Erreur 403 | #35

Grosse faille SharePoint exploitée massivement, 340k données France Travail volées, les CSIRT au coeur des débats parlementaires, arrestation d'un cybercriminel lié à XSS.is, 64M candidats McDonald's exposés, botnet 10M appareils Android, malwares cachés dans DNS, etc.

Author

Bastien Cacace
24th juillet 2025

Sommaire

Infos

Le parquet de Paris annonce l'arrestation en Ukraine de l'administrateur du forum majoritairement russophone XSS.is, actif depuis 2013. Cette plateforme était l'un des principaux carrefours de la cybercriminalité mondiale, permettant la vente de malwares, d'accès compromis, de données volées et de services liés aux ransomwares. L'enquête française, ouverte en 2021, s'est appuyée sur les données du serveur de messagerie Jabber sécurisé associé au forum. Les messages interceptés ont révélé des activités criminelles ayant généré au moins 7 millions de dollars de bénéfices.

L'agence nucléaire américaine victime d'une attaque via les failles SharePoint

La National Nuclear Security Administration (NNSA) figure parmi les victimes de l'exploitation de failles récemment découvertes dans Microsoft SharePoint (cf. section vulnérabilité). Microsoft attribue ces attaques aux groupes Linen Typhoon et Violet Typhoon, soutenus par l'État chinois. Les intrusions s'étendent également à l'Europe et au Moyen-Orient, soulignant l'ampleur mondiale de cette campagne d'exploitation.

McDonald's a exposé les données personnelles de 64 millions de candidats après que des chercheurs ont découvert que son système de recrutement IA McHire utilisait les identifiants par défaut 123456/123456. Le chatbot développé par Paradox.ai, déployé dans des dizaines de milliers de restaurants, stockait noms, emails et numéros de téléphone des candidats. L'absence de protection contre les attaques par force brute et d'authentification multifacteur a permis cette compromission triviale.

France Travail a subi une cyberattaque le 12 juillet 2025, compromettant les données personnelles de 340 000 demandeurs d'emploi. L'attaque a visé Kairos, un service de gestion des demandes de formation, via le compte compromis d'un organisme de formation de l'Isère infecté par un infostealer. Les données consultées incluent noms, prénoms, dates de naissance, identifiants France Travail, adresses email et postales, ainsi que numéros de téléphone. L'alerte a été donnée par le CERT-FR et l'organisme a signalé la violation à la CNIL tout en portant plainte.

Microsoft emploie des ingénieurs basés en Chine pour maintenir les systèmes cloud du département de la Défense américain, révèle une enquête de ProPublica. Le système repose sur des "digital escorts", citoyens américains avec habilitation sécurité censés superviser le travail. Cependant, ces superviseurs, souvent d'anciens militaires payés à peine plus que le salaire minimum, manquent d'expertise technique pour identifier des activités malveillantes 🙄. Microsoft affirme avoir divulgué ce modèle au gouvernement, mais plusieurs anciens responsables déclarent n'en avoir jamais entendu parler.

La France expose les données de ses citoyens aux lois américaines de surveillance

Anton Carniaux, directeur des affaires publiques de Microsoft France, a admis devant une commission d'enquête ne pouvoir garantir que les données françaises hébergées par Microsoft ne seront jamais transmises aux autorités américaines sans accord français. Le Cloud Act et le Foreign Intelligence Surveillance Act permettent effectivement aux services américains d'exiger l'accès aux données détenues par des entreprises américaines, même stockées à l'étranger. Malgré des directives gouvernementales déconseillant l'usage d'outils Microsoft ou Google dans l'éducation, le ministère a signé un contrat de 74 millions d'euros avec Microsoft. L'École polytechnique a également migré vers Microsoft 365, illustrant ce que le Sénat qualifie de dépendance systématique aux solutions américaines.

Des chercheurs de DomainTools ont identifié des malwares stockés dans les enregistrements TXT DNS, une technique permettant la persistance jusqu'à suppression manuelle des enregistrements. L'analyse a révélé des exécutables fragmentés sur plusieurs sous-domaines utilisant des valeurs entières pour reconstituer l'ordre correct. La découverte souligne l'importance de surveiller les configurations DNS inhabituelles dans les environnements d'entreprise.

La police japonaise a publié un déchiffreur gratuit pour les ransomwares Phobos et 8Base, permettant aux victimes de récupérer leurs fichiers sans payer de rançon. L'outil, probablement développé suite au démantèlement récent du gang, fonctionne sur les fichiers avec extensions .phobos, .8base, .elbie, .faust et .LIZARD.

Le JPCERT/CC détaille l'exploitation active des vulnérabilités CVE-2025-0282 et CVE-2025-22457 d'Ivanti Connect Secure depuis décembre 2024. Les attaquants déploient MDifyLoader, un chargeur basé sur libPeConv utilisant RC4 pour déchiffrer Cobalt Strike Beacon. Le code est fortement obfusqué avec du junk code pour entraver l'analyse.

Un nouveau rapport retrace l'évolution des “Honkers”, hackers patriotiques chinois des années 90-2000, devenus piliers de l'appareil d'espionnage étatique. L'exemple de Tan Dailin illustre cette trajectoire : étudiant hacker remarqué par l'Armée populaire de libération en 2005, formé dans des camps militaires, fondateur du groupe NCPH développant des outils tels que des rootkits. Payé initialement 250$ puis 1000$ mensuels pour ses piratages, il rejoint ensuite le MSS au sein d'APT41. Inculpé en 2020 par les États-Unis pour avoir piraté plus de 100 cibles, cette évolution systématique des “Honkers” vers les APT étatiques révèle comment la Chine a transformé une culture hacker underground en capacité offensive nationale.

Ce post Linkedin synthétise l'audition du 15 juillet 2025 à l'Assemblée nationale de Vincent Strubel (DG ANSSI) qui a détaillé l'avenir des CSIRTs face aux députés. La Revue nationale stratégique 2025 prévoit leur pérennisation via un modèle de co-financement plutôt qu'un financement intégral par l'État. Strubel souligne leur complémentarité avec le GIP ACYMA : ce dernier assure l'aiguillage via la plateforme 17 Cyber qui remplacera progressivement cybermalveillance.gouv.fr, orientant les victimes vers prestataires privés, CSIRTs ou forces de l'ordre selon leurs besoins.

Google a déposé une plainte contre les opérateurs du botnet Badbox 2.0, qui a infecté plus de 10 millions d'appareils Android dépourvus des protections de sécurité Google. Le malware préinstallé crée une backdoor pour des fraudes à grande échelle. Les opérateurs vendent l'accès aux appareils comme proxies résidentiels et conduisent des fraudes publicitaires en créant de fausses vues.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 29

10 vulnérabilités critiques avec notamment Google Chrome et Microsoft Edge qui sont affectés par la CVE-2025-6558 (CVSS 8.8), une faille de contournement de politique de sécurité activement exploitée. Le bulletin rappelle l'exploitation active des vulnérabilités Citrix NetScaler (CVE-2025-5777 et CVE-2025-6543), avec publication d’un PoC triviale à utiliser.

Le CISA confirme l'exploitation active d'une chaîne de vulnérabilités SharePoint combinant CVE-2025-49706 (spoofing) et CVE-2025-49704 (RCE), publiquement connue sous le nom "ToolShell". Cette chaîne fournit un accès non authentifié aux systèmes et permet l'exécution de code via usurpation réseau. Les nouvelles CVE-2025-53771 et CVE-2025-53770 représentent des contournements des correctifs précédents. CISA recommande l'application immédiate des correctifs Microsoft, la configuration AMSI avec Defender AV, et la rotation des clés machine ASP.NET.

Microsoft recommande de déconnecter les serveurs d'Internet si ces derniers ne peuvent pas appliquer le correctif rapidement et que l’AMSI ne peut être activé.

Microsoft lie formellement l'exploitation des failles SharePoint à trois groupes chinois : Linen Typhoon (APT27), Violet Typhoon (APT31) et Storm-2603.

Une analyse technique du SANS sur l’exploitation de ces failles est également disponible.

Cisco révèle une vulnérabilité critique (CVE-2025-20337 / CVSS 10.0) dans Identity Services Engine et ISE-PIC permettant à un attaquant non authentifié d'exécuter du code arbitraire avec privilèges root. La faille affecte les versions 3.3 et 3.4, résultant d'une validation insuffisante des entrées utilisateur dans une API spécifique. Aucune exploitation malveillante n'a été observée pour le moment.

NVIDIAScape expose un risque pour l'écosystème IA

Wiz Research découvre CVE-2025-23266 (CVSS 9.0), une vulnérabilité critique d'évasion de conteneur dans NVIDIA Container Toolkit affectant tous les principaux fournisseurs cloud IA. Surnommée "NVIDIAScape", elle permet à un conteneur malveillant d'obtenir un accès root complet via un simple Dockerfile de trois lignes. La faille provient d'une mauvaise configuration dans la gestion des hooks OCI.

CrushFTP alerte sur l'exploitation active de CVE-2025-54309, une vulnérabilité zero-day permettant aux attaquants d'obtenir un accès administrateur via l'interface web. Les attaques ont débuté le 18 juillet après que des acteurs aient apparemment reverse engineering le logiciel et découvert cette faille. Les versions antérieures à CrushFTP v10.8.5 et v11.3.4_23 sont vulnérables. La vulnérabilité a été ajoutée au CISA KEV.

Articles

Varonis Threat Labs identifie une erreur subtile dans la configuration AppLocker de Microsoft où le champ MaximumFileVersion est défini à 65355 au lieu de 65535 (valeur maximum d'un entier 16-bit non signé). Cette discordance permet aux attaquants de modifier la version d'un exécutable bloqué pour dépasser la version "maximum", contournant ainsi les restrictions.

Elevation de privilèges locale dans Citrix Virtual Apps and Desktops

Certitude découvre une vulnérabilité d'escalade de privilèges locale dans Citrix Virtual Apps and Desktops permettant à un attaquant avec un utilisateur peu privilégié d'élever ses privilèges vers SYSTEM. Citrix était déjà informé de cette faille deux mois avant la découverte par Certitude et a publié un correctif le 8 juillet 2025 (CVE-2025-6759).

SpecterOps révèle comment récupérer les politiques Network Access Account, Task Sequence et Collection Settings depuis SCCM en relayant un point de management distant vers le serveur de base de données du site. L'attaque exploite le fait que, durant le déploiement d’OS, un nouveau client emprunte brièvement un certificat du point de distribution pour s'authentifier au point de management.

Vulnérabilité d'escalade de privilèges locale ControlPlane sur macOS

Quarkslab explore une vulnérabilité d'élévation de privilèges locale dans ControlPlane, un outil d'automatisation contextuel de macOS, désormais non maintenu. La vulnérabilité permet à un attaquant local d'exploiter la mauvaise validation des entrées dans les communications entre l'application principale et l'helper privilégié. Bien que l'application cible ne soit plus maintenue, cette technique d'exploitation via helper privilégié peut s'appliquer à de nombreuses applications macOS utilisant des architectures similaires.

Permiso démontre comment l'attribut par défaut ms-ds-MachineAccountQuota dans AWS Directory Service peut mener à la compromission d'environnements AD via des attaques Resource-Based Constrained Delegation (RBCD). AWS Directory Service est affecté par les mêmes vulnérabilités que les environnements AD sur site, notamment ses configurations par défaut. L'attaque fonctionne particulièrement bien contre les serveurs Windows sans le correctif CredSSP (CVE-2018-0886), bien qu'AWS soit prompt à patcher ses images officielles.

Datadog Security Labs découvre qu'un service principal (SP) avec les rôles Application Administrator ou Cloud Application Administrator peut élever ses privilèges vers n'importe quel utilisateur hybride Entra ID, incluant Global Administrator. L'attaque exploite le SP Office 365 Exchange Online intégré en ajoutant des identifiants locaux pour le détourner. La permission Domain.ReadWrite.All de ce SP permet d'ajouter un domaine fédéré au tenant. L'attaquant peut ensuite forger un token SAML pour s'authentifier comme n'importe quel utilisateur hybride synchronisé entre AD sur site et Entra ID. Microsoft répond que ce scénario reflète une mauvaise configuration plutôt qu'un contournement de sécurité, cohérent avec les risques documentés du rôle Application Administrator.

Un guide pour appliquer réellement le principe du moindre privilège dans AWS IAM en utilisant Access Analyzer et les données Last Accessed. Les rôles IAM sont souvent sur-privilégiés par défaut avec des permissions comme s3:, iam: ou ec2:*. La méthode recommandée inclut l'utilisation d'Access Analyzer pour auditer l'accès externe, la génération de rapports service last accessed pour identifier les permissions inutilisées, l'analyse CloudTrail avec Policy Simulator pour affiner les politiques, et la surveillance temps réel des élévations via EventBridge.

Trail of Bits analyse le débat autour de l’application Bitchat de Jack Dorsey, soulignant que les critiques et les éloges extrêmes manquent la nuance nécessaire. Les vulnérabilités identifiées sont légitimes, notamment l'attaque man-in-the-middle exploitant le système d'authentification d'identité défaillant et l'absence de forward secrecy par message. Cependant, les critiques ignorent les signaux positifs : code open source, avertissements proéminents sur l'absence d'audit sécurité, corrections rapides des vulnérabilités, et adoption du protocole Noise établi.

Des chercheurs de l'Université de Toronto présentent GPUHammer, la première attaque démontrant des bits flips Rowhammer sur les mémoires GPU, spécifiquement sur GDDR6 d'une NVIDIA A6000.

Outils

AWS lance SRA Verify, un outil open source d'évaluation de la sécurité qui vérifie automatiquement la conformité des implémentations avec l'Architecture de Référence de Sécurité AWS (SRA). L'outil propose des vérifications automatisées pour plusieurs services AWS incluant CloudTrail, GuardDuty, IAM Access Analyzer, Config, Security Hub, S3, Inspector et Macie.

WithSecure Labs publie Kanvas, un outil de gestion de cas de réponse aux incidents doté d'une interface desktop. L’outil intègre des fonctionnalités de visualisation des chaînes d'attaque, de timeline des incidents, de recherche de renseignement sur les menaces, de mapping MITRE ATT&CK et D3FEND, ainsi qu'un éditeur Markdown pour la prise de notes.

RemoteKrbRelayx est un outil Python pour forcer et relayer l'authentification Kerberos via DCOM et RPC. Inspiré de RemoteKrbRelay, l'outil combine potato.py et rpcrelayserver.py avec KrbRelayx. Il supporte différents modes d'authentification, la configuration de serveurs de relais alternatifs, et l'intégration avec ADCS pour la demande de certificats.

Mprecon est un script Python pour récupérer diverses informations depuis un serveur de management SCCM. L'outil permet de localiser les serveurs de points de distribution, lister les points de management avec leurs numéros de build, récupérer les informations d'utilisateur principal via SMSID, demander les informations de site, et rechercher les SMSID via les adresses MAC des appareils.

Open-vbrowser est une plateforme de navigation conteneurisée et sécurisée conçue pour les investigations web. Initialement créé pour l'analyse du deep ou dark web, l'outil permet de naviguer sur Internet sans exposer son identité ou son environnement.

VirusTotal a publié une application sur le PlayStore Android.

Tunnelisez tout votre trafic via WebSocket ou HTTP2 et contournez les pare-feux/DPI. Utile si vous êtes sur un réseau public avec un pare-feu ou proxy qui vous contraint à certains protocoles uniquement.

Supplychain-attack-data est un dataset sur les attaques de chaîne d'approvisionnement logicielle. Le dépôt documente 56 projets open source et 59 incidents où des projets ou produits ont distribué des logiciels malveillants. Chaque incident dispose d'un fichier YAML et les données sont compilées en fichiers CSV pour faciliter l'import dans des tableurs.

Waf-detector est un outil pour détecter et tester les pare-feux d'applications web (WAF) et réseaux de distribution de contenu (CDN). L'outil identifie les protections CloudFlare, AWS WAF, Akamai, Fastly et Vercel.

Podcasts

🎧️ NoLimitSecu - Episode consacré aux dangers de l’OSINT

Conférences / Salons

🗓️ Black Hat Training & Briefings USA - Du 2 au 7 août 2025 - Las Vegas (Etats-Unis)

🗓️ Defcon - Du 7 au 10 août 2025 - Las Vegas (Etats-Unis)

🗓️ Barbhack 2025 - Le 30 août 2025 - Toulon (France)

🎤 Top War Stories from a Try Hard Bug Bounty Hunter - Bug Bounty Village, DEF CON 32

Finances / Marché

Palo Alto Networks étudie le rachat de SentinelOne

SentinelOne pourrait être rachetée par Palo Alto Networks, leader mondial de la cybersécurité valorisé à 134 milliards de dollars. L'entreprise israélienne de cybersécurité, fondée en 2013 par Tomer Weingarten, affiche une capitalisation de moins de 6 milliards de dollars après une baisse de 12% depuis le début d'année. La transaction potentielle pourrait être valorisée entre 8 et 10 milliards de dollars. Cette acquisition permettrait à Palo Alto de renforcer sa position face à CrowdStrike sur le marché des solutions de sécurité des terminaux.

🇪🇸 Internxt, plateforme espagnole de stockage et partage de fichiers sécurisés, a levé 3,8 millions de dollars en série Venture auprès de Prosegur Tech Ventures et Andorra Telecom.

🇮🇹 Exein, plateforme italienne de sécurité firmware et Internet des Objets (IoT), a levé 81,3 millions de dollars en série C auprès de Balderton Capital.

Misc

Le géant taïwanais des semi-conducteurs TSMC annonce le début de construction de quatre nouvelles usines dans le Central Taiwan Science Park cette année. Ces installations produiront des plaquettes en technologie 2 nanomètres avec un objectif de démarrage de la production de masse fin 2028.

Backlog.md est un gestionnaire de tâches natif Markdown et visualiseur Kanban pour tout dépôt Git. L'outil transforme n'importe quel dossier avec un dépôt Git en tableau de bord de projet utilisant des fichiers Markdown simples et une CLI sans configuration.

Cloudflare devient le premier “intermédiaire” à rejoindre le programme britannique de blocage de sites pirates, marquant un changement significatif dans la stratégie de lutte contre le piratage. L'entreprise affiche désormais une erreur 451 "bloqué pour raisons légales" aux utilisateurs britanniques tentant d'accéder à près de 200 domaines pirates récemment ajoutés à la liste sur demande de la Motion Picture Association. Cette évolution surprend, car Cloudflare résistait traditionnellement aux ordonnances de blocage, arguant de leur efficacité limitée puisque les sites restent accessibles en cessant d'utiliser ses services.

Sitespeed.io est une suite d'outils open source pour mesurer les performances de sites web avec de vrais navigateurs dans des conditions réelles. L'outil intègre plusieurs modules (Browsertime, Coach, PageXray, Throttle) et s'installe via Docker. Il propose l'intégration avec Grafana et Graphite pour des dashboards de monitoring complets, le support des tests mobiles Android, et l'exportation de toutes les métriques importantes, incluant les Core Web Vitals.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter