Sommaire

• Infos

• Vulnérabilités

• Articles

• Outils

• Podcasts

• Conférences / Salons

• Finances / Marché

• Misc

Infos

La CISA s'engage à soutenir le programme CVE

L'Agence américaine de cybersécurité et de sécurité des infrastructures a exprimé un fort soutien au programme CVE et a publié une feuille de route pour celui-ci. L'agence s'engage à maintenir le principe fondamental que les données CVE restent gratuites et accessibles publiquement. La CISA prévoit d'étendre les partenariats communautaires, moderniser l'infrastructure et améliorer la qualité des données de vulnérabilités grâce à des mécanismes fédérés comme Vulnrichment.

Apple avertit les utilisateurs français d'une quatrième campagne de spyware en 2025

Apple a notifié les utilisateurs en France d'une campagne de spyware ciblant leurs appareils le 3 septembre 2025, marquant la quatrième alerte cette année. Le CERT-FR confirme que ces attaques complexes ciblent des individus pour leur statut ou fonction : journalistes, avocats, activistes, politiciens, hauts fonctionnaires. L'annonce survient après la découverte qu'une faille WhatsApp (CVE-2025-55177) était chaînée avec une faille iOS (CVE-2025-43300) dans des attaques zero-click.

Des attaquants volent les données de millions de clients Gucci, Balenciaga et Alexander McQueen

Le groupe Shiny Hunters a volé les données personnelles de millions de clients de marques de luxe incluant Gucci, Balenciaga et Alexander McQueen. Les données compromises comprennent noms, adresses email, numéros de téléphone, adresses postales et détails de dépenses dans les magasins du monde entier. Kering, la société mère, a confirmé la brèche en juin après avoir identifié qu'un tiers non autorisé avait temporairement accédé à leurs systèmes.

HybridPetya, nouvelle variante du ransomware avec contournement UEFI Secure Boot

ESET Research a découvert HybridPetya, un ransomware inspiré de Petya/NotPetya qui exploite la vulnérabilité CVE-2024-7344 pour contourner UEFI Secure Boot sur les systèmes obsolètes. Cette variante chiffre la Master File Table (MFT) des partitions NTFS et installe une application EFI malveillante sur la partition système. Contrairement à NotPetya, HybridPetya permet la récupération des données via une clé de déchiffrement valide. L'exploitation nécessite un fichier cloak.dat spécialement formaté et un bootloader Microsoft vulnérable révoqué depuis janvier 2025. Aucune activité en cours n'a été détectée selon la télémétrie ESET.

Les attaquants S1ngularity/nx frappent à nouveau

Les attaquants derrière l'attaque nx du 27 août dernier ont lancé une nouvelle campagne massive contre npm, compromettant 187 paquets avec un malware de type ver. Le malware Shai-Hulud collecte automatiquement les secrets, crée des dépôts GitHub pour exfiltrer les données, transforme les dépôts privés en publics et se propage en republiant automatiquement dans d'autres paquets npm. Les victimes incluent des paquets de CrowdStrike et d'autres entreprises majeures.

Microsoft rappelle la fin du support de Windows 10 en octobre 2025

Dans moins d’un mois, le support de Windows 10 prendra fin (le 14 octobre 2025), après quoi aucune assistance technique, mise à jour de fonctionnalités ou de sécurité ne sera fournie. Microsoft recommande la migration vers Windows 11 pour les appareils compatibles ou l'inscription au programme Extended Security Updates (ESU). Le programme ESU peut protéger les appareils Windows 10 jusqu'à un an après la date de fin de support.

Une vulnérabilité dans CarPlay permet l'espionnage ou la distraction des conducteurs

Des chercheurs ont divulgué une vulnérabilité CarPlay exploitable à distance (CVE-2025-24132) qui peut espionner ou distraire les conducteurs. Les attaquants peuvent s'appairer via Bluetooth ou Wi-Fi, abuser d'iAP2 et d'une faille du SDK AirPlay pour exécuter du code et contrôler l'écran et l'audio de la voiture. Apple a patché le bug, mais de nombreux constructeurs automobiles et appareils restent non patchés, laissant des millions de voitures exposées.

Microsoft forcera l'installation de l'application Microsoft 365 Copilot en octobre

Microsoft commencera l'installation automatique de l'application Microsoft 365 Copilot sur les appareils Windows disposant des applications de bureau Microsoft 365, en dehors de l'UE. Le déploiement débutera début octobre et sera complété mi-novembre. L'application fournit un point d'entrée centralisé pour accéder aux expériences Copilot et aux capacités alimentées par l'IA dans Microsoft 365. Les administrateurs pourront désactiver l'installation automatique via le centre d'administration des applications Microsoft 365.

Le FBI alerte sur deux groupes ciblant Salesforce

Le FBI alerte les utilisateurs de Salesforce de deux acteurs de menace différents ciblant Salesforce. Aucune nouvelle vulnérabilité n'est divulguée, mais l'accès initial tire généralement parti de l'ingénierie sociale ou de données divulguées suite au compromis de Salesdrift.

Le grand firewall chinois subit sa plus grosse fuite avec 500 Go de code source

Plus de 500 Go de documents internes, code source et communications du fameux China’s Great Firewall ont été divulgués en ligne. Les fichiers proviennent de Geedge Networks et du laboratoire MESA de l'Académie chinoise des sciences. Les documents révèlent que le système a été déployé dans 26 centres de données en Birmanie, surveillant 81 millions de connexions TCP simultanées. L'infrastructure DPI de Geedge a été exportée au Pakistan, en Éthiopie et au Kazakhstan pour la surveillance de masse.

Apple présente Memory Integrity Enforcement pour la sécurité mémoire

Apple a introduit Memory Integrity Enforcement (MIE), combinant les forces uniques du silicium Apple avec la sécurité avancée du système d'exploitation. MIE est construit sur des allocateurs de mémoire sécurisés, couplés avec Enhanced Memory Tagging Extension (EMTE) en mode synchrone. La fonctionnalité est intégrée dans tous les modèles d'iPhone 17 et iPhone Air, offrant une protection de sécurité mémoire toujours active pour les surfaces d'attaque clés incluant le kernel. Apple affirme que MIE représente la mise à niveau la plus significative de la sécurité mémoire dans l'histoire des systèmes d'exploitation grand public, sans compromettre les performances des appareils.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 37

14 vulnérabilités critiques impactant notamment les produits SAP NetWeaver, XEN Xen, Adobe et Siemens SIMATIC. Aucun PoC ou preuve d’exploitation n’a été identifiée pour ces vulnérabilités.

La CISA ajoute une vulnérabilité exploitée à son catalogue

Sur ces 7 derniers jours la CISA a ajouté une vulnérabilité exploitée :

• CVE-2025-5086 : vulnérabilité de désérialisation de données non fiables dans Dassault Systèmes DELMIA Apriso

Exploiter les systèmes téléphoniques avec FreePBX CVE-2025-57819

Anaylse de watchTowr de la vulnérabilité critique CVE-2025-57819 qui a été découverte et qui est activement exploitée dans FreePBX, le système de gestion VoIP open-source. Les attaquants ont compromis massivement des installations FreePBX depuis le 21 août 2025, laissant des scripts de nettoyage et des webshells. La vulnérabilité se trouve dans le module commercial Endpoint, permettant un accès non authentifié à l'administrateur FreePBX avec manipulation arbitraire de base de données et exécution de code à distance.

Samsung corrige un zero-day activement exploité signalé par WhatsApp

Il n’y a pas que les iPhones qui sont victimes d’exploitation très ciblées. Samsung a corrigé une vulnérabilité d'exécution de code à distance (CVE-2025-21043) exploitée dans des attaques zero-day ciblant ses appareils Android. Cette faille critique affecte les appareils Samsung sous Android 13 ou ultérieur et a été signalée par les équipes de sécurité de Meta et WhatsApp le 13 août. Samsung confirme qu'un exploit existe, et Meta indique avoir partagé ses découvertes après enquête sur des terminaux hautement ciblés.

Une vulnérabilité critique Chrome rapporte 43 000 $ au chercheur

Google a publié une mise à jour Chrome qui corrige deux bugs de sécurité important, incluant un use-after-free critique dans ServiceWorker (CVE-2025-10200). Looben Yang a été payé 43 000 $ pour le bug critique, et Sahan Fernando et un chercheur anonyme ont gagné 30 000 $ pour la faille Mojo (CVE-2025-10201). Google affirme qu'il n'y a pas de preuves que les CVE ont été exploités, mais les utilisateurs devraient mettre à jour Chrome dès maintenant.

CVE-GENIE automatise la reproduction d’exploits avec l'IA

Des chercheurs ont présenté CVE-GENIE, un framework multi-agents basé sur LLM conçu pour reproduire automatiquement les vulnérabilités réelles au format CVE. Le système rassemble les ressources pertinentes, reconstruit automatiquement l'environnement vulnérable et produit un exploit vérifiable. L'évaluation systématique montre que CVE-GENIE reproduit avec succès environ 51% (428 sur 841) des CVE publiées en 2024-2025 avec leurs exploits vérifiables, à un coût moyen de 2,77 $ par CVE.

Fortinet alerte sur une faille dans FortiSIEM avec exploit dans la nature

Fortinet alerte ses clients d'une faille critique dans FortiSIEM (CVE-2025-25256) avec un score CVSS de 9.8, pour laquelle existe un exploit dans la nature. La vulnérabilité permet à un attaquant non authentifié d'exécuter du code non autorisé via des requêtes CLI spécialement conçues. La faille affecte les versions FortiSIEM 6.1 à 7.3.1 et réside dans le binaire phMonitor responsable de la surveillance de la santé des processus FortiSIEM. Fortinet recommande de limiter l'accès au port phMonitor (7900) comme solution temporaire.

Top 10 des vulnérabilités du mois août 2025

Articles

Obtenir les droits Global Admin dans tous les tenants Entra ID via les Actor tokens

Un chercheur a découvert une vulnérabilité critique (CVE-2025-55241) permettant de compromettre potentiellement tous les tenants Entra ID. La vulnérabilité combine des tokens d'impersonnation non documentés appelés "Actor tokens" utilisés par Microsoft pour la communication service-à-service, avec une faille dans l'API Azure AD Graph legacy qui ne validait pas correctement le tenant d'origine. Ces tokens permettaient l'authentification en tant que n'importe quel utilisateur, incluant les Global Admins, dans n'importe quel tenant. Microsoft a corrigé cette vulnérabilité en quelques jours après le signalement et a déployé des mesures de mitigations supplémentaires bloquant les applications de demander ces Actor tokens pour l'API Azure AD Graph.

Forensique de drones pour les enquêtes criminelles

Cette recherche explore l'extraction et l'analyse de preuves numériques d'un drone DJI Matrix 600 Pro, incluant la mémoire interne, la carte SD, le téléphone de contrôle et le contrôleur dédié. L'investigation utilise des outils comme FTK Imager, Paraben E3, Magnet AXIOM Cyber et Wireshark pour révéler les traces numériques pouvant lier les drones aux actes criminels.

Décortiquer DCOM : première partie

Cet article vise à fournir une base solide sur COM et DCOM avant d'explorer les subtilités du processus d'activation. DCOM (Distributed COM) trace ses origines aux premières versions de Windows, évoluant à partir de Dynamic Data Exchange (DDE) en 1987 vers Object Linking and Embedding (OLE) en 1990.

Élévation de privilèges Windows via la vulnérabilité bitpixie

Cet article démontre comment contourner le chiffrement BitLocker en exploitant la vulnérabilité bitpixie dans Windows Boot Manager. La faille provient d'un bug dans la fonctionnalité PXE soft reboot où la clé BitLocker n'est pas effacée de la mémoire. L'exploitation nécessite une attaque par rétrogradation en chargeant un boot manager plus ancien non patché, permettant d'extraire la Volume Master Key (VMK) de la mémoire principale.

DNS4EU : un peu UE, un peu sécurisé, un peu inutile (pour le moment)

L'analyse du nouveau résolveur DNS DNS4EU révèle un projet européen de 3 millions d'euros aux promesses limitées. Le service propose plusieurs variantes incluant protection, blocage publicitaire et contrôle parental, mais manque de support pour DNSCrypt, Oblivious DNS over HTTPS et DNS over QUIC. Les tests de performance montrent des temps de réponse variables selon les régions et une infrastructure distribuée inégalement. L'analyse révèle que, malgré les prétentions européennes, l'infrastructure s'appuie largement sur des services non-européens. Le projet semble plus axé sur la souveraineté numérique que sur l'innovation technique ou la sécurité avancée.

Distinguer le pipelining HTTP du request smuggling

PortSwigger explique comment distinguer entre le pipelining HTTP (souvent un faux positif) et les vraies vulnérabilités de request smuggling. James Kettle fournit un outil Custom Action "Smuggling or pipelining?" et discute trois classes légitimes de vulnérabilités nécessitant la réutilisation de connexion : connection-locked request smuggling, attaques d'état de connexion et attaques de désynchronisation côté client.

Outils

Dumper LSASS avec Windows Error Reporting sur Windows 11

L'outil offensif WSASS exploite une vulnérabilité dans WerFaultSecure.exe pour dumper la zone mémoire LSASS en contournant la protection PPL (Protected Process Light). WerFaultSecure.exe, conçu pour collecter les dumps de crash des processus PPL, possède toujours une protection PPL au niveau WinTCB le plus élevé. L'exploitation utilise une version vulnérable de WerFaultSecure.exe de Windows 8.1 qui permet d'écrire des fichiers de dump non chiffrés sur disque.

Naviguer dans LDAP avec une interface graphique Python

pyLDAPGui est une application GUI Python pour naviguer dans l’annuaire LDAP avec connexion directe à Neo4J. L'outil vise à offrir une expérience similaire à ADExplorer de Sysinternals avec une vue arborescente et des capacités de navigation LDAP/LDAPS.

Détecter les erreurs de configuration Firebase avec Agneyastra

Agneyastra est un outil de détection de mauvaises configurations Firebase présenté au BlackHat EU Arsenal. L'outil effectue des vérifications complètes de tous les services Firebase avec un moteur de corrélation et extraction de secrets, et génération automatique de rapports.

Protéger contre les paquets open source malveillants

Vet est un outil de sécurité de chaîne d'approvisionnement logiciel conçu pour les développeurs et ingénieurs sécurité. Il propose une analyse de dépendances avec détection de vulnérabilités et paquets malveillants, des politiques en tant que code utilisant CEL, et la détection en temps réel de paquets malveillants alimentée par SafeDep Cloud. L'outil analyse l'utilisation réelle du code pour prioriser les vrais risques et supporte npm, PyPI, Maven, Go, Docker, GitHub Actions. Il intègre nativement dans les workflows CI/CD avec support pour GitHub Actions et GitLab CI.

Détecter les takeovers de sous-domaines dans les environnements multi-cloud

FindMyTakeover identifie les enregistrements DNS orphelins en scannant les zones DNS et l'infrastructure des fournisseurs cloud configurés. Contrairement aux outils basés sur des listes de mots, il analyse directement les comptes cloud (uniques ou multiples) pour détecter les enregistrements DNS pointant vers des ressources inexistantes. Cette approche permet d'identifier efficacement les potentiels subdomain takeovers sans génération de faux positifs.

Proxy HTTP furtif imitant parfaitement Chrome

Thermoptic est un proxy HTTP qui camoufle parfaitement les requêtes, comme le navigateur Chrome à travers toutes les couches de la pile. L'outil contourne les services utilisant le fingerprinting comme JA4+ pour bloquer certains clients HTTP, permettant d'utiliser des clients HTTP préférés comme curl tout en ayant des empreintes indiscernables d'un vrai navigateur web.

Reverse proxy avec détection d'empreintes pour la sécurité

Finch est un reverse proxy qui analyse les handshakes TLS et requêtes HTTP pour extraire les empreintes JA3, JA4, JA4H et Akamai HTTP/2. Il évalue ces signatures via des règles flexibles HCL rechargeable à chaud pour autoriser, bloquer, router, ralentir ou tromper les attaquants avec des réponses générées par LLM via Galah.

Podcasts

🎧️ NoLimitSecu - Episode consacré à StalkPhish (solution pour lutter contre le phishing)

Conférences / Salons

🗓️ Hexacon - Le 11 et 12 octobre 2025 à Paris, France.

🗓️ Secsea - Le 10 octobre 2025 à la Ciotat, France.

🗓️ Les Assises de la Cybersécurite - Du 8 au 11 octobre 2025 à Monaco

Finances / Marché

🇲🇦 Nucleon Security, startup marocaine qui développe une plateforme de sécurité Zero Trust alimentée par une IA, a levé 3 millions d'euros en série A. Les fonds serviront à accélérer l'expansion internationale, notamment en Afrique.

🤝 CrowdStrike a annoncé l'acquisition de Pangea, spécialiste des API de sécurité cloud, pour renforcer sa plateforme XDR et ses capacités de protection des données. Les termes financiers n'ont pas été divulgués, mais l'intégration devrait améliorer l'offre de sécurité cloud native de CrowdStrike.

🤝 Accenture a acquis IAMConcepts, cabinet de conseil spécialisé dans la gestion des identités et des accès (IAM) aux États-Unis. Les termes financiers de la transaction n'ont pas été communiqués.

🤝 Mitsubishi Electric a signé un accord définitif pour acquérir Nozomi Networks, spécialiste de la cybersécurité OT/IoT, pour 883 millions de dollars en cash.

Misc

Plus de 70% des requêtes ChatGPT ne concernent pas le travail

Une étude d'OpenAI révèle que 73% des requêtes ChatGPT (abonnements Free, Plus et Pro) ne sont pas liées au travail, contre 53% en mai 2024. Les "conseils pratiques" représentent la première utilisation (29%), suivis de la recherche d'informations (24%). L'écriture automatique de texte chute de 36% à 24%. Cette évolution suggère un changement d'habitudes des utilisateurs existants plutôt qu'un afflux de nouveaux profils.

Transformer l'encoche MacBook en zone de partage instantané

DropNotch est une application gratuite qui transforme l'encoche des MacBook en zone de dépôt pour fichiers. Glissez un document vers le notch et une interface apparaît avec les options de partage : AirDrop, Mail, Messages.

Tor Project lance une version VPN pour Android

Tor VPN est une application Android en version bêta qui route le trafic d'autres applications via le réseau Tor. Développée par le Tor Project, elle offre anonymat, résistance à la censure et accès aux services onion. L'application nécessite Android 7.0 minimum et supporte les architectures Aarch64, Arm, x86_64 et x86.

Créer sa station de retrogaming personnelle dans le navigateur

RetroAssembly est une plateforme web de retrogaming permettant d'uploader ses ROMs et de jouer directement dans le navigateur. Plus de 20 systèmes sont supportés, d'Atari 2600 à Game Boy Advance.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter