- Erreur 403
- Posts
- Erreur 403 | #55
Erreur 403 | #55
Intrusion au ministère de l'Intérieur français, vulnérabilités exploitées chez Fortinet, Cisco et Gogs, extensions navigateur revendant vos prompts IA, fuite de données chez SFR, Pornhub victime d'extorsion, LastPass et Ledger sanctionnés, Guillaume Poupard rejoint Orange, phishing Spiderman visant les banques européennes, etc.
Bastien Cacace
18th décembre 2025
Sommaire
Infos
Le ministre Laurent Nuñez a confirmé une cyberattaque qualifiée de "très grave" contre le ministère de l'Intérieur. Les attaquants ont compromis une boîte mail puis pivoté grâce à des mots de passe stockés en clair dans des courriels. Quelques dizaines de fiches ont été consultées, dont le traitement des antécédents judiciaires. Contrairement aux premières allégations, il n'y a pas eu d'export massif de données et l'intrusion a duré plusieurs jours, non plusieurs semaines. L'ANSSI a été mobilisée et deux enquêtes ont été ouvertes. L'attaque a été revendiquée par un individu nommé Indra sur le forum de fuites BreachForums. Un homme d’une vingtaine d’années a été interpellé mercredi dans un petit village de Haute-Vienne et placé en garde à vue.
Le 18 septembre 2025, l'ANSSI a organisé l'exercice national REMPAR25, avec le soutien de 52 partenaires dont le Campus Cyber et le CESIN. Près de 5 680 professionnels issus de 1 263 organisations publiques et privées, répartis dans 13 régions et 9 territoires ultramarins, ont participé à cette simulation de crise cyber systémique. Le scénario de black-out numérique a mis en lumière l'importance cruciale des plans de continuité d'activité (PCA) et la nécessité d'intégrer la gestion de crise cyber dans la stratégie globale de chaque organisation, de manière transverse et collaborative.
SFR a informé ses abonnés d'un accès non autorisé à un outil informatique utilisé pour gérer les interventions de raccordement au réseau fixe. Les données compromises incluent noms, prénoms, adresses, références client et numéros de téléphone, sans toutefois impacter les informations bancaires. Cette attaque survient trois mois après un précédent incident ayant exposé les données de 50 000 clients, dont des IBAN. SFR appelle ses clients à la vigilance face aux risques de phishing et smishing.
Un citoyen letton a été mis en examen et placé en détention provisoire après la découverte d'un dispositif malveillant de type RAT (Remote Access Tool) sur le ferry Fantastic, accosté à Sète. Ce système aurait permis une prise de contrôle à distance du navire. L'alerte provenait des autorités italiennes. La DGSI a mené les investigations et saisi plusieurs éléments. L'information judiciaire porte sur des atteintes à un STAD en bande organisée dans le but de servir les intérêts d'une puissance étrangère. Le navire a pu reprendre la mer après les constatations techniques.
Des extensions Chrome et Edge opérées par Urban Cyber Security Inc. ont collecté et vendu les conversations IA de plus de 8 millions d'utilisateurs. Les extensions Urban VPN Proxy, 1ClickVPN, Urban Browser Guard et Urban Ad Blocker interceptaient les échanges sur ChatGPT, Claude, Gemini, Copilot et d'autres plateformes. Le code malveillant, activé par défaut depuis juillet 2025, capturait les prompts, réponses et horodatages pour les transmettre à des serveurs d'analytics en vue de revente commerciale. Ces extensions portaient pourtant le badge "Featured" de Google.
Une étude d'Infoblox révèle que plus de 90% des visites sur des domaines parqués redirigent vers des sites malveillants, contre moins de 5% il y a dix ans. Ces domaines expirés ou typosquattés utilisent un système de profilage sophistiqué pour distinguer les chercheurs en sécurité des victimes potentielles. Un opérateur contrôle près de 3000 domaines imitant Gmail, YouTube ou Netflix. Le domaine gmai[.]com héberge même des serveurs mail pour intercepter les courriels mal adressés. Ainsi, tout email envoyé par erreur à une adresse Gmail sans le "l" atterrit directement chez les attaquants.
Google met fin à son service de surveillance du dark web qui notifiait les utilisateurs lorsque leurs informations personnelles apparaissaient dans des fuites. Les nouvelles recherches cesseront le 15 janvier 2026 et l'outil sera supprimé le 16 février 2026. Google justifie cette décision par le manque d'actions concrètes proposées aux utilisateurs. Ce service permettait notamment de détecter si des mots de passe avaient été exposés en clair, indicateur critique de mauvaises pratiques de stockage.
Le groupe ShinyHunters revendique le vol de 94 Go de données Pornhub incluant plus de 200 millions d'historiques de recherche et téléchargements d'abonnés Premium 🫣. Les données compromises proviennent de Mixpanel, un prestataire analytics utilisé jusqu'en 2021, victime d'une attaque par smishing en novembre 2025. Les informations exposées comprennent emails, géolocalisation, URLs de vidéos et horodatages. Pornhub assure que les mots de passe et données de paiement n'ont pas été compromis.
Le 14 septembre 2015, Let's Encrypt émettait son premier certificat publiquement reconnu. Devenue la plus grande autorité de certification au monde, la plateforme émet désormais environ 10 millions de certificats par jour et approche la protection d'un milliard de sites web. L'adoption du HTTPS est passée de moins de 30% à environ 80% mondialement en cinq ans, atteignant près de 95% aux États-Unis. Le protocole ACME, créé et standardisé par Let's Encrypt, est désormais intégré dans tout l'écosystème serveur.
Onze exploits ciblant des technologies open source ont été récompensés lors du concours Zeroday.Cloud organisé à Londres par Wiz en partenariat avec AWS, Google Cloud et Microsoft. La plus grosse récompense individuelle s'élève à 40 000 dollars pour un exploit du kernel Linux. Cinq exploits de bases de données (Redis, PostgreSQL, MariaDB) ont rapporté 30 000 dollars chacun. Une exploitation de Grafana a également été récompensée à hauteur de 10 000 dollars.
Onze entreprises ont participé aux évaluations ATT&CK 2025 de MITRE : Acronis, AhnLab, CrowdStrike, Cyberani, Cybereason, Cynet, ESET, Sophos, Trend Micro, WatchGuard et WithSecure. Pour la première fois, les tests incluent des attaques impliquant l'infrastructure cloud, inspirées par Scattered Spider, et des activités de reconnaissance adverses, inspirées par Mustang Panda.
Le kit de phishing Spiderman cible les clients de nombreuses banques européennes dont Deutsche Bank, Commerzbank, ING et CaixaBank, ainsi que des services crypto. Le kit reproduit à la perfection les sites bancaires européens pour voler identifiants, codes 2FA, données de cartes et phrases de récupération crypto. Il permet aux attaquants de surveiller et exporter les données victimes en temps réel.
Berlin accuse le renseignement militaire russe (GRU) d'une cyberattaque contre le contrôle du trafic aérien allemand en août 2024, attribuée au groupe Fancy Bear. L'Allemagne dénonce également une campagne de désinformation nommée Storm 1516 visant à déstabiliser les élections fédérales de février 2025, ciblant notamment les candidats Robert Habeck et Friedrich Merz.
L'ICO britannique inflige une amende de 1,2 million de livres à LastPass pour la fuite de données de 2022 ayant impacté jusqu'à 1,6 million d'utilisateurs britanniques. En août 2022, un attaquant a compromis l'ordinateur d'un développeur pour accéder au code source. En septembre, il a ciblé l'appareil personnel d'un employé senior pour obtenir le mot de passe maître et des clés AWS. Les données volées incluent des coffres-forts chiffrés, noms, emails et adresses. L'ICO souligne le manque de mesures de sécurité adéquates.
Une équipe de Stanford a développé Artemis, un bot d'IA capable d'effectuer des tests d'intrusion automatisés. Lors d'une expérimentation sur le réseau de l'université, Artemis a surpassé 9 des 10 pentesters professionnels engagés, détectant des vulnérabilités rapidement pour seulement 60$ de l'heure, contre 2 000 à 2 500$ par jour pour pentesteur (tarif US pas France 😁). Malgré 18 % de faux positifs et quelques bugs manqués, ces résultats marquent un tournant.
L'ancien directeur de l'ANSSI (2014-2022) rejoindra Orange le 1er février 2026 en tant que Chief Trust Officer. Il sera chargé de définir la stratégie d'Orange en matière de souveraineté et de confiance, développant des offres de cybersécurité, cloud de confiance et services IA en collaboration avec Orange Business et Orange Cyberdéfense. Guillaume Poupard quitte Docaposte où il occupait le poste de directeur général adjoint.
La CNIL a sanctionné Ledger d'une amende de 750 000 euros pour défaut de mesures de sécurité suite aux fuites de données de 2020 et 2021. Fait inhabituel, le régulateur a décidé de ne pas publier cette décision. Un juge a ordonné à Ledger de fournir le document au tribunal dans le cadre de poursuites engagées par des victimes. Ces dernières avaient subi des campagnes de phishing, d'abord par email puis par courrier postal frauduleux imitant l'entreprise.
Google Threat Intelligence documente qu'Intellexa, vendeur du spyware Predator, est responsable de 15 zero-days sur les 70 identifiés par Google depuis 2021. Le dernier en date est un exploit Chrome V8 (CVE-2025-6554) repéré en Arabie Saoudite en juin 2025. Des centaines de comptes ciblés au Pakistan, Kazakhstan, Angola et Égypte ont été notifiés.
Vulnérabilités
19 vulnérabilités critiques, dont 4 exploitées (Chromium, Windows, Edge et Apple Webkit) et 2 autres disposant d’un code d’exploitation public (Ivanti Endpoint Manager, Traefik).
Sur ces 7 derniers jours, la CISA a ajouté 8 vulnérabilités exploitées :
CVE-2025-20393 : validation d'entrée incorrecte dans plusieurs produits Cisco (Secure Email Gateway, AsyncOS Software, Web Manager). Voir article ci-dessous.
CVE-2025-40602 : vulnérabilité d'autorisation manquante dans l'appliance SonicWall SMA1000
CVE-2025-59374 : code malveillant intégré dans ASUS Live Update via compromission de la chaîne d'approvisionnement
CVE-2025-59718 : vérification incorrecte de signature cryptographique dans plusieurs produits Fortinet (FortiOS, FortiProxy, FortiWeb). Voir article ci-dessous.
CVE-2025-43529 : vulnérabilité use-after-free dans WebKit affectant plusieurs produits Apple (iOS, iPadOS, macOS)
CVE-2025-14611 : clés cryptographiques codées en dur dans Gladinet CentreStack et Triofox
CVE-2025-14174 : accès mémoire hors limites dans ANGLE de Google Chromium
CVE-2018-4063 : téléchargement de fichiers sans restriction dans Sierra Wireless AirLink ALEOS
Cisco Talos a découvert une campagne active menée par UAT-9686, un acteur APT probablement lié à la Chine, ciblant Cisco Secure Email Gateway et Secure Email and Web Manager. Les attaquants déploient "AquaShell", une backdoor Python persistante permettant l'exécution de commandes système via des requêtes HTTP POST encodées. L'arsenal inclut également AquaTunnel (reverse SSH), Chisel pour le pivoting réseau et AquaPurge pour l'effacement des logs. Les appliances avec des configurations non standard sont particulièrement vulnérables. Cisco a bloqué les IOCs identifiés et publié des recommandations.
Des vulnérabilités critiques affectant FortiOS, FortiProxy, FortiSwitchManager (CVE-2025-59718) et FortiWeb (CVE-2025-59719) sont activement exploitées depuis le 12 décembre 2025. Ces failles résultent d'une vérification incorrecte des signatures cryptographiques dans les messages SAML, permettant de forger des identifiants SSO sans authentification valide. Après obtention d'un accès administrateur, les attaquants téléchargent les fichiers de configuration système exposant topologies réseau, politiques de pare-feu et mots de passe hashés. La fonctionnalité FortiCloud SSO doit être désactivée et les systèmes mis à jour.
Wiz Research a découvert CVE-2025-8110, une vulnérabilité zero-day dans Gogs (un Git auto-hébergé) permettant l'exécution de code à distance. Cette faille contourne un correctif précédent (CVE-2024-55947) via l'exploitation de liens symboliques. Un attaquant authentifié peut créer un dépôt avec un symlink pointant hors du répertoire, puis utiliser l'API PutContents pour écraser des fichiers arbitraires, notamment .git/config pour exécuter des commandes. Plus de 700 instances sur 1400 exposées sont compromises. Le malware Supershell est déployé pour établir des reverse shells. Au moment de la rédaction du post blog, aucun correctif n'est disponible malgré une divulgation en juillet 2025.
WatchTowr Labs a identifié des vulnérabilités critiques dans les proxies clients HTTP du .NET Framework exploitables via des fichiers WSDL malveillants. Un attaquant contrôlant le WSDL peut injecter des webshells ou scripts PowerShell. Barracuda Service Center RMM, Ivanti Endpoint Manager, Umbraco 8 et Microsoft SQL Server Integration Services sont confirmés vulnérables. Microsoft refuse de corriger, considérant qu'il s'agit d'un comportement applicatif.
Articles
Orange Cyberdefense décrit "Fairy Law", une technique qui désactive les composants EDR en activant globalement la politique MicrosoftSignedOnly. Cette politique empêche le chargement de DLL non signées par Microsoft dans les processus.
Les techniques modernes de détection de bots reposent sur la cohérence d'identité entre User-Agent, Client Hints et en-têtes Fetch Metadata. Les navigateurs headless échouent souvent à maintenir cette cohérence. Les Client Hints (Sec-CH-UA, Sec-CH-UA-Platform) fournissent une identité structurée du navigateur, tandis que les en-têtes Fetch Metadata (Sec-Fetch-Site, Sec-Fetch-Mode, Sec-Fetch-Dest) révèlent le contexte de navigation.
SpecterOps démontre comment exploiter Azure Seamless SSO pour pivoter d'un Active Directory on-premises vers Entra ID et obtenir des privilèges Global Administrator. Azure Seamless SSO permet aux utilisateurs de se connecter aux applications avec Azure AD tout en obtenant les tickets Kerberos du contrôleur de domaine on-premises. Dans ce chemin d'attaque, connaissant le mot de passe d'un utilisateur, l'attaquant contourne les politiques d'accès conditionnel et prend le contrôle du domaine via Automation Runbooks.
Google Threat Intelligence Group a analysé six fichiers DNG malveillants ciblant la bibliothèque Quram spécifique aux appareils Samsung. L'exploit, reçu via WhatsApp, abuse des opcodes DNG pour déclencher une exécution de code dans le processus com.samsung.ipservice qui scanne automatiquement les images du MediaStore. Unit 42 a documenté le spyware déployé via cet exploit. La vulnérabilité Samsung a été corrigée en avril 2025.
Un chercheur a identifié des vulnérabilités critiques de contournement d'authentification dans les bibliothèques Ruby-SAML et PHP-SAML. L'attaque exploite des incohérences au niveau des parseurs XML. Ces techniques permettent de forger des réponses SAML passant la validation de signature avec des claims utilisateur arbitraires.
L'Australian Cyber Security Centre publie un primer sur les technologies quantiques destiné aux responsables cybersécurité. Le document explique les principes de superposition et d'intrication quantique, ainsi que leurs applications.
Palo Alto Networks identifie deux classes de mauvaises configurations menant à des accès initiaux non autorisés dans AWS : l'exposition de services et l'accès par design. L'exposition concerne Lambda (fonctions invocables, lisibles ou modifiables publiquement), EC2 (instances avec IP publique et rôle attaché), ECR (registres privés exposés) et DataSync. L'accès par design implique des mauvaises configurations de Cognito (utilisé par 84% des organisations), IAM RolesAnywhere et IoT (utilisé par une entreprise sur cinq).
Flare a identifié 10 456 images Docker Hub contenant des secrets exposés en un mois, affectant plus de 100 organisations dont une entreprise Fortune 500 et une banque nationale. Les credentials les plus fréquemment exposés sont les clés de modèles IA/LLM (~4000 instances), les credentials cloud (AWS, Azure, GCP), les chaînes de connexion bases de données et les tokens API. 42% des images compromises contenaient cinq secrets ou plus. Fait plutôt sensible: 75% des développeurs ayant supprimé des références aux secrets n'ont pas révoqué les clés sous-jacentes, laissant les organisations exposées pendant des mois.
Unit 42 documente trois vecteurs d'attaque exploitant la fonctionnalité sampling du Model Context Protocol (MCP). Le vol de ressources ajoute des instructions cachées aux prompts légitimes pour générer du contenu non autorisé consommant des crédits API.
Outils
Cet outil Python permet de récupérer le code source d'AppleScripts compilés en mode run-only, qui ont été déposséder de leur source originale.
Cet agent OSINT autonome agrège des informations publiques depuis Twitter/X, Reddit, Bluesky, GitHub, Hacker News et Mastodon en utilisant des API compatibles OpenAI. Il combine analyse textuelle et vision pour traiter images et contenus.
Kali Linux 2025.4 sort avec trois nouveaux outils (bpf-linker, evil-winrm-py, hexstrike-ai) et des mises à jour des environnements de bureau. GNOME fonctionne uniquement sur Wayland.
Des chercheurs de Google créent CaMeL, un système basé sur les capabilities qui bloque les injections de prompts LLM en séparant le flux de contrôle du flux de données.
Podcasts
🎧️ NoLimitSecu - Interview de Joffrey Célestin-Urbain, Président du Campus Cyber.
Conférences / Salons
🎤 AWS re:Invent 2025. Sinon, voici un résumé des conférences.
Finances / Marché
La Direction Générale de la Sécurité Intérieure a étendu pour trois ans son contrat avec l'éditeur américain Palantir, débuté en 2016 après les attentats de 2015. Ce renouvellement intervient malgré un appel d'offres lancé en 2022 visant à remplacer le fournisseur américain par une solution française. Trois candidats restent en lice : Athea (alliance Atos-Thales), Blueway et Chapsvision. La plateforme propriétaire est utilisée pour le renseignement et la lutte antiterroriste.
📈 Saviynt, solution américaine de gouvernance intelligente des identités et des accès pour applications cloud, a levé 700 millions de dollars en Série B.
🇫🇷 Evertrust, plateforme française de gestion du cycle de vie des certificats et d'infrastructure PKI, a levé 11,6 millions de dollars en Série A.
Misc
JustHTML est un parseur HTML5 en Python pur, sans extensions C ni dépendances système. Il passe les 9000+ tests de la suite officielle html5lib-tests avec 100% de conformité et a été fuzz-testé sur 6 millions de documents malformés.
Des enquêteurs blockchain comme ZachXBT, 0xSaiyanGod et Heiner Garcia utilisent des outils open source (Arkham, MetaSleuth, Breadcrumbs) pour tracer les hacks et vols de cryptomonnaies. Ces enquêteurs ont contribué à tracer des incidents majeurs, comme le hack Bybit de 1,5 milliard de dollars.
Le Monde propose des conseils pour identifier les vidéos générées par IA sur les réseaux sociaux, face à l'explosion des contenus créés avec Veo, Sora, CapCut ou Grok. Ces conseils sont valables en décembre 2025 mais pourraient rapidement devenir obsolètes.
L’auteur analyse les avantages et inconvénients de plusieurs structures d'équipes :
équipes techniques par stack (frontend, backend) créant des frictions inter-équipes
squads par domaine métier favorisant la livraison mais accumulant la dette technique
chapters (aussi appelé "community of practice" ou CoP) améliorant le partage de connaissances mais générant des conflits de ressources
Etc.
Chaque approche implique des compromis sans solution universelle.
Simon Willison documente ses patterns pour créer des "HTML tools" combinant HTML, JavaScript et CSS en un seul fichier. Cette architecture évite les étapes de build et facilite la distribution.
On en parlait la semaine dernière, l'industrie tech subit une inflation sévère des prix mémoire due à la construction des datacenters IA. Un kit DDR5 64 Go passé de 209 à 650 dollars, la DDR4 de 30 à 120 dollars. Micron a abandonné sa marque grand public Crucial. Raspberry Pi a augmenté ses prix et introduit des modèles 1 Go. Samsung ne peut approvisionner assez de RAM pour ses smartphones. Les fabricants priorisent l'infrastructure IA sur les marchés consommateurs. Contrairement aux pénuries précédentes, la mémoire spécialisée IA (HBM, mémoire GPU intégrée) ne reviendra pas sur les marchés grand public si la bulle IA éclate.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien