- Erreur 403
- Posts
- Erreur 403 | #48
Erreur 403 | #48
Nouvelle attaque France Travail via infostealers, vulnérabilité critique WSUS exploitée massivement, retour du spyware Dante (ex-Hacking Team), failles des navigateurs IA, cyberattaque JLR record à 2,5 milliards $, vol de secrets 0day L3Harris vendus à la Russie, 1M$ de récompenses au Pwn2Own et l'exploit WhatsApp non divulgué, etc.
Bastien Cacace
30th octobre 2025
Sommaire
Infos
France Travail a subi lundi une cyberattaque indirecte via des logiciels malveillants de type infostealer installés sur les ordinateurs personnels de demandeurs d'emploi. Selon les premières investigations, des données ont été extraites, mais le volume exact et la nature des informations dérobées restent à confirmer. Le groupe de cybercriminels Stormous a revendiqué l'attaque sur le darkweb, affirmant avoir compromis les données de plus de 30 000 inscrits. Cette nouvelle violation intervient après la cyberattaque massive de mars 2024 qui avait touché potentiellement 340 000 demandeurs d'emploi.
La Fédération Française de Tir a détecté le 20 octobre 2025 une intrusion non autorisée sur son système ITAC, survenue entre le 18 et 20 octobre. ITAC et EDEN ont été déconnectés immédiatement. L'ANSSI, la CNIL ont été informées et une plainte déposée. L'incident a exposé numéros de licence, états civils, adresses postales, emails et téléphones des licenciés concernés.
Le successeur de HackingTeam lié aux récentes zero-days Chrome. Des chercheurs de Kaspersky ont découvert un spyware commercial nommé Dante, développé par Memento Labs, anciennement Hacking Team. Ce malware a été utilisé dans des attaques ForumTroll ciblant des médias, universités, centres de recherche et organisations gouvernementales en Russie et Biélorussie. Dante exploite une zero-day Chrome (CVE-2025-2783) pour échapper au sandbox et déploie l'agent LeetAgent.
Les nouveaux navigateurs IA comme OpenAI Atlas présentent des vulnérabilités d'injection de prompts, directes et indirectes. Des chercheurs de Brave ont découvert que les navigateurs Comet et Fellou exécutaient des instructions cachées dans des images ou du texte invisible lors de la synthèse de pages web, permettant l'exfiltration de données Gmail. Atlas est également vulnérable aux injections via URLs invalides dans la barre d'adresse et aux attaques CSRF affectant la mémoire de ChatGPT. Plus besoin pour les attaquants de trouver un exploit dans les navigateurs pour collecter des données confidentielles 😌.
Google annonce que Chrome 154, prévu pour octobre 2026, activera par défaut l'option "Always Use Secure Connections". Cette fonctionnalité forcera les connexions HTTPS systématiquement, renforçant la sécurité des utilisateurs contre les attaques man-in-the-middle et l'écoute passive. Le déploiement s'effectuera progressivement sur un an pour permettre aux sites web de s'adapter.
Unit 42 attribue au groupe Smishing Triad une vaste campagne de smishing usurpant l'identité de services internationaux dans les secteurs bancaires, santé, e-commerce et les forces de l'ordre. Depuis janvier 2024, 194 000 domaines malveillants ont été identifiés, enregistrés via un registrar hongkongais mais hébergés principalement sur des services cloud américains. Les SMS créent un sentiment d'urgence pour voler numéros d'identification nationaux, adresses, détails de paiement et identifiants. L'infrastructure décentralisée renouvelle des milliers de domaines hebdomadairement.
Cisco Talos a observé une activité accrue d'acteurs malveillants exploitant Direct Send dans des campagnes de phishing. Direct Send permet aux appareils hérités d'envoyer des emails sans authentification robuste, contournant les vérifications DKIM, SPF et DMARC. Les attaquants usurpent l'identité d'utilisateurs internes et de cadres avec des leurres incluant QR codes et pièces jointes obfusquées.
Le concours de hacking Pwn2Own Ireland 2025 s'est achevé avec 1 024 750 $ attribués pour 73 zero-days uniques. La Summoning Team a remporté le titre de Master of Pwn. Parmi les exploits notables : une prise de contrôle du Samsung Galaxy S25 par Interrupt Labs (50 000 $), et des vulnérabilités sur Ubiquiti AI Pro et Phillips Hue Bridge. L'événement a été marqué par le retrait du chercheur Eugene (Team Z3) qui devait présenter un exploit WhatsApp zero-click d'une valeur d'un million de dollars 🫣. Trend Micro ZDI a indiqué que l'équipe estimait sa recherche non prête pour démonstration publique, mais facilite une divulgation coordonnée à Meta.
2,5 milliards de dollars 😵💫! C’est le coût estimé de la cyber-attaque contre Jaguar Land Rover imputé l'économie britannique, en faisant l'incident cyber le plus coûteux du Royaume-Uni. L'attaque a paralysé la production mondiale pendant plus d'un mois, impactant plus de 5 000 organisations via la supply chain. JLR représente 4% des exportations britanniques, créant une "onde de choc cyber" menaçant des milliers d'emplois.
Le groupe d’attaquants nord-coréen Lazarus a compromis trois entreprises européennes du secteur défense via la campagne Operation DreamJob fin mars. ESET a identifié des cibles incluant une société d'ingénierie métallurgique en Europe du Sud-Est et deux entreprises centre-européennes fabriquant pièces aéronautiques et technologies de défense, toutes impliquées dans la technologie UAV (drones) déployée en Ukraine. Les attaquants ont utilisé des leurres de recrutement fictifs avec des applications open-source compromises (MuPDF, Notepad++, WinMerge, TightVNC).
Check Point avec un rapport important sur ce qu'ils appellent le "YouTube Ghost Network", une opération coordonnée de distribution de malware utilisant plus de 3 000 vidéos malveillantes pour propager des infostealers. Le réseau est actif depuis au moins 2021, mais l'activité a triplé en 2025 suite à l'augmentation de l'efficacité. Le réseau cible principalement les catégories "Game Hacks/Cheats" et "Software Cracks/Piracy", avec la vidéo la plus vue (Adobe Photoshop gratuit) atteignant 293 000 vues. Les comptes compromis jouent trois rôles :
upload de vidéos phishing,
publication de posts avec liens/mots de passe
engagement positif via likes/commentaires.
Le FBI a inculpé Peter Williams, ancien patron de la division Trenchant de L3Harris, qui construit des outils de hacking sophistiqués pour les agences de renseignement Five Eyes. Williams aurait dérobé huit secrets commerciaux et les aurait vendus à la Russie pour 1,3 million de dollars entre 2022 et août dernier. Quand on parle de secrets commerciaux, on parle d’exploit 0day 🧨.
Forbes rapporte qu'une énorme fuite d'identifiants Gmail est disponible sur le dark web, bien qu'il s'agisse probablement d'une compilation d'anciennes violations plutôt qu'un nouveau piratage de Google.
Des chercheurs ont découvert une vulnérabilité critique dans le site de catégorisation des pilotes de la FIA permettant l'élévation de privilèges au niveau admin. Cela a permis l'accès à des documents sensibles incluant passeports, PII et communications pour des pilotes F1 comme Max Verstappen via une simple manipulation de requête HTTP PUT.
Vulnérabilités
Une vulnérabilité critique (CVE-2025-59287 / CVSS 9.8) affecte Windows Server Update Services sur les versions 2012 à 2025. La faille provient d'une désérialisation non sécurisée d'objets AuthorizationCookie via l'endpoint GetCookie(), où les données chiffrées sont déchiffrées puis désérialisées sans validation de type, permettant l'exécution de code avec privilèges SYSTEM. Google Threat Intelligence Group confirme l'exploitation active par l'acteur UNC6512 visant plusieurs organisations avec reconnaissance réseau et exfiltration. Trend Micro détecte 100 000 tentatives d'exploitation en sept jours sur 500 000 serveurs exposés. Microsoft a publié un patch d'urgence après qu'un premier correctif s'est révélé incomplet #SharePointSyndrome. Si l'installation n'est pas possible, Microsoft recommande de désactiver la fonctionnalité ou de restreindre l'accès aux ports 8530 et 8531.
Quatre vulnérabilités critiques, dont la CVE-2025-59503 (Azure SSRF) et la CVE-2025-55315 (Tenable Identity Exposure). Aucune d’elles n’a de PoC ou d’exploitation recensée.
Le bulletin souligne également la criticité de la CVE-2025-59287 affectant WSUS (cf. ci-dessus).
Sur ces 7 derniers jours, la CISA a ajouté 4 vulnérabilités exploitées :
CVE-2025-6205 : vulnérabilité d'autorisation manquante dans Dassault Systèmes DELMIA Apriso
CVE-2025-6204 : vulnérabilité d'injection de code dans Dassault Systèmes DELMIA Apriso
CVE-2025-59287 : vulnérabilité de désérialisation de données non fiables dans Microsoft Windows Server Update Service (WSUS)
CVE-2025-54236 : vulnérabilité de validation d'entrée incorrecte dans Adobe Commerce et Magento
L'équipe de prévision des vulnérabilités de FIRST estime que 12 972 nouvelles CVE seront publiées par NVD au quatrième trimestre 2025.
Sansec Shield a bloqué les premières attaques réelles exploitant SessionReaper (CVE-2025-54236) après qu'Assetnote a publié une analyse technique détaillant la faille de désérialisation imbriquée permettant RCE sur Magento. Six semaines après le patch d'urgence d'Adobe en septembre, seuls 38% des boutiques sont protégées, laissant 62% vulnérables.
Articles
iVerify révèle qu'iOS 18 réécrit le fichier shutdown.log après chaque redémarrage au lieu d'ajouter les nouvelles entrées, effaçant les indicateurs de compromission historiques de Pegasus et Predator. Les utilisateurs doivent sauvegarder un sysdiagnose avant mise à jour iOS 18 pour préserver les preuves potentielles d'infection spyware.
SANS ISC documente une technique de phishing exploitant le trait d'union conditionnel (soft hyphen, Unicode U+00AD) dans les objets d'emails pour contourner les filtres anti-spam. Outlook et la plupart des clients email ne rendent pas ces caractères visibles, affichant un texte normal à l'utilisateur. Microsoft Threat Intelligence mentionnait cette technique en 2021 mais son application aux sujets d'emails reste peu documentée.
Synacktiv révèle la CVE-2023-40129, une vulnérabilité dans le serveur GATT de la pile Bluetooth Android (Fluoride).
L'article décrit une technique d'extraction de clés de chiffrement BitLocker sur un ordinateur portable HP ProBook protégé par code PIN. L'attaque requiert un accès physique à la machine et la connaissance du PIN utilisateur. En interceptant les communications entre le processeur et la puce TPM via le bus SPI, l'attaquant capture les échanges cryptographiques lors du déverrouillage. Ces données capturées permettent ensuite de recalculer les clés intermédiaires et finalement de déchiffrer le disque. Bien que complexe, cette méthode illustre les risques d'une compromission physique même avec BitLocker activé.
Cet article technique examine le fonctionnement de Windows 11 sur les nouveaux processeurs ARM64, notamment les Qualcomm Snapdragon X Elite équipant les Surface Pro récents. Contrairement aux processeurs Intel classiques, l'architecture ARM organise les privilèges différemment avec des "niveaux d'exception" plutôt que des "rings". L'auteur détaille comment Windows gère la mémoire virtuelle sur ARM64, avec notamment deux racines de tables de pages séparées pour les espaces utilisateur et noyau.
SpecterOps démontre que Kerberoasting reste une menace même avec AES-256 activé, car il s'agit fondamentalement d'un problème de mots de passe faibles. Windows Server 2019+ empêche le client d'influencer le type de chiffrement du ticket, le DC choisissant le plus fort supporté par le compte service. AES-256 est désormais par défaut, et RC4 sera déprécié dans Server 2025. Casser AES-256 est un million de fois plus lent que RC4, rendant le brute-force pure infaisable pour mots de passe >7-8 caractères. Cependant, les attaques par dictionnaire avec des règles restent efficaces contre mots de passe faibles couramment observés sur comptes service. La force du mot de passe, non le type de chiffrement, constitue le véritable contrôle contre Kerberoasting.
Datadog Security Labs révèle CoPhish, une méthode exploitant les paramètres "Login" de Copilot Studio pour rediriger vers URLs arbitraires incluant des attaques OAuth consent. Les agents Copilot Studio (chatbots configurables) hébergés sur copilotstudio.microsoft.com semblent légitimes mais peuvent être exploités pour phishing.
Outils
Ce dépôt maintient un référentiel collaboratif d'artefacts forensiques numériques standardisés pour investigations multi-plateforme. Le projet définit plus de 700 artefacts au format YAML décrivant emplacements de fichiers, clés de registre, bases SQLite et artifacts Android/macOS/Windows/Linux.
Iam-collect automatise la collecte d'informations AWS IAM et génère des dumps JSON complets pour analyse de permissions et cartographie de privilèges. L'outil récupère utilisateurs, groupes, rôles, politiques, instance profiles, identity providers et MFA devices avec détails d'attachement.
rpc2efs exploite la coercion NTLM via MS-EFSR (Encrypting File System Remote Protocol) pour déclencher l'authentification d'un contrôleur de domaine vers un attaquant. Similaire à PetitPotam mais ciblant l'interface EFS, rpc2efs constitue une alternative après les mitigations Microsoft, exploitant des endpoints RPC différents pour atteindre le même objectif de relais d'authentification DC.
Gopengraph est une bibliothèque Go pour interagir avec l'API OpenGraph de BloodHound Community Edition, facilitant l'ingestion de données et génération de graphes d'attaque Active Directory. Le projet implémente les structures de données BloodHound v5+ incluant computer, user, group, GPO, OU, container, domain et trust objects avec leurs relations (MemberOf, AdminTo, HasSession, etc.).
Un honeypot pour détecter tentatives d'exploitation de la vulnérabilité critique WSUS CVE-2025-59287 permettant RCE non authentifiée (cf. section vulnérabilité). Le honeypot émule l'interface WSUS vulnérable, capture payloads de désérialisation malveillants et enregistre les tentatives d'exploitation incluant adresses IP sources, timestamps et chaînes d'exploitation.
Ce script PowerShell permet de découvrir configurations WSUS sur un réseau Active Directory. Particulièrement utile après découverte de la CVE-2025-59287, Find-WSUS aide les défenseurs à inventorier leur surface d'attaque WSUS et prioriser correctifs.
CVE2CAPEC traduit identifiants CVE en patterns CAPEC (Common Attack Pattern Enumeration and Classification), permettant le mapping vers techniques MITRE ATT&CK. L'outil résout la chaîne CVE → CWE → CAPEC → ATT&CK pour contextualiser vulnérabilités dans des scénarios d'attaque tactiques.
Deep-eye implémente un scanner de vulnérabilités dirigé par IA analysant applications web, APIs et code source pour identifier failles de sécurité. L'outil combine techniques de crawling, fuzzing et analyse statique avec modèles d'apprentissage pour détecter injections SQL, XSS, CSRF, expositions de données sensibles et mauvaises configurations. deep-eye génère rapports détaillés avec scores de sévérité, preuve de concept et recommandations.
Checkov scanne fichiers Infrastructure-as-Code (Terraform, CloudFormation, Kubernetes, Dockerfile, Helm, Serverless) pour identifier mauvaises configurations de sécurité avant déploiement. L'outil implémente plus de 1 000 politiques couvrant CIS Benchmarks, NIST, PCI-DSS, SOC 2 et HIPAA. Checkov détecte ressources cloud non chiffrées, groupes de sécurité trop permissifs, secrets hardcodés, comptes de service sur-privilégiés, etc.
Podcasts / Vidéos
🎬 MiCode - Un arnaqueur pro nous dévoile les pires scams de 2025.
🎧️ Purple Voice - Épisode hors-série sur Scattered Spider / Lapsus / ShinyHunters
Conférences / Salons
🗓️ Unlock your brain (UYBHYS) - Le 7 et 8 novembre 2025 à Brest, France
🗓️ European Cyber Week (ECW) - Du 17 au 20 novembre 2025 à Rennes, France
Finances / Marché
📈 Chainguard lève 280 millions de dollars pour sécuriser la supply chain open source.
🤝 Veeam acquiert Securiti AI, reconnu comme leader en Data Security Posture Management (DSPM), pour 1,725 milliard de dollars.
Un visuel Bloomberg illustre la nature circulaire des investissements dans l'écosystème IA, caractéristique d'une bulle spéculative. OpenAI achète des puces Nvidia, Nvidia investit dans OpenAI, Oracle loue des puces Nvidia à OpenAI, et OpenAI prend des participations dans AMD 🤓. Le grand gagnant pour le moment étant Nvidia !
Ce visuel de Bloomberg est excellent (et un peu terrifiant aussi)...
C'est l'explication de ce qu'est une bulle et là il s'agit d'une bulle dans l'IA. Quand les investissements deviennent circulaires, sans irriguer l'économie réelle
- OpenAI achète des puces Nvidia
- Nvidia— Gilles Babinet (@babgi)
8:47 PM • Oct 14, 2025
L'édition 2025 du panorama French Tech recense 18 000 start-ups actives créant 450 000 emplois directs, avec 56% des créations en région. Cependant, les financements restent concentrés en Île-de-France qui capte 47% des levées totales et 93% des financements IA. Les régions dominent l'early stage avec plus de 50% des opérations pre-seed, mais les séries C et au-delà privilégient massivement Paris (2,4 milliards sur 3,8 milliards levés). Les levées notables incluent MistralAI (1,7 milliard), Sipearl (130 millions) et Scintil en région (50 millions).
Misc
Counterpoint Research rapporte une croissance de 8,1% YoY des expéditions mondiales de PC au Q3 2025, portée par la fin de support Windows 10 en octobre 2025 et ajustements stratégiques d'inventaire liés aux tarifs d'importation américains. La deadline de fin de support Windows 10 devient également accidentellement le meilleur moteur de ventes d'Apple. Près de 40% de tous les PC fonctionnaient encore sous Windows 10 en octobre, forçant des mises à niveau massives qui ont poussé les expéditions Mac à +14,9%. Et cela arrive aussi à Linux !
Le Financial Times révèle une hausse des fraudes aux notes de frais générées par IA, selon AppZen et SAP Concur. Ramp a détecté plus d'un million de dollars de factures frauduleuses en 90 jours.
TrafficVision.live propose un agrégateur donnant accès à plus de 50 000 caméras de trafic en temps réel à travers la France, les États-Unis, le Canada, le Royaume-Uni et quelques autres pays. La plateforme offre des flux vidéo gratuits permettant la surveillance des conditions routières mondiales en direct.
Les journalistes Jarett Kobek et Richard Byrne ont résolu K4, le quatrième et dernier chiffrement de la sculpture Kryptos installée au siège CIA en 1990 par l'artiste Jim Sanborn. RR Auction, qui préparait la vente de la solution pour une somme allant de 300 000 à 500 000 dollars, menace d’une action en justice 💸.
Beszel fournit une plateforme légère de monitoring serveurs incluant statistiques Docker, données historiques et alertes configurables.
Un chercheur a découvert qu'Apple Wireless Direct Link (AWDL), la technologie sous-jacente à AirDrop, provoque des latences réseau importantes sur les réseaux Wi-Fi. Le chercheur explique qu'AWDL écoute constamment les demandes AirDrop et privilégie certains canaux Wi-Fi spécifiques. Lorsque le réseau utilise d'autres canaux, les appareils Apple basculent périodiquement vers ces canaux privilégiés pour écouter, créant des saccades rythmiques avec des latences variant entre 3 et 90 millisecondes. Le chercheur recommande d'utiliser les mêmes canaux qu'Apple pour éviter ces perturbations.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien