- Erreur 403
- Posts
- Erreur 403 | #18
Erreur 403 | #18
Vulnérabilités critiques (Kubernetes, Next.js, Chrome, Veeam), fuites de données majeures SpyX, abus de signatures Microsoft pour diffuser des malwares, espionnage via Graphite de Paragon, hausse record des fraudes en 2024 et bilan des 25 ans du programme CVE, etc.
Bastien Cacace
March 27, 2025
Sommaire
Infos
Fuite de données chez le logiciel espion SpyX touchant près de 2 millions de personnes, dont des milliers d'utilisateurs Apple. La fuite révèle que SpyX et deux autres applications mobiles associées possédaient des données sur près de deux millions de personnes au moment de la fuite, y compris 17 000 identifiants Apple en clair.
Des groupes d’attaquants provenant de Chine, de Russie et de Corée du Nord exploitent une vulnérabilité des fichiers raccourcis Windows (.lnk), identifiée sous le code ZDI-CAN-25373 par Trend Micro et présente depuis 2017. La faille réside dans la manière dont Windows affiche les contenus des fichiers .lnk. Microsoft, qui a classé la vulnérabilité comme faible, n’a pas encore livré de correctif.
Plus de 300 applications Android malveillantes, sous le nom de campagne "Vapor", ont été téléchargées 60 millions de fois depuis début 2024. Identifiées par IAS Threat Lab, elles se livraient à des fraudes publicitaires massives (200 millions de requêtes frauduleuses par jour) et à des tentatives de phishing pour voler des identifiants et des données bancaires. Ces applications, déguisées en outils utilitaires (fitness, scanners QR code), activaient leurs fonctions malveillantes après l’installation via un serveur distant.
Longtemps relativement préservé des arnaques récurrentes du côté d’Instagram, Facebook ou X, le réseau social pensé pour les usages professionnels qu’est LinkedIn pullule désormais lui aussi de faux profils et de fausses annonces.
Un rapport de Citizen Lab révèle que le spyware "Graphite" de Paragon Solutions, destiné à cibler criminels et terroristes, est utilisé contre journalistes et activistes via une faille sur WhatsApp.
La plateforme Steam de Valve a été utilisée pour distribuer un malware. Il se dissimulait dans une démo pour un jeu à paraître, Sniper Phantom's Resolution, dont la fiche contenait quelques éléments suspects, comme l'ont repéré des utilisateurs de Reddit.
La Cybersecurity and Infrastructure Security Agency (CISA) a réintégré 130 employés licenciés récemment, suivant une injonction fédérale. Ces experts en cybersécurité, majoritairement membres de l'équipe "red team" de CISA, restent néanmoins en congé administratif payé en attendant la résolution d'un litige concernant des licenciements jugés illégaux par la justice.
Des attaquants utilisent la plateforme Trusted Signing de Microsoft pour signer des malwares avec des certificats à durée de vie très courte (trois jours). Ces certificats, bien qu’éphémères, renforcent la crédibilité des exécutables malveillants en leur donnant l’apparence de programmes légitimes, contournant ainsi certains systèmes de sécurité et profitant d’un boost de réputation via SmartScreen.
Cloudflare a annoncé le blocage des connexions HTTP vers api.cloudflare.com, n’acceptant désormais que des connexions sécurisées via HTTPS. Ce changement a pour objectif d’empêcher toute fuite potentielle de données sensibles, comme des clés API, sur des réseaux non sécurisés.
Depuis 2016, une campagne de malware sophistiquée surnommée DollyWay a infecté plus de 20 000 sites WordPress dans le monde. Révélée par GoDaddy, cette campagne cible les visiteurs des sites compromis via des scripts de redirection vers des réseaux d’escroquerie publicitaires.
Troy Hunt, le créateur de la plateforme HaveIBeenPwned, relate une attaque de phishing ciblant son compte Mailchimp et ayant conduit à l'exportation non autorisée de sa liste de 16 000 adresses e-mail. Il a saisi ses identifiants sur un site frauduleux simulant une page d'authentification Mailchimp (mailchimp-sso.com). Bien que son compte ait été protégé par une authentification à deux facteurs (2FA via OTP), celle-ci n'a pas suffi, les attaquants ayant exploité un relais automatique pour accéder à son compte.
Depuis son lancement en 1999 par MITRE, le programme CVE (Common Vulnerabilities and Exposures) joue un rôle crucial en permettant la collaboration entre acteurs de la cybersécurité pour identifier et classifier les vulnérabilités. Avec une croissance exponentielle (270 768 CVEs en 2024), il rencontre des défis liés à la qualité des données, la gestion d'autorités de numérotation (CNAs) et son financement.
En 2024, les pertes dues aux fraudes ont atteint 12.5 milliards de dollars, soit une augmentation de 25 % selon la Federal Trade Commission (FTC). Les arnaques liées aux investissements représentent plus de 45 % des pertes, totalisant 5.7 milliards de dollars. Les escroqueries par transfert bancaire ou cryptomonnaie dominent et les fraudes relatives aux opportunités d'emploi augmentent fortement.
Les backdoors, ou portes dérobées illustrent les tensions chroniques entre cybersécurité et surveillance. Des initiatives telles que la puce Clipper ou l’algorithme Dual_EC_DRBG montrent les efforts des États pour intégrer des failles intentionnelles, souvent au mépris de la sécurité globale. L’affaire _NSAKEY, les révélations Snowden ou encore la compromission de Crypto AG confirment le rôle clé des agences comme la NSA dans ces controverses.
Vulnérabilités
Neuf vulnérabilités critiques impactant notamment VMWare Tanzu, le noyaux Linux d’Ubuntu et la solution GLPI. Pour Ubuntu et GLPI, des codes d’exploitations sont disponibles publiquement.
Le bulletin met également en avant la vulnérabilité dans Veeam Backup & Replication qui dispose d’un PoC et qui permet l'exécution de code arbitraire à distance, notamment pour l'ensemble des utilisateurs d'un domaine Active Directory si la solution Veeam Backup & Replication est connectée à celui-ci. (CVE-2025-23120 / CVSS 9.9). Un autre article sur le sujet est disponible ici.
Quatre vulnérabilités critiques, dont IngressNightmare (CVE-2025-1974 / CVSS 9.8), menacent 41 % des clusters Kubernetes exposés à Internet, selon Wiz. Ces failles permettent à des attaquants non authentifiés de prendre le contrôle total des environnements Kubernetes en abusant du contrôleur NGINX Ingress.
Une vulnérabilité critique affectant le middleware du framework Next.js, permets de contourner les mécanismes d'autorisation grâce à une simple modification des headers. La faille réside dans le traitement de l'en-tête x-middleware-subrequest, exploité comme une « clé universelle » pour ignorer les règles de sécurité middleware. Cette vulnérabilité est présente depuis plusieurs années et affecte toutes les versions à partir de la 11.1.4. Autre analyse.
Le groupe russe Water Gamayun exploite la vulnérabilité CVE-2025-26633, surnommée MSC EvilTwin, pour exécuter des codes malveillants via des fichiers administratifs Microsoft Management Console (.msc). Cette vulnérabilité a été corrigée lors du dernier Patch Tuesday de Microsoft.
Google a corrigé une vulnérabilité critique dans Chrome (CVE-2025-2783) utilisée dans des attaques ciblées en Russie. L’attaque, baptisée "Opération ForumTroll" par Kaspersky, exploitait une erreur logique entre la sandbox Chrome et Windows, permettant l’exécution de code à distance.
Articles
Cet article explore les trois principales solutions natives proposées par AWS (EventBridge, CloudTrail + S3 + Lambda et CloudTrail + CloudWatch) pour détecter des appels d'API suspects, en mettant en avant leurs avantages, inconvénients et cas d’usage spécifiques.
L’article explore les implications de l’attribut BlockOwnerImplicitRights dans Active Directory et les ajustements réalisés dans l’outil BloodHound pour mieux refléter cet élément de sécurité dans ses graphes. Initialement, les relations Owns et WriteOwner dans BloodHound supposaient que le propriétaire d’un objet AD bénéficiait de droits implicites, tels que WRITE_DAC, permettant des abus comme WriteDacl abuse. Cependant, l’activation de BlockOwnerImplicitRights empêche ces droits implicites dans certaines situations.
Cet article évoque un risque de sécurité dans l'utilisation d'Azure Application Proxy, particulièrement avec l'option d'authentification "Passthrough." Cette option, contrairement à l'authentification "Microsoft Entra ID," permet un accès sans authentification préalable via Entra ID, exposant ainsi des ressources internes à des attaques potentielles.
Ce blog post explore la manière dont des cybercriminels utilisent Telegram comme outil de Command-and-Control (C2) pour opérer des malwares. Cette analyse révèle comment un acteur malveillant, par une simple erreur, a exposé des informations critiques sur son infrastructure et ses campagnes. En interceptant ces communications via des tokens Telegram, les analystes ont pu cartographier plusieurs campagnes de phishing, interrompant ainsi leurs activités.
Le document de NCC Group met en lumière une problématique importante de sécurité dans les architectures d’applications IA. Contrairement aux idées reçues, les erreurs de sécurité ne proviennent pas principalement du modèle IA ni de son code, mais des hypothèses erronées sur l’interaction entre les composants IA et les systèmes classiques.
L'Electronic Frontier Foundation (EFF) a présenté Rayhunter, un nouvel outil open source visant à détecter les simulateurs de sites cellulaires (CSS), aussi appelés Stingrays ou IMSI catchers, souvent utilisés pour surveiller les téléphones mobiles.
En octobre 2024, Apple a corrigé une faille critique (CVE-2024-54471) liée à NetAuthAgent, un composant de macOS. Cette vulnérabilité permettait à des processus malveillants d'exploiter un serveur Mach Interface Generator (MIG) non sécurisé pour récupérer des identifiants de serveurs de fichiers et des données sensibles, notamment des tokens API iCloud.
Dans son article, le chercheur détaille des vulnérabilités critiques dans la bibliothèque Ruby-SAML exploitées via des attaques de "round-trip" combinées avec une "confusion de namespace". Ces failles exploitent des divergences dans la validation des signatures XML et utilisent des documents XML signés légitimes pour contourner les contrôles de sécurité.
Après la découverte de l’attaque sur la GitHubAction tj-actions/changed-files, les chercheurs de Wiz Research ont découvert une attaque supplémentaire sur la chaîne d'approvisionnement de reviewdog/actions-setup@v1. Wiz révèle que l’acteur malveillant a tenté, sans succès, de compromettre Coinbase via le dépôt coinbase/agentkit.
Créé par un joueur de CTF sur diverses plateformes, ce site met à disposition les diverses résolutions de machines effectuées.
Outils
L’outil Fuzzysully est un fuzzer qui permet d’évaluer la sécurité de l’implémentation du protocole OPC UA (Open Platform Communications Unified Architecture) utilisé dans le secteur industriel.
Google a annoncé la version 2.0 d’OSV-Scanner, un outil open source de détection et de correction des vulnérabilités. Cette mise à jour intègre des capacités enrichies d’analyse des dépendances (notamment avec OSV-SCALIBR), un support étendu pour le scanning des containers (Debian, Ubuntu, Alpine), ainsi qu'une sortie interactive en HTML pour des rapports clairs et exploitables.
Recog est une solution open source permettant d’identifier des produits, services ou systèmes d’exploitation en analysant les empreintes numériques issues de multiples réponses réseau (bannières serveur, protocoles divers).
Nosey Parker est un outil en ligne de commande conçu pour l'identification de secrets et d'informations sensibles dans les données textuelles. Principalement destiné à un usage offensif (équipes de pentest), il peut également être utilisé dans des tests de sécurité.
Un moteur de recherche conçu pour trouver des ressources non indexées par les principaux moteurs de recherche traditionnels.
OSGINT est un outil open-source conçu pour extraire des informations sur des utilisateurs GitHub à partir de leur pseudonyme ou adresse email. Basé sur des requêtes API GitHub et l'analyse des commits publics, il offre une sortie en format JSON pour une intégration simplifiée.
Sniffnet est une application gratuite et open-source permettant de surveiller en toute simplicité votre trafic réseau, grâce à des fonctionnalités avancées, comme l’analyse en temps réel, l’identification de protocoles et services ou encore la géolocalisation IP.
Podcasts / Vidéos
🎬 Enquête du Monde sur un réseau international d’arnaque aux placements financiers.
🎧️ NoLimitSecu : compromission de distributions Linux (attaques par supply chain).
🎤 Alain Juillet, ce que cache la stratégie de Trump au RiskSummit 2025.
Conférences / Salons
🗓️ Auvergnhack - Conférence et CTF - 5 avril 2025 à Aubière, France
🗓️ CoRIIN - 1er avril 2025, Lille Grand Palais.
🗓️ Forum Incyber Europe (ex FIC) - Du 1 au 3 avril 2025, Lille Grand Palais
🗓️ Back Hat Asia - Du 1 au 4 avril 2025 à Singapour
Finances / Marché
🇫🇷 Holiseum, une société française de services spécialisée dans l'évaluation des risques de cybersécurité, a été acquise par Integrity360 pour un montant non divulgué.
🇺🇸 VulnCheck, une plateforme américaine de renseignements sur les menaces spécialisée dans les exploits et les vulnérabilités, a levé 12 millions de dollars en série A.
🇮🇹 Cyberating, une plateforme italienne de gestion des risques cyber, a levé 2 millions de dollars lors d'un tour de financement pre-seed.
Misc
Ubuntu prépare une refonte de ses utilitaires systèmes clés en adoptant des implémentations modernes en Rust, dans le cadre de sa volonté de renforcer la sécurité et la résilience logicielle. Dès Ubuntu 25.10, des outils cruciaux comme coreutils et sudo seront remplacés par leurs versions sécurisées (uutils, sudo-rs)
L'emploi dans le secteur de la programmation informatique aux États-Unis a atteint son niveau le plus bas depuis 1980, selon les données de l'enquête sur la population actuelle du Bureau des statistiques du travail. Cette baisse correspond à l'introduction du ChatGPT d'OpenAI.
Un chercheur a exploité une faille du format Google Protocol Buffer (Protobuf) pour bloquer les publicités YouTube à l'échelle réseau, sans recourir à des listes de blocage. Grâce à un algorithme modifiant un champ clé dans les réponses Protobuf, il a supprimé les annonces sans impacter les vidéos principales.
L'alternative à Google Docs et Microsoft Office 365 a été lancée en open source dans un souci d'indépendance numérique, le projet devra convaincre au-delà du symbole. Dans un contexte où la souveraineté numérique est devenue un enjeu stratégique majeur, les gouvernements français et allemand ont annoncé Docs, un service de rédaction collaborative et de partage d'informations conçu pour être utilisé sur le cloud ou hors ligne.
CR-Mac-Helper est un script gratuit qui exécute la maintenance système sans installer d'applications tierces : gestion des caches, optimisation réseau, amélioration des performances, etc.
🎬 Le futur de la triche (dans le jeu vidéo) est terrifiant (explication du fonctionnement des réseaux de neurones)
L’Arc Prize Foundation a dévoilé ARC-AGI-2, un test conçu pour évaluer l’intelligence générale artificielle. Les modèles d’IA avancés, comme GPT-4.5 ou OpenAI o3, peinent, avec des scores autour de 1-4%. En comparaison, des groupes humains atteignent en moyenne 60%.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien
Comment sécuriser les architectures IA