Sommaire

• Infos

• Vulnérabilités

• Articles

• Outils

• Podcasts / Vidéos

• Conférences / Salons

• Finances / Marché

• Misc

Infos

Accélération de l'exploitation des vulnérabilités en 2025

Dans un rapport publié par VulnCheck, au 1er trimestre 2025, 159 vulnérabilités critiques ont été exploitées, dont 28,3% en moins d'une journée après leur divulgation. Les CMS, les appareils réseau et les systèmes d'exploitation sont les plus ciblés. Windows et VMware figurent parmi les produits les plus impactés. Par ailleurs, 20% des intrusions sont liées à l'exploitation de failles, avec un temps médian de détection des compromissions passé à 11 jours. Le rapport de VulnCheck est disponible ici.

Ciblage d'entités françaises par APT28 : alertes et recommandations

L'ANSSI et le Centre de coordination des crises cyber (C4) rapportent des attaques ciblées par le groupe APT28, lié à la Russie, contre des entités françaises entre 2021 et 2024. Ce groupe a visé principalement les secteurs gouvernemental, diplomatique et de recherche, utilisant différentes chaînes d'infection pour exfiltrer des données sensibles. Ces cyberattaques s'inscrivent dans le contexte du conflit en Ukraine. L'ANSSI fournit dans son rapport des informations importantes sur les modes opératoires et les vulnérabilités exploitées.

Microsoft paye jusqu’à 30 000$ pour du bug bounty sur certains produits IA

Microsoft a augmenté ses primes pouvant atteindre 30 000 $ pour la découverte de vulnérabilités liées à l'IA dans Dynamics 365 et Power Platform. Les failles admissibles incluent la manipulation d'inférence, celle des modèles, et la divulgation d'informations.

La nouvelle fonctionnalité de Gmail pour les messages chiffrés pourrait favoriser le phishing

Google a annoncé début avril le lancement d’un outil simplifié permettant aux utilisateurs professionnels d’envoyer facilement des emails chiffrés de bout en bout. Cependant, si cette nouvelle fonctionnalité améliore la confidentialité et la sécurité des emails, des experts avertissent qu’elle pourrait également favoriser de nouvelles attaques de phishing.

Fuite de données chez Carrefour Mobile

Carrefour Mobile a été victime d’une cyberattaque exposant les données personnelles de 64.000 utilisateurs. Parmi les informations compromises figurent numéros de téléphone, adresses e-mail, mots de passe, adresses personnelles et numéros de passeport. Toutefois, les informations liées aux paiements ne seraient pas concernées, selon Carrefour Belgique. Une enquête est en cours en collaboration avec une société de cybersécurité. Cette cyber-attaque ne concerne que Carrefour Mobile qui n’est plus disponible en France depuis plusieurs années.

Vol de données chez Easy Cash

Easy Cash a signalé une fuite de données touchant 92 000 clients et collaborateurs suite à une cyberattaque « sur le poste d'un magasin ». Les données exposées incluent nom, prénom, et date de naissance, sans impact sur les informations bancaires ou mot de passe.

Hausse des scans sur les VPN Ivanti

Les scans ciblant les VPN d’Ivanti (Connect Secure et Pulse Secure) ont explosé de 800% en une semaine, selon GreyNoise. Ces pics précèdent souvent la découverte ou l’exploitation de vulnérabilités. Sur 1 004 adresses IP observées en 90 jours, 634 étaient jugées "suspectes".

Les cyberscams se mondialisent

Un rapport alarmant de l’ONU révèle que les réseaux criminels asiatiques à l’origine d’arnaques en ligne sophistiquées s’étendent à l’échelle mondiale. Exploitant des milliers de travailleurs, souvent victimes de trafic, ces groupes ciblent les victimes via des fraudes liées aux investissements, aux cryptomonnaies et aux escroqueries sentimentales. Malgré des efforts de répression en Asie du Sud-Est, ces organisations se déplacent vers l’Afrique, l’Europe et au-delà.

Un partage inapproprié de données de santé chez Blue Shield

Blue Shield of California a révélé avoir partagé, de 2021 à 2024, des données de santé privées avec Google via une mauvaise configuration de Google Analytics. Près de 4.7 millions d'individus sont concernés, incluant noms, types de plans d'assurance et détails médicaux sensibles. Ces données auraient pu être utilisées à des fins publicitaires ciblées.

Réduction des contrats chez la CISA

La CISA est en cours de réduction de ses outils de cybersurveillance et abandonne l'usage des services VirusTotal (Google) et Censys. Ces mesures s’inscrivent dans un plan global de réduction budgétaire et de recentrage des priorités, largement soutenu par l’administration Trump, qui accuse l’agence de déborder de sa mission en modérant la désinformation en ligne. Des analystes internes, anonymement cités, redoutent que ces pertes d’outils essentiels nuisent à la capacité de la CISA de neutraliser les cyberattaques sur les réseaux fédéraux.

Vol massif de crypt par des attaquants nord-coréens

Des attaquants nord-coréens ont dérobé 137 millions de dollars en crypto-monnaies sur la blockchain TRON via une attaque de phishing en une seule journée. Ces groupes, tels que UNC1069, UNC5342 et UNC3782, ciblent développeurs et organisations Web3 pour financer le programme d'armes de destruction massive de la Corée du Nord.

Ce qu’ont révélé les messages internes du groupe Black Basta

Une fuite massive de 200 000 messages internes du groupe ransomware Black Basta a exposé leurs méthodes, hiérarchies internes et motivations. Ces attaquants ciblent des entreprises financières et industrielles via l’exploitation de CVE, le social engineering et des outils comme les RMM. La fuite révèle également leur utilisation de ProxyChains et de ports SSH atypiques pour masquer leurs traces.

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 18

4 vulnérabilités critiques impactant notamment SAP NetWeaver (cf. ci-dessous), Spring Security (code d’exploitation disponible) et Moddle.

Parmi d'autres vulnérabilités notables : CraftCMS et xWiki sont ciblés par des attaques exploitant respectivement une exécution de code à distance et une injection SQL.

🔥 Vulnérabilité critique dans SAP NetWeaver Visual Composer

L'équipe de recherche ReliaQuest a découvert une vulnérabilité critique (CVE-2025-31324 / CVSS 10.0) dans SAP NetWeaver Visual Composer, permettant l'exécution de code malveillant via des fichiers non autorisés (upload de fichiers arbitraire). Cela permettait à des attaquants d’introduire des fichiers JSP malveillants (webshells) sur les systèmes SAP, offrant un accès non autorisé pour exécuter des commandes ou voler des données. SAP a publié un correctif de sécurité.

La CISA a ajouté deux nouvelles failles critiques à son catalogue KEV

Les vulnérabilités concernent Broadcom Brocade Fabric OS (CVE-2025-1976 / CVSS 8.6) et le serveur web Commvault (CVE-2025-3928 / CVSS 8.7). La première permet une exécution de code arbitraire avec accès administrateur local. La seconde exploite des identifiants valides sur des versions spécifiques de Commvault, exposées via Internet.

Articles

Tests d’intrusion VoIP

Rappels sur l’architecture technique VoIP et les risques existants : l’écoute téléphonique par absence de chiffrement, les attaques par déni de service (DoS), le détournement d’appels frauduleux, etc. Ces failles exploitent souvent de mauvaises configurations réseau, des mots de passe faibles ou des logiciels obsolètes.

Méthode de contournement UAC via Intel ShaderCache

Un chercheur a exploré une technique ancienne, mais encore fonctionnelle de contournement de l’UAC (User Account Control) via le dossier ShaderCache des graphiques Intel. Ce dossier, accessible avec des permissions trop larges, est utilisé par des processus tels que Task Manager.

Limiter les risques des attaques CSWSH avec les récentes mesures de sécurité des navigateurs

Cet article explore les vulnérabilités Cross-Site WebSocket Hijacking (CSWSH) et comment les navigateurs récents compliquent ces attaques. Ces vulnérabilités profitent de l'absence de protection SOP des connexions WebSocket, permettant à des sites malveillants de détourner l’authentification d’un utilisateur.

Les pièges cachés des politiques de confiance (trust policies) IAM sur AWS

Ce blog post explique les risques critiques liés aux mauvaises configurations des politiques de confiance IAM sur AWS. Il décrit deux erreurs de configuration courantes, mais dangereuses dans les politiques de confiance des rôles IAM d’AWS.

Création d’exploit avec l’IA

L’auteur de cet article raconte comment il a utilisé GPT-4 pour développer un exploit fonctionnel pour la vulnérabilité CVE-2025-32433, une vulnérabilité dans le protocole Erlang/OTP SSH, avant la publication d'une preuve de concept publique.

Ghosting AMSI pour contourner les antivirus

Une méthode avancée pour contourner AMSI (Antimalware Scan Interface), baptisée "Ghosting AMSI", qui repose sur l’exploitation du niveau de communication RPC (Remote Procedure Call). En interceptant et redirigeant les appels RPC via le point critique NdrClientCall3, cette méthode détourne la communication entre AMSI et l'antivirus.

MCP et l'attaque du "line jumping"

Une vulnérabilité critique, surnommée "line jumping", expose le protocole Model Context Protocol (MCP) à des attaques. Cette faille permet à un serveur MCP malveillant d'exécuter des attaques avant que des outils ne soient explicitement invoqués. Il s'agit ici d'une transgression des principes fondamentaux de sécurité du MCP, notamment le consentement explicite (« Tool Safety ») et l'isolation des connexions.

Outils

Simulation d’attaques sur Kubernetes

Clusterfuck est un outil de simulation d’attaques multi-étapes conçu pour tester la robustesse des clusters Kubernetes. Il reproduit des techniques comme l’escalade de privilèges, l’évasion de conteneurs, le vol de données d’identification et le minage de cryptomonnaie. L’objectif est d’aider les équipes à évaluer et améliorer leurs outils de détection (CSPM, EDR) en déclenchant plus de 20 alertes critiques, perfectionnant ainsi leurs capacités de défense et de réponse aux incidents.

Automatisation des rapports pour vos tests d’intrusion

Simplifiez la documentation de vos tests de sécurité grâce à Document My Pentest, une extension open-source pour Burp Suite. Cet outil utilise l’IA pour analyser vos requêtes en temps réel et générer automatiquement des rapports structurés de vos découvertes.

Identifiez les accès externes à vos ressources AWS

L'outil "Know Your Enemies" analyse les politiques de confiance des rôles IAM et les politiques des buckets S3 dans votre compte AWS afin d’identifier les fournisseurs tiers ayant accès à vos ressources. Il compare les identifiants de comptes AWS trouvés dans ces politiques à une liste de référence de comptes AWS connus fournie par fwd:cloudsec pour identifier les fournisseurs associés à ces comptes.

Suiver les évolutions de sécurité AWS

Un outil qui suit et analyse automatiquement les changements dans la documentation AWS, en utilisant un LLM pour analyser ces changements et fournir un rapport sur les implications potentielles en matière de sécurité, aidant ainsi les équipes de sécurité à rester informées des évolutions pertinentes pouvant affecter leur posture de sécurité.

Sécuriser les apps Kubernetes avec Kube-Policies

Kube-Policies repose sur Open Policy Agent (OPA) pour combler les lacunes de sécurité de Kubernetes. Cette solution impose des "guardrails" de sécurité tout en minimisant les contraintes pour les développeurs. Elle inclut des politiques (monitoring, avertissements, blocage), des tests unitaires et du monitoring.

Centraliser et sécuriser les interactions entre MCP et LLMs

MCP Gateway se positionne comme une solution avancée conçue pour centraliser les interactions entre serveurs MCP et LLMs. Il agit comme un intermédiaire, offrant des contrôles de sécurité robustes et une interface unifiée pour une gestion simplifiée.

Podcasts / Vidéos

🎧️ Radio CSIRT : Interview Alexandre Dulaunoy, responsable du CIRCL.lu. Discussion autour du GCVE (Global CVE Enhancements), un chantier européen stratégique pour améliorer l’identification, la classification et le partage des vulnérabilités.

🎬 Micode : Les 24h qui ont changé l'histoire du crime organisé

Conférences / Salons

🗓️ ESIEA Secure Edition - Le 17 mai 2025 à Paris, France

🗓️ BotConf - Du 20 au 23 mai 2025 à Angers, France

Finances / Marché

📈 Chainguard, une entreprise américaine spécialisée dans la chaîne d'approvisionnement logicielle, a levé 356 millions de dollars lors d'un tour de financement de série D.

🇪🇸 Acoru, une plateforme espagnole de protection contre les transactions frauduleuses, a levé 4,6 millions de dollars lors d’un tour de financement d’amorçage.

Misc

Palantir va créer une plateforme appelée Immigration Lifecycle Operating System

L'agence américaine Immigration investit 30 millions de dollars avec Palantir pour la plateforme de surveillance “ImmigrationOS”. Cette solution vise à fournir une “visibilité quasi en temps réel” sur les individus quittant volontairement les États-Unis et à prioriser les expulsions, notamment pour les cas de dépassement de visas.

Qwen3, un modèle IA performant à exploiter sur votre PC

La famille de modèles Qwen3 d'Alibaba propose une alternative aux solutions comme o3-mini d'OpenAI, permettant de faire tourner des LLM avancés localement. Offrant des performances impressionnantes et de tailles diverses (modèles de 0,6B à 235B paramètres), Qwen3 brille avec le 30B-A3B et le 235B-A22B, combinant puissance et rapidité.

L'IA de localisation photo d'OpenAI : entre innovation et dystopie

L’article explore l'impact technique et sociétal du modèle o3 d'OpenAI, qui analyse des photos pour deviner leur lieu de prise. L’auteur décrit ce processus comme "un mélange entre science-fiction et technologie omnisciente", soulignant un fonctionnement interactif qui inclut le recadrage et l'analyse progressive des éléments visuels, comme les paysages, les plaques d’immatriculation ou les types d’architecture.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter