- Erreur 403
- Posts
- Erreur 403 | #32
Erreur 403 | #32
La Suisse touchée par un ransomware, vulnérabilités critiques exploitées (Cisco ISE, WordPress Motors, Chrome zero-day), campagne d'espionnage chinoise "Houken" contre la France, limitation d'Internet par la Russie, décès lié à une cyberattaque hospitalière, l'ENISA publie une guide d'implémentation pour NIST2, etc.
Bastien Cacace
3rd juillet 2025
Sommaire
Infos
La Suisse confirme qu'un ransomware a compromis des données gouvernementales via une cyberattaque contre l'organisation tierce Radix. Cette fondation zurichoise de promotion de la santé, qui travaille pour diverses administrations fédérales, cantonales et municipales, a été ciblée le 16 juin par le groupe Sarcoma. Les attaquants ont volé et chiffré des données avant de les publier gratuitement sur le dark web le 29 juin dans une archive de 1,3 To. Cette exposition inclut documents scannés, dossiers financiers, contrats et communications.
Microsoft retire progressivement la gestion des mots de passe de son application Authenticator d'ici août 2024. Depuis juin, l'ajout de nouveaux mots de passe est bloqué et la fonction autofill sera désactivée en juillet. La firme redirige les utilisateurs vers le navigateur Edge pour la gestion des identifiants
L'ANSSI dévoile les activités du groupe d'intrusion "Houken", responsable d'une campagne d'exploitation de vulnérabilités zero-day contre les appliances Ivanti CSA en septembre 2024. Ce groupe modérément sophistiqué combine l'usage d'exploits zero-day et de rootkits avancés avec des outils open-source développés par des personnes sinophones. Ciblant les secteurs gouvernemental, télécoms, médias, finance et transport français, Houken utilise une infrastructure diversifiée incluant VPN commerciaux et serveurs dédiés. L'ANSSI établit des liens avec le groupe UNC5174, suggérant un courtier d'accès initial opérant pour des intérêts étatiques chinois.
Un rapport de l'Inspecteur général du Département de la Justice américaine révèle qu'en 2018, le cartel de Sinaloa d'El Chapo avait engagé un hacker pour espionner l'ambassade américaine à Mexico. Ce cybercriminel proposait des services d'exploitation de téléphones mobiles et dispositifs électroniques. Il a réussi à accéder au numéro de téléphone de l'attaché légal adjoint du FBI pour obtenir historique d'appels et données de géolocalisation. Le hacker a également infiltré le système de caméras de Mexico pour suivre l'agent fédéral et identifier ses contacts. Selon le FBI, le cartel utilisait ces informations pour intimider et parfois tuer des sources potentielles ou témoins coopérants
Des chercheurs ont découvert une technique sophistiquée de dissimulation de spam sur WordPress utilisant deux plugins malveillants travaillant en tandem. Le premier, Yoast SEO Links, agit comme une backdoor permettant l'élévation de privilèges et se cache dans l'interface d'administration. Le second, Performance Labs, crée une option cachée permettant de spécifier quels articles/pages masquer via du CSS. Cette méthode explique pourquoi les contenus spam (casinos en ligne, Farming Simulator 17) étaient invisibles dans wp-admin mais indexés par les moteurs de recherche.
Varonis Threat Labs révèle une campagne de phishing ciblant plus de 70 organisations via l'abus de la fonctionnalité Direct Send de Microsoft 365. Cette fonctionnalité, conçue pour permettre aux appareils internes d'envoyer des emails sans authentification, est détournée par des attaquants pour usurper des utilisateurs internes sans compromettre de comptes.
L'ANSSI, la CNIL, le PEReN et le projet Ipop s'associent pour développer PANAME (Privacy Auditing of AI Models), une bibliothèque logicielle open-source destinée à unifier l'audit de confidentialité des modèles d'IA. Cette initiative répond aux exigences du RGPD soulignées par le Comité européen de la protection des données en décembre 2024, qui impose aux développeurs de modèles d'implémenter des procédures pour limiter la collecte de données personnelles d'entraînement et empêcher leur extraction.
Le gouvernement australien publie un guide complet sur l'implémentation des plateformes SIEM (Security Information and Event Management) et SOAR (Security Orchestration, Automation, and Response). Le document définit ces technologies comme des outils de collecte, centralisation et analyse de logs (SIEM) avec automatisation des réponses (SOAR). Il souligne leurs bénéfices potentiels : amélioration de la visibilité réseau, détection d'activités anormales et réponse automatisée aux incidents.
L'Agence européenne pour la cybersécurité (ENISA) a publié un guide technique destiné à accompagner l'implémentation de la directive NIS2 pour plusieurs types d'entités dans les secteurs de l'infrastructure numérique, de la gestion des services TIC et des fournisseurs numériques. Ce document répond aux exigences de cybersécurité définies au niveau européen par le Règlement d'exécution de la Commission (UE) 2024/2690 du 17 octobre 2024. Le guide d'ENISA propose des conseils pratiques, des exemples de preuves de conformité et des correspondances entre exigences de sécurité pour aider les entreprises à mettre en œuvre la réglementation.
Cloudflare révèle que, depuis le 9 juin 2025, les fournisseurs d'accès Internet russes “throttlent” volontairement les connexions vers les services protégés par Cloudflare et d'autres providers occidentaux comme Hetzner, DigitalOcean et OVH. L'analyse interne de Cloudflare confirme cette limitation technique affecte tous les protocoles (HTTP/1.1, HTTP/2, HTTP/3/QUIC) via injection de paquets et timeouts forcés. Ces mesures s'inscrivent dans la stratégie russe d'isolation d'Internet et de remplacement des technologies occidentales par des alternatives domestiques.
Un patient est décédé lors d'une cyberattaque contre le King's College Hospital NHS Foundation Trust, après un retard prolongé pour obtenir des résultats d'analyses sanguines. Cette cyberattaque par ransomware, attribuée au groupe russe Qilin, avait visé Synnovis, entreprise informatique fournissant des services d'analyses sanguines dans le sud-est de Londres. L'incident avait entraîné le report de 1 100 traitements contre le cancer, l'annulation de 2 000 rendez-vous externes et le report de plus de 1 000 opérations.
Un tribunal russe a libéré quatre membres du groupe ransomware REvil après avoir déterminé que leur détention provisoire équivalait à leur peine. Bien que reconnus coupables de crimes informatiques, ils ont été relâchés sans purger de prison supplémentaire.
Le coffre-fort numérique de La Poste a subi une panne de 10 à 12 heures, privant utilisateurs et entreprises (Amazon, SNCF) d'accès à leurs documents sensibles. Cette indisponibilité prolongée soulève des inquiétudes sur la fiabilité des services de stockage cloud critiques.
Let's Encrypt se prépare à émettre des certificats TLS pour les adresses IP directes, initialement limités à 6 jours de validité sous profil restreint. Cette fonctionnalité révolutionnera l'accès HTTPS aux services utilisant des IP plutôt que des noms de domaine. La limitation temporelle répond aux préoccupations de sécurité liées à la mobilité des adresses IP. Cette évolution facilite la sécurisation des APIs, services internes et infrastructures cloud utilisant des adresses IP dynamiques. L'organisation précise qu'il reste du travail avant le lancement public, sans calendrier défini ni acceptation actuelle de demandes d'inscription.
Vulnérabilités
25 vulnérabilités critiques cette semaine. Citrix NetScaler Gateway présente une faille DoS déjà exploitée (CVE-2025-6543, CVSS 9.2). Cisco Identity Services Engine est impacté par une une vulnérabilité d'exécution de code à distance (CVE-2025-20282, CVSS 10.0), cf. l’article suivant.
Cisco a publié un bulletin de sécurité concernant deux vulnérabilités critiques d'exécution de code à distance dans Identity Services Engine (ISE) et Passive Identity Connector. Les CVE-2025-20281 et CVE-2025-20282 obtiennent le score maximal CVSS de 10.0 et permettent à des attaquants non-authentifiés d'exécuter des commandes arbitraires. La première résulte d'une validation insuffisante dans une API exposée, la seconde d'une validation défaillante de fichiers dans une API interne.
Wordfence révèle l'exploitation massive d'une vulnérabilité critique (CVE-2025-4322, CVSS 9.8) dans le thème WordPress Motors affectant plus de 22 000 sites. Cette faille d'élévation de privilèges permet à des attaquants non authentifiés de modifier le mot de passe de n'importe quel utilisateur, y compris les administrateurs, en exploitant un défaut de validation d’authentification.
La faille CVE-2025-32462 présente depuis 12 ans dans Sudo permet une élévation de privilèges vers root sans exploit. L'option -h (--host), introduite en 2013 pour lister les règles sudo d'un autre hôte, peut être détournée pour exécuter des commandes avec des privilèges élevés. Lorsque des règles sudo utilisent des directives Host ou Host_Alias (courantes en entreprise), un attaquant peut spécifier un hôte distant autorisé pour contourner les restrictions locales.
Les chercheurs de WatchTowr ont identifié une chaîne d'exploitation permettant l'exécution de code à distance sans authentification sur Sitecore Experience Platform. L’exploitation combine trois vulnérabilités : des identifiants codés en dur (mot de passe "b" pour ServicesAPI), une faille ZIP Slip post-authentification, et un téléchargement de fichier non restreint. Cette combinaison permet aux attaquants de s'authentifier, télécharger un webshell malveillant et compromettre entièrement le système. Plus de 22 000 instances exposées sont estimées affectées, touchant les versions 10.1 à 10.4.
GreyNoise rapporte une hausse de l'activité de scans ciblant MOVEit Transfer depuis le 27 mai 2025, passant de quasi-zéro à plus de 319 adresses IP uniques en 48 heures. Sur 90 jours, 682 IPs ont été détectées, dont 44% provenant de Tencent Cloud. Des tentatives d'exploitation ont été observées le 12 juin contre les CVE-2023-34362 et CVE-2023-36934. Cette activité peut suggérer une menace émergente, car les pics de scanning précèdent souvent l'apparition de nouvelles vulnérabilités.
Citrix corrige la CVE-2025-5777 (CVSS 9.3), une vulnérabilité critique similaire à CitrixBleed permettant de lire la mémoire des appliances Netscaler configurées comme passerelles ou serveurs AAA. Cette faille autorise un attaquant distant non authentifié à accéder à des informations sensibles, notamment des jetons de session pouvant être rejoués pour contourner la MFA.
Google a publié des correctifs d'urgence pour une vulnérabilité zero-day dans le moteur JavaScript V8 de Chrome, marquant la quatrième faille de ce type corrigée depuis janvier. La CVE-2025-6554, une vulnérabilité de "confusion de type", permet aux attaquants de potentiellement exécuter du code arbitraire. Découverte par l'équipe Threat Analysis Group de Google, cette vulnérabilité est activement exploitée.
Articles
Des chercheurs de SafeBreach révèlent l'attaque "C4" (Chrome Cookie Cipher Cracker) permettant de déchiffrer les cookies Chrome protégés par AppBound Encryption depuis un compte utilisateur non privilégié. Cette protection introduite en juillet 2024 utilise un double chiffrement DPAPI (utilisateur + SYSTEM) avec validation de chemin via un service d'élévation COM. Les attaquants exploitent une attaque "Padding Oracle" en analysant les logs d'événements Windows pour casser le chiffrement SYSTEM-DPAPI en 16 heures environ.
SpecterOps présente une mise à jour du projet Misconfiguration Manager à TROOPERS 25, révélant de nouvelles vulnérabilités dans SCCM. En un an, l'équipe a ajouté 20 nouvelles techniques offensives, incluant une technique de reconnaissance critique (RECON-6) permettant d'énumérer les bases de données SCCM via les clés de registre HKLM\SOFTWARE\MICROSOFT\SMS.
Les chercheurs de SpecterOps révèlent AORTA (Account Operators Replicating Trust Attack), une technique exploitant trois groupes par défaut d'Active Directory. Un attaquant avec des privilèges Account Operators peut s'ajouter aux groupes Incoming Forest Trust Builders et DnsAdmins, créer une relation de confiance avec délégation TGT activée, puis forcer un contrôleur de domaine à s'authentifier vers un serveur contrôlé par l'attaquant. Cette technique permet de capturer le TGT du contrôleur de domaine et d'effectuer un DCSync pour compromettre entièrement le domaine, sans configuration personnalisée requise.
SpecterOps introduit quatre nouvelles arêtes dans BloodHound pour remplacer TrustedBy et mieux représenter les relations de confiance Active Directory. Les nouvelles arêtes SameForestTrust, CrossForestTrust, AbuseTGTDelegation et SpoofSIDHistory permettent une modélisation plus précise des chemins d'attaque inter-domaines.
Le Device Code Flow d'Azure peut être détourné pour du phishing en générant des codes uniques que les victimes saisissent sur microsoft.com/devicelogin, permettant aux attaquants de capturer les tokens d'accès et de rafraîchissement. L'attaque implique le déploiement d'un serveur cloud, la création d'une page de phishing générant dynamiquement des codes et l'utilisation d'un proxy pour contourner les restrictions CORS.
Doctolib détaille leur approche multicouche du rate-limiting, évoluant d'un simple rack-attack vers "Rackzilla", leur système de classification intelligent. Face aux attaques adaptatives combinant IP résidentiels et user-agents normaux, l'équipe a développé une solution contextuelle analysant pays, ASN, comptes utilisateurs et comportements.
Les charts Helm publics (packages de déploiement pour Kubernetes) présentent des risques de sécurité détectables via des outils comme Trivy, GitHub Search et OPA. Les vulnérabilités communes incluent les règles RBAC trop permissives, les secrets codés en dur, les contextes de sécurité privilégiés et les dépendances obsolètes. Les techniques de détection impliquent des requêtes GitHub ciblées, le scanning avec Trivy pour les erreurs de configuration et l'utilisation d'OPA pour appliquer des politiques de sécurité.
Les approches IAM traditionnelles échouent, car elles se concentrent sur des listes statiques plutôt que sur la compréhension des mouvements d'attaquants. L'approche Attack Graph First priorise l'analyse des chemins d'attaque sur l'hygiène administrative, se concentrant sur la façon dont les attaquants peuvent atteindre les identités contrôlant les actifs critiques.
L’article expose une vulnérabilité critique souvent négligée : la persistance des données sensibles (mots de passe, clés API) dans la mémoire RAM des applications desktop sur Windows, Linux et macOS. Contrairement aux idées reçues, ces données ne sont pas automatiquement effacées après usage et restent accessibles via des interfaces de débogage ou inspection mémoire.
Pen Test Partners a converti une Renault Clio 2016 en contrôleur de jeu en interceptant les données du bus CAN 🤯.
AWS Backup permet aux attaquants avec des permissions backup:List* ou backup:Describe* de découvrir des ressources critiques sans utiliser les commandes de reconnaissance traditionnelles. Les techniques incluent l'utilisation de aws backup list-protected-resources pour révéler les ressources sauvegardées avec détails ARN, type et dernière sauvegarde, et l'exploration des plans de sauvegarde pour identifier les stratégies de nommage et d'étiquetage organisationnelles.
Outils
Manticore est une bibliothèque Go conçue pour développer des outils de sécurité offensifs et défensifs multiplateformes. Elle propose un support cryptographique étendu incluant les algorithmes d'authentification NTLM, les fonctions de hachage MD4 et RC4, et la génération d'UUID. La bibliothèque implémente les protocoles réseau SMB et LDAP, permettant l'authentification dans différents environnements réseau.
Auto AD Recon est un wrapper Python pour NetExec (anciennement CrackMapExec) qui automatise la reconnaissance Active Directory.
BitlockMove est un PoC exploitant les interfaces DCOM Bitlocker pour effectuer des movements latéraux. L'outil abuse des classes COM configurées comme "INTERACTIVE USER" pour spawner des processus dans la session utilisateur courante, permettant l'exécution de code distant sans compromettre directement les credentials.
SCCMDecryptor-BOF est un Beacon Object File pour déchiffrer les blobs de mots de passe chiffrés dans Microsoft System Center Configuration Manager. Dérivé de l'outil original C# de @xpn, il nécessite un contexte administrateur local sur un serveur SCCM et le fournisseur de services cryptographiques MSMS.
Arsenal d'Orange Cyberdefense est un inventaire et lanceur d'outils offensifs conçus pour simplifier les tests d’intrusion. L'outil permet de rechercher et sélectionner des commandes automatiquement pré-remplies dans le terminal, supportant différents environnements shell et variables globales comme l'adressage IP. Écrit par des pentesters pour des pentesters !
BBOT est un scanner de reconnaissance multifonction qui propose l'énumération de sous-domaines, le spidering web, la collecte d'emails et l’identification de vulnérabilités web.
Seccomp-Diff est un outil d'analyse des profils seccomp-bpf pour conteneurs et processus. Il extrait les filtres seccomp via ptrace, désassemble les filtres seccomp-BPF et liste les appels système autorisés ou bloqués.
Talkback est une plateforme alimentée par l'IA qui agrège et organise les ressources liées à la cybersécurité. La plateforme propose des sections dédiées aux outils, vulnérabilités et sujets d'actualité avec des résumés détaillés d'articles techniques.
Podcasts / Vidéos
🎬 Talk To The Spy - Le Cyber espionnage offensif
🎧️ Hack'n Speak - 0x2E Cravaterouge | Retour sur bloodyAD, une philosophie, badsuccessor
🎧 GDIY - Octave Klaba - La guerre du Cloud commence
Conférences / Salons
🗓️ Black Hat Training & Briefings USA - Du 2 au 7 août 2025 - Las Vegas (Etats-Unis)
🗓️ Defcon - Du 7 au 10 août 2025 - Las Vegas (Etats-Unis)
Finances / Marché
Orange annonce la création d'une direction spécialisée dans la défense et la sécurité, rattachée à Orange Business. Cette nouvelle entité dirigée par Nassima Auvray (ex-DGA) emploie 250-300 personnes et génère "plusieurs centaines de millions d'euros" de chiffre d'affaires. L'opérateur mise sur ses infrastructures (45 000 km de fibre, 450 000 km de câbles sous-marins) et son caractère souverain (État actionnaire à 23%) pour concurrencer Thales, Capgemini et Sopra Steria.
🇨🇭Invariant Labs, une société suisse spécialisée dans la surveillance de sécurité et les garde-fous pour systèmes d'IA et d'IA agentique, a été rachetée par Snyk pour un montant non divulgué.
🇫🇷 Zama, une plateforme française de protection des données spécialisée dans le chiffrement homomorphe, a levé 57 millions de dollars lors d'un financement de série B.
Misc
Des scientifiques chinois de l'Université nationale de technologie de défense du Hunan ont dévoilé un drone de la taille d'un moustique, à peine plus grand qu'un ongle humain. L'appareil dispose de pattes d'insecte et d'ailes translucides, le rendant difficile à détecter visuellement. Contrôlé via smartphone, il embarque des caméras et microphones ultra-miniaturisés capables de capturer images, sons et signaux électroniques.
L'article explore les succès de Kubernetes (conteneurs à grande échelle, infrastructure low-maintenance, découverte de services) et propose des améliorations pour une hypothétique version 2.0. Les changements suggérés incluent le remplacement de YAML par HashiCorp Configuration Language (HCL) pour une meilleure sécurité de type et validation, la flexibilité des backends de stockage au-delà d'etcd, un système de gestion de packages natif "KubePkg" remplaçant Helm, etc.
Memflix révolutionne le stockage de données avec une approche originale : encoder des documents texte dans des QR codes intégrés frame par frame dans des vidéos MP4. Cette bibliothèque JavaScript découpe le texte en chunks sémantiques, génère des embeddings vectoriels, puis encode le tout en QR codes assemblés via FFmpeg. Le système promet un stockage 10x plus efficace qu'une base de données classique avec des recherches sémantiques très rapides sur des millions de chunks.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien