- Erreur 403
- Posts
- Erreur 403 | #45
Erreur 403 | #45
Fuite massive chez Discord et Salesforce, vulnérabilités critiques exploitées (Redis, GoAnywhere, Oracle), espionnage chinois via BRICKSTORM, 3,2M de patients exposés chez Inovie Labosud, condamnation du gang Adecco, incendie cloud catastrophique en Corée du Sud, chantage avec les données d'enfants, etc.
Bastien Cacace
9th octobre 2025
Sommaire
Infos
Discord a découvert qu'un attaquant non autorisé a compromis l'un de ses partenaires, permettant l'accès aux informations d'utilisateurs ayant contacté le support client ou les équipes Trust & Safety. Les données compromises incluent noms, adresses IP, pseudos, emails, messages au support, les quatre derniers chiffres de cartes bancaires et l'historique d'achats. Un nombre limité de documents d'identité officiels (permis, passeports) utilisés pour vérification d'âge ont également été exposés. L'incident s'est déroulé le 20 septembre 2025.
Joshua Rogers a identifié une liste massive de vulnérabilités potentielles dans cURL en utilisant des outils d'analyse de code assistés par IA. Le mainteneur Daniel Stenberg a déjà corrigé 22 bugs grâce à ces découvertes et examine encore des problèmes restants. Ces bugs vont de problèmes mineurs à de potentielles failles de sécurité.
Les laboratoires Inovie Labosud ont subi une cyberattaque le 31 août compromettant les données de 3,2 millions de patients, dont un million concernant des informations médicales (pathologies, traitements, documents médicaux). L'entreprise a détecté une saturation anormale de ses serveurs et l'exécution de scripts malveillants. Les données exfiltrées incluent identité, coordonnées, numéros de sécurité sociale et coordonnées des professionnels de santé. Le réseau regroupe 100 laboratoires dans l'Hérault, le Gard et les Bouches-du-Rhône prenant en charge 15 000 patients quotidiennement.
Cultura a été victime d'une cyberattaque en septembre 2024 attribuée à un prestataire de services informatiques externe. Le vol de données a exposé 1,5 million d'adresses emails uniques accompagnées de noms, numéros de téléphone, adresses physiques et historiques de commandes. Cultura a notifié l'ensemble des clients affectés par l'incident. Les informations viennent d’être ajoutées à la base Have I Been Pwned, permettant aux utilisateurs de vérifier si leurs données ont été compromises.
Un incendie au centre de données du NIRS à Daejeon a détruit le système de stockage cloud G-Drive du gouvernement sud-coréen, effaçant les fichiers de travail de 750 000 fonctionnaires. Le système utilisait une architecture de stockage haute capacité sans sauvegardes externes, entraînant une perte permanente des données. L'incident a impacté 96 systèmes critiques du gouvernement central. Les agences tentent de récupérer des données alternatives via des fichiers locaux, emails et documents imprimés sauvegardés le mois dernier.
Des hackers publient puis retirent des données d'enfants pour faire chanter des crèches britanniques
Le groupe d’attaquants Radiant a publié photos et informations personnelles d'enfants fréquentant les crèches Kido au Royaume-Uni pour extorquer une rançon de 600 000 livres (688 000 €). Les attaquants affirmaient posséder les données de 8 000 enfants et menaçaient de divulguer davantage de documents. Le groupe a finalement décidé de supprimer ces données de son site sur le réseau TOR le jeudi suivant, suite à la controverse suscitée par cette tactique de chantage ciblant des enfants.
L'ANSSI publie trois nouveaux Essentiels permettant la mise en œuvre sécurisée d'un serveur Windows Server 2016 (et versions ultérieures) destiné à devenir un serveur membre d'un domaine Active Directory0 (AD-DS), un serveur autonome non joint à un domaine Active Directory, ou un contrôleur de domaine. Parmi les bonnes pratiques partagées dans ces nouveaux documents, il est notamment recommandé, préalablement à l'installation, de :
activer un TPMv2 matériel ou virtuel, et le mode de démarrage UEFI Secure Boot ;
vérifier l'accès physique au serveur et contrôler parallèlement les accès console au serveur (IPMI pour un serveur physique, ou console de l'hyperviseur).
Le groupe Lapsus$/ShinyHunters revendique le vol d'environ un milliard d'enregistrements provenant d'entreprises utilisant des bases de données hébergées par Salesforce. Les victimes confirmées incluent Google, Allianz Life, Kering, Qantas, Stellantis, TransUnion et Workday. Le groupe a lancé un site d'extorsion sur le dark web menaçant de publier les données volées. Salesforce indique qu'il n'y a aucune indication que sa plateforme ait été compromise et que les incidents concernent des tentatives d'extorsion liées à d'anciens incidents.
L'agence européenne de cybersécurité ENISA a publié son rapport Threat Landscape 2025 analysant près de 4 900 incidents entre juillet 2024 et juin 2025. Les systèmes OT représentent 18,2% des menaces observées, après les menaces mobiles (42%) et web (27%). Le rapport met en évidence l'activité de groupes pro-russes comme NoName057(16), Z-Pentest Alliance, Rippersec et Infrastructure Destruction Squad (IDS), ce dernier ayant développé le malware VoltRuptor spécifiquement pour les systèmes ICS.
Le tribunal correctionnel de Lyon a condamné les 14 prévenus responsables du piratage d'Adecco en 2022. Timothée Lhomond, considéré comme le cerveau du réseau âgé de 20 ans au moment des faits, a écopé de 6 ans de prison ferme et 30 000€ d'amende. Ses 13 complices ont reçu des peines de 6 mois à 3 ans, certaines aménageables. L'attaque avait permis le vol de millions de données personnelles utilisées pour escroquer des milliers de victimes, avec près de 6 000 parties civiles réclamant des dommages.
Mandiant révèle une campagne d'espionnage chinoise utilisant la backdoor BRICKSTORM pour cibler des cabinets juridiques, fournisseurs SaaS et entreprises technologiques depuis mars 2025. Le groupe UNC5221, précédemment lié à l'exploitation de vulnérabilités Ivanti, se concentre sur le vol de propriété intellectuelle et cible spécifiquement les boîtes mail de dirigeants. La backdoor est déployée sur des appliances Linux non surveillées par les équipes de sécurité, notamment les serveurs VMware vCenter et ESXi, permettant aux attaquants de maintenir leur persistance.
Malwarebytes a identifié une campagne de phishing sophistiquée utilisant des fichiers SVG contenant du code JavaScript malveillant obfusqué avec des noms liés à des recettes culinaires. Les fichiers SVG, écrits en XML, peuvent contenir du HTML et du JavaScript pour rediriger les victimes vers des sites de phishing. Sur Windows, les SVG s'ouvrent par défaut dans Microsoft Edge, contournant souvent les bloqueurs de publicités et filtres web.
Ubuntu 25.10 adopte sudo-rs, une implémentation en Rust du classique sudo, pour améliorer la sécurité mémoire et faciliter la maintenance du code vieux de 30 ans. La commande sudo est désormais un lien symbolique vers sudo-rs, tandis que l'original reste disponible sous sudo-ws. Pour les utilisateurs standards, l'utilisation reste identique, seuls les messages d'erreur changent. Cependant, certaines fonctionnalités comme le support sendmail ne sont pas implémentées et sudo-rs utilise exclusivement PAM pour l'authentification.
Vulnérabilités
Deux vulnérabilités critiques impactant respectivement VMware Tools & Aria ainsi que Tenable Security Center. La CVE-2025-41244 (CVSS 7.8) concernant les produits VMware est déjà exploitée.
Ces failles s'ajoutent à Oracle E-Business Suite (CVE-2025-61882 / CVSS 9.8), également exploitée activement. Les administrateurs doivent consulter les avis éditeurs et déployer les correctifs disponibles sans délai (cf. article ci-dessous).
Sur ces 7 derniers jours, la CISA a ajouté 13 vulnérabilités exploitées :
CVE-2025-27915 : vulnérabilité de cross-site scripting dans Synacor Zimbra Collaboration Suite (ZCS)
CVE-2025-61882 : vulnérabilité non spécifiée dans Oracle E-Business Suite permettant la compromission du traitement concurrent
CVE-2010-3765 : vulnérabilité d'exécution de code à distance dans les produits Mozilla (Firefox, SeaMonkey, Thunderbird)
CVE-2011-3402 : vulnérabilité d'exécution de code à distance dans le moteur de traitement des polices TrueType de Microsoft Windows
CVE-2013-3918 : vulnérabilité d'écriture hors limites dans le contrôle ActiveX InformationCardSigninHelper de Microsoft Windows
CVE-2021-43226 : vulnérabilité d'élévation de privilèges dans le pilote Common Log File System de Microsoft Windows
CVE-2010-3962 : vulnérabilité de corruption de mémoire non initialisée dans Microsoft Internet Explorer
CVE-2021-22555 : vulnérabilité d'écriture hors limites dans le tas du noyau Linux
CVE-2025-4008 : vulnérabilité d'injection de commandes dans Smartbedded Meteobridge
CVE-2025-21043 : vulnérabilité d'écriture hors limites dans les appareils mobiles Samsung
CVE-2015-7755 : vulnérabilité d'authentification incorrecte dans Juniper ScreenOS
CVE-2017-1000353 : vulnérabilité d'exécution de code à distance dans Jenkins
CVE-2014-6278 : vulnérabilité d'injection de commandes dans GNU Bash
Redis a divulgué la CVE-2025-49844, une vulnérabilité de sévérité maximale (CVSS 10.0) affectant toutes les versions de son logiciel de base de données en mémoire. Un utilisateur authentifié peut exploiter un script Lua spécialement conçu pour manipuler le garbage collector, déclencher une corruption mémoire use-after-free et potentiellement exécuter du code arbitraire à distance. Découverte par Wiz et présente dans le code source depuis 13 ans, la faille a été corrigée dans les versions 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2 publiées le 3 octobre 2025.
Microsoft révèle que le groupe d’attaquants Storm-1175, connu pour déployer le ransomware Medusa, exploite activement la CVE-2025-10035 (CVSS 10) dans GoAnywhere MFT. Cette vulnérabilité critique de désérialisation permet à un attaquant de contourner la vérification de signature en forgeant une réponse de licence, menant à l'exécution de code à distance. Les attaquants utilisent des outils RMM (SimpleHelp, MeshAgent), créent des tunnels Cloudflare pour le C2, et déploient Rclone pour l'exfiltration avant le déploiement du ransomware Medusa.
Oracle a publié un correctif d'urgence pour la CVE-2025-61882 (CVSS 9.8), une vulnérabilité critique dans Oracle E-Business Suite exploitée lors de récentes attaques de vol de données par Cl0p. La faille permet à un attaquant non authentifié d'exécuter du code à distance via HTTP sur le composant Oracle Concurrent Processing.
La plateforme de bug bounty HackerOne annonce avoir versé 81 millions de dollars en récompenses aux chercheurs en sécurité au cours des 12 derniers mois, soit une augmentation de 13% en glissement annuel. Les 100 meilleurs programmes ont distribué 51 millions de dollars, tandis que le top 10 représente à lui seul 21,6 millions. Le rapport révèle une hausse de 200% des vulnérabilités IA, avec les injections de prompt en augmentation de 540%. Plus de 1 800 chercheurs utilisent désormais l'IA dans leur workflow de recherche de vulnérabilités.
WatchTowr Labs analyse en détail la CVE-2025-10035 (CVSS 10.0) dans GoAnywhere MFT de Fortra. Cette faille de désérialisation dans le License Servlet rappelle la CVE-2023-0669 exploitée par Cl0p en 2023. L'analyse révèle que plus de 20 000 instances GoAnywhere sont exposées sur Internet, constituant une cible privilégiée pour les groupes APT. WatchTowr souligne l'ambiguïté de l'advisory de Fortra qui suggère une exploitation active sans la confirmer explicitement, malgré les indicateurs de compromission dans les logs Admin Audit fourni.
Articles
Semgrep publie un guide de sécurité sur le Model Context Protocol (MCP), nouveau standard API pour les agents de codage IA créant de nouvelles surfaces d'attaque. Le guide couvre l'architecture MCP basée sur JSON-RPC, les concepts de ressources et outils, et les vulnérabilités connues comme le tool poisoning et le line jumping.
Synacktiv analyse les dangers liés à la désactivation du mode SQL strict de MySQL. Sans ce mode, les valeurs invalides ou hors plage ne génèrent que des avertissements silencieux et sont remplacées par des valeurs ajustées. L'article démontre comment l'interaction entre validation Unicode côté application et encodage restrictif côté base (ASCII) peut créer des contournements de sécurité.
ADSecurity.org publie un historique complet des jalons de sécurité Active Directory suite à une présentation donnée à Troopers 2024. L'article chronologique détaille les principales attaques et techniques découvertes sur Active Directory depuis plus de 10 ans, corrélées avec des informations publiques et des versions GitHub.
Des attaquants inconnus ont abusé de routeurs cellulaires Milesight vulnérables pour envoyer des SMS de phishing à travers l'Europe depuis au moins février 2022. Les attaquants utilisaient des API SMS exposées et des liens typosquattés pour usurper des gouvernements, banques, postes et opérateurs télécoms, ciblant principalement Suède, Italie et Belgique. La faille (CVE-2023-43261) a été corrigée, mais les routeurs mal configurés ou obsolètes permettent encore aux attaquants d'envoyer et surveiller des SMS sans authentification.
Google Threat Intelligence publie des recommandations proactives pour se protéger contre UNC6040, groupe cybercriminel spécialisé dans le vishing ciblant les instances Salesforce pour vol de données et extorsion. Le groupe trompe les employés en se faisant passer pour le support IT et les amène à autoriser des applications connectées malveillantes (versions modifiées de Salesforce Data Loader). Les recommandations couvrent la vérification d'identité du helpdesk, la validation multi-facteurs, le durcissement des applications SaaS, et la configuration de logging et détection avancés pour identifier les compromissions.
Praetorian alerte sur les risques liés aux scanners de vulnérabilités configurés avec authentification par mot de passe. Lors d'un pentest, l'équipe a compromis un serveur root et instrumenté SSH pour capturer les identifiants d'un compte Nessus privilégié s'authentifiant par mot de passe.
ERNW publie le livre blanc 73 analysant les failles de sécurité dans WinpMem, driver Windows open-source d'acquisition mémoire utilisé en forensique numérique. Après un rappel sur les mécanismes Windows (mémoire virtuelle/physique, tables de pages, PTEs, CR3), le rapport examine les défauts de conception (interface read-anything-where) et d'implémentation (TOCTOU).
Quarkslab détaille l'exploitation de la CVE-2025-8061 dans le driver LnvMSRIO.sys de Lenovo pour obtenir l'exécution de code Ring-0. Le driver, signé et distribué via Windows Update jusqu'en décembre 2024, expose quatre fonctions IOCTL vulnérables permettant lecture/écriture de mémoire physique et registres MSR sans contrôle d'accès. Les versions 3.1.0.41 et ultérieures, publiées le 9 septembre 2025, corrigent ces vulnérabilités exploitées en technique BYOVD.
AFF-WG analyse l'attaque Black Basta de mai 2024 contre Ascension Healthcare qui a paralysé 140 hôpitaux et affecté 131 000 employés. Un utilisateur a cliqué sur un lien malveillant via Bing dans Edge, déclenchant une compromission complète malgré les protections Microsoft Defender SmartScreen. L'incident a coûté 1,3 milliard de dollars à Ascension, forcé l'utilisation de processus papier et causé des détournements d'ambulances pendant des mois.
Outils
Suspicious, une application web permettant l'analyse rapide d'emails et fichiers malveillants. Cet outil open-source intègre plusieurs capacités : extraction d'IoC depuis emails et pièces jointes, analyse de fichiers suspects (exécutables, documents Office, PDF), détection de macros malveillantes et vérification de réputation via VirusTotal.
NetworkHound est un outil PowerShell permettant de découvrir et visualiser automatiquement la topologie réseau d'un environnement Active Directory. Il identifie les contrôleurs de domaine, les relations de trust, les sous-réseaux et génère des graphiques de la structure du réseau en utilisant des requêtes LDAP et des cmdlets PowerShell.
The OSINT Rack propose une collection organisée de ressources et d'outils OSINT. Ce dépôt GitHub maintient une liste actualisée d'outils de reconnaissance, de recherche WHOIS, d'analyse de réseaux sociaux, de géolocalisation, de frameworks OSINT, etc.
SAMLSmith est un outil permettant de créer des réponses SAML forgées pour tester les attaques Golden SAML et Silver SAML contre les environnements ADFS.
Ce projet fournit un lab automatisé combinant Active Directory et Splunk pour développer des règles de détection. Il déploie via Terraform et Ansible une infrastructure complète incluant contrôleurs de domaine, postes clients Windows, Splunk Enterprise et Universal Forwarders.
BamboozlEDR permet de générer des événements Event Tracing for Windows (ETW) arbitraires pour tester les règles de détection des EDR. Cet outil crée des événements ETW personnalisés simulant des activités malveillantes (injection de processus, manipulation de tokens, accès LSASS) sans exécuter réellement les techniques.
EnumEDRs est un script PowerShell identifiant les produits EDR, antivirus et solutions de sécurité endpoint installés sur un système Windows. L'outil détecte plus de 100 solutions de sécurité en analysant les processus en cours, les services, les drivers kernel et les clés de registre. Utile pour les redteam lors de la phase de reconnaissance post-exploitation afin d'adapter leurs techniques d'évasion aux défenses en place.
Microsoft publie AVML, un outil d'acquisition de mémoire vive pour systèmes Linux écrit en Rust. Contrairement aux outils traditionnels comme LiME, AVML ne nécessite pas de compilation de module kernel et fonctionne sur n'importe quelle distribution Linux moderne. L'outil génère des dumps mémoire au format LIME compatibles avec Volatility et d'autres frameworks d'analyse forensique.
Forensic Timeliner permet de créer automatiquement des chronologies d'événements à partir de multiples sources forensiques. L'outil agrège les horodatages des fichiers système, logs Windows (Event Logs, Prefetch, Amcache), artefacts navigateurs et journaux applicatifs pour générer une timeline unifiée.
HarborGuard est une plateforme open-source de scan de sécurité pour environnements conteneurisés. L'outil analyse les images Docker et Kubernetes à la recherche de vulnérabilités CVE, secrets exposés, configurations non sécurisées et écarts par rapport aux benchmarks CIS.
Offensive Security publie Kali Linux 2025.3 avec plusieurs améliorations notables. Cette version intègre 15 nouveaux outils, dont sqlmap 1.9, Nuclei v3.4 et Metasploit 6.5. Le kernel est mis à jour vers la version 6.12 LTS avec support amélioré pour les architectures ARM.
Podcasts
🎧️ NoLimitSecu - La face cachée du Bug Bounty
Conférences / Salons
🗓️ Hexacon - Le 11 et 12 octobre 2025 à Paris, France.
🗓️ Unlock your brain (UYBHYS) - Le 7 et 8 novembre 2025 à Brest, France
Finances / Marché
🇫🇷 Avanoo, plateforme française de gouvernance Shadow AI et SaaS, a levé un montant non divulgué auprès d'Auriga Cyber Ventures.
🇫🇷 Skyld, plateforme française de sécurité pour modèles d'IA, a levé 1,8M$ en Seed auprès de Bloomhaus Ventures et Auriga Cyber Ventures.
🇫🇷 Mokn, plateforme française de gestion de surface d'attaque et technologie de déception, a levé 3,0M$ en Seed auprès de Moonfire Ventures.
🤝 Allseek, plateforme belge de pentests continus, a été acquise par Aikido Security pour un montant non divulgué.
Misc
Le développeur démontre la construction d'un filtre de paquets capable de bloquer 26 millions de requêtes curl par seconde en utilisant XDP (Express Data Path) et eBPF au niveau kernel Linux. L'approche consiste à fingerprinter les connexions TLS en analysant les cipher suites échangées lors du handshake, sans nécessiter de déchiffrement.
PopUpOFF est une extension open-source pour Chrome et Firefox développée par RomanistHere qui supprime les popups de cookies, overlays et bannières RGPD.
Cloudflare annonce le Net Dollar, un stablecoin adossé au dollar américain conçu pour les micropaiements instantanés sur le web. Matthew Prince, CEO de Cloudflare, vise à remplacer le modèle publicitaire par du pay-per-use généralisé permettant de facturer des fractions de centimes par article lu ou requête API consommée. Le système cible principalement les agents IA accédant au contenu web, avec paiement automatique de quelques centimes par accès.
Spiiin propose une analyse approfondie de l'évolution du développement de jeux vidéo, couvrant l'histoire de l'industrie depuis 1947 jusqu'aux révolutions indie et mobile des années 2000. L'article découpe l'histoire en périodes (ère Atari 1972-1983, ère Nintendo 1983-1989, guerres des consoles 1989-1995) et examine les modèles de financement des studios (autofinancement, work-for-hire, éditeurs, investisseurs).
Komodo est une application web auto-hébergée centralisant la gestion de serveurs et déploiements Docker. L'outil permet de monitorer l'utilisation des ressources (CPU, mémoire, disque) sur plusieurs serveurs, gérer les conteneurs et stacks Docker, et automatiser les builds via webhooks.
Jimmy est un convertisseur universel open-source permettant d'exporter des notes depuis plus de 40 applications vers le format Markdown. L'outil supporte Evernote, Notion, Google Keep, Bear, Obsidian, Roam Research ainsi que les formats DOCX, ODT, HTML, EPUB et Jupyter Notebooks.
Ollama lance une API REST de recherche web permettant aux modèles IA locaux d'accéder à des informations récentes depuis internet. Cette fonctionnalité compatible avec qwen3, LLama, gpt-oss et deepseek-v3.1 combine les fonctions web_search pour la recherche et web_fetch pour la récupération de contenu de pages spécifiques. L'API nécessite une clé Ollama Cloud et offre un essai gratuit initial.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien