- Erreur 403
- Posts
- Erreur 403 | #40
Erreur 403 | #40
Grosses fuites chez Auchan et Orange Belgium, vulnérabilités critiques Docker et Apple, alliance ShinyHunters-Scattered Spider, Microsoft limite l'accès chinois aux alertes, vulnérabilités sur les extensions navigateur de gestionnaires de mots de passe, démantèlement cybercriminel en Afrique, 20M$ offerts pour des zero-days mobiles, etc.
Bastien Cacace
28th août 2025
Sommaire
Infos
Auchan annonce une cyberattaque ayant exposé les données personnelles de plusieurs centaines de milliers de clients. Les informations compromises incluent noms, prénoms, adresses email et postales, numéros de téléphone et numéros de cartes fidélité. Les données bancaires et mots de passe ne sont pas affectés. L'entreprise a déposé plainte et notifié la CNIL. C'est la deuxième fuite majeure pour Auchan après celle de fin 2024 qui avait touché plus de 550 000 clients. Le principal risque est l'utilisation de ces données pour des attaques de phishing ciblées.
Microsoft a restreint l'accès de certaines entreprises chinoises au programme MAPP (Microsoft Active Protections Program), qui partage les détails de vulnérabilités avant leur publication. Cette décision fait suite à des soupçons de fuites ayant permis le piratage de serveurs SharePoint exploitant des failles non corrigées. Le programme MAPP permet normalement aux vendeurs de sécurité de préparer leurs défenses avant la divulgation publique des vulnérabilités. Microsoft limite désormais l'accès au "proof of concept code" pour les participants dans les pays exigeant la déclaration obligatoire des vulnérabilités au gouvernement, incluant la Chine.
Certains assureurs cyber testent des exclusions CVE qui limiteraient les indemnisations lorsque des entreprises sont victimes d'attaques exploitant des vulnérabilités connues non corrigées dans des délais raisonnables. Ces approches incluent une échelle de responsabilité basée sur la demi-vie d'une vulnérabilité ou le non-respect d'un délai de correction pour les failles critiques. 46 000 vulnérabilités sont attendues d'ici fin 2025 et ce nombre ne fera probablement qu'augmenter d'année en année.
L'Australian Signals Directorate (ASD) et ses partenaires ont publié un guide complet sur la gestion sécurisée des clés cryptographiques et secrets. Le document détaille les menaces courantes : force brute, accès non autorisé, erreurs humaines et compromission par des initiés malveillants. Les recommandations couvrent la gouvernance, la génération sécurisée (HSM privilégiés), le stockage, la distribution, la rotation et la destruction des clés.
Les conversations partagées via le chatbot Grok d'xAI sont indexées par les moteurs de recherche sans que les utilisateurs en soient toujours conscients. Lorsqu'un utilisateur utilise le bouton "Partager" pour créer une URL unique, cette action rend également la conversation accessible aux moteurs de recherche comme Google, Bing et DuckDuckGo. Forbes a pu consulter des conversations contenant des questions intimes sur la médecine et la psychologie.
Orange Belgium a confirmé qu'une cyberattaque fin juillet a compromis les données de 850 000 abonnés. Les attaquants ont accédé aux noms complets, numéros de téléphone, numéros de carte SIM et codes PUK personnels. Bien qu'Orange affirme qu'aucune donnée critique telle que des mots de passe, adresses ou informations financières n'ait été compromise, les risques de phishing ciblé et de fraude sont très élevés. L'association entre identité réelle et numéro de téléphone facilite les attaques personnalisées.
Un chercheur en sécurité a révélé lors de la DEF CON 33 des vulnérabilités zero-day de clickjacking non corrigées affectant les extensions navigateur de nombreux gestionnaires de mots de passe, dont 1Password, Bitwarden, Dashlane, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass et RoboForm. Ces vulnérabilités permettent aux attaquants de voler des données sensibles comme les détails de cartes bancaires, identifiants de connexion et codes 2FA si la victime visite un site malveillant. Les attaquants superposent des éléments HTML invisibles sur le contenu injecté par le gestionnaire de mots de passe. Plusieurs gestionnaires restent vulnérables aujourd'hui.
MITRE a publié une version révisée de sa liste CWE des faiblesses matérielles les plus importantes (MIHW) pour s'aligner sur l'évolution du paysage de la sécurité matérielle. La liste 2025 comprend 11 entrées avec de nouvelles classes et catégories, conservant 5 entrées de la liste 2021. La CWE-226 "Information sensible dans une ressource non effacée avant réutilisation" arrive en tête.
Advanced Security Solutions, une nouvelle startup basée aux Émirats arabes unis, propose jusqu'à 20 millions de dollars pour des outils de piratage permettant de compromettre n'importe quel smartphone via un simple SMS. L'entreprise offre certains des prix publics les plus élevés du marché des zero-days : 15 millions pour Android et iPhone, 10 millions pour Windows, 5 millions pour Chrome. La société affirme maintenir une coopération continue avec plus de 25 gouvernements et agences de renseignement dans le monde. L'identité des propriétaires et des clients reste inconnue.
Le gouvernement britannique a abandonné son plan visant à forcer Apple à affaiblir le chiffrement et créer une backdoor pour accéder aux données des utilisateurs. Cette décision fait suite aux pressions des responsables américains qui voulaient protéger les libertés civiles des Américains. Apple avait précédemment désactivé sa fonction Advanced Data Protection au Royaume-Uni en raison de ces demandes gouvernementales.
Un pirate propose à la vente 15,8 millions de paires email-mot de passe liées à PayPal sur un forum du Dark Web pour seulement 750 dollars. Les échantillons de données semblent contenir des identifiants liés à des comptes Gmail, incluant les pages de connexion web et Android de PayPal, suggérant une collecte via des infostealers plutôt qu'une compromission du SI de PayPal.
Une cyberattaque contre le ministère public néerlandais a mis hors service de nombreux radars de vitesse dans le pays. L'organisation s'est déconnectée d'Internet le 17 juillet après que des pirates ont exploité des vulnérabilités dans les appareils Citrix pour obtenir un accès non autorisé. Les radars fixes, les contrôles de vitesse moyenne et les radars portables ont été impactés.
L'entreprise de télécommunications britannique Colt Technology Services a confirmé que des attaquants ont volé des données de son SI. L'incident détecté le 14 août a forcé la mise hors ligne de certains systèmes de support, incluant Colt Online et sa plateforme Voice API. Le groupe de ransomware WarLock revendique l'attaque et affirme avoir volé un million de documents qu'il met aux enchères sur le dark web. Colt précise que le système interne compromis était séparé de l'infrastructure client, mais reconnaît que certains fichiers accédés peuvent contenir des données relatives aux clients. WarLock revendique également des attaques contre Orange France.
Interpol a annoncé l'arrestation de 1 209 cybercriminels présumés et la saisie de 97,4 millions de dollars lors de l'opération Serengeti 2.0 menée avec dix-huit pays africains et le Royaume-Uni entre juin et août. L'opération a démantelé 11 432 infrastructures malveillantes et identifié près de 88 000 victimes. Les méthodes frauduleuses ciblées incluaient les ransomwares, les escroqueries en ligne et la compromission de messageries professionnelles. En Angola, les autorités ont découvert 25 centres de minage illégal de cryptomonnaies exploités par des opérateurs chinois, ainsi que 45 mini-centrales électriques illicites.
Les agents frontaliers américains ont fouillé 14 899 appareils électroniques de voyageurs internationaux entre avril et juin 2025, soit une hausse de 17% par rapport au précédent record de début 2022. La plupart sont des fouilles "basiques" où les agents exigent le mot de passe pour examiner le contenu sans équipement spécialisé. Les citoyens américains ne peuvent être refoulés mais leurs appareils peuvent être confisqués indéfiniment en cas de refus. Les visiteurs étrangers risquent l'expulsion du territoire.
Une vague d'attaques contre Salesforce en juin-juillet 2025 révèle une collaboration entre les groupes ShinyHunters et Scattered Spider. Les attaquants ont utilisé du voice phishing combiné à des applications OAuth malveillantes pour contourner l'authentification multifacteur et exfiltrer massivement des données CRM. Les victimes incluent Google, Qantas, Allianz, LVMH et Workday. Le leader présumé de ShinyHunters a confirmé ce partenariat à DataBreaches.net, déclarant qu'ils "continuent d'attaquer quotidiennement des entreprises multimilliardaires".
Vulnérabilités
Six vulnérabilités critiques dont une faille Apple (CVE-2025-43300) particulièrement préoccupante. Cette vulnérabilité affecte le framework ImageIO sur macOS, iPadOS et iOS, est activement exploitée dans des attaques ciblées. Le bulletin répertorie également des failles critiques chez Cisco Secure Firewall Management Center (CVE-2025-20265, CVSS 10.0), Ubuntu, Mozilla Firefox Focus et IBM QRadar.
Le CERT-FR a également émis une alerte concernant la vulnérabilité de CVE-2018-0171 affectant IOS et IOS XE utilisant la fonctionnalité Smart Install. L'éditeur indique que cette vulnérabilité continue à être exploitée d’après Cisco.
Une vulnérabilité critique (CVE-2025-9074 / CVSS 9.3) dans Docker Desktop permet aux attaquants de contrôler les conteneurs et monter le système de fichiers de l'hôte Windows pour obtenir des privilèges administrateur. La faille affecte les versions Windows et macOS, permettant à un conteneur malveillant d'accéder à l'API HTTP interne de Docker sans authentification. Sur Windows, un attaquant peut écraser une DLL système pour obtenir des privilèges administratifs. Sur macOS, l'isolation limite partiellement l'impact mais permet toujours le contrôle d'autres conteneurs. Un correctif est disponible.
Sur ces 7 derniers jour la CISA a ajouté cinq vulnérabilités exploitées :
CVE-2025-7775 : une vulnérabilité de débordement mémoire dans Citrix NetScaler
CVE-2024-8069 : désérialisation de données non fiables dans Citrix Session Recording
CVE-2024-8068 : gestion inappropriée des privilèges dans Citrix Session Recording
CVE-2025-48384 : vulnérabilité de suivi de liens dans Git
CVE-2025-43300 : vulnérabilité dans l'implémentation Apple du code de décompression JPEG Lossless au sein du bundle RawCamera
La CVE-2025-43300 représente une vulnérabilité critique d'écriture hors limites dans l'implémentation Apple du code de décompression JPEG Lossless au sein du bundle RawCamera, traitant les fichiers DNG d'Adobe. Apple reconnaît que cette faille pourrait avoir été exploitée dans une attaque extrêmement sophistiquée contre des individus spécifiquement ciblés.
Les chercheurs de watchTowr ont découvert quatre nouvelles vulnérabilités dans Commvault formant deux chaînes distinctes d'exécution de code à distance pré-authentification.
Articles
YesWeHack présente un guide pour configurer un environnement de test mobile Android optimisé pour la recherche de vulnérabilités. Le guide couvre les avantages et inconvénients des émulateurs versus appareils réels, détaillant la configuration de Genymotion, Android Studio Emulator et des appareils rootés avec Magisk.
Trail of Bits révèle comment des attaquants peuvent exploiter la mise à l'échelle d'images dans les systèmes IA pour réaliser des injections de prompt invisibles. Les systèmes IA réduisent souvent les images avant de les traiter. Un attaquant peut créer une image d'apparence inoffensive qui révélerait du texte après réduction d'échelle, conduisant à une injection de prompt.
Un chercheur en sécurité détaille une méthodologie complète pour compromettre l'infrastructure Azure d'une organisation fictive "Tropicana Bay Hotels". L'approche débute par l'énumération externe d'Entra ID via AADInternals, suivi de password spraying avec MSOLSpray pour obtenir des identifiants initiaux. L'auteur enchaîne avec l'escalade de privilèges via des Service Principal Names mal configurés, l'exploitation de Storage Accounts et Key Vaults pour récupérer de nouveaux secrets.
SpecterOps présente une technique permettant d'utiliser l'authentification HTTP NTLM d'un utilisateur peu privilégié pour effectuer un relais vers LDAP via un proxy SOCKS5, exécutant ainsi les outils d'énumération Active Directory depuis un système distant. Cette méthode contourne les détections EDR en déportant l'exécution des outils hors de l'hôte compromis. La technique exploite le fait que l'authentification HTTP n'active pas la signature de session par défaut, contrairement à SMB. Elle permet d'effectuer la reconnaissance ADCS et autres opérations LDAP sans matériel d'identification tangible ni déclenchement d'alertes EDR.
SpecterOps examine la possibilité de démarrer le service WebClient à distance en tant qu'utilisateur peu privilégié. WebClient constitue une cible précieuse pour les attaques de relais NTLM car il permet de relayer facilement vers LDAP sans signature de session. Le service n'est pas activé par défaut sur les postes de travail Windows mais peut être démarré localement via un événement ETW spécifique. L'article détaille les mécanismes sous-jacents incluant les protocols WebDAV, les named pipes et les déclencheurs de service.
Des chercheurs ont développé un système IA générant automatiquement des exploits fonctionnels pour les CVE publiées en 10-15 minutes pour environ 1$ chacun. Le système utilise un pipeline multi-étapes analysant les avis CVE et patches de code, créant des applications de test vulnérables et du code d'exploit, puis validant les exploits en testant contre les versions vulnérables et corrigées. Cette capacité pourrait réduire encore plus la "période de grâce" traditionnelle dont disposent les défenseurs entre la publication d'une vulnérabilité et l'apparition d'exploits publics.
Le groupe Warlock exploite des vulnérabilités non corrigées dans les serveurs Microsoft SharePoint exposés sur Internet pour déployer son ransomware d'entreprise. Les attaquants utilisent des requêtes HTTP POST ciblées pour télécharger des web shells, permettant la reconnaissance et le vol de credentials. L'attaque s'intensifie via l'abus de Group Policy, le vol de credentials et les mouvements latéraux utilisant des outils Windows intégrés et des malwares personnalisés. Warlock a fait ses débuts sur le forum RAMP en juin 2025 et compte déjà au moins 16 attaques réussies, ciblant principalement des agences gouvernementales au Portugal, Croatie et Turquie, ainsi que des organisations des secteurs financier et industriel.
Les chercheurs de labs.reversec.com ont identifié un nouveau vecteur d'élévation de privilèges dans Amazon ECS exploitant les fonctionnalités conçues pour l'auto-enregistrement de l'agent ECS. Cette technique permet à un attaquant ayant compromis une instance EC2 de s'auto-enregistrer et de remplacer une définition de tâche existante pour obtenir des privilèges supplémentaires.
Un chercheur démontre comment exploiter AWS Certificate Manager (ACM) comme mécanisme d'exfiltration. Contrairement à d'autres services AWS, ACM n'a pas d'endpoint VPC, ce qui le rend vulnérable aux attaques BYOC (Bring Your Own Credentials). La technique exploite l'importation de certificats X.509 avec l'extension nsComment pour stocker jusqu'à 2 MB de données par certificat. L'attaquant encode les données sensibles dans cette extension, importe le certificat via l'API ACM, puis récupère les données avec get-certificate. Cette méthode permet théoriquement de stocker 7,5 GB annuels.
Des chercheurs de l'Université de Birmingham expliquent lors de la Black Hat USA 2025 comment les systèmes anti-triche des jeux vidéo constituent une mine d'or pour la cybersécurité. Ces systèmes implémentent des technologies de sécurité avancées pour détecter et prévenir la triche, incluant l'analyse comportementale, la détection d'intrusion en temps réel et l'intégrité des processus. Les mécanismes développés pour les jeux peuvent être adaptés à des contextes de cybersécurité plus larges. L'industrie du jeu vidéo investit massivement dans ces technologies en raison des enjeux économiques, créant des innovations transférables vers la sécurité informatique traditionnelle.
Outils
GHBuster est un outil pour détecter les dépôts et utilisateurs GitHub suspects via des heuristiques. L'outil analyse les patterns comportementaux pour identifier les comptes potentiellement malveillants ou “inauthentiques”.
Bhopengraph est une bibliothèque Python pour créer facilement des OpenGraphs BloodHound compatibles avec le schéma officiel. La bibliothèque fournit des classes Python pour gérer les structures de graphes incluant nodes, edges et properties selon les bonnes pratiques BloodHound. Elle simplifie la création programmatique de graphes Active Directory personnalisés pour l'analyse de sécurité.
YARAAST est une bibliothèque Python et outil CLI pour parser, analyser et manipuler les règles YARA via des représentations d'arbre syntaxique abstrait (AST). L'outil supporte désormais YARA-L pour Google Chronicle en plus des formats YARA et YARA-X standard.
Conférences / Salons
🗓️ Barbhack 2025 - Le 30 août 2025 - Toulon (France)
🗓️ FranSec Cyber Summit - Du 16 au 17 Septembre 2025 - Paris (France)
Finances / Marché
Une analyse de l'acquisition de CyberArk par Palo Alto Networks vu comme un mouvement surprenant et potentiellement conservateur. Contrairement aux acquisitions cloud agressives précédentes, ce rachat dans l'identité semble défensif face à un marché mature avec une croissance limitée.
🤝 Okta acquiert Axiom Security, plateforme israélienne de Privileged Access Management (PAM) cloud-native, pour renforcer sa solution PAM.
Misc
L'artiste Jim Sanborn met aux enchères la solution complète de Kryptos K4, le dernier segment non résolu de sa sculpture cryptographique installée au siège de la CIA en 1990. Après 35 ans de mystère, Sanborn révèle enfin le déchiffrement des 97 caractères finaux qui ont résisté aux tentatives de milliers de cryptographes, équipes NSA et analystes. Pour ceux qui ne connaissent pas l’histoire, cette vidéo la résume assez bien. L'enchère débutera le 20 novembre 2025 avec une estimation de 300 000 à 500 000 dollars.
Git-who est un outil qui révolutionne l'analyse des contributions Git en identifiant les véritables auteurs du code au-delà des simples modifications de surface. Contrairement à git blame qui attribue les lignes à la dernière personne les ayant modifiées, git-who analyse les patterns de contribution sur fichiers entiers, dossiers et composants complets.
Wrkflw est un outil codé en Rust permettant de valider et exécuter les GitHub Actions localement sans pusher de code. L'outil parse les fichiers YAML, résout les dépendances entre jobs et lance l'exécution soit dans Docker/Podman soit en mode émulation.
Checkmate est une une solution open source auto-hébergée pour surveiller le matériel serveur, uptime, temps de réponse et incidents en temps réel. L'outil propose de belles visualisations pour le monitoring d'infrastructure et se positionne comme alternative aux solutions propriétaires.
Sitespeed.io est un outil open source complet pour analyser et optimiser les performances web, basé sur les meilleures pratiques. L'outil mesure les Google Web Vitals incluant First Contentful Paint, Largest Contentful Paint et Cumulative Layout Shift.
FileGator est un gestionnaire de fichiers web gratuit et auto-hébergé avec fonctionnalités avancées. L'application supporte l'upload multi-fichiers avec barre de progression, compression/décompression zip, drag & drop et intégration Amazon S3.
Focus Friend, une application Pomodoro featuring un haricot virtuel qui tricote, devenue numéro 1 des apps gratuites US devant ChatGPT et Gmail ! L'app utilise le "body doubling virtuel" : le haricot tricote pendant vos sessions de concentration et s'arrête tristement si vous touchez votre téléphone 🫣.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien