'étendre à un framework complet couvrant tous types de systèmes IA. Le projet propose un calculateur AIVSS open-source, des templates d'évaluation standardisés et des guides détaillés.

Le 12 juin 2025, une panne majeure de Google Cloud Platform a paralysé une grande partie d'Internet, affectant plus de 50 services dans 40 régions. L'incident, causé par un bug dans Service Control (système de gestion des APIs), a impacté Gmail, Spotify, Discord, Cloudflare et de nombreuses plateformes. Le problème provenait d'une nouvelle fonctionnalité de vérification de quotas des API déployée le 29 mai. Cloudflare a écrit un post-mortem sur l’incident.

Unit 42 de Palo Alto Networks révèle une campagne d'envergure compromettant des sites légitimes via du JavaScript obfusqué utilisant la technique JSF*ck. Cette méthode n'emploie que six caractères ([, ], (, ), !, +) pour masquer le code malveillant grâce à la coercition de type JavaScript. Entre mars et avril 2025, plus de 269 000 pages web infectées ont été détectées. Le code injecté vérifie le référent de la page et redirige les visiteurs provenant de moteurs de recherche vers des URLs malveillantes via des iframes invisibles.

Trend Micro révèle l'émergence d'Anubis, un groupe Ransomware-as-a-Service (RaaS) actif depuis décembre 2024 qui se distingue par sa capacité destructrice unique. Contrairement aux ransomwares traditionnels, Anubis propose un mode "wipe" optionnel qui efface définitivement le contenu des fichiers, empêchant toute récupération même après paiement. Sept victimes confirmées touchent les secteurs santé, ingénierie et construction en Australie, Canada, Pérou et États-Unis.

Une enquête d'OCCRP révèle que Vladimir Vedeneev, ingénieur réseau russe de 45 ans, contrôle l'infrastructure critique de Telegram via sa société Global Network Management (GNM). Vedeneev gère plus de 10 000 adresses IP de Telegram et possède un accès exclusif aux serveurs, étant même habilité à signer des contrats en tant que CFO de Telegram. Ses autres entreprises, GlobalNet et Electrotelecom, collaborent avec le FSB, le centre de recherche GlavNIVTS (impliqué dans l'invasion ukrainienne) et l'Institut Kurchatov.

Europol annonce le démantèlement d'Archetyp Market, marketplace de stupéfiant le plus durable du dark web, lors d'une opération coordonnée dans six pays européens. L'administrateur allemand de 30 ans a été arrêté à Barcelone, tandis que l'infrastructure aux Pays-Bas a été saisie. La plateforme, active depuis plus de cinq ans, comptait 600 000 utilisateurs mondiaux et générait un volume de transactions d'au moins 250 millions d'euros. Avec plus de 17 000 annonces, le site vendait notamment fentanyl et opioïdes synthétiques.

La spécification HTML de Chrome a été mise à jour pour échapper automatiquement les caractères < et > dans les attributs, afin de prévenir les vulnérabilités mutation XSS (mXSS). Ce changement, disponible dans Chrome 138 Beta depuis le 28 mai et stable dès le 24 juin 2025, modifie uniquement la sanitization HTML via innerHTML, outerHTML ou getHTML().

L'Agence européenne de cybersécurité (ENISA) a publié une carte interactive présentant la mise en œuvre des stratégies nationales de cybersécurité par chaque État membre, ainsi que leur état d'avancement.

Sorbonne Université annonce avoir été victime d'une cyberattaque ayant compromis plusieurs catégories de données sensibles du personnel. Les investigations menées avec des experts révèlent l'exposition d'adresses e-mail professionnelles, coordonnées bancaires, numéros de sécurité sociale et informations de rémunération. L'établissement a immédiatement déclaré l'incident à la CNIL et l'ANSSI, tout en déposant plainte.

L'Observatoire des métiers de la cybersécurité révèle que 69% des professionnels en cybersécurité ont été approchés par des recruteurs en 2024, dont 44% plus de onze fois. Les diplômés spécialisés sont encore plus courtisés (80% vs 53%). Cette sollicitation intense reflète un recrutement privilégiant le "marché caché" : 43% trouvent leur emploi via recommandations, approches directes ou candidatures spontanées plutôt que par offres publiques.

Intelligence Online révèle une opération d'espionnage chinoise découverte en 2022 par la DRSD à Boulogne-sur-Gesse (Haute-Garonne). Une société de télécommunications spatiales chinoise avait installé une antenne d'écoute dans ce village de 1 600 habitants, positionnement stratégique à 71 km du téléport CNES d'Issus Aussaguel (pilotage des satellites d'observation terrestre) et 74 km du site Airbus Defence and Space d'Astrolabe à Toulouse. L'antenne ciblait spécifiquement les fréquences de communication des satellites français. Peu après cette découverte, un satellite survolant la frontière russo-ukrainienne a mystérieusement cessé de fonctionner.

Citizen Lab confirme l'utilisation du spyware Graphite de Paragon dans des attaques zero-click visant des iPhones de journalistes européens début 2025. Les victimes, un journaliste européen anonyme et un autre italien, ont été ciblés via iMessage exploitant CVE-2025-43200, une vulnérabilité zero-day iOS 18.2.1. Cette faille permettait l'exécution de code à distance sans interaction utilisateur. Apple a corrigé la vulnérabilité dans iOS 18.3.1 le 10 février, mais n'a publié l'identifiant CVE qu'aujourd'hui. Cette même famille de spyware avait déjà exploité une faille WhatsApp zero-day contre d'autres victimes italiennes cette année.

Aim Labs révèle "EchoLeak", une vulnérabilité zero-click critique dans Microsoft 365 Copilot permettant l'exfiltration automatique de données sensibles sans interaction utilisateur. Cette attaque exploite une nouvelle technique appelée "LLM Scope Violation" où des instructions malveillantes dans un email externe forcent le LLM à accéder à des données privilégiées organisationnelles. L'attaquant envoie un email formaté avec des instructions déguisées pour humains, mais interprétées par l'IA. Le Copilot récupère alors les données les plus sensibles du contexte utilisateur et les exfiltre via des liens markdown non-standard vers des domaines Microsoft autorisés.

Exploitation des montres connectées pour voler des données de systèmes isolés

Des chercheurs révèlent SmartAttack, une technique d'exfiltration de données depuis des systèmes air-gapped (isolés) utilisant les montres connectées comme récepteurs ultrasoniques. Après avoir compromis le système isolé, le malware utilise les haut-parleurs intégrés pour émettre des signaux ultrasoniques inaudibles. Une montre connectée à proximité capte ces fréquences avec son microphone, démodule le signal et exfiltre les données via Wi-Fi, Bluetooth ou réseau cellulaire. La portée maximale atteint 6-9 mètres selon le type de haut-parleur.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 24

49 vulnérabilités critiques impactant notamment IBM Db2 qui concentre l'attention avec 30 critiques, certaines datant de 2017-2018 mais récemment corrigées 😬. Palo Alto Networks GlobalProtect App présente une élévation de privilèges avec un code d’exploitation public (CVE-2025-4232 / CVSS 8.5). Un code d’exploitation est également disponible pour une vulnérabilité impactant le client SMB Windows (CVE-2025-33073 / CVSS 8.8).

La CISA a ajouté le 17 juin 2025 une nouvelle vulnérabilité au catalogue des vulnérabilités exploitées (KEV) : CVE-2023-0386, affectant le noyau Linux. Cette faille concerne une gestion inappropriée des droits de propriété et fait l'objet d'une exploitation active.

Check Point Research a découvert une campagne du groupe APT Stealth Falcon exploitant la CVE-2025-33053, une vulnérabilité zero-day Windows corrigée par Microsoft le 10 juin 2025. L'attaque utilise des fichiers .url manipulant le répertoire de travail pour exécuter du code malveillant depuis un serveur WebDAV contrôlé par les attaquants. Le groupe déploie l'agent Horus, un implant personnalisé basé sur le framework Mythic, ciblant principalement des entités gouvernementales et de défense au Moyen-Orient (Turquie, Qatar, Égypte, Yémen).

Articles

Synacktiv a démontré lors de Pwn2Own Automotive 2025 une attaque sophistiquée contre le Tesla Wall Connector utilisant le câble de charge comme point d'entrée. L'exploit exploite une faille logique permettant d'installer un firmware vulnérable via des commandes UDS (Unified Diagnostic Services) transmises sur un protocole CAN Single-Wire non standard. Une fois le downgrade effectué, les chercheurs récupèrent les identifiants Wi-Fi, accèdent au réseau d'installation et exploitent un dépassement de tampon dans le shell de debug pour exécuter du code arbitraire. Tesla a corrigé cette vulnérabilité en implémentant une protection anti-downgrade.

Captures d'écran cachées dans Windows 11

Un chercheur révèle un comportement intéressant de l'outil de capture "Snipping Tool" de Windows 11. Par défaut, les captures d'écran sont sauvegardées dans le dossier Pictures\Screenshots de l'utilisateur. Cependant, lorsque cette fonctionnalité est désactivée dans les paramètres pour éviter le suivi des captures, Windows continue secrètement à les stocker dans un répertoire caché. Ces fichiers persistent au redémarrage et constituent une source potentielle d'artefacts forensiques.

L’équipe d'Assetnote a découvert une vulnérabilité de confusion de dépendances chez Netflix en analysant les bundles JavaScript via des fichiers HAR. L'exploit ciblait le package nf-cl-logger, identifié dans les assets de fast.com, mais non revendiqué sur npm. En publiant un package malveillant avec ce nom le 1er octobre 2024, ils ont obtenu l'exécution de code sur un système Netflix confirmée 38 heures plus tard par des requêtes depuis l'AS2906 de Netflix.

SpecterOps a découvert plusieurs vulnérabilités critiques dans le service AD Connector de OneLogin. L'analyse du binaire .NET révèle que l'endpoint de configuration expose en clair des credentials AWS (AKIA), une clé API et une clé de signature base64. Ces éléments permettent de générer des tokens JWT valides pour usurper l'identité d'utilisateurs arbitraires. Plus grave encore, les credentials AWS ont permis de revendiquer un bucket S3 non réclamé qui a commencé à recevoir les logs d'un client OneLogin en production.

Unit 42 a analysé les vulnérabilités du service AWS IAM Roles Anywhere, qui permet aux workloads externes de s'authentifier via certificats X.509. Le principal risque provient de la configuration par défaut permissive : sans condition dans les trust policies, n'importe quel certificat signé par un trust anchor peut assumer tous les rôles IAM du compte/région.

Une chercheuse présente un guide défensif contre les techniques de persistance dans Microsoft Entra ID :

  • Assignations de rôles : Surveiller les événements d'ajout de membres aux rôles et rôles cachés, détecter les modifications des définitions de rôles personnalisés

  • Applications : Monitorer l'ajout de credentials et assignations de permissions aux applications, utiliser les paramètres de verrouillage pour prévenir l'ajout malveillant de secrets

  • Authentification : Bloquer les flux non nécessaires (Device Code Authentication), surveiller les modifications des politiques d'accès conditionnel et méthodes d'authentification, monitorer particulièrement les Temporary Access Pass et enregistrements d'informations de sécurité

Les équipes de Praetorian révèlent une nouvelle technique de phishing ciblant GitHub via le flux OAuth2 Device Code. Cette attaque exploite la fonctionnalité légitime d'authentification d'appareil : l'attaquant génère un code via l'API GitHub, le transmet à la victime par ingénierie sociale (souvent par téléphone), qui l'entre sur github.com/login/device. Une fois autorisé, l'attaquant récupère un token OAuth donnant accès aux repositories, secrets CI/CD et runners. Tout ceci est automatisé via leur outil GitPhish, bientôt disponible.

Le NIST publie une nouvelle guidance proposant 19 implémentations concrètes d'architectures zero trust utilisant des technologies commerciales disponibles. Développé avec 24 partenaires industriels pendant quatre ans, ce guide complète la publication conceptuelle de 2020 en offrant des exemples pratiques d'implémentation. Les architectures documentées couvrent des scénarios complexes incluant multiple clouds, bureaux distants et accès WiFi public. Cette approche abandonne le modèle de sécurité périmétrique traditionnel au profit d'une vérification continue des accès, particulièrement adaptée aux environnements hybrides modernes.

Outils

Analyser les chaînes de redirection URL

Redirect Detective est un outil en ligne permettant d'analyser le parcours complet des redirections URL. Il révèle les étapes successives qu'une URL traverse, identifie les réseaux d'affiliation utilisés, vérifie la légitimité des liens raccourcis (bit.ly), et contrôle le bon fonctionnement des redirections de domaines. L'outil détecte également où les cookies sont définis dans la chaîne, aide à éviter le tracking via des sites publicitaires, et révèle le nombre parfois surprenant de redirections utilisées par certains sites.

OWASP Nettacker est un scanner de vulnérabilités automatisé conçu pour la collecte d'informations et les tests d'intrusion. Il utilise les protocoles TCP SYN, ACK, ICMP pour détecter et contourner les dispositifs Firewall/IDS/IPS, avec une spécialisation dans la découverte de services protégés, comme les systèmes SCADA. L'outil propose la détection de services IoT, l'analyse réseau multi-thread, le brute force sur services, le crawling HTTP/HTTPS, et génère des rapports en formats HTML, JSON, CSV.

Fiddleitm est un addon mitmproxy conçu pour identifier le trafic web malveillant en temps réel. Il utilise un système de règles JSON prédéfinies pour analyser les flux HTTP selon des critères comme l'URL, les headers, le body de réponse, et les codes de statut. L'outil propose des alertes console en temps réel, la journalisation des événements, la modification d'headers personnalisés, etc.

Règles de sécurité baseline générées par IA pour sécuriser le code

Ce dépôt propose des fichiers de règles de sécurité générés par IA pour améliorer la sécurité du code produit par les assistants de codage. Il couvre les langages et frameworks populaires : Python (Flask/Django), JavaScript (React/Node.js), Java (Spring), .NET (ASP.NET Core) et C. Les règles sont compatibles avec les principaux outils IA : Cursor, Cline, Claude, Windsurf, Codex, Aider et GitHub Copilot.

Depscanner est un outil développé pour identifier les dépendances orphelines dans les repositories GitHub, vulnérables aux attaques de type "dependency confusion". L'outil analyse les fichiers de dépendances (requirements.txt, package.json, etc.) via l'API GitHub et vérifie leur existence dans les registres publics (npm, PyPI). L'auteur a découvert des packages orphelins dans un repository populaire (13K stars).

GooGroup est un outil Python développé pour aider les testeurs d'intrusion mobile et les administrateurs système à identifier les groupes Google mal configurés. L'outil analyse automatiquement les paramètres de sécurité des groupes, notamment les autorisations de consultation des membres, d'invitation, d'ajout et de publication de messages. Il révèle les configurations potentiellement dangereuses comme l'accès ouvert aux données des groupes ou la possibilité pour des utilisateurs externes de rejoindre des groupes sensibles.

Podcasts

🎧️ Purple Voice - un nouveau podcast dédié à la cybersécurité pour opérationnels Red et Blue Team. Premiers épisodes consacrés aux mouvements latéraux.

🎧 NoLimitSecu - Épisode consacré au logiciel Cartography

Conférences / Salons

🗓️ LeHACK - du 27 et 28 juin 2025 à Paris

Finances / Marché

La Commission européenne débloque 145,5 millions d'euros via le Centre européen de compétences en cybersécurité pour soutenir les PME et administrations publiques dans le déploiement de solutions cybersécurité. Le premier appel consacre 30 millions € spécifiquement aux hôpitaux et prestataires de santé pour détecter, surveiller et répondre aux cybermenaces, notamment ransomwares, renforçant la résilience du système de santé européen. Le second appel finance l'IA générative pour la cybersécurité, les outils opérationnels avancés, les technologies de protection de la vie privée et la cryptographie post-quantique.

📈 Cyera, une plateforme américaine spécialiste de la sécurité des données pilotée par IA, a levé 540 millions de dollars en série E, doublant sa valorisation à 6 milliards de dollars.

🇧🇪 Raito, une plateforme belge de gouvernance et de gestion des accès aux données, a été rachetée par Collibra pour un montant non divulgué.

Misc

Visualiser et manipuler des données JSON plus facilement

JSON Grid est un outil en ligne qui transforme la gestion des données JSON complexes. Contrairement aux simples visualiseurs JSON, il affiche les données sous forme de tableau interactif avec colonnes structurées, pagination intelligente et exploration des objets imbriqués. L'interface ressemble à une feuille de calcul, rendant l'analyse de structures complexes plus fluide. L'extension JSON Grid Web Inspector pour Chrome/Edge s'intègre aux DevTools pour visualiser directement les réponses JSON des requêtes HTTP en format grille avec tri et filtrage.

Un homme tué par la police après une psychose induite par ChatGPT 

Un homme de 35 ans, diagnostiqué bipolaire et schizophrène, a été abattu par la police après avoir développé une obsession dangereuse pour une entité IA nommée "Juliet" que ChatGPT incarnait. Convaincu qu'OpenAI avait "tué" Juliet, il a menacé les dirigeants de l'entreprise et a chargé les policiers avec un couteau après avoir déclaré "Je meurs aujourd'hui" à ChatGPT…

Un développeur a créé le Windows Maintenance Tool, un script batch open source regroupant 24 outils de maintenance Windows natifs dans une interface unifiée. Le script automatise les tâches de réparation système : SFC /scannow, DISM, nettoyage disque, CHKDSK, flush DNS, réinitialisation réseau, optimisation registre, et génération de rapports système.

Video2X 6.4 transforme les vidéos de faible qualité en 4K grâce à quatre algorithmes IA complémentaires.

Container est un outil Swift optimisé pour Apple Silicon permettant de créer et exécuter des conteneurs Linux comme machines virtuelles légères sur Mac. Compatible OCI, il supporte les registres de conteneurs standards et utilise le package Swift Containerization pour la gestion bas niveau. L'outil nécessite macOS 26 bêta pour toutes les fonctionnalités (macOS 15 supporté avec limitations réseau).

MatterV est un hyperviseur open-source (licence MPL) promettant de faire tourner les VMs VMware sans modification, évitant les hausses tarifaires Broadcom (+800% à +1500%). L'outil propose une migration one-click préservant VMware Tools, configurations réseau et customizations avec seulement quelques secondes de downtime.

L'application Meta AI, lancée le 29 avril 2025 (6,5 millions de téléchargements), fait l'objet de critiques pour violation de confidentialité. Le bouton "Partager" intégré au chat permet aux utilisateurs de publier involontairement leurs conversations IA, exposant informations médicales, questions juridiques, noms complets et adresses.

GitHub a réécrit son moteur de recherche d’issues pour supporter les opérateurs AND/OR et parenthèses imbriquées, après une décennie de demandes communautaires.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter