- Erreur 403
- Posts
- 🎂 Erreur 403 | #52
🎂 Erreur 403 | #52
Fuite de données chez Itelis, Colis Privé et Eurofiber, faille critique exploitée sur Oracle Identity Manager, l'ANSSI alerte sur l'espionnage des smartphones, spywares ciblant Signal et WhatsApp, 80 000 secrets exposés sur des sites de formatage de code, malware Shai1-Hulud sur npm, GrapheneOS quitte la France, l'ENISA devient autorité racine CVE, etc.
Bastien Cacace
27th novembre 2025
Sommaire
La newsletter fête ses 1 ans 🥳 ! Merci à tous ceux qui me lisent et qui la partage.
A cette occasion, je vous annonce que je prépare quelque chose de nouveau pour ceux d'entre vous qui font de la veille en vulnérabilités. Restez connectés, j'en dis plus très bientôt. Stay up !
Infos
La plateforme Itelis, gestionnaire de remboursements optiques pour plusieurs mutuelles dont Axa, a subi une compromission de données. Les informations exposées concernent des clients entre 2020 et début 2022 : noms, dates de naissance, numéros de sécurité sociale, dossiers et données de correction optique. Les coordonnées bancaires et mots de passe ne sont pas concernés. L'incident résulterait d'une usurpation d'identité ayant permis un accès non autorisé.
L'ANSSI alerte sur les risques d'espionnage ciblant les smartphones via des failles zero-click ne nécessitant aucune action utilisateur. Les menaces identifiées incluent les spywares étatiques, les malwares bancaires comme Triada, et les stalkerwares. L'agence recommande de redémarrer régulièrement son téléphone pour éliminer les implants non-persistants, désactiver Wi-Fi et Bluetooth hors usage, utiliser un VPN sur les réseaux publics, et activer les modes de protection avancés disponibles sur iOS 16+ et Android 16+. Le rapport est disponible ici.
Les chercheurs de watchTowr Labs ont identifié plus de 80 000 soumissions contenant des secrets sur JSONFormatter et CodeBeautify. Parmi les données exposées : identifiants Active Directory, clés API, tokens JWT, certificats SSL et données KYC bancaires incluant des enregistrements vidéo. Le problème provient d'utilisateurs ne réalisant pas que le bouton "SAVE" crée des liens permanents et publics 🫢.
La CISA met en garde contre les groupes d'attaquants Sandworm, Turla et les opérateurs de spywares commerciaux qui ciblent les utilisateurs de messageries chiffrées. Les techniques utilisées incluent l'exploitation de failles zero-click, l'abus de la fonctionnalité "appareils liés" de Signal via des QR codes falsifiés, et des applications contrefaites. Les cibles sont principalement des officiels gouvernementaux, militaires et membres de la société civile aux États-Unis, au Moyen-Orient et en Europe.
Une nouvelle vague du malware Shai1-Hulud a compromis plus de 800 packages npm, affectant notamment les écosystèmes Zapier et ENS. Le malware vole des credentials développeur et, en cas d'échec, tente de détruire le répertoire home de l'utilisateur 💥. Le CERT-FR a publié un bulletin.
En attendant la transposition de la directive européenne NIS 2, l'ANSSI met à disposition un guichet de pré-enregistrement pour les organisations concernées. Alors que NIS 1 concernait environ 600 entreprises en France, NIS 2 s'appliquera à près de 15 000 entités. Un simulateur permet d'évaluer son statut préalablement. Le projet de loi sur la résilience des infrastructures critiques attend encore un vote final au Parlement.
Le gestionnaire de mots de passe open source KeePassXC version 2.7.9 a reçu la certification CSPN-2025/16 de l'ANSSI, valable trois ans. Cette certification de premier niveau valide les caractéristiques de sécurité du produit testé sous Windows 10.
CrowdStrike a licencié un employé suspecté d'avoir partagé des captures d'écran internes avec le groupe Scattered Lapsus$ Hunters, un collectif incluant ShinyHunters et Scattered Spider. Les images montrent des dashboards avec des liens vers des ressources internes, notamment un tableau de bord Okta. L'entreprise affirme que ses systèmes n'ont jamais été compromis et que les clients sont restés protégés. L'affaire a été transmise aux autorités judiciaires.
Colis Privé a notifié ses clients d'un accès non autorisé à certaines données personnelles : noms, adresses postales, emails et numéros de téléphone. Cette fuite expose les clients à des risques accrus de phishing personnalisé et d'arnaques aux faux colis.
Kubernetes SIG Network annonce le retrait d'Ingress NGINX. La maintenance best-effort continue jusqu'en mars 2026, après quoi aucune mise à jour ni correctif de sécurité ne sera publié. Les utilisateurs doivent migrer vers Gateway API ou d'autres contrôleurs Ingress immédiatement.
Les chercheurs de CrowdStrike ont découvert que certains mots déclencheurs augmentent jusqu'à 50% la probabilité de code vulnérable généré par DeepSeek-R1. Les failles incluent des secrets codés en dur, l'absence de hachage de mots de passe et des méthodes d'extraction non sécurisées. Les références à des sujets politiquement sensibles en Chine (Taiwan, Tibet, Ouïghours) dégradent particulièrement la qualité du code 😬. Si DeepSeek-R1 le fait, pourquoi pas les autres 🤔?
Les développeurs de GrapheneOS annoncent retirer leurs serveurs hébergés chez OVH en France suite à un article du Parisien qualifiant l'OS sécurisé d'outil privilégié des narcotrafiquants. L'équipe dénonce des amalgames entre leur projet open source légitime et des revendeurs qui ajoutent des logiciels malveillants à leur code. L'infrastructure sera migrée vers le Canada et l'Allemagne. GrapheneOS est recommandé par Edward Snowden et compte plus de 350 000 téléchargements. Récemment (cf. Newsletter 49), on apprenait que GrapheneOS résistait à l’outil de forensique Cellebrite.
NSO Group a demandé au tribunal de suspendre une injonction permanente l'empêchant de cibler WhatsApp pendant son appel. L'entreprise affirme que l'application de cette ordonnance détruirait son activité Pegasus et empêcherait les agences américaines de licencier ses outils. NSO argue également que l'injonction entre en conflit avec le Computer Fraud and Abuse Act et nuit à la sécurité publique 🙄.
Eurofiber France a subi une compromission de sa plateforme de gestion de tickets exposant 10 000 adresses email, noms et numéros de téléphone. L'attaquant prétend détenir des données supplémentaires sensibles : fichiers de configuration VPN, credentials, code source, certificats et sauvegardes SQL. Une tentative d'extorsion a suivi l'exfiltration des données. L'incident a été ajouté à Have I Been Pwned le 20 novembre 2025.
Une fuite chez un fournisseur tiers liée à Gainsight a exposé des données dans plus de 200 instances Salesforce. L'attaque semble liée au même groupe criminel derrière les récentes intrusions supply chain de Salesloft Drift. Salesforce a révoqué les tokens d'accès des applications tandis que les investigations de Gainsight et d'autres parties se poursuivent.
La SEC a abandonné son procès contre SolarWinds et son CISO concernant l'énorme compromission Sunburst de 2020. L'agence n'a donné aucune raison publique pour clore cette action.
Un pirate affirme avoir volé 2,3 To de données chez la société IT italienne Almaviva et les avoir publiées sur un forum du dark web. Les fichiers incluraient des documents internes, contrats, archives RH et données comptables liées à FS Italiane. Almaviva confirme une cyberattaque, enquête avec les autorités et assure que les services critiques restent protégés.
GreyNoise a détecté une augmentation de 40 fois du scanning ciblant les portails Palo Alto GlobalProtect en 24 heures, atteignant un nouveau record sur 90 jours. Plus de 2,3 millions de sessions ont ciblé l'endpoint /global-protect/login.esp. Le trafic provient principalement d'AS200373 (3xK Tech GmbH) depuis l'Allemagne et le Canada, visant les États-Unis, le Mexique et le Pakistan. GreyNoise note que de tels pics précèdent souvent des divulgations de vulnérabilités dans les six semaines.
Voici Sturnus, un nouveau trojan bancaire Android qui a trouvé comment contourner tout ce beau chiffrement de bout en bout. Au lieu d'essayer de casser la crypto de WhatsApp, Telegram ou Signal, il attend simplement que les messages soient déchiffrés sur votre écran puis capture tout via les services d'accessibilité Android.
L'ENISA a été désignée autorité racine du programme CVE, rejoignant le conseil international aux côtés de MITRE, CISA, Google et Red Hat. Ce nouveau rôle permet à l'agence européenne d'identifier et d'intégrer d'autres autorités de numérotation CVE (CNA) au sein de l'UE, d'assurer le respect des procédures du programme et de coordonner la divulgation des vulnérabilités entre États membres.
SecurityScorecard a découvert une campagne d'espionnage exploitant plus de 50 000 routeurs ASUS WRT compromis en six mois. Les attaquants exploitent des vulnérabilités d'injection de commandes (CVE-2023-39780, CVE-2024-12912, CVE-2025-2492) sur des appareils en fin de vie via le service AiCloud. L'attribution pointe vers des acteurs affiliés à la Chine avec une concentration de 30 à 50% des victimes à Taiwan. Les appareils compromis partagent un certificat TLS auto-signé à expiration de 100 ans.
Vulnérabilités
12 vulnérabilités critiques dont trois sont déjà exploitées :
Microsoft Edge (CVE-2025-13223, CVSS 8.8 )
Google Chrome (CVE-2025-13223, CVSS 8.8)
Fortinet Fortiweb (CVE-2025-58034, CVSS 7.2)
D’autres vulnérabilités plus anciennes sont également listées, car elles sont exploitées (Asus AiCloud, Asus Rt-Ax55 Firmware, 7Zip, etc.)
Sur ces 7 derniers jours, la CISA a ajouté une vulnérabilité exploitée :
CVE-2025-61757 : vulnérabilité d'authentification manquante pour une fonction critique dans Oracle Fusion Middleware Identity Manager (cf. article ci-dessous)
Searchlight Cyber a découvert la CVE-2025-61757, une vulnérabilité critique d'exécution de code à distance sans authentification dans Oracle Identity Manager. L'exploit combine un contournement d'authentification et une exécution de code arbitraire permettant une compromission totale du système. Le SANS a détecté des tentatives d'exploitation entre le 30 août et le 9 septembre, plusieurs semaines avant le correctif d'Oracle en octobre 2025.
Les chercheurs de RCE Security ont analysé la CVE-2025-9501, une injection de commandes dans le plugin W3 Total Cache (plus d'un million d'installations). La vulnérabilité exploite la fonction eval() lors du parsing des pages en cache. L'exploitation requiert trois conditions : connaître le secret W3TC_DYNAMIC_SECURITY défini dans wp-config.php, que les commentaires soient activés pour les utilisateurs non authentifiés, et que le Page Cache soit activé.
Articles
SpecterOps a identifié la CVE-2025-64755, une faille d'injection de commandes via sed dans Claude Code (versions ≤ 2.0.25). L'exploitation permet d'écrire dans des fichiers système comme .zshenv sur macOS pour exécuter du code arbitraire au prochain démarrage du shell. L'article souligne les risques des serveurs MCP distants pouvant injecter du contenu malveillant via prompt injection.
Ce guide détaille les composants de la surface d'attaque moderne : infrastructure (sous-domaines oubliés, ressources cloud, APIs), applications (backends mobiles, registres de conteneurs), collaboration (Slack, Jira, Confluence avec données exposées), accès (VPN, pipelines CI/CD) et assets souvent négligés (IoT, profils sociaux, secrets dans les dépôts). Les bonnes pratiques incluent la découverte continue, la suppression des assets inutiles et l'architecture zero-trust.
TrustedSec présente un cadre de classification des rôles privilégiés Microsoft Entra ID. Un modèle à trois niveaux pour classifier les rôles privilégiés Microsoft Entra ID : Tier 0 (administration centrale du tenant/sécurité), Tier 1 (administration des composants de services majeurs), et Tier 2 (portée limitée/lecture seule). Chaque niveau possède des contrôles de sécurité définis, adressant les incohérences dans la documentation Microsoft sur les rôles privilégiés.
Unit 42 analyse une attaque du groupe Howling Scorpius ayant conduit au déploiement du ransomware Akira après 42 jours de compromission. Le vecteur initial était un faux CAPTCHA sur un site de concessionnaire automobile délivrant le RAT SectopRAT. Les attaquants ont utilisé RDP, SSH et SMB pour le mouvement latéral, compromis les contrôleurs de domaine, supprimé les sauvegardes et exfiltré près d'1 To de données via FileZilla avant le chiffrement.
Un article technique détaille l'utilisation de LD_PRELOAD pour obtenir un shell dans un conteneur Docker lors d'un pentest. L'auteur, ayant accès à un compte GitHub avec droits de push sur un Dockerfile, a créé une bibliothèque C interceptant les appels système execve().
Almond Offensive Security démontre une technique pour contourner la détection basée sur les call stacks d'Elastic EDR. Au lieu d'appeler directement des fonctions sensibles, la technique utilise des "call gadgets", séquences d'instructions existantes dans des DLL système comme dsdmo.dll.
Plerion explore les particularités des AWS service-linked roles (SLRs), expliquant comment ils diffèrent des service roles (appartenant à AWS, non éditables, et plus), leurs implications de sécurité, et les problèmes potentiels liés à leur implémentation.
Outils
CyberArk open-source QuicDraw, un outil de fuzzing et d'exploitation de race conditions sur HTTP/3. L'outil implémente Quic-Fin-Sync, équivalent HTTP/3 des attaques last-byte-sync, permettant d'envoyer jusqu'à 117 flux simultanés dans un seul paquet. Les tests contre Keycloak montrent des taux d'exploitation significativement supérieurs à curl HTTP/3 et Burp Turbo Intruder.
GoDefender est une bibliothèque Go offrant des mécanismes de protection contre le debugging, la virtualisation et l'injection de DLL sous Windows. L'outil détecte les environnements virtualisés (VMware, VirtualBox, KVM, QEMU, Parallels), implémente des techniques anti-debugging (monitoring d'API, validation de processus) et prévient l'injection de DLL via la Binary Image Signature Mitigation Policy bloquant les binaires non signés par Microsoft.
MaleficentVM est une machine virtuelle préconfigurée pour l'apprentissage du développement de malwares. Cet environnement de pratique permet aux chercheurs en sécurité et aux analystes de comprendre les techniques utilisées par les attaquants dans un cadre contrôlé et isolé.
Magnet est un toolkit purple-team permettant de générer de la télémétrie et des activités malveillantes pour tester les capacités de détection des SOC. Les modules de simulation sont mappés sur MITRE ATT&CK et incluent un simulateur de ransomware (génération et chiffrement de fichiers, suppression des shadow copies, dépôt de notes de rançon), de découverte réseau et de miner CPU. L'outil génère des logs détaillés pour valider les règles de détection.
Cette collection de bookmarklets facilite les investigations OSINT directement depuis le navigateur. Les outils permettent d'extraire des adresses email, d'analyser des profils Facebook, de collecter les liens d'une page et de vérifier des noms d'utilisateur via WhatsMyName.app.
Vidéos
🎬 Mrwhosetheboss - Testing North Korea's illegal smartphones - cette vidéo présente le démontage et l'analyse de deux smartphones sortis clandestinement de Corée du Nord. Windows Recall avait déjà été inventé par les Nord Coréen 😁.
🎬 Weekly Purple Team - Blinding EDR with Windows Filtering Platform
Conférences / Salons
🗓️ GreHack - Du 28 au 29 novembre 29 2025 à Grenoble, France
🗓️ Cyber Women Day - Le 8 décembre à Paris, France
Finances / Marché
📈 Guardio, une plateforme israélienne de remote browser isolation, a levé 80 millions de dollars en Series B.
🇨🇭 Secure.com, une plateforme d'opérations de sécurité assistée par IA basée en Suisse, a levé 4,5 millions de dollars en Seed auprès de Disrupt Ventures.
🤝 Chronosphere, une plateforme d'observabilité basée aux États-Unis pour les microservices et conteneurs, a été acquise par Palo Alto Networks pour 3,4 milliards de dollars.
Misc
La plateforme SecretDesires.ai, service de chatbot érotique avec génération d'images par IA, a exposé publiquement plus de 2 millions de deepfakes pornographiques et photos intimes.
Google a commencé à activer automatiquement une option permettant à Gmail de lire les emails des utilisateurs pour entraîner son IA Gemini. L'article explique comment désactiver cette fonctionnalité pour préserver la confidentialité de vos correspondances électroniques.
La justice américaine détaille une affaire ayant coûté plus de 800 000 dollars à une entreprise texane. Un employé mécontent de son licenciement a réinitialisé plus de 2500 mots de passe internes par esprit de vengeance, paralysant les opérations de l'entreprise. Un rappel de l'importance de la révocation immédiate des accès lors des départs.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien