- Erreur 403
- Posts
- Erreur 403 | #20
Erreur 403 | #20
Vulnérabilités critiques (Ivanti, Apache Parquet, Microsoft), exposition des appels des clients Verizon, piratage de la CNSS marocaine, lancement du modèle IA Sec-Gemini de Google, Oracle dément tout piratage de son Cloud, nouveaux malwares sur PyPI et Npm, les données piratées de Boulanger disponibles sur HIBP, etc.
Bastien Cacace
April 10, 2025
Sommaire
Infos
En septembre 2024, Boulanger a été victime d’une fuite de données qui a exposé plus de 27 millions d’enregistrements. Ces données comprenaient 967 000 adresses e-mail uniques, ainsi que des noms, adresses physiques, numéros de téléphone, et des coordonnées géographiques. Les données ont ensuite été publiquement divulguées sur un forum de piratage.
Oracle confirme le vol de données issues de deux serveurs "obsolètes", sans lien avec Oracle Cloud Infrastructure (OCI). Les identifiants volés, comprenant des mots de passe chiffrés ou hashés, ne permettraient pas l’accès aux environnements clients. L’entreprise insiste sur l’absence de compromission de l’OCI, malgré des données valides publiées par un hacker. Toutefois, des experts dénoncent un jeu de langage entre les plateformes Oracle Cloud Classic et OCI…
À l’occasion de la publication de son rapport d’activité, Cybermalveillance.gouv.fr présente les tendances clés de la menace qui ont marqué l’année 2024. Cybermalveillance.gouv.fr a constaté une hausse de 49,9 % des demandes d’assistance, portée par l’élargissement de son offre et l’intensification des cybermenaces. L’hameçonnage reste prédominant, suivi par le piratage de comptes et les rançongiciels.
Une vulnérabilité critique dans l’application Verizon Call Filter permettait à tout utilisateur malveillant d’accéder à l’historique des appels entrants de n’importe quel client Verizon, sans authentification adéquate. L’API ne validait pas la correspondance entre le numéro demandé et l’identité réelle de l’utilisateur via le JWT.
La Caisse nationale de Sécurité sociale marocaine a subi une cyberattaque majeure, exposant les données de plus de deux millions de personnes, dont de hauts dirigeants d’entreprises et proches du roi Mohammed VI. Les documents, publiés sur une chaîne Telegram pro-algérienne, révèlent salaires, numéros de sécurité sociale et informations personnelles. Les auteurs invoquent des représailles face à des actions présumées du Maroc contre l’Algérie.
Près de 900 faux domaines imitant des entreprises de défense et d’aérospatial soutenant l’Ukraine ont été identifiés. Selon DomainTools, l’opération vise le vol d’identifiants et possiblement la diffusion de malwares via de faux portails de connexion et services de partage de fichiers. DomainTools publie les IOCs pour renforcer la défense des entités touchées.
Une enquête de DomainTools révèle l’usage stratégique de registrars peu réglementés par des groupes russes (APT28, APT29, IRA) pour déployer à grande échelle des campagnes de désinformation. Des entités comme Namecheap, Reg.ru, PublicDomainRegistry, Tucows et Epik fournissent un environnement propice à ces campagnes, car elles permettent l’enregistrement anonyme de domaines imitant des sites officiels (ex. bloomberg-us[.]com, bbcnews[.]site).
Des chercheurs ont réussi à extraire des fichiers binaires internes et des fichiers proto sensibles depuis la sandbox Python de Google Gemini, sans en sortir. Exploitant une configuration permissive et l'utilisation détournée de descripteurs de fichiers et d'outils internes, ils ont accédé à du code propriétaire structuré autour de l’architecture google3 (nom interne donné par Google à son vaste référentiel de code source).
Mark Lanterman, expert en informatique judiciaire impliqué dans plus de 2 000 affaires aux Etats-Unis, fait l’objet d’une enquête du FBI après des doutes sur ses qualifications académiques et professionnelles. Des avocats révèlent l’absence de preuves de ses diplômes revendiqués. Des affaires pourraient être rouvertes.
Google présente Sec-Gemini v1, un modèle d’IA expérimental spécialisé en cybersécurité. Conçu pour renforcer les capacités des analystes, il est censé être performant dans l’analyse des incidents, l’analyse de menaces et l’évaluation des vulnérabilités. Ce modèle est notamment alimenté par des sources comme Mandiant, GTI et OSV. Un accès gratuit est proposé à la communauté cybersécurité pour encourager la recherche collaborative.
Un pharmacien du Maryland aurait espionné ses collègues pendant dix ans en installant des keyloggers sur 400 ordinateurs de l’UMMC. Il aurait accédé à des mots de passe, des vidéos et des données personnelles, activant parfois les webcams à distance. L’hôpital, accusé de négligence en cybersécurité, fait face à une plainte collective.
Des chercheurs ont découvert trois paquets Python malveillants sur PyPI (bitcoinlibdbfix, bitcoinlib-dev et disgraysa) totalisant plus de 39 000 téléchargements. Déguisés en correctifs ou bibliothèques légitimes, ces paquets exfiltrent des données sensibles ou testent des cartes bancaires volées. PyPI a supprimé ces paquets.
Une campagne persistante du groupe nord-coréen Lazarus utilise 11 packages npm malveillants pour déployer les malwares BeaverTail et un trojan d’accès à distance (RAT). Cette campagne cible les développeurs, en camouflant du code malveillant dans des bibliothèques semblant utiles (validators, loggers, debuggers).
La CISA, en collaboration avec le FBI, la NSA et des partenaires internationaux, met en garde contre l’usage croissant de la technique d’évasion Fast Flux par des groupes d’attaquants. En manipulant rapidement les enregistrements DNS (Single Flux et Double Flux), cette méthode rend difficile la détection et la neutralisation des infrastructures des attaquants (phishing, malwares, C2).
Vulnérabilités
65 vulnérabilités critiques impactant notamment les systèmes Apple (macOS, iOS, tvOS, Safari, etc.), VMware Tanzu Greenplum, IBM Db2 et Ivanti. Certaines sont déjà exploitées (CVE-2025-22457 - Ivanti, CVE-2025-24200 - iPadOS, iOS ). Aucune preuve de concept publique n’a été référencée pour la plupart.
Le bulletin met également en avant une autre vulnérabilité Ivanti (CVE-2025-0282 / CVSS 9) publié précédemment. Cette vulnérabilité est distincte de la vulnérabilité CVE-2025-22457, qui affecte sensiblement les mêmes produits, et qui a fait l'objet de l'alerte CERTFR-2025-ALE-003.
Ivanti a par ailleurs publié des correctifs pour l’autre vulnérabilité critique CVE-2025-22457 / CVSS 9.0 affectant Connect Secure, Policy Secure et les passerelles ZTA. Déjà exploitée selon la CISA et Google, cette faille permet la prise de contrôle des systèmes vulnérables.
Microsoft a publié 125 correctifs pour avril 2025, dont 11 critiques. Une faille 0-day (CVE-2025-29824 / CVSS 7.8) dans le pilote Windows Common Log File System, activement exploitée, permet une élévation de privilèges au niveau SYSTEM. Les autres vulnérabilités critiques non publiquement exploitées concernent notamment LDAP et les services Remote Desktop.
Une faille critique de type Remote Code Execution (CVE-2025-30065 / CVSS 10.0) affecte toutes les versions d’Apache Parquet jusqu’à la 1.15.0. Elle permet l’exécution de code via des fichiers Parquet malveillants. Très utilisé dans les systèmes big data (AWS, Hadoop, Azure...), Parquet est vulnérable lors de l’importation de données non fiables. Bien que l’exploitation nécessite une interaction humaine et qu’aucune exploitation active n’a encore été signalée, le risque est élevé.
Articles
Des chercheurs de SafeBreach ont révélé une chaîne d’attaque RCE baptisée QuickShell visant Quick Share (ex-Nearby Share) sur Windows. En combinant 5 vulnérabilités parmi 10 découvertes, ils ont pu exécuter du code à distance, transférer des fichiers sans consentement et détourner le trafic réseau via un faux AP WiFi.
Cette analyse compare les journaux clés des principaux fournisseurs Cloud (Microsoft, AWS et Google) en les classant en « Must-have », « Should-have » et « Nice-to-have ». L’article illustre leur utilité à travers de cas réels : cryptominage sur Azure, ransomware dans un bucket S3 et vol de données sur Google Cloud Storage.
Un article qui explore la combinaison des techniques de DLL Sideloading et d'appels système directs (Direct Syscalls) pour contourner les détections des solutions Antivirus et EDR. En utilisant oleview.exe (signé Microsoft) et en injectant une DLL malveillante imitant iviewers.dll, l’attaquant télécharge du shellcode depuis un serveur distant.
Ce petit guide propose un tour d’horizon des fichiers de registre sous Windows, des emplacements utiles en analyse hors ligne (e.g. NTUSER.DAT, AmCache.hve) et des outils d’analyse efficaces, tels que Registry Explorer, RegRipper, Registry Recon. L’article fournit aussi une liste actualisée des bibliothèques de parsing actives du registre dans plusieurs langages.
L’article explore l’interception des communications XPC sur macOS, un mécanisme d’inter-process communication (IPC) utilisé pour les applis iOS/macOS, notamment pour les échanges entre applis sandboxées et services privilégiés. L’auteur ne présente aucun exploit concret, mais fournit plutôt des outils et méthodes pour analyser les communications XPC.
Cet article explique une vulnérabilité de type path traversal découverte dans l’AWS Systems Manager (SSM) Agent. Cet agent, composant essentiel de la gestion des instances EC2 et serveurs on-premise dans AWS, exécute des documents SSM contenant des plugins. Ces plugins sont utilisés pour définir des actions automatisées, telles que des installations logicielles ou l’exécution de scripts.
Ce blog post met en lumière la collaboration opérationnelle entre deux acteurs majeurs du cybercrime : EvilCorp, entité cybercriminelle russe déjà sous sanctions américaines, et RansomHub, un collectif de ransomware-as-a-service (RaaS) devenu l’un des plus actifs en 2025.
Outils
SubCat est un outil de découverte passive de sous-domaines qui agrège ses données à partir de multiples modules passifs (19 actuellement), parmi lesquels Shodan, SecurityTrails, VirusTotal, Censys, AlienVault ou DNSDumpster.
DelePwn est un outil d’évaluation de sécurité qui identifie les risques liés aux mauvaises configurations de la délégation étendue (Domain-Wide Delegation, DWD) dans les environnements Google Cloud Platform. Cette fonctionnalité permet à des comptes de service d’agir pour tout utilisateur du domaine, exposant potentiellement des données Gmail, Drive, ou Calendrier.
Falsecho est une plateforme de phishing avancée qui permet la collecte de données sensibles, telles que le contenu du presse-papiers, la géolocalisation, l'audio et la vidéo, avec support PWA et pages d’authentification factices réalistes.
Peeko est un outil C2 (Command and Control) qui exploite les vulnérabilités XSS pour transformer le navigateur de la victime en relais furtif au sein du réseau interne. Il fonctionne via une connexion WebSocket entre un agent JavaScript injecté et un serveur de contrôle.
Podcasts
🎧️ NoLimitSecu - Sécurisation de la chaîne d'approvisionnement logicielle.
Conférences / Salons
🗓️ Toulouse hacking convention (THCon) - Du 11 au 12 avril 2025 à Toulouse, France
Finances / Marché
📈 ReliaQuest, une entreprise américaine proposant des services SOC, a levé 500 millions de dollars lors d'un tour de financement en Private Equity
🇫🇷 Tremau, une plateforme de modération de contenu et de sécurité alimentée par l'IA basée en France, a levé 3,3 millions de dollars lors d'un tour de financement Seed.
🇨🇭Levée de fond de plateforme européenne. Lien
🤝 Altospam, une plateforme de sécurité des e-mails basée en France, a été acquise par Hornetsecurity pour un montant non divulgué.
🤝 Bouygues Telecom Business met la main sur SecInfra, une société spécialisée dans la sécurité des infrastructures IT. Cette dernière propose plusieurs services de cybersécurité managés, notamment un SOC et un EDR.
En 2024, selon Tikehau Capital, les start-ups françaises de cybersécurité ont surpassé leurs voisines européennes en valeur de levées de fonds, atteignant 14 M€ en moyenne sur 25 opérations. Malgré un volume plus faible que le Royaume-Uni, la France se démarque par des montants plus élevés, grâce notamment à Chapsvision (85 M€) ou Filigran (47 M€). À l’échelle mondiale, les États-Unis dominent toujours le marché (85 % des fonds), suivis par Israël, qui accuse un recul marqué (-40 %).
CrowdStrike est devenu le premier éditeur de cybersécurité cloud-native à dépasser 1 milliard de dollars de ventes en un an sur AWS Marketplace 🤯.
Misc
MCP (Model Context Protocol) est un protocole ouvert qui permet aux modèles d'IA d'interagir de manière sécurisée avec des ressources locales et distantes via des implémentations de serveurs standardisées.
Dans un registre similaire, ce site propose également de nombreux MCP.
Git WithMe est un outil open source permettant une collaboration Git ponctuelle, sécurisée et sans passer par un serveur centralisé type GitHub. Basé sur la technologie Magic Wormhole, il établit un tunnel P2P chiffré de bout en bout entre deux développeurs via un code unique à usage unique.
Pour éviter le Computer Vision Syndrome (CVS), qui touche 90 % des professionnels de la tech, l’extension Chrome Eye Exercises automatise la règle 20-20-20. Elle propose des rappels réguliers et des exercices simples (palming, rotations, focus proche/lointain…) pour reposer les muscles oculaires et prévenir sécheresse, flou visuel et maux de tête.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien
Comment les attaquants russes exploitent les registrars pour des campagnes de désinformation