- Erreur 403
- Posts
- Erreur 403 | #47
Erreur 403 | #47
Panne AWS majeure, Xubuntu compromis, fausse alerte chez BPCE, retour au papier au Centre hospitalier de Pontarlier, démantèlement de fermes SIM par Europol, révélation de l’unité secrète du FBI Group 78, vulnérabilités critiques exploitées (ASP.NET, Oracle, Cisco), 6 nouvelles vulnérabilités ajoutées au CISA KEV, etc.
Bastien Cacace
23rd octobre 2025
Sommaire
Infos
Une panne majeure en début de semaine de la région US-EAST-1 d'AWS a provoqué l'interruption de millions de sites web pendant plusieurs heures, incluant Amazon.com, Prime Video, Fortnite, Perplexity AI, Canva et Roblox. L'incident, lié à un problème de résolution DNS pour l'API DynamoDB, a également affecté les équilibreurs de charge réseau.
Le site officiel de Xubuntu a été piraté pendant le week-end du 18-19 octobre, son bouton de téléchargement redirigeant vers un fichier torrent contenant un malware Windows. L'exécutable interceptait les adresses de portefeuilles de cryptomonnaies copiées dans le presse-papiers. Le nombre de victimes reste inconnu, bien que le nom du fichier Xubuntu-Safe-Download.zip et le format inhabituel aient pu alerter certains utilisateurs. Le timing avec la fin du support de Windows 10 était judicieux 🤓.
Le ministère chinois de la Sécurité d'État accuse la NSA d'avoir orchestré une cyberattaque préméditée contre le Centre national de service du temps (NTSC) de Chine le 25 mars 2022. Selon le MSS, l'agence américaine aurait exploité des vulnérabilités dans un service SMS pour compromettre des appareils mobiles du personnel, puis déployé 42 outils spécialisés entre août 2023 et juin 2024. Les attaquants auraient tenté de perturber le système de chronométrage de haute précision gérant l'heure officielle de Pékin.
Il n’y a pas que des cas d’espionnages US ou EU 😌. Le groupe d’attaquants chinois Jewelbug a compromis un fournisseur de services informatiques russe entre janvier et mai 2025. Les attaquants ont exploité Microsoft Console Debugger pour accéder aux référentiels de code et systèmes de build pour de potentielles attaques de chaîne d'approvisionnement.
Une alerte relayée sur les réseaux sociaux a semé la panique parmi les 35 millions de clients du groupe BPCE ce week-end. L'avertissement suggérait que les pages de connexion des 27 établissements bancaires du groupe auraient pu être compromises. Après investigation, le groupe confirme qu'il s'agissait d'une fausse alerte causée par une erreur technique dans la gestion DNS. Un sous-domaine officiel pointait vers une infrastructure AWS fermée dont les adresses IP avaient été réattribuées par Amazon à d'autres clients. Bien que cette configuration aurait techniquement pu permettre à des attaquants de créer des pages de phishing, aucune compromission de données ni intrusion n'a été identifiée.
Le Centre hospitalier intercommunal de Haute-Comté à Pontarlier a été victime d'une attaque par rançongiciel dans la nuit du 18 au 19 octobre. Les services informatiques ont détecté des anomalies à 1h45 puis découvert un message de rançon indiquant le chiffrement des données. Le directeur a confirmé que la situation est sous contrôle, mais nécessite un retour au fonctionnement papier pour les prescriptions, commandes et gestion.
D'après Google Threat Intelligence, le groupe nord-coréen UNC5342 (aussi connu sous une dizaine d'autres noms selon qui le traque) a adopté une nouvelle technique baptisée : EtherHiding. Le principe c'est de cacher du code malveillant directement dans des smart contracts sur la blockchain et selon Google, c'est la première fois qu'on documente qu'un état-nation utilise cette méthode.
Des chercheurs dévoilent Pixnapping, une nouvelle classe d'attaques exploitant les API Android et un canal auxiliaire matériel affectant presque tous les appareils Android modernes. La technique permet à une application malveillante sans aucune permission de voler pixel par pixel les informations affichées par d'autres applications, incluant les codes 2FA de Google Authenticator en moins de 30 secondes. Les attaques ont été démontrées sur Google Pixel 6 à 9 et Samsung Galaxy S25 sous Android 13 à 16.
Envoy Air, filiale régionale d'American Airlines opérant sous la marque American Eagle, confirme la compromission de données depuis son application Oracle E-Business Suite suite à une attaque du gang d'extorsion Clop. L'incident s'inscrit dans la campagne de vol de données menée par Clop en août, exploitant une vulnérabilité zero-day (CVE-2025-61882) dans Oracle E-Business Suite.
Après six ans de bataille judiciaire, l'amende infligée à NSO Group pour le piratage de 1 400 téléphones via WhatsApp a été réduite en appel de 168 millions à 4 millions de dollars 💸.
L'opération SIMCARTEL menée par Europol a démantelé une plateforme sophistiquée de cybercriminalité-en-tant-que-service exploitant des fermes SIM. Sept suspects ont été arrêtés, dont cinq Lettons, et 1 200 dispositifs SIM box contenant 40 000 cartes SIM actives ont été saisis. L'infrastructure permettait d'obtenir des numéros téléphoniques de plus de 80 pays pour créer de faux comptes sur réseaux sociaux et plateformes de communication, facilitant le phishing, la fraude à l'investissement et l'extorsion.
Īstenojot starptautisku operāciju “SIMcartel” 🚔 Valsts policija likvidē Latvijā izvietotu SIMbox infrastruktūru un aizturēja 5 personas, kas legālas uzņēmējdarbības aizsegā, īstenoja iespēju izveidot anonīmus tiešsaistes kontus krāpšanu veikšanai. Platforma bija paredzēta
— Valsts policija (@Valsts_policija)
9:43 AM • Oct 17, 2025
L'ANSSI partage son positionnement vis-à-vis du Confidential Computing. Le Confidential Computing est une technique informatique visant à renforcer la sécurité et la confidentialité des données même lorsqu'elles sont en cours d'utilisation ou de traitement. À travers ce nouveau document, l'Agence rappelle les modèles d'attaque que le Confidential Computing prétend traiter, ses principaux mécanismes de sécurité et leurs limites actuelles.
Le Monde et Die Zeit révèlent l'existence du Group 78, cellule secrète américaine présentée par le FBI à Europol et Eurojust en novembre 2024 lors de réunions sur le gang Black Basta. Cette unité combine services de renseignement et application de la loi avec une stratégie double : mener des actions en Russie rendant impossible la vie des cybercriminels pour les forcer à quitter le territoire et les exposer aux mandats d'arrêt internationaux, et manipuler les autorités russes pour qu'elles cessent de protéger ces groupes. La présentation a choqué plusieurs enquêteurs européens craignant pour l'intégrité de leurs investigations face à cette entrée fracassante des services de renseignement américains dans le paysage de la lutte contre la cybercriminalité. Les méthodes et les périmètres d'action exacts restent confidentiels.
Vulnérabilités
34 vulnérabilités critiques, dont trois vulnérabilités affectant Microsoft Windows exploitée ainsi qu’une vulnérabilité Oracle E-Business Suite exploitée. Un code d’exploitation public est également disponible pour une faille affectant Oracle E-Business Suite.
Le bulletin rappelle également que le 15 octobre 2025, F5 a publié un communiqué dans lequel l'éditeur déclare avoir été affecté par un incident de sécurité qu'il attribue à un mode opératoire sophistiqué. L'attaquant a réussi à exfiltrer une partie du code source de BIG-IP ainsi que des fichiers liés à des vulnérabilités affectant ce produit et qui n'ont pas encore été publiées.
Sur ces 7 derniers jours la CISA a ajouté 6 vulnérabilités exploitées :
CVE-2025-61932 : vérification inappropriée de la source d'un canal de communication dans Motex LANSCOPE Endpoint Manager
CVE-2025-61884 : vulnérabilité de type Server-Side Request Forgery (SSRF) dans Oracle E-Business Suite
CVE-2025-33073 : contrôle d'accès inapproprié dans le client SMB de Microsoft Windows
CVE-2025-2747 : contournement d'authentification via un chemin ou canal alternatif dans Kentico Xperience CMS
CVE-2025-2746 : contournement d'authentification via un chemin ou canal alternatif dans Kentico Xperience CMS
CVE-2022-48503 : vulnérabilité non spécifiée dans JavaScriptCore affectant plusieurs produits Apple
Microsoft a corrigé une vulnérabilité critique CVE-2025-55315 dans ASP.NET Core avec un score CVSS de 9.9, le plus élevé jamais attribué à ce framework. Cette faille de type HTTP request smuggling identifiée dans Kestrel, le serveur web intégré, permet aux attaquants de dissimuler une requête HTTP dans une autre pour contourner les contrôles de sécurité. Un exploit réussi peut entraîner la fuite d'informations sensibles, comme des identifiants utilisateur, la modification de contenus de fichiers ou un déni de service par crash du serveur. Microsoft précise que l'impact varie selon l'implémentation applicative et évalue le pire scénario.
Trend Micro révèle l'opération Zero Disco exploitant CVE-2025-20352, une vulnérabilité SNMP Cisco permettant l'exécution de code à distance et l'installation de rootkits Linux sur des équipements Cisco 9400, 9300 et 3750G legacy. Le malware installe un mot de passe universel contenant "disco" et place des hooks dans l'espace mémoire IOSd, créant des composants sans fichier disparaissant au redémarrage.
L'équipe sécurité de Microsoft Edge annonce des restrictions d'accès au mode Internet Explorer suite à l'exploitation active de vulnérabilités zero-day dans le moteur JavaScript Chakra depuis août 2025. Les attaquants utilisaient l'ingénierie sociale pour convaincre les victimes de recharger des pages en mode IE, exploitaient Chakra pour exécution de code à distance puis élevaient leurs privilèges hors du navigateur.
Articles
InfoGuard Labs dévoile de multiples vulnérabilités dans la communication entre Defender for Endpoint et ses services cloud. Un bon aperçu du fonctionnement de la communication cloud de Defender for Endpoint, mais difficile à utiliser opérationnellement car modifier la validation de certificats de MsSense.exe déclencherait probablement des alarmes. Cependant, la capacité d'interroger le cloud pour obtenir les exclusions est très utile et non corrigée.
SpecterOps démontre que malgré le correctif Microsoft pour BadSuccessor, l'abus des dMSA reste possible pour prendre le contrôle de tout objet avec privilège d'écriture. La technique BadTakeover nécessite WriteProperty sur msDS-SupersededManagedAccountLink et msDS-SupersededServiceAccountState de l'objet cible, plus CreateChild sur une OU avec au moins un contrôleur Windows Server 2025.
Invictus-IR détaille les tactiques actuelles des attaquants dans les incidents de Business Email Compromise (BEC). Les incidents de BEC sont courants et commencent généralement par un email suspect contenant un PDF avec un lien vers une fausse page de connexion Microsoft 365, piégeant la victime qui fournit ses identifiants et détails MFA.
Un chercheur publie Parallax, une recherche démontrant la détection des attaques Kerberos via l'analyse de trafic réseau utilisant des signatures IDS Suricata. L'approche se concentre sur la détection d'énumération d'utilisateurs, de bruteforce, de Kerberoasting et d'AS-REP Roasting en analysant les séquences d'octets dans les paquets Kerberos.
Des chercheurs démontrent une attaque logique contournant la revue humaine et les garde-fous de Claude Skills en utilisant du texte blanc sur fond blanc dans un PDF de référence. L'attaque cible un skill "Financial Templates" apparaissant légitime lors de l'inspection manuelle. Le PDF contient des instructions invisibles modifiant l'email et le téléphone de contact dans les factures générées. L'agent lit le document complet incluant le texte invisible et traite la "correction" comme instruction valide haute priorité.
SpecterOps publie PingOneHound, une extension OpenGraph pour BloodHound Community Edition permettant la découverte, l'analyse, l'exécution et la remédiation de chemins d'attaque basés sur l'identité dans les instances PingOne.
Sean Metcalf d'ADSecurity partage les configurations Entra ID essentielles pour améliorer rapidement la posture de sécurité, basé sur sa présentation BSides NoVa 2025. L'article couvre :
les configurations par défaut des utilisateurs,
les paramètres par défaut des invités,
le consentement et permissions des applications utilisateur,
la sécurisation des rôles Entra ID,
la protection des membres de rôles privilégiés,
les configurations de groupes assignables aux rôles,
les applications hautement privilégiées,
les stratégies d'accès conditionnel,
l'accès partenaire et la sécurisation d'Entra Connect.
Un développeur raconte comment il a failli exécuter un malware caché dans un faux test de recrutement blockchain. Contacté via LinkedIn par un profil apparemment légitime de Symfa avec 1000+ connexions, il reçoit un dépôt Bitbucket professionnel contenant du code React/Node pour évaluation. Pressé par le temps avant l'entretien, il demande à son assistant IA Cursor de scanner le code pour détecter des patterns suspects. L'IA identifie du code obfusqué récupérant et exécutant un payload permettant de distribuer un malware volant cryptowallets, fichiers, mots de passe et données.
Synacktiv publie une analyse technique sur l'hybridation des mécanismes d'encapsulation de clés (KEM) combinant schémas classiques et post-quantiques pour la transition cryptographique.
Outils
Surveyor, un outil avancé d'analyse du noyau Windows et de profilage système offrant une visibilité complète sur les callbacks du noyau, sessions ETW, analyse de drivers et état système via API userland et intégration optionnelle de driver noyau.
KrakenHashes est un système de cassage de mots de passe distribué coordonnant les ressources GPU/CPU à travers multiples agents pour cassage plus rapide via Hashcat.
IsLegitSite propose un outil de sécurité gratuit permettant de vérifier la réputation d'un site web inconnu en centralisant toutes les informations nécessaires pour prendre la bonne décision. L'outil est alimenté par l'API Site Trustworthiness d'APIVoid.
YAMS est une bibliothèque Go, serveur et CLI permettant de simuler l'accès aux politiques IAM AWS. L'outil permet de tester et valider les configurations de politiques IAM en simulant différents scénarios d'accès sans nécessiter d'exécution réelle dans l'environnement AWS.
MFASweep est un script PowerShell tentant de se connecter à divers services Microsoft avec des identifiants fournis pour identifier si le MFA est activé. Selon les stratégies d'accès conditionnel et paramètres MFA, certains protocoles peuvent rester en authentification simple facteur. L'outil teste Microsoft Graph API, Azure Service Management API, Exchange Web Services, le portail web Microsoft 365 avec 6 types d'appareils, ActiveSync et ADFS.
MCP Snitch est une application macOS qui intercepte et surveille les communications des serveurs MCP, fournissant une analyse de sécurité (utilise l'IA pour détection de menaces et détection basée sur patterns pour données sensibles comme clés SSH, identifiants, fichiers système), contrôle d'accès et journalisation d'audit pour l'utilisation d'outils IA.
Sketchy est un scanner de sécurité multiplateforme qui vérifie les dépôts, packages et scripts pour patterns malveillants avant de les exécuter. Sketchy détecte plus de 25 types de comportements suspects incluant remplacements de commandes, patterns d'exécution de code, reverse shells, vol d'identifiants, accès métadonnées cloud, mineurs de cryptomonnaies, etc. Patterns de détection inspirés de l’outil GuardDog de DataDog.
Spotter est un scanner de sécurité Kubernetes complet utilisant des règles basées sur CEL pour identifier les mauvaises configurations de sécurité, vulnérabilités et problèmes de conformité dans les clusters et manifestes Kubernetes.
KIEMPossible est un outil simplifiant la gestion des droits d'infrastructure Kubernetes en permettant la visibilité des permissions et leur utilisation à travers le cluster pour application réelle du principe de moindre privilège. L'outil ingère les logs d'audit Kubernetes depuis AWS EKS, Azure AKS, GCP GKE ou déploiements locaux, analyse les permissions définies via Roles/ClusterRoles/RoleBindings/ClusterRoleBindings et corrèle avec l'utilisation réelle pour identifier les permissions non utilisées et dangereuses.
CISA publie Logging Made Easy (LME), une plateforme open source gratuite centralisant la collecte de logs, améliorant la détection de menaces et activant l'alerte temps réel pour aider les organisations petites et moyennes à sécuriser leur infrastructure. LME intègre les outils open source de Wazuh et Elastic avec ElastAlert pour précision de détection améliorée et alerte temps réel.
Le dépôt de longue date d'ESET d'IOC de malware est basé sur les articles de blog et investigations qu'ils ont réalisés au fil des ans. C'est intéressant de voir des commits remontant à près d'une décennie. Chaque sous-répertoire a un README décrivant la famille de malware et contient les IOC associés.
Podcasts / Vidéos
🎬 ARTE - L’intelligence artificielle, un tsunami sur le web
🎬 WIRED - I Cheated At Poker By Hacking A Casino Card Shuffling Machine. Le chercheur Joseph Tartaro démontre le piratage du mélangeur de cartes Deckmate 2
🎧️ Le monde de la cyber - La Marine face aux cybermenaces
Conférences / Salons
🗓️ Unlock your brain (UYBHYS) - Le 7 et 8 novembre 2025 à Brest, France
🗓️ European Cyber Week (ECW) - Du 17 au 20 novembre 2025 à Rennes, France
🎤 Vidéos des talks de la DEF CON 33 sont disponibles.
Finances / Marché
🤝 Veeam acquiert Securiti AI pour 1,7 Md$ et ajoute des capacités DSPM et de protection de la vie privée au portefeuille de sauvegarde de Veeam.
🤝 Dataminr acquiert ThreatConnect (290M$) et ajoute des capacités d'automatisation de threat intelligence et de plateforme TIP.
Misc
OpenAI dévoile ChatGPT Atlas, navigateur web basé sur Chromium intégrant nativement l'IA générative pour transformer la navigation Internet.
Waymo annonce le lancement d'un service commercial de robotaxis à Londres en 2026, marquant sa deuxième expansion internationale après Tokyo. Les véhicules électriques Jaguar I-Pace équipés de la technologie de conduite autonome commenceront à circuler sur les routes londoniennes dans les semaines à venir avec conducteurs de sécurité, avant les tests sans conducteur et l'ouverture publique.
Les patchs KB5066835 et KB5065789 d'octobre provoquent une panne majeure du composant kernel HTTP.sys empêchant Windows 11 d'établir des connexions vers 127.0.0.1 en HTTP/2. Les connexions localhost échouent systématiquement impactant les développeurs utilisant Visual Studio pour le debug, SQL Server Management Studio avec authentification Entra ID, l'application 2FA Duo Desktop et Autodesk Vault.
Steam établit un nouveau record avec 41 666 455 joueurs connectés simultanément le 12 octobre à 16h heure française, doublant les 20 millions enregistrés début 2020. La barre des 40 millions avait déjà été franchie en mars, avril et juin 2025. Battlefield 6, sorti une semaine avant le record, atteint 747 440 joueurs simultanés et se positionne quatrième titre le plus populaire derrière Counter-Strike 2, Dota 2 et PUBG. Les statistiques matérielles révèlent que 95,40% des joueurs utilisent Windows, avec 32% encore sous Windows 10 en septembre 2025 malgré la fin du support approchant. Linux représente 2,68% des utilisateurs.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien