Erreur 403 | #42

Compromission géante de l'écosystème npm, usurpation d'identité dans les ARS françaises, 177 vulnérabilités Microsoft corrigées, exploitation d'iCloud pour du phishing, lanceur d'alerte révèle les failles de WhatsApp, nouvelle backdoor russe APT28, Qantas sanctionne ses dirigeants post-cyberattaque, etc.

Author

Bastien Cacace
11th septembre 2025

Sommaire

Infos

Le contributeur npm Qix a été compromis via un email de phishing usurpant npmjs.com, permettant aux attaquants d'injecter du code malveillant dans 20 packages JavaScript très utilisé. Le code ajouté surveille les transactions de cryptomonnaies (Ethereum, Bitcoin, Solana) et remplace les adresses de portefeuilles des destinataires. Les packages compromis incluent chalk, color-convert, strip-ansi et debug. Socket Security qualifie cet incident de probablement la plus grande attaque de chaîne d'approvisionnement jamais vue, étant donné la portée massive de ces packages dans l'écosystème JavaScript. Le rapport d’Aikido qui a révélé l’attaque est disponible ici. npm install pourrait bientôt être rebaptisé npm pray 😁.

Au moins trois agences régionales de santé (Pays de la Loire, Hauts-de-France, Normandie) sont touchées par une cyberattaque visant le GRADeS, opérateur public d'accompagnement numérique. Les attaquants ont usurpé l'identité de professionnels de santé pour accéder aux systèmes. Seules des données administratives seraient concernées, aucune donnée médicale n'étant affectée.

La compagnie aérienne australienne Qantas a réduit de 15% les bonus de ses dirigeants suite à un vol de données affectant 5,7 millions de personnes. La PDG verra sa rémunération réduite de 250 000 dollars, reflétant la responsabilité partagée de l'équipe dirigeante. L'attaque, attribuée au groupe Scattered Spider, a exposé noms, emails et numéros de fidélité de 2,8 millions de clients, plus des informations partielles pour 1,7 million d'autres.

Le groupe de ransomware LunaLock a compromis la plateforme Artists & Clients, exigeant 50 000 dollars de rançon. Au-delà de la menace classique de divulgation publique, le groupe menace de soumettre toutes les œuvres aux entreprises d'IA pour les ajouter aux ensembles de données d'entraînement.

Des attaquants abusent des invitations iCloud Calendar pour envoyer des emails de phishing déguisés en notifications d'achat directement depuis les serveurs d'Apple. Les emails, provenant de [email protected], passent les vérifications SPF, DMARC et DKIM. Les invitations contiennent un texte de phishing dans le champ Notes, prétendant généralement qu'une charge frauduleuse (ex: 599$ sur PayPal) a été effectuée. L'objectif est d'inciter les victimes à appeler un faux support pour voler de l'argent, déployer des malwares ou obtenir un accès distant aux ordinateurs.

WhatsApp et Meta accusés de graves failles de sécurité par un ancien cadre

Un ex-responsable sécurité de WhatsApp, poursuit Meta en justice pour violations systématiques des normes de cybersécurité. Il affirme que 1 500 ingénieurs avaient un accès illimité aux données d'utilisateurs sans supervision, pouvant déplacer ou voler coordonnées et photos de profil sans détection ni traçabilité. Les messages chiffrés de bout en bout ne sont pas concernés. Après avoir alerté la direction, incluant Mark Zuckerberg, il aurait subi des représailles jusqu'à son licenciement en février.

Nouvelle fuite de données chez Plex incluant des hashs de mots de passe

Plex a subi une nouvelle attaque où un tiers non autorisé a accédé à un sous-ensemble limité de données clients incluant emails, noms d'utilisateur et hashs des mots de passe. Aucune information de carte bancaire n'a été compromise. Plex recommande aux utilisateurs de changer leur mot de passe, déconnecter les appareils connectés et activer l'authentification à deux facteurs. C'est le deuxième incident de ce type pour Plex, un incident similaire s'étant produit en 2022.

Cloudflare a découvert que Fina CA a émis 12 certificats non autorisés pour l'adresse IP 1.1.1.1 entre février 2024 et août 2025. Les certificats incluaient des noms de domaine non enregistrés et étaient marqués pour "tests internes". Aucune preuve d'utilisation malveillante n'a été trouvée. Une attaque nécessiterait le certificat non autorisé, un client faisant confiance à Fina CA et du trafic intercepté.

LAB52 a découvert NotDoor, un backdoor VBA macro pour Microsoft Outlook attribué à APT28 (groupe russe lié aux services de renseignement). Le malware cible les pays membres de l'OTAN, surveille les emails entrants pour des mots-clés déclencheurs et permet l'exfiltration de données et l'exécution de commandes à distance.

Le Clusif propose un modèle de Politique de sécurité du système d'information (PSSI) appliquée aux systèmes d'IA couvrant tout leur cycle de vie. Le document aborde trois axes principaux : la cybersécurité dans le développement des systèmes d'IA, la sécurisation de l'usage via l'analyse de risques organisationnels, et un focus particulier sur l'IA générative.

La CNIL a imposé deux amendes significatives pour violations de la réglementation sur les cookies : 325 millions d'euros à Google et 150 millions à SHEIN. Les infractions incluent le dépôt de cookies sans consentement, une mise en œuvre incorrecte des mécanismes de consentement et l'affichage de publicités sans autorisation préalable. Ces sanctions s'inscrivent dans le plan d'action initié en 2019 pour réguler les pratiques non conformes de traçage et ciblage des internautes.

Hunted Labs rapporte que l'utilitaire Node.js fast-glob est utilisé par plus de 30 projets du Département de la Défense américain, malgré sa maintenance par Denis Malinochkin, développeur Yandex basé près de Moscou. Fast-glob est téléchargé 79 millions de fois par semaine et utilisé par plus de 5 000 projets publics. Les inquiétudes portent sur la vulnérabilité d'avoir un seul mainteneur et la proximité avec Yandex ayant des liens étroits avec le régime Poutine. Denis Malinochkin affirme qu'on ne lui a jamais demandé de manipuler fast-glob. La solution suggérée serait d'ajouter des mainteneurs supplémentaires et renforcer la supervision du projet.

Anthropic publie un rapport révélant comment des cybercriminels exploitent l'IA avancée pour automatiser leurs opérations malveillantes. L'étude documente plusieurs cas sophistiqués où Claude a été détourné pour mener des attaques d'extortion de données, développer des ransomwares et infiltrer des entreprises à grande échelle. Les attaquants utilisent désormais l'IA comme un "opérateur autonome" capable de prendre des décisions tactiques en temps réel, d'analyser les données volées pour optimiser les rançons, et même de générer des notes d'extortion personnalisées. L'IA permet à des acteurs moins techniques de mener des cyberattaques sophistiquées qui nécessitaient auparavant des années de formation spécialisée.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 36 

44 vulnérabilités critiques impactant principalement les produits VMware Tanzu. Deux vulnérabilités Android et une vulnérabilité SUSE sont également exploitées (CVE-2025-48543 & CVE-2025-38352).

Sur ces 7 derniers jours la CISA a ajouté 3 vulnérabilités exploitées :

  • CVE-2025-53690 : vulnérabilité de désérialisation de données non fiables dans les produits multiples Sitecore (cf. article ci-dessous)

  • CVE-2025-48543 : vulnérabilité use-after-free dans Android Runtime permettant l'escalade de privilèges

  • CVE-2025-38352 : vulnérabilité de race condition TOCTOU (Time-of-Check Time-of-Use) dans le noyau Linux

Dans le cadre de son Patch Tuesday de septembre, Microsoft a corrigé 177 vulnérabilités différentes, dont 86 affectent les produits Microsoft. Aucune des vulnérabilités n'a été exploitée avant le jour du patch. Deux vulnérabilités étaient déjà publiques. Microsoft évalue 13 vulnérabilités comme critiques.

Vulnérabilité critique d'injection de code dans SAP S/4HANA

SecurityBridge découvre la CVE-2025-42957 (CVSS 9.9), une faille critique d'injection de code ABAP dans SAP S/4HANA. Cette vulnérabilité est activement exploitée et présente un risque significatif pour les organisations utilisant cette plateforme. La faille permettrait potentiellement l'exécution de code non autorisé dans les systèmes SAP S/4HANA. SecurityBridge qualifie le correctif comme "impératif" pour atténuer le risque d'attaques par injection de code. Les organisations utilisant SAP S/4HANA doivent appliquer immédiatement les correctifs de sécurité disponibles.

Mandiant Threat Defense découvre une attaque active exploitant une vulnérabilité de désérialisation ViewState affectant Sitecore XP 9.0 et Active Directory <= 1.4. Les attaquants exploitent une clé machine exposée depuis d'anciens guides de déploiement pour créer des payloads ViewState malveillants. L'attaque déploie le malware de reconnaissance WEEPSTEEL, extrait les fichiers de configuration et crée des comptes administrateur locaux. Les recommandations incluent la rotation automatique des clés machine, l'activation du MAC ViewState et le chiffrement des secrets dans web.config.

Articles

Analyse de la CVE-2025-43300 dans iOS

Quarkslab publie une analyse détaillée de la CVE-2025-43300, vulnérabilité zero-click dans le framework ImageIO d'Apple. La faille réside dans la gestion des fichiers DNG avec compression JPEG lossless, provoquant un débordement mémoire lors de la décompression.

NetSPI analyse l'impact du code généré par IA sur la sécurité des applications web. Les vulnérabilités d'autorisation dominent, l'IA introduisant fréquemment des IDOR et implémentant incorrectement les contrôles d'accès basés sur les rôles. L'IA peine avec la logique métier contextuelle, permettant des montants de facturation négatifs ou des créations de privilèges inappropriées. Les tendances d'injection évoluent : moins de SQLi mais des protections XSS incohérentes.

Salesforce propose une approche structurée pour détecter, investiguer et répondre aux incidents de sécurité. Les sources critiques incluent les journaux d'activité, permissions utilisateur et données de sauvegarde. Les stratégies d'investigation impliquent l'activation de la surveillance Real Time Event Monitoring (RTEM), l'analyse des Event Log Objects et Files, et l'évaluation d'impact initial des accès utilisateur.

Lakera révèle une attaque sophistiquée exploitant les workflows de développement IA agentique via des documents Google partagés malveillants. L'attaque fonctionne en partageant silencieusement des documents aux titres génériques contenant un Gist GitHub public comme payload et des instructions pour tromper l'assistant IA (Cursor). Lorsque l'assistant récupère le document, il traite automatiquement le payload d'injection, récupère le Gist et exécute le code si Python est autorisé. L'impact inclut la récolte d'identifiants sensibles (clés SSH, tokens AWS, variables d'environnement), établissement d’un accès via reverse shell, etc.

Guide de durcissement pour les postes de travail Windows 11

L’ASD met à jour son guide de durcissement pour Windows 11. Le guide s'appuie sur Windows 11 version 24H2 et ses paramètres de stratégie de groupe, avec des équivalents disponibles pour les gestionnaires cloud comme Microsoft Endpoint Manager. Les recommandations s'appliquent également aux serveurs Windows Server (excepté les contrôleurs de domaine).

Les attaques par relais NTLM continuent d'être efficaces, et même désactiver NTLM ne vous protège pas du relais car Kerberos peut être relayé dans certains cas.

Outils

UAC automatise la collecte d'artefacts d'investigation numérique pour les systèmes AIX, ESXi, FreeBSD, Linux, macOS, NetBSD, NetScaler, OpenBSD et Solaris. Il collecte informations de processus en cours, hashes de fichiers, configurations système et utilisateur, journaux et mémoire volatile.

TailGuard est une application Docker open-source créant un pont entre WireGuard et Tailscale. Elle permet de connecter des appareils ne pouvant pas nativement exécuter Tailscale via un routage automatique entre les réseaux. L'outil supporte IPv4/IPv6, simplifie l'authentification centralisée et élimine la distribution manuelle de configurations VPN.

Raw-disk-parser est un PoC Python extrayant fichiers Windows sensibles (SAM, SYSTEM, NTDS.dit) par lecture directe du disque physique et parsing des structures NTFS, contournant les APIs Windows standard. Il requiert les privilèges admin et Bitlocker désactivé.

Timesketch est un outil open-source Google d'analyse collaborative de timeline forensique permettant d'organiser et analyser des chronologies collaborativement. Les utilisateurs peuvent ajouter annotations riches, commentaires, tags et étoiles aux données brutes via interface web interactive. L'outil offre modes de visualisation multiples (exploration de démarrage, vue timeline, recherche contextuelle) et capacités d'annotation.

Pyarmor est un outil en ligne de commande pour la protection de scripts Python offrant obfuscation, liaison machine et expiration. Il renomme fonctions, méthodes, classes, variables et arguments, convertit certaines fonctions Python en C compilé.

Présenté à DEF CON 2025, VMDragonSlayer est un framework multi-moteur automatisé pour décompresser, analyser et dévirtualiser les binaires protégés par des protecteurs basés sur machines virtuelles commerciaux et personnalisés comme VMProtect, Themida et VM de malware personnalisées.

Présenté à RECON 2025, RIFT aide les reverseurs à analyser les malwares Rust (requiert IDA Pro). Le projet Microsoft inclut:

  • RIFT Static Analyzer : plugin IDA Pro extrayant hash de commit compilateur, architecture cible, versions crate

  • RIFT Generator (wrapper automatisant binary diffing, génération signatures FLIRT, interactions toolchain Rust)

  • RIFT Diff Applier (plugin IDA expérimental affichant fonctions similaires).

Vidéos

🎬 AI vs Windows Forensics - Un expert forensique met à l’épreuve DeepSeek-R1 sur des questions pointues en forensique Windows

🎬 Python: The Documentary | An origin story - ce documentaire retrace l'origine de Python, né comme projet personnel à Amsterdam dans les années 1990.

Conférences / Salons

🗓️ FranSec Cyber Summit - Du 16 au 17 Septembre 2025 - Paris (France)

🗓️ OWASP Days France 2025 - Le mardi 23 septembre 2025 - Paris (France)

Finances / Marché

La pépite française de l'IA devient donc la première décacorne française (boite tech valorisée à plus de 10Mds$, on en recense une grosse cinquantaine dans le monde) suite à la prise de participation de ASML le groupe hollandais leader mondial des machines à graver les semi-conducteurs. Cependant pour le reste du financement de la tech française, c'est moins la joie. Selon le rapport de France Digitale, au 1er semestre, les sommes levées par les start-up françaises sont en net recul : -35% vs 2024 et pour les gros tickets (> 100M€ = "les méga tours") -87% 🤕.

L'action Google bondit de 8% après que le géant de la recherche évite les pénalités les plus sévères dans l'affaire antitrust. Cette décision intervient près d'un an après qu'un juge américain a statué que Google détient un monopole illégal sur son marché principal de recherche Internet.

📈 ID.me, plateforme de vérification d'identité basée aux États-Unis, a levé 65 millions de dollars en Série E.

📈 Shift5, plateforme de détection d'intrusion, prévention et réponse aux incidents basée aux États-Unis, a levé 75 millions de dollars en Série C.

🤝 SentinelOne acquiert Observo AI pour 225 millions de dollars en combinaison de cash et d'actions pour renforcer ses offres SIEM et de données.

Misc

AGENTS.md emerge comme format ouvert en croissance rapide offrant aux agents de codage IA un moyen partagé et prévisible de comprendre la configuration projet, le style et les workflows.

Des passionnés tech chinois (PCDIY) découvrent que certaines pannes SSD étaient liées à des versions de firmware pré-production. Spécifiquement, des SSD avec contrôleurs Phison E16 (comme Corsair MP600) rencontraient des problèmes après les mises à jour Windows 11. Les investigations révèlent que les SSD affectés utilisaient des versions pré-finales du firmware potentiellement envoyées aux testeurs. Phison confirme les découvertes après enquête, précisant que les SSD commerciaux avec firmware officiel ne présentaient pas ces anomalies.

Des chercheurs découvrent LegalPWN, technique d'attaque inédite piégeant les modèles IA en cachant des instructions malveillantes dans du texte légal apparemment innocent. La méthode exploite la tendance des IA à traiter les documents juridiques avec sérieux extrême, causant le contournement de leurs propres vérifications sécurité. Les tests réussissent sur les modèles IA majeurs (GPT-4, Gemini, Grok) car les IA ont une confiance absolue dans les documents légaux.

FlyOOBE permet d'installer Windows 11 sur PC jugés "non compatibles" par Microsoft en contournant TPM 2.0, Secure Boot et restrictions processeur. Développé par Belim (builtbybel), l'outil offre quatre options : upgrade depuis Windows 10, installation propre, configuration post-installation et gestion d'applications. La méthode utilise une installation "Windows Server" pour éviter les restrictions version client. Mises en garde : mises à jour futures non garanties, certains CPU très anciens restent incompatibles, Microsoft pouvant potentiellement bloquer de tels outils à l'avenir.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter