- Erreur 403
- Posts
- Erreur 403 | #41
Erreur 403 | #41
Salesloft compromet 700+ entreprises (Zscaler, Palo Alto), données françaises en vente sur le dark web (Afflelou, SNU), premier ransomware alimenté par IA, vulnérabilités critiques exploitées (Citrix, CrushFTP, FreePBX), évolution de Storm-0501 vers le ransomware cloud, Salt Typhoon compromet 200 entreprises américaines, guide ANSSI sur la supervision de sécurité, etc.
Bastien Cacace
4th septembre 2025
Sommaire
Infos
Plusieurs entreprises de sécurité, dont Zscaler, Palo Alto Networks, PagerDuty, Tanium et SpyCloud, confirment que leurs instances Salesforce ont été compromises suite à la cyberattaque visant Salesloft. Le groupe d’attaquants UNC6395 a exploité des tokens OAuth compromis du service Drift entre le 8 et le 18 août 2025, permettant l'accès aux bases de données Salesforce de plus de 700 entreprises.
Toujours suite à cette compromission, le groupe Scattered LapSus Hunters, menace de divulguer des bases de données Google si l'entreprise ne licencie pas deux employés du Google Threat Intelligence Group 🙄. Google a également publié un rapport sur cette attaque disponible ici.
Sekoia.io publie un rapport analysant l'écosystème des fournisseurs de surveillance commerciale entre 2010 et 2025. Le document expose trois phases d'évolution :
l'émergence précoce (2010-2015) marquée par FinFisher et Remote Control System ;
l'industrialisation (2016-2021) avec l'introduction de techniques zero-click ;
la crise de légitimité actuelle (2021-2024) suite aux révélations du Projet Pegasus.
Malgré les sanctions et expositions publiques, le marché reste lucratif. Les prix ont augmenté de 1 100€ en 2011 (FinFisher) à 8 millions d'euros en 2022 (Predator pour 100 téléphones).
Trois ensembles de données personnelles de citoyens français sont mis en vente sur un forum du dark web, concernant 1,6 million de clients d'Afflelou, 118 000 abonnés Syma Mobile et 76 000 participants au Service National Universel. Les fuites incluent des informations sensibles comme les numéros de Sécurité sociale, coordonnées médicales et documents d'identité. Ces incidents semblent liés à des cyberattaques précédemment divulguées.
Microsoft observe une évolution majeure du groupe Storm-0501 qui privilégie désormais les attaques ransomware cloud plutôt que les déploiements traditionnels sur les SI on-premise. Les attaquants compromettent d'abord les environnements Active Directory, pivotent vers Microsoft Entra ID pour élever leurs privilèges. Ils exploitent les fonctionnalités cloud natives pour exfiltrer rapidement des données, supprimer les sauvegardes et demander des rançons sans malware traditionnel.
Microsoft déploie une fonctionnalité qui sauvegarde automatiquement tous les nouveaux documents Word sur OneDrive par défaut, actuellement disponible pour les Insiders Microsoft 365. Cette fonctionnalité étendra bientôt à Excel et PowerPoint. Bien que Microsoft présente cela comme une modernisation pour éviter la perte de documents, les utilisateurs s'inquiètent de l'intégration IA (Copilot), de l'utilisation des données pour l'entraînement et de la tendance des grandes technologies à activer les fonctionnalités par défaut.
Google présente la création d'une unité de "disruption cyber" dans le contexte d'une évolution potentielle des États-Unis vers des approches plus offensives en cyberespace. Cette initiative s'inscrit dans un débat plus large sur les capacités offensives du secteur privé, entre "défense active" et "hacking back".
Le FBI confirme que le groupe chinois Salt Typhoon a piraté au moins 200 entreprises américaines et des sociétés dans 80 pays, révélant l'ampleur mondiale de cette campagne d'espionnage. Précédemment limité à neuf fournisseurs de télécommunications américains, le groupe a ciblé les métadonnées d'appels de hauts responsables politiques pour cartographier les communications et identifier les cibles de surveillance américaines. La menace reste active selon le directeur cyber du FBI, nécessitant une vigilance continue.
Nissan Japon confirme une cyberattaque visant Creative Box Inc., sa filiale de design, suite aux revendications du groupe ransomware Qilin. Les attaquants affirment avoir dérobé quatre téraoctets de données incluant des modèles 3D de véhicules, rapports internes, documents financiers et workflows de design VR.
L'ANSSI vient de publier le premier volet de sa collection de guides consacrés à la supervision de sécurité. Ce document stratégique définit la supervision comme "l'ensemble des moyens et des activités concourant à la détection et à la qualification d'un incident de sécurité sur un périmètre supervisé". Le guide souligne l'importance de la maîtrise technique préalable du SI et identifie les acteurs clés : analystes spécialisés au centre, équipes de renseignement et de réponse à incidents dans le premier cercle, gouvernance et gestion opérationnelle dans le second.
ESET Research découvre PromptLock, le premier ransomware alimenté par intelligence artificielle. Ce malware utilise le modèle gpt-oss-20b d'OpenAI localement via l'API Ollama pour générer des scripts Lua malveillants à la volée. PromptLock peut énumérer les systèmes de fichiers, exfiltrer des données et effectuer du déchiffrement. Bien qu'il s'agisse apparemment d'une preuve de concept, cette découverte illustre le potentiel d'automatisation des attaques ransomware par l'IA.
Vulnérabilités
Douze vulnérabilités critiques impactant notamment Citrix NetScaler ADC et Gateway (CVE-2025-7775 / CVSS 9.2), activement exploitée et qui a fait l’objet d’une alerte du CERT-FR. IBM QRadar SIEM cumule six vulnérabilités, dont la CVE-2025-48384 (CVSS 8.0) également exploitée.
Sur ces 7 derniers jours, la CISA a ajouté 5 vulnérabilités exploitées :
CVE-2025-9377 : vulnérabilité d'injection de commandes OS dans les routeurs TP-Link Archer C7(EU) et TL-WR841N/ND(MS)
CVE-2023-50224 : vulnérabilité de contournement d'authentification par usurpation dans TP-Link TL-WR841N
CVE-2025-55177 : vulnérabilité d'autorisation incorrecte dans Meta Platforms WhatsApp
CVE-2020-24363 : vulnérabilité d'authentification manquante pour fonction critique dans TP-Link TL-WA855RE
CVE-2025-57819 : vulnérabilité de contournement d'authentification dans Sangoma FreePBX (cf. article ci-dessous)
WatchTowr Labs révèle les détails de la CVE-2025-54309, une vulnérabilité dans CrushFTP activement exploitée depuis juillet 2025. Cette faille permet aux attaquants d'obtenir un accès administrateur. Grâce à leur réseau de honeypots, WatchTowr a capturé des exploits réels tentant de créer des comptes administrateur malveillants sur plus de 30 000 instances CrushFTP exposées en ligne.
L'équipe sécurité Sangoma FreePBX alerte sur l'exploitation active d'une vulnérabilité zero-day depuis le 21 août 2025 (maintenant patchée), touchant les systèmes avec le panneau administrateur exposé sur Internet. La faille affecte le module endpoint des versions 16 et 17, permettant aux attaquants d'exécuter des commandes arbitraires avec les privilèges utilisateur Asterisk. Sangoma a déployé un correctif EDGE en urgence et recommande de bloquer l'accès aux interfaces d'administration jusqu'au déploiement complet du patch.
Articles
Un guide technique pour analyser et modéliser les commandes PowerShell encodées Base64, technique couramment utilisée par les attaquants pour masquer leurs activités. L'article détaille les méthodes de détection dans les logs, l'utilisation d'expressions régulières pour identifier ces commandes, et les approches SIEM (SPL/KQL) pour automatiser l'analyse.
Une méthodologie complète pour exploiter la technique de DLL Sideloading dans les opérations red team. L'article explique comment identifier les logiciels vulnérables (modulaires, populaires, signés numériquement), créer des DLL proxy pour maintenir la fonctionnalité tout en exécutant du code malveillant, et contourner la détection EDR.
Une analyse des chemins d'attaque hybrides exploitant la synchronisation entre Active Directory on-premises et Entra ID. Les "groupes dynamiques" d'Entra ID peuvent être des chemins d'attaque intéressants. GenericWrite sur un utilisateur on-premises peut permettre à un attaquant de l'ajouter à un département qui obtient des permissions Azure basées sur un filtre de groupe dynamique.
SpecterOps analyse les changements de sécurité implémentés par Google Chrome pour protéger les cookies via l'encryption App-Bound, remplaçant l'ancienne méthode DPAPI. L'article détaille les nouvelles techniques de vol de cookies disponibles aux attaquants : exploitation du COM DecryptData, activation du debugging distant, utilisation d'extensions malveillantes, et recréation du processus de déchiffrement App-Bound en tant que SYSTEM. Ces évolutions nécessitent des privilèges plus élevés mais restent exploitables par des acteurs déterminés.
Une analyse détaillée de l'impact de l'acquisition de VMware par Broadcom pour 69 milliards de dollars sur l'écosystème open source. L'article documente la stratégie de l’entreprise consistant à éliminer les niveaux gratuits et augmenter drastiquement les prix après acquisitions.
Les chercheurs d'Akamai ont analysé le correctif Microsoft pour CVE-2025-53779 (BadSuccessor) et concluent que la vulnérabilité persiste partiellement. Bien que l'exploitation initiale directe soit bloquée, deux primitives d'attaque demeurent exploitables : l'acquisition de privilèges via un appairage mutuel dMSA-cible (alternative aux shadow credentials) et le dump de credentials ciblé dans des domaines déjà compromis (alternative à DCSync).
Zythom présente le processus pour devenir expert judiciaire en France, avec focus sur les spécialités cybersécurité. L'article détaille la procédure de candidature, les spécialités informatiques disponibles dans la nomenclature 2022 et les exigences professionnelles. L'expertise judiciaire est présentée comme une activité annexe prestigieuse nécessitant une expérience professionnelle solide et des recommandations de pairs pour apporter un concours technique à la justice.
Retour d'expérience sur Wazuh, une plateforme open source combinant HIPS, EDR et XDR pour surveiller son homelab. L'outil détecte les vulnérabilités CVE, analyse les comportements suspects en temps réel et corrèle les événements multi-sources.
Un chercheur découvre des centaines d'installations TeslaMate exposées sur Internet sans authentification, révélant des données sensibles en temps réel. L'analyse par scan Masscan et crawling révèle des coordonnées GPS exactes, modèles de véhicules, historiques de déplacement et habitudes de recharge. L'application open-source TeslaMate n'intègre pas d'authentification par défaut sur le port 4000, créant un risque de sécurité physique majeur pour les propriétaires Tesla qui déploient l'application sur des serveurs cloud publics.
Trail of Bits retrace dix ans d'évolution des exploits de désérialisation dans le module Marshal de Ruby, démontrant un cycle persistant de correctifs et de contournements. L'article analyse les CVE historiques et les techniques d'exploitation pour montrer pourquoi les approches de type "patch-and-hope" échouent face à cette classe de vulnérabilités.
Outils
Extension IDA Pro pour optimiser le diffing binaire entre versions patchées et non patchées d'un logiciel. Particulièrement utile pour faire du reverse engineering sur les patchs de systèmes d'exploitation, voir où les vulnérabilités ont été corrigées et construire des payloads pour exploiter les anciennes versions.
Mandiant a publié un outil pour analystes de malware et reverse engineers qui aide à trouver, étiqueter et présenter les chaînes intéressantes dans un échantillon binaire.
BruteForceAI change les attaques de force brute traditionnelles en intégrant des modèles de langage pour l'analyse intelligente de formulaires. L'outil utilise l'IA (Ollama/Groq) pour identifier automatiquement les sélecteurs de formulaires de connexion, puis exécute des attaques sophistiquées avec des patterns comportementaux humains.
Portage de l'outil adconnectdump.py de Dirk-Jan Mollema en Beacon Object File pour Cobalt Strike, Sliver et Havoc. ADSyncDump-BOF permet d'extraire les identifiants du compte de synchronisation Azure AD Connect sans dépendances externes.
Tookie est un outil de collecte d'informations OSINT spécialisé dans la recherche de comptes de réseaux sociaux permettant de corréler les identités numériques.
SAMLSmith est un outil pour générer des réponses SAML personnalisées et implémenter les attaques Silver SAML et Golden SAML. L'outil propose quatre commandes principales : génération via paramètres en ligne de commande, fichiers JSON, réponses WS-Federation et extraction de certificats depuis les matériaux cryptés AD FS.
HackingTool regroupe plus de 500 outils de hacking organisés par catégories : outils d'anonymisation, collecte d'informations, génération de wordlists, attaques wireless, injection SQL, phishing, post-exploitation, forensique, création de payloads, frameworks d'exploit, reverse engineering, DDOS, RAT, XSS et stéganographie.
Moteur de recherche pour les archives Mega.nz où certaines fuites de données sont parfois publiées.
ChromeAlone est framework qui transforme les navigateurs Chromium en implants C2 alternatifs à Cobalt Strike ou Meterpreter. Chaque implant ChromeAlone fournit un proxy SOCKS TCP, vol de sessions navigateur, capture d'identifiants, exécution de programmes depuis Chrome, phishing WebAuthn pour tokens physiques et persistance résistante aux EDR utilisant les fonctionnalités natives de Chromium.
Conférences / Salons
🗓️ FranSec Cyber Summit - Du 16 au 17 Septembre 2025 - Paris (France)
Finances / Marché
🤝 Varonis annonce l'acquisition de SlashNext pour 150M$, spécialiste de la protection contre le phishing et les attaques BEC (Business Email Compromise) alimentées par l'IA générative.
🤝 CrowdStrike annonce l'acquisition d'Onum, startup spécialisée dans la sécurité et la gouvernance des données cloud.
Misc
Le système d'intelligence artificielle déployé par Microsoft pour traiter les appels d'urgence au 911 génère des rapports inexacts, créant des risques pour les interventions d'urgence. L'IA transcrit incorrectement les conversations, invente des détails non mentionnés par les appelants et produit des résumés trompeurs transmis aux premiers secours.
Guide complet pour améliorer les performances et la sécurité des workflows GitHub Actions. L'article couvre l'utilisation efficace du cache pour réduire les temps de build, la configuration de matrices de tests parallèles, l'optimisation des images Docker, la sécurisation des secrets et variables d'environnement.
Microsoft identifie un problème critique avec certains pilotes SSD causant des écrans bleus de la mort (BSOD) et des corruptions de données sur Windows 10 et 11. Les SSD affectés incluent plusieurs modèles Samsung, Western Digital et Intel avec des firmware spécifiques. La mise à jour défaillante peut entraîner une perte complète des données stockées et rendre les systèmes inutilisables.
Interface graphique moderne pour yt-dlp permettant de télécharger facilement des vidéos depuis YouTube et 1800+ sites supportés. L'application propose une interface utilisateur intuitive avec sélection de qualité, extraction audio, téléchargement de playlists complètes et conversion de formats.
Outil de stress test et monitoring spécialisé dans l'évaluation des performances et températures des cartes graphiques. GpuTest propose plusieurs scénarios de test intensifs pour vérifier la stabilité thermique, détecter les problèmes de surchauffe et valider les configurations d'overclocking.
Suite d'optimisation système complète proposant plus de 20 outils intégrés pour nettoyer, réparer et accélérer les ordinateurs Windows. Glary Utilities combine nettoyage du registre, suppression des fichiers temporaires, défragmentation, gestion des programmes de démarrage et protection de la vie privée.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien