Erreur 403 | #54

Patch Tuesday Microsoft corrige une 0-day Windows exploitée, fuites de données (FFHandball, Cuisinella, 74 banques US), faille React exploitée par des acteurs chinois et nord-coréens, kit phishing GhostFrame avec plus d'un million d'attaques, 120 000 caméras IP piratées en Corée, backdoor BRICKSTORM analysée par CISA/NSA, etc.

Author

Bastien Cacace
11th décembre 2025

Sommaire

Infos

Le Chrome Root Program de Google et le CA/Browser Forum ont adopté de nouvelles exigences de sécurité. Ces initiatives mettront fin à 11 méthodes héritées de validation de contrôle de domaine d'ici mars 2028. Les méthodes obsolètes incluent la validation par email, téléphone et recherche inverse d'adresse IP. La transition privilégie désormais une sécurité automatisée et cryptographiquement vérifiable via des alternatives modernes comme les défis DNS TXT et la validation basée sur le protocole ACME.

Le logiciel GestHand de la Fédération française de handball a subi un accès non autorisé. Les données compromises incluent noms, prénoms, genre, dates de naissance, adresses email et numéros de téléphone. Parallèlement, Cuisinella a également subi un accès non autorisé à ses données clients, exposant les coordonnées de contact.

Une chercheuse présente une technique d'attaque combinant les filtres SVG avec le clickjacking pour des attaques web sophistiquées. L'approche exploite les primitives de filtre SVG pour lire les données de pixels, exécuter de la logique et manipuler le contenu des iframes sans JavaScript. Google a attribué une prime de bug bounty de 3000$ pour cette découverte démontrant des attaques sur Google Docs.

Des centaines de véhicules Porsche en Russie sont devenus inutilisables suite à un dysfonctionnement de leur système de suivi par satellite (VTS). La panne a débuté le 28 novembre et touche tous les modèles Porsche dans plusieurs villes russes. Le module d'alarme satellite a perdu sa connectivité, déclenchant des arrêts automatiques du moteur et des blocages d'alimentation en carburant. Certains propriétaires ont résolu le problème en désactivant manuellement le système VTS ou en déconnectant la batterie.

GhostFrame lance plus d'un million d'attaques de phishing via des iframes invisibles

Les analystes de Barracuda ont identifié GhostFrame en septembre 2025, un nouveau kit de phishing-as-a-service qui a déjà lancé plus d'un million d'attaques. La technique distinctive consiste à intégrer l'activité malveillante dans une iframe, permettant aux attaquants de modifier le contenu de phishing sans toucher à la page HTML externe. Le kit inclut la génération dynamique de sous-domaines, des scripts anti-analyse bloquant les outils développeur, et des écrans de connexion basés sur des images blob URI avec double-buffering.

Le 5 décembre 2025, Cloudflare a connu une interruption de service d'environ 25 minutes affectant environ 28% de son trafic HTTP. L'incident provient de deux modifications de configuration effectuées lors de la correction de la vulnérabilité React Server Components (CVE-2025-55182). Ceci montre bien que, même dans les entreprises comme Cloudflare, les tests avant la mise en production sont toujours utiles 😁.

Le FBI a émis une alerte publique concernant une tendance croissante d'escroqueries où des criminels utilisent des images manipulées provenant des réseaux sociaux pour mener des extorsions par enlèvement virtuel. Les criminels contactent leurs victimes par SMS, prétendant avoir kidnappé un proche et exigeant une rançon immédiate. Ces arnaques n'impliquent aucun enlèvement réel.

Les agences de cybersécurité de six pays ont publié des recommandations pour l'utilisation sécurisée de l'intelligence artificielle dans les technologies opérationnelles des infrastructures critiques. Le guide énonce quatre principes : comprendre les risques de l'IA, choisir des cas d'usage adaptés, établir une gouvernance et des tests, et ajouter supervision et mécanismes de sécurité.

Un Australien a été condamné à sept ans et quatre mois pour avoir lancé des attaques Wi-Fi "evil twin" dans des aéroports et en vol. Il utilisait un Wi-Fi Pineapple pour tromper les victimes en leur faisant entrer leurs identifiants sur de fausses pages de connexion. La police a saisi ses appareils et trouvé des images intimes, des identifiants volés et des traces de fraude.

Le fournisseur de logiciels financiers Marquis Software Solutions a révélé une attaque par ransomware en août 2025, compromettant les données de plus de 400 000 clients répartis dans 74 banques et coopératives de crédit américaines. L'intrusion s'est faite via l'exploitation du pare-feu SonicWall de l'entreprise. Les données exposées incluent noms, adresses, numéros de téléphone, dates de naissance, numéros de sécurité sociale et détails de comptes financiers. Le schéma d'attaque correspond aux tactiques du groupe de ransomware Akira, qui cible systématiquement les appareils SonicWall non patchés.

La police coréenne a démantelé une opération de piratage de caméras IP. Quatre suspects ont réussi à compromettre plus de 120 000 caméras à travers le pays, récoltant des vidéos intimes et les vendant à des sites adultes étrangers contre des paiements en crypto. Le suspect principal aurait piraté 63 000 caméras et vendu 545 vidéos pour environ 23 800 dollars en crypto.

CISA, NSA et le Centre Cyber canadien ont publié un rapport d'analyse sur BRICKSTORM, une backdoor sophistiquée en Go ciblant les environnements VMware vSphere et les systèmes Windows. Déployée par des acteurs étatiques chinois, elle assure un accès persistant aux organisations gouvernementales et du secteur IT. Le rapport fournit des règles YARA et Sigma pour la détection.

Vulnérabilités

Microsoft a publié des correctifs pour 57 vulnérabilités ce mois-ci, dont 3 critiques. La CVE-2025-62221, une élévation de privilèges dans le driver Cloud Files Mini Filter, est déjà activement exploitée (ajoutée au CISA KEV). Les trois failles critiques concernent l'exécution de code à distance dans Microsoft Office (CVE-2025-62554, CVE-2025-62557) et Outlook (CVE-2025-62562).

Bulletin d'actualité du CERT-FR de la semaine 49

Trois vulnérabilités critiques, dont deux exploitées impactant Google Android (CVE-2025-48572 et CVE-2025-48633).

Le CERT-FR rappelle que React a publié un avis de sécurité relatif à la vulnérabilité CVE-2025-55182 affectant React Server Components et qui permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance (cf. dessous l’analyse de Palo Alto).

Unit 42 détaille la CVE-2025-55182, une vulnérabilité critique (CVSS 10.0) dans le protocole Flight des React Server Components. Cette faille de désérialisation non sécurisée permet à des attaquants non authentifiés d'exécuter du code arbitraire via des requêtes HTTP malveillantes. Les versions React 19.0 à 19.2 et Next.js 15.x/16.x sont affectées. Des groupes liés à la Chine et la Corée du Nord exploitent activement cette vulnérabilité pour déployer des web shells, Cobalt Strike, EtherRAT et des cryptomineurs.

Sur ces 7 derniers jours, la CISA a ajouté 5 vulnérabilités exploitées :

  • CVE-2025-62221 : vulnérabilité de type « use after free » dans le pilote Microsoft Windows Cloud Files Mini Filter permettant une élévation de privilèges locale

  • CVE-2025-6218 : vulnérabilité de traversée de chemin dans RARLAB WinRAR permettant l'exécution de code dans le contexte de l'utilisateur courant

  • CVE-2025-66644 : vulnérabilité d'injection de commandes OS dans Array Networks ArrayOS AG permettant l'exécution de commandes arbitraires

  • CVE-2022-37055 : vulnérabilité de dépassement de tampon dans les routeurs D-Link ayant un impact élevé sur la confidentialité, l'intégrité et la disponibilité

  • CVE-2025-55182 : vulnérabilité d'exécution de code à distance dans Meta React Server Components exploitant une faille dans le décodage des payloads envoyés aux endpoints React Server Function

Adobe PSIRT a publié plusieurs bulletins de sécurité les 9 et 10 décembre 2025. Les mises à jour concernent ColdFusion (APSB25-105), Experience Manager (APSB25-115), DNG SDK (APSB25-118), Acrobat Reader (APSB25-119) et Creative Cloud Desktop (APSB25-120).

Une vulnérabilité critique dans King Addons pour Elementor activement exploitée

Wordfence signale que CVE-2025-8489 (CVSS 9.8), une vulnérabilité d'élévation de privilèges dans le plugin WordPress King Addons for Elementor, est activement exploitée. La faille permet à des attaquants non authentifiés de s'attribuer des privilèges administrateur lors de l'inscription en spécifiant le rôle utilisateur.

Le JPCERT indique que des attaquants exploitent un bug d'injection de commandes dans les passerelles Array Networks AG Series depuis août 2025. La faille dans DesktopDirect (CVE-2025-66644, CVSS 7.2) permet d'exécuter des commandes arbitraires et déposer des web shells. Les utilisateurs doivent mettre à jour immédiatement ou désactiver DesktopDirect et bloquer les URLs contenant des points-virgules.

Articles

Cet article aborde la mesure de l'efficacité des systèmes de détection dans les environnements opérationnels (OT) via les exercices de purple team. Les auteurs soulignent que surveiller uniquement le déploiement ou la couverture en dit peu sur la capacité réelle de détection. Le purple teaming est défini comme une mission collaborative entre Red Team et Blue Team favorisant l'itération conjointe. L'article présente Caldera, un framework open-source permettant l'automatisation des tests OT via Modbus, S7 et OPC-UA.

Cet article couvre les Custom Scan Checks, une fonctionnalité introduite dans Burp Suite permettant d'étendre le scanner sans créer d'extensions autonomes. Contrairement aux BChecks, ces checks supportent l'analyse de timing des réponses, les opérations sur tableaux d'octets et l'accès complet à l'API Montoya.

Cet article présente une méthodologie de threat hunting basée sur les noeuds de sortie Tor. L'auteur propose des requêtes KQL pour identifier le trafic utilisateur passant par le navigateur Tor. La technique permet de détecter les communications suspectes transitant par le réseau d'anonymisation, utile pour identifier des activités potentiellement malveillantes ou des violations de politique de sécurité. Les requêtes KQL fournies peuvent être intégrées dans les SIEM pour une surveillance continue du trafic réseau.

Déployer un environnement SCOM pour la recherche en sécurité

Cet article présente une configuration Ludus pour déployer des environnements System Center Operations Manager (SCOM). SCOM fonctionne comme une solution de monitoring complémentaire à SCCM, offrant une visibilité sur l'état des applications et de l'infrastructure. L'article détaille les composants (serveurs de gestion, bases SQL, agents) et les quatre comptes de service utilisés.

Cet article explore les contrôleurs de domaine Samba en environnement lab pour tester quelles techniques spécifiques aux DC Windows fonctionnent nativement. L'auteur examine les possibilités d'exploitation post-compromission sur les infrastructures Active Directory basées sur Samba. L'analyse révèle les limitations et les différences entre Samba DC et les contrôleurs Windows traditionnels pour les opérations offensives courantes.

Un fichier de télémétrie Windows révèle des preuves forensiques cachées

Les chercheurs FortiGuard ont découvert que le fichier AutoLogger-Diagtrack-Listener.etl contient des données forensiques précieuses souvent ignorées par les attaquants. Lors d'une investigation ransomware, ce fichier ETL a permis de récupérer des traces d'exécution de malwares supprimés. Cependant son fonctionnement et son activation restent assez opaques.

Les chercheurs Censys démontrent comment identifier l'infrastructure C2 Cobalt Strike en exploitant les patterns de certificats. Cobalt Strike génère des certificats auto-signés avec un ordre fixe des champs Distinguished Name. Cette technique permet de découvrir de nouveaux serveurs C2 avant même la récupération de leurs configurations beacon.

Cette recherche révèle une vulnérabilité de confidentialité dans les applications de messagerie mobile. Des messages spécialement conçus déclenchent des accusés de réception permettant de "pinger" n'importe quel utilisateur sans son consentement ni notification. Cette technique peut révéler le statut en ligne, le nombre d'appareils actifs, les systèmes d'exploitation utilisés et les données d'utilisation des ressources. Les attaquants peuvent également lancer des attaques d'épuisement de batterie ou de forfait data. WhatsApp et Signal sont affectés, et tout utilisateur peut être ciblé simplement en connaissant son numéro de téléphone.

Les chercheurs de Straiker STAR Labs révèlent une faille critique dans le navigateur agentique Perplexity Comet permettant de supprimer des fichiers Google Drive via un simple email malveillant. Lorsqu'un utilisateur demande à son agent de vérifier ses emails et compléter les tâches d'organisation récentes, l'agent exécute les instructions cachées dans un email piégé sans confirmation supplémentaire.

Un chercheur explore les techniques offensives pour compromettre les environnements hyperviseur Proxmox. Les vecteurs d'attaque incluent vsock pour la communication directe hôte-invité sans trace réseau, l'abus du QEMU guest agent pour l'exécution de commandes et l'accès fichiers, et l'exploitation des snapshots mémoire pour récupérer des credentials.

Quarkslab a découvert des vulnérabilités critiques dans K7 Ultimate Security (CVE-2024-36424) impliquant l'abus de named pipes, la manipulation du registre et l'élévation de privilèges locale. Les chercheurs ont identifié que le GUI de K7 effectue des opérations administratives sans déclencher l'UAC via des named pipes avec ACL permissives tournant sous SYSTEM.

Outils

ADAttributeHound est une extension PowerShell pour BloodHound qui exporte les attributs Active Directory personnalisés comme propriétés de noeuds. L'outil génère des fichiers JSON compatibles OpenGraph pour ingestion dans BloodHound. Les organisations maintiennent souvent des données sensibles dans des champs AD personnalisés (badges, statut contractuel, départements, voire des mots de passe 🫢) qui fournissent un contexte critique pour l'analyse des chemins d'attaque.

OSWatcher est un framework conçu pour surveiller comment les systèmes d'exploitation évoluent en comparant leurs caractéristiques distinctives. L'outil construit une base de données de référence des releases OS via un extracteur capturant les informations de manière reproductible. L'analyse offline examine les hiérarchies de fichiers, binaires setuid, dépendances de bibliothèques, tables syscall et configurations kernel. L'analyse online surveille l'utilisation mémoire, les processus par défaut, les ports en écoute, etc. Le framework s'intègre avec Neo4j pour la visualisation.

La NSA a publié Ghidra 12.0 avec de nombreuses améliorations. PyGhidra 3.0.0 devient le moteur de scripting par défaut avec des méthodes API spécifiques Python. Un émulateur symbolique Z3 expérimental permet l'émulation combinant exécution concrète et symbolique. Un nouveau graphe de données affiche les relations entre éléments en mémoire. GhidraGo supporte les URLs distantes pour lancer Ghidra depuis le web.

RAPTOR est une plateforme de tests de sécurité pilotée par IA construite sur Claude Code. Le framework automatise le scan de code via Semgrep et CodeQL, le fuzzing binaire avec AFL, l'analyse de vulnérabilités, la génération d'exploits proof-of-concept et le développement de patchs. Le projet est en phase alpha.

KIEMPossible de Palo Alto Networks simplifie la gestion des droits d'infrastructure Kubernetes en offrant une visibilité sur les permissions et leur utilisation réelle. L'outil énumère tous les Roles, ClusterRoles et leurs bindings, les décompose en combinaisons verbe-scope granulaires, et analyse les logs d'audit pour déterminer les patterns d'utilisation effectifs.

Podcasts

🎧️ NoLimitSecu - Episode consacré à la sécurité de la Software Supply Chain avec l’outil Depi

Conférences / Salons

🗓️ Chaos Communication Congress - Du 27 au 30 décembre 2025 à Hamburg, Allemagne.

Finances / Marché

📈 Check Point Software Technologies, éditeur américain d'outils de sécurité réseau et email, a levé 1,8 milliard de dollars en dette post-IPO via une offre publique.

🇨🇭Saporo, une plateforme suisse de gestion de la surface d'attaque (ASM), a levé 8,1 millions de dollars en Série A

🤝 Proofpoint a finalisé l'acquisition de la Hornetsecurity (propriétaire du français Vade) pour 1,8 milliard de dollars.

Misc

Cet article explore comment les microVMs comblent le fossé entre machines virtuelles traditionnelles et conteneurs. Les VMs classiques offrent une forte isolation mais sont lentes et surchargées. Les conteneurs sont rapides mais partagent le kernel Linux, offrant une sécurité faible. Les microVMs utilisent des kernels réduits avec uniquement des drivers virtio, permettant un démarrage en 100 millisecondes et moins de 15Mo de RAM par VM.

Google a publié une version Android Canary incluant une fonctionnalité collaborative avec Apple pour simplifier le transfert de données entre iPhone et appareils Android. La migration permet de transférer les données d'applications, paramètres et préférences de notifications au niveau système sans application dédiée.

L'administration Trump veut exiger des visiteurs étrangers exemptés de visas qu'ils fournissent l'historique de leurs activités sur les réseaux sociaux depuis cinq ans. Cette proposition, publiée au Federal Register le 10 décembre, concerne les ressortissants de 42 pays bénéficiant du programme d'exemption de visa, dont la France, l'Australie, le Royaume-Uni, l'Allemagne, Israël et le Japon. Les douanes exigeraient également les numéros de téléphone des cinq dernières années, les adresses email des dix dernières années et des informations sur les membres de la famille. Le texte s'appliquera sous soixante jours sauf contestation judiciaire.

Une enquête du Monde révèle que des données publicitaires accessibles permettent de déterminer l'identité, le domicile et les habitudes de personnels des institutions les plus sensibles de l'État français. Sont concernés les officiers des services de renseignement, les agents de protection des hautes personnalités, les policiers d'élite, les membres du GIGN, les militaires des bases nucléaires, les cadres d'entreprises d'armement et le personnel pénitentiaire. L'industrie publicitaire extrait quotidiennement des smartphones des milliards de données de géolocalisation précises à quelques mètres, puis les revend.

Les prix de la RAM DDR5 ont explosé de 156% en moins d'un mois. Avec seulement trois fabricants de DRAM (Samsung, Micron et SK Hynix), l'accord entre deux d'entre eux et OpenAI a mis Micron sous pression de tous les autres clients. Micron prévoit de quitter entièrement le marché de la mémoire grand public pour ne vendre qu'aux clients entreprise. Mauvaise période pour être consommateur. Nous évoluons vers un monde de computing centralisé et de clients légers.

Un DevOps défend l'utilisation de Docker Compose en production, qu'il pratique depuis 2015 pour des applications Rails, fintech et SaaS Flask générant des revenus substantiels.

ALTCHA est un système open-source remplaçant reCAPTCHA de Google par une approche basée sur le Proof-of-Work plutôt que des puzzles visuels. Le navigateur résout un petit calcul cryptographique transparent pour les humains mais coûteux pour les attaques automatisées.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter