- Erreur 403
- Posts
- Erreur 403 | #21
Erreur 403 | #21
Prolongation du financement CVE par la CISA, vulnérabilités critiques sur Fortinet, fuite de données chez Hertz, avancées de l’opération Endgame, révélation d’un espionnage massif via Pegasus, changement sur les certificats SSL/TLS, et pleins d'outils !
Bastien Cacace
April 17, 2025
Sommaire
Infos
La CISA a finalement prolongé le financement de MITRE pour faire fonctionner le système de numérotation CVE. Cependant, plusieurs autres organisations ont annoncé qu'elles pourraient commencer à créer des registres de vulnérabilités alternatifs face à l'arrêt possible du financement gouvernemental américain.
Quelques exemples :
Hertz, connu aussi pour ses marques Dollar et Thrifty, a subi une violation de données via la plateforme Cleo Communications utilisée par l'entreprise. Confirmée le 10 février 2025, cette attaque a compromis des informations personnelles telles que noms, coordonnées, permis de conduire, cartes de crédit et, pour certains, données de passeport. Bien que l’ampleur totale ne soit pas précisée, au moins 3 400 clients dans l’État du Maine sont affectés. Les clients en France ne semblent pour le moment pas concernés.
Les suites de l’opération Endgame, qui avait démantelé en mai 2024 des botnets majeurs tels que Smokeloader, ont permis l’arrestation et l’interrogation de plusieurs suspects en 2025. Les forces de l’ordre (Europol et les autorités de plusieurs pays) ciblent désormais les utilisateurs de ces services criminels "pay-per-install", impliqués dans des activités telles que le ransomware ou le cryptominage.
Lors d'une campagne d’espionnage de deux mois en 2019, le spyware Pegasus de NSO Group a ciblé 1 223 utilisateurs WhatsApp répartis dans 51 pays, dont des journalistes et activistes. Un récent document judiciaire, publié dans le cadre du procès intenté par WhatsApp contre NSO Group, offre un aperçu de cette vaste opération. Des pays comme le Mexique, l’Inde et le Maroc figurent parmi les plus touchés.
L’ANSSI propose une méthode actualisée pour classer les systèmes industriels en quatre niveaux, selon leur criticité et les impacts potentiels d’une cyberattaque. Ce guide vise à mieux adapter les mesures de sécurité aux risques spécifiques de l’OT (Operational Technology), en prenant en compte les menaces actuelles, les interdépendances IT/OT et les exigences des normes comme l’IEC 62443. Il s’intègre dans la démarche EBIOS RM pour une analyse complète du risque.
L’émergence du Shadow AI, ou l’utilisation d’outils d’intelligence artificielle non encadrés, expose les entreprises à des risques importants (sécurité, conformité, éthique). Invisible pour les outils classiques de supervision, il fragilise la gouvernance numérique en créant des "zones grises".
Microsoft a signalé un problème affectant les contrôleurs de domaine sous Windows Server 2025 où, après un redémarrage, le profil standard du pare-feu est chargé au lieu du profil dédié au domaine, perturbant la gestion du trafic réseau. Cela peut rendre certains services et applications inaccessibles.
Le CA/Browser Forum a voté pour réduire progressivement la durée de vie des certificats SSL/TLS de 398 jours à 47 jours d'ici 2029. Dès 2026, leur validité sera limitée à 200 jours, puis à 100 jours en 2027, et enfin à 47 jours en 2029.
Vulnérabilités
31 vulnérabilités critiques impactant notamment les produits VMware (Tanzu Greenplum, Tanzu), les produits SAP et Adobe (ColdFusion). Certaines vulnérabilités, comme celles identifiées pour Ubuntu (CVE-2024-53197) et Microsoft Windows (CVE-2025-29824 / CVSS 7.8) sont déjà activement exploitées.
🚨 Rappel des alertes du CERT-FR de la semaine :
Fortinet a identifié une technique post-exploitation utilisant des vulnérabilités connues (FG-IR-22-398, FG-IR-23-097, FG-IR-24-015) pour maintenir un accès persistant en lecture seule sur les appareils FortiGate. Il est recommandé à tous les clients de vérifier et mettre à jour leur configuration. L'éditeur indique que les clients qui n'ont jamais activé la fonctionnalité de SSL-VPN ne sont pas impactés. Le lien vers l’alerte du CERT-FR est disponible ici.
Fortinet a corrigé une vulnérabilité critique (CVE-2024-48887 / score CVSS 9.3) affectant l'interface GUI de FortiSwitch, permettant à un attaquant distant non authentifié de modifier le mot de passe administrateur via une requête spécialement conçue. Les versions touchées incluent FortiSwitch 6.4 à 7.6.
Articles
L’article met en lumière plusieurs points techniques et méthodologies avancées pour exploiter cette vulnérabilité. L'objectif principal des attaquants est d'exploiter NetNTLM pour capturer ou relayer des authentifications via des relais NTLM.
Ce blog post décrit comment le protocole ouvert Model Context Protocol (MCP) transforme l'automatisation des opérations de sécurité en standardisant l’interaction des modèles d'IA (LLMs) avec les outils d’entreprise.
Adam Chester explore dans son article les failles potentielles de sécurité liées au chiffrement des bases de données SQL Server, illustrées via une investigation sur un problème détecté dans ManageEngine ADSelfService. Une découverte majeure a été que ManageEngine utilise une clé statique, explicitement mentionnée dans les exemples Microsoft, pour protéger les DMK (Database Master Key). Un air de déjà vu 🙂.
Ce guide pour les tests d’intrusion Kubernetes offre un aperçu des bases : composants clés (pods, noeuds, kubelets, kube-proxy…), vocabulaire, et phase de reconnaissance. Les outils comme kubectl permettent d’interagir efficacement avec des clusters et de révéler des défauts de configuration.
Fabien Perigaud explore un bug spécifique d'iOS 18.4, affectant les appareils utilisant la Pointer Authentication (PAC). Ce problème concerne particulièrement la résolution dynamique de symboles via dlsym().
L’article concerne les potentiels pièges et dangers associés aux Bucket Policies dans Amazon S3. Comparées aux S3 ACLs, les Bucket Policies sont des structures JSON centralisées permettant de contrôler l'accès à des ressources S3 de façon fine, mais elles impliquent des risques majeurs en cas de mauvaise configuration.
Un blog post sur les défauts de configuration Salesforce rencontrés fréquemment, tels que des erreurs dans le code Apex, l’utilisation inappropriée de SOQL, le stockage des informations sensibles (comme les clés API ou les mots de passe) en clair, etc.
L’article explore les vulnérabilités potentielles dans un décodeur TNT de la marque Metronic, particulièrement lorsqu'il est connecté à Internet. La recherche montre également que des attaques via la création de flux MPEG manipulés pour remplacer une chaîne TV sont possibles avec un HackRF.
Cette article de l’Unit 42 dévoile des failles majeures liées à l’utilisation d’OpenID Connect (OIDC) dans les pipelines de CI/CD.
Ce rapport de Google Threat Intelligence Group détaille une campagne sophistiquée de phishing, observée en octobre 2024, attribuée au groupe UNC5837 lié à la Russie, visant des organismes gouvernementaux et militaires européens. Les attaquants ont exploité des fichiers .rdp signés pour détourner les fonctionnalités méconnues du protocole RDP, notamment la redirection des ressources et RemoteApps. L’objectif était de voler des fichiers, capturer des données du presse-papiers et des variables d’environnement.
Cet article montre que le protocole WinRMS (la version HTTPS de WinRM) ne chiffre pas les données à l'intérieur du tunnel TLS et ne force le Channel Binding. Cette absence de sécurisation permet de relayer des authentifications NTLM. Bien que WinRMS ne soit pas activé par défaut, les administrateurs cherchant à durcir leur configuration en désactivant les points d'accès HTTP pourraient involontairement activer ce vecteur d'attaque.
Cet article explore les mécanismes avancés utilisés par Riot Vanguard, l’anti-triche de Riot Games pour le jeu vidéo Valorant, pour détecter et bloquer les comportements suspects. Vanguard charge son pilote dès le démarrage de Windows, lui permettant ainsi de surveiller tous les événements ultérieurs.
L'article propose une vaste enquête sur les extensions de navigateur non indexées et met en avant les dangers qu'elles représentent (vol de cookies, manipulation du navigateur). Ces extensions, bien qu'invisibles sur le Chrome Web Store et seulement accessibles via un lien direct, reposent sur des permissions abusives et un contrôle serveur distant qui les rendent difficilement détectables.
Outils
Ce dépôt GitHub contient une collection de plus de 150 outils et ressources qui peuvent être utiles pour les activités de Redteam.
Ce serveur MCP (Model Context Protocol) permet aux assistants IA comme Claude d'accéder à vos données ROADRecon Azure AD (l’outil de dirkjanm) pour l'analyse de sécurité.
ShareFiltrator est un outil Python permettant d’exploiter l’API de recherche de SharePoint pour identifier des fichiers sensibles, tels que des mots de passe ou des informations critiques, exposés sur des sites SharePoint ou OneDrive.
Jxscout est un outil conçu pour analyser les vulnérabilités dans le code JavaScript. Il s'intègre à des proxys tels que Burp ou Caido, capturant les requêtes et organisant automatiquement les assets dans une structure claire.
RemoteMonologue permet la collecte de credentials sur Windows en exploitant des objets DCOM afin de provoquer des authentifications NTLM. Elle repose sur plusieurs fonctionnalités techniques : coercition d’authentifications DCOM, attaque de downgrade NTLMv1 ou encore l’abus du service WebClient pour des authentifications HTTP
YES3 Scanner vise à détecter les failles potentielles dans les buckets Amazon S3 en identifiant les politiques publiques, les configurations ACL et le chiffrement par défaut SSE-S3.
DetectRaptor est un dépôt conçu pour centraliser et partager des contenus de détection pour l’outil de forensic Velociraptor de manière accessible et prête à l'emploi. Les artefacts disponibles vont des analyses des Evtx Logs, à des détections plus spécifiques, comme les applications compromises, les "LolDrivers" et les processus détectés via YARA.
BloodHound-MCP est une intégration qui combine les fonctionnalités de BloodHound (analyse des chemins d’attaque dans Active Directory) et du protocole Model Context Protocol (MCP). Cette solution permet d'interroger les données de BloodHound en langage naturel, sans utiliser de requêtes Cypher complexes.
FindUnusualSessions permet de détecter à distance des sessions suspectes sur des machines Windows via RPC, en s’appuyant sur des domaines légitimes définis dans l’annuaire LDAP
dAWShund est un outil conçu pour auditer, analyser et visualiser les permissions dans les environnements AWS IAM. Le framework combine plusieurs scripts (sAWSage, gerakina, et dAWShund) pour inventorier les entités, consolider les politiques IAM, simuler les permissions effectives grâce à l’API AWS et visualiser les accès dans Neo4j.
Attaché propose une couche d'émulation des APIs de métadonnées des fournisseurs cloud, facilitant la gestion multi-cloud des identités et des accès (IAM).
Vidéos
🎬 Petit PoC d’Adam Chester exposant les API du framework de Redteam Mythic à Claude, afin qu'il puisse émuler des acteurs malveillants ou réaliser des tests d’intrusion à notre place.
Finances / Marché
🇨🇦 Tailscale, une startup canadienne spécialisée dans les accès réseau zéro trust, a levé 160 millions de dollars américains lors d'un tour de financement de série C.
🇫🇷 Qevlar AI, une plateforme de support pour SOC avec des agents IA basée en France, a levé 10,0 millions de dollars lors d'un tour de financement de série A.
🤝 Palo Alto Networks envisage l'acquisition de Protect AI, une startup spécialisée dans la sécurité des modèles d'IA et la gouvernance, pour un montant estimé entre 650 et 700 millions de dollars.
Misc
DNSDiag propose un ensemble d’outils efficaces pour auditer, mesurer et diagnostiquer le trafic DNS.
Trippy est un outil de diagnostic réseau combinant les fonctionnalités de traceroute et ping, et facilite l’analyse des problèmes de réseau.
Browser MCP connecte votre navigateur à des applications d'IA pour automatiser tests et tâches. Il permet, par exemple, d'effectuer des tests sur des interfaces utilisateurs ou de remplir des formulaires de manière répétée.
Du 11 au 13 juillet 2025, le Parc des Princes accueillera un hackathon organisé par Chiliz, expert de la blockchain pour le sport. Cet événement gratuit récompensera les solutions les plus novatrices avec une dotation totale de 150 000 $ répartie sur cinq thématiques clés : fan tokens, DeFi, IA, etc.
Ensemble, Einstein et Hawking auraient-ils pu concilier la relativité et la mécanique quantique ? Ce captivant documentaire met en miroir les découvertes des deux plus grands esprits de la physique moderne qui ont révolutionné notre vision de l'Univers.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien