- Erreur 403
- Posts
- Erreur 403 | #37
Erreur 403 | #37
Fuites de données (Bouygues Telecom, Air France/KLM, Pandora), vulnérabilité exploitée sur les pare-feux SonicWall de génération 7, souveraineté menacée par le rachat de Ciril Group, les ministères français vont adopter la messagerie Tchap, campagne de phishing qui contourne le MFA, etc.
Bastien Cacace
7th août 2025
Sommaire
Infos
Bouygues Telecom alerte 6,4 millions de clients suite à un accès non autorisé à leurs données personnelles et bancaires. Les pirates ont dérobé coordonnées, données contractuelles, informations d'état civil et IBAN, mais pas les numéros de cartes bancaires ni les mots de passe. L'opérateur rappelle qu'un fraudeur pourrait potentiellement réaliser des prélèvements en usurpant l'identité des victimes via un mandat SEPA falsifié.
Air France et KLM ont notifié des millions de clients Flying Blue d'une compromission de données personnelles via un prestataire tiers gérant leurs centres de contact. Les informations exposées incluent noms, prénoms, adresses email, numéros de fidélité et objets des échanges avec le service client. Aucun mot de passe, donnée bancaire ou passeport n'a été compromis.
Ciril Group, fournisseur de services cloud pour plus de 5000 collectivités locales françaises, va passer sous contrôle américain. Le fond Carlyle a proposé une offre valorisant l'entreprise lyonnaise à 525 millions d'euros. Cette acquisition soulève des questions cruciales de souveraineté numérique, les données hébergées par Ciril Group passant potentiellement sous juridiction américaine.
Le joaillier danois Pandora a informé ses clients d'une violation de données via une plateforme tierce. Les données compromises incluent noms, dates de naissance et adresses email, qualifiées de "données courantes" par l'entreprise. Aucun mot de passe ou donnée bancaire n'a été affecté. Pandora affirme qu'aucune indication ne suggère que ces données aient été partagées ou publiées.
L'Unité nationale cyber de la gendarmerie française s'est rendue en Ukraine en juillet pour interpeller un membre du groupe LockBit âgé d'une trentaine d'années. Cet affilié serait impliqué dans plusieurs dizaines d'attaques, dont plusieurs en France. L'arrestation s'inscrit dans le cadre de l'opération Cronos qui avait permis la saisie de l'infrastructure LockBit en février 2024. Le cerveau du groupe, Dmitry Khoroshev, reste protégé en Russie malgré une récompense de 10 millions de dollars offerte par les États-Unis. Le général Pétry note que LockBit a perdu en crédibilité et attractivité auprès des affiliés.
La ville d'Hamilton au Canada révèle que l'absence d'authentification à deux facteurs était la cause principale d'une cyberattaque ayant exposé les données de 340 000 usagers. L'assureur a refusé de couvrir les 5 millions de dollars de réclamations suite à cette négligence en matière de sécurité. Le rapport pointe également des mots de passe en clair, des comptes administrateurs partagés et une journalisation insuffisante.
Digital Digging a analysé 512 conversations ChatGPT publiques, découvrant que 20% contenaient des informations sensibles. Des dirigeants ont révélé des données financières confidentielles, des projections de revenus non publiques et des informations protégées par NDA. Des professionnels ont admis des délits, exposé des secrets commerciaux et documenté des violations réglementaires. L'enquête révèle également des tentatives de manipulation de ChatGPT pour générer du contenu inapproprié et des plans de cyberattaques. Ces conversations, indexées par les moteurs de recherche, constituent des preuves permanentes pouvant déclencher des enquêtes ou poursuites judiciaires.
Google Project Zero partagera désormais publiquement le fait qu'une vulnérabilité a été trouvée dans la semaine suivant la découverte d'une vulnérabilité pour donner aux mainteneurs en aval le temps de se préparer à mettre à jour.
Proofpoint détecte une campagne où des acteurs malveillants usurpent l'identité d'entreprises via de fausses applications Microsoft OAuth. Cette technique permet de contourner l'authentification multifacteur en obtenant des tokens d'accès légitimes après que les victimes aient autorisé l'application frauduleuse. Les attaquants ciblent les credentials d'entreprise en exploitant la confiance des utilisateurs dans l'écosystème Microsoft. La campagne démontre l'évolution des techniques de phishing vers des méthodes plus sophistiquées exploitant les mécanismes d'authentification modernes.
WithSecure observe depuis novembre 2024 une augmentation des attaques utilisant des PDF embarquant des liens vers des outils RMM (Remote Monitoring and Management). Les campagnes ciblent principalement la France et le Luxembourg via des emails d'ingénierie sociale. Les PDF “propres” contenant uniquement un lien vers l'installateur RMM contournent efficacement les défenses email et antimalware traditionnelles. Cette technique simple, mais efficace permet aux attaquants d'obtenir un accès initial discret aux réseaux d'entreprise via des outils légitimes.
Le forum XSS est réapparu sur des sites miroirs et le dark web seulement un jour après sa saisie par les autorités. Cette résurrection rapide démontre la résilience de l'infrastructure cybercriminelle et la difficulté des opérations de démantèlement.
La Russie a coupé les services internet mobile plus de 2000 fois en juillet 2025, un record historique justifié par des impératifs sécuritaires liés aux attaques de drones ukrainiens. Ces restrictions numériques affectent principalement les régions frontalières et les zones d'infrastructures critiques. Les autorités invoquent la nécessité d'empêcher le guidage des drones et la coordination d'attaques.
Microsoft Threat Intelligence expose une campagne sophistiquée du groupe russe Secret Blizzard (FSB Center 16, Turla) ciblant les ambassades étrangères à Moscou depuis 2024. Les attaquants exploitent une position “adversary-in-the-middle” au niveau des FAI russes pour intercepter le trafic diplomatique. Via une redirection par portail captif, ils déploient le malware ApolloShadow déguisé en installateur de certificat Kaspersky.
La CISA a publié une mise à jour de son rapport sur Scattered Spider, notant que le groupe appelle également les helpdesks en se faisant passer pour des utilisateurs, pas seulement l'inverse.
La CISA annonce la disponibilité publique de Thorium, une plateforme distribuée pour l'analyse automatisée de fichiers et l'agrégation de résultats. Cette solution veut renforcer les capacités des équipes de cybersécurité en automatisant les workflows d'analyse via l'intégration transparente d'outils commerciaux, open-source et personnalisés. Thorium peut ingérer plus de 10 millions de fichiers par heure tout en maintenant des performances de requête rapides.
La direction interministérielle du numérique impose l'adoption de Tchap, la messagerie sécurisée de l'État, à tous les ministères dès septembre 2025. Cette décision vise à réduire la dépendance aux applications de messagerie étrangères et renforcer la souveraineté numérique française. Tchap, basé sur le protocole Matrix, offre un chiffrement de bout en bout et un hébergement sur des serveurs français. Les agents publics devront migrer leurs communications professionnelles vers cette plateforme pour garantir la confidentialité des échanges gouvernementaux.
Vulnérabilités
12 vulnérabilités critiques notamment affectant les produits Splunk UBA (CVE-2023-38545 / CVSS 9.8 et code d’exploitation) et Enterprise Security (CVE-2025-25977 / CVSS 9.8) permettant l'exécution de code arbitraire. Bien qu’une note CVSS de 6.9, 2 vulnérabilités touchant les produits Asterisk sont listées (code d’exploitation disponible).
Le CERT-FR rappelle que des vulnérabilités majeures dans les produits SonicWall SMA100 et Cisco Identity Services Engine disposent d’un code d’exploitation. Trois failles affectent SonicWall avec des codes d'exploitation publics disponibles : injection XSS (CVE-2025-40598, CVSS 6.1) et deux vulnérabilités d'exécution de code à distance (CVE-2025-40596 et CVE-2025-40597, CVSS 7.3-7.5).
Une alerte a également été émise le 5 août concernant les SonicWall de génération 7 avec le VPN SSL activé.
Searchlight Cyber a découvert trois vulnérabilités critiques dans Adobe Experience Manager Forms, dont deux restent sans correctif 90 jours après la divulgation. La première permet une exécution de code à distance via Struts2 devmode après contournement d'authentification. La deuxième est une vulnérabilité XXE dans les services web. Adobe n'a patché que la désérialisation non sécurisée (CVE-2025-49533) permettant l'exécution de commandes. Les chercheurs recommandent fortement de restreindre l'accès externe aux instances AEM Forms déployées en mode standalone, particulièrement sur des serveurs J2EE comme JBoss.
Des attaquants exploitent activement la vulnérabilité (CVE-2025-5394 / CVSS 9.8) dans le thème WordPress "Alone – Charity Multipurpose Non-profit" pour compromettre des sites web. La faille permet le téléchargement arbitraire de fichiers sans authentification via une fonction AJAX défaillante, conduisant à l'exécution de code à distance. Wordfence a bloqué plus de 120 900 tentatives d'exploitation depuis le 12 juillet 2025.
Articles
Dans une interview rare, un Nord-Coréen révèle comment des milliers de ses compatriotes travaillent clandestinement comme développeurs pour des entreprises occidentales. En utilisant des centaines de fausses identités, il gagnait plus de 5000$ mensuels en jonglant entre plusieurs emplois aux États-Unis et en Europe. 85% des revenus étaient reversés au régime de Kim Jong Un, générant 250 à 600 millions de dollars annuellement selon l'ONU. Ces travailleurs, basés principalement en Chine et Russie, usurpent des identités occidentales pour contourner les sanctions. Certains ont volé des données ou rançonné leurs employeurs après avoir obtenu l'accès.
AmberWolf Security dévoile une nouvelle technique d'exécution de code pour NachoVPN ciblant Ivanti Secure Access Client. Un aperçu de leur présentation DEF CON 33 et une mise à jour de NachoVPN, un serveur SSL-VPN malveillant.
SpecterOps révèle comment les comptes de synchronisation Entra Connect peuvent être exploités pour usurper la propriété userCertificate des appareils. Cette technique permet d'usurper l'identité d'appareils, contourner les politiques d'accès conditionnel et récupérer des certificats MDM et PKCS émis par Intune. Les attaquants peuvent compromettre des domaines on-premises complètement séparés dans le même tenant Azure. En générant un certificat auto-signé et en l'écrivant sur l'objet appareil dans Entra ID, l'attaquant obtient un certificat d'appareil valide permettant l'authentification privilégiée et potentiellement la compromission du domaine.
Encore sur les certificats 😁, Dirkjan Mollema explore comment les certificats Intune peuvent être exploités pour compromettre des domaines Active Directory. Via le connecteur de certificats Intune, les administrateurs cloud peuvent demander des certificats avec des sujets arbitraires, permettant l'usurpation d'identité. Dans certains cas de mauvaise configuration, des utilisateurs réguliers peuvent effectuer une attaque ESC1 via Intune, passant d'utilisateur standard à Domain Admin.
Une nouvelle technique de mouvement latéral exploite BitLocker en manipulant à distance les clés de registre via WMI pour détourner des objets COM spécifiques. L'attaque utilise des API non documentées de winsta.dll pour énumérer les sessions distantes, puis crée une entrée de registre pour le CLSID manquant. En déclenchant le processus BdeUISrv.exe via l'interface IBDEUILauncher, le code s'exécute sous le contexte de l'utilisateur interactif. Si cet utilisateur possède des privilèges élevés comme administrateur de domaine, cela peut mener à une élévation de privilèges dans le domaine.
Mini-série discutant des similarités et différences entre investigations cloud AWS et on-premises, en commençant par le service AWS EC2.
Des fraudeurs déploient plus de 1200 sites de paris en ligne sophistiqués utilisant de fausses collaborations avec des influenceurs comme Mr. Beast. Les victimes sont attirées par 2500$ de crédits gratuits, mais doivent effectuer un "dépôt de vérification" en cryptomonnaie pour retirer leurs gains fictifs.
Outils
Kali Linux présente une nouvelle approche de conteneurisation pour les Mac Apple Silicon, similaire à WSL2 de Microsoft. Le système lance une machine virtuelle légère en arrière-plan permettant d'utiliser un noyau Linux sur un hôte non-Linux.
MCP Watch est un scanner de sécurité complet pour les serveurs Model Context Protocol détectant 12 catégories de vulnérabilités. L'outil identifie les credentials codés en dur, le tool poisoning, les injections de paramètres et prompts, les mutations d'outils et l'exfiltration de conversations.
L’ outil de Dirkjan Mollema (cf. l’article ci-dessus) qui permet de communiquer avec les serveurs NDES d'AD CS via le protocole SCEP pour demander des certificats.
Hashcat 7.0.0 introduit l'Assimilation Bridge permettant d'intégrer CPUs, FPGAs et interpréteurs externes dans le pipeline de cassage. La version ajoute 58 nouveaux types de hash applicatifs incluant Argon2, MetaMask et LUKS2, plus 20 outils d'extraction. Les performances explosent avec des gains de 320% sur scrypt, 223% sur NetNTLMv2 Intel et 54% sur RAR3.
ORACrawl facilite l'exploration des DB Links Oracle permettant de découvrir tous les liens accessibles, privés et publics, avec de simples credentials.
MSSQLHound est un collecteur PowerShell ajoutant les chemins d'attaque MSSQL à BloodHound via OpenGraph. L'outil modélise les serveurs, logins, rôles et bases de données MSSQL comme nœuds dans le graphe BloodHound. Il identifie les relations d'impersonation, les liens de confiance, les permissions dangereuses et les chemins de compromission via xp_cmdshell.
Locksmith détecte et corrige automatiquement les mauvaises configurations courantes dans Active Directory Certificate Services. L'outil identifie les vulnérabilités ESC1 à ESC8, les permissions dangereuses et les certificats web vulnérables.
Podcasts
🎧 Purple Voice - Vols d’identifiants – Episode 3 : Prévention & Episode 4 : Détection
🎧️ Le Monde de la Cyber - [Rediffusion] - Retex sur la cyberattaque de Somagic
Conférences / Salons
🗓️ Barbhack 2025 - Le 30 août 2025 - Toulon (France)
Finances / Marché
📈 Noma, une plateforme israélienne de sécurité des pipelines de données et d’IA, a levé 100 millions de dollars en Série B.
🇨🇭Haicker, une plateforme suisse de tests de pénétration continus par IA, a levé 228 800 dollars en Seed auprès de Project Europe.
Misc
Voici un tableau périodique visuel qui organise les principes fondamentaux de conception système en catégories comme scalabilité, fiabilité et performance. Une façon astucieuse de rendre les concepts complexes de systèmes distribués plus mémorables et accessibles.
Malgré une pression politique mondiale, la vérification d'âge sur Internet n'est pas prête pour une adoption généralisée. Les solutions actuelles soulèvent des problèmes majeurs de confidentialité, d'efficacité technique et d'application transfrontalière. Les méthodes proposées incluent l'analyse faciale, les documents d'identité et les tiers de confiance, chacune présentant des vulnérabilités.
OpenAI annonce ses premiers modèles open-weight de raisonnement avancé, permettant la personnalisation complète et l'exécution locale. Cette initiative marque un changement stratégique vers l'ouverture, offrant aux développeurs la possibilité d'adapter les modèles à leurs cas d'usage spécifiques. Les modèles peuvent être déployés sur infrastructure privée, répondant aux préoccupations de confidentialité et de souveraineté des données.
Copyparty propose une alternative légère à Nextcloud avec un serveur de fichiers tenant dans un seul fichier Python. Cette solution minimaliste offre partage de fichiers, streaming média, galeries photos et édition collaborative sans base de données ni dépendances complexes.
La cour d'appel confirme qu'Epic a gagné contre Google, forçant l'ouverture du Play Store Android à la concurrence. Le juge maintient que Google a abusé de sa position dominante sur la distribution d'applications Android. Google devra permettre l'installation d'app stores tiers et autoriser les développeurs à utiliser leurs propres systèmes de paiement. Cette décision historique pourrait transformer l'écosystème Android, réduisant la commission de 30% de Google et offrant plus de choix aux consommateurs. Epic célèbre cette victoire totale qui contraste avec son échec partiel contre Apple.
L'équipe tech de Netflix nous présente les commandes shell à exécuter durant la première minute d'un crash serveur Linux pour identifier rapidement les goulots d'étranglement sans outils sophistiqués.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien