- Erreur 403
- Posts
- Erreur 403 | #38
Erreur 403 | #38
Muséum d'Histoire naturelle de Paris et l'hébergeur Francelink paralysés, Google victime d'une attaque documentée par ses soins, directive urgente CISA pour Exchange et 5 nouvelles failles KEV, Patch Tuesday Micosoft avec 111 vulnérabilités corrigées, Alltricks et Manpower compromis, laptops Dell hackés avec des légumes 🤯, etc.
Bastien Cacace
14th août 2025
Sommaire
Infos
Depuis fin juillet 2025, le Muséum national d'Histoire naturelle de Paris fait face à une cyberattaque assez virulente. Les chercheurs ne peuvent plus accéder aux bases de données scientifiques essentielles, perturbant la recherche française en sciences naturelles et biodiversité. L'hypothèse d'un ransomware est privilégiée, les attaquants cherchant probablement à exercer un chantage financier.
Francelink révèle avoir subi une cyberattaque majeure le 28 juillet 2025, orchestrée par le groupe ransomware Akira. L'incident a compromis 93% des serveurs, paralysant quasi-totalement les services d'hébergement via une double attaque coordonnée : chiffrement des données de production et destruction des sauvegardes. Une exfiltration de données est fortement suspectée, conforme au modus operandi d'Akira. L'entreprise a immédiatement isolé son infrastructure et engagé deux prestataires successifs de récupération, le premier ayant abandonné après 4 jours face à la complexité. Les premières récupérations partielles ont débuté les 7-8 août, avec des vagues supplémentaires prévues.
La boutique en ligne spécialisée dans le cyclisme Alltricks a subi une intrusion dans son système d'envoi d'emails via Sendinblue. Des emails de phishing ont été envoyés aux clients avec des liens malveillants redirigeant vers de faux documents OneDrive. Les pirates ont exploité un sous-domaine domaine Alltricks pour masquer leurs redirections malveillantes. L'entreprise affirme qu'aucune donnée bancaire n'est compromise et mène une enquête pour déterminer si des données personnelles ont été exfiltrées.
Manpower révèle un vol de données affectant près de 145 000 personnes suite à une cyberattaque menée par le groupe RansomHub en décembre 2024. L'incident, découvert lors d'une panne informatique dans une franchise de Lansing (Michigan) en janvier 2025, a permis aux attaquants d'accéder aux systèmes entre le 29 décembre et le 12 janvier. Les attaquants revendiquent avoir volé 500 Go de données incluant bases clients, informations personnelles (passeports, SSN, adresses), correspondances corporatives, états financiers et contrats confidentiels. L'entreprise précise que seuls les systèmes de la franchise indépendante ont été compromis, sans impact sur le réseau corporatif de ManpowerGroup.
Google a été victime d'une cyberattaque utilisant exactement les méthodes que ses propres chercheurs avaient documentées dans un article de juin 2025. Le groupe ShinyHunters (UNC6040), via des techniques de vishing, a compromis une base Salesforce contenant des informations de PME. Les attaquants se font passer pour le support informatique et convainquent les employés d'autoriser une version malveillante de l'outil Data Loader. Google a notifié les clients concernés le 8 août 2025.
D’autres sociétés piratées récemment pourraient avoir été victime du même mode opératoire. En effet, d'autres entreprises ont été touchées par des compromissions de données Salesforce ces dernières semaines, notamment Cisco, Adidas, Qantas, Allianz Life, les marques LVMH Louis Vuitton, Dior et Tiffany & Co., ainsi que le géant de la mode Chanel.
Le rapport "Anatomy of a Breach" de Lab 1 analyse 141 168 340 fichiers provenant de 1297 incidents ransomware et violations où les données volées ont été rendues publiques. Cette étude illustrée avec de nombreux graphiques offre une vision détaillée des méthodes d'attaque et des types de données ciblées par les cybercriminels.
En avril 2025, Marks & Spencer a été victime du groupe DragonForce qui a suspendu les commandes en ligne et le service Click and Collect. Le paiement sans contact était également impossible. Les pirates ont envoyé une demande de rançon au dirigeant de l'enseigne. Les commandes en ligne ont repris après 46 jours et le Click and Collect après près de quatre mois. L'impact financier est estimé à 300 millions de livres, partiellement couvert par les assurances.
Des chercheurs ont découvert les vulnérabilités ReVault affectant plus de 100 modèles de laptops Dell via la puce ControlVault3. Ces failles permettent d'installer des malwares persistants survivant même à une réinstallation Windows. L'attaque physique consiste à accéder à la carte USH via USB pour compromettre le firmware et accepter n'importe quelle empreinte digitale. Démonstration spectaculaire : un attaquant physique peut manipuler le firmware pour accepter n'importe quelle entrée biométrique, y compris des légumes 🤯. Cisco montre un oignon vert déverrouillant un laptop vulnérable !
L'ANSSI publie un nouvel Essentiel relatif à l'architecture sécurisée d'un système d'information. En effet, la conception ou l'évolution de l'architecture d’un système d’information a des conséquences directes sur son niveau de sécurité. Parmi ces bonnes pratiques :
Cloisonner les ressources en fonction des risques et des besoins métier, notamment suivant l’exposition et la sensibilité des données ;
S’assurer régulièrement que les choix technologiques et d’architecture sécurisée sont réellement motivés par des besoins métiers avérés ;
Élaborer une cartographie, des inventaires, et prévoir leurs mises à jour.
GuidePoint a observé des affiliés du groupe d’attaquants Akira exploitant deux drivers Windows pour contourner les solutions AV/EDR après un accès initial via SonicWall. Le driver légitime de ThrottleStop permet un accès kernel, tandis que l’autre driver modifie les paramètres Windows Defender. SonicWall recommande de désactiver les services SSLVPN si possible, limiter la connectivité aux IP de confiance et activer l'authentification multi-facteurs.
Les services de renseignement ukrainiens affirment avoir volé des fichiers secrets du sous-marin nucléaire russe "Knyaz Pozharsky", mis en service le 24 juillet 2025. Les documents divulgués incluent des manuels de combat, schémas des systèmes, listes complètes d'équipage avec qualifications, et protocoles opérationnels. L'Ukraine affirme que ces informations révèlent des vulnérabilités critiques sur toute la classe de sous-marins Borei-A. La Russie n'a émis aucun commentaire officiel et aucune agence occidentale n'a confirmé ces allégations.
Des chercheurs ont découvert ECScape, une vulnérabilité dans Amazon ECS permettant l'élévation de privilèges. Un conteneur malveillant avec un rôle IAM peu privilégié peut obtenir les permissions d'un conteneur plus privilégié sur le même hôte EC2. Amazon recommande d'éviter de déployer des tâches privilégiées avec des tâches non fiables, d'utiliser AWS Fargate pour une vraie isolation, et de restreindre l'accès IMDS.
Des chercheurs de l'université de Tel Aviv ont démontré à Black Hat 2025 comment une injection de prompt dans Google Calendar peut compromettre Gemini. En cachant des instructions malveillantes dans une invitation ("ouvre tous les stores", "allume la chaudière"), un attaquant peut manipuler l'assistant IA. Lorsque la victime demande à Gemini de résumer ses événements, l'IA exécute les ordres cachés. Les chercheurs ont identifié 14 vecteurs d'attaque différents incluant envoi de spam, vol de données et activation furtive de caméras.
Dashlane met fin à son offre gratuite le 16 septembre 2025 pour "se concentrer sur l'innovation et la protection contre les menaces émergentes". Les utilisateurs gratuits bénéficient d'un mois d'essai de la version payante.
Vulnérabilités
7 vulnérabilités critiques la semaine dernière. IBM QRadar SIEM est touché par deux failles critiques permettant des contournements de politique de sécurité, dont l'une dispose déjà d'un code d'exploitation public (CVE-2024-12718). Microsoft Azure présente une vulnérabilité critique avec un score CVSS de 10, permettant une élévation de privilèges. Trend Micro Apex One fait face à deux vulnérabilités activement exploitées autorisant l'exécution de code arbitraire à distance (CVE-2025-54948 et CVE-2025-54987).
Le CERT-FR rappelle également que :
SonicWall a confirmé des incidents de sécurité sur ses pare-feux de génération 7 avec VPN SSL activé, initialement corrélés à la vulnérabilité CVE-2024-40766 déjà documentée en août 2024.
Microsoft a publié un avis concernant la vulnérabilité CVE-2025-53786 permettant une élévation de privilège depuis un environnement Exchange Server on-premise vers le cloud.
La CISA enrichit son catalogue Known Exploited Vulnerabilities (KEV) avec cinq nouvelles failles critiques exploitées sur Internet :
N-able N-Central fait l'objet de deux vulnérabilités (CVE-2025-8875 et CVE-2025-8876) toutes deux permettant l'exécution de code à distance.
Microsoft avec la CVE-2013-3893 (corruption mémoire Internet Explorer) et la CVE-2007-0671 (exécution de code Excel)
RARLAB WinRAR (CVE-2025-8088), une vulnérabilité de traversée de chemin exploitable via des archives malveillantes crafted.
La mise à jour de correctifs Microsoft de ce mois corrige un total de 111 vulnérabilités, dont 17 classées comme critiques. Parmi celles-ci, une vulnérabilité a été divulguée avant la publication du correctif, ce qui en faisait une zero-day (CVE-2025-53779). Cette vulnérabilité impactant Kerberos permet l'élévation de privilèges jusqu'au niveau administrateur de domaine. L'attaquant nécessite des privilèges élevés et l'accès à certains attributs dMSA. Aucune des vulnérabilités de ce Patch Tuesday n’a encore été observée comme exploitée.
Le groupe russe RomCom exploite la CVE-2025-8088, une vulnérabilité zero-day WinRAR corrigée le 30 juillet dernier. Cette faille de “path traversal” utilisant les flux de données alternatifs permet d'extraire des fichiers vers un chemin défini par l'attaquant. Les attaques, observées depuis le 18 juillet par ESET, visent des entreprises financières, de défense, manufacturières et logistiques via des emails de spearphishing contenant de faux CV.
La CISA a émis la Directive d'Urgence 25-02 concernant la CVE-2025-53786, une vulnérabilité post-authentification affectant les utilisateurs hybrides Microsoft Exchange. Un attaquant avec accès administrateur à un serveur Exchange peut élever ses privilèges et exploiter les configurations hybrides vulnérables contre l'environnement cloud connecté. Aucune exploitation active n'est connue actuellement, mais la vulnérabilité pourrait gravement impacter l'intégrité des identités et l'accès administratif aux services cloud.
La CVE-2025-32433 (CVSS 10.0) permet l'exécution de code à distance non authentifiée dans le daemon SSH d'Erlang/OTP, largement utilisé dans les infrastructures critiques et OT. Unit 42 observe une augmentation significative des tentatives d'exploitation du 1er au 9 mai 2025, avec 70% des détections provenant des différents pare-feux OT mondiaux. Les secteurs santé, agriculture, média et haute technologie sont particulièrement ciblés.
Des chercheurs ont découvert 14 vulnérabilités zero-day dans les gestionnaires de secrets HashiCorp Vault (9 failles) et CyberArk Conjur (5 failles). Ces plateformes protègent tous les secrets d'entreprise (mots de passe, certificats, clés API). Dans Conjur, les failles permettent une chaîne d'exploitation RCE sans authentification en redirigeant la vérification AWS vers un serveur malveillant avec un simple caractère spécial. HashiCorp Vault présente des vulnérabilités permettant contournement d'authentification, escalade de privilèges et RCE. Les deux éditeurs ont publié des correctifs pour toutes les vulnérabilités identifiées.
Un chercheur a découvert la CVE-2025-52970 (CVSS 7.7), une vulnérabilité dans FortiWeb permettant un contournement complet de l'authentification. L'exploit FortMajeure exploite une lecture hors limites dans le code de gestion des cookies, forçant le serveur à utiliser une clé secrète prévisible (que des zéros) pour le chiffrement des sessions. Cette faille permet d'usurper l'identité d'un administrateur et d'accéder à la CLI FortiWeb. L'exploitation nécessite de deviner un nombre (généralement inférieur à 30 tentatives) et la présence d'une session active.
Articles
SpecterOps révèle que PDQ SmartDeploy utilisait des clés de chiffrement statiques, codées en dur et universelles pour stocker les identifiants privilégiés avant la version 3.0.2046 (CVE-2025-52094, CVE-2025-52095). Des utilisateurs peu privilégiés peuvent récupérer et déchiffrer des identifiants d'administrateur local ou de domaine Active Directory depuis le registre des périphériques gérés ou les fichiers de déploiement OS. Ces identifiants se trouvent dans les fichiers Answer Files XML et peuvent être extraits des partages WDS REMINST accessibles aux utilisateurs authentifiés.
Microsoft a introduit Active Directory Web Services (ADWS) dans Windows Server 2008 R2 pour fournir une interface de requête LDAP sur TCP 9389 via SOAP. L'outil SOAPHound de FalconForce exploite cette interface pour l'énumération furtive d'Active Directory. Contrairement à SharpHound détectable par les EDR, ADWS offre moins de visibilité aux équipes défensives. L'outil établit des connexions sur les endpoints Resource et Enumeration, extrait les données AD via des requêtes LDAP encapsulées dans SOAP, et génère des fichiers JSON compatibles BloodHound. Cette technique contourne de nombreuses détections traditionnelles et nécessite une surveillance spécifique du trafic vers le port 9389.
Synacktiv a développé un outil pour déchiffrer les archives chiffrées Synology (PAT et SPK) suite au Pwn2Own Irlande 2024 ciblant le NAS BeeStation. L'analyse des bibliothèques révèle l'utilisation de clés de signature et de chiffrement statiques selon le type d'archive. L'outil Synodecrypt permet d'extraire ces archives sans accès physique à un NAS, facilitant l'analyse de sécurité des applications SPK. La vulnérabilité exploitée se trouvait dans SynologyPhotos, démontrant l'importance de l'analyse statique des firmwares.
Synacktiv démontre comment contourner la vérification de posture de Zscaler, composant clé du zero trust qui permettent aux politiques de sécurité d’évaluer l’état d’un appareil avant d’autoriser l’accès aux ressources internes. La vulnérabilité permet d'accéder aux réseaux internes sans respecter les conditions de sécurité (version OS, statut EDR, chiffrement disque, etc.). L'analyse révèle que les contrôles de posture sont évalués côté client, les résultats étant stockés chiffrés via DPAPI dans config.dat. En patchant certains binaires signés, il devient possible de forcer tous les contrôles à réussir. Bien que corrigé en version 4.4, cette vulnérabilité reste exploitable sur de nombreux environnements non mis à jour.
GMO Flatt Security explique pourquoi les XSS restent dans le top 3 des vulnérabilités malgré les protections des frameworks modernes. Les techniques XSS sont extrêmement diversifiés (HTML, attributs, URLs, JavaScript) mais les frameworks ne protègent principalement que contre l'échappement HTML. Les XSS surviennent encore via :
des données considérées à tort comme sûres, des sanitizers personnalisés contournés,
une mauvaise utilisation des mécanismes de protection,
des techniques hors du scope de protection des frameworks.
L'analyse de rapports HackerOne 2024 montre que les XSS représentent ~20% des vulnérabilités dans toutes les industries sauf crypto.
Outils
BamboozlEDR est un outil permettant de générer des événements ETW (Event Tracing for Windows) personnalisés pour tester la détection des solutions EDR. L'outil génère des événements réalistes mais contrôlés permettant aux équipes sécurité de valider leurs règles de détection sans déclencher de véritables menaces.
Certify 2.0 modernise l'outil d'exploitation des services de certificats Active Directory avec une architecture orientée objet et une nouvelle interface. L'outil identifie et exploite automatiquement les configurations vulnérables d'AD CS (ESC1 à ESC8) permettant l'élévation de privilèges et la persistance. Certify 2.0 inclut des modules pour l'énumération, l'exploitation et la post-exploitation des infrastructures PKI Active Directory vulnérables.
Buttercup CRS utilise l'intelligence artificielle pour identifier automatiquement les vulnérabilités dans les applications web. L'outil intègre des capacités de crawling intelligent et d'analyse de code statique alimentées par des modèles de machine learning. Il détecte les failles OWASP Top 10 incluant injection SQL, XSS, CSRF et désérialisations dangereuses.
Odoomap est un outil spécialisé de pentest pour les applications Odoo (anciennement OpenERP). Il automatise l'énumération des modules installés, l'identification des versions, et la découverte d'endpoints exposés. L'outil teste automatiquement les vulnérabilités communes aux applications Odoo incluant l'injection SQL, XSS, accès non autorisés aux données et contournements d'authentification.
Microsoft dévoile Project Ire, son système autonome de classification et analyse de malwares alimenté par l'intelligence artificielle. Le système analyse automatiquement les échantillons suspects pour déterminer leur famille, variante et comportement sans intervention humaine.
Mcp-context-protector fournit une couche de sécurité pour les serveurs Model Context Protocol (MCP) en filtrant et validant les requêtes entrantes. L'outil implémente des contrôles d'accès, limitation de débit, validation des paramètres et logging de sécurité pour protéger contre les abus.
Claude-code-security-review automatise l'audit de sécurité des dépôts GitHub via une GitHub Action alimentée par l'IA Claude. L'action analyse automatiquement le code des pull requests pour identifier vulnérabilités, secrets exposés, configurations dangereuses et violations des bonnes pratiques sécurité.
0day.today.archive préserve et organise l'historique complet de la base de données d'exploits 0day.today maintenant fermée. L'archive contient plus de 10 000 exploits documentés avec métadonnées, code source et informations de vulnérabilité associées.
Playbook-ng modernise l'outil de gestion des playbooks de réponse aux incidents de la CISA avec une interface web améliorée et des fonctionnalités d'automatisation. L'outil guide les équipes sécurité à travers les procédures standardisées de réponse selon le type d'incident (ransomware, violation de données, APT). La nouvelle version supporte l'intégration avec les outils SIEM et SOAR pour l'exécution automatisée de certaines étapes. L'interface collaborative permet la coordination en temps réel des équipes de réponse distribuées.
Conférences / Salons
🗓️ Barbhack 2025 - Le 30 août 2025 - Toulon (France)
🗓️ FranSec Cyber Summit - Du 16 au 17 Septembre 2025 - Paris (France)
Finances / Marché
🤝 SentinelOne acquiert la startup israélienne Prompt Security pour environ 250 millions de dollars, une valorisation assez impressionnante pour une entreprise créée en août 2023 et ayant levé seulement 23 millions de dollars. Cette acquisition s'inscrit dans une vague d'acquisitions AI-cybersécurité comprenant Palo Alto Networks/Protect AI (700M$) et Tenable/Apex (100M$).
Misc
Quelques jours après sa sortie, GPT-5 fait face aux mêmes critiques que ses prédécesseurs sur des questions logiques et mathématiques simples. Sam Altman a reconnu que l'autoswitcher était défaillant le jour du lancement et que le système de sélection automatique entre les différents modules n'était pas fonctionnel. Malgré les promesses d'amélioration, GPT-5 est majoritairement qualifié de "en retard, surfait et décevant".
Framasoft annonce l'arrêt du rythme mensuel de la FramIActu après six mois de veille sur l'intelligence artificielle. Le bilan révèle des améliorations significatives des performances des modèles avec des ressources réduites : Microsoft Phi-3-mini accomplit avec 3,8 milliards de paramètres les mêmes performances que PaLM avec 540 milliards en 2022. Les IA génératives d'images et vidéos montrent des progrès spectaculaires, notamment Veo 3 de Google produisant des vidéos difficilement distinguables du réel. Les entreprises comme Netflix et Disney intègrent déjà ces outils dans leurs productions. L'association souligne l'écart persistant entre promesses marketing et réalités techniques des modèles actuels.
Les organisations de défense de la neutralité du Net aux États-Unis renoncent à faire appel devant la Cour Suprême après l'invalidation des règles fédérales en janvier 2025. Ces règles, initialement instaurées sous Obama, abrogées par Trump, puis rétablies sous Biden, ont été contestées par les lobbies télécoms. Free Press et d'autres ONG expliquent ne pas faire confiance à la Cour Suprême pour statuer équitablement, citant l'hostilité des juges conservateurs. Ils préfèrent concentrer leurs efforts sur le Congrès et les assemblées locales. La Californie a réussi à maintenir sa propre loi sur la neutralité du Net malgré l'opposition des fournisseurs.
ElevenLabs lance son générateur de musique IA avec des avantages considérables sur Suno et Udio actuellement poursuivis pour violations de copyright. La startup a signé des accords avec Merlin Network et Kobalt Music Group pour un accès légal à des millions de titres d'entraînement. Le service offre une qualité audio supérieure avec des contrôles précis : durée exacte, timing des paroles, parties instrumentales personnalisables.
Slink propose une solution auto-hébergée pour remplacer Imgur et Discord dans le partage d'images. Développé par Andrii Kryvoviaz, l'outil combine hébergement d'images et raccourcissement d'URLs dans un container Docker unique. Contrairement aux services commerciaux, Slink offre un contrôle total sans tracking ni vente de données, avec chiffrement côté client et liens à usage unique disponibles.
Microsoft annonce Zero Day Quest, le plus grand événement de hacking public avec jusqu'à 5 millions de dollars de récompenses au total, ciblant la sécurité Cloud et IA. Le Zero Day Quest Research Challenge (4 août - 4 octobre 2025) offre un multiplicateur de +50% sur les primes pour les vulnérabilités critiques découvertes dans Azure, Copilot, Dynamics 365, Power Platform, Identity et M365. Les chercheurs les plus performants seront invités à un événement exclusif au campus Microsoft Redmond au printemps 2026.
Un firmware mystérieux pour Flipper Zero, vendu jusqu'à 1000 dollars sur le darkweb, exploite les vulnérabilités des codes tournants automobiles découvertes lors de la recherche RollBack en 2022. Contrairement aux idées reçues, l'attaque ne rend pas systématiquement la clé inutile mais exploite la resynchronisation pour réactiver d'anciens codes. La technique nécessite généralement la capture de 2 à 5 signaux selon les modèles et affecte environ 70% des véhicules asiatiques testés selon les chercheurs. Les marques concernées incluent Chrysler, Dodge, Ford, Hyundai, Kia, Mitsubishi et Subaru.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien