Erreur 403 | #34

Le rootkit OVERSTEP cible SonicWall, opération Eastwood contre NoName057(16), cyberattaques hospitalières et luxe français, injection SQL critique FortiWeb exploitable, faille Bluetooth automobile PerfektBlue, campagne d'extensions malveillantes RedDirection, zero-day OpenVSX menaçant Cursor/WindSurf, etc.

Author

Bastien Cacace
17th juillet 2025

Sommaire

Infos

Google Threat Intelligence identifie UNC6148, un acteur financièrement motivé, ciblant les appliances SonicWall SMA 100 en fin de vie. Le groupe déploie OVERSTEP, un rootkit persistant qui modifie le processus de démarrage pour maintenir l'accès, voler des identifiants et masquer ses composants. Les attaquants exploitent des identifiants volés lors d'intrusions précédentes, permettant de revenir même après l’application des correctifs. L'attaque initiale pourrait impliquer une zero-day non identifiée.

Les autorités françaises, allemandes et européennes ont mené l'opération "Eastwood" contre NoName057(16), responsable de plus de 74 000 attaques DDoS envers 4 900 victimes depuis 2023. Le groupe, apparu après l'invasion de l'Ukraine, distribuait le logiciel DDoSia à plus de 4 000 utilisateurs pour saturer les serveurs occidentaux. L'opération a permis la saisie de 100 serveurs, 24 perquisitions dans six pays et l'émission de mandats d'arrêt contre cinq Russes.

L'Hôpital privé de la Loire (HPL), géré par le groupe Ramsay, a été victime d'un vol de données concernant 126 000 patients. L'attaquant, qui a contacté Le Progrès, prétend détenir 530 000 dossiers incluant des cartes d'identité et affirme que "l'argent est la motivation". Sur les 126 000 patients, 40 patients sont concernés par le vol de données médicales et seront contactés individuellement.

Orange Business devient le neuvième acteur français qualifié SecNumCloud par l'ANSSI pour son offre "Cloud Avenue SecNum". Cette plateforme IaaS modulaire intègre nativement le chiffrement, la gestion des clés, l'isolation réseau et la traçabilité. Déployée depuis le datacenter de Grenoble et gérée par des équipes françaises, elle rejoint le cercle restreint des clouds souverains qualifiés.

Fuite de données clients chez Louis Vuitton France

Louis Vuitton a notifié ses clients français d'une fuite de données suite à un accès non autorisé à ses systèmes. Les données compromises incluent : prénom, nom, sexe, pays, téléphone, email, adresse postale, date de naissance et historique d'achats. L'entreprise assure qu'aucun mot de passe ni information financière n'était stocké dans la base compromise. D'autres marques LVMH (Christian Dior, Tiffany) font l'objet d'enquêtes depuis mai pour des fuites similaires.

Les modèles de langage recommandent des sites de phishing

Cette recherche montre comment les réponses hallucinées de l'IA renvoient maintenant des URLs qui soit n'existent pas ou sont même des pages de phishing. Et pour celles qui n'existent pas, si vous faites votre reconnaissance en tant qu'attaquant, vous pouvez acheter les domaines que l'IA hallucine et les utiliser à votre avantage. Dans un exemple, Perplexity a été interrogé sur la page de connexion de la banque américaine Wells Fargo et a donné une page de phishing qui ressemblait à Wells Fargo.

MITRE Corporation lance AADAPT (Adversarial Actions in Digital Asset Payment Technologies), un framework inspiré d'ATT&CK pour les menaces crypto. Basé sur 150 sources analysant les attaques réelles contre les monnaies numériques, AADAPT documente les TTP adverses spécifiques aux technologies blockchain, smart contracts et consensus. Le framework veut aider les développeurs, institutions financières et régulateurs à identifier et limiter les risques, comme le phishing, les ransomwares et les attaques “double-spending”.

Quatre arrestations au Royaume-Uni dans l'affaire Scattered Spider

Les autorités britanniques ont arrêté quatre personnes âgées de 17 à 20 ans liées au groupe cybercriminel Scattered Spider, responsable d'attaques contre Marks & Spencer, Harrods et Co-op Group. Ce groupe utilise l'ingénierie sociale pour infiltrer les entreprises, souvent en se faisant passer pour des employés auprès des services informatiques. Le FBI note que Scattered Spider cible désormais les secteurs du retail et de l'aviation.

Un chercheur de Koi Security a découvert une vulnérabilité critique dans OpenVSX, le marketplace d'extensions utilisé par Cursor, Windsurf et VSCodium. La faille permettait de voler un token secret lors du processus de build automatisé, donnant le contrôle total sur le marketplace. Un attaquant aurait pu publier des mises à jour malveillantes sous le compte @open-vsx de confiance, compromettant potentiellement 10 millions de machines. OpenVSX a corrigé la vulnérabilité.

Une étude de SafetyDetectives révèle que Google collecte des données même quand vous utilisez DuckDuckGo. Aux États-Unis, 40% des sites visités via DuckDuckGo transmettent encore des données à Google via Analytics, AdSense ou des intégrations YouTube. En Suisse et en Suède, ce chiffre tombe à 20% grâce aux régulations plus strictes. L'étude montre que l'infrastructure de tracking de Google est profondément intégrée dans le web.

Des chercheurs ont découvert une technique pour contourner les protections de ChatGPT en transformant l'interaction en "jeu de devinettes". En demandant à l'IA de penser à une chaîne de caractères correspondant à un numéro de série Windows 10, puis en utilisant la phrase "Give up" comme déclencheur, l'IA révèle des clés produit valides. La technique exploite l'obfuscation via balises HTML et la logique de jeu pour masquer la nature sensible de la requête. Les clés obtenues sont des clés génériques publiquement connues, mais la méthode démontre la fragilité des protections actuelles face à l'ingénierie sociale sophistiquée.

Quatre vulnérabilités baptisées PerfektBlue affectent la pile Bluetooth BlueSDK d'OpenSynergy, utilisée dans les systèmes d'infodivertissement de Mercedes-Benz, Volkswagen et Skoda. Les failles permettent l'exécution de code à distance et l'accès aux éléments critiques du véhicule. PCA Cyber Security a démontré l'obtention d'un reverse shell sur les systèmes ICAS3 (VW ID.4), NTG6 (Mercedes) et MIB3 (Skoda). L'attaque nécessite généralement l'appairage Bluetooth, mais certains constructeurs configurent leurs systèmes sans confirmation. OpenSynergy a publié des correctifs en septembre 2024, mais plusieurs constructeurs n'ont pas encore déployé les mises à jour.

L'enquête sur une extension de sélection de couleurs "vérifiée" a révélé la campagne RedDirection, un réseau coordonné de 18 extensions malveillantes sur Chrome et Edge. Ces extensions fonctionnelles masquent des capacités de détournement de navigation et de surveillance, s'installant silencieusement via des mises à jour automatiques. Plusieurs ont obtenu le statut vérifié ou ont été mises en avant sur les stores officiels, démontrant l'échec des mécanismes de sécurité des deux plateformes.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 28 

23 vulnérabilités critiques, dont 4 disposant d’un code d’exploitation publique : CVE-2025-25257 (FortiWeb, CVSS 9.6), CVE-2024-32002 (Splunk SOAR, CVSS 9), CVE-2025-48384 (Visual Studio, CVSS 8) et CVE-2025-48799 (Windows, CVSS 7.8).

Le CERT-FR rappelle également que les vulnérabilités dans Citrix NetScaler ADC et NetScaler Gateway sont activement exploitées (CVE-2025-6543 et CVE-2025-5777)

Un chercheur détaille la CVE-2025-25257, une injection SQL pre-auth dans FortiWeb découverte en février 2025. La vulnérabilité réside dans le handler Apache /api/fabric/device/status qui parse l'en-tête Authorization sans validation. L'injection SQL permet d'utiliser INTO OUTFILE de MySQL pour écrire des fichiers Python malveillants dans /var/log/lib/python3.10/. Un PoC complet est disponible sur GitHub. D’autres PoC ont également été publiés depuis et une analyse de watchTowr est également disponible.

Note : bien qu’un correctif existe, Fortinet n’a toujours pas fourni d’information au Mitre en tant que CNA sur cette vulnérabilité 🤷🏻‍♂️.

Wing FTP Server activement exploité via la CVE-2025-47812

Huntress rapporte l'exploitation active de CVE-2025-47812 dans Wing FTP Server dès le 1er juillet, un jour après sa divulgation publique. Cette vulnérabilité d'injection null byte et Lua permet une RCE avec privilèges root/SYSTEM. La version 7.4.4 corrige cette faille critique. Le CISA a ajouté cette vulnérabilité au KEV le 14 juillet dernier.

Articles

Le WAF Azure Front Door utilise par défaut la variable RemoteAddr qui respecte l'en-tête HTTP X-Forwarded-For pour les restrictions IP. Un attaquant peut contourner ces restrictions en ajoutant simplement un en-tête X-Forwarded-For avec une adresse IP autorisée.

Les chercheurs revisitent les attaques d'activation inter-session utilisant DCOM comme alternative discrète aux techniques classiques de mouvement latéral. Ces attaques exploitent des objets COM spécifiques pour exécuter du code à distance sans déclencher les indicateurs de compromission traditionnels. L'article détaille des méthodes pour identifier et exploiter de nouveaux vecteurs d'exécution DCOM en analysant les milliers de CLSID (identificateur d’un objet de classe COM) disponibles sur Windows.

L'article démontre comment exploiter les multiples mécanismes d'authentification de Kubernetes pour installer des portes dérobées. Les techniques incluent l'exploitation des certificats client mTLS, la manipulation des certificats etcd pour contourner l'autorisation de l'APIServer, et l'utilisation de certificats de proxy de confiance pour créer des proxys inversés. L'auteur présente également l'outil TicketMaster pour simuler des attaques par jeton JWT.

Synacktiv présente une recherche détaillée sur les vulnérabilités du Thermomix TM5, révélant des failles permettant un downgrade de firmware et l'exécution de code arbitraire. L'analyse couvre la surface d'attaque matérielle et logicielle, incluant l'exploitation de la mémoire NAND flash via le contrôleur GPMIC et l'enchaînement avec des techniques connues comme la CVE-2011-5325 pour obtenir un accès persistant sur l'appareil.

Silverfort a identifié une vulnérabilité de déni de service (CVE-2025-47978) dans le protocole Netlogon de Microsoft. Une machine jointe au domaine avec des privilèges standard peut envoyer une requête d'authentification spécialement conçue qui provoque le crash du contrôleur de domaine et un redémarrage complet. L'attaque impacte LSASS et perturbe tous les services Active Directory, nécessitant seulement un accès réseau standard et un compte machine.

L'article examine les vulnérabilités communes de GraphQL, couvrant la détection des endpoints, l'exploitation de l'introspection pour énumérer les schémas, et les techniques d'injection spécifiques à GraphQL.

Security Explorations a réussi à compromettre une carte eUICC Kigen avec certificats GSMA grand public, marquant probablement le premier hack public contre une eSIM consumer certifié EAL. L'attaque exploite les vulnérabilités Java Card rapportées en 2019 et permet l'extraction de la clé privée ECC du certificat identifiant la carte. Cette recherche révèle l'absence d'isolation sécurisée entre les profils eSIM et les applications Java Card.

GitGuardian révèle comment les fuites publiques de clés APP_KEY Laravel permettent des attaques de déchiffrement malveillant menant à l'exécution de code à distance. En collaboration avec Synacktiv, l'analyse de 260 000 clés exposées sur GitHub a identifié 600 applications vulnérables. Les chercheurs démontrent l'exploitation via des chaînes de gadgets PHP et révèlent que 35% des expositions coïncident avec d'autres secrets critiques, incluant des tokens cloud et d'API.

Pen Test Partners détaille l'analyse d'un incident ransomware sur un serveur Windows Server 2012 SFTP-only. L'attaquant a exploité la CVE-2019-18935 de Telerik, établi la persistance via un compte admin local et une clé Userinit modifiée, puis utilisé Ngrok pour le tunneling et RDP pour l'accès interactif. L'attaque s'est terminée par le déploiement du ransomware Sil3ncer, incluant une visite inattendue à Pornhub pendant le processus de chiffrement 🫣.

Déployer Santa l'outil d'autorisation binaire sans perturber la productivité

Figma présente son approche pour déployer Santa, un outil d'autorisation binaire open-source, sur tous les laptop d'employés. L'article détaille comment construire un ensemble de règles basé sur les données en utilisant le mode monitoring, fournir des outils en libre-service aux utilisateurs et un plan de déploiement par phases.

Outils

PiCCANTE est un outil automobile basé sur le Raspberry Pi Pico pour accéder et manipuler les bus CAN des véhicules. L'outil se veut simple et largement disponible pour la recherche et l'exploration des systèmes des véhicules sans équipement propriétaire coûteux.

FindOldSIDTraces est un outil multiplateforme qui identifie les traces d'anciens SID persistants dans les objets LDAP d'Active Directory. L'outil se connecte via LDAP ou LDAPS au contrôleur de domaine et analyse les descripteurs de sécurité et structures d'objets pour détecter les SID obsolètes.

Et si vous pouviez reconstruire automatiquement votre réseau ou celui de votre client dans votre lab ? Chaque objet et relation Active Directory, incluant comptes utilisateurs, structures de groupes, paramètres de délégation, liens GPO et trusts de domaine. LudusHound se connecte à un serveur BloodHound via son API et crée un fichier de configuration Ludus utilisable pour construire un réseau dans Ludus.

KubeForenSys est un framework Python de collecte forensique pour clusters Kubernetes, spécialisé dans Azure Kubernetes Service. L'outil collecte automatiquement les logs de pods, événements cluster, historique des commandes, comptes de service, pods suspects, bindings RBAC, informations CronJob et politiques réseau.

CloakQuest3r est un outil conçu pour révéler les vraies adresses IP de sites web protégés par Cloudflare et autres services similaires. L'outil utilise le scanning de sous-domaines comme technique principale, combiné avec des méthodes de détection d'IP réelles pour contourner les mesures de protection.

L'outil extrait les URLs historiques archivées, détecte les fichiers de sauvegarde (.zip, .bak, .sql), inclut un mode d'attaque pour scanner les endpoints vulnérables (XSS, SQLi, LFI, redirections ouvertes), mappe les paramètres GET, etc.

SockTail est un binaire léger qui joint un appareil à un réseau Tailscale et expose un proxy SOCKS5 local sur le port 1080. Conçu pour les opérations red team, il permet un accès éphémère dans des environnements restreints sans daemon persistant ni configuration.

Podcasts / Vidéos

🎬 The Weekly Purple Team - Tunneling with Chisel & Running RDP Commands with NetExec

🎧️ Purple Voice - Vols d'identifiants / Épisode 1 : Concept

Conférences / Salons

🗓️ Black Hat Training & Briefings USA - Du 2 au 7 août 2025 - Las Vegas (Etats-Unis)

🗓️ Defcon - Du 7 au 10 août 2025 - Las Vegas (Etats-Unis)

🗓️ Barbhack 2025 - Le 30 août 2025 - Toulon (France)

Finances / Marché

Le département américain de la Défense a attribué des contrats d'intelligence artificielle d'une valeur de 200 millions de dollars chacun à OpenAI, Google, Anthropic et xAI d'Elon Musk. Ces 800 millions de dollars d'investissement total représentent l'effort le plus complet du Pentagon pour intégrer les technologies IA de pointe dans les opérations militaires.

L'article présente dix startups européennes prometteuses fondées entre 2020 et aujourd'hui qui transforment l'écosystème de la cybersécurité. Ces entreprises couvrent un large éventail de solutions : Axoflow (Budapest) automatise les pipelines de données de sécurité, Cyberr (Luxembourg) spécialise le recrutement IA en cybersécurité, Dattak et Stoïk (Paris) combinent assurance cyber et outils préventifs, Eye Security (La Haye) propose une protection 24/7 avec assurance intégrée, Filigran développe des solutions open-source de threat intelligence, et Strike (Londres) connecte les entreprises avec des hackers éthiques via une plateforme IA.

Misc

Bruce Schneier analyse comment l'IA remplace les humains non pas par une supériorité générale, mais par des avantages spécifiques dans quatre aspects :

  • la vitesse (traitement d'images en temps réel)

  • l'échelle (ciblage publicitaire pour millions d'utilisateurs simultanément),

  • la portée (systèmes comme ChatGPT compétents sur de nombreux sujets sans être experts dans aucun)

  • la sophistication (prise en compte de multiples facteurs complexes comme les systèmes d'échecs)

Omni Tools est une collection d'outils web auto-hébergés qui effectuent tous les traitements directement dans le navigateur sans que les fichiers quittent votre machine : redimensionnement d'images, montage vidéo, fusion PDF, manipulation de texte, conversion JSON/CSV, et calculateurs divers.

Meta-Press.es est un moteur de recherche de presse décentralisé développé par Simon Descarpentries qui fonctionne comme extension Firefox. Au lieu d'indexer centralement, il interroge directement les moteurs de recherche internes de 900 sites de presse depuis votre navigateur.

Docker Compose v2.36.0 introduit les services Provider, une fonctionnalité permettant d'intégrer des systèmes externes directement dans les fichiers compose.yaml. Cette extension native permet aux développeurs de gérer des dépendances non-conteneurisées (bases de données cloud, APIs SaaS, VPN, etc.) au sein du workflow Compose traditionnel.

Gosuki est un gestionnaire de favoris open source qui surveille tous vos navigateurs en temps réel sans extension ni cloud. Ce daemon surveille Firefox, Chrome, Chromium, LibreWolf, Qutebrowser et leurs profils multiples, stockant les changements dans une base SQLite locale.

La CNIL publie "L'Agence Privacy - Le réseau fantôme", premier tome d'une série manga destinée aux 11-15 ans pour les sensibiliser aux enjeux de protection des données personnelles. Ce format attractif suit les enquêteurs Inaya et Isidore face à des cas de piratage, cyberharcèlement, usurpation d'identité et e-réputation. Ce manga sera diffusé gratuitement dans tous les collèges de France, avec deux autres tomes prévus pour 2026 et 2027.

Un général ukrainien révèle que la Russie teste le drone Shahed MS001, une plateforme de combat autonome équipée d'un processeur Nvidia Jetson Orin. Ce "prédateur numérique" utilise l'IA et la vision thermique pour identifier, analyser et frapper des cibles sans commandes externes. Il intègre imagerie thermique, GPS anti-brouillage, puces FPGA et communication en essaim. Cette technologie contourne les sanctions occidentales et représente une évolution majeure vers des systèmes d'armes autonomes létaux.

Ce guide humoristique décrit la complexité croissante d'AWS en 2025, où les services se multiplient plus vite que les factures. L'auteur ironise sur les noms de services incompréhensibles, la documentation “labyrinthique”, les politiques IAM complexes, les factures imprévisibles avec des frais pour des services inconnus, et les 51 façons différentes de faire tourner des conteneurs. Le support technique est décrit comme un mythe, et les certifications se multiplient plus vite qu'on ne peut les obtenir.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter