Sommaire

• Infos

• Vulnérabilités

• Articles

• Outils

• Podcasts / Vidéos

• Conférences / Salons

• Finances / Marché

  • 💶 Les financements en Europe

  • 🤝 Les fusions/acquisitions en France

• Misc

Infos

Les données de la plateforme de gestion hôtelière Otelier piratée en juillet 2024 ont été ajoutées à HIBP. Elles comprenaient 437 000 adresses e-mail de clients, des noms, des adresses physiques, des numéros de téléphone, des informations de réservation liées à des plans de voyage, des achats enregistrés par la plateforme et, dans un petit nombre de cas, des données partielles de cartes bancaires. Lien 

L’enseigne de prêt-à-port Kiabi a été victime d’une cyberattaque. Les données et IBAN de 20 000 clients ont été volées. Lien 

Des chercheurs en sécurité ont réussi à pirater le contrôleur USB-C personnalisé ACE3 d'Apple, intégré dans les iPhone 15. Présenté lors du CCC en Allemagne, ce hack combine reverse engineering, analyse de canaux auxiliaires et injection de fautes électromagnétiques pour exécuter du code sur le contrôleur. Bien qu'Apple minimise les risques en raison de la complexité de l'attaque, cette percée ouvre la voie à d'éventuelles vulnérabilités futures. Lien

CISA a publié un guide détaillé sur les nouvelles fonctionnalités de journalisation introduites dans Microsoft Purview Audit (Standard). Ces fonctionnalités permettent aux organisations de mener des enquêtes judiciaires et de conformité en accédant à des événements critiques, tels que les éléments de messagerie consultés, les éléments de messagerie envoyés ou les recherches effectuées par les utilisateurs dans SharePoint Online et Exchange Online. Lien / PDF

La CNIL publie son plan stratégique 2025-2028. Celui-ci comporte quatre grands axes : intelligence artificielle, droits des mineurs, cybersécurité et usages du quotidien numérique. Lien 

Nouvelle campagne de spear-phishing de Star Blizzard ciblant les comptes WhatsApp. À la mi-novembre 2024, Microsoft Threat Intelligence a observé le groupe d’attaquants russe Star Blizzard envoyer des messages de spear-phishing à ses cibles habituelles. Lien 

Une vague de smishing (phishing par SMS) cible les automobilistes américains depuis janvier 2025, via des messages frauduleux imitant des opérateurs de péages. Ces attaques, liées à des kits de phishing chinois comme Lighthouse, redirigent vers des sites mobiles exigeant le paiement de supposées amendes, puis volent les données bancaires et codes de validation. Lien 

Microsoft commence 2025 avec une mise à jour de sécurité record en publiant des correctifs pour un nombre sans précédent de 159 vulnérabilités, dont huit failles de type zero-day, parmi lesquelles trois sont déjà exploitées par des attaquants. Lien 

La FTC ordonne à GoDaddy de corriger ses mauvaises pratiques de sécurité en matière d'hébergement web. Lien 

Le FBI a supprimé le malware PlugX de milliers de machines infectées aux États-Unis. L'opération a été réalisée en partenariat avec les autorités françaises qui ont eu accès au serveur de commande et contrôle (C2) pour ce variant de PlugX. Lien 

Microsoft accuse un groupe d'avoir abusé d'Azure OpenAI pour produire des images illicites. Microsoft affirme qu'un groupe a exploité des clés API volées pour utiliser les capacités de DALL-E via Azure OpenAI afin de générer des images illicites. Cette opération illégale met en lumière des abus de ressources d'IA à des fins malveillantes.. Lien 

Un groupe d’attaquants, le Belsen Group, a divulgué sur le dark web des fichiers de configuration, des adresses IP et des identifiants VPN pour plus de 15 000 appareils FortiGate. Ces données sensibles, comprenant des clés privées, des règles de pare-feu et des mots de passe en texte clair, ont été collectées en exploitant une vulnérabilité zero-day (CVE-2022-40684) en octobre 2022. Lien 

Le CERT Ukrainien alerte sur des tentatives en cours par des acteurs malveillants non identifiés visant à se faire passer pour l'agence de cybersécurité en envoyant des requêtes de connexion AnyDesk, un logiciel d'assistance à distance. Lien 

Vulnérabilités

Nous avons terminé l'année 2024 avec 40 009 CVE publiées, soit une augmentation de plus de 38 % par rapport aux 28 818 CVE publiées en 2023. En moyenne, 108 CVE ont été publiées chaque jour. Lien 

• Mai a enregistré le plus grand nombre de CVE publiées, avec un total de 5 010, soit 12,5 % de toutes les CVE de l'année.

• Les mardis se sont révélés être les jours les plus prolifiques, avec 9 706 CVE, représentant 24,3 % des CVE publiées.

• Le 3 mai détient le record du plus grand nombre de CVE publiées en une seule journée, avec 824.

Bulletin d'actualité du CERT-FR de la semaine 03 avec 16 vulnérabilités critiques impactant notamment les produits Microsoft (3 activement exploitées, voir lien), FortiOS / FortyProxy également exploitées et les produits SAP. Lien

Des chercheurs ont identifié six vulnérabilités dans l'utilitaire Rsync, dont la plus grave est un heap buffer overflow pouvant entraîner une exécution de code à distance. Les responsables de Rsync ont publié une nouvelle version qui corrige l'ensemble de ces failles. Lien 

Un article qui détaille d’un POC pour une vulnérabilité critique dans Apache Tomcat, CVE-2024-50379. Cette faille résulte d'une race condition dans le traitement des fichiers, notamment lors de la compilation des pages JSP. Lien 

Un code d'exploitation a été publié pour la CVE-2024-27397. Cette vulnérabilité impacte le composant nf_tables du noyau Linux. Cette faille peut permettre une élévation de privilèges, pouvant conduire à une compromission du système. Lien

Une vulnérabilité dans le plugin WordPress W3 Total Cache pourrait permettre aux attaquants d'accéder à des informations provenant de services internes. (CVE-2024-12365 / CVSS de 8.5). Lien

Code d'exploitation PoC publié pour une faille de type RCE dans les appareils QNAP (CVE-2024-53691 / CVSS 8.7)

Articles

Un article explore la détection de la dérive des conteneurs (container drift) dans un contexte de forensique, en se concentrant sur les systèmes de fichiers OverlayFS utilisés dans les environnements conteneurisés comme Docker et containerd. Lien 

Une analyse des activités de lutte contre les ransomwares en 2024. Lien 

Un article qui explore les chemins d'attaque possibles dans Microsoft Intune, le service Azure de gestion des terminaux. Intune est une cible intéressante pour les attaquants, car il permet d'exécuter des commandes et des applications avec des privilèges élevés (comme NT AUTHORITY\SYSTEM). Lien 

Un dépôt hébergeant des fichiers de challenge, du code source et des scripts de résolution provenant des précédentes compétitions Intigriti 1337UP CTF. Lien 

L'article explore une technique peu connue appelée GitHub Graffiti, qui permet de "décorer" non seulement son propre graphique d'activité GitHub, mais aussi celui d'autres utilisateurs, en exploitant des failles dans le système de validation des commits Git. Cette technique peut être utilisée à mauvais escient, par exemple pour afficher des messages malveillants sur le profil d'autres utilisateurs. Mais l'auteur propose d'utiliser cette technique pour marquer les profils de fraudeurs, spammeurs ou pirates, en affichant des avertissements visibles sur leur graphique d'activité. Lien 

Une analyse des politiques d'organisation AWS, essentielles pour gérer des environnements multi-comptes AWS de manière sécurisée et efficace. Lien 

Un post blog qui détaille la vulnérabilité critique (CVE-2024-43468 / CVSS 9.8) découverte dans Microsoft Configuration Manager (ConfigMgr), un outil de gestion de systèmes utilisé pour le déploiement de logiciels, la gestion des correctifs et l'inventaire des ressources. Cette vulnérabilité permet des injections SQL non authentifiées, offrant un accès complet à la base de données ConfigMgr et permettant l'exécution de commandes arbitraires sur le serveur. Lien 

Comment Google assure une détection des menaces de haute qualité, évolutive et moderne. Lien 

Ce document explore les techniques modernes de détection et de contournement des EDR (Endpoint Detection and Response) en 2024, en mettant l'accent sur les loaders de shellcode non détectés. Lien 

Cet article explore l’exploitation d’une vulnérabilité critique dans le chiffrement BitLocker, appelée bitpixie, qui permet à un attaquant d'accéder aux fichiers d’une machine chiffrée sans avoir besoin de la démonter ou de connaître le mot de passe. Cette vulnérabilité, découverte en août 2022, repose sur une faille dans le gestionnaire de démarrage de Windows qui ne supprime pas correctement les clés de chiffrement lors d'un redémarrage logiciel via PXE (Preboot Execution Environment). Lien 

Ce document s’intéresse à l'avenir de l'authentification sans mot de passe grâce aux passkeys, une technologie basée sur la cryptographie à clé publique qui réduisent les risques d'attaques par phishing ou de credential stuffing. Le document examine les avantages et les défis de l'adoption des passkeys dans les environnements d'entreprise. Lien

Outils

TokenSmith: un outil conçu pour générer des jetons d'accès et de renouvellement Entra ID dans le cadre de pentest ou de redteam. Lien 

OSV-SCALIBR : une nouvelle bibliothèque open source développée par Google pour l'analyse de la composition logicielle (SCA) et le scan des systèmes de fichiers. Elle offre des fonctionnalités avancées pour identifier les vulnérabilités dans les dépendances logicielles, générer des SBOM (Software Bill of Materials), et détecter des configurations vulnérables. Lien 

IAM-simulate : un simulateur AWS IAM et testeur de politiques conçu comme une bibliothèque Node/TypeScript. Lien 

100DaysofYARA2025 : à l’occasion de l’initiative 100 Days of YARA 2025, ce dépôt servira de stockage pour toutes les idées YARA créées durant cette initiative. Les chercheurs sont invités à ajouter tous les scripts, outils ou règles qu’ils conçoivent. Lien 

LitterBox : une sandbox spécifiquement dédiée à l’étude des malwares ou de code d’exploitation. Lien 

Podcasts / Vidéos

🎬 Le plus grand cyber-braquage du jeu vidéo. L’histoire d’un compte Steam piraté qui valait des millions. Lien 

🎧️ NoLimitSecu : CERT Aviation France. Lien

Conférences / Salons

🗓️ GS Days 15e édition - 28 janvier 2025, Paris 3e à l’Espace Saint-Martin. Lien

🗓️ Cyber Show Paris. - 29 janvier au 30 janvier 2025 à Paris, France. Lien

Finances / Marché

Comment Barcelone est devenue une destination inattendue pour les startups spécialisées dans les logiciels espions. Lien 

📈 SailPoint, une plateforme américaine de gestion des identités et des accès (IAM) destinée aux entreprises, a déposé un formulaire S-1 pour entrer en bourse. Si cette opération aboutit, il s'agira de la première introduction en bourse dans le secteur de la cybersécurité en 2025. Lien

💶 Les financements en Europe

🇫🇷 BforeAI, une plateforme française spécialisée en Threat Intel, a levé 10 millions de dollars lors d’un tour de financement de série B. Lien

🇨🇿 Wultra, une plateforme tchèque spécialisée dans l'authentification sans mot de passe pour le secteur des services financiers, a levé 3,1 millions de dollars lors d’un tour de Seed. Lien

🇫🇮 Remod, une société finlandaise de services professionnels spécialisée dans la gestion des programmes de sécurité de l'information et la sécurité des réseaux, a levé 409 800 dollars lors d’un tour de financement. Lien 

🤝 Les fusions/acquisitions en France

🇫🇷 Kerberos, une société française de services professionnels spécialisée dans la sécurité des réseaux, a été acquise par Tersedia pour un montant non divulgué. Lien 

🇫🇷 Devensys Cybersecurity, une société française de services professionnels spécialisée dans la sécurité offensive et les tests d'intrusion, a été acquise par Inherent pour un montant non divulgué. Lien 

Misc

Un guide pratique pour l’installation d’un SOC « maison » avec Proxmox et Wazuh. Lien 

Pake : un outil pour transformer vos sites web en applications desktop. Lien 

Top 10 des façons pour surveiller son système Linux. Lien 

Bore : un tunnel TCP rapide et léger pour exposer vos ports locaux sur le Internet sans prise de tête avec la configuration de votre box ou de votre pare-feu. Lien 

Rustpad : un éditeur de code collaboratif léger et performant permettant de coder à plusieurs. Lien 

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter