Sommaire

• Infos

• Vulnérabilités

• Articles

• Outils

• Podcasts / Vidéos

• Conférences / Salons

• Finances / Marché

• Misc

Infos

L’ANSSI publie un nouveau rapport concernant l’état de la menace sur le cloud

L’ANSSI a publié un nouveau rapport partage sur les menaces et défis de sécurité dans le cloud computing. Cet état de la menace s’accompagne de recommandations de sécurité à destination des clients de fournisseurs de services cloud, ainsi qu’aux fournisseurs de services cloud eux-mêmes.

Un thème VS Code malveillant trompe des millions d'utilisateurs

L’extension "Material Theme — Free" pour VSCode, utilisée par près de 4 millions de développeurs, s'est révélée contenir un code malveillant dissimulé dans une dépendance compromise. Cette extension, publiée par Equinusocio, a exposé de nombreux utilisateurs et organisations, et un autre de ses thèmes populaires a également été retiré du marketplace.

Les données personnelles des clients de la branche roumaine d’Orange publiée et disponible sur HIBP

En février 2025, la branche roumaine de l'entreprise de télécommunications Orange a subi une violation de données qui a ensuite été publiée sur un forum de piratage populaire. Les données comprenaient 556 000 adresses e-mail, des numéros de téléphone, des détails d'abonnement, des données partielles de cartes de crédit (type, quatre derniers chiffres, date d'expiration et banque émettrice).

Cellebrite suspend l'accès de la Serbie à sa technologie

Cellebrite, société israélienne spécialisée spécialisée dans l’inforensique et l’exploitation des données des téléphones mobiles, a annoncé qu'elle interdisait désormais à la Serbie l'utilisation de sa suite UFED, conçue pour extraire des données de téléphones mobiles mêmes sans code d'accès. Cette décision intervient à la suite de révélations d'Amnesty International selon lesquelles la police serbe aurait utilisé ces outils pour déverrouiller les téléphones de journalistes et d'activistes, et dans certains cas, les avoir infectés avec le logiciel espion Novispy.

Cellebrite a par ailleurs fourni à certains clients des vulnérabilités permettant de contourner l'écran de verrouillage des appareils Android et d’installer un spyware (exploitation de la faille CVE-2024-53104 affectant les pilotes USB du noyau Linux).

Exposition massive de clés API et mots de passe dans les données d'entraînement de DeepSeek

Une analyse du jeu de données Common Crawl de décembre 2024 (utilisé pour entrainer les LLM), composé de 400 To de données et de 90 000 fichiers WARC, a révélé la présence de près de 12 000 secrets actifs (clés d’API et mots de passe). L’étude souligne que 2,76 millions de pages web contiennent ces secrets.

Le CAIH veut renforcer la sécurité de ses établissements de santé

La Centrale d'achat de l'informatique hospitalière (CAIH) a lancé un marché d’AMOA de 4 ans, d’un montant maximal de 80 M€, pour renforcer la sécurité des systèmes d'information et la protection des données personnelles de ses 2500 adhérents. Quatre prestataires ont été retenus : Atos, Advens, Orange Cyberdéfense et Crisalyde.

La suède souhaite des backdoors dans les applications de messageries chiffrées

Les autorités suédoises envisagent une loi obligeant Signal et WhatsApp à intégrer des portes dérobées pour que les forces de l’ordre puissent accéder aux messages chiffrés des suspects. En réaction, Signal menace de se retirer du marché suédois, et les forces armées, qui utilisent l’application, dénoncent les risques de ce genre de pratique. Des initiatives similaires sont également observées aux États-Unis, au Royaume-Uni et en France, suscitant des inquiétudes sur la sécurité et la vie privée.

Augmentation des scans du service RDP sur le port 1098

Habituellement, RDP communique via le port 3389. Cependant, des rapports de sécurité récents, tels que celui publié par Shadowserver en décembre 2024, ont mis en évidence que des attaquants analysent désormais le port 1098, afin d'identifier des services RDP vulnérables.

Utiliser le Copilot de Microsoft pour exposer des milliers de dépôts GitHub privés

Des chercheurs ont démontré que, même après qu’un dépôt GitHub soit rendu privé, son contenu précédemment indexé par Bing reste accessible via Microsoft Copilot, exposant ainsi des données sensibles (tokens, clés, secrets) qualifiées de « Zombie Data ».

Changement de cap dans la stratégie cyber américaine

Des médias américains rapportent que la CISA et l'US Cyber Command auraient reçu l'ordre de suspendre les opérations cyber contre la Russie et de ne plus considérer les attaquants russes comme une menace, en recentrant leurs actions sur la protection des infrastructures nationales et la lutte contre les activités chinoises. Bien que démenties par la CISA et le département de la Défense, ces directives, qui excluent la Russie des priorités officielles, pourraient impacter notamment le soutien cyber à l'Ukraine et exposer le secteur privé à des risques accrus de cyberattaque.

Escroquerie PayPal via l’API DocuSign

Des attaquants utilisent l’API DocuSign pour envoyer des emails de phishing prenant apparemment la forme de factures PayPal authentiques, contournant ainsi plusieurs filtres de sécurité.

Leçons tirées de l'attaque d'Ascension Health par BlackBasta

Les conversations privées divulguées du groupe d’attaquants BlackBasta révèlent le fonctionnement interne de ce groupe de ransomware russe, illustré par l'attaque planifiée sur Ascension Health qui a utilisé la technique de démarrage « Safe Mode Boot » sur plus de 12 000 endpoints. Le groupe a méticuleusement préparé et exécuté l'intrusion pendant près de six mois, espérant initialement soutirer une rançon élevée en s'appuyant sur l'extorsion de données.

Un rapport d'enquête sur l’attaque de la plateforme Bybit disponible

Suite à l'annonce du piratage record de Bybit la semaine dernière, un rapport d'enquête a été publié ou divulgué. Il fournit beaucoup plus de détails sur ce qui s'est passé et sur l'ingéniosité croissante de la Corée du Nord dans ses opérations visant les cryptomonnaies. Les attaquants ont compromis l’ordinateur portable d'un développeur d'un service de portefeuille multi-signatures hébergé, puis ont attendu que les développeurs de Bybit se connectent pour réaliser une transaction multi-signatures. Une fois qu'ils ont détecté qu'une transaction était en cours, les attaquants nord-coréens ont remplacé des ressources JavaScript statiques par des versions malveillantes et modifié les adresses des portefeuilles destinataires directement dans l'interface utilisateur.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 09

11 vulnérabilités critiques impactant notamment les produits IBM (Cognos Analytics, QRadar, Cognos Dashboards) et les produits NetApp (SolidFire & HCI Management Node, SolidFire & HCI Storage Node, HCI Compute Node). Aucune semble actuellement exploitée.
Le bulletin met également en avant 5 vulnérabilités critiques plus anciennes qui sont actuellement exploitées. Celle-ci impacte Oracle Agile PLM, Adobe ColdFusion, Synacor Zimbra Collaboration, Microsoft Partner Center et F5 BIG-IP.

Mises à jour critiques pour VMware face à des vulnérabilités activement exploitées

Broadcom a publié des correctifs de sécurité pour trois vulnérabilités critiques dans VMware ESXi, Workstation et Fusion, dont deux permettent l'exécution de code arbitraire. Ces failles, impactant notamment ESXi 7.0 et 8.0 ainsi que d'autres produits, comme VMware Cloud Foundation et VMware Telco Cloud Platform, ont été exploitées.

Articles

Nouveaux outils pour l’extraction de secrets Windows

Cet article décrit comment l'outil secretsdump.py, utilisé pour extraire des secrets Windows (SAM, LSA, DPAPI, etc.), est de plus en plus bloqué par les solutions de sécurité. Pour contourner ces détections, un nouveau script nommé regsecrets.py exploite l’option REG_OPTION_BACKUP_RESTORE, évitant d’écrire des fichiers sur le disque. Une pull request a été ouverte pour l’ajouter à la suite impacket. Un second outil, dpapidump.py, s’intègre dans la même logique pour récupérer des secrets SCCM et DPAPI en limitant les alertes.

Wallbleed : vulnérabilité de divulgation mémoire dans le système d'injection DNS du Grand Firewall de Chine

L'étude présente Wallbleed, une vulnérabilité de dépassement de tampon dans le sous-système d'injection DNS du Grand Firewall de Chine, qui permettait de divulguer jusqu'à 125 octets de mémoire interne via des requêtes DNS malformées.

Amélioration du relaying NTLM/Kerberos via basculement SMB/WebDav

L'article décrit une technique permettant de faire basculer les clients SMB Windows vers le client HTTP WebDav en réponse à des codes d'erreur spécifiques (STATUS_LOGON_FAILURE ou STATUS_BAD_NETWORK_NAME). Ce mécanisme exploite le fait que, contrairement aux authentifications SMB qui intègrent la signature pour garantir l'intégrité, les authentifications HTTP NTLM n'exécutent pas de vérifications similaires, offrant ainsi de meilleures possibilités de relay pour accéder à des services sensibles comme LDAP ou effectuer du Kerberos relaying.

Contournement de la Content-Security-Policy via la directive form-action et les attaques par balise inachevée

Ce texte démontre que, malgré l’adoption généralisée de la Content-Security-Policy pour prévenir les injections de contenu (XSS, HTML), de mauvaises configurations existes. L’absence ou l’utilisation incorrecte de la directive form-action laissent les applications vulnérables. Il expose divers vecteurs d’attaque, tels que l’exfiltration de données via des formulaires, les attaques par balise non fermée (dangling markup), la pollution de paramètres et des techniques de contournement, comme l’encodage en UTF-16 ou l’usage détourné de CSS.

Escroquerie GitHub : dépôts malveillants pour voler les données

L'enquête détaille une escroquerie sur GitHub où des milliers de dépôts truqués proposaient des mods et cracks pour des applications et jeux populaires, mais qui installaient en réalité un malware.

Techniques de contournement d'AMSI en 2025

Le contournement de Windows AMSI (Antimalware Scan Interface) reste pertinent en 2025, malgré des évolutions des signatures et détections comportementales des solutions AV/EDR. Les techniques incluent la modification des signatures, l'utilisation de breakpoints matériels, et la manipulation des DLLs impliquées dans AMSI (amsi.dll, clr.dll).

Une enquête sur un écosystème mondial de la contrefaçon de documents

Cette enquête de Lexfo révèle l’ampleur de la contrefaçon de documents, accessible sur Internet ou le darknet. Ces activités illicites, motivées par des gains rapides, permettent de créer de faux diplômes, pièces d’identité ou justificatifs, utilisés pour des fraudes financières, l’espionnage industriel ou des opérations clandestines.

Enquête de Cisco Talos sur les arnaques visant les vendeurs en ligne

Les vendeurs sur les marketplaces en ligne comme eBay ou Reverb sont de plus en plus ciblés par des cyberattaques, notamment via des campagnes de phishing, des modifications frauduleuses d'informations de livraison, des paiements "amis et famille", ou des tentatives de transactions hors plateforme. Ces arnaques visent généralement à voler des informations sensibles (détails de carte bancaire, comptes de paiement) ou à contourner les protections des marketplaces.

Comprendre et exploiter les attributs étendus dans macOS

Les attributs étendus (Extended Attributes) de macOS permettent de stocker des métadonnées supplémentaires sur les fichiers, telles que leur origine ou leur statut de quarantaine, essentielles pour la sécurité et les analyses forensic. À travers une étude de cas sur un fichier téléchargé (Webex.dmg), l'article décrit l'utilisation d'outils comme ls, xattr et sqlite3 pour inspecter, gérer et extraire ces informations.

Compromission de phpMyAdmin et attaques watering hole

Dans le cadre d’un audit “assumed breach”, l’équipe a compromis plusieurs applications web, y compris une version obsolète de phpMyAdmin 2.11.5, afin d’implanter de fausses pages SSO (Single Sign-On) pour collecter des identifiants.

Outils

Challenges de sécurité sur le jailbreak des LLM

Les LLM se démocratisent et sont de plus en plus utilisés en entreprise. Toutefois, cela les expose à des attaques spécifiques aux LLM en environnement web, qui tirent parti de l'accès du modèle à des données, à des API ou à des informations utilisateur auxquelles un attaquant ne peut pas accéder directement. Par exemple, un attaquant pourrait :

• Récupérer des données auxquelles le LLM a accès. Ces données proviennent généralement du prompt fourni au LLM, de son jeu de données d’entraînement ou des API mises à disposition du modèle.

• Déclencher des actions malveillantes via des API. Par exemple, l'attaquant pourrait exploiter un LLM pour mener une attaque par injection SQL sur une API à laquelle le modèle a accès.

• Déclencher des attaques contre d’autres utilisateurs et systèmes interrogeant le LLM.

Voici une série de sites web permettant de s’exercer au jailbreak des LLM :

• https://gpa.43z.one/

• https://myllmdoc.com/

• https://myllmbank.com/

• https://portswigger.net/web-security/llm-attacks 

Extension Burp Suite pour la gestion des messages chiffrés WebSocket

PyCript WebSocket est une extension pour Burp Suite conçue pour chiffrer et déchiffrer les messages WebSocket, distincte de l'extension originale PyCript. Compatible avec divers langages (Python, Go, Node.js, C, etc.), elle permet de développer une logique de chiffrement/déchiffrement personnalisée, offrant ainsi une grande flexibilité pour les tests d’intrusion.

Outil Python pour l'énumération d'utilisateurs IAM et l'attaque de password spraying sur AWS

L'outil AWeSomeUserFinder, développé en Python3, permet l'énumération des utilisateurs IAM et l'exécution d'attaques de "password spraying" sur AWS. Il nécessite des permissions spécifiques (comme "iam:GetRole" et "iam:CreatePolicy") et l'utilisation d'une clé d'accès et clé secrète AWS.

Scanner de sécurité pour comptes Twilio

Twilio Security Scanner est un outil conçu pour identifier les mauvaises configurations et les risques de sécurité dans les comptes Twilio. Il permet de détecter des failles, telles que des fonctions et actifs serverless publics, des webhooks HTTP non chiffrés pour les numéros et services de messagerie, ainsi que des clés API dépassant 90 jours. Un article de blog est également disponible ici.

Podcasts / Vidéos

🎬 Pourquoi les criminels achètent ces téléphones 6000$ ? L'histoire d'un téléphone chiffré, développé par le FBI pour traquer le crime organisé mondial.

Conférences / Salons

🗓️ Insomni’hack - Du 10 au 15 mars 2025 à Genève (Suisse)

🗓️ IT & CYBERSECURITY MEETINGS - Du 18 au 20 mars 2025 à Cannes (France).

Finances / Marché

🤝 Fermeture de Skybox Security et acquisition par Tufin 

Skybox Security, entreprise israélienne spécialisée dans la cybersécurité, a annoncé sa fermeture définitive et le licenciement de ses 300 employés, sans verser leurs derniers salaires. En proie à des dettes importantes, la société a cessé ses activités et procédé à la liquidation de ses actifs, qui ont été acquis par Tufin, une autre entreprise israélienne du secteur.

📈 NinjaOne lève 500 M$ pour accélérer la gestion automatisée des endpoints et la cybersécurité. 

La startup NinjaOne, spécialisée dans la gestion des appareils endpoints, a levé 500 millions de dollars, atteignant une valorisation de 5 milliards.

Misc

Last Week Tonight de John Oliver sur Facebook et sa nouvelle politique de modération de contenu

John Oliver discute des nouveaux plans controversés de Facebook concernant la modération du contenu

iMessage : quand le chiffrement ne suffit pas

La fonctionnalité de « messages éphémères » manque cruellement à iMessage, malgré le chiffrement de bout en bout mis en avant par Apple. D’autres applications majeures (WhatsApp, Signal, etc.) offrent déjà ce mode permettant de supprimer automatiquement les messages et de limiter leur présence dans les sauvegardes. L’absence de cette option place iMessage en décalage avec le secteur et compromet potentiellement la vie privée des utilisateurs.

Construire un cluster NUC Proxmox pour un homelab sécurisé

Série d’articles qui présentent la création d’un cluster de mini-PC Intel NUC sous Proxmox, idéal pour monter un homelab de test d’attaques et de déploiement d’outils de sécurité. L’auteur explique la configuration matérielle, l’installation de Proxmox, ainsi que la mise en place d’un environnement Docker (Portainer, Watchtower, Homarr).

Manifest V3 : la fin annoncée du blocage publicitaire efficace ?

uBlock Origin commence déjà à être désactivé sur Chrome alors que Google met fin progressivement au Manifest V2, notamment pour des raisons de sécurité et de performances. L’API WebRequest, cruciale pour les bloqueurs de publicités, est remplacée par declarativeNetRequest plus restreinte, ce qui limite fortement les capacités d’extensions comme uBlock Origin Lite. Edge manifeste des comportements similaires dans sa version Canary, sans calendrier officiel de la part de Microsoft. Brave, Firefox et Vivaldi maintiennent pour leur part le support de V2, permettant encore un blocage publicitaire complet.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter