Sommaire

• Infos

• Vulnérabilités

• Articles

• Outils

• Podcasts / Vidéos

• Misc

Infos

Le CISA lance Vulnrichment qui vise à rendre les données CVE plus pertinentes et exploitables, aidant les professionnels de la cybersécurité à prendre des décisions plus intelligentes et rapides. L’objectif est d’ajouter des éléments tels que la catégorisation spécifique aux parties prenantes (SSVC), les identifiants de faiblesses communes (CWE), et les scores CVSS aux données CVE standard. Lien 

Une erreur DNS de MasterCard est passée inaperçue pendant des années. Le géant des cartes de paiement vient de corriger une erreur dans les paramètres de son serveur DNS, qui aurait pu permettre à quiconque d'intercepter ou de détourner le trafic Internet de l'entreprise en enregistrant un nom de domaine inutilisé. Tous les noms des serveurs DNS d'Akamai que MasterCard utilise sont censés se terminer par "akam.net", mais l'un d'entre eux était mal configuré pour dépendre du domaine "akam.ne". Lien 

Un article qui évoque les raisons pour lesquelles la surface d'attaque d’applications SaaS ne peut plus être ignorée. L'augmentation de l'utilisation des applications SaaS crée des risques croissants pour les entreprises, notamment en matière de sécurité des identités, des données, et des tiers. Les données de Nudge Security montrent qu'un employé moyen crée un nouveau compte SaaS environ toutes les deux semaines. Lien 

Les utilisateurs de Homebrew sur macOS ciblés par un malware voleur d'informations. Une campagne malveillante a redirigé les utilisateurs de macOS vers un faux site web de Homebrew, les infectant avec un malware conçu pour voler des informations. Lien 

Une analyse des opérations des ransomwares HellCat et Morpheus révèle que les affiliés de ces entités cybercriminelles utilisent un code identique pour leurs charges malveillantes. Lien 

Lors du concours de hacking Pwn2Own Automotive 2025 à Tokyo, des chercheurs ont piraté deux fois le chargeur électrique Tesla Wall Connector et exploité 23 vulnérabilités "zero-day" dans d'autres systèmes de recharge pour véhicules électriques et systèmes de divertissement embarqués (335 500 $ de récompense). Synacktiv, qui a également piraté le chargeur de véhicules électriques de Tesla via le connecteur de charge, a présenté une approche qui n'avait jamais été divulguée publiquement auparavant. Lien 

Le CISA et le FBI ont publié la version 2.0 des Product Security Bad Practices, qui détaille les pratiques de sécurité à éviter pour les fabricants de logiciels, particulièrement ceux destinés aux infrastructures critiques. Lien 

Google a lancé le programme InternetCTF, conçu pour encourager les chercheurs en sécurité à découvrir de nouvelles vulnérabilités dans des logiciels open source sécurisés et à développer des correctifs sous forme de plugins “Tsunami”. Lien 

Le botnet Mirai lance une attaque DDoS record de 5,6 Tbps avec plus de 13 000 appareils IoT. Cloudflare a annoncé la semaine dernière avoir détecté et bloqué cette attaque DDoS la plus importante attaque jamais signalée à ce jour. Lien 

Google renforce la gestion des extensions Chrome pour les entreprises. Google a déployé plusieurs outils dédiés aux administrateurs réseau, leur permettant de mieux contrôler et gérer les extensions Chrome installées sur les navigateurs de leurs collaborateurs. Lien 

Le vol de données personnelles dont a été victime l’entreprise américaine PowerSchool semble très important. L’entreprise basée en Californie fournit des logiciels cloud à environ 16 000 écoles primaires et secondaires dans le monde (environ 60 millions d’élèves). Cette attaque pourrait être une des plus importantes violations de données de 2025. Lien 

L'État de New York a annoncé un règlement de 2 000 000 $ avec PayPal concernant des accusations selon lesquelles l'entreprise n'aurait pas respecté les réglementations en matière de cybersécurité de l'État, entraînant une violation de données en 2022. Lien 

Vulnérabilités

CISA et FBI publient un avis sur l'exploitation en chaîne de vulnérabilités dans les applications cloud d'Ivanti. Lien

Cisco a publié la semaine dernière une alerte de sécurité relative à la découverte d'une faille critique (CVE-2025-20156 / CVSS 9.9) au sein de Meeting Management, sa solution serveur dédiée à la gestion et à l'hébergement des rendez-vous organisés via téléconférence. Lien 

Un rapport d’Eclypsium révèle des vulnérabilités critiques dans trois modèles de pare-feu de Palo Alto Networks (PA-3260, PA-1410, et PA-415), nommées collectivement PANdora's Box. Ces failles touchent le firmware et les mécanismes de sécurité comme Secure Boot, exposant les appareils à des attaques potentielles. Lien 

SonicWall a averti ses clients d'une vulnérabilité critique, potentiellement exploitée comme zero-day, affectant sa gamme Secure Mobile Access (SMA) 1000. Cette faille, identifiée comme CVE-2025-23006, permettrait à un attaquant distant non authentifié d'exécuter des commandes système arbitraires dans des conditions spécifiques. Lien 

Le logiciel SimpleHelp, conçu pour le support à distance, présente plusieurs vulnérabilités majeures. Ces failles, liées à la gestion des fichiers et aux privilèges utilisateurs, exposent les serveurs à d’éventuelles attaques. Lien 

Des attaquants exploitent une vulnérabilité critique (RCE) récemment divulguée dans la plateforme cloud Aviatrix Controller (CVE-2024-50603 / CVSS 10.0). Celle-ci est exploitée sur Internet et le PoC est apparu un jour après la divulgation. Problème : il semblerait que la correction n'est pas persistante dans certains scénarios. Lien 

Articles

Une série de post blog pour renforcer la sécurité de son Active Directory (désactivation de NtlmV1 et SMBv1, forcer les signatures SMB et le LDAP Channel Binding, forcer AES pour Kerberos, etc.). Lien 

Un article sur la création d’une Infrastructure C2 avec Sliver et NGINX pour du redteam. L’auteur décrit une approche multicouche utilisant Sliver, NGINX Proxy Manager, et Cloudflare pour masquer le trafic, contourner les outils de détection réseau (NDR, IDS/IPS) et maintenir l’anonymat. Lien 

Des chercheurs ont découvert une vulnérabilité critique dans le système connecté STARLINK de Subaru a été découverte, permettant à un attaquant de contrôler à distance des véhicules et d'accéder à des informations sensibles pour tous les clients aux États-Unis, au Canada, et au Japon. Il était possible de démarrer, arrêter, verrouiller et déverrouiller un véhicule à distance tout en le localisant. Lien 

Un article qui revisite une technique pour héberger des charges utiles malveillantes au travers de Python pour Windows. Lien 

Un article qui évoque les service AWS où il est toujours possible de créer des ressources non chiffrées. Bien qu'AWS facilite le chiffrement par défaut sur plusieurs services (comme S3 et Amazon Aurora DSQL), 15 services AWS offrent toujours la possibilité de créer des ressources non chiffrées. Ces ressources exposent des données sensibles et nécessitent une attention particulière pour garantir la sécurité. Lien 

Un article que une attaque de désanonymisation 0-click ciblant Signal, Discord et des centaines de plateformes qui permettrait à un attaquant de localiser n'importe quelle cible dans un rayon de 400 km. Celle-ci exploite des failles dans les systèmes de Cloudflare et les mécanismes de cache utilisés par des applications populaires comme Signal et Discord. Lien 

Analyse Technique du Malware InvisibleFerret. Ce malware est diffusé via de fausses offres d’emploi dans des campagnes connues sous le nom de Contagious Interview ou DevPopper, où les victimes téléchargent des logiciels malveillants déguisés en challenge de code ou en logiciels de visioconférence. Lien 

Outils

Cacheract : un outil de démonstration et une preuve de concept développée pour sensibiliser aux vulnérabilités de cache empoisonné dans GitHub Actions CI/CD. Il illustre comment un cache mal configuré peut être exploité pour exécuter du code malveillant, compromettre des pipelines et persister sans être détecté. Lien 

Sshcont : un utilitaire conçu pour créer et gérer des conteneurs Docker temporaires via SSH. Il permet aux utilisateurs de lancer des conteneurs, d'interagir avec eux via SSH, et de les supprimer automatiquement après la fin de la session. Lien 

Fedisecfeeds : un service basé sur GitHub Pages qui agrège les CVE. Lien 

Cyberbro : un outil qui extrait vos IoCs (Indicateurs de Compromission) à partir d'entrées brut non structurées et vérifie leur réputation à l'aide de plusieurs services (OpenCTI, VirusTotal, AbuseIPDB, IPInfo, Spur.us, MDE, Google Safe Browsing, Shodan, Abusix, Phishtank, ThreatFox, URLscan, Github, Google...). Une démo est disponible ici. Inspiré par Cybergordon et IntelOwl. Lien 

Dyana : une sandbox utilisant Docker et Tracee pour charger, exécuter et profiler une large gamme de fichiers, y compris des modèles d'apprentissage automatique, des exécutables ELF, des fichiers sérialisés Pickle, des scripts JavaScript, etc. Lien 

Baitroute : un honeypot web qui propose des services réalistes et paraissant vulnérables pour détecter les scans de vulnérabilités et induire en erreur les attaquants en fournissant de faux positifs. Il peut être importé en tant que bibliothèque dans un projet et est prêt à l'emploi avec ses règles. Des implémentations en Go, Python et JavaScript sont disponibles. Lien 

Semgr8s : un outil pour utiliser vos règles Semgrep publiques connues ou personnalisées afin de valider les ressources Kubernetes avant leur déploiement dans le cluster. Lien 

Seccomp-diff : un outil pour analyser les binaires et les conteneurs afin d’extraire et désassembler les profils seccomp-bpf. Cet outil est conçu pour vous aider à déterminer si un profil seccomp-bpf donné est plus ou moins restrictif que d'autres. Lien 

ConvoC2 : une infrastructure de Command and Control (C2) qui permet aux redteamers d'exécuter des commandes système sur des hôtes compromis via Microsoft Teams. Lien 

USB Army Knife : une sorte de clé USB multifonction destinée aux pentesters pour exploiter les vulnérabilités en accès physique. Similaire au Rubber Ducky ou encore au Flipper Zero, il combine divers vecteurs d'attaque, notamment l'injection de frappes clavier, l’usurpation de réseau, les attaques Wi-Fi, etc. Lien 

Podcasts / Vidéos

🎬 ShmooCon 2025 "Commencement into Real Kubernetes Security". Lien 

Misc

🎬 La guerre secrète pour le contrôle de World of Warcraft ou comment des bots génèrent des millions de dollars en toute légalité. Lien

🤯 Tetris dans un PDF. Vous pouvez jouer dans ce fichier. Lien 

OrbStack : une alternative à Docker Desktop sur macOS plus légère et moins consommatrice en batterie. Lien 

Wine 10.0 vient d’être officiellement dévoilé. Il permet maintenant de faire fonctionner les applications Windows ARM. Lien 

Najva : un assistant vocal sous macOS qui transcrit vos paroles et les transforme en actions concrètes. Lien 

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter