- Erreur 403
- Posts
- Erreur 403 | #22
Erreur 403 | #22
Fin du support Windows 10, rapport de l'ANSSI sur les transports urbains, fuite de données chez Indigo et 4Chan, attaques DDoS sur Adyen, campagne APT29 contre les ambassades, blocage Cloudflare en Espagne, etc.
Bastien Cacace
April 24, 2025
Sommaire
Infos
Le support de Windows 10 prendra fin le 14 octobre 2025, signifiant l'arrêt des mises à jour de sécurité et la gestion des nouvelles vulnérabilités. Selon le CERT-FR, 68 % des postes de travail des utilisateurs du service ADS (service d’audit AD de l’ANSSI) fonctionnent encore sur une version antérieure à Windows 11. Cette expiration annoncée doit inciter toutes les organisations à anticiper et planifier leur migration ou à déployer des mesures de mitigation adéquates. Les services LTSC et ESU sont à considérer, bien qu’ils impliquent des coûts additionnels importants pour certaines versions.
Une opération internationale coordonnée par Europol a permis de fermer la plateforme LabHost, spécialisée dans le phishing-as-a-service. Accessible sur le web, LabHost fournissait des kits de phishing, des outils interactifs et le suivi des campagnes, pour une moyenne de 249 $ par mois. Utilisée par des milliers de cybercriminels, la plateforme proposait notamment le détournement de codes 2FA via son outil LabRat. La police a perquisitionné 70 lieux et arrêté 37 suspects.
Un exemple récent a révélé une attaque par "DKIM Replay", où des e-mails semblent légitimes grâce à des signatures DKIM valides, mais sont utilisés pour des tentatives de phishing sophistiquées. Les attaquants utilisent des outils gratuits comme Google Sites pour créer des pages convaincantes hébergées sous des sous-domaines Google. Cette technique trompe même les mécanismes de vérification, tels que SPF et DMARC.
Le rapport de l'ANSSI souligne la criticité élevée du secteur des transports urbains face à une menace cyber diversifiée. Si les motivations lucratives dominent, via rançongiciels et vols massifs de données, les risques de déstabilisation (hacktivisme, sabotage) et d'espionnage étatique sont réels, accentués par des contextes comme les JOP 2024. La convergence IT/OT, la dépendance aux prestataires et l'automatisation créent des vulnérabilités spécifiques. Le rapport conclut sur un ensemble détaillé de recommandations.
Le forum controversé 4chan a été piraté, entraînant le vol et la diffusion de données internes, y compris le code source, les outils de modération, et les informations des modérateurs et abonnés 4chan Pass. Le pirate, qui aurait infiltré le système pendant plus d’un an, a également exposé les utilisateurs VIP et les modérateurs du site. Ce piratage pourrait dévoiler l’identité de ceux qui administrent la plateforme, connue pour son rôle dans la diffusion de discours haineux et son lien avec des mouvements d’extrême droite.
Le groupe d’attaquants affilié à la Russie Midnight Blizzard (APT29) lance une campagne sophistiquée utilisant un nouveau malware nommé GrapeLoader et une version avancée de la backdoor WineLoader. Selon les chercheurs de Check Point, elle repose sur l’envoi d’e-mails de phishing se faisant passer pour une invitation à un évènement de dégustation de vin. Une fois activé, GrapeLoader collecte des informations sur sa cible, établit une persistance dans le système via des modifications du registre Windows et se connecte à un serveur de commande et contrôle (C2).
Il vous reste 3 jours pour participer au France Cybersecurity Challenge afin de gagner votre place au sein de l'équipe France qui défendra les couleurs nationales lors du European Cybersecurity Challenge (ECSC) organisé à Varsovie du 6 au 10 octobre 2025.
Microsoft Entra, anciennement Azure AD, rencontre une vague de verrouillages de comptes massifs causée par un déploiement problématique de MACE (MACE Credential Revocation), un nouvel outil de détection d’identifiants compromis. Ce problème, signalé par de nombreux administrateurs sur Reddit, a entraîné des verrouillages automatiques dans plusieurs organisations. Les alertes indiquaient des identifiants divulgués, mais les comptes concernés n’affichaient aucun signe de compromission.
Le groupe Indigo, gestionnaire de parkings, a signalé une intrusion dans son système informatique, exposant potentiellement des données personnelles. Bien qu'aucune donnée bancaire ni mot de passe ne soient affectés, des informations comme l’adresse mail, le nom, le numéro de téléphone et la plaque d'immatriculation pourraient avoir fuité. Indigo affirme ne pas avoir identifié d’usage frauduleux, mais invite à rester vigilant et à changer de mot de passe.
Le tribunal commercial de Barcelone a confirmé le blocage des adresses IP de Cloudflare par La Liga (ligue professionnelle de football espagnol) pour lutter contre le piratage des chaines TV. Décision controversée, elle empêche l’accès à des données personnelles et services légitimes hébergés sur Cloudflare depuis l’Espagne, menaçant la business en ligne d’autres entreprises.
Adyen, le prestataire de services de paiement pour entreprises et commerçants, a été touché par une série d’attaques DDoS ciblant ses infrastructures européennes. En trois vagues distinctes, chaque attaque a entraîné des interruptions temporaires de 15 minutes, affectant les paiements en ligne et physiques, ainsi que les espaces clients et services API.
Le groupe marocain Atlas Lion cible les entreprises via une méthode innovante : en obtenant des identifiants volés, il enregistre ses machines virtuelles dans les domaines cloud des victimes, simulant ainsi un accès légitime au réseau. Microsoft a précisé que leur objectif principal est l’émission frauduleuse de cartes-cadeaux.
Retour sur l'année 2024 qui fut “exceptionnelle” pour l'ANSSI, marquée par le succès collectif de la sécurisation cyber des Jeux Olympiques et Paralympiques de Paris, fruit d'une préparation intense de l'écosystème. L'agence a piloté la transposition de la directive NIS 2, élargissant son rôle vers la supervision, et contribué aux avancées réglementaires européennes (CRA, eIDAS, EUCC). L'expertise sur l'IA et la cryptographie post-quantique a été renforcée, tout comme le soutien à l'écosystème via de nouveaux services et le réseau des CSIRT.
Vulnérabilités
10 vulnérabilités critiques impactant notamment IBM QRadar Suite, Tenable Security Center, Tenable Nessus, Oracle MySQL et Erlang OTP. Des vulnérabilités dans Apple iOS/iPadOS/macOS sont activement exploitées. D'autres failles (Moodle, Microsoft Windows, Sonicwall) sont également notables (exploitation publique ou avérée).
La vulnérabilité CVE-2025-24054, corrigée par Microsoft le 11 mars 2025, concerne la divulgation de challenge-response NTLMv2 via des fichiers malveillants (.library-ms). Dès le 19 mars 2025, des attaques actives ont été observées. Une campagne ciblée a visé principalement les institutions gouvernementales et privées de Pologne et Roumanie, utilisant des e-mails malveillants contenant des liens Dropbox.
L’article explique la découverte d’une vulnérabilité dans la bibliothèque de développement de serveur web léger FastCGI. L’article appréhende le fonctionnement interne du protocole FastCGI de sorte à comprendre dans quel contexte cette vulnérabilité s'exploite et de quelle façon (CVE-2025-23016 / CVSS 9.3).
Articles
Le dernier volet de la série « Linux Detection Engineering » explore des techniques avancées de persistance sous Linux. Il met en lumière l'utilisation détournée de composants tels que GRUB, Initramfs, Polkit, D-Bus, et les scripts dispatcher de NetworkManager.
Ce post blog montre comment des attaquants, après avoir compromis un compte AWS, pourraient abuser de CodeBuild pour maintenir un accès persistant. En exploitant les intégrations entre CodeBuild et GitHub Actions, ils peuvent utiliser un rôle IAM backdooré pour exécuter des commandes dans l’environnement AWS via une action GitHub.
Cette étude sur plus de 5 576 paquets open source malveillants du dataset de DataDog révèle que 96,2 % ont été détectés comme malveillants grâce à un moteur d’analyse. 64 % provenaient de npm et 35 % de PyPI. La majorité de ces paquets sont de petite taille (<10KB) et incluent des tentatives de typosquatting ("expresss", "djangoo"). Dix règles YARA couvrent plus de 75 % des détections, révélant des schémas d’attaque récurrents.
Cet article explore des techniques avancées pour contourner Windows Defender en 2025, en combinant chiffrement XOR et appels système directs (syscalls). Les étapes incluent l'utilisation de SysWhispers2 pour esquiver la surveillance des Win32 APIs et la détection via l'IAT, ainsi que l’injection de shellcodes chiffrés dans des processus locaux ou distants.
Comment maximiser les bénéfices éducatifs, financiers et professionnels de la certification OSCP ? L’article souligne que bien que l’examen simule un test d’intrusion en boite noire, il reste limité par sa conception standardisée. Ces différences, comme l’absence de collaboration en équipe, les restrictions d’utilisation de certains outils, ou l’absence d’interaction client, doivent être comprises afin de mieux présenter les compétences acquises lors des entretiens ou tests d’intrusion réels.
Un bug hunter révèle comment il a utilisé des techniques avancées pour restaurer des fichiers supprimés et détecter des secrets exposés dans des dépôts GitHub de grandes entreprises. Grâce à une automatisation, il a scanné des milliers de dépôts, identifié des fichiers supprimés contenant des clés API, tokens, et informations sensibles non révoquées. Ces découvertes lui ont rapporté 64 350 $ en bug bounties.
Lors d’un audit de Moodle (v4.4.3), une vulnérabilité TOC-TOU (Time-of-Check to Time-of-Use) a été identifiée, permettant de contourner les mécanismes de sécurité contre les attaques SSRF (Server-Side Request Forgery). Cette faille affecte plusieurs fonctionnalités manipulant des URL, comme la synchronisation de calendrier ou le File Picker. Si Moodle est hébergé sur AWS avec IMDSv1, l’exploitation potentielle de cette faille peut mener à une exécution de code à distance.
Outils
DNSTwist est conçu pour identifier des domaines potentiellement malveillants susceptibles de cibler une organisation. Ce processus, appelé "DNS fuzzing", repose sur l'exploration algorithmique de permutations d'un domaine donné, une méthode pour détecter le typosquatting, les attaques de phishing et les imitations de marque.
Cloud Snitch est un outil pour surveiller et analyser l'activité des comptes AWS. Il met en avant erreurs et comportements suspects avec une visualisation au travers d’une carte.
Une nouvelle API ASN.1 pour PyCA Cryptography, basée sur un parseur Rust performant, arrive bientôt. Elle améliore la performance, réduit les différences entre analyseurs, et modernise l'écosystème Python grâce à une interface type dataclasses avec annotations de types.
Un fichier de configuration user.js conçu pour durcir les paramètres de Mozilla Firefox améliore la sécurité du navigateur et protège votre confidentialité. Ce fichier applique des mesures visant à limiter le pistage, à réduire les vulnérabilités d'exécution de code et à éviter les identifications uniques via le fingerprinting.
Landrun offre une sandbox légère et sécurisée exploitant le module natif Landlock du noyau Linux pour restreindre finement les accès aux fichiers et au réseau des processus, sans nécessiter de privilèges root, containers ou configurations SELinux/AppArmor.
Un outil qui permet d’auditer les GitHub Actions utilisées dans vos workflows. Il analyse les versions et commits exacts déployés pour une organisation, une entreprise ou un dépôt, grâce à un journal d’audit.
Un outil permettant d’analyser vos serveurs MCP installés afin de détecter les vulnérabilités courantes telles que les injections de commandes ou la compromission des outils. Il propose également un système de verrouillage des outils pour prévenir les attaques de type "rug pull" sur MCP, en détectant les modifications apportées aux outils MCP via un système de hashage.
Conférences / Salons
🗓️ RSA Conference - Du 28 avril au 1er mai 2025 à San Francisco, US
🗓️ ESIEA Secure Edition - Le 17 mai 2025 à Paris, France
🗓️ BotConf - Du 20 au 23 mai 2025 à Angers, France
Marché
L’article explore les implications de l'IA en cybersécurité, particulièrement devant les prédictions du rapport AI 2027. Ce rapport anticipe des IA atteignant une super-intelligence d'ici deux ans, bouleversant la cybersécurité avec une évolution spectaculaire de l’automatisation. L'auteur met en lumière des entreprises comme Exaforce, qui conçoivent des agents IA capables d’automatiser les tâches des Security Operations Centers (SOC), prédisant qu’une adoption massive de ces systèmes interviendra d'ici 2026.
Misc
L’Histoire d’Internet au travers des inventions et des personnes qui ont marqué l’histoire
Sam Altman, PDG d’OpenAI, révèle que l’utilisation de mots comme "s’il vous plaît" et "merci" avec les chatbots coûte "des dizaines de millions de dollars" en énergie. Les centres de données supportant ces technologies consomment déjà environ 2 % de l’énergie mondiale, un chiffre en hausse alors que l’IA devient omniprésente dans notre vie quotidienne. Une étude du Washington Post, en collaboration avec l’Université de Californie, a montré que rédiger un seul email via une IA nécessite 0.14 kWh, soit assez d’énergie pour éclairer 14 ampoules LED pendant une heure.
Google fait face à des accusations de monopole dans la recherche en ligne et pourrait être contraint par le Département de la Justice Américain de vendre son navigateur Chrome. Le responsable de ChatGPT, Nick Turley, a confirmé qu’OpenAI serait intéressé par un rachat potentiel. Turley a évoqué des intégrations renforcées pour offrir aux utilisateurs une “expérience pilotée par l'IA”. Cependant, ces discussions soulèvent des questions sur le risque de nouveaux monopoles.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien