- Erreur 403
- Posts
- Erreur 403 | #33
Erreur 403 | #33
Microsoft corrige 130 failles dont 14 critiques, CitrixBleed2 exploitée, fuites majeures révélant l'écosystème cyber-espionnage chinois, explosion phishing domaines .es usurpant Microsoft, le ransomware SafePay paralyse le géant Ingram Micro, ajout de 4 vulnérabilités au catalogue KEV, projet UE de déchiffrement ProtectEU 2030, etc.
Bastien Cacace
10th juillet 2025
Sommaire
Infos
Les fuites de données de VenusTech et Salt Typhoon révèlent l'écosystème du piratage étatique chinois. Les documents exposés incluent des listes de cibles internationales, des contrats de collecte de données et des tarifs pour accéder aux serveurs d'organisations étrangères. Ces fuites montrent des transactions détaillées entre entreprises de sécurité et entités gouvernementales, exposant l'ampleur des opérations de cyber-espionnage chinoises.
Cofense rapporte une multiplication par 19 de l'utilisation malveillante des domaines .es, avec 1 373 sous-domaines malveillants identifiés. 95% des attaques usurpent l'identité de Microsoft avec des messages bien conçus sur des thèmes professionnels. Les domaines utilisent des chaînes de caractères aléatoires et sont hébergés sur Cloudflare avec protection CAPTCHA. Cette technique semble être adoptée par de multiples acteurs plutôt qu'un groupe spécifique.
L'Union européenne développe le projet ProtectEU visant à permettre aux autorités de déchiffrer légalement les communications privées d'ici 2030. Cette initiative prévoit le scan automatique des conversations, emails et messages pour détecter des contenus "suspects". Le projet, continuation du controversé ChatControl, permettrait aux forces de l'ordre d'accéder aux données chiffrées. Les critiques dénoncent une surveillance de masse menaçant les droits fondamentaux et la vie privée des citoyens européens.
Ingram Micro, distributeur mondial d'équipements informatiques, a été victime d'une attaque par ransomware le 4 juillet. Le groupe SafePay aurait compromis les systèmes internes via le client VPN GlobalProtect. L'entreprise a immédiatement sécurisé l'environnement affecté et engagé des experts en cybersécurité ainsi que les forces de l'ordre. Le site web reste inaccessible plusieurs jours après l'attaque, perturbant significativement les opérations commerciales et le traitement des commandes.
Un audit du Système d'Information Schengen II a révélé des milliers de vulnérabilités critiques non corrigées pendant des années. Ce système est utilisé par les autorités frontalières de l'espace Schengen pour ficher les personnes recherchées et interdites de séjour. L'audit a identifié que 69 membres de l'équipe de développement avaient accès à la base de données sans habilitation de sécurité appropriée. Sopra Steria, responsable du système gérant 93 millions d'alertes, a mis entre 8 mois et 5,5 ans pour corriger les failles critiques, tout en réclamant 19 000€ supplémentaires pour certaines corrections malgré un budget de maintenance mensuel dépassant 500 000€.
L'ANSSI et le BSI allemand ont publié un document conjoint sur la vérification d'identité à distance dans le cadre d'eIDAS 2, entré en vigueur en février 2024. Cette seconde édition fait suite à leur première publication de décembre 2023 et accompagne l'introduction de l'European Digital Identity Wallet (portefeuille numérique européen). Le document analyse les enjeux de sécurité liés à l'onboarding des utilisateurs via vérification d'identité à distance, souligne les progrès réalisés face aux menaces évolutives et prône une approche paneuropéenne harmonisée pour les tests, la certification et la normalisation.
Hunters International a annoncé la fin de ses activités le 3 juillet 2025, supprimant son site sur le dark web. Le groupe offre des clés de déchiffrement gratuites aux victimes, affirmant vouloir les aider à récupérer leurs données. Les chercheurs suspectent une reconversion stratégique : les mêmes acteurs auraient créé "World Leaks", un groupe d'extorsion pure listant déjà 31 victimes. Le groupe était connu pour des attaques majeures contre Tata Technologies et la filiale londonienne d'ICBC.
Des chercheurs de Koi Security ont découvert une faille critique dans Open VSX, le marketplace d'extensions open-source utilisé par les forks de VSCode comme Cursor, Windsurf et VSCodium. Cette vulnérabilité permettait à un attaquant de prendre le contrôle total du marketplace via un token super-administrateur exposé lors du processus d'auto-publication des extensions. En exploitant une faille dans le workflow GitHub Actions, un acteur malveillant pouvait publier des mises à jour compromises sur toutes les extensions, affectant potentiellement 8 millions de développeurs.
Atomic macOS Stealer évolue avec l'ajout d'une backdoor permettant un accès persistant aux Mac compromis. Cette mise à jour autorise l'exécution de commandes distantes arbitraires et la surveillance continue du système. Distribué via des sites de logiciels crackés et des campagnes de spear phishing, AMOS a déjà touché plus de 120 pays.
Vulnérabilités
11 vulnérabilités critiques cette semaine. Parmi les failles notables :
CVE-2025-6554 (CVSS 8.1) affectant Chrome, Edge et les plugins Grafana, activement exploitée ;
CVE-2025-20309 (CVSS 10.0) dans Cisco Unified Communications Manager permettant un contournement de sécurité ;
Deux vulnérabilités affectant PHP avec un code d’exploitation publique.
Microsoft a publié des correctifs pour 130 vulnérabilités, dont 14 classées critiques. Une seule vulnérabilité était publique avant le correctif et aucune n'a été exploitée au moment de la publication des correctifs. Microsoft a également traité 9 vulnérabilités non Microsoft supplémentaires.
Des chercheurs ont publié des preuves de concept pour exploiter la vulnérabilité CVE-2025-5777, surnommée CitrixBleed2, affectant Citrix NetScaler. Cette faille critique permet de voler des jetons de session utilisateur via des requêtes POST malformées lors des tentatives de connexion. Les attaquants peuvent extraire environ 127 octets de données par requête. Malgré les dénégations de Citrix, des chercheurs affirment que la vulnérabilité est exploitée depuis mi-juin. L'application immédiate des correctifs est fortement recommandée. WatchTowr a également publié des détails supplémentaires, incluant une preuve de concept.
La CISA a ajouté quatre failles de sécurité à son catalogue des vulnérabilités exploitées (KEV) en raison d'exploitations actives confirmées. Les vulnérabilités concernent : CVE-2014-3931 (CVSS 9.8) affectant Multi-Router Looking Glass avec débordement de tampon, CVE-2016-10033 (CVSS 9.8) dans PHPMailer permettant l'injection de commandes, CVE-2019-5418 (CVSS 7.5) dans Ruby on Rails autorisant la traversée de répertoires, et CVE-2019-9621 (CVSS 7.5) dans Zimbra avec vulnérabilité SSRF. Cette dernière a été exploitée par le groupe chinois Earth Lusca pour déployer des webshells et Cobalt Strike.
Une faille de sécurité (CVE-2025-6463, CVSS 8.8) dans le plugin WordPress Forminator permet aux attaquants de supprimer des fichiers arbitraires et de prendre le contrôle de plus de 400 000 sites web. La faille a été corrigée dans Forminator 1.44.3 avec l'ajout de vérifications strictes des chemins de fichiers. Malgré la disponibilité du correctif depuis le 30 juin, moins de 200 000 téléchargements suggèrent que plus de 400 000 sites restent vulnérables.
La CVE-2025-29306 (CVSS 9.8) permet l'exécution de code à distance sans authentification dans FoxCMS v1.2.5. La vulnérabilité exploite une mauvaise gestion du paramètre "id" dans la fonction PHP unserialize(). Les attaquants peuvent exécuter des commandes système arbitraires via des objets PHP malveillants. Aucun correctif officiel n'est disponible. Les recommandations incluent la suppression de unserialize(), la validation stricte des entrées, le blocage des pages vulnérables et le déploiement de signatures WAF.
Vulnérabilité | Fournisseur | Produit | Sévérité VLAI |
|---|---|---|---|
Microsoft | Windows 10 Version 1809 | High | |
Roundcube | Webmail | High | |
NetScaler | ADC | Critical | |
Chrome | High | ||
Chrome | High | ||
Red Hat | Red Hat Enterprise Linux 10 | Medium | |
Microsoft | Windows 10 Version 1809 | High | |
NetScaler | ADC | Critical | |
D-Link | DIR-645 | Critical | |
ZyXEL | P660HN-T1A | Critical |
Articles
L'article du SANS qui n’est pas récent détaille comment identifier les mécanismes de persistance WMI lors d'investigations forensiques.
L'article révèle l'utilisation d’un paramètre non documenté pour automatiser l'accès Chrome Remote Desktop sans intervention manuelle. L'installation nécessite un compte Google et les droits administrateur locaux. La technique utilise HTTPS et WebRTC pour le transfert de données, offrant une expérience fluide avec peu de latence. L'auteur recommande AppLocker pour prévenir l'installation non autorisée de logiciels. Cette méthode est particulièrement efficace quand l'utilisateur cible n'utilise pas activement sa machine.
La CVE-2025-33073 découverte accidentellement par un chercheur expose une vulnérabilité de réflexion Kerberos permettant l'exécution de code privilégié. L'attaque nécessite un accès réseau, des identifiants de domaine AD valides et cible les systèmes avec SMB signing désactivé. L'exploitation requiert la capacité de forcer l'authentification et manipuler les enregistrements DNS. Le fonctionnement diffère selon que la cible est un contrôleur de domaine ou un serveur membre. L'activation de SMB signing constitue la principale mesure de mitigation.
Les chercheurs ont découvert un secret client exposé dans Synology Active Backup for Microsoft 365 permettant un accès non autorisé aux tenants Microsoft. La vulnérabilité CVE-2025-4679 donnait accès en lecture seule à tous les groupes et aux messages Teams publics et privés. Aucun accès préalable au tenant n'était requis pour l'exploitation.
Azure Load Testing permet l'exécution de code via les fichiers de configuration JMeter et Locust. Les attaquants peuvent injecter du code dans les fichiers JMX utilisant JSR223Sampler pour exécuter des commandes shell, créer des reverse shells et extraire tokens d'identité managée et secrets Key Vault. La détection passe par la surveillance des logs diagnostiques pour l'énumération et l'exécution de tests suspects. NetSPI a développé Get-AzLoadTestingData dans MicroBurst pour automatiser cette extraction.
L'article décrit comment ajouter de fausses données SMBIOS à une machine virtuelle pour contourner les détections anti-VM des malwares. La technique crée des entrées SMBIOS personnalisées Type 27 (dispositif de refroidissement) et Type 28 (sonde de température). Les approches diffèrent entre Xen et QEMU/KVM, nécessitant la création manuelle de séquences d'octets représentant le matériel. L'objectif est de faire apparaître la VM comme une machine physique pour contourner les techniques de détection des malwares.
Quarkslab détaille une méthode pour créer des tokens d'accès personnels non autorisés dans Confluence en manipulant directement la base de données. La technique implique le reverse engineering du processus de génération de tokens, la compréhension de leur structure, et la création d'un script générant et insérant des tokens forgés.
L’article décrit comment trouver et analyser les serveurs Cobalt Strike sur Internet en se basant sur leurs réponses HTTP, extraire les métadonnées de leurs beacons et déchiffrer les données de configuration des exécutables récupérés. Le chercheur a également publié son outil SigStrike.
Des chercheurs d'OX Security révèlent comment contourner les mécanismes de vérification d'extensions dans les IDE populaires (VSCode, Visual Studio, IntelliJ IDEA, Cursor). La faille permet de créer des extensions malveillantes qui conservent leur symbole "vérifié" en modifiant les valeurs de vérification stockées dans les fichiers d'extension. Microsoft considère cette technique comme "by design" et mise sur la vérification de signature, mais les chercheurs confirment que l'exploitation reste possible. Cette vulnérabilité expose particulièrement les développeurs installant des extensions depuis des sources externes comme GitHub.
Un chercheur révèle comment GitHub Archive conserve indéfiniment tous les commits publics, même ceux "supprimés" par force push. En analysant les événements Push sans nouveau commit depuis 2020, le chercheur a découvert des milliers de secrets actifs valant 25 000$ en bug bounties. L'étude exploite l'API GitHub Events et le projet GH Archive pour identifier automatiquement ces commits orphelins. Cette recherche confirme qu'un secret committé doit être considéré comme compromis définitivement.
Outils
TrollBlacklistDLL empêche le chargement de DLL spécifiques en patchant la fonction LdrLoadDll. L'outil lit un fichier blacklist.txt et propose deux exécutables : path.exe pour créer un nouveau processus et pid.exe pour injecter dans un processus existant. L'outil vise principalement à bloquer les DLL d'AV/EDR mais avec un succès variable selon leur méthode de chargement initial.
Kingfisher de MongoDB est un scanner de secrets open-source développé en Rust utilisant le moteur regex Hyperscan d'Intel pour des performances optimales. Il analyse le code source multi-langages via Tree-Sitter, valide les secrets contre les API des fournisseurs cloud et supporte le scan de dépôts Git, organisations GitHub/GitLab et répertoires locaux. L'outil offre plus de 700 règles de détection, plusieurs formats de sortie et s'intègre aux pipelines CI/CD. Il fonctionne entièrement on-premises et réduit les faux positifs grâce à la validation active des secrets.
Force-push-scanner examine les "dangling commits" créés par les événements force push sur GitHub pour identifier les secrets potentiellement exposés (cf. découverte de secrets cachés dans les commits "supprimés" de GitHub plus haut).
LDAPWordlistHarvester génère des listes de mots spécifiques au client en extrayant les données LDAP d'un Active Directory. L'outil codé en Go supporte les connexions LDAP et LDAPS avec diverses méthodes d'authentification (mot de passe, hash, ticket Kerberos). Il permet de configurer le fichier de sortie et s'utilise principalement pour l'audit de mots de passe et l'évaluation de sécurité dans les environnements Active Directory.
The Bastion d’OVH est un outil de gestion d'accès SSH spécialisé servant de point d'entrée sécurisé unique pour les équipes techniques. Il dépasse les fonctionnalités d'un jumphost classique en implémentant une "rupture de protocole" stricte entre l'utilisateur et le serveur distant. L'outil offre l'authentification, l'autorisation, la traçabilité complète des accès, l'enregistrement des sessions terminal et la délégation de responsabilités administratives. Il supporte plusieurs protocoles (SFTP, SCP, RSYNC, proxy HTTPS).
Cursor Security Rules fournit des règles de sécurité pour le développement assisté par IA avec Cursor. Les règles doivent empêcher la génération de code non sécurisé, l'exposition de secrets et l'exécution de commandes dangereuses. Elles couvrent plusieurs langages de programmation (Python, Java, Node.js) et appliquent des pratiques de développement sécurisées.
Un outil d'interface graphique pour valider les clés API et identifiants découverts lors de pentests ou bug bounty. Il teste ces clés depuis votre navigateur en utilisant JavaScript, de sorte que les secrets ne sont jamais collectés ni enregistrés.
Hypnus est une bibliothèque Rust conçue pour l'obfuscation d'exécution. Elle exploite les timers de pool de threads, objets d'attente et APC avec spoofing dynamique de pile d'appel et obfuscation optionnelle du tas.
Podcasts / Vidéos
🎬 Underscore_ - Comment s’introduire dans un bâtiment ultra sécurisé ? (Retex redteam physique)
🎧️ Purple Voice - Élévation de privilèges - Episode 3 : Défense
Conférences / Salons
🗓️ Black Hat Training & Briefings USA - Du 2 au 7 août 2025 - Las Vegas (Etats-Unis)
🗓️ Defcon - Du 7 au 10 août 2025 - Las Vegas (Etats-Unis)
Finances / Marché
Une coalition de 44 grandes entreprises européennes, incluant Airbus, Mercedes-Benz et BNP Paribas, demande un moratoire de deux ans sur l'AI Act de l'UE. Elles considèrent que les règles "floues et redondantes" décourageront les investissements européens en IA et ralentiront l'innovation. Les entreprises craignent que la réglementation ne compromette le développement de champions européens de l'IA et ne désavantage l'Europe face à la Chine et aux États-Unis.
Emmanuel Macron fait de l'entrée renforcée de l'État français au capital d'Eutelsat un "enjeu de souveraineté" face à la domination américaine dans l'espace. L'investissement de 717 millions d'euros, dans le cadre d'une augmentation de capital de 1,35 milliard, portera la participation étatique de 13% à 29%, faisant de la France le premier actionnaire. Cette opération vise à soutenir le seul concurrent non américain et non chinois à Starlink en orbite basse. Eutelsat, fort de plus de 600 satellites depuis sa fusion avec OneWeb en 2023, se positionne comme alternative européenne aux 6 000 satellites d'Elon Musk.
📈 Zscaler, une société américaine spécialisée dans les outils secure access service edge et de réseau, a levé 1,5 milliard de dollars dans un tour de dette post-IPO
Misc
🎬 Sohon Perek, un développeur de logiciels, a récemment fait sensation dans l'écosystème des startups de la Silicon Valley en combinant plusieurs postes simultanés, générant ainsi un revenu annuel pouvant atteindre un million de dollars 🤯.
Doctolib partage son retour d'expérience sur la transition de son monolithe Ruby on Rails (5 millions de lignes de code, 70+ équipes) vers une architecture multi-services, révélant les défis de sécurités majeurs rencontrés.
Jake Gold démontre que les CGI peuvent gérer efficacement des volumes de requêtes élevés sur du matériel moderne. Son test utilisant un programme Go + SQLite sur un processeur AMD 3700X 16 threads atteint plus de 2400 requêtes par seconde, soit plus de 200 millions de requêtes par jour. Les avantages modernes incluent des CPU plus rapides, des langages plus efficaces comme Go et Rust, et une meilleure utilisation des cœurs multiples.
Gmailtail permet de monitorer et interagir avec Gmail via un outil en ligne de commande. Il offre la surveillance d'emails temps réel, le filtrage flexible par expéditeur, sujet, libellés et pièces jointes, plusieurs formats de sortie et un mode REPL interactif.
Firecrawl convertit des sites web entiers en markdown ou données structurées optimisées pour les LLM via une API unique. L'outil scrape, crawle et extrait le contenu assistée par IA.
Une enquête approfondie basée sur 23 000 documents confidentiels dévoile les problèmes de sécurité des véhicules Tesla. Les Tesla Files révèlent plus de 2 400 plaintes d'accélération non intentionnelle, 1 500 problèmes de freinage et plus de 1 000 accidents documentés. L'investigation expose comment Tesla collecte massivement les données véhicules mais refuse de les partager lors d'accidents fatals, marquant les cas comme "résolus" sans explication. Les poignées de porte rétractables d'Elon Musk ont causé au moins 4 accidents mortels, empêchant l'évacuation lors d'incendies. Le système Autopilot se déconnecte mystérieusement une seconde avant impact, permettant à Tesla d'éviter la responsabilité.
La marine colombienne a saisi pour la première fois un semi-submersible sans pilote équipé d'une antenne Starlink, capable de transporter 1,5 tonne de cocaïne. L'embarcation, appartenant au clan del Golfo (plus grand groupe de narcotrafiquants du pays), a été interceptée près de Santa Marta sans drogue à bord, suggérant un test opérationnel.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien