Erreur 403 | #57

Vulnérabilité critique MongoDB exploitée (MongoBleed), cyberattaque contre l'Agence Spatiale Européenne, fuite massive chez Mondial Relay, fin du chiffrement RC4 chez Microsoft, bilan du piratage du Ministère de L'Intérieur, certification SecNumCloud pour S3NS, etc.

Author

Bastien Cacace
30th décembre 2025

Sommaire

Infos

L'ESA a confirmé avoir subi un incident de cybersécurité affectant des serveurs situés hors de son réseau principal. Selon l'agence, seul un petit nombre de serveurs externes dédiés à des activités d'ingénierie collaborative non classifiées auraient été touchés. Un pirate revendique depuis le 26 décembre avoir exfiltré plus de 200 Go de données, incluant des tokens d'accès, identifiants hardcodés et répertoires de code source. L'attaquant menace de divulguer des documents confidentiels de partenaires comme Airbus et Thales Alenia Space. Une analyse forensique est en cours.

S3NS, co-entreprise entre Thales et Google créée en 2022, a obtenu la qualification SecNumCloud 3.2 de l'ANSSI pour son offre PREMI3NS. Cette première certification pour un cloud hybride de ce type valide environ 1000 points de contrôle de sécurité et est censée garantir l'indépendance vis-à-vis du Cloud Act américain.

Mondial Relay a été ciblé par une cyberattaque détectée le 23 décembre 2025. Des attaquants ont accédé à la plateforme e-commerce dédiée au suivi des colis, exfiltrant noms, prénoms, adresses email et postales, numéros de téléphone, ainsi que les informations de suivi logistique. Aucune donnée bancaire n'a été compromise. Le gang français Dumpsec a revendiqué l'attaque et mis en vente les données sur BreachForums, aux côtés de celles de Colis Privé, totalisant 25 millions d'enregistrements. Les phishing de faux avis de passage par SMS vont pleuvoir 😢.

Ubisoft a subi une importante compromission de sécurité sur Rainbow Six Siege. Les attaquants ont manipulé les systèmes de modération pour bannir et débannir des joueurs, puis distribué environ 2 milliards de R6 Credits (soit 13,33 millions de dollars en monnaie virtuelle) et débloqué tous les objets cosmétiques. Ubisoft a mis les serveurs hors ligne et annoncé un rollback des transactions effectuées. Des allégations non confirmées suggèrent l'exploitation de la vulnérabilité MongoDB MongoBleed (CVE-2025-14847 ajoutée au KEV depuis) pour accéder à l'infrastructure.

Microsoft annonce la fin de support définitive de l'algorithme RC4 pour l'authentification Kerberos dans Active Directory. Utilisé pendant 25 ans comme algorithme par défaut, RC4 présentait de nombreuses faiblesses cryptographiques exploitées notamment pour le Kerberoasting. L'implémentation Microsoft n'utilisait ni sel cryptographique ni itération, permettant de casser les hashs 1000 fois plus rapidement qu'avec AES-SHA1.

Très médiatisé au début du mois de décembre, voici le bilan de l’affaire du pirate qui avait compromis les fichiers de police français pendant 26 jours, du 9 novembre au 4 décembre 2025. L'intrusion a touché 37 serveurs mail sur 250 et permis l'accès à 14 fichiers policiers, dont le TAJ (Traitement des Antécédents Judiciaires) qui recense 16,4 millions d'individus. 120 fiches personnelles et des dizaines de milliers de noms ont été exfiltrés. L'attaquant avait exploité un système d'authentification de secours après avoir obtenu les identifiants d'un policier partagés par email. Un suspect avait été interpellé le 17 décembre.

Le directeur par intérim de la CISA échoue à un test polygraphique

Le directeur par intérim de la CISA a échoué à un test polygraphique organisé pour lui permettre d'accéder à des renseignements cyber hautement classifiés. Le Department of Homeland Security a ouvert une enquête pour déterminer si des employés ont fourni de fausses informations sur la nécessité de ce test. Au moins six membres du personnel permanent ont été suspendus avec maintien de salaire cet été suite à cet incident. L'affaire révèle des tensions internes au sein de l'agence américaine de cybersécurité.

Les outils d'IA comme GitHub Copilot génèrent désormais 41% du code, créant des endpoints API non documentés appelés "phantom APIs". Ces interfaces, nées de la logique algorithmique sans supervision humaine, échappent aux outils de sécurité traditionnels qui comparent le code aux spécifications documentées. Un cas rapporté implique un endpoint /api/v2/admin/debug-metrics halluciné par Copilot, ayant exposé des données financières pendant des mois.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 52

Trois vulnérabilités critiques dont aucune ne dispose d’un PoC ou d’une preuve d’exploitation publique.

Le CERT-FR rappelle que le 19 décembre 2025, MongoDB a publié un avis de sécurité relatif à la vulnérabilité CVE-2025-14847 qui permet à un attaquant non authentifié la lecture de données présentes dans la mémoire du serveur (cf. l’article ci-dessous).

Sur ces 7 derniers jours la CISA a ajouté une vulnérabilité exploitée :

  • CVE-2025-14847 : vulnérabilité de gestion inappropriée de l'incohérence des paramètres de longueur dans les en-têtes de protocole compressés Zlib de MongoDB Server

Un chercheur d'Elastic Security a publié le jour de Noël un exploit pour la CVE-2025-14847, baptisée MongoBleed 🎅. Cette vulnérabilité critique permet une lecture mémoire non authentifiée sur toutes les versions de MongoDB des dix dernières années. L'exploit extrait automatiquement des credentials sensibles stockés en clair : mots de passe de bases de données, clés secrètes AWS et autres secrets. Avec plus de 200 000 instances MongoDB exposées sur Internet, une exploitation massive est attendue. La vulnérabilité a été ajoutée au KEV en début de semaine.

Timeline de la CVE-2025-14847

Les prévisions de vulnérabilités 2025 confirmées avec moins de 2% d'erreur

L'équipe de prévision de FIRST dresse le bilan de ses estimations pour 2025. Avec 49 183 CVE publiées cette année, le résultat se situe dans l'intervalle prévu de 41 142 à 49 868. L'erreur moyenne n'est que de 1,39%. Les prévisions trimestrielles pour Q4 affichent également moins de 5% d'écart. L'écosystème s'enrichit avec des initiatives comme CVEForecast.org et la plateforme Vulnerability-Lookup du CIRCL. Les prochaines évolutions viseront la prédiction par éditeur, vecteurs CVSS et probabilité d'exploitation.

Synacktiv détaille la découverte de la CVE-2025-54068 (publiée juillet 2025) en affectant Livewire, framework utilisé dans plus de 30% des projets Laravel. La faille exploite la désérialisation non sécurisée des états de composants via les Synthesizers.

Articles

Eclypsium détaille l'assemblage d'un cyberdeck basé sur le HackberryPi CM5 9900 pour les pentesteurs. La configuration comprend un châssis aluminium avec écran tactile 720x720, batterie 5000mAh, module Raspberry Pi CM5 16GB RAM, SSD NVMe 256GB et kit antenne externe FPC pour améliorer la portée WiFi. Le système exécute Kali Linux depuis le SSD pour des performances optimales. L'auteur recommande d'ajouter des adaptateurs WiFi USB, dongles Bluetooth et équipements SDR pour étendre les capacités de test d'intrusion en mobilité.

Trois techniques de détournement de navigateur analysées en détail

G DATA Security explore trois méthodes de browser hijacking :

  • La première manipule directement les fichiers de préférences Firefox et Chrome, contournant la protection HMAC SHA256 en extrayant les SID système.

  • La deuxième technique, baptisée BRAT (Browser Remote Access Tool), simule des raccourcis clavier pour rediriger les recherches et ouvrir des onglets publicitaires.

  • La troisième utilise PowerShell et WMI pour surveiller les processus navigateur, les relancer avec des paramètres désactivant les protections et charger des extensions malveillantes via --load-extension.

ThreatLabz analyse BlackForce, un kit de phishing sophistiqué vendu entre 200 et 300 euros sur Telegram. Cet outil cible Disney, Netflix, DHL et UPS en déployant des pages d'authentification factices construites avec React. L'attaque capture les credentials en temps réel, puis intercepte les codes MFA via une fausse page d'authentification secondaire. Le kit utilise des blocklists serveur filtrant les crawlers de sécurité et le profilage User-Agent.

Cet article de la série Microsoft Defender for Identity explique les risques liés aux permissions de réplication AD. La technique DCSync permet à tout compte disposant des droits appropriés d'imiter un contrôleur de domaine et d'extraire des hashs de mots de passe. La compromission du compte krbtgt permet de forger des Golden Tickets pour usurper n'importe quel utilisateur, y compris les Domain Admins. Seuls les comptes de DC, Azure AD Connect et les outils de migration temporaires devraient posséder ces droits. Defender for Identity détecte automatiquement les configurations à risque.

Concevoir des honeypots avec BloodHound OpenGraph

SpecterOps présente une méthodologie pour créer des “déceptions” (fake) haute fidélité intégrées aux chemins d'attaque Active Directory. L'outil F4keH0und analyse les données BloodHound pour identifier les opportunités de leurres, générant des comptes désactivés suffixés "_backup" avec audit activé.

Outils

Parrot Security publie la version 7.0 "Echo", une refonte majeure du système. Le passage à KDE Plasma 6 s'accompagne d'un nouveau thème léger personnalisé. L'infrastructure supporte désormais QEMU, VirtualBox, VMware et UTM. Les nouveaux outils incluent convoC2, goshs, evil-winrm-py et une catégorie IA avec Hexstrike AI. Parrot devient la première distribution de pentest offrant un support officiel RISC-V avec des rootfs précompilés.

Elcomsoft lance une section regroupant ses utilitaires forensiques gratuits pour les investigateurs numériques.

NetExec 1.5.0 intègre la vérification du signing LDAP et l'exécution RDP

NetExec publie sa version 1.5.0 après une longue période sans mise à jour. Les nouvelles fonctionnalités majeures incluent la vérification native du LDAP signing et channel binding, l'exécution de commandes via RDP, et l'intégration de certipy find pour l'énumération des certificats AD CS.

Certgrep est un outil web développé par Have I Been Squatted permettant de rechercher dans les logs Certificate Transparency les tentatives de domain squatting et phishing. L'interface permet des recherches par patterns pour identifier les enregistrements de certificats suspects pouvant indiquer des risques de prise de contrôle de domaine ou des campagnes d'usurpation d'identité.

Podcasts

🎧️ Journalisme OSINT : comment investiguer dans l'espace numérique ?.

Conférences / Salons

🗓️ Panocrim du CLUSIF - Le 15 janvier 2026 au Campus Cyber à Puteaux, France.

🗓️ Cyber Show Paris - Le 28 et 29 janvier 2026 à Paris, France

Finances / Marché

🤝ServiceNow annonce l'acquisition d'Armis, spécialiste de la cyber, pour 7,75 milliards de dollars en cash. La transaction, prévue au second semestre 2026, vise à créer une plateforme intégrée combinant découverte d'assets et réponse automatisée aux menaces.

Misc

Un employé coréen jette son MacBook dans une rivière après avoir volé 33 millions de comptes

L'affaire Coupang, géant coréen du e-commerce, prend une tournure rocambolesque. Un ancien employé a dérobé une clé de sécurité avant son départ pour accéder aux données de 33,7 millions de clients. Paniqué par la médiatisation de la fuite, il a renoncé à exploiter son butin et détruit son MacBook avant de le jeter dans une rivière, lesté de briques dans un sac estampillé Coupang. L'ordinateur a été repêché par des plongeurs grâce aux indications du suspect qui a avoué. Seules 3 000 fiches détaillées auraient été conservées.

Suite à l'affaire des documents Epstein mal censurés 🤡, l’article détaille les méthodes OSINT pour extraire le texte sous les rectangles noirs. La technique basique du copier-coller fonctionne quand le masquage n'est qu'une couche graphique. Les outils pdftotext et PyMuPDF révèlent le texte brut. Pour les scans, GIMP permet de jouer sur l'exposition des marqueurs physiques. La structure PDF conserve aussi souvent les versions précédentes via des marqueurs, récupérables avec QPDF.

Scriberr est une application open source de transcription audio fonctionnant entièrement en local, sans cloud ni abonnement. Elle utilise les modèles NVIDIA Parakeet, Canary ou Whisper pour une qualité comparable aux services payants. L'outil intègre la diarization pour identifier automatiquement les différents locuteurs et l'alignement temporel.

La panne AWS d'octobre 2025 relance le débat sur la dépendance au cloud

Le 20 octobre 2025, une panne AWS sur la région us-east-1 a perturbé de nombreux services comme Snapchat et Signal pendant plusieurs heures. Un bug DynamoDB a provoqué des défaillances en cascade affectant EC2. L'auteur relativise les titres sensationnalistes sur "la moitié d'Internet en panne" et souligne le vrai problème : la concentration des services. Il recommande de cartographier ses dépendances, distribuer les services sur plusieurs zones de disponibilité et maintenir des solutions de secours non-numériques pour les services publics essentiels.

Les États-Unis sanctionnent Thierry Breton et quatre régulateurs européens de la tech

Le département d'État américain a interdit de séjour Thierry Breton et quatre personnalités engagées dans la régulation numérique européenne. Marco Rubio dénonce un "complexe industriel mondial de la censure" et accuse les "idéologues européens" de contraindre les plateformes américaines. Sont visés l'ex-commissaire européen à l'origine du DSA, ainsi que les dirigeants du CCDH, du GDI et de l'ONG HateAid. La Commission européenne a fermement condamné cette décision inédite.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter