- Erreur 403
- Posts
- Erreur 403 | #50
Erreur 403 | #50
Patch Tuesday de novembre assez light, arsenal cyber chinois exposé, fraude massive aux cartes bancaires démantelée, Pegasus passe sous contrôle US, enceintes Bluetooth détournées pour voler des voitures, prévisions cyber 2026 de Google, etc.
Bastien Cacace
13th novembre 2025
Sommaire
Infos
Lorsqu'un iPhone est déclaré perdu via Find My App, les propriétaires ajoutent des informations de contact à l'écran de verrouillage. Les voleurs exploitent cette pratique en se faisant passer pour des personnes ayant retrouvé l'appareil, envoyant des messages avec des liens vers de fausses pages Apple . Les victimes saisissent leurs identifiants Apple ID, permettant aux attaquants de réinitialiser l'appareil et de contourner l'Activation Lock.
Une cyberattaque a exposé plus de 12 000 documents classifiés de Knownsec, entreprise pékinoise de cybersécurité affiliée au domaine militaire. Les données divulguées incluent des “armes cyber”, des outils internes et une liste de 80 cibles internationales compromises. Le butin contient également 95 Go de registres d'immigration indiens, 3 To d'enregistrements d'appels de l'opérateur sud-coréen LG U Plus et 459 Go de données de planification routière taïwanaises. Les documents ont été brièvement publiés sur GitHub avant leur suppression par la plateforme.
L'opération Chargeback coordonnée par Europol a conduit à l'arrestation de 18 personnes impliquées dans trois réseaux de fraude à la carte bancaire. Les criminels créaient 19 millions de faux abonnements à des services de streaming, rencontres et sites pornographiques, débitant environ 50 euros mensuels via des transactions diverses pour éviter la détection. Plus de 4,3 millions de porteurs de cartes dans 193 pays ont été affectés, avec des pertes dépassant 300 millions d'euros. Cinq cadres de prestataires de paiement allemands ont été arrêtés pour avoir facilité l'accès aux infrastructures de paiement.
NSO Group, éditeur israélien du logiciel espion Pegasus, a été acquis par un groupe d'investisseurs américains mené par le producteur hollywoodien Robert Simonds. David Friedman, ancien avocat de Donald Trump et ex-ambassadeur américain en Israël, devient directeur général. La nouvelle direction souhaite commercialiser les technologies de surveillance auprès des agences américaines d'application de la loi. Malgré la propriété américaine, NSO affirme rester soumis à la supervision réglementaire israélienne, incluant le ministère de la Défense. Pour rappel, l'administration Biden avait placé NSO sur liste noire en 2021 🙄.
La justice française a démantelé un réseau de voleurs utilisant des enceintes Bluetooth reprogrammées pour compromettre les systèmes électroniques des véhicules. Les appareils modifiés émettent des signaux radio imitant les clés électroniques, exploitant une vulnérabilité dans les protocoles des voitures modernes qui ne vérifient pas l'authenticité de la source. Les enceintes pirates étaient vendues entre 1 000 et 10 000 euros sur Telegram à des clients dans plus de 20 pays. Cinq personnes ont été interpellées en France, avec saisie de véhicules, 100 000 euros et dispositifs criminels valant plus d'un million d'euros.
Des chercheurs de Sekoia.io ont documenté une campagne d'hameçonnage active depuis avril 2025 ciblant le secteur hôtelier mondial. Les attaquants compromettent d'abord les comptes Booking.com des établissements via des emails malveillants utilisant la technique ClickFix avec de fausses pages reCAPTCHA. Les victimes copient et exécutent des commandes PowerShell téléchargeant le malware PureRAT, permettant le contrôle à distance, l'enregistrement des frappes clavier et l'accès webcam. Les identifiants volés sont utilisés pour contacter les clients des hôtels via WhatsApp et email, redirigeant vers des pages d'hameçonnage volant les informations bancaires.
L'OWASP a publié la première release candidate du Top 10 2025 avec deux nouvelles catégories et une consolidation :
A03:2025 Software Supply Chain Failures élargit les composants vulnérables pour inclure les compromissions dans l'écosystème des dépendances logicielles, systèmes de build et infrastructures de distribution.
A10:2025 Mishandling of Exceptional Conditions se concentre sur la gestion inappropriée des erreurs et conditions anormales.
Le FBI accuse des employés de DigitalMint, entreprise de Chicago spécialisée dans la négociation de rançons lors de cyber-attaques, d'avoir participé à un groupe criminel menant ses propres opérations de piratage 🙃. Selon les accusations, un petit groupe incluant des employés de DigitalMint aurait conduit environ cinq attaques générant plus d'un million de dollars de profits illicites.
Google avertit que des malwares utilisent désormais l'IA durant les attaques pour se modifier, échapper à la détection et collecter des données. Les exemples incluent des ransomewares et infostealers qui appellent des modèles d'IA pour réécrire du code ou générer des commandes. Les chercheurs estiment que cette tendance est nouvelle, susceptible de croître et abaisse la barrière d'entrée pour les criminels. Cependant, comme l’affirme le chercheur Kevin Beaumont, les détections de ces malwares restent assez triviales.
There's some really big caveats to this. A thread.
— Kevin Beaumont (@doublepulsar.com)2025-11-05T15:52:18.309Z
Les attaques ClickFix contre les utilisateurs macOS évoluent. ClickFix trompe par ingénierie sociale les utilisateurs pour exécuter des commandes copiées qui installent des malwares. Les attaquants améliorent leurs techniques ciblant macOS avec des invites adaptées, vidéos et minuteurs pour presser les victimes.
L'Université de Pennsylvanie a confirmé qu'un attaquant a utilisé des identifiants d'employés volés et l'ingénierie sociale pour compromettre des systèmes liés aux activités de développement et relations avec les anciens élèves. L'attaquant a dérobé 1,71 Go de fichiers et une base de données Salesforce contenant environ 1,2 million d'enregistrements de donateurs incluant noms, dates de naissance, adresses et historiques de dons. Après révocation de l'accès initial, l'attaquant a conservé des identifiants au compte Salesforce Marketing Cloud et envoyé un email de masse offensant à 700 000 destinataires.
Google vient de publier son exercice annuel de prédictions avec le rapport Cybersecurity Forecast 2026. Le grand thème cette année, sans surprise, concerne l'IA. Ils pensent qu'elle est sur le point de devenir incontournable tant pour les attaquants que les défenseurs. Les acteurs de menaces passent de l'expérimentation à l'utilisation systématique de l'IA, avec le clonage vocal pour l'ingénierie sociale et les attaques par injection de prompts ciblant les systèmes d'IA d'entreprise. Pendant ce temps, les défenseurs obtiennent des "SOC Agentiques" et des tonnes d’autres outils d'IA offensifs et défensifs pour les aider dans leur charge de travail.
Cybermalveillance.gouv.fr publie les résultats de la 2ème édition du baromètre de maturité cyber des TPE-PME montrant des tendances encourageantes, mais des efforts restant à accomplir. La tendance pour cette 2ème édition démontre que les entreprises interrogées cette année sont plus nombreuses à penser qu’elles sont fortement exposées, 44 % (38 % en 2024). La perception de leur protection est également meilleure en 2025 avec 58 % des TPE-PME qui pensent bénéficier d’un bon ou très bon niveau de protection (39 % l’an passé).
Vulnérabilités
Trois vulnérabilités critiques impactant respectivement Cisco Unified Contact Center Express (Unified CCX) et Apple macOS / iPadOS. Aucune information n’est disponible sur l’exploitation des ces vulnérabilités.
La CISA ajoute 4 vulnérabilités exploitées à son catalogue
Sur ces 7 derniers jours, la CISA a ajouté 4 vulnérabilités exploitées :
CVE-2025-9242 : vulnérabilité d'écriture hors limites dans WatchGuard Firebox
CVE-2025-62215 : vulnérabilité de condition de concurrence dans Microsoft Windows Kernel
CVE-2025-12480 : vulnérabilité de contrôle d'accès inapproprié dans Gladinet Triofox
CVE-2025-21042 : vulnérabilité d'écriture hors limites dans les appareils mobiles Samsung
Microsoft a publié son (light) Patch Tuesday de novembre 2025 avec 80 correctifs, dont 5 critiques et une vulnérabilité déjà exploitée activement. Sont qualifiées de notables :
la CVE-2025-62215 affecte le noyau Windows et permet une élévation de privilèges, avec une exploitation jugée relativement simple.
la CVE-2025-60274 touche la bibliothèque graphique GDI+ utilisée pour l'affichage d'images dans Windows, navigateurs, emails et documents Office, représentant une surface d'attaque importante.
la CVE-2025-62199 cible Microsoft Office avec une exécution de code à distance.
WatchTowr Labs a identifié la CVE-2025-34299, une vulnérabilité d'exécution de code à distance pré-authentification dans Monsta FTP, client de transfert de fichiers web déployé sur environ 5 000 instances. La faille exploite une validation insuffisante des chemins de fichiers dans la fonction downloadFile, permettant aux attaquants de télécharger et exécuter du code arbitraire. Le correctif a été publié dans la version 2.11.3 le 26 août 2025, après divulgation le 13 août.
Articles
Un guide pratique détaille l'utilisation d'Autopsy pour analyser une image après une compromission.
Almond Offensive Security démontre comment contourner la détection d'Elastic EDR en manipulant les piles d'appels lors du chargement de modules. L'EDR détecte les opérations sensibles initiées depuis de la mémoire non sauvegardée en analysant la signature de pile spécifique ntdll.dll|kernelbase.dll. Les chercheurs ont identifié que l'insertion d'un module supplémentaire via un call gadget dans dsdmo.dll brise la signature de détection.
Un expert forensic accompagnant la police lors d'une perquisition raconte comment une affaire s'est résolue de manière inattendue (et rapidement). Préparé avec du matériel sophistiqué de récupération de données, l'expert découvre que le suspect avait simplement utilisé la fonction "supprimer" sans vider sa corbeille. Tous les fichiers supprimés depuis l'achat de l'ordinateur restaient dans la corbeille, créant involontairement un emplacement centralisé contenant tous les documents pertinents pour l'enquête 🙌.
Synacktiv démontre comment exploiter les sites Active Directory qui regroupent sous-réseaux et contrôleurs de domaine avec des GPO assignés via l'attribut gPLink. Les vecteurs d'attaque incluent l'exploitation de GPO via des permissions GenericAll, GenericWrite ou WriteGPLink permettant d'injecter des configurations malveillantes affectant tous les objets du site, incluant les contrôleurs de domaine. Cette technique peut permettre le mouvement latéral inter-domaines en modifiant des sites contenant des contrôleurs d'autres domaines, contournant le filtrage SID.
Les chercheurs ont analysé le trafic réseau de sept agents de codage populaires pour déterminer la transmission de données, les patterns de télémétrie et les implications de confidentialité. Trois agents exposent leurs prompts système, relevant de la vulnérabilité OWASP LLM07:2025. La télémétrie est également agressive : Claude Code génère près de 1 000 requêtes et 2,4 Mo pour la télémétrie seule. Gemini CLI montre un comportement similaire avec plus de 100 tentatives de télémétrie lorsque bloqué.
Outils
JA4+ est une suite complète de méthodes de fingerprinting réseau permettant l'identification et l'analyse des patterns de trafic. Les empreintes utilisent un format a_b_c lisible par humains et machines, facilitant la détection granulaire. Les cas d'usage incluent l'identification d'acteurs de menaces, détection de malwares, prévention de hijacking de session et détection DDoS.
AxiomSecrets est un outil d'extraction permettant de récupérer des fichiers protégés Windows (SAM, SYSTEM, SECURITY, NTDS.dit) en analysant directement le système de fichiers NTFS au niveau du disque brut. Cette technique contourne les méthodes traditionnelles, comme ShadowCopy ou secretsdump réseau en ouvrant un handle directement sur le volume. L'outil nécessite des privilèges administrateur, mais évite la détection par la majorité des EDR testés (Defender, Defender for Endpoint, Symantec, Kaspersky, HarfangLab, Cortex XDR, Sentinel ONE, Crowdstrike Falcon).
DonPwner exploite les résultats de base de données DonPAPI pour l'analyse de credentials et le password spraying contre les contrôleurs de domaine. L'outil automatise trois opérations : Extract pour générer des wordlists depuis les découvertes DonPAPI, Attack pour exécuter des campagnes de spray avec délais et DCSync pour croiser les credentials avec les fichiers de hash NT secretsdump.
Dead Domain Discovery propose deux outils complémentaires pour identifier les domaines abandonnés exploitables causant des vulnérabilités de sécurité incluant XSS, divulgation d'informations et exécution de code à distance. L'extension Chrome scanne automatiquement les sites web pour références à des domaines potentiellement abandonnés dans iframes, scripts et CSS, interrogeant le DNS Google pour vérifier le statut. L'outil DNS forwarder Python monitore les requêtes DNS au niveau réseau pour détections non répondues.
Networking Toolbox est votre boîte à outils pour l'administration réseau, rassemblant plus de 100 utilitaires en une seule interface.
GMSGadget (Give Me a Script Gadget) est une collection de gadgets JavaScript utilisables pour contourner les mitigations XSS comme Content Security Policy (CSP) et les sanitizers HTML comme DOMPurify.
WebRecon Pro est un outil OSINT automatisant la collecte de renseignements depuis les sites web cibles. Les capacités incluent le crawling web, la découverte d'emails, la détection de profils réseaux sociaux, le fingerprinting technologique complet, l'énumération DNS et lookups WHOIS, l'intégration Wayback Machine, la détection de stockage cloud, etc.
Vidéos
🎬 ARTE - Internet, un géant très vulnérable
Conférences / Salons
🗓️ European Cyber Week (ECW) - Du 17 au 20 novembre 2025 à Rennes, France
🗓️ Cyb'air Sud - Le 25 novembre 2025 à Salon-de-Provence, France
🗓️ GreHack - Du 28 au 29 novembre 29 2025 à Grenoble, France
Finances / Marché
Le gouvernement français a révélé la seconde cohorte de 80 entreprises sélectionnées pour le programme French Tech 2030 offrant un accompagnement stratégique d'un an aux sociétés développant des technologies critiques. Les lauréats ont collectivement levé 1,1 milliard d'euros, investi 130 millions en R&D l'année dernière et déposé 353 brevets. La distribution technologique inclut 19 entreprises en intelligence artificielle, 14 en cybersécurité, 13 en robotique, 12 en spatial, 9 en calcul quantique, 7 en infrastructure, et 6 en électronique.
🇨🇦 Flare, plateforme canadienne de protection de marque et threat intelligence, a levé 15 millions Série B d'Inovia Capital et 15 millions de financement dette de Bank of Montreal.
🤝 Bugcrowd a acquis Mayhem Security piloté par IA pour combiner tests offensifs automatisés avec hackers humains.
🤝 SplxAI, plateforme américaine de test de vulnérabilités et monitoring d'agents IA, a été acquise par Zscaler pour un montant non divulgué.
Misc
Comment 18 entreprises tech (dont GitHub, Google, Dropbox, Monzo, Atlassian...) mesurent l'impact réel des outils d'IA sur le développement logiciel. Les métriques sont concrètes : change failure rate, PR throughput, satisfaction dev, maintenabilité du code, ou encore "bad developer days" chez Microsoft.
Un développeur a créé Screen Now, clone gratuit de Screen Studio (30 dollars mensuels macOS uniquement) fonctionnant directement dans le navigateur Chrome. L'outil reproduit les fonctionnalités professionnelles incluant vue 3D avec perspective et rotation, animations d'entrée et sortie personnalisables, backgrounds personnalisés, zoom avec timeline interactive, Picture-in-Picture pour webcam et flou arrière-plan caméra.
Le 30 octobre, l'opérateur anonyme d'Archive.is a publié sur X le scan d'une assignation FBI datée du même jour avec un seul mot "canary". Le document demande à Tucows, registrar canadien gérant les domaines Archive.is, Archive.ph et Archive.today, de fournir toutes les informations sur leur client incluant nom, adresse, téléphones, logs de paiement et précise de ne pas divulguer l'existence du subpoena indéfiniment. Depuis 2012, le domaine est enregistré sous "Denis Petrov" à Prague, probablement un pseudonyme. Maintenir un service web aussi volumineux en restant anonyme en 2025 est un exploit technique nécessitant gestion de serveurs, DNS, domaines et paiements sans laisser de traces. Archive.is excelle dans le contournement de paywalls, énervant l'industrie médiatique.
OpenSourceMalware.com est une plateforme de threat intelligence communautaire permettant de partager des renseignements sur les packages, repositories et CDNs malveillants pour protéger l'écosystème open-source. La base de données permet la recherche et le filtrage de plus de 70 000 packages malveillants à travers NPM, PyPi, Maven, Nuget et autres gestionnaires de paquets. La plateforme facilite le tracking de packages malveillants open-source, repositories GitHub, CDNs et domaines identifiés par la communauté sécurité.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien
Comment 18 entreprises tech mesurent l'impact de l'IA sur le développement logiciel