Sommaire

• Infos

• Vulnérabilités

• Articles

• Outils

• Conférences / Salons

• Finances / Marché

• Misc

Infos

Les eSIM de voyage routent secrètement le trafic par des réseaux chinois

Des chercheurs de Northeastern University ont découvert que de nombreux services d'eSIM pour voyageurs routent le trafic utilisateur à travers les réseaux de télécommunications chinois sans en informer les clients. Sur 25 fournisseurs testés, la plupart attribuaient des adresses IP associées à des pays tiers. Dans un exemple, une eSIM Holafly faisait transiter les connexions par China Mobile. Les appareils peuvent ainsi apparaître localisés en Chine même lorsqu'ils sont physiquement ailleurs. Les profils eSIM communiquent silencieusement avec des serveurs situés à Singapour et Hong Kong, soulevant d'importantes préoccupations sur la confidentialité et la transparence du routage.

Microsoft corrige un correctif empêchant la restauration de Windows 10 et 11

Microsoft a publié en urgence un correctif pour réparer une mise à jour précédente (KB5063709) qui empêchait les fonctions de restauration et de réinitialisation système dans Windows 10 et 11. Le patch problématique, diffusé le 12 août et destiné à gérer les certificats de démarrage sécurisé, compromettait l'efficacité de la restauration système pour les versions actuelles de Windows 10 (22H2) et Windows 11 (23H2 et 22H2), ainsi que les éditions Windows 10 LTSC. Microsoft a émis un correctif rectificatif le 19 août pour résoudre les problèmes de restauration.

La Russie prend le contrôle d'un barrage norvégien et libère 7 millions de litres d'eau

Un chef de police norvégien affirme que la Russie a compromis et pris le contrôle d'un barrage, libérant plus de 7 millions de litres d'eau. L'eau a été déversée à un débit de 500 litres par seconde pendant quatre heures avant que l'attaque ne soit détectée et stoppée. L'incident soulève des inquiétudes sur la vulnérabilité des infrastructures critiques face aux cyberattaques étatiques. Aucun détail supplémentaire sur le barrage spécifique ou les circonstances précises n'a été fourni par les autorités norvégiennes.

Datadog révèle les principales menaces du Q2 2025

Datadog Security Labs met en évidence la persistance des attaques sur la chaîne d'approvisionnement, avec trois extensions VS Code malveillantes ciblant les développeurs Solidity et des packages NPM compromis. Les techniques de persistance cloud évoluent vers du "persistence-as-a-service" utilisant AWS Lambda et API Gateway. L'acteur de menace Mimo étend ses attaques, ciblant Magento CMS et Docker avec des techniques sophistiquées comme l'exécution de payload en mémoire et l'installation de rootkits.

MedusaLocker recrute ouvertement des pentesteurs

Le groupe de ransomware-as-a-service MedusaLocker, actif depuis 2019, recrute publiquement des pentesteurs sur son site du dark web. L'offre d'emploi cible spécifiquement des individus ayant "un accès direct aux réseaux d'entreprise" avec le message direct : "Si vous n'avez pas d'accès, ne perdez pas votre temps". Le groupe cherche des courtiers en accès initial capables d'infiltrer les réseaux d'entreprise. Cette tendance inquiétante montre des cybercriminels recrutant activement des professionnels de la cybersécurité, brouillant les lignes entre travail de sécurité légitime et opérations criminelles.

Un employé Delta alerte sur les risques des étiquettes de bagages

Les voyageurs sont alertés sur une arnaque populaire dans les aéroports où des escrocs utilisent les étiquettes de bagages jetées pour faire de fausses réclamations auprès des compagnies aériennes et voler des informations personnelles. Les étiquettes, contenant des codes-barres avec des informations sensibles, peuvent être utilisées par les escrocs pour identifier les voyageurs et déposer de fausses réclamations pour des objets manquants. Les compagnies aériennes conseillent aux passagers de retirer leurs étiquettes de bagages immédiatement après avoir récupéré leurs valises et de les détruire de manière sécurisée.

Hyundai facture 66$ pour sécuriser les serrures de ses voitures

Hyundai facture 49£ (66$) aux propriétaires britanniques d'Ioniq 5 pour une mise à niveau de sécurité empêchant les voleurs de contourner les serrures des véhicules. L'entreprise justifie cette facturation par l'évolution des menaces de sécurité 🙄, incluant l'utilisation d'appareils électroniques non autorisés pour contourner les systèmes de verrouillage. Cette mise à niveau fait suite à des incidents de vols utilisant des outils sophistiqués, certains criminels employant des dispositifs modifiés ressemblant à des Game Boy valant environ 20 000£.

Accéder au poste de travail d'un APT nord-coréen révèle l'espionnage massif

Quelqu'un a obtenu l'accès au poste de travail et au serveur VPS d'un acteur de menace nord-coréen présumé. L'analyse révèle des activités d'espionnage cyber étendues du groupe Kimsuky ciblant des organisations sud-coréennes.

NIST finalise le standard de cryptographie légère pour les petits appareils

Le NIST a finalisé un nouveau standard de cryptographie légère conçu pour protéger les petits appareils à ressources limitées comme les objets connectés IoT. Le standard inclut quatre algorithmes cryptographiques de la famille Ascon nécessitant moins de puissance de calcul que les méthodes traditionnelles. Les quatre variantes sont :

• ASCON-128 AEAD pour chiffrer et authentifier les données,

• ASCON-Hash 256 pour créer des empreintes de données,

• ASCON-XOF 128 avec taille de hash variable

• ASCON-CXOF 128 permettant des étiquettes de hash personnalisées.

Le standard bénéficiera aux industries utilisant de petits appareils comme les appareils domotiques, les péages automobiles et les implants médicaux.

La Russie restreint WhatsApp et Telegram, impose sa messagerie Max

Le régulateur russe Roskomnadzor a annoncé des restrictions partielles sur les appels vocaux et vidéo via WhatsApp et Telegram, prétextant une mesure anti-fraude pour protéger les citoyens. Ces restrictions s'accompagnent du lancement d'une nouvelle application de messagerie obligatoire appelée Max, développée par l'entreprise russe VK. Une nouvelle loi exigera que Max soit préinstallée sur tous les appareils vendus en Russie à partir du 1er septembre. Le journaliste Andrey Okun décrit cela comme la construction d'un "goulag numérique", l'application pouvant potentiellement donner au FSB un accès facile aux données et conversations des utilisateurs.

Déverrouiller des voitures à distance via les failles d'un portail web constructeur

Le chercheur en sécurité a découvert des vulnérabilités critiques dans le portail web d'un constructeur automobile permettant de créer un compte administrateur avec accès illimité aux systèmes concessionnaires, visualiser les données personnelles et financières des clients, suivre les véhicules, contrôler à distance les fonctions des voitures et transférer la propriété des véhicules avec vérification minimale. Les bugs ont été corrigés dans la semaine suivant la divulgation.

L'histoire des 16 milliards de mots de passe n'était qu'exagération médiatique

Vous vous souvenez du titre "16 milliards de mots de passe exposés" de juin qui était partout ? Troy Hunt a creusé et c'est bien moins dramatique que rapporté. Les données, surnommées "Data Troll" dans Have I Been Pwned, proviennent de divers logs d'infostealers qui circulaient cette année, pas d'une nouvelle brèche massive. Après avoir analysé 775 Go sur 2,7 milliards de lignes (environ 17% du total revendiqué), cela se résumait à seulement 109 millions d'adresses email uniques soit une réduction de 96% par rapport aux nombres bruts. Et 96% de celles-ci étaient déjà dans HIBP.

Crypto24 déploie un outil personnalisé d'évasion EDR contre les grandes organisations

Un nouveau groupe de ransomware appelé Crypto24 s'attaque aux grandes organisations aux États-Unis, en Europe et en Asie depuis septembre. Ils utilisent des outils d'évasion EDR personnalisés qui peuvent contourner des outils de sécurité comme Trend Micro, SentinelOne et Sophos. Les attaquants ciblent les entreprises de finance, d’usinage, de divertissement et de technologie avec des tactiques assez sophistiquées, incluant un keylogger personnalisé et des outils d'exfiltration de données qui envoient les fichiers volés directement vers Google Drive. L'activité la plus ancienne signalée date de septembre 2024.

Utiliser le caractère japonais 'ん' pour tromper dans une campagne de phishing Booking.com

Des acteurs de menace utilisent le caractère hiragana japonais "ん" (Unicode U+3093) pour créer des URL de phishing trompeuses semblant provenir de Booking.com. Le caractère peut ressembler à une barre oblique sur certains systèmes, faisant paraître le lien malveillant légitime. Lorsqu'il est cliqué, il redirige vers un site malveillant tentant de livrer un installateur MSI de malware.

Gagner 250 000$ pour une évasion de sandbox Chrome

Un chercheur nommé "Micky" a reçu une récompense de 250 000$ de Google pour avoir trouvé une vulnérabilité critique dans Chrome permettant une évasion de sandbox (CVE-2025-4609). La faille a été signalée le 22 avril et corrigée en mai.

Pirater les freins de train avec une simple radio pour moins de 500$

La CISA alerte que les dispositifs End-of-Train (EOT) des trains peuvent être piratés avec une radio. Ces dispositifs, installés dans les années 1980, manquent de chiffrement et utilisent des paquets de données simples. Les pirates pourraient potentiellement envoyer de fausses commandes de contrôle des freins, provoquant un arrêt soudain du train. Le matériel pour exploiter cette vulnérabilité coûte moins de 500$. Le chercheur Neil Smith, qui a signalé le problème en 2012, note qu'un attaquant pourrait prendre le contrôle à distance du contrôleur de frein d'un train depuis une très longue distance. L'Association des chemins de fer américains prévoit de mettre à niveau le système en 2026.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 33

13 vulnérabilités critiques pour la semaine du 11 au 17 août 2025. Parmi celles-ci, les vulnérabilités affectant Fortinet FortiSIEM (CVE-2025-25256 / CVSS 9.8) et FortiWeb (CVE-2025-52970 / CVSS 8.1) disposent déjà de codes d'exploitation publics, augmentant les risques (cf. l’article ci-dessous). Elles permettent respectivement une exécution de code arbitraire à distance et une élévation de privilège.

Fortinet alerte sur une faille FortiSIEM exploitée activement

Fortinet alerte sur une vulnérabilité critique d'injection de commande à distance non authentifiée dans FortiSIEM. La CVE-2025-25256 affecte les versions FortiSIEM 5.4 à 7.3 et du code d'exploitation a été trouvé activement utilisé. La vulnérabilité permet aux attaquants non authentifiés d'exécuter des commandes non autorisées. Les administrateurs doivent mettre à jour vers les versions corrigées : FortiSIEM 7.3.2, 7.2.6, 7.1.8, 7.0.4 ou 6.7.10. Comme solution temporaire, Fortinet suggère de limiter l'accès à phMonitor sur le port 7900. Les versions 5.4 à 6.6 ne sont plus supportées et ne recevront pas de correctif.

Exploiter la CVE-2025-31324 pour compromettre SAP NetWeaver

Un nouvel exploit public ciblant les vulnérabilités SAP CVE-2025-31324 et CVE-2025-42999 a été publié le 15 août 2025 par VX Underground. L'exploit, attribué à "Scattered LAPSUS$ Hunters – ShinyHunters", permet l'exécution de code à distance non authentifiée sur SAP NetWeaver Visual Composer. Avec un score CVSS de 10.0, l'exploit chaîne deux vulnérabilités pour obtenir une compromission système complète, exécuter des commandes avec privilèges administrateur SAP et potentiellement voler des données d'entreprise sensibles. SAP a déjà publié des correctifs.

Les Pays-Bas alertent sur l'exploitation de Citrix NetScaler

Le Centre national de cybersécurité des Pays-Bas (NCSC) a averti qu'une vulnérabilité critique dans Citrix NetScaler (CVE-2025-6543 / CVSS 9.2), a été exploitée pour compromettre des organisations importantes dans le pays. Cette faille permet aux attaquants de prendre le contrôle à distance et d'effacer les preuves de leurs intrusions. Les organisations sont invitées à mettre à jour leurs systèmes pour corriger la vulnérabilité et à vérifier les signes de compromission.

Découverte de deux zero-days dans Xerox FreeFlow Core

Horizon3.ai a découvert deux vulnérabilités critiques dans Xerox FreeFlow Core lors de l'investigation d'un ticket de support. La CVE-2025-8355 (injection XXE) affecte le service JMF Client sur le port 4004, permettant du Server-Side Request Forgery (SSRF) via un traitement XML défaillant aux attaquants non authentifiés. La CVE-2025-8356 (path traversal) concerne les mécanismes de traitement de fichiers du service JMF, permettant l'upload de fichiers vers des emplacements arbitraires avec potentiel d'exécution de code à distance. Ces vulnérabilités impactent les plateformes d'orchestration d'impression utilisées dans les environnements commerciaux, gouvernementaux et éducatifs. Les correctifs sont disponibles dans la version 8.0.5 de Xerox FreeFlow Core. Les utilisateurs doivent mettre à niveau immédiatement.

Articles

Abuser les services Microsoft légitimes pour du phishing ADFS

Des attaquants ont trouvé une redirection ouverte astucieuse dans office.com, non due à une vulnérabilité ou un paramètre non contrôlé, mais plutôt à la façon dont Office effectue les redirections vers les tenants ADFS pour l'authentification. En créant un tenant ADFS contrôlé par l'attaquant, il est possible d’indiquer à Office de rediriger vers votre infrastructure Azure, où vous contrôlez la chaîne de redirections. Cela aide les attaquants à faire croire aux victimes qu'il s'agit d'une URL légitime puisqu'elle provient du domaine Office.

Analyser les transcripts PowerShell comme artifacts DFIR

Les transcripts PowerShell représentent “l'enregistreur de vol" pour l'activité PowerShell, capturant chaque commande tapée et toute sortie texte dans les sessions interactives. Ces logs incluent des métadonnées détaillées : nom d'utilisateur, nom de la machine, application hôte, ID de processus, version PowerShell, timestamps début/fin, etc. Ces artifacts révèlent les actions des attaquants mais restent au format texte et donc, potentiellement modifiables. Le stockage centralisé en écriture seule est recommandé.

Développer avec Impacket pour les appels de procédures distantes RPC

L'équipe CICADA8 lance une série d'articles pour développer avec Impacket, commençant par un guide approfondi sur RPC (Remote Procedure Call). RPC permet d'accéder à distance aux fonctionnalités des programmes serveur via différents transports (UDP, TCP, SMB, HTTP). Le guide couvre les concepts fondamentaux : binding RPC, stubs, interfaces et transport. Cette première partie établit les bases avant d'aborder le développement d'outils personnalisés pour Lateral Movement avec Impacket.

Exploiter les fichiers ntds.dit avec DSInternals amélioré

SpecterOps présente les dernières améliorations du module PowerShell DSInternals pour l'extraction de données depuis les fichiers ntds.dit d'Active Directory. Les nouvelles capacités incluent l'attaque Golden dMSA pour récupérer et calculer les mots de passe actuels des comptes de service managés (gMSA/dMSA), la récupération des mots de passe Windows LAPS en mode hors ligne via les KDS Root Keys, le support des contrôleurs de domaine en lecture seule (RODC) avec accès limité aux attributs secrets, l'extraction des mots de passe de confiance pour les attaques inter-domaines Kerberos, et la récupération des clés de récupération BitLocker.

Transformer les webcams Linux en outils d'attaque BadUSB

Les chercheurs d'Eclypsium ont découvert des vulnérabilités dans les webcams Lenovo (modèles 510 FHD et Performance FHD) fonctionnant sous Linux, permettant leur transformation en outils d'attaque BadUSB. Les webcams utilisent un SoC SigmaStar avec processeur ARM Cortex-A7 dual-core sous Linux. Les attaquants peuvent reflasher le firmware sans validation, permettant à la webcam compromise d'injecter des frappes clavier, livrer des payloads malveillants, fournir un accès persistant et réinfecter un hôte même après réinstallation du système d'exploitation. La vulnérabilité clé réside dans le processus de mise à jour firmware permettant d'effacer la flash SPI 8MB embarquée et d'écrire directement du contenu. Lenovo a publié un outil de mise à jour firmware pour corriger la vulnérabilité.

MadeYouReset exploite HTTP/2 pour des attaques déni de service

Une nouvelle vulnérabilité appelée MadeYouReset permet aux attaquants de contourner les limites sur les requêtes HTTP/2, activant des attaques par déni de service distribué (DDoS) à grande échelle. Cet exploit peut submerger les serveurs en envoyant des milliers de requêtes, impactant divers produits comme Apache Tomcat et F5 BIG-IP.

Entraîner des modèles IA spécialisés pour l'évasion malware

Outflank présente une approche novatrice pour entraîner des petits modèles de langage spécialisés utilisant l'apprentissage par “reinforcement learning with verifiable rewards” (RLVR). Le modèle Dante-7B a été entraîné spécifiquement pour générer des shellcode loaders évasifs. Dante-7B, environ 1/100ème la taille des modèles comparables, a surpassé les modèles généralistes plus larges pour générer du shellcode évasif, atteignant ~8% d'évasion complète de Microsoft Defender for Endpoint.

Compromettre les solutions Zero Trust Network Access à DEF CON 33

AmberWolf a présenté à DEF CON 33 des vulnérabilités critiques dans les solutions ZTNA leaders (Zscaler, Netskope, Check Point). Les failles découvertes incluent :

• contournement d'authentification Netskope en mode IdP Enrolment via "OrgKey" non-révocable

• contournement d'authentification inter-tenant Netskope

• élévation de privilèges locale via serveur malveillant (CVE-2025-0309)

• contournement d'authentification SAML Zscaler par validation défaillante des assertions signées (CVE-2025-54982)

• clé SFTP hard-codée Check Point donnant accès aux logs multi-tenants avec matériel JWT (CVE-2025-3831).

Toutes les vulnérabilités de contournement d'authentification accordent accès aux proxies web et services "Private Access" pour le routage vers ressources internes. Cette recherche questionne la confiance accordée aux fournisseurs Zero Trust.

Abuser OAuth Entra pour accéder aux applications Microsoft internes

Eye Security a découvert une vulnérabilité dans le processus d'authentification des applications multi-tenant Microsoft permettant l'accès non autorisé aux services internes. Les applications multi-tenant configurées avec l'endpoint d'authentification /common permettent l'authentification avec un compte Microsoft personnel, contournant les restrictions d'accès prévues. 22 applications internes vulnérables ont été découvertes, incluant Risk Register, Security Intelligence Platform et service Media Creation.

Outils

Contourner et éliminer les EDR avec les techniques DEF CON 33

Un workshop DEF CON 33 présente des techniques pour contourner les systèmes Endpoint Detection and Response (EDR). Le projet couvre l'investigation d'agents EDR en live, le déploiement d'outils “tueurs d'EDR”, la suppression des communications d'agent, la rétro-ingénierie des techniques d'évasion et l'écriture de code C/C++ personnalisé de contournement.

Générer des références croisées manquées par IDA Pro

Plugin IDA Pro qui aide à générer des références croisées (XRefs) qu'IDA a manquées. Il se concentre particulièrement sur les langages compilés modernes comme Rust/Go/C++ et les binaires avec des techniques d'obfuscation avancées. Il est conçu pour être utilisé avec le plugin XRefer de Mandiant.

Créer un laboratoire Entra ID volontairement vulnérable

EntraGoat est un environnement Microsoft Entra ID volontairement vulnérable conçu pour l'apprentissage et la formation en cybersécurité. Il simule des misconfigurations de sécurité identitaire réelles, fournit une formation pratique sur les vecteurs d'attaque et l'escalade de privilèges en utilisant des scripts PowerShell et les API Microsoft Graph.

Découvrir les chemins d'attaque dans Jamf Pro avec BloodHound

JamfHound est un outil Python3 conçu pour collecter et identifier les chemins d'attaque dans les tenants Jamf Pro en se basant sur les permissions d'objet existantes et en sortant les données au format JSON pour ingestion dans BloodHound. L'outil supporte les instances Jamf Pro hébergées dans le cloud et on-prem.

Identifier les privilèges excessifs des Service Principal Azure

Azure AppHunter est un outil PowerShell conçu pour aider les professionnels de sécurité à analyser les permissions Azure Service Principal. Les capacités principales incluent l'énumération des permissions Microsoft Graph dangereuses sur les Service Principal, la détection des attributions de rôles privilégiés comme Administrateur Global, la découverte des souscriptions Azure avec accès Propriétaire/Contributeur et l'authentification device code pour les API Microsoft Graph et Azure ARM.

Améliorer le password spraying de mots de passe Active Directory

SpearSpray est un outil de password spraying pour les environnements Active Directory. Les capacités incluent l'énumération d'utilisateurs LDAP, la génération de mots de passe basée sur des motifs, les tests d'authentification Kerberos et la génération de motifs de mots de passe spécifiques à l'utilisateur.

Énumérer les services Azure et attribuer la propriété des tenants

ATEAM est un outil Python de reconnaissance conçu pour découvrir les services Azure et attribuer la propriété des tenants. L'outil scanne 6 sous-domaines de services Azure : Azure App Services, Azure DevOps, Azure Key Vault, Azure Storage Accounts, SharePoint Online et Azure Databricks.

Analyser les configurations des GPO

GpoParser est un outil conçu pour extraire et analyser les configurations des objets de stratégie de groupe (GPO) dans les environnements Active Directory. L'outil supporte les modes en ligne (connexion LDAP et SYSVOL) et hors ligne (analyse de copies locales). Les capacités principales incluent l'extraction de configurations GPO détaillées, l'identification des risques de sécurité potentiels et opportunités de mouvement latéral, et l'enrichissement de BloodHound avec des arêtes de relation supplémentaires comme AdminTo et CanRDP.

Conférences / Salons

🗓️ Barbhack 2025 - Le 30 août 2025 - Toulon (France)

🗓️ FranSec Cyber Summit - Du 16 au 17 Septembre 2025 - Paris (France)

🎤 DEFCON33 - Turning Microsoft's Login Page into our Phishing Infrastructure

Finances / Marché

Préoccupations de l'effondrement du marché de l'emploi tech US

L'expert en sécurité Daniel Miessler exprime ses inquiétudes sur un potentiel effondrement économique et sociétal dans les prochains mois aux Etats-Unis. Ses préoccupations incluent les licenciements massifs dans la tech (200 000 en 2023, 150 000 en 2024) qui s'accélèrent avec l'adoption de l'IA par les entreprises. Salesforce annonce que 50% de son travail est désormais effectué par des bots IA, Microsoft rapporte 30% du développement logiciel automatisé. Parallèlement, la dette des ménages américains atteint 1 210 milliards de dollars avec des taux d'intérêt à 22,25%.

F5 supprime plus de 100 emplois à Seattle et Spokane

L'entreprise de cybersécurité F5 licencie plus de 100 employés dans ses bureaux de Seattle et Spokane, incluant des ingénieurs seniors et managers. L'entreprise justifie ces suppressions pour "mieux aligner les ressources avec les besoins clients importants". F5 emploie actuellement plus de 6000 personnes dans plus de 60 bureaux et son action a grimpé de près de 30% cette année.

Misc

🎬 Un virus virtuel tue 4 millions de joueurs dans un jeu vidéo et intéresse les scientifiques et les experts en terrorismes

Palantir soupçonnée de créer une base de données massive sur les citoyens américains

L'entreprise américaine d'analyse de données Palantir est accusée par le New York Times et des sénateurs démocrates de créer une base de données fusionnant des informations sur la vie privée des citoyens américains via son produit "Foundry". Le gouvernement Trump aurait confié à la multinationale la mission d'analyser les données d'administrations fédérales. Les élus dénoncent notamment le contrat avec l'Internal Revenue Service donnant accès aux données sensibles de tous les foyers imposables américains, et un contrat de 30 millions de dollars avec l'agence ICE pour "rationaliser l'identification et l'éloignement des étrangers". Palantir nie ces pratiques contraires à la législation américaine, mais les sénateurs qualifient ces dispositifs de "cauchemar de surveillance".

FFmpeg intègre nativement Whisper d'OpenAI pour la transcription vidéo

FFmpeg intègre désormais l'IA Whisper d'OpenAI pour la transcription native de vidéos, permettant aux utilisateurs de transcrire des vidéos avec une seule ligne de commande. L'intégration directe élimine le besoin d'outils multiples et supporte un paramètre "queue" ajustable pour équilibrer vitesse et qualité de transcription. La fonctionnalité peut sortir des sous-titres aux formats SRT ou JSON, supporte le traitement GPU et inclut la détection d'activité vocale.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter