Erreur 403 | #60

Accès frauduleux aux données de 12 millions de salariés chez l'Urssaf, vulnérabilités zero-day exploitées sur FortiSIEM et Cisco Unified Communications, 37 zero-days au Pwn2Own dont Tesla, l'UE veut bloquer les fournisseurs à haut risque, cyberattaques américaines au Venezuela, curl abandonne son bug bounty, etc.

Author

Bastien Cacace
22nd janvier 2026

Sommaire

Infos

Selon le New York Times, les États-Unis ont utilisé des cyberattaques pour couper l'électricité à Caracas et désactiver les radars de défense aérienne lors de l'extraction du président vénézuélien Nicolas Maduro le 3 janvier. Les américains auraient pu non seulement couper le courant mais aussi le rétablir en quelques minutes. L'analyse du Royal United Services Institute suggère que l'opération a combiné des capacités cyber avec des moyens cinétiques comme le brouillage et les bombes au graphite, exploitant la vulnérabilité du réseau électrique vénézuélien déjà fragilisé.

L'Urssaf a détecté un accès non autorisé à une API contenant des données de déclarations préalables à l'embauche. Les informations consultées et potentiellement exfiltrées concernent les noms, prénoms, dates de naissance, Siret de l'employeur et les dates d'embauche de 12 millions de salariés recrutés depuis moins de trois ans. Aucun numéro de sécurité sociale, coordonnée bancaire ou adresse n'est concerné. L'intrusion a été réalisée via un compte partenaire dont les identifiants avaient été compromis lors d'une cyberattaque antérieure.

Ingram Micro, l'un des plus grands distributeurs technologiques mondiaux avec 48 milliards de dollars de ventes en 2024, confirme qu'une attaque ransomware en juillet 2025 a exposé les données de plus de 42 000 personnes. Les documents volés contiennent noms, coordonnées, dates de naissance, numéros de sécurité sociale, permis de conduire, passeports et informations professionnelles. Le groupe SafePay, qui a revendiqué l'attaque, affirme avoir dérobé 3,5 To de données. Cette opération ransomware utilise la double extortion, menaçant de publier les données si la rançon n'est pas payée.

La plateforme HubEE de la DINUM, utilisée notamment par Service-public.gouv.fr pour les échanges de documents administratifs, a subi une cyberattaque. Un attaquant a eu accès à environ 70 000 dossiers représentant 160 000 documents, dont certains contiennent des données personnelles. Quatre directions ministérielles sont concernées : la DILA, la DGCS, la DGS et la CNAF.

Google Gemini peut être manipulé via des invitations d'agenda

Des chercheurs de Miggo ont découvert une faille dans l'assistant IA de Google permettant d'exploiter des invitations de calendrier pour accéder à des informations privées. Gemini analyse automatiquement le contexte des événements (titres, participants, descriptions) et peut exécuter des instructions malveillantes insérées dans ces champs. Cette vulnérabilité illustre un problème plus large des systèmes IA où les attaques ciblent la manipulation du sens et du contexte plutôt que l'exploitation de code malveillant.

Lors de la première journée du concours Pwn2Own Automotive 2026 à Tokyo, des chercheurs en sécurité ont collecté 516 500 dollars après avoir exploité 37 vulnérabilités zero-day. L'équipe de Synacktiv a obtenu un accès root au système d'info-divertissement Tesla en chaînant deux vulnérabilités. Les équipes Fuzzware.io et DDOS ont également compromis plusieurs bornes de recharge électrique et des systèmes de navigation.

Les cybercriminels louent désormais des outils IA au prix d'un abonnement Netflix

L'IA est devenue l'infrastructure standard de la cybercriminalité moderne. Les mentions d'IA sur les forums du dark web ont augmenté de 371% depuis 2019, avec plus de 23 000 nouveaux posts en 2025. Des Dark LLM, modèles de langage conçus pour les arnaques et malwares, sont vendus dès 30 dollars par mois. Les kits d'identité synthétique avec visages et voix générés par IA coûtent environ 5 dollars. Les fraudes par deepfake ont causé 347 millions de dollars de pertes vérifiées en un trimestre, incluant des appels vidéo truqués et des dirigeants clonés.

La Commission européenne a proposé une nouvelle législation imposant le retrait des fournisseurs à haut risque des réseaux de télécommunications. Cette mesure fait suite à l'application inégale du 5G Security Toolbox volontaire de 2020. Le nouveau Cybersecurity Act révisé donnera à la Commission le pouvoir d'organiser des évaluations de risques à l'échelle européenne et de soutenir des restrictions sur certains équipements d'infrastructures critiques. L'ENISA pourra émettre des alertes précoces, centraliser les signalements d'incidents et aider les entreprises face aux attaques par ransomware.

Pékin a ordonné aux entreprises chinoises de cesser d'utiliser les logiciels de cybersécurité d'une quinzaine de sociétés américaines et israéliennes pour des raisons de sécurité nationale. La liste inclut Broadcom VMware, Palo Alto Networks, Fortinet, CrowdStrike, SentinelOne, Rapid7, Mandiant, Wiz, ainsi que les israéliens Check Point, CyberArk, Orca Security et Cato Networks. Plusieurs entreprises concernées affirment n'avoir aucune activité en Chine. Cette mesure s'inscrit dans la stratégie chinoise de remplacement des technologies occidentales par des alternatives domestiques comme 360 Security Technology et Neusoft.

Daniel Stenberg, créateur de curl, a annoncé la fermeture du programme de bug bounty d'ici fin janvier 2026. La cause est un afflux de rapports de faible qualité, souvent générés par IA, avec 20 soumissions HackerOne reçues dans les premières semaines de 2026 dont aucune ne constituait une vraie vulnérabilité. L'objectif est de supprimer l'incitation financière qui pousse à soumettre des rapports mal recherchés. L'équipe espère continuer à recevoir de vrais rapports de vulnérabilités même sans récompense, tout en réduisant la charge de travail de l'équipe sécurité.

L'ANSSI publie un guide sur l'agilité cryptographique

L'ANSSI publie une note technique sur la crypto-agilité, définie comme la capacité d'un système à modifier dynamiquement ses composants cryptographiques sans impact significatif sur son fonctionnement. Face à l'obsolescence progressive de nombreux algorithmes depuis les années 2000 et l'émergence de la cryptographie post-quantique, cette flexibilité devient essentielle.

L'ANSSI a également publié un guide sur la préparation à la remédiation pour faciliter l'élaboration et l'exécution de la réponse à incident tout en fluidifiant les interventions des équipes.

En décembre 2025, les données du programme Pass'Sport ont été publiées sur un forum de pirates. Initialement attribuée à tort à la CAF, cette fuite concerne 6,5 millions d'adresses email uniques affectant 3,5 millions de foyers. Les données exposées incluent noms, numéros de téléphone, genres et adresses physiques. Le ministère des Sports a publié un communiqué reconnaissant l'incident. Les données ont été ajoutée à Have I Been Pwned.

Microsoft a publié plusieurs mises à jour hors bande pour Windows 10, Windows 11 et Windows Server afin de corriger deux problèmes causés par les mises à jour de janvier 2026. Le premier empêche l'accès aux sessions Microsoft 365 Cloud PC avec des échecs d'authentification dans les applications de connexion distante 😬. Le second affecte Windows 11 23H2 où certains PC avec Secure Launch activé ne peuvent pas s'éteindre ni hiberner, redémarrant à la place.

Des extensions malveillantes GhostPoster découvertes avec 840 000 installations

17 nouvelles extensions malveillantes liées à la campagne GhostPoster ont été identifiées sur Chrome, Firefox et Edge, totalisant 840 000 installations. Ces extensions cachent du code JavaScript malveillant dans leurs images de logo, surveillent l'activité de navigation, détournent les liens d'affiliation sur les plateformes e-commerce et injectent des iframes invisibles pour la fraude publicitaire. Parmi les plus installées : Google Translate in Right Click (522 398), Translate Selected Text with Google (159 645) et Ads Block Ultimate (48 078). Certaines étaient présentes depuis 2020.

Un juge d'Austin a rejeté un recours collectif contre CrowdStrike concernant la panne de juillet 2024, estimant que les actionnaires n'avaient pas prouvé de fraude intentionnelle. Des millions d'appareils Windows avaient planté après une mauvaise mise à jour, causant des perturbations majeures. Ce rejet est une victoire pour CrowdStrike, mais le procès de Delta réclamant 500 millions de dollars et d'autres plaintes restent en cours.

Un ingénieur de la DGSE a comparu devant le tribunal de Paris pour avoir copié et conservé 16 Go de données sur des projets sensibles avant de rejoindre le secteur privé. Parallèlement, un technicien de la DGSI a copié 2 300 documents du réseau informatique sur une clé USB non sécurisée le 24 juin 2024. Lors d'une perquisition, des dizaines de documents estampillés "secret" ou "confidentiel défense" ont été retrouvés chez lui 🙄.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 3

18 vulnérabilités critiques cette semaine dont 2 exploitées et 4 avec un code d'exploitation public :

Le CERT-FR rappelle l'alerte concernant la vulnérabilité CVE-2025-20393 affectant Cisco Secure Email Gateway et Cisco Secure Email and Web Manager, activement exploitée, pour laquelle des correctifs sont disponibles depuis le 15 janvier 2026.

Sur ces 7 derniers jours la CISA a ajouté une vulnérabilité exploitée :

  • CVE-2026-20045 : vulnérabilité d'injection de code dans les produits Cisco Unified Communications (Unified CM, Unified CM SME, Unified CM IM&P, Unity Connection et Webex Calling Dedicated Instance). Voir l’article ci-dessous.

Cisco a publié un correctif pour la CVE-2026-20045 (CVSS 8.2), une vulnérabilité zero-day activement exploitée permettant l'exécution de code à distance. Un attaquant non authentifié peut exploiter cette faille via des requêtes HTTP malformées vers l'interface de gestion web pour obtenir un accès utilisateur, puis élever ses privilèges à root. Les produits affectés incluent Unified CM, Unified CM SME, IM & Presence, Unity Connection et Webex Calling Dedicated Instance. Cisco recommande fortement d'appliquer les correctifs immédiatement.

Des administrateurs Fortinet signalent que des attaquants exploitent un contournement du correctif de la CVE-2025-59718, une vulnérabilité critique d'authentification SSO dans FortiGate. Malgré l'installation de FortiOS 7.4.9 en décembre, des connexions SSO malveillantes créent des comptes administrateurs via des messages SAML forgés. Fortinet aurait confirmé que la version 7.4.10 ne corrige pas complètement la faille. Les versions 7.4.11, 7.6.6 et 8.0.0 sont prévues prochainement. En attendant, il est recommandé de désactiver la fonctionnalité FortiCloud SSO. Plus de 11 000 équipements restent exposés sur Internet.

La CVE-2025-64155 (CVSS 9.4), une vulnérabilité d'injection de commandes OS dans FortiSIEM, est activement exploitée quelques jours après sa divulgation. Cette faille permet à un attaquant non authentifié d'obtenir une exécution de code à distance avec privilèges root via des requêtes TCP forgées. Horizon3, qui a découvert la vulnérabilité, a publié un PoC utilisé dans les attaques observées par Defused, provenant notamment d'adresses IP chinoises. Fortinet recommande de mettre à jour ou de restreindre l'accès au port 7900.

Check Point a observé plus de 40 000 tentatives d'attaque en quatre heures utilisant la CVE-2025-37164 (CVSS 10), une vulnérabilité de type RCE dans HPE OneView. Cette plateforme de gestion de datacenter contrôle serveurs, stockage et réseau depuis un point central. L'activité a été attribuée au botnet RondoDox, qui utilise une approche "exploit-shotgun" pour construire des réseaux de botnets destinés aux attaques DDoS, au cryptomining et à la distribution de charges malveillantes. Les organisations gouvernementales sont particulièrement ciblées.

Articles

Cet article aide à comprendre ce qui se passe après qu'un domaine est sinkholé. On voit généralement des articles sur le démantèlement de botnets ou d'opérations ransomware, incluant la saisie de noms de domaines utilisés pour les communications C2 avec les victimes.

Cet article présente cinq requêtes KQL pour réduire le temps de confinement lors d'un incident de sécurité. Ces requêtes couvrent l'analyse des créations de fichiers (DeviceFileEvents), les connexions réussies (SigninLogs), l'évaluation du rayon d'impact via la propagation latérale, la découverte des assets compromis et l'identification des communications C2 sortantes (DeviceNetworkEvents).

Synacktiv partage son retour d'expérience sur les vulnérabilités Wi-Fi rencontrées en tests d'intrusion. L'article couvre les réseaux ouverts (écoute passive, OWE, isolation client), les attaques de désauthentification, et les limites du WPA3 face aux configurations incorrectes.

Des chercheurs ont découvert une faille critique permettant de contourner les règles WAF de Cloudflare via le chemin /.well-known/acme-challenge/, normalement réservé à la validation des certificats ACME. Les requêtes ciblant ce chemin échappaient aux contrôles de sécurité et atteignaient directement les serveurs d'origine, même lorsque le WAF devait bloquer tout trafic externe.

Comprendre les techniques d'attaque et de défense dans Kubernetes

Ce guide approfondi couvre la surface d'attaque de Kubernetes, devenu incontournable avec 60% des entreprises l'utilisant en 2025. L'article détaille les composants critiques (API Server, ETCD, kubelet) et explore plusieurs vecteurs d'attaque : accès API non authentifié, RBAC trop permissif, abus de tokens de service accounts, contrôleurs d'admission malveillants, etc.

Sysdig analyse comment les acteurs malveillants exploitent les runners GitHub Actions auto-hébergés comme portes dérobées. Le ver Shai-Hulud installe des runners malveillants sur les machines compromises via des packages NPM trojanisés.

Varonis Threat Labs a découvert Reprompt, une attaque permettant d'exfiltrer des données depuis Microsoft Copilot Personal en un seul clic sur un lien Microsoft légitime. L'attaque exploite le paramètre URL 'q' pour injecter des instructions, utilise une technique de double-requête pour contourner les protections et enchaîne les requêtes pour une exfiltration continue et invisible.

Ce manuel détaille les aspects pratiques de l'ingénierie de détection moderne, de la ligne de log brute au playbook d'investigation enrichi. Le guide inclut des artefacts : schémas de logs normalisés, tests Python table-driven, snippets Terraform et templates de playbooks d'investigation.

Mise à jour du guide de durcissement Clang après dix ans d'évolution

Daniel Janson et Béatrice Creusillet mettent à jour le Clang Hardening Cheat Sheet de Quarkslab de 2016, couvrant les options de durcissement recommandées par l'OpenSSF ainsi que des options plus spécialisées contre les nouvelles classes d'exploits : protections générales pour les bibliothèques C/C++, mitigations contre la corruption de mémoire basée sur la pile, défenses contre les attaques ROP et JOP, et défenses contre les attaques par exécution spéculative.

Auditer la sécurité des applications Salesforce Experience Cloud

Aura-inspector est un outil d'audit de sécurité pour les applications Salesforce Experience Cloud. Il permet de découvrir les enregistrements accessibles en contexte Guest et Authenticated, de vérifier les fonctionnalités d'auto-inscription, et d'identifier les composants Record List exposant des objets mal configurés. L'outil détecte également les « Home URLs » pouvant donner accès à des fonctionnalités administratives non autorisées.

Outils

Let's Encrypt lance les certificats de 6 jours et pour adresses IP

Let's Encrypt introduit deux nouvelles fonctionnalités en disponibilité générale. Les certificats de 6 jours réduisent la fenêtre d'exposition en cas de compromission de clé et encouragent une automatisation robuste du renouvellement. L'autorité propose également des certificats pour adresses IP publiques, validant la propriété via challenge.

Google et Mandiant publient des rainbow tables couvrant l'intégralité de l'espace de clés DES utilisé par Net-NTLMv1. Ces tables permettent de casser n'importe quel hash Net-NTLMv1 en moins de trois secondes sur un ordinateur standard, sans puissance GPU. L'objectif est de démontrer que Net-NTLMv1 n'offre plus aucune protection cryptographique et d'accélérer sa dépréciation au profit de Kerberos ou NTLMv2. Les rainbow tables de 1,1 quadrillion de hashes pré-calculés sont disponibles gratuitement via Google Cloud.

God-eye est un outil d'énumération de sous-domaines alimenté par l'IA qui découvre les actifs exposés d'une organisation. Il intègre plusieurs API de reconnaissance (crt.sh, Shodan, VirusTotal, Censys, SecurityTrails), génère automatiquement des permutations de sous-domaines via LLM, et valide les résultats avec résolution DNS et analyse GeoIP.

Safe-npm permet d'installer des packages NPM dans un environnement Docker isolé avant de les transférer vers le système hôte. L'outil protège contre les attaques par scripts d'installation malveillants (preinstall, postinstall) en exécutant npm install dans un conteneur éphémère avec un utilisateur non-root. Cette approche isole l'exécution de code potentiellement dangereux tout en préservant les dépendances légitimes.

OGhidra établit un pont entre les Large Language Models et l'outil d'analyse binaire Ghidra du LLNL. Cet outil offre un accès aux fonctionnalités de Ghidra depuis Python via un serveur XML-RPC. Les analystes peuvent interroger un LLM sur des fonctions désassemblées, demander des explications de code, et naviguer dans les références croisées. OGhidra facilite l'intégration avec des frameworks d'agents IA comme Claude et prend en charge l'analyse de binaires via son API.

Étendre les capacités de Claude Code pour l'audit de sécurité

Trail of Bits publie des skills pour Claude Code dédiées à l'analyse de sécurité. Les skills couvrent l'audit de smart contracts (6 blockchains), l'analyse statique (CodeQL, Semgrep), la revue différentielle de code, la détection de timing side-channels cryptographiques, et l'analyse de fichiers Burp Suite.

TokenFlare de JUMPSEC est un framework de simulation de phishing Adversary-in-the-Middle pour Entra ID et M365. Déployable sur Cloudflare Workers en quelques minutes, il permet de capturer credentials et cookies de session via un proxy OAuth2 transparent.

Heimdall est un scanner de sécurité AWS qui découvre les chemins d'élévation de privilèges exploitables par les attaquants. L'outil détecte plus de 50 patterns d'élévation IAM et 85 chaînes d'attaque avec mapping MITRE ATT&CK, couvrant 10 services AWS (EC2, RDS, S3, Lambda, KMS, Secrets Manager). Heimdall analyse également les plans Terraform avant déploiement pour identifier les risques.

Gixy-Next est un scanner de sécurité NGINX qui analyse statiquement les fichiers nginx.conf pour détecter les mauvaises configurations. L'outil identifie plus de 25 types de vulnérabilités.

Podcasts

🎧️ NoLimitSecu - Episode consacré à Exegol (outillage pour le pentest)

Conférences / Salons

🗓️ Cyber Show Paris - Le 28 et 29 janvier 2026 à Paris, France

🗓️ Hack'In - Le 30 et 31 janvier 2026 à Aix-en-Provence, France

Finances / Marché

🇧🇪 Aikido Security, plateforme belge de gestion de la posture de sécurité applicative (ASPM), a levé 60 millions de dollars en Series B.

🤝 Inovacom, fournisseur français de services de sécurité managés pour la sécurité physique et cyber, a été acquis par Inherent pour un montant non divulgué.

Misc

Le Monde révèle comment l'industrie de l'« Advertising Intelligence » (Adint) permet aux services de renseignement de pister des smartphones via les données publicitaires. Une quinzaine d'entreprises, principalement israéliennes et fondées par d'anciens des services de renseignement, vendent ces prestations aux forces de l'ordre. Leur matière première sont les données de géolocalisation échangées sur les marchés publicitaires, captées par des applications courantes et censées servir uniquement à des fins commerciales.

European Alternatives est un annuaire recensant les alternatives européennes aux services numériques dominés par les entreprises américaines. Le site couvre de nombreuses catégories : cloud computing, hébergement VPS, analytics web, fournisseurs email, CDN, registrars de domaines, moteurs de recherche et outils de time tracking. Les critères de sélection incluent la conformité RGPD, la facturation avec TVA européenne, et le cadre juridique commun facilitant l'application des droits.

Le chercheur français Yann Le Cun, prix Turing 2018 et ex-directeur de la recherche IA chez Meta, annonce la création de sa startup AMI (Advanced Machine Intelligence) basée à Paris. Après avoir posé les bases de l'apprentissage profond, il prédit une « troisième révolution de l'IA » centrée sur la compréhension du monde physique, avec des applications en industrie et robotique. La levée de fonds est estimée à 500 millions d'euros. Son départ de Meta serait lié à des désaccords stratégiques.

Face aux coupures d'Internet, les populations ougandaises et iraniennes se tournent vers Bitchat, l'application de messagerie décentralisée de Jack Dorsey lancée en juillet 2025. Fonctionnant en réseau maillé Bluetooth sans nécessiter de connexion Internet, elle a enregistré plus de 28 000 téléchargements en Ouganda après la coupure précédant l'élection. Chaque appareil connecté devient un relais, étendant la portée jusqu'à 300 mètres.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter