- Erreur 403
- Posts
- Erreur 403 | #49
Erreur 403 | #49
Bug Windows 10 affichant une fausse fin de support, révélations sur les capacités d'extraction de Cellebrite, phishing LinkedIn contournant le MFA Microsoft, abandon du projet Chat Control en Europe, patch WSUS créant une nouvelle faille, MITRE ATT&CK v18 dévoilé, TOP 10 des vulnérabilités d'octobre 2025, etc.
Bastien Cacace
6th novembre 2025
Sommaire
Infos
Microsoft a confirmé un bug affectant Windows 10 22H2 (éditions Pro, Education, Enterprise) qui affiche faussement un message de fin de support malgré des abonnements Extended Security Updates actifs ou l'utilisation de versions LTSC officiellement supportées jusqu'en 2027 ou 2032. L'erreur provient de la mise à jour KB5066791 du 14 octobre 2025. Les appareils continuent néanmoins de recevoir les mises à jour de sécurité.
Le district de Jamtara en Inde est devenu connu au travers d'escroquerie massive sur Internet. Pendant 15 ans, de jeunes habitants armés de smartphones ont perfectionné l'art de vider les comptes bancaires, générant une richesse spectaculaire dans des zones rurales. L'expression "être Jamtara-é" désigne désormais se faire arnaquer. Netflix a même produit une série sur le phénomène 🍿. Les arrestations sont fréquentes, mais les libérations sous caution rapides.
Un utilisateur anonyme a infiltré une réunion Teams réservée aux forces de l'ordre et révélé les capacités de Cellebrite en octobre 2025. L'outil peut extraire des données de la plupart des téléphones Google Pixel (de 6 à 9), sauf ceux exécutant GrapheneOS, un OS alternatif plus sécurisé. Pour les appareils déverrouillés, l'accès complet au système de fichiers n'est plus possible. En mode BFU (Before First Unlock), l'extraction fonctionne jusqu'aux correctifs de sécurité 2022. Les données applicatives restent inaccessibles sur les appareils déverrouillés. 404 Media a rapporté l'histoire, mais leur article est payant. Je vous mets donc le post du forum qui est la source de l'histoire.
Oleksii Lytvynenko a été extradé vers les États-Unis pour son implication présumée dans le ransomware Conti. Entre 2020 et juin 2022, il aurait été impliqué dans le déploiement de Conti afin d'extorquer des victimes et voler leurs données, gérant notamment les données volées et les demandes de rançon. Conti aurait permis d'extorquer environ 150 millions de dollars provenant de victimes dans presque tous les États américains et plus de deux douzaines de pays.
Push Security a intercepté une attaque de phishing via LinkedIn utilisant de multiples techniques d'évasion. L'attaque commence par un message privé LinkedIn contenant un lien malveillant menant à trois redirections (via Google Search puis un domaine .icu) avant d'atteindre une page hébergée sur Firebase. La page imite une mire d’authentification Microsoft et utilise Cloudflare Turnstile comme protection contre les bots. Il s'agit d'une attaque AITM (Adversary-in-the-Middle) capable de voler les sessions Microsoft malgré l'authentification multifacteur. LinkedIn devient un point d'entrée privilégié, car il échappe aux contrôles de sécurité email traditionnels.
L'autorité australienne de la concurrence poursuit Microsoft pour avoir induit en erreur 2,7 millions d'abonnés sur les options Microsoft 365. Microsoft aurait informé les clients qu'ils devaient soit accepter l'intégration de Copilot à des prix majorés (45% pour le plan Personnel, 29% pour le plan Familial), soit annuler leur abonnement, dissimulant l'existence de plans "Classic" maintenant les fonctionnalités sans Copilot au prix antérieur 🤓.
La présidence de l'Union européenne a renoncé le 30 octobre au projet Chat Control, faute de majorité. Cette mesure controversée prévoyait d'imposer aux éditeurs de messageries comme WhatsApp ou Telegram de scanner les conversations privées pour détecter du contenu pédopornographique. L'Allemagne s'était opposée publiquement début octobre, jugeant l'atteinte à la vie privée disproportionnée. Le texte se limite désormais à permettre aux entreprises volontaires de procéder à ce contrôle.
F5 a découvert une intrusion le 9 août 2025 et l'a révélée le 15 octobre, soit deux mois après détection. L'attaquant a accédé à des segments de code source BIG-IP, des données de configuration client et 44 vulnérabilités non divulguées. F5 affirme qu'un faible pourcentage de clients est impacté, et que les données de configuration volées présentent un risque minimal selon les retours clients. NCC Group et IOActive n'ont trouvé aucune vulnérabilité critique dans le code source volé.
Ribbon Communications, fournisseur américain de technologies backbone pour réseaux de télécommunications, a été compromis par un groupe d’attaquants probablement lié à un état. La société fournit des solutions pour BT, Verizon, Deutsche Telekom, CenturyLink, le Département de la Défense américain et la ville de Los Angeles. L'accès non autorisé a été découvert début septembre 2025, mais l'intrusion pourrait remonter à décembre 2024. Plusieurs fichiers clients stockés sur deux ordinateurs portables hors du réseau principal semblent avoir été consultés. Les clients impactés ont été notifiés. Le profil de l'attaque suggère la Chine comme suspect probable.
Vulnérabilités
Cinq vulnérabilités critiques affectant notamment Qnap NetBak PC Agent, Mozilla Firefox ou encore Apache Tomcat. Aucune d’entres elle n’a de PoC ni de preuve d’exploitation publique.
Sur ces 7 derniers jours, la CISA a ajouté 4 vulnérabilités exploitées :
CVE-2025-11371 : vulnérabilité d'accès à des fichiers ou répertoires par des parties externes dans Gladinet CentreStack et Triofox
CVE-2025-48703 : vulnérabilité d'injection de commandes OS dans CWP Control Web Panel
CVE-2025-24893 : vulnérabilité d'injection eval dans XWiki Platform
CVE-2025-41244 : vulnérabilité de privilèges définis avec des actions non sécurisées dans Broadcom VMware Aria Operations et VMware Tools
L’analyse de la CVE-2025-59287 dans Microsoft WSUS a révélé une découverte surprenante : c’est le Patch Tuesday d'octobre 2025 qui a introduit une nouvelle vulnérabilité SoapFormatter 🫣. L'analyse du correctif montre que Microsoft a migré vers .NET 8, remplaçant BinaryFormatter par un désérialiseur SOAP personnalisé. Ce nouveau mécanisme contenait lui-même une faille de désérialisation non sécurisée.
Imperva a découvert la CVE-2025-62725, une vulnérabilité importante (CVSS 8.9) dans Docker Compose permettant l'écriture de fichiers arbitraires sur le système hôte. La faille exploite le support OCI pour les artefacts Compose : un attaquant peut manipuler les annotations de couches OCI pour effectuer un path traversal sortant du répertoire cache. L'exploitation est déclenchée par des commandes apparemment inoffensives comme "docker compose ps" ou "docker compose config" qui forcent la résolution des artefacts distants. La preuve de concept cible ~/.ssh/authorized_keys pour injecter une clé SSH publique.
Selon vulnerability-lookup.org
Trail of Bits révèle des vulnérabilités (CVE-2025-59054, CVE-2025-58356) dans huit systèmes de confidential computing utilisant LUKS2 pour le chiffrement disque. Huit projets affectés incluent Oasis Protocol, Phala Network, Flashbots TDX, Secret Network, Fortanix Salmiac, Edgeless Constellation, Edgeless Contrast et Cosmian VM.
Le MITRE a dévoilé ATT&CK v18 en octobre 2025 avec des modifications significatives dans la partie défensive du framework. Deux nouveaux objets apparaissent dans les détections : Detection Strategies (approches haut niveau pour détecter des techniques) et Analytics (logique de détection spécifique aux plateformes).
Articles
Un pentesteur de SpecterOps raconte comment une simple erreur typographique a failli détruire le rôle Global Admin d'Entra 💥. Lors d'un test d'intrusion externe, l'équipe a compromis des secrets d'applications Entra et utilisé BloodHound Enterprise pour cartographier un chemin vers Global Admin en deux commandes. Après obtention de l'accès GA avec l'accord du client, le nettoyage a tourné au cauchemar : une commande DELETE sur l'API /directoryRoles sans le paramètre $ref a supprimé le service principal au lieu de retirer l'appartenance au rôle.
Lexfo présente une méthodologie pour intercepter des connexions BLE établies via SDR HackRF One malgré le frequency hopping. L'approche surmonte trois défis : la différence de puissance d'émission entre les deux extrémités, la latence USB empêchant l'écoute simultanée de tous les canaux, et la déduction du schéma de hopping sans voir la trame d'initiation de connexion.
Ce document de SpecterOps de 150 pages 🤯 est consacré à l’objet AdminSDHolder conçu pour protéger les comptes privilégiés via un descripteur de sécurité restrictif. Contrairement à la croyance répandue, SDProp n'est pas lié à AdminSDHolder. La tâche ProtectAdminGroups s'exécute toutes les 60 minutes sur le contrôleur PDC Emulator, comparant les descripteurs binaires et les remplaçant entièrement si différents. L'attribut adminCount n'est pas le déclencheur, mais le résultat de cette protection.
Trail of Bits explique le fonctionnement des passeports électroniques, leurs menaces et protections cryptographiques. Les passeports eMRTD contiennent une puce avec système de fichiers, contrôles d'accès et support de plusieurs protocoles cryptographiques. Ils stockent numériquement les données personnelles imprimées et utilisent la cryptographie contre la lecture non autorisée, l'écoute, la contrefaçon et la copie. L'article détaille les différents protocoles utilisés.
Ce guide, co-édité par plusieurs agences (NSA, CISA, ASD's ACSC, Cyber Centre canadien), fournit des pratiques de sécurité pour durcir Microsoft Exchange Server on-premises. Il couvre la configuration sécurisée, la gestion des correctifs, la surveillance, la réponse aux incidents et l'architecture réseau. Les recommandations incluent :
la désactivation des protocoles legacy
l'implémentation de l'authentification multifacteur
la séparation réseau
la journalisation étendue
les audits réguliers de configuration
SpecterOps présente de nouvelles techniques de dumping de credentials sur Windows 11 et Server 2025 avec Credential Guard activé. Credential Guard utilise Virtualization-Based Security pour isoler les secrets, rendant Mimikatz inefficace. La recherche révèle des méthodes pour interagir avec Credential Guard et extraire des secrets malgré les protections modernes. L'article détaille le fonctionnement de LSA, des Security Support Providers, de l'interface SSPI et des mécanismes de Credential Guard. Les nouvelles techniques exploitent des vecteurs d'attaque non documentés pour réaliser des opérations post-exploitation sur des environnements Windows entièrement patchés avec protections activées.
Outils
OnlyShell est un gestionnaire de reverse shell multi-connexions en Go. Il détecte automatiquement le type de shell (bash, PowerShell, cmd), supporte plusieurs listeners simultanés sur différents ports et permet de backgrounder des shells sans perdre la connexion.
ADCSDevilCOM est un outil C# permettant de requêter des certificats X.509 depuis une CA ADCS à distance en utilisant le protocole MS-WCCE sur DCOM via SMB. L'outil contourne l'endpoint mapper traditionnel en utilisant SMB directement. Les scénarios d'attaque incluent ESC1, ESC6 et la persistance via certificats longue durée.
Proton a ouvert son observatoire de violations. Ce site collecte des informations sur les violations affectant les entreprises qui n'ont pas encore rendu publique la compromission.
Cisco AI Defense propose mcp-scanner, un outil Python pour scanner les serveurs et outils MCP à la recherche de vulnérabilités. Le scanner combine trois moteurs : règles YARA, LLM-as-a-judge et l'API Cisco AI Defense inspect.
Undelete est un outil JavaScript qui permet de récupérer des packages NPM supprimés en vérifiant les miroirs secondaires et en extrayant les fichiers de leurs caches. Il peut télécharger 1-20 versions récentes et récupérer des métadonnées précieuses incluant noms d'utilisateur NPM, emails et mainteneurs, utile pour obtenir des exemples de malwares qui ne sont plus en ligne.
NextjsServerActionAnalyzer est une extension Burp Suite pour analyser les Server Actions Next.js, ces fonctions côté serveur identifiées par hash IDs et headers Next-Action. L'extension détecte automatiquement les Server Actions depuis l'historique proxy ou la navigation live, extrait les noms réels de fonctions depuis les chunks JavaScript, effectue des analyses de sécurité (auth manquante, paramètres sensibles, erreurs, IDORs).
osdfir-infrastructure simplifie le déploiement d'outils DFIR open source dans des clusters Kubernetes via Helm. Supporte actuellement Timesketch pour l'analyse de timeline forensic collaborative, Yeti pour le tracking DFIR et threat intelligence, OpenRelik (plateforme qui rationalise les investigations forensics collaboratives), GRR pour la réponse aux incidents et forensics live à distance, Hashr pour créer vos propres hash sets, et dfTimewolf pour orchestrer la collecte forensic.
Conférences / Salons
🗓️ European Cyber Week (ECW) - Du 17 au 20 novembre 2025 à Rennes, France
🗓️ Cyb'air Sud - Le 25 novembre 2025 à Salon-de-Provence, France
🗓️ GreHack - Du 28 au 29 novembre 29 2025 à Grenoble, France
Finances / Marché
🤝 Jamf, plateforme américaine de gestion des appareils mobiles (MDM), a été acquise par Francisco Partners pour 2,2 milliards de dollars.
Misc
Un chercheur a piégé les scrapers IA qui ont requis un fichier JavaScript n'existant que dans un commentaire HTML, prouvant qu'ils parsent le HTML comme texte au lieu de le rendre correctement comme de vrais navigateurs.
L'extension .com fête ses 40 ans. En 1983, Paul Mockapetris invente le DNS à USC pour mapper noms et adresses IP. Les six TLD originaux (.com, .org, .net, .edu, .gov, .mil) sont définis en octobre 1984 dans RFC 920, cinq ans avant le Web. Le premier domaine symbolics.com est enregistré le 15 mars 1985.
Un bloggeur spécialisé sur Kubernetes documente 93 façons différentes de déployer Kubernetes dans un Google Sheet. Le tableau catégorise les solutions en Kubernetes sur desktop, Infrastructure as Code, Kubernetes in Kubernetes, OS spécialisés, plateformes managées cloud, plateformes de management de clusters et outils d'automatisation self-hosted. La majorité des outils sont des surcouches de trois solutions de base (kubeadm, k3s, k0s).
Dockge est un projet open-source proposant une alternative à Portainer centrée exclusivement sur la gestion de stacks Docker Compose. Contrairement à Portainer qui vise l'administration Docker complète, Dockge travaille directement sur les fichiers docker-compose.yml sans base de données intermédiaire. L'interface épurée permet de consulter et modifier les variables d'environnement depuis les fichiers .env détectés automatiquement.
Une enquête révèle comment des données publicitaires géolocalisées issues d'applications mobiles ont permis de tracer plusieurs dignitaires de l'Union européenne jusqu'à leur domicile. Plus de 2,5 millions d'identifiants publicitaires belges ont été analysés, révélant 264 identifiants au Berlaymont et 756 au Parlement européen. Cette situation illustre les failles du RGPD et de la directive vie privée face à l'écosystème publicitaire mobile. Les données s'échangent via des enchères publicitaires sans véritable consentement éclairé des utilisateurs. L'autorité berlinoise de protection des données préconise une régulation plus stricte du pistage publicitaire au-delà du Digital Services Act.
Le 24 octobre 2025, l'école de droit de l'Université de Caroline du Nord a mené un procès fictif où ChatGPT, Grok et Claude ont remplacé les jurés humains. L'affaire concernait Henry Justus, un lycéen afro-américain accusé de vol à main armée, inspirée d'un véritable cas défendu par le professeur Joseph Kennedy. Le jury IA a acquitté l'accusé, un dénouement jugé plus juste que la condamnation historique. Les chatbots ont été salués pour leur fidélité au droit, mais critiqués pour leur absence d'expérience terrain et leur incapacité à lire le langage corporel. Le professeur Kennedy a conclu que la plupart des participants sont repartis convaincus que les procès avec jurés chatbots n'étaient pas une bonne idée.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien