- Erreur 403
- Posts
- Erreur 403 | #44
Erreur 403 | #44
Aéroports européens paralysés par HardBit, vol de données Bouygues Telecom indexé sur HIBP, démantèlement de 300 serveurs SIM malveillants à New York, l'ANSSI dément la fuite ANTS, vulnérabilité Google Chrome exploitée, compromission de comptes SonicWall, test national de cyber-résilience Rempar25, etc.
Bastien Cacace
25th septembre 2025
Sommaire
Pas de newsletter la semaine prochaine, stay safe 😁
Infos
Une cyberattaque a visé le logiciel Muse de Collins Aerospace vendredi soir, perturbant principalement les aéroports d'Heathrow, Bruxelles et Berlin. Le ransomware HardBit, qualifié d'assez basique par les experts, a chiffré plus de 1000 ordinateurs, forçant les aéroports à basculer vers des procédures manuelles d'enregistrement. Un homme de 40 ans a été arrêté dans le West Sussex au Royaume-Uni dans le cadre de l'enquête menée par la National Crime Agency. L'attaque a causé l'annulation de 29 vols et des retards significatifs pour des milliers de passagers.
Les données dérobées suite à la cyberattaque de Bouygues Telecom en août 2025 sont maintenant disponibles pour vérification sur HIBP. Ces données incluent près de 6,4 millions de dossiers clients, incluant 5,7 millions d'adresses email uniques. Les données dérobées comprennent noms, adresses physiques, numéros de téléphone, dates de naissance et IBANs. L'entreprise a notifié tous les clients affectés et recommande de modifier les mots de passe et d'activer l'authentification à deux facteurs.
Le Secret Service américain a découvert plus de 300 serveurs SIM et 100 000 cartes SIM dans un rayon de 35 miles autour du siège de l'ONU à New York. Cette infrastructure sophistiquée pouvait envoyer 30 millions de SMS par minute et potentiellement interférer avec les communications d'urgence. L'enquête, initiée après plusieurs incidents de "swatting" visant des officiels gouvernementaux, a révélé des liens avec au moins un pays étranger ainsi qu'avec des criminels connus.
Un hacker autoproclamé "white hat" a annoncé une fuite massive de 10-12 millions de dossiers de l'ANTS, prétendument vendus pour environ 200$ sur un marché cybercriminel. L'ANTS a démenti formellement, soulignant plusieurs incohérences : format de données incompatible, URL ciblée n'hébergeant pas de base de données, prix bizarrement bas. L'ANSSI et des experts suggèrent qu'il s'agirait probablement d'un "repackaging" de données précédemment divulguées.
Les attaquants délaissent progressivement l'email comme vecteur unique de phishing, exploitant désormais les messageries instantanées, réseaux sociaux, SMS et publicités malveillantes. Cette évolution répond aux nouvelles pratiques de travail décentralisé et aux multiples canaux de communication.
Le géant automobile Stellantis a confirmé que des attaquants ont dérobé des données de clients nord-américains après avoir compromis la plateforme d'un fournisseur tiers. Seules les informations de contact ont été volées, pas les données financières. L'attaque est liée au groupe ShinyHunters qui revendique avoir volé plus de 18 millions d'enregistrements Salesforce. Stellantis a immédiatement activé ses protocoles de réponse aux incidents et conseille aux clients d'être vigilants face aux tentatives de phishing potentielles.
La CISA alerte sur un listener malveillant affectant Ivanti Endpoint Mobile Management versions 11.12.0.4 et antérieures, exploitant les CVE-2025-4427 et CVE-2025-4428. Deux ensembles de malware ont été analysés, incluant web-install.jar et diverses classes Java malveillantes. Le malware intercepte les requêtes HTTP spécifiques, décode et déchiffre les charges utiles, permettant aux attaquants d'injecter et exécuter du code arbitraire ainsi que d'exfiltrer des données.
Le sénateur Ron Wyden a adressé une lettre officielle à la FTC demandant une enquête contre Microsoft pour sa négligence en cybersécurité qui facilite les attaques de ransomware. La lettre cite l'exemple de l'hôpital Ascension, piraté en 2024 via une technique de type Kerberoasting qui exploite le support par défaut de Microsoft pour le chiffrement RC4, obsolète et vulnérable. Le sénateur dénonce le modèle économique de Microsoft, qui vend des services de cybersécurité additionnels pour corriger les vulnérabilités de ses propres produits, créant un conflit d'intérêts.
SonicWall a averti ses clients de réinitialiser leurs identifiants après une compromission de sécurité affectant les comptes MySonicWall. Les fichiers de sauvegarde de configuration des pare-feu ont été exposés, facilitant potentiellement l'exploitation par les attaquants. Moins de 5% de la base installée de pare-feu SonicWall a été impactée. La compromission s'est produite via une série d'attaques par brute force. SonicWall conseille de désactiver l'accès WAN aux dispositifs, réinitialiser tous les identifiants et clés API, et mettre à jour les mots de passe des services associés.
L'ANSSI a organisé la semaine dernière l'exercice Rempar25 permettant à un millier d'organisations de tester leur réaction à une attaque informatique de grande ampleur. Cet exercice de taille inédite a mobilisé environ 5000 participants dans toute la France devant réagir simultanément à un scénario de crise évolutif. L'objectif est d'anticiper le "jour où le ciel nous tombera sur la tête" selon Vincent Strubel, directeur de l'ANSSI, qui souligne que la préparation fait la différence entre un incident et une catastrophe. L'exercice incluait un faux journal télévisé simulant embouteillages, chaos hospitalier et entreprises à l'arrêt.
La FFTT a confirmé une cyberattaque ayant compromis les données personnelles de ses licenciés autour du 19 septembre 2025. Les données volées incluent numéro de licence, nom, sexe, date et lieu de naissance, nationalité et coordonnées (email, adresse postale, téléphone). Les données bancaires et de santé n'ont pas été compromises.
Un jeune de 19 ans a été arrêté à Londres le 17 septembre et accusé d'implication dans au moins 120 cyber-attaques ciblant des entreprises américaines et infrastructures critiques. Il aurait piraté le réseau informatique de Transport for London et accédé au système des tribunaux américains, incluant le compte d'un juge fédéral. Les victimes auraient payé plus de 115 millions de dollars en rançons. Le FBI a saisi un portefeuille de cryptomonnaies contenant environ 36 millions de dollars. Scattered Spider est décrit comme un groupe anglophone de cybercriminels financièrement motivés, principalement des adolescents et jeunes adultes utilisant des techniques d'ingénierie sociale sophistiquées.
Vulnérabilités
12 vulnérabilités critiques impactant notamment les produits Apple dont une exploitée (CVE-2025-43300 / CVSS 8.8) et Google Chrome (CVE-2025-10585) également exploitée et ajoutée au KEV.
Le CERT-FR revient également dans son bulletin sur deux incidents de sécurité :
Exposition de fichiers de sauvegarde de clients de SonicWall
Attaque par la chaîne d’approvisionnement de plusieurs paquets NPM
Sur ces 7 derniers jours, la CISA a ajouté une vulnérabilité exploitée :
CVE-2025-10585 : vulnérabilité de confusion de type dans Google Chromium V8. Cette vulnérabilité vient enfin d’être ajoutée au MITRE, une semaine après avoir été corrigée par Google 🤨.
Wiz a découvert l'exploitation de la vulnérabilité SSRF CVE-2025-51591 (CVSS 6.5) dans Pandoc ciblant l'AWS Instance Metadata Service. Les attaquants peuvent créer une iframe pointant vers le serveur IMDS pour exfiltrer des identifiants IAM sensibles des instances EC2, sans nécessiter d'accès direct à l'hôte. L'attaque a finalement échoué grâce aux protections IMDSv2, mais démontre les risques persistants dans l'infrastructure cloud.
Articles
GitHub répond aux récentes attaques contre les registres de packages, incluant le ver "Shai-Hulud", en supprimant plus de 500 packages compromis. Les améliorations planifiées incluent l'authentification 2FA obligatoire pour la publication locale, des jetons granulaires avec durée de vie de 7 jours, et l'expansion de la publication de confiance. GitHub déprécie les jetons classiques legacy, migre de TOTP vers FIDO pour la 2FA, et désactive par défaut les jetons pour la publication. Ces mesures visent à fortifier la chaîne d'approvisionnement logicielle contre les acteurs malveillants.
Check Point Research analyse la famille de malwares Pure développée par PureCoder, comprenant PureHVNC RAT, PureCrypter (obfuscateur), PureLogs (stealer), PureMiner et Blue Loader (botnet). PureHVNC RAT offre plus de 30 plugins incluant accès bureau distant, keylogging, contrôle webcam et clipping d'adresses crypto. Distribué via de faux sites d'offres d'emploi et via la technique ClickFix, le malware utilise un loader Rust et l'ingénierie sociale. Le développeur opère principalement en UTC+3, vend via Telegram et utilise plusieurs comptes GitHub pour développement et tests.
OSTIF, Quarkslab et The PHP Foundation ont complété un audit de sécurité de la documentation PHP, se concentrant sur le système de fichiers, la cryptographie et les extraits de code des commentaires utilisateurs. Quarkslab a identifié 81 findings pertinentes pour la sécurité, toutes sans évaluation de gravité. Les mainteneurs PHP ont travaillé à résoudre et incorporer les corrections, vérifiées par les ingénieurs Quarkslab.
SecureLayer7 présente la première partie d'une série d’article sur la sécurité des applications de bureau Electron, explorant les vulnérabilités potentielles comme XSS et RCE. La recherche examine les risques spécifiques aux applications basées sur Electron et analyse des exemples réels de CVE.
Après une longue pause, Adsecurity.org reprend du service avec une série de tips pour sécurité Active Directory. Les tips concernent les comptes de service Kerberos KRBTGT, Tombstone Lifetime, les versions d'OS des contrôleurs de domaine, le compte administrateur par défaut, les groupes intégrés AD aux privilèges élevés, etc.
APT28 mène une campagne d'espionnage sophistiquée ciblant le personnel militaire ukrainien via des documents Office armés distribués par Signal. La chaîne d'infection utilise des macros malveillantes, hijacking COM, stéganographie PNG cachant du shellcode dans les bits de poids faible, et le framework Covenant via le stockage cloud Koofr. Les leurres imitent des formulaires administratifs militaires visant à collecter des renseignements sur les unités et le personnel.
Outils
WebSocket Turbo Intruder est une extension Burp Suite permettant de tester les vulnérabilités WebSocket avec des scripts Python personnalisés. L'outil supporte des milliers de messages WebSocket par seconde, permet le fuzzing avec filtrage des résultats, et détecte des vulnérabilités comme la pollution de prototypes côté serveur et les conditions de concurrence.
MalifiScan est un outil qui détecte les packages malveillants dans 10 écosystèmes logiciels (npm, PyPI, Maven, etc.) en intégrant la base de vulnérabilités OSV. L'outil peut scanner les dépôts JFrog Artifactory, bloquer automatiquement les packages malveillants connus, et fournir une détection cross-écosystème.
Ce projet automatise la conversion des listes de pilotes vulnérables de Microsoft depuis le format XML vers des formats CSV et JSON exploitables par les outils de sécurité. L'outil télécharge automatiquement chaque semaine les listes Microsoft, analyse le XML pour extraire les détails des pilotes (ID, nom de fichier, Authentihash, hash de fichier), et génère des formats compatibles SIEM/EDR.
L'Error Level Analysis (ELA) détecte les manipulations d'images en examinant les incohérences des artefacts de compression JPEG. La technique recompresse l'image à un niveau de qualité spécifique, compare l'original et la version recompressée pour analyser les différences d'artefacts. Les indicateurs incluent des motifs d'artefacts inconsistants, des zones brillantes dans la carte ELA, et des variations de niveaux de compression.
Un outil en ligne qui permet d’avoir toutes les informations sur un compte Reddit (timeline d’activité, publication, etc.)
AuditKit est un scanner de conformité multi-cloud pour la préparation des audits SOC2 et PCI-DSS. Il supporte AWS et Azure (GCP prévu bientôt), implémente 64 contrôles SOC2 et 30 contrôles PCI-DSS, plus des mappings expérimentaux HIPAA et ISO 27001. L'outil fournit des commandes de correction exactes spécifiques au cloud, génère des captures d'écran étape par étape acceptées par les auditeurs, et priorise les problèmes de conformité critiques.
TaskHound permet d’énumérer les tâches planifiées Windows privilégiées via SMB. Il scanne C:\Windows\System32\Tasks, analyse les fichiers XML des tâches, identifie celles fonctionnant sous comptes privilégiés, supporte le mapping BloodHound des utilisateurs privilégiés, et offre plusieurs méthodes d'authentification (mot de passe, hashes NTLM, Kerberos). L'outil inclut une capacité d'analyse hors ligne et détection expérimentale Credential Guard.
WMI_Proc_Dump est un script Python permettant de dumper des processus via WMI sur Windows Server 2016 et supérieur. L'outil peut dumper par PID ou nom de processus, supporte l'authentification par nom d'utilisateur/mot de passe, hashes NTLM ou Kerberos.
GarudRecon est un framework de reconnaissance automatisé pour la découverte d'actifs et le scan de vulnérabilités. Il effectue l'énumération de sous-domaines, vérifie les vulnérabilités XSS, SQLi, LFI, RCE, prise de contrôle de sous-domaines, redirections ouvertes, expositions Swagger UI et fuites répertoires .git.
Podcasts
🎧️ NoLimitSecu - épisode consacré à Mercator (outil de cartographie du SI)
Conférences / Salons
🗓️ Hexacon - Le 11 et 12 octobre 2025 à Paris, France.
🗓️ Secsea - Le 10 octobre 2025 à la Ciotat, France.
🗓️ Les Assises de la Cybersécurite - Du 8 au 11 octobre 2025 à Monaco
Finances / Marché
🤝 TinyMDM, plateforme française de gestion d'appareils mobiles Android, a été acquise par BID Equity pour un montant non divulgué.
🤝 Lakera AI, plateforme suisse de protection des grands modèles de langage contre les attaques par injection de prompts, a été acquise par Check Point Software Technologies pour un montant non divulgué.
🤝 HyperComply, société canadienne de sécurité et conformité, a été acquise par SecurityScorecard pour un montant non divulgué.
Misc
🎬 Micode - L’infiltration impossible que personne n’avait vue venir (opération “spider web” de l’Ukraine contre la Russie).
uBlacklist est une extension gratuite qui permet de supprimer définitivement les sites indésirables des résultats Google. Compatible Chrome, Firefox et Safari, elle ajoute des boutons "Bloquer ce site" directement dans les résultats, supporte le blocage par domaines ou regex avancé, et offre des listes publiques pour sites IA, spam SEO et Pinterest.
Une série de captchas à résoudre de plus en plus difficile pour contrer les bot.
Scramjet est un proxy web développé par un lycéen utilisant JavaScript et WebAssembly pour réécrire le code des sites en temps réel. Il intercepte et modifie le trafic web pour contourner filtrage et censure, fonctionne avec Google, YouTube, Discord et Reddit.
Email is Easy est un quiz interactif de 15 questions testant la compréhension de la validation d'adresses email selon les standards RFC. L'outil éducatif révèle les nuances complexes du formatage d'adresses email que beaucoup ignorent.
Stacher7 transforme l'outil en ligne de commande yt-dlp en interface graphique conviviale pour télécharger vidéos depuis YouTube et plus de 1000 sites. L'application gratuite supporte téléchargement de vidéos, playlists et chaînes entières, sélection de formats (MP4, MKV, AVI) et qualité 4K, plus édition basique (recadrage, sous-titres, conversion).
L'article prône l'usage polyvalent de SSH au-delà de l'accès distant, illustrant lecture vidéo directe via mpv (sftp://serveur/film.mkv), transferts de fichiers avec SCP/rsync via hôtes intermédiaires et Tor, collaboration documentaire LibreOffice directe sur serveurs SSH, et administration système terminal évitant les interfaces web vulnérables.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien