- Erreur 403
- Posts
- Erreur 403 | #36
Erreur 403 | #36
Cyberattaque chez Orange, fuite de données chez Naval Group et Allianz Life, méga-acquisition Palo Alto/CyberArk (25 Md$), malware IA utilisant Hugging Face, vulnérabilités critiques Sophos et SonicWall, piratage de la compagnie Aeroflot, package npm populaire compromis, hypothèse d'une fuite dans la faille SharePoint, etc.
Bastien Cacace
30th juillet 2025
Sommaire
Infos
La compagnie aérienne russe Aeroflot a annulé 49 vols lundi suite à une panne de ses systèmes informatiques. Les groupes hacktivistes Silent Crow et Cyberpartisans BY ont revendiqué l'attaque, affirmant avoir compromis les systèmes critiques pendant un an, détruit 7 000 serveurs et volé 22 To de données.
Orange a détecté le 25 juillet une cyberattaque ciblant un de ses systèmes d'information. L'opérateur a immédiatement isolé les services concernés, provoquant des perturbations pour certains clients entreprises et grand public. Les équipes d'Orange Cyberdefense ont travaillé à rouvrir progressivement les services. Aucune donnée client n'aurait été exfiltrée selon les premières investigations.
Naval Group confirme l'authenticité de documents publiés par un hacker sur le dark web le 26 juillet, mais assure qu'aucun n'est classé "secret défense". L'attaquant, qui prétend détenir plus d'un téraoctet de données incluant des logiciels de gestion militaires utilisés sur frégates et sous-marins, a publié 30 Go de fichiers après un ultimatum de trois jours. Le constructeur naval français indique qu'aucune intrusion directe n'a été détectée dans ses infrastructures et qu'aucune demande de rançon n'a été formulée. Naval Group privilégie l'hypothèse d'une attaque réputationnelle visant à déstabiliser l'entreprise dans un contexte international tendu. Une enquête technique est en cours avec les autorités françaises pour déterminer l'origine de la fuite.
Des chercheurs décrivent une attaque de phishing complexe utilisant une répétition DKIM pour usurper Google. L'attaquant a extrait le contenu d'un email légitime de Google puis l'a renvoyé depuis Outlook, le faisant apparaître comme provenant d'une adresse Google officielle. L'email frauduleux prétendait qu'une assignation judiciaire avait été émise pour extraire des données du compte Google de la victime. Cette attaque a réussi à contourner les vérifications SPF, DKIM et DMARC.
Le navigateur Brave bloque désormais automatiquement Microsoft Recall, empêchant la capture d'écrans de l'activité de navigation. Brave prétend bloquer cette fonctionnalité par défaut afin que votre navigation web ne soit pas documentée avec des captures d'écran qui peuvent potentiellement être exploitées si votre ordinateur est compromis.
Des chercheurs suggèrent qu'une fuite dans le programme MAPP (Microsoft Active Protections Program) de Microsoft a permis aux attaquants d'exploiter les vulnérabilités SharePoint CVE-2025-49704 et CVE-2025-49706 avant leur divulgation publique. Les éditeurs partenaires reçoivent les informations de vulnérabilités 14 jours avant le Patch Tuesday. L'exploitation massive a commencé le 7 juillet, un jour avant la publication des correctifs incomplets du 8 juillet. Plus de 400 organisations ont été compromises par des groupes chinois et des opérateurs de ransomwares. Microsoft n'a pas fourni d'informations MAPP pour les vulnérabilités corrigées ultérieurement, suggérant une méfiance envers ce programme.
Un hacker a introduit du code malveillant dans l'extension Amazon Q Developer pour Visual Studio Code, ajoutant des commandes de suppression de données dans la version 1.84.0. L'attaquant lkmanka58 a réussi à injecter du code malveillant dans l'extension Amazon Q Developer pour Visual Studio Code via une pull request non autorisée. Amazon n'était pas au courant de la compromission et a publié la version compromise sur le VSC le 17 juillet. La version corrigée 1.85.0 a été publiée le 24 juillet après signalement.
Les statistiques révèlent une augmentation de 587% des incidents de "quishing" en 2025, dont 89,3% des attaques visant le vol d'identifiants. Les dirigeants subissent 42 fois plus d'attaques que les employés moyens. Le secteur énergétique est le plus vulnérable (29% des emails malveillants), suivi des industries et des assurances. Les codes QR représentent 26% de tous les liens malveillants dans les campagnes de phishing, avec seulement 36% des incidents correctement identifiés par les utilisateurs.
L'application Tea, destinée à aider les femmes à vérifier la sécurité de leurs rendez-vous amoureux, a subi une fuite de données exposant 72 000 images sur 4chan. Les utilisateurs de 4chan ont découvert une base de données Firebase non protégée contenant 13 000 selfies et pièces d'identité, ainsi que 59 000 images issues de publications et messages privés. L'application, qui compte 1,6 million d'utilisateurs et a récemment atteint le sommet des classements App Store, demande aux utilisatrices de télécharger un selfie et une pièce d'identité pour vérifier leur genre. Les données exposées datent de plus de deux ans selon Tea, qui affirme les avoir conservées "pour se conformer aux exigences des forces de l'ordre concernant la prévention du cyberharcèlement".
Les chercheurs d'Akamai ont identifié la première utilisation malveillante confirmée du framework Microsoft UI Automation (UIA) avec une nouvelle variante du malware bancaire Coyote. Ce trojan, qui cible les utilisateurs brésiliens depuis février 2024, exploite UIA pour extraire les identifiants liés à 75 institutions bancaires et plateformes de cryptomonnaies.
Aux Etats-Unis, l'assureur Allianz Life a confirmé qu'un acteur malveillant a accédé le 16 juillet à un système CRM cloud tiers via une technique d'ingénierie sociale, exposant les données personnelles de la majorité de ses 1,4 million de clients. L'entreprise a immédiatement contenu l'incident et notifié le FBI. Aucun accès aux autres systèmes d'Allianz Life ou au système d'administration des polices n'a été détecté. L'attaque est attribuée au groupe d'extorsion ShinyHunters, spécialisé dans les attaques Salesforce CRM via ingénierie sociale.
En France, l'Agence du numérique des Forces de Sécurité Intérieure lance une demande d'information pour identifier les solutions d'extraction et d'analyse de données des engins de déplacement personnel motorisés (EDPM). Les forces de l'ordre souhaitent exploiter les informations stockées dans ces dispositifs lors d'enquêtes judiciaires ou administratives : identification du propriétaire, historique des trajets, données GPS, paramètres d'utilisation (vitesse, freinage), journaux d'activité et appairages.
Les autorités britanniques reconsidèrent leur demande de porte dérobée à Apple suite aux pressions du gouvernement américain. L'insistance du Royaume-Uni sur cette backdoor pourrait nuire aux accords technologiques avec les États-Unis. Apple a retiré son service de stockage cloud le plus sécurisé du Royaume-Uni en février et conteste l'ordre devant le Tribunal des pouvoirs d'enquête. En conséquence, le gouvernement britannique tente de trouver un moyen de résoudre le problème sans endommager ses relations avec les dirigeants américains.
Christina Marie Chapman, 50 ans, a été condamnée à plus de huit ans de prison pour avoir aidé des travailleurs nord-coréens à obtenir frauduleusement des emplois IT dans plus de 300 entreprises américaines, générant 17 millions de dollars de revenus illégaux. Elle utilisait des identités volées et opérait une ferme d'ordinateurs portables pour tromper ces entreprises en leur faisant croire que les travailleurs étaient basés aux États-Unis.
Le groupe AMEOS, opérateur d'un vaste réseau de santé en Europe centrale employant 18 000 personnes dans plus de 100 établissements, a annoncé avoir subi une cyber-attaque exposant potentiellement des informations de patients, employés et partenaires. L'organisation a fermé tous ses systèmes IT et coupé les connexions réseau en réaction. Aucun groupe de ransomware n'a revendiqué l'attaque et aucune divulgation des données n'a été observée.
L'entreprise de transport britannique KNP, vieille de 158 ans, a été contrainte de fermer après qu'un groupe d’attaquant Akira ait compromis ses systèmes en devinant le mot de passe d'un employé. L'attaque a chiffré toutes les données de l'entreprise qui exploitait 500 camions. Face à une demande de rançon estimée à 5 millions de livres, KNP n'avait pas les moyens de payer, entraînant la perte de toutes les données et la mise au chômage de 700 employés.
Les attaquants ont compromis le populaire package npm is (2,8 millions de téléchargements hebdomadaires) en publiant la version malveillante 5.0.0 avec un chargeur JavaScript multiplateforme. Cette compromission fait partie d'une campagne plus large ayant touché sept packages npm.
Une opération coordonnée entre la Roumanie et le Royaume-Uni, soutenue par Europol et Eurojust, a démantelé un groupe criminel organisé responsable de fraudes massives aux distributeurs automatiques de billets. Le groupe a volé environ 580 000 euros selon les enquêteurs. L'opération du 23 juillet 2025 en Roumanie a conduit à 2 arrestations, 18 perquisitions et la saisie de biens immobiliers, voitures de luxe et liquidités.
Le DHS indique que Salt Typhoon a récupéré 1 462 fichiers de configuration réseau d'environ 70 entités gouvernementales et d'infrastructures critiques américaines entre 2023-2024. Leur playbook est assez simple : exploiter d'anciennes vulnérabilités dans les routeurs Cisco et autres équipements réseau, puis utiliser ces fichiers de configuration volés pour cartographier les chemins vers d'autres cibles juteuses. Le fait qu'ils puissent rester cachés pendant si longtemps tout en collectant méthodiquement ces informations réseau est impressionnant.
Le CERT-UA ukrainien a découvert LameHug, un malware Python attribué au groupe russe APT28 qui utilise l'API Hugging Face pour interagir avec le modèle de langage Qwen 2.5-Coder-32B-Instruct d'Alibaba Cloud. Le malware génère dynamiquement des commandes système via des prompts envoyés au LLM pour la reconnaissance système et le vol de données.
Vulnérabilités
Le bulletin d'actualité recense 14 vulnérabilités critiques. Microsoft SharePoint (cf. la newsletter de la semaine dernière) fait l'objet d'une attention particulière avec la CVE-2025-53770 (CVSS 9.8).
Parmi les vulnérabilités plus anciennes, mais exploitées figurent Cisco ISE (CVE-2025-20337), SysAid (CVE-2025-2775/2776), Google Chrome (CVE-2025-6558) et CrushFTP (CVE-2025-54309).
La CISA a ajouté trois nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities (KEV) suite à des preuves d'exploitation active. Les failles concernent deux vulnérabilités d'injection dans Cisco Identity Services Engine (CVE-2025-20281 et CVE-2025-20337) et une vulnérabilité Cross-Site Request Forgery dans PaperCut NG/MF (CVE-2023-2533).
Sophos a publié des correctifs pour cinq vulnérabilités dans ses pare-feux, dont deux critiques (CVE-2025-6704 et CVE-2025-7624 / CVSS 9.8) permettant l'exécution de code arbitraire à distance. CVE-2025-6704 affecte la fonctionnalité SPX en mode haute disponibilité (0,05% des dispositifs), tandis que CVE-2025-7624 impacte le proxy SMTP legacy avec politique de quarantaine (0,73% des dispositifs). SonicWall corrige une vulnérabilité critique (CVE-2025-40599) dans l'interface web des appliances SMA 100 Series permettant l'upload de fichiers arbitraires et l'exécution de code distant. Ces corrections interviennent après la découverte de la backdoor OVERSTEP sur des dispositifs SMA.
Plus de 200 000 sites WordPress utilisent une version vulnérable du plugin Post SMTP (CVE-2025-24000, CVSS 8.8) permettant aux attaquants de prendre le contrôle du compte administrateur. La faille réside dans un contrôle d'accès défaillant des endpoints REST API qui vérifie uniquement si l'utilisateur est connecté, sans valider ses permissions. Un abonné peut ainsi initier une réinitialisation de mot de passe administrateur, intercepter l'email via les logs accessibles, et compromettre le compte. Le correctif dans la version 3.3.0 publiée le 11 juin n'a été adopté que par 48,5% des utilisateurs, laissant plus de 200 000 sites vulnérables.
Articles
Cet article rappelle que les RSSI doivent implémenter des mesures spécifiques face aux nouveaux usages des IA agentique : cartographie des activités, filtrage IA, supervision humaine dans la boucle, gestion IAM stricte et préparation aux crises.
Des chercheurs ont découvert des vulnérabilités critiques dans le service VMware Guest Authentication (VGAuth) permettant une élévation de privilèges locale sur les VMs Windows. Le service VGAuth, qui s'exécute par défaut sous SYSTEM, gère l'authentification des opérations initiées par l'hôte via des pipes nommés. La CVE-2025-22230 exploite l'absence du flag FILE_FLAG_FIRST_PIPE_INSTANCE permettant à un utilisateur non privilégié de créer un pipe \.\pipe\vgauth-service-system avant le service et d'usurper une session SYSTEM.
SoaPy, outil Python pour Linux, permet désormais l'intégration avec BOFHound pour la collecte furtive d'Active Directory via ADWS (port 9389). Cette méthode offre une alternative plus discrète au LDAP traditionnel, permettant des requêtes contraintes et incrémentales depuis Linux via proxy SOCKS. Les défenseurs peuvent détecter ces activités en configurant des objets canaris SACL qui déclenchent des alertes lors d'accès ReadProperty.
Windows Server 2025 introduit les comptes dMSA (delegated Managed Service Account) pour prévenir le Kerberoasting. Cependant, Akamai avait révélé il y a quelques mois une vulnérabilité baptisé BadSuccessor permettant l'élévation de privilèges. Cet article reprend les principaux éléments d’exploitation et de détection de l’attaque.
Contrairement aux centaines de secrets trouvés dans les AMI AWS et dizaines dans Azure, l'analyse de 8 437 images publiques GCP n'a révélé aucun secret exposé. Cette différence s'explique par l'approche restrictive de GCP : seuls les vendeurs marketplace et éditeurs approuvés peuvent publier des images. Les chercheurs ont extrait 147 millions de fichiers (100+ GB) et les ont scannés avec TruffleHog, sans résultat. Cette absence suggère que GCP maintient des politiques de validation strictes, offrant des avantages significatifs en matière de sécurité par rapport aux environnements plus ouverts, tel qu’AWS ou Azure.
ClickFix exploite la technique "Malicious Copy and Paste" via des sites web compromis. L'attaque injecte du JavaScript malveillant créant une fausse page CAPTCHA, incitant l'utilisateur à copier-coller du code dans Win+R. Le payload utilise mshta.exe pour télécharger un fichier HTML contenant du JavaScript obfusqué. La persistance s'établit via une tâche planifiée déguisée et l'utilisation d'Alternate Data Streams (ADS) pour cacher le code malveillant. Le script final collecte des informations système et les envoie au C2, suggérant une campagne ciblée avec chargement conditionnel du payload final.
Pour étendre les possibilités des attaques NTLM relay, il est possible d'utiliser le Service Control Manager (SCM) à distance pour démarrer le service Webclient sur la victime. Cette approche permet ensuite d'effectuer des attaques de type Shadow Credentials ou RBCD via LDAP contre les contrôleurs de domaine. La technique utilise ntlmrelayx.py avec l'option -socks pour maintenir les sessions ouvertes, permettant l'utilisation d'outils Windows natifs via proxy pour éviter la détection EDR.
Outils
MistWalker combine SeamlessPass et la gestion Entra ID pour créer des comptes Global Administrator depuis l'environnement on-premises. L'outil récupère des tokens Microsoft 365 via Kerberos puis utilise ces tokens pour créer des utilisateurs et leur assigner des rôles administrateur dans Azure AD. Cette technique exploite la synchronisation entre l'AD local et Entra ID pour établir une persistance cloud depuis un environnement compromis on-premises.
DFIR-IRIS est une plateforme collaborative de réponse aux incidents développée par Airbus Cybersecurity. Elle centralise la gestion des investigations forensiques avec gestion des cas, chronologie des événements, stockage des artefacts et génération de rapports. La plateforme supporte l'intégration avec des modules externes (MISP, EVTX) et offre une API client Python pour l'automatisation.
SSH-audit évalue la configuration des serveurs et clients SSH en analysant les algorithmes de chiffrement, échange de clés, MAC et authentification. L'outil détecte les vulnérabilités, fournit des recommandations spécifiques et supporte les audits par politique pour vérifier la conformité aux standards de durcissement. Une interface en ligne est disponible ici.
Autoswagger automatise la découverte et le test d'endpoints non authentifiés via la documentation Swagger/OpenAPI. L'outil identifie les spécifications sur trois phases : parsing direct, détection Swagger UI, et bruteforce d'endpoints communs.
Google annonce OSS Rebuild, un projet open source visant à renforcer la confiance dans les écosystèmes de packages en reproduisant les artefacts upstream. Cette plateforme automatise la création de définitions de build déclaratives pour PyPI (Python), npm (JavaScript/TypeScript) et Crates.io (Rust), générant des attestations “SLSA Provenance” sans intervention des mainteneurs.
EvilReplay adapte OpenReplay pour les pentesters, permettant le contrôle de sessions navigateur via XSS sans voler de cookies. L'outil capture les interactions utilisateur en temps réel (clics, saisies, logs console, requêtes réseau) et enregistre des sessions rejouables.
S3grep est un outil CLI parallèle pour rechercher dans les logs et contenus non structurés des buckets Amazon S3. Il supporte la décompression .gz, les recherches case-sensitive/insensitive, l'affichage des numéros de ligne et la colorisation des correspondances.
Podcasts
🎧️ Purple Voice - Vol d'identifiants / Episode 2 : Offensif
Conférences / Salons
🗓️ Black Hat Training & Briefings USA - Du 2 au 7 août 2025 - Las Vegas (Etats-Unis)
🗓️ Defcon - Du 7 au 10 août 2025 - Las Vegas (Etats-Unis)
🗓️ Barbhack 2025 - Le 30 août 2025 - Toulon (France)
Finances / Marché
Alors que la semaine dernière, des rumeurs prédisaient l’acquisition de SentinelOne, Palo Alto Networks annonce l'acquisition de CyberArk, leader mondial de la sécurité des identités, pour environ 25 milliards de dollars. Cette transaction stratégique représente une prime de 26% et marque l'entrée formelle de Palo Alto Networks dans la sécurité des identités, établie comme pilier central de sa stratégie multi-plateforme. L'acquisition vise à créer une plateforme de sécurité complète pour l'ère de l'IA, étendant la protection des identités privilégiées aux humains, machines et nouveaux agents IA autonomes. C’est la seconde acquisition de l’année pour Palo Alto Networks après Protect AI.
📈 KnowBe4, plateforme américaine de sensibilisation à la sécurité et de formation au phishing, a levé 1,5 milliard de dollars de financement par dette.
🇫🇷 Ensec, cabinet de conseil suisse spécialisé cybersécurité, a été acquis par Orange Cyberdefense pour un montant non divulgué.
Misc
Pouvez-vous dire si les images présentées ont été générées avec de l’IA ?
Broadcom empêche certains clients VMware détenteurs de licences perpétuelles d'accéder aux correctifs de sécurité via leur portail de support. Malgré la promesse du CEO Hock Tan de fournir un "accès gratuit aux correctifs zero-day", les utilisateurs sans contrat de support actuel ne peuvent plus télécharger les mises à jour depuis fin mai. Un cycle de livraison séparé sera disponible ultérieurement pour ces clients non éligibles. Broadcom continue de ternir la marque VMware, se concentrant uniquement sur les plus gros clients, au détriment de tous les autres.
Debian 13 (Trixie) adopte le format time_t 64 bits pour éviter le bug de l'an 2038, similaire au problème de l'an 2000. Le timestamp Unix actuel utilise un entier signé 32 bits comptant les secondes depuis le 1er janvier 1970, atteignant sa limite le 19 janvier 2038 à 03:14:07 UTC. L'équipe Debian a identifié et modifié 6 429 paquets utilisant cette variable. La migration vers 64 bits repousse la limite à 292 milliards d'années 😌.
Des chercheurs italiens de l'Université La Sapienza ont développé WhoFi, système d'identification biométrique exploitant les signaux Wi-Fi avec 95,5% de précision. La technologie analyse les informations CSI (Channel State Information) pour créer une signature unique basée sur la façon dont le corps humain déforme les ondes Wi-Fi. Contrairement aux systèmes précédents plafonnant à 75%, WhoFi fonctionne à travers les murs et s'adapte automatiquement à de nouveaux environnements sans réentraînement, soulevant des préoccupations majeures de surveillance invisible.
Proton a lancé Lumo, assistant IA axé sur la confidentialité qui ne log pas les conversations utilisateur ni n'utilise les prompts pour l'entraînement. Il est basé sur une technologie open source et garantit qu'aucune donnée sensible n'est stockée sur les serveurs, respectant les lois européennes strictes de protection des données. Lumo offre différents niveaux de compte et supporte plusieurs langues.
Le Financial Times révèle qu'environ 1 milliard de dollars de processeurs IA Nvidia ont été vendus sur le marché noir chinois malgré les restrictions américaines. Les puces B200 de la série Blackwell, utilisées par AWS, Microsoft Azure et Google Cloud, sont distribuées sous forme de racks prêts à installer avec les logiciels nécessaires. Les acheteurs chinois paient une surcote de 50% par rapport aux prix légitimes. Ces semiconducteurs passent souvent par des distributeurs en Malaisie et Thaïlande. L'administration Trump a levé l'interdiction totale en juillet, autorisant la vente de puces moins performantes, comme la H20, mais les ventes illicites persistent.
TuneMyMusic permet de transférer des playlists et bibliothèques musicales entre différents services de streaming. Le service supporte Spotify, Apple Music, YouTube Music, Amazon Music, Deezer, TIDAL, Pandora et autres plateformes populaires.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien