- Erreur 403
- Posts
- Erreur 403 | #19
Erreur 403 | #19
Fuite de données chez Oracle Cloud, dommage collatéral de la fuite Harvest chez MAIF et BPCE, vulnérabilités critiques (GitHub, Kubernetes, CrushFTP), enjeux Signal, attaques sur WordPress mu-plugins, sensibilisation nationale au phishing (Opération Cactus), attaques ciblant Ivanti, Palo Alto, Cisco et Next.js, etc.
Bastien Cacace
April 03, 2025
Sommaire
Infos
Des données clients de la MAIF et de la Banque Populaire-Caisse d'Épargne (BPCE) ont été compromises suite à une cyberattaque visant le logiciel Harvest. Bien que les informations sensibles comme mots de passe ou pièces d'identité ne soient pas concernées, les victimes doivent se méfier des arnaques au faux conseiller bancaire.
Un cybercriminel affirme avoir exploité la faille critique CVE-2021-35587 pour compromettre un serveur Oracle SSO, exposant 6 millions d’enregistrements, incluant des clés de sécurité Oracle Cloud. Oracle dément la violation, mais plusieurs entreprises confirment l’authenticité des données volées, notamment des identifiants SSO et LDAP. Un article de Kevin Beaumont révèle avec minutie un incident de cybersécurité sérieux au sein des services cloud gérés par Oracle.
Deux initiatives (MPIC et linting des certificats), rendues obligatoires dès le 15 mars 2025, visent à améliorer la sécurité des certificats TLS en obligeant désormais les autorités de certification à :
Réaliser des validations de contrôle de domaine à travers plusieurs points géographiques et fournisseurs d’accès. Selon le Chrome Security Team, ceci est une réponse efficace aux détournements BGP observés.
Garantir que les certificats sont conformes aux standards (ex: absence d’algorithmes cryptographiques obsolètes)
L’ANSSI, en collaboration avec la DINUM, a publié un guide détaillant la démarche d’homologation de sécurité des systèmes d’information. Le guide principal, accompagné de trois fiches pratiques, vise à simplifier le processus pour mieux mesurer les enjeux et sensibiliser les dirigeants sur les avantages de cette démarche indispensable.
La CISA a publié un rapport d’analyse détaillant le malware RESURGE qui utilise la vulnérabilité CVE-2025-0282 dans les systèmes Ivanti Connect Secure. Celui-ci réalise des actions malveillantes, comme la création de web shells, le vol de données d’identification et la modification des fichiers système et de l’image coreboot.
Les chercheurs de Sucuri ont découvert une recrudescence des infections via le répertoire mu-plugins (Must-Use plugins) sur les sites WordPress. Ces plugins qui n'apparaissent pas dans le tableau de bord standard, sont automatiquement chargés, ce qui permet des attaques persistantes et souvent indétectables.
Une vulnérabilité dans GitHub CodeQL a exposé publiquement un token GitHub temporaire, valide seulement 2 secondes. Ce token, contenu dans un artefact nommé “my-debug-artifacts”, offrait des permissions élevées, permettant d’écrire dans des branches, créer des tags, et potentiellement exécuter du code malveillant. GitHub a déployé un correctif seulement trois heures après la notification.
Des chercheurs en sécurité de Pillar ont découvert une vulnérabilité baptisée "Rules File Backdoor". En exploitant des fichiers de configuration (fichiers Rules) utilisés par les assistants IA comme GitHub Copilot et Cursor, des attaquants peuvent intégrer dans le code des instructions malveillantes invisibles via des caractères Unicode cachés. Cela les rend indétectables lors des revues manuelles ou automatisées.
Bruce Schneier aborde les implications de la récente controverse sur une fuite d’information dans une conversation de groupe sur Signal impliquant des responsables américains de haut niveau. Suite à cet incident, des doutes ont émergé quant à une éventuelle vulnérabilité de Signal, notamment après la diffusion d'un rapport de la NSA alertant sur un problème de sécurité.
Les attaquants innovent en matière de phishing avec Morphing Meerkat, une plateforme "Phishing-as-a-Service" (PhaaS) sophistiquée. Exploitant enregistrements DNS MX, cette plateforme adapte dynamiquement les pages de connexion frauduleuses à la messagerie de la victime et cible plus de 100 marques, traduisant automatiquement le contenu en plusieurs langues.
Depuis mi-mars 2025, une augmentation importante de scans visant les portails de connexion GlobalProtect de Palo Alto Networks a été détectée, impliquant près de 24 000 adresses IP, dont plus de 23 800 qualifiées de "suspectes". GreyNoise met en garde sur le fait que cela pourrait indiquer des préparations à une exploitation future, reproduisant un schéma observé avant la divulgation de vulnérabilités.
Un ancien stagiaire de GCHQ a admis avoir violé les protocoles de sécurité en transférant des données top secret sur son téléphone personnel, mettant ainsi en danger la sécurité nationale.
Lancée du 19 au 21 mars 2025 en France, l’Opération Cactus cible les collégiens et lycéens à travers une campagne nationale de sensibilisation aux dangers de l'hameçonnage dans les espaces numériques de travail (ENT). Plus de 2,5 millions d’élèves ont reçu des messages simulant un lien frauduleux, sensibilisant 210 000 participants via une vidéo éducative.
Vulnérabilités
Cinq vulnérabilités critiques impactant respectivement VMware Tanzu, Microsoft Azure et Edge, Google Chrome et Mozilla Firefox. Les vulnérabilités sur Edge et sur Chrome sont activement exploitées. Le bulletin met également en avant la vulnérabilité "IngressNightmare" dans Kubernetes (cf. ci-dessous).
Retour sur la série de vulnérabilités, publiée la semaine dernière, nommée "IngressNightmare," incluant la CVE-2025-1974 (score CVSS 9.8), touche le contrôleur ingress-nginx de Kubernetes. Cette faille permet une exécution de code à distance non authentifiée, via le service admission webhook exposé. Un POC est également disponible, testé dans minikube.
Patrowl a développé une méthode pour détecter cette faille à grande échelle en analysant les chemins protégés et en inspectant le code JavaScript des applications.
La CISA a ajouté la vulnérabilité CVE-2024-20439 (CVSS 9.8), touchant Cisco Smart Licensing Utility, à son catalogue des vulnérabilités activement exploitées.
Une campagne d’exploitation active cible une vulnérabilité critique identifiée comme CVE-2025-2825 (CVSS 9.8) dans le logiciel de transfert de fichiers CrushFTP. Cette vulnérabilité permet des accès non authentifiés à des versions non corrigées du logiciel (10.0.0 à 10.8.3, 11.0.0). Des attaques actives utilisant un code d'exploitation public ont été identifiées, avec 1 512 instances vulnérables sur Internet, principalement aux États-Unis.
Articles
En septembre 2023, Apple a corrigé une faille critique exploitée par BLASTPASS, un exploit "zero-click" attribué au groupe NSO. Ce dernier cible iMessage via des fichiers WebP malveillants intégrés dans des pièces jointes PassKit. L’analyse révèle l’usage complexe de la corruption mémoire exploitant le format WebP et un système de contournement des protections sandbox comme BlastDoor.
Ce blog post explore en profondeur l’utilisation stratégique des Resource Control Policies (RCPs) et Service Control Policies (SCPs) dans AWS. Ces deux types de politiques permettent de définir des restrictions de sécurité pour renforcer la protection des ressources et des services dans une organisation.
Cette présentation effectuée à la conférence BSides Reykjavik 2025 introduit les principes et le fonctionnement de K8s, liste les scénario d’attaques, fourni des outils pratiques et des recommandations de sécurité.
Dans ce billet de blog, le développeur explore les avantages de Rust sur C pour le développement de malwares. Rust se distingue par sa complexité accrue reverse engineering et son potentiel à contourner les outils de détection basés sur les signatures. Bien que ses binaires soient plus volumineux, ils augmentent la difficulté d'analyse. Malgré des avancées comme le “de-mangling” des symboles dans Ghidra 11.0, analyser les malwares Rust reste compliqué en raison des optimisations de compilation.
La bibliothèque ATT&CK Evaluations propose une collection de plans d'émulation d'adversaires basés sur des groupes d’attaquants réels, tels que APT29, LockBit, ou Turla. Chaque plan suit un scénario détaillé, de l'accès initial à l'exfiltration, permettant aux entreprises de simuler des cyberattaques et d'améliorer leurs défenses.
Dans leur article, MDSec partage des insights sur l’usage détourné de fonctionnalités légitimes de la plateforme ServiceNow lors des redteam. Sans exploiter de vulnérabilités, ces équipes abusent des fonctionnalités légitimes de la plateforme pour exécuter du code, dérober des identifiants ou manipuler l'annuaire Active Directory.
Les chercheurs de Datadog ont publié une vulnérabilité critique dans les unités administratives restreintes (AU) d'Entra ID qui aurait permis à un attaquant, avec des privilèges élevés (Global Administrator ou Privileged Role Administrator), de protéger un compte sous son contrôle, empêchant toute modification, suppression ou désactivation par un administrateur. Cette vulnérabilité exploitait un bug dans l'API Microsoft Graph qui plaçait des utilisateurs dans un état de gestion restreinte permanent sans AU associée.
Cet article présente une méthode novatrice, le "triage d'entropie", pour restaurer des fichiers corrompus par une tentative de chiffrement ratée par ransomware. Basée sur l'entropie de Shannon, cette technique identifie et reconstruit intelligemment les blocs non chiffrés ou “mal” chiffrés.
L'article de Patrick Wardle explore en détail l'intégration tant attendue des événements TCC (Transparency Consent and Control) dans le système Endpoint Security d’Apple avec le macOS 15.4. TCC est conçu pour superviser et gérer les accès aux données sensibles des utilisateurs (comme les fichiers, micro, caméra, etc.).
Outils
ClatScope est un outil OSINT polyvalent pour récupérer des données de géolocalisation, DNS, WHOIS, numéros de téléphone, adresses e-mail, noms d’utilisateur, informations personnelles, fuite de données, etc. Cet outil utilise des services existants : Google Custom Search, OpenAI, Perplexity, Have I Been Pwned, Botometer, Hunter, Castrick, RapidAPI, etc.
Camouflage est une extension pour VS Code qui aide à protéger les variables d’environnement sensibles en masquant leurs valeurs dans les fichiers .env. Parfait pour le partage d’écran, les enregistrements ou les captures d’écran sans exposer d’informations sensibles.
SecureCodeBox est une chaîne d’outils modulaires basée sur Kubernetes, conçue pour effectuer des analyses de sécurité continues de votre projet logiciel. Son objectif est d’orchestrer et d’automatiser facilement un ensemble d’outils de tests de sécurité prêts à l’emploi.
Go-OCSF est une bibliothèque et un outil CLI en Go permettant de convertir les données issues d’outils de sécurité (Snyk, AWS Inspector, Tenable, etc.) dans un format conforme au standard OCSF (Open Cybersecurity Schema Framework).
Le serveur MCP de Semgrep facilite l'intégration et l'analyse du code pour détecter les vulnérabilités via le Model Context Protocol (MCP). Parmi ses fonctionnalités clés : les scans de code et de répertoires, la personnalisation des règles analytiques, l'analyse détaillée des résultats avec filtres, et l'exportation multi-formats (JSON, SARIF, texte).
Il s'agit d'un recueil de notes compilé par un chercheur au fil de plusieurs années de recherche sur les malwares macOS. Les informations y sont organisées de différentes manières, permettant d’explorer les malwares macOS par famille, groupe d’acteurs malveillants ou type de malware, comme les voleurs d’informations ou les ransomwares. Chaque fiche contient des articles de presse liés au malware ainsi que quelques annotations.
Un site web pratique où vous pouvez uploader un fichier, sélectionner une section allant jusqu’à 1024 octets, et utiliser leur espace interactif pour surligner différentes parties.
Ce site web permet d’obtenir très rapidement le score EPSS (Exploit Prediction Scoring System) d’une vulnérabilité qui estime la probabilité que celle-ci soit exploitée au cours des 30 prochains jours.
GhidraMCP est un serveur du protocole Model Context Protocol (MCP) permettant à des modèles de langage d'effectuer de manière autonome du reverse engineering sur des applications.
Varalyze est une suite d'outils pour la recherche de menace, intégrant des applications web via des API et des bibliothèques Python. Les fonctionnalités clés incluent l'analyse des menaces via des sources comme VirusTotal et AbuseIPDB, l'automatisation des processus de collecte et de corrélation des données, et la création de rapports détaillés.
Podcasts / Vidéos
🎧️ NoLimitSecu - Panorama de la cybermenace 2024.
Conférences / Salons
🗓️ Toulouse hacking convention (THCon) - Du 11 au 12 avril 2025 à Toulouse, France
Finances / Marché
L'article rédigé par Ross Haleliuk et Jason Chan explore les considérations essentielles pour les fondateurs dans la cybersécurité. Selon les auteurs, "nous sommes encore à l'âge de pierre de la cybersécurité", marquant un paradoxe entre des avancées comme le rôle des CISO, la collaboration internationale et l’élimination de certaines vulnérabilités, et les problèmes récurrents persistants (mauvaises pratiques de sécurité, vulnérabilités, etc.).
La Commission européenne investira 1,3 milliard d'euros dans la cybersécurité, l’intelligence artificielle et les compétences numériques dans le cadre du programme Digital Europe (2025-2027). Cet effort vise à renforcer la résilience numérique de l’UE, notamment avec la création de la « réserve de cybersécurité » pour protéger les infrastructures critiques, comme les hôpitaux et les câbles sous-marins.
🇺🇸 Island, une plateforme américaine sécurisée d’isolation de navigateur à distance, a levé 250 millions de dollars dans le cadre d’un financement de série E.
Misc
À partir du 1er avril 2025, Docker Hub introduit des limites de pulls qui affecteront directement les pipelines CI/CD, y compris ceux s’exécutant sur GitLab. La restriction la plus notable pour les utilisateurs non authentifiés concerne une limite de 100 pulls par fenêtre de six heures par adresse IP ou sous-réseau IPv6. Les utilisateurs authentifiés avec un compte personnel pourront aller jusqu'à 200 pulls, tandis que les utilisateurs Pro, Team, ou Business bénéficieront d’un usage illimité "fair use".
Anthropic dévoile un "microscope pour IA" révolutionnaire, le Cross-layer transcoder, pour visualiser les circuits neuronaux de leur LLM, Claude. Les découvertes révèlent une pensée complexe, incluant un "langage interne" universel et des stratégies élaborées pour résoudre des problèmes ou composer des réponses. Mais cette transparence met également en lumière des failles : hallucinations, faux raisonnements, et vulnérabilités face aux "jailbreaks".
Microsoft introduit progressivement ReFS (Resilient File System) dans Windows 11. Ce remplaçant de NTFS, permettant de gérer jusqu’à 35 pétaoctets (Po) de données, offre des fonctionnalités avancées, comme l’auto-réparation des corruptions grâce aux checksums et une performance accrue via le clonage de blocs.
Le DOGE d'Elon Musk veut réécrire le code COBOL qui gère la sécurité sociale américaine en quelque mois. Cette base de code compte plus de 60 millions de lignes de COBOL, ce qui met sa stabilité en péril.
Cet article présente le MCP ("Model Context Protocol") qui est un nouveau protocole destiné à améliorer l'intégration des modèles de langage (comme ChatGPT, Claude ou d'autres outils d'IA) avec des outils et services externes (Slack, JIRA, Gmail, etc.). L’objectif principal de l'article est de démystifier cet outil potentiellement complexe en expliquant en quoi il est utile, comment il fonctionne, et quels sont ses impacts réels.
Microsoft a annoncé la refonte de son message d'erreur BSOD dans Windows 11. Le nouveau design abandonne la couleur bleue traditionnelle, le visage renfrogné et le code QR en faveur d'un écran simplifié qui ressemble beaucoup plus à l'écran noir que vous voyez lorsque Windows effectue une mise à jour.
Alors que Microsoft célèbrera vendredi 4 avril les cinquante ans de sa création en tant que société, Bill Gates est revenu cette semaine sur ce qui constitue sans doute l’épisode fondateur de son aventure entrepreneuriale : l’écriture avec Paul Allen, en un temps record, d’un interpréteur BASIC destiné à l’Altair 8800 de MITS (basé sur le CPU 8080 d’Intel).
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien