- Erreur 403
- Posts
- Erreur 403 | #16
Erreur 403 | #16
Nouvelle tactique de Silk Typhoon, vulnérabilités critiques (ESP32, PHP, Apple, Microsoft), arnaques innovantes via lettres postales, cyberattaques majeures (X, NTT télécoms, POLSA), plan stratégique 2025-2027 de l’ANSSI, etc.
Bastien Cacace
March 13, 2025
Sommaire
Infos
Microsoft Threat Intelligence a identifié un changement de tactique du groupe d’attaquants chinois Silk Typhoon, qui cible désormais les outils de gestion à distance et les applications cloud pour obtenir un accès initial. Un exemple marquant est leur exploitation récente de la vulnérabilité CVE-2025-0282 des VPN Ivanti Pulse Connect, permettant une élévation de privilège. Autre source.
Aux Etats-Unis, une arnaque récente utilise des lettres postales pour usurper une attaque du groupe de ransomware BianLian, exigeant une rançon entre 250 000 et 350 000 USD. Les demandes de rançon sont payables par Bitcoin avec des instructions simplifiées grâce à un QR code.
Il s’oriente autour de 4 axes :
Amplifier et coordonner la réponse cyber face à la massification de la menace ;
Développer les expertises indispensables pour contrer les menaces cyber ;
Promouvoir une action cyber européenne et internationale efficace ;
Renforcer la prise en compte des enjeux sociétaux dans l’action de l’ANSSI.
Le bâtiment de quatre hectares, proche des installations de l'ANSSI, hébergera les activités en matière de "lutte informatique défensive" de la société.
Des chercheurs de Tarlogic Security ont découvert 29 commandes non documentées dans la puce ESP32, fabriquée par la société Espressif. Ces commandes permettent l’usurpation d’identités, l’accès non autorisé aux données, et l’établissement d’une persistance malveillante. L’exploitation de cette "porte dérobée" (CVE-2025-27840) pourrait cibler des smartphones, ordinateurs ou dispositifs médicaux.
Aux Etats-Unis, un développeur a été déclaré coupable d’avoir saboté les systèmes de son ancien employeur en exécutant un malware provoquant des boucles infinies, ce qui a paralysé des serveurs critiques. Ses actions ont coûté à l’entreprise des centaines de milliers de dollars.
Une campagne de phishing baptisée JavaGhost exploite de mauvaises configuration AWS pour envoyer des e-mails à partir de domaines de confiance via Amazon SES et WorkMail.
En 2024, le Google Vulnerability Reward Program (VRP) a attribué près de 12 millions de dollars à plus de 600 chercheurs. Parmi les nouveautés marquantes : des récompenses augmentées, des événements live de hacking tels que bugSWAT, et le lancement d’InternetCTF et Cloud VRP.
Elon Musk a annoncé que X, son réseau social, a subi une "cyberattaque massive". Les perturbations majeures ont affecté des milliers d'utilisateurs entre 11h et 19h le 10 mars 2025, avant un retour à la normale. Selon Musk, cette attaque serait "menée par un groupe coordonné ou un pays". Un groupe appelé Dark Storm Team a revendiqué l’attaque sur Telegram, mais son rôle reste flou. Orange Cyberdefense évoque de possibles liens avec la Russie.
La campagne UNK_CraftyCamel, identifiée par la société Proofpoint, cible des entreprises d’aviation et de satellites aux Émirats Arabes Unis en exploitant des fichiers polyglottes et un malware personnalisé nommé Sosano, basé en Go. Les attaquants utilisent des comptes compromis pour diffuser des fichiers malveillants déguisés (Excel, PDF).
L’agence américaine de cybersécurité CISA subit trois vagues de licenciements, totalisant plus de 350 suppressions de postes entre janvier et mars. Bien que la CISA assure que son équipe reste fonctionnelle, ces mesures prises par le DOGE, sous la direction d’Elon Musk, pourraient affaiblir ses capacités opérationnelles.
L’agence spatiale polonaise (POLSA) a subi une cyberattaque, entraînant la déconnexion de ses réseaux pour protéger ses systèmes. Le ministre du numérique, Krzysztof Gawkowski, a confirmé un accès non autorisé à l'infrastructure IT de POLSA.
NTT Communications Corporation, leader japonais des télécommunications, a révélé une violation de données touchant 17 891 entreprises clientes, découvertes début février 2025. Les attaquants ont accédé au système de distribution d'informations contractuelles, exposant des informations sensibles, comme les noms des entreprises, coordonnées, et détails de contrat.
Vulnérabilités
Ce mois-ci, Microsoft a publié 51 correctifs, dont six vulnérabilités critiques et six "0-Day" déjà exploitées. Parmi celles-ci, la CVE-2025-24064 critique non encore exploitée affectant le service DNS Windows est intéressante. Des failles critiques concernant les services Remote Desktop, Office et WSL sont également corrigées. Certaines exploitations "0-Day" ciblent les systèmes de fichiers NTFS et FAT, posant des risques d'exécution de code à distance.
La CISA a ajouté ces vulnérabilités dans son catalogue des vulnérabilités exploitées.
Une vulnérabilité critique dans PHP, identifiée comme CVE-2024-4577 (score CVSS 9.8), est exploitée à grande échelle. Affectant les serveurs Windows avec Apache et PHP-CGI, cette faille permet l'exécution de code à distance. Les attaques ciblent des secteurs variés (éducation, e-commerce, etc.) dans plusieurs régions du monde, avec une activité significative provenant de l'Allemagne et de la Chine. La faille a été corrigée dans PHP 8.1.29, 8.2.20, et 8.3.8.
7 vulnérabilités critiques impactant notamment les produits Mozilla, le noyau Linux de Debian/Ubuntu et Android. Ces dernières ont une preuve d’exploitation publique.
Apple a publié des mises à jour d'urgence pour corriger une vulnérabilité 0-day (CVE-2025-24201) exploitée sur iOS, macOS, iPadOS, visionOS et Safari. Celle-ci affecte le moteur WebKit et permet à des contenus web malveillants d'échapper à la sandbox de Web Content.
Articles
Depuis octobre 2023, Hunters International, un groupe de Ransomware-as-a-Service (RaaS), utilise des techniques sophistiquées pour cibler les infrastructures VMware ESXi. Cette étude de cas détaille une attaque où ils ont ciblé une infrastructure VMware ESXi à l’aide d’un malware écrit en Rust.
L'article explore des pratiques avancées pour sécuriser et optimiser le service Nginx
Ce blogpost montre les erreurs courantes rencontrées dans l'abus des Active Directory Certificate Services (AD CS), notamment lors des tests d’intrusions. Cet article examine certaines des erreurs fréquemment rencontrées (KDC_ERR_INCONSISTENT_KEY_PURPOSE ou KDC_ERROR_CLIENT_NOT_TRUSTED) qui peuvent refléter des conflits dans les permissions des certificats, des incompatibilités PKINIT ou des problèmes liés aux CAs non approuvées.
Des chercheurs ont découvert une vulnérabilité critique dans le réseau Find My d'Apple, permettant un suivi à distance de n'importe quel appareil Bluetooth, transformé en pseudo-AirTag. Une fois compromis via une application malveillante, l'appareil émet des signaux captés par des iPhones avoisinants, rapportant sa position dans le cloud d'Apple.
Cet article propose une analyse des mots de passe Linux stockés dans le fichier sécurisé /etc/shadow, utilisant des algorithmes comme yescrypt et sha512crypt.
Pre-authentication SQL injection to RCE in GLPI (CVE-2025-24799/CVE-2025-24801).Several GLPI instances have been identified during Red Team engagements. The software is popular with French-speaking companies, some of those even expose their instances directly on the Internet.. Lien https://blog.lexfo.fr/glpi-sql-to-rce.html
Ce guide a pour but de prévenir des attaques de ransomwares ciblant Amazon S3 en exploitant des stratégies comme les Resource Control Policies (RCPs) et les Bucket Policies. Les recommandations incluent : bloquer le chiffrement SSE-C, activer la protection contre l’accès public, empêcher la suppression ou modification des données et privilégier le chiffrement via AWS KMS (avec clés gérées ou personnalisées).
Le billet de blog des chercheurs de Google présente la faille EntrySign affectant les processeurs AMD Zen (versions 1 à 4), permettant de contourner la vérification cryptographique des patches de microcode.
Une faille récemment révélée dans Microsoft Azure, nommée VaultRecon, montre que des utilisateurs avec le rôle "Reader" peuvent accéder aux métadonnées des secrets d’Azure Key Vault via l’API de gestion. Microsoft considère ceci comme un comportement prévu, mais cela expose un risque potentiel de compromission, notamment lorsqu’une instance est mal configurée ou qu’un compte est piraté.
Les artefacts générés par Rosetta 2, la technologie de traduction d’Apple pour exécuter des binaires x86-64 sur macOS ARM64, offrent de précieuses informations pour les enquêtes forensic post-intrusion. Les caches AOT (Ahead-Of-Time), combinés aux logs Unified Logs et aux évènements FSEvents, ont permis à la société Mandiant d’identifier des malwares sophistiqués x86-64 ciblant des organisations crypto.
Le mode public de MSTSC, activé via l’option "/public", permet d’utiliser le client RDP sans conserver de traces locales. Il empêche la sauvegarde des réglages de connexion, des identifiants, du cache de bitmaps persistants, et des serveurs récemment utilisés.
Outils
PANIX est un framework de persistance Linux en faisant un outil essentiel pour comprendre et implémenter un large éventail de techniques de persistance.
Oasis, un scanner de sécurité propulsé par l'IA d'Ollama, permet une analyse de codes pour détecter des vulnérabilités potentielles grâce à ses fonctionnalités avancées.
Orange Cyberdefense a mis à jour son Mindmap des chemins d’attaques dans les environnement Active Directory
StreetCred est un outil conçu pour les équipes de pentest afin de tester les identifiants par défaut sur les protocoles SSH et WinRM
Un post sur le réseau social X qui liste les moteurs de recherche utiles pour les chercheurs
Yaak API Client est une application de bureau complète pour interagir avec divers protocoles d’API tels que REST, GraphQL, SSE, WebSocket et gRPC. Construite avec Tauri, Rust et ReactJS, elle offre des fonctionnalités intéressantes : import de données depuis divers outils (Postman, OpenAPI…), gestion avancée d’authentifications (OAuth, JWT), requêtes dynamiques enchaînées, gestion de fichiers et travail collaboratif via Git.
Az-SkyWalker est une solution open-source dédiée à l'énumération des secrets dans les Azure Key Vaults et Logic Apps à travers plusieurs abonnements Azure. Conçu en Python, il simplifie les audits de sécurité et la conformité grâce à une exportation des résultats en formats JSON et CSV.
Lors de la SenseCon 2024 chez OrangeCyberdefense, l’équipe a développé goLAPS, un outil en Golang inspiré de pyLAPS, conçu pour exploiter Local Administrator Password Solution (LAPS) dans les environnements Windows.
Ce site web suit en quasi temps réel les sites criminels saisis par les forces de l’ordre. Ils ont une méthode ingénieuse pour identifier les sites saisis disponibles ici. Vous pouvez également télécharger les données au format JSON.
Le projet open-source shadow-rs démontre les capacités avancées de manipulation du noyau Windows en utilisant Rust, combinant sécurité et performance. Ses fonctionnalités incluent la dissimulation et la protection des processus, threads et pilotes, la capture de frappes clavier, la manipulation de clés de registre, et bien plus.
Podcasts
🎧️ NoLimitSecu - Investigations Numériques Judiciaires
Conférences / Salons
🗓️ BreizhCTF - Du 14 et 15 mars à Rennes, France
🗓️ IT & CYBERSECURITY MEETINGS - Du 18 au 20 mars 2025 à Cannes (France).
Finances / Marché
🇺🇸 SpecterOps lève 75M$ pour sécuriser Active Directory avec BloodHound Enterprise
Misc
L'outil Monolith offre une solution simple pour sauvegarder des pages web complètes en un fichier HTML unique. Contrairement à la commande classique "Enregistrer la page sous", Monolith intègre tous les assets (CSS, images, JavaScript) dans un seul fichier, permettant une restitution fidèle hors ligne.
L’article explore des librairies Python essentielles comme Flask et Django pour créer des tableaux de bord personnalisés, Schedule et Airflow pour l'orchestration des tâches, Scapy pour l’analyse des réseaux ou Pulumi, une plateforme d’IaC robuste.
Terraform est un outil puissant, mais une mauvaise utilisation peut causer des incidents majeurs. Cet article met en lumière des erreurs communes avec des solutions.
PocketPal AI offre une expérience 100% locale sur smartphones Android et iOS. Exploitant des modèles de langage compacts (SLM), cette application supprime la dépendance à Internet, élimine la latence et protège la confidentialité des utilisateurs en stockant toutes les données directement sur l’appareil. Grâce à son intégration avec Hugging Face, les utilisateurs peuvent facilement télécharger et personnaliser divers modèles.
L’idée de boycotter la technologie américaine pour contrer l’extraterritorialité économique des États-Unis se heurte à des interdépendances complexes. Matériel, logiciels, services en ligne : difficile d’éliminer totalement l’américain de nos quotidiens sans alternatives solides. Même le logiciel libre comporte des implications US, et les solutions non-américaines posent souvent des dilemmes éthiques ou pratiques.
Une enquête révèle que des données publicitaires achetées à des "data brokers" ont permis la surveillance de militaires et agents de la DGSE via leurs smartphones. Les journalistes ont pu suivre leurs trajets, identifier leurs domiciles, et même collecter des informations privées. Bien que ces pratiques ADINT soient connues depuis 7 ans, des lacunes dans l’OPSEC persistent.
L’automne dernier a été particulièrement complexe pour Google. En octobre, le Department of Justice (DoJ) relançait l’idée d’un démantèlement de Google et son éclatement en plusieurs structures plus petites. Le mois suivant, le même ministère proposait que Chrome soit vendu.
Le texte explore l’utilisation des LLMs (Large Language Models) comme assistants dans le développement logiciel. L’auteur, basé sur deux années d’expérience, met en avant des pratiques et astuces essentielles pour bénéficier efficacement de ces outils.
Le projet open-source Botspot Virtual Machine (BVM) permet d’installer et d’exécuter Windows 11 ARM sur des appareils Linux ARM tels que les Raspberry Pi 4 et 5, ainsi que les RockChip RK3588.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien