- Erreur 403
- Posts
- Erreur 403 | #31
Erreur 403 | #31
Salt Typhoon frappe les télécoms canadiens, QR codes weaponisés au JavaScript, une IA champion du bug bounty, DDoS record 7,3 Tbps, 748 imprimantes Brother compromises, backdoor Fortinet, extension du support Windows 10 pour 30$, etc.
Bastien Cacace
26th juin 2025
Sommaire
Infos
Des hackers soupçonnés de travailler pour le gouvernement chinois ont exploité une vulnérabilité critique, patchée 16 mois plus tôt, pour compromettre un fournisseur de télécommunications canadien. Le Centre Cyber canadien et le FBI confirment que les acteurs responsables sont "certainement" Salt Typhoon, groupe d'espionnage lié à la République populaire de Chine. Les attaquants ont exploité la CVE-2023-20198 dans Cisco iOS XE en février 2025, récupérant des fichiers de configuration et créant un tunnel pour collecter le trafic réseau.
Les attaquants exploitent désormais les Data URIs pour intégrer directement du HTML et JavaScript dans les QR codes, créant une nouvelle menace de phishing sophistiquée. Contrairement aux techniques précédentes qui redirigent vers des sites malveillants, cette méthode encode le payload complet dans le QR code sous forme base64. Le code s'exécute immédiatement au scan sans clic supplémentaire, contournant les systèmes de sécurité traditionnels qui analysent les URL externes. Les capacités incluent la création de fausses pages de connexion, la capture de frappes clavier et l'exfiltration de données.
"Xbow", actuellement en tête du leaderboard des hackers américains sur HackerOne, n'est ni un hacker expérimenté ni même un humain. Il s'agit d'un agent IA entièrement automatisé, entraîné sur de vraies données de vulnérabilités.
L'ANSSI vient de publier son guide "Les Essentiels - Modèle Zero Trust" proposant une dizaine de recommandations pour adopter progressivement ce modèle de sécurité. Le Zero Trust vise à réduire la confiance implicite accordée aux sujets accédant au système d'information via une évaluation dynamique et régulière des utilisateurs, du contexte d'accès et de la criticité des ressources. L'agence insiste sur une approche complémentaire à la défense périmétrique, non alternative, avec une transformation maîtrisée pour éviter d'affaiblir le SI.
Microsoft propose d'étendre le support de Windows 10 d'une année supplémentaire via trois options : synchronisation gratuite des paramètres avec OneDrive, utilisation de 1 000 points Microsoft Rewards, ou paiement de 30 dollars. Cette proposition s'adresse aux machines incompatibles avec Windows 11 après l'arrêt du support prévu le 14 octobre 2025. Un assistant sera déployé cet été pour guider les utilisateurs dans ce choix.
Des attaquants russes attribués au groupe UNC6293 ont mené une campagne d'ingénierie sociale sophistiquée pour contourner l'authentification multifacteur de Gmail. Entre avril et juin 2025, ils ont ciblé des universitaires et personnes critiques de la Russie en se faisant passer pour des responsables du Département d'État américain. Les victimes reçoivent des instructions PDF détaillées pour créer un mot de passe d'application Google, censé permettre l'accès sécurisé à cette plateforme gouvernementale. En réalité, ce mot de passe offre aux attaquants un accès complet aux comptes Gmail, contournant efficacement la 2FA. Google recommande son Advanced Protection Program qui bloque la création de mots de passe d'application pour se protéger de telles attaques.
Le NCSC britannique a révélé une nouvelle campagne malveillante baptisée "UMBRELLA STAND" ciblant spécifiquement les firewalls Fortinet FortiGate 100D via un framework sophistiqué de backdoors et communications chiffrées.
Contrairement aux gros titres alarmistes, la découverte de 16 milliards d'identifiants exposés par Cybernews ne constitue pas une nouvelle violation de données majeure. Il s'agit en réalité d'une compilation d'identifiants précédemment volés via des infostealers, des fuites de données antérieures et des attaques par credential stuffing. Ces données circulaient probablement depuis des mois, voire des années, avant d'être rassemblées dans une base de données temporairement exposée sur Internet.
Cloudflare a annoncé avoir automatiquement bloqué la plus importante attaque DDoS jamais enregistrée, atteignant un pic de 7,3 térabits par seconde (Tbps) en mai 2025. L'attaque, ciblant un hébergeur anonyme, a délivré 37,4 téraoctets de données en seulement 45 secondes, bombardant en moyenne 21 925 ports de destination sur une seule adresse IP avec un pic à 34 517 ports par seconde.
AWS a publié son "Threat Technique Catalog for AWS", un guide détaillé des techniques utilisées par les attaquants pour exploiter les mauvaises configurations ou identifiants compromis côté client dans le modèle de responsabilité partagée AWS. Ce catalogue, basé sur MITRE ATT&CK, compile les techniques observées par l'équipe AWS CIRT lors d'incidents de sécurité réels. Il distingue les techniques MITRE existantes (enrichies de contenus AWS spécifiques) des nouvelles techniques AWS. Chaque technique inclut les noms d'événements CloudTrail associés facilitant la chasse aux menaces et les investigations.
L’OWASP a publié son nouveau "Top 10 for Business Logic Abuse", une approche pour identifier les vulnérabilités liées aux défauts de conception dans la logique applicative. Contrairement aux vulnérabilités traditionnelles, comme l'injection SQL, ces attaques exploitent les flux métiers, transitions d'état et processus décisionnels des applications.
Les chercheurs de Zimperium zLabs découvrent une évolution sophistiquée du malware bancaire GodFather utilisant la virtualisation on-device pour détourner les applications légitimes. Au lieu des overlays traditionnels, le malware installe une application hôte contenant un framework de virtualisation qui télécharge et exécute une copie réelle de l'app bancaire ciblée dans un environnement contrôlé. Le malware cible actuellement une douzaine d'institutions financières turques parmi 500 applications, incluant banques, cryptomonnaies, réseaux sociaux et plateformes de paiement.
Cato CTRL révèle la découverte de Nytheon AI, une plateforme sophistiquée de modèles de langage non censurés accessible via Tor, succédant à WormGPT. Cette plateforme combine plusieurs LLM open-source modifiés et permet la création rapide de contenus malveillants : phishing personnalisé, malware, deepfakes documentaires, etc.
Vulnérabilités
Cinq vulnérabilités critiques avec notamment Citrix NetScaler, Moodle et Veeam Backup & Replication. Aucune exploitation ni preuve de concept publique n’a été identifiée pour ces vulnérabilités.
Rapid7 a découvert 8 nouvelles vulnérabilités affectant 689 modèles Brother et 59 modèles d'autres fabricants (FUJIFILM, Ricoh, Toshiba Tec, Konica Minolta), soit 748 modèles au total. La plus critique, CVE-2024-51978 (CVSS 9.8), permet de contourner l'authentification en générant le mot de passe administrateur par défaut à partir du numéro de série de l'appareil. Cette faille exploite la procédure de génération de mots de passe par défaut utilisée pendant la fabrication. Brother indique qu'elle ne peut être entièrement corrigée par firmware et nécessite un changement du processus de fabrication.
Un chercheur a découvert une vulnérabilité critique (CVE-2025-48703) dans CentOS Web Panel permettant l'exécution de code arbitraire sans authentification. CWP, utilisé par plus de 200 000 instances mondiales selon Shodan, présente deux failles combinables dans sa fonction de gestion de fichiers.
Tenable Cloud Research révèle GerriScary, une vulnérabilité dans la plateforme Gerrit de Google permettant l'injection de code malveillant dans au moins 18 projets Google, incluant ChromiumOS (CVE-2025-1568), Chromium, Dart et Bazel.
Articles
Ce guide détaille comment exploiter les vulnérabilités ADCS en utilisant uniquement les outils natifs Windows comme certutil et certreq. L'auteur démontre l'énumération des autorités de certification, l'exploitation des vulnérabilités ESC1, ESC2/ESC3, ESC15 et ESC4 via des fichiers de politique personnalisés et des requêtes CSR.
Huntress a analysé une campagne d'intrusion sophistiquée sur macOS menée par le groupe nord-coréen BlueNoroff (TA444/Sapphire Sleet) ciblant une fondation de cryptomonnaies. L'attaque débute par un contact Telegram avec un lien Calendly factice redirigeant vers un faux domaine Zoom. Lors d'une réunion Zoom fictive utilisant des deepfakes de dirigeants d'entreprise, la victime est incitée à télécharger une "extension Zoom" malveillante.
Un chercheur découvre une faille critique dans les réveils connectés Loftie permettant l'exécution de code à distance. L'infrastructure backend utilise MQTT sans authentification appropriée, avec des certificats partagés publiquement accessibles dans le firmware. Les attaquants peuvent envoyer des commandes à n'importe quel réveil, notamment pour forcer une mise à jour Over-The-Air depuis une URL arbitraire. Le firmware non signé peut être modifié et déployé sur plus de 40 000 appareils, offrant un accès aux réseaux WiFi domestiques. Malgré plusieurs tentatives de divulgation responsable, Loftie aurait nié l'existence du problème.
Un bug hunter découvre une vulnérabilité de type "Password Reset Poisoning" permettant de compromettre des comptes utilisateurs. L'application utilisait l'en-tête HTTP Host non validé pour construire les liens de réinitialisation de mot de passe. En modifiant cet en-tête via Burp, l'attaquant peut rediriger le lien de reset vers son propre domaine, interceptant ainsi le token de réinitialisation.
Les analystes de Trail of Bits révèlent des comportements inattendus dans les parseurs JSON, XML et YAML de Go qui créent des vulnérabilités. Trois scénarios d'attaque principaux émergent :
l'exposition de données privées via de mauvaises configurations de tags (comme
json:"-,omitempty"au lieu dejson:"-")les différentiels entre parseurs permettant des contournements d'authentification (Go traite les clés JSON de manière insensible à la casse, contrairement aux autres parseurs)
la confusion de formats grâce à la capacité du parseur XML à traiter les données "garbage".
Ces failles ont déjà causé des vulnérabilités documentées comme CVE-2020-16250 (Hashicorp Vault). JSON v2 devrait corriger plusieurs de ces problèmes en durcissant les comportements par défaut.
L'article expose un guide pratique pour la gestion des accès dans Amazon Redshift, comblant le manque de ressources structurées sur ce sujet. L'auteur détaille le framework sécuritaire de Redshift : authentification (IAM, SSO, MFA), autorisation (permissions par défaut, RBAC), chiffrement des données et fonctionnalités avancées.
Slack propose des logs d'audit aux clients Enterprise Grid pour enregistrer toutes les actions sur la plateforme. L'article détaille les événements d'anomalies, qui indiquent des comportements suspects détectés par les pipelines d'analyse de Slack. Ces anomalies incluent user_agent (changement d'agent utilisateur), excessive_downloads (téléchargements excessifs), ip_address (adresse IP inhabituelle) et unexpected_scraping (scraping détecté).
Wiz présente leur approche pour fine-tuner Llama 3.2 1B afin de détecter les secrets dans le code, atteignant 86% de précision et 82% de rappel. Face aux limitations des regex (compréhension contextuelle limitée, 60% de couverture) et des LLM massifs (coûts élevés, problèmes de confidentialité), l'équipe a développé un modèle spécialisé assez efficace. Le modèle final traite les fichiers en ~10 secondes sur CPU standard.
Fog Security publie une recherche sur les formats ARN AWS, révélant 1 929 ARN différents supportés par AWS IAM, contre seulement 397 (20,58%) dans le générateur de politiques officiel d'AWS. L'étude identifie 152 ARN sans Account ID spécifié (comme les buckets S3 : arn:${Partition}:s3:::${BucketName}) et 171 ARN sans région dans le format.
Le chercheur explique comment les attaquants contournent les solutions EDR modernes en utilisant des techniques comme :
Injection de code malveillant dans des processus de confiance
Living off the land (LOLBins) : exploitation d'outils système légitimes
Contournement des hooks API via des appels système directs (direct syscalls)
Évasion en mémoire (in-memory evasion)
Désactivation directe des EDR
L'article aborde des exemples concrets (familles de malware, APTs) pour chaque technique, ainsi que les contre-mesures déployées par les EDR.
Outils
CTail est un outil Go permettant de surveiller en temps réel les logs Certificate Transparency et d'extraire les noms d'hôtes, offrant une alternative aux services hébergés comme crt.sh ou CertStream.
IPsum est un feed de threat intelligence automatisé agrégeant plus de 30 listes publiques d'adresses IP suspectes ou malveillantes. Les listes sont récupérées et analysées quotidiennement, avec chaque IP accompagnée du nombre d'occurrences dans les blacklists (plus le nombre est élevé, moins le risque de faux positif).
Des graphiques open-source mettant en lumière les données des comptes compromis fournis par haveibeenpwned.com.
Ce plugin Caido permet de colorer automatiquement les requêtes HTTP selon des patterns définis, facilitant l'identification visuelle et le regroupement dans l'historique proxy. Les fonctionnalités incluent la correspondance automatique par méthode/hôte/chemin, la coloration rétroactive des requêtes existantes lors de la création d'une règle, et la coloration temps réel des nouvelles requêtes.
LinWinPwn est un script bash automatisant de nombreux outils d'audit Active Directory : énumération (LDAP, RPC, ADCS, MSSQL, Kerberos, SCCM), vérifications de vulnérabilités (noPac, ZeroLogon, MS17-010), modifications d'objets (changement de mot de passe, ajout utilisateur au groupe, RBCD, Shadow Credentials) et extraction de mots de passe (secretsdump, lsassy, nanodump, DonPAPI). L'outil intègre impacket, bloodhound, netexec, enum4linux-ng, ldapdomaindump, certipy et bien d'autres.
"Have I Been Squatted" aide à identifier rapidement les domaines typosquattés imitant un site web cible, révélant ainsi des menaces potentielles de phishing ou de tromperie.
Dork King est un outil gratuit qui génère des requêtes de recherche avancées pour identifier des vulnérabilités de sécurité et des données exposées. Vous saisissez un domaine cible, et l'outil fournit des requêtes pertinentes pour une collecte d'informations rapide.
Cette collection rassemble des outils de cybersécurité présentés officiellement lors des conférences Black Hat (USA, Europe, Asie, MEA, Canada) depuis 2013. Ce dépôt couvre 9 catégories : Red Teaming, Blue Teaming, OSINT & reconnaissance, développement d'exploits, analyse de malware, DFIR & forensique, Threat Intelligence, ICS/IoT/SCADA, et sécurité applicative.
Un environnement auto-hébergé pour exécuter du code non fiable (généré par des utilisateurs ou IA) en toute sécurité, grâce à des microVMs ultra-rapides (démarrage en 200ms) et une isolation robuste.
Conférences / Salons
🗓️ LeHACK - du 27 et 28 juin 2025 à Paris.
Finances / Marché
🇱🇺 TaDaweb, une plateforme luxembourgeoise d'intelligence en sources ouvertes (OSINT) et d'investigation, a levé 19,8 millions de dollars.
Misc
Cette analyse révèle l'ampleur extraordinaire des données que ChatGPT accumule sur ses utilisateurs via sa nouvelle fonctionnalité "memory dossier". Une simple commande permet d'extraire un profil JSON détaillé incluant les préférences de réponse, les sujets de conversation passés, et des métadonnées comportementales. Le système documente avec précision les intérêts techniques, la localisation géographique, les habitudes d'utilisation et même la qualité des interactions.
Raymond Chen révèle une technique ingénieuse utilisée dans les années 1990 pour contourner les restrictions logicielles. Les éditeurs comme LitWare verrouillaient leurs logiciels aux PC de fabricants partenaires en recherchant des chaînes de copyright spécifiques dans le BIOS (ex: "Copyright Fabrikam Computer"). Pour déverrouiller les fonctionnalités complètes sur leurs machines non-autorisées, certains constructeurs comme Contoso ajoutaient astucieusement la chaîne "Not Copyright Fabrikam Computer" dans leur BIOS. Cette méthode était complètement légale.
Un homme de Philadelphie âgé de 38 ans a été arrêté pour avoir installé des caméras espions déguisées en stylos dans des toilettes publiques d'Ocean City.
Depuis le 18 juin 2025, l'Iran connaît une coupure Internet massive confirmée par les données de Censys. Le nombre d'hôtes visibles a chuté drastiquement le 19 juin, atteignant son minimum le 21 juin avant une récupération progressive. Censys a créé un tableau de bord public pour suivre la connectivité iranienne en temps réel.
Oleg Kutkov détaille comment retirer physiquement le routeur WiFi intégré du terminal Starlink Mini pour une utilisation Ethernet uniquement. Cette modification s'applique au Mini 1 uniquement et nécessite un démontage précis avec des outils spécialisés.
NormCap est un outil de capture d'écran basé sur l'OCR qui permet d'extraire du texte au lieu de sauvegarder des images.
Apple dévoile ASIF (Apple Sparse Image Format) dans macOS Tahoe, un format d'image disque révolutionnaire pour la virtualisation. Contrairement aux images UDSP qui plafonnent à 0,1 GB/s chiffrées, ASIF atteint 8,3 GB/s en écriture sur M4 Pro - soit 83 fois plus rapide. Ce format sparse optimise l'espace disque tout en exploitant pleinement les performances SSD.
L'Anthropic Cookbook propose des exemples de code et guides pour développer avec Claude. Nécessite une clé API Anthropic et connaissances Python recommandées. Couvre la classification, génération augmentée (RAG), résumé, intégration d'outils, bases vectorielles, recherche web, capacités multimodales, techniques avancées (sous-agents, PDFs, évaluations automatisées, mode JSON, modération, cache de prompts).
Midjourney lance son modèle vidéo V1, transformant images statiques en vidéos de 5 secondes via interface web. Deux modes disponibles : automatique (IA décide) ou manuel (prompt descriptif).
Notepad Next est une réimplémentation multiplateforme de Notepad++ disponible sur Windows, Linux et macOS. Bien que stable et utilisable, l'application présente encore des bugs et implémentations partielles, non recommandée pour tâches critiques. À suivre.
Slack Export Viewer transforme les archives JSON d'export Slack en interface web navigable. Idéal pour la nécessitant consultation d'historiques.
GitHub a franchi le cap du milliard de dépôts depuis 2008, et le hasard a voulu que le milliardième repository soit baptisé "shit" par le développeur népalais Aasish Pokhrel. Ce projet minimaliste ne contient qu'un fichier README.md affichant simplement "shit", mais est devenu viral avec 3 200 étoiles, 435 issues et 200+ forks.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien