Erreur 403 | #56

Attaque DDoS sur La Poste en pleine période de Noël, vulnérabilité critique sur n8n (CVSS 10), fuite de données au ministère des Sports, détection d'un infiltré nord-coréen chez Amazon grâce à la latence clavier, nouveau guide ANSSI sur la cybersécurité industrielle, Microsoft étend son bug bounty, etc.

Author

Bastien Cacace
23rd décembre 2025

Sommaire

Infos

Le groupe La Poste a été victime d'une attaque par déni de service distribué (DDoS) le lundi 22 décembre 2025, rendant inaccessibles ses sites web et applications mobiles (La Poste, Colissimo, La Banque Postale). L'attaque survient au pire moment, en pleine période critique des colis de Noël. La distribution physique du courrier et des colis reste assurée, tout comme les opérations bancaires en bureau de poste. La Poste confirme qu'aucune donnée n'a été compromise. L'attaque n'a pas encore été revendiquée, contrairement au DDoS de février 2024 attribué au groupe turc Turk Hack Team. Ce matin, La Poste a confirmé à l’AFP que l’attaque était toujours en cours.

Microsoft a déployé mi-décembre un patch d'urgence (KB5071546) pour corriger des dysfonctionnements critiques de Message Queuing (MSMQ) causés par la mise à jour de sécurité de décembre. Le problème rendait les files MSMQ inactives, provoquant des erreurs "ressources insuffisantes" sur les sites IIS et empêchant l'écriture dans les files de messages. Les environnements entreprise et les clusters MSMQ sous forte charge sont principalement affectés.

Le ministère des Sports, de la Jeunesse et de la Vie associative a confirmé le 19 décembre une exfiltration de données depuis l'un de ses systèmes d'information. L'incident concernerait le programme Pass'Sport, qui combine des données de la CAF, de la MSA et du CNOUS. Le chiffre initial de 22 millions de lignes correspondrait en réalité à 3,5 millions de foyers uniques sur quatre années d'historique. Le ministère s'engage à notifier les foyers concernés et à déposer plainte.

En mars 2025, le réseau français de contrôle technique AUTOSUR a subi un vol de données touchant plus de 10 millions de dossiers clients, dont 487 000 adresses email uniques. Les données compromises incluent noms, numéros de téléphone, adresses postales, ainsi que des informations sur les véhicules : marque, modèle, numéro VIN et plaques d'immatriculation. AUTOSUR avait publié un avis de divulgation avec des détails complémentaires sur l'incident.

L'équipe cybersécurité d'Amazon a démasqué un infiltré nord-coréen dans son département IT en détectant une latence de plus de 110 ms sur ses frappes clavier, au lieu des 20-40 ms attendus pour un employé basé aux États-Unis 🤯. L'opération impliquait un faux profil, une société écran et un intermédiaire américain condamné depuis. Depuis avril 2024, Amazon a bloqué plus de 1 800 tentatives de recrutement frauduleux, avec une augmentation de 27% par trimestre. Les infiltrés partagent des patterns communs : parcours identiques et anglais maladroit.

L'administration Trump a entrepris un démantèlement massif des capacités cyber américaines en 2025. La CISA a perdu un tiers de ses effectifs, le directeur Chris Krebs a été licencié, et les 15 membres du Cyber Safety Review Board ont été révoqués en pleine enquête sur les intrusions chinoises dans les télécoms. Un quart des agents FBI ont été réaffectés de la sécurité nationale vers l'immigration. L'application du Foreign Corrupt Practices Act a été suspendue, et la coopération avec les opérateurs d'infrastructures critiques a été interrompue.

Une compilation des fuites de données en France pour 2025 révèle l'ampleur des incidents. Parmi les cas notables : France Travail (multiples incidents), le ministère de l'Intérieur, le ministère des Sports (3,5 millions de foyers), Bouygues Telecom (6,4 millions), URSSAF/Pajemploi (1,2 million avec IBAN et numéros de sécurité sociale), environ 35 millions de dossiers de patients via les systèmes d'assurance maladie, ainsi que RED by SFR, Air France, Carrefour et plusieurs fédérations sportives via la plateforme ITAC.

Le NIST et la CISA ont publié un projet de rapport inter-agences sur la sécurité des tokens et assertions d'identité. Ce document répond à un décret présidentiel sur la cybersécurité et fournit des recommandations pour les agences fédérales et les fournisseurs cloud. Le rapport détaille comment se défendre contre les attaques exploitant des tokens volés, modifiés ou falsifiés pour accéder à des ressources protégées.

Les autorités européennes ont démantelé un réseau de centres d'appels frauduleux basé en Ukraine ayant volé plus de 10 millions d'euros à plus de 400 victimes. Douze suspects ont été arrêtés et d'importants actifs ainsi que de faux papiers d'identité ont été saisis lors de raids à Dnipro, Ivano-Frankivsk et Kyiv. L'arnaque utilisait de fausses identités de banquiers et policiers, des outils d'accès distant et des collectes d'argent en personne, avec un personnel payé à la commission.

L'ANSSI a publié une nouvelle version majeure de son guide sur les mesures détaillées de cybersécurité pour les systèmes industriels (OT), remplaçant l'édition de 2014. Ce document propose un socle minimal de sécurité organisé en quatre classes de niveau croissant (C1 à C4). Il couvre les mesures organisationnelles (cartographie, gestion des intervenants, cycle de vie, continuité d'activité) et techniques (authentification, cloisonnement réseau, sécurisation des équipements, supervision). Le guide intègre désormais une correspondance avec la norme IEC 62443, facilitant son adoption dans les environnements certifiés.

Microsoft rend tout éligible aux bug bounties avec "In Scope by Default". La nouvelle politique de Microsoft stipule que toute vulnérabilité critique dans ses services compte pour les récompenses, y compris le code tiers et open source qu'ils utilisent 👀. L'année dernière, Microsoft a versé plus de 17 millions de dollars via son programme de bug bounty.

Une étude de SicuraNext révèle que 68% de l'infrastructure de phishing utilise CloudFlare, soit 17 202 domaines sur plus de 42 000 URL validées. Derrière CloudFlare, on trouve GCP (13,5%), AWS (8,6%) et Azure (5,4%). Les chercheurs attribuent cette prédominance au tier gratuit de CloudFlare, à sa protection DDoS et à ses services proxy masquant les serveurs d'origine.

Des chercheurs ont évalué empiriquement si les systèmes d'IA sont plus efficaces en attaque ou en défense dans des compétitions CTF Attack/Defense. En utilisant le framework CAI, ils ont déployé des agents autonomes dans 23 scénarios. Sans contraintes, les agents défensifs atteignent 54,3% de succès en patching contre 28,3% pour l'accès initial offensif. Mais sous contraintes opérationnelles réalistes (maintien de disponibilité et prévention de toutes intrusions), cet avantage disparaît (23,9% et 15,2%).

Vulnérabilités

🚨 Vulnérabilité critique dans la plateforme d'automatisation n8n

Une faille critique (CVE-2025-68613 / CVSS 10) affecte n8n, plateforme open-source d'automatisation de workflows comptant environ 57 000 téléchargements hebdomadaires. La vulnérabilité permet à un attaquant authentifié d'exécuter du code arbitraire avec les privilèges du processus n8n, en exploitant un contexte d'exécution insuffisamment isolé lors de la configuration des workflows. Selon Censys, plus de 103 000 instances seraient potentiellement vulnérables, principalement aux États-Unis, en Allemagne et en France. Les versions 0.211.0 à 1.120.3 sont concernées. Les correctifs sont disponibles en versions 1.120.4, 1.121.1 et 1.122.0. Des exploits publics sont déjà référencés sur Github mais aucune trace d’exploitation n’a été identifiée pour le moment.

Bulletin d'actualité du CERT-FR de la semaine 51

25 vulnérabilités critiques cette semaine, dont quatre exploitées :

Le CERT-FR rappelle également l'exploitation active des vulnérabilités CVE-2025-59718 et CVE-2025-59719 affectant de multiples produits Fortinet (avis publié le 9 décembre 2025).

Sur ces 7 derniers jours, la CISA a ajouté deux vulnérabilités exploitées :

  • CVE-2023-52163 : vulnérabilité d'autorisation manquante dans Digiever DS-2105 Pro permettant une injection de commandes via time_tzsetup.cgi

  • CVE-2025-14733 : vulnérabilité d'écriture hors limites dans le processus iked de WatchGuard Firebox permettant à un attaquant distant non authentifié d'exécuter du code arbitraire via le VPN IKEv2

Articles

Un pentesteur a découvert quatre vulnérabilités dans le chatbot IA public d'Eurostar. Les protections côté serveur ne validaient que le dernier message, permettant de contourner les guardrails en modifiant les messages précédents. Via injection de prompts, le chercheur a pu révéler le modèle GPT utilisé et les prompts système. Le chatbot rendait également du HTML non assaini, ouvrant la voie à des attaques XSS. Enfin, les identifiants de conversation n'étaient pas validés, permettant potentiellement des attaques de replay inter-utilisateurs.

Des chercheurs ont découvert Kimwolf, un botnet Android ciblant principalement les TV boxes et tablettes, avec environ 1,8 million d'appareils infectés dans 222 pays. Son domaine C2 a atteint la première place du classement Cloudflare. Le botnet utilise des communications TLS chiffrées, du DNS-over-TLS et des domaines Ethereum Name Service pour renforcer son infrastructure. Ses capacités incluent 13 vecteurs d'attaque DDoS, des services proxy TCP/UDP, des reverse shells et une capacité d'attaque estimée à 30 Tbps. Kimwolf est lié au groupe Aisuru.

Une analyse d'IPinfo révèle que 17 des 20 VPN populaires testés routent le trafic depuis des pays différents de ceux annoncés. 38 pays sont "virtuels uniquement" mais jamais observés comme points de sortie réels. Seuls Mullvad, IVPN et Windscribe n'ont aucune discordance. Les pires sont IPVanish (61%), CyberGhost (57%) et ExpressVPN (57%). Par example, des serveurs annoncés aux Bahamas sortent en réalité de Miami, et ceux annoncés en Somalie depuis la France ou le Royaume-Uni. L'écart médian atteint 3 100 kilomètres.

La campagne GhostPoster a exploité 17 extensions Firefox cumulant plus de 50 000 installations en cachant du code malveillant dans des fichiers PNG via stéganographie. Le code extrait contactait des serveurs C2 de façon aléatoire (10% du temps avec 48h de délai) pour éviter la détection. Le payload final effectue du détournement de liens affiliés, injecte du tracking Google Analytics invisible, supprime les headers de sécurité et contourne les CAPTCHAs. Toutes les extensions communiquaient avec la même infrastructure.

Un chercheur a découvert des vulnérabilités XSS critiques dans Mintlify, plateforme de documentation IA utilisée par de nombreuses entreprises tech. L'endpoint /_mintlify/static/ ne validait pas la correspondance entre le sous-domaine demandé et l'hôte actuel, permettant de récupérer des fichiers depuis n'importe quelle documentation Mintlify. Les fichiers SVG contournaient la whitelist et permettaient l'exécution de JavaScript. Un attaquant pouvait ainsi injecter des scripts malveillants via des domaines légitimes comme discord.com. Discord a suspendu sa documentation pendant deux heures. Les primes ont totalisé environ 11 000 dollars.

Un guide technique détaille les méthodes forensiques pour récupérer des clés de licence perdues depuis des systèmes IBM AS/400. L'approche consiste à créer des images disque avant et après l'ajout d'une clé de licence test, puis à comparer les différences binaires pour identifier les structures de stockage.

CyberArk Labs a développé Vulnhalla, un outil open source combinant le raisonnement des LLM avec l'analyse statique CodeQL pour réduire drastiquement les faux positifs. Sur des dépôts comme FFmpeg, CodeQL génère 46 589 alertes potentielles nécessitant 11 mois de revue. Vulnhalla utilise des "questions guidées" forçant une analyse structurée des flux de données. Les tests sur 100 dépôts C montrent des réductions de faux positifs de 50% à 95% selon le type de vulnérabilité.

Détourner AWS Systems Manager comme canal C2 furtif

Un chercheur décrit comment abuser de la fonctionnalité d'activation hybride d'AWS Systems Manager pour établir un canal C2 furtif sur macOS et Windows en utilisant des binaires légitimes signés par Amazon.

Cartographier les chemins d'élévation de privilèges AWS

Datadog Security Labs a publié Pathfinding.cloud, une base de connaissances documentant les permissions IAM permettant l'élévation de privilèges dans AWS. La bibliothèque contient plus de 60 chemins d'escalade uniques avec détails sur les permissions requises, prérequis, visualisations et remédiations. Sur 65 chemins documentés, 42% ne sont détectés par aucun outil open source évalué.

Des chercheurs d'Elttam approfondissent leurs travaux sur les vulnérabilités ORM Leak, démontrant qu'elles ne dépendent pas uniquement d'ORM sensibles comme Django ou Prisma. Une faille dans le parsing des expressions de filtre de Beego ORM a permis de contourner les protections de Harbor (CVE-2025-30086). L'article révèle également une technique de bypass d'authentification sur Prisma via l'injection d'opérateurs JSON. Les fonctionnalités de filtrage robustes, notamment via OData et Entity Framework, peuvent exposer des champs sensibles si les développeurs ne valident pas explicitement les attributs autorisés. Des règles Semgrep sont disponibles pour la détection.

Analyser une compromission de boîte mail Zimbra étape par étape

Un guide qui détaille la méthodologie d'investigation forensique pour les compromissions Zimbra. Les logs clés se trouvent dans /opt/zimbra/log/ (mailbox.log, audit.log, sync.log, mail.log). L'article couvre la détection des vecteurs d'accès initial : spoofing via échecs de validation SPF, brute force via tentatives d'authentification multiples, phishing via analyse des logs Amavis, et exploitation web via les logs Nginx.

La nouvelle commande aws login d'AWS CLI peut être détournée pour du phishing de credentials. Le mode --remote génère une URL AWS légitime et attend un code de vérification. Un attaquant peut faire générer cette URL par son serveur, inciter la victime à s'authentifier, puis récupérer le code pour obtenir des credentials temporaires. Cette technique contourne le MFA résistant au phishing car la victime effectue une authentification AWS normale.

Un chercheur a scanné 5,6 millions de dépôts GitLab publics avec TruffleHog, découvrant 17 430 secrets vérifiés actifs (2,8 fois plus que Bitbucket) et gagnant plus de 9 000 dollars en primes. Il a construit une architecture de scan AWS Lambda/SQS qui a complété le scan en 24 heures pour 770 dollars. Une partie intéressante de la méthodologie est l'automatisation du triage en utilisant un LLM avec recherche web (Sonnet 3.7) pour identifier le meilleur chemin de signalement des vulnérabilités à chaque organisation.

Outils

SILPH est un outil permettant d'extraire les secrets LSA, les hashes SAM et les credentials DCC2 entièrement depuis la mémoire, sans toucher au disque. L'outil utilise des appels NT natifs résolus depuis ntdll et des syscalls indirects via le projet Superdeye pour éviter la détection.

Automatiser le routage C2 avec un module Caddy

Caddy-C2 est un module Caddy qui parse automatiquement les profils C2 et proxifie le trafic C2 légitime sans configurer manuellement les règles de redirection pour les User-Agents et endpoints HTTP. Placer des redirecteurs devant un serveur C2 masque sa localisation réelle, permet uniquement au trafic C2 légitime d'atteindre le serveur, et si le trafic est détecté et bloqué, le proxy peut être facilement détruit et un nouveau déployé à sa place, ce qui est plus simple que de redéployer le serveur C2.

GoStringUngarbler est un outil Python permettant d'extraire et restaurer les chaînes obfusquées dans les binaires Go compilés avec Garble.

FuzzForge AI est une plateforme combinant agents IA et frameworks de fuzzing pour automatiser la découverte de vulnérabilités. Elle intègre des workers spécialisés pour Python (SAST), Android (analyse statique), Rust (cargo-fuzz) et OSS-Fuzz.

Malcontent est un outil utilisant plus de 14 500 règles YARA pour identifier les modifications malveillantes dans les logiciels. Le mode Diff compare les versions avec pondération des risques et considération du versioning sémantique, permettant de détecter des compromissions comme celle de 3CX via libffmpeg modifié. Le mode Analyze énumère les capacités par niveau de risque. L'outil supporte les binaires ELF, Mach-O, PE et de nombreux langages.

Vidéos

🎬 Cybernews - The Day China Hacked Google: Operation Aurora.

Conférences / Salons

🗓️ Panocrim du CLUSIF - Le 15 janvier 2026 au Campus Cyber à Puteaux, France.

🗓️ Cyber Show Paris - Le 28 et 29 janvier 2026 à Paris, France

Finances / Marché

La DGA a signé un contrat-cadre avec Airbus d'un montant maximal de 50 millions d'euros pour des composants IA destinés aux systèmes militaires. Baptisés Malicia et qualifiés de "souverains", ces composants équiperont les systèmes d'armement, de communication et de cybersécurité. La première application concerne le système de surveillance maritime Spationav, où l'IA automatisera la fusion des données de surveillance satellites, radars et drones. Le contrat couvre également la structuration et l'archivage des données nécessaires à l'entraînement des modèles.

🤝 Google Cloud et Palo Alto Networks signent un contrat historique de près de 10 milliards de dollars. Palo Alto migrera ses workloads internes vers l'infrastructure Google Cloud et utilisera Vertex AI et les modèles Gemini pour ses copilotes de sécurité.

Misc

Une étude Médiamétrie pour Next et le GESTE révèle que 14 à 16 millions de Français visitent mensuellement 251 sites d'actualités générées par IA, recommandés par Google Discover. Cela représente plus d'un quart de la population de 15 ans et plus. Google (Discover, Search, News) génère 77% du trafic vers ces sites, Meta seulement 10%. Next a identifié environ 8 900 sites d'actualités francophones générés par IA, les 10 premiers éditeurs contrôlant des millions de visites mensuelles.

La bibliothèque clandestine Anna's Archive affirme avoir récupéré environ 300 To de données musicales depuis Spotify, contournant les protections DRM de la plateforme. Cette extraction comprend 86 millions de fichiers audio représentant 37% du catalogue mais 99,6% des écoutes, ainsi qu'une base de métadonnées de 256 millions de titres. Spotify a confirmé l'accès non autorisé, qualifiant les responsables “d'extrémistes anti-copyright”, et indique avoir désactivé les comptes malveillants tout en déployant de nouvelles mesures de protection. Cette fuite pourrait potentiellement alimenter l'entraînement de modèles d'IA générative musicale.

Github Store transforme les releases GitHub en marketplace d'applications pour Android et desktop (Windows, macOS, Linux). L'application indexe automatiquement les dépôts publics contenant des installateurs (.apk, .exe, .dmg, .deb, .rpm) dans leurs releases. L'interface propose des sections "Populaires", "Récemment mis à jour" et "Nouveaux" avec filtrage par plateforme.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter