Erreur 403 | #25

Microsoft corrige 5 failles exploitées au Patch Tuesday, vulnérabilités critiques Cisco IOS XE et Ivanti EPMM activement exploitées, le groupe LockBit piraté expose 60 000 adresses Bitcoin et les négociations avec les victimes, NSO Group condamné à 168 millions $ pour espionnage Pegasus WhatsApp, affaire Adecco résolue (stagiaire complice), etc.

Author

Bastien Cacace
May 15, 2025

Sommaire

Infos

Outlook renforce l'authentification email pour les volumes élevés

Outlook annonce de nouvelles exigences pour les domaines envoyant plus de 5 000 emails par jour. SPF, DKIM et DMARC deviennent obligatoires. Les messages non conformes seront d'abord redirigés vers les indésirables, puis rejetés. L'application progressive débute en mai 2025. Ces mesures visent à réduire le spoofing, phishing et spam en forçant l'adoption de meilleures pratiques d'authentification dans l'écosystème email.

Un jury fédéral a condamné NSO Group à verser 168 millions de dollars à WhatsApp pour avoir utilisé Pegasus contre plus de 1 400 utilisateurs dans 51 pays. Le logiciel espion exploitait une vulnérabilité zero-day (CVE-2019-3568) dans la fonction d'appel vocal de WhatsApp en mai 2019. Les pays les plus touchés : Mexique (456 victimes), Inde (100), Bahreïn (82). Cette décision historique marque une victoire majeure contre l'industrie du spyware.

VIGINUM publie une analyse technique approfondie de Storm-1516, un mode opératoire informationnel russe qui cible le débat public occidental depuis août 2023. Le rapport documente 77 opérations visant principalement à décrédibiliser l'Ukraine et ses dirigeants auprès des audiences européennes et américaines.

Le groupe de ransomware LockBit a été victime d'un piratage exposant une base de données MySQL contenant des informations sensibles. Les interfaces d’administrations ont été défacées avec le message "Don't do crime CRIME IS BAD xoxo from Prague" et un lien vers un dump de 20 tables. La fuite révèle 59 975 adresses Bitcoin, 4 442 messages de négociation avec les victimes, et 75 comptes d'adminstrateurs avec des mots de passe en clair. L'opérateur LockBitSupp a confirmé l'intrusion tout en niant la fuite de clés privées. Cette compromission porte un coup supplémentaire à la réputation déjà ternie du groupe depuis l'opération Cronos de 2024. Ce dépôt Github contient par ailleurs les adresses Bitcoin du groupe sous un format CSV.

Google Threat Intelligence Group a recensé 75 vulnérabilités zero-day exploitées en 2024, soit une légère baisse par rapport à 2023 (98) mais une augmentation par rapport à 2022 (63). L'exploitation cible de plus en plus les technologies d'entreprise (44% contre 37% en 2023), particulièrement les produits de sécurité et réseaux. L'exploitation des navigateurs et mobiles a chuté significativement. Les groupes d’attaquants connus pour l’espionnage représentent 53% des exploitations attribuées, avec les groupes chinois et nord-coréens à égalité (5 vulnérabilités chacun).

UNC3944 cible les entreprises par du social engineering avancé

Mandiant publie un guide de durcissement contre UNC3944 (Scattered Spider), groupe d’attaquants avec une motivation financière, spécialisé dans l'ingénierie sociale. Après avoir ciblé les télécoms pour les échanges de SIM, le groupe s'est tourné vers le ransomware en 2023, visant secteurs financiers, retail et technologique. Leurs techniques incluent l'usurpation d'identité auprès des help desk, contournement MFA et l’exploitation de plateformes cloud.

Europol a annoncé le démantèlement de six plateformes DDoS-for-hire supplémentaires : Cfxapi, Cfxsecurity, Neostress, Jetstress, Quickdown et Zapcut. Ces services, actifs entre 2022 et 2025, ont servi à attaquer plateformes de jeux, entreprises, organisations gouvernementales et écoles. Quatre individus accusés de gérer un réseau de plateformes ayant mené des milliers d'attaques DDoS ont été arrêtés en Pologne.

Microsoft introduira en juillet 2025 une fonction empêchant les captures d'écran durant les réunions Teams. Lorsqu'un utilisateur tente une capture, la fenêtre de réunion devient noire pour protéger les informations sensibles. La fonctionnalité sera disponible sur Teams bureau et mobile. Les utilisateurs sur plateformes non supportées passeront automatiquement en mode audio seul.

Piratage Adecco : un stagiaire de 19 ans derrière la fraude massive

La justice française a élucidé le mystérieux piratage d'Adecco de 2022. Quinze personnes seront jugées à partir du 16 juin à Lyon, dont un stagiaire de 19 ans accusé d'être le cerveau de l'opération. Ce dernier aurait vendu ses identifiants pour 12 000 euros à un faussaire rencontré sur Discord, après avoir initialement refusé 3 000 euros pour des scans de cartes d'identité. Les pirates ont exploité ces accès pour effectuer 32 000 prélèvements frauduleux d'environ 50 euros chacun en novembre 2022, touchant 70 000 victimes parmi les 8 millions de personnes dans la base Adecco.

La CISA a annoncé le 12 mai 2025 un changement dans la diffusion de ses alertes cybersécurité, mais a suspendu ces modifications suite aux retours de la communauté. Initialement, les annonces ne devaient plus apparaître sur la page web "Cybersecurity Alerts & Advisories", réservée désormais aux menaces urgentes et activités cyber majeures. Les notifications se limitaient aux réseaux sociaux CISA et emails. L'agence voulait améliorer l'expérience utilisateur et mettre l'accent sur les informations les plus critiques. Suite à la confusion générée, la CISA réévalue son approche.

Google Chrome 137 intègre le modèle Gemini Nano directement sur l'appareil pour détecter les arnaques au support technique. Le LLM s'active lors de déclencheurs spécifiques (comme l'API de verrouillage clavier) pour analyser le contenu des pages suspectes. Les signaux générés sont transmis à Safe Browsing qui détermine si le site est malveillant. Cette approche locale permet de détecter les menaces en temps réel, sachant que beaucoup de sites malveillants existent moins de 10 minutes en moyenne.

La CISA a ajouté la vulnérabilité CVE-2025-47729 de TeleMessage au catalogue KEV après son exploitation active. L'application, utilisée par l'ex-conseiller sécurité nationale Mike Waltz, permettait d'archiver WhatsApp, Telegram et Signal. Des hackers ont volé des conversations privées, révélant que, malgré les promesses de chiffrement de bout en bout, les messages archivés étaient stockés en clair 🙃.

Flashpoint identifie les groupes de menaces les plus actifs contre le secteur financier entre avril 2024 et avril 2025. Le secteur représente 406 victimes de ransomware divulguées (7% du total).

  • Groupes majeurs : RansomHub (38 victimes financières émergent depuis février 2024), Akira (34 victimes, lié à Conti), LockBit (29 victimes, revendique le piratage de la Fed US), FIN7 (vise SWIFT, distributeurs, TPV), Scattered Spider (phishing SMS, fausses pages Okta), Lazarus Group (APT nord-coréen).

  • Vecteurs d'attaque principaux : compromissions tiers (MOVEit par Clop), courtiers d'accès initial (6 406 offres observées sur forums), menaces internes recrutées via Telegram, deepfakes et usurpation d'identité.

L’ENISA a officiellement lancé l'EUVD, mandatée par la directive NIS2. Cette base gratuite agrège des données de CISA KEV, CVE MITRE et autres sources, visant à fournir des informations fiables sur les vulnérabilités IT/OT/IoT avec statut d'exploitation et mesures d'atténuation.

Vulnérabilités

Microsoft a publié 78 correctifs pour mai 2025, dont 11 critiques. Cinq vulnérabilités sont déjà exploitées activement, notamment CVE-2025-30397 (Edge en mode IE), CVE-2025-30400 (DWM Core Library), et trois failles d'élévation de privilèges dans Windows Common Log File System et Ancillary Function Driver. La CVE-2025-29831 dans Remote Desktop Services est particulièrement notable : bien que classée "importante", elle permet l'exécution de code à distance sans authentification via une condition de concurrence lors du redémarrage du serveur. Les vulnérabilités critiques affectent principalement Office, Remote Desktop Client et plusieurs services Azure.

Bulletin d'actualité du CERT-FR de la semaine 19

Cinq vulnérabilités critiques sont signalées notamment trois failles dans SonicWall Secure Mobile Access avec code d’exploitation disponible, dont une déjà exploitée (CVE-2025-32819). Cisco IOS XE est impacté par une vulnérabilité critique (CVE-2025-20188 / CVSS 10.0) permettant l'exécution de code arbitraire (cf. ci-dessous).

Parmi les vulnérabilités déjà exploitées figurent Samsung MagicInfo, Android, plusieurs produits IBM, et Apache Parquet (CVSS 10.0). Le CERT-FR mentionne également une faille dans OpenCTI (CVE-2025-24977) corrigée en version 6.4.11.

Cisco a publié des correctifs pour la vulnérabilité CVE-2025-20188 (CVSS 10.0) dans IOS XE Wireless Controller. Cette vulnérabilité exploite un JSON Web Token codé en dur permettant à un attaquant non authentifié d'uploader des fichiers arbitraires, effectuer du path traversal et exécuter des commandes avec privilèges root via des requêtes HTTPS malveillantes. L'exploitation nécessite l'activation de la fonctionnalité "Out-of-Band AP Image Download" (désactivée par défaut). Les produits affectés incluent les Catalyst 9800 Series, 9800-CL Cloud, et les contrôleurs embarqués. Pour le moment, aucune preuve d’exploitation n’a été identifiée.

Nouvelles vulnérabilités dans Ivanti EPMM activement exploitées

Ivanti a corrigé deux vulnérabilités dans Endpoint Manager Mobile (EPMM) : CVE-2025-4427 (contournement d'authentification, CVSS 5.3) et CVE-2025-4428 (exécution de code à distance, CVSS 7.2). Chaînées ensemble, elles permettent une exécution de code non authentifiée. Ivanti confirme un nombre limité d'exploitations actives. Les versions affectées incluent 11.12.0.4, 12.3.0.1, 12.4.0.1 et 12.5.0.0.

Articles

Comment Riot Games combat le cheat dans ses jeux vidéos

Riot Games utilise son anti-cheat Vanguard avec accès kernel pour bannir des milliers de tricheurs quotidiennement sur Valorant. L'équipe combine techniques avancées (fingerprinting hardware, infiltration de communautés de cheaters) et stratégies psychologiques pour maintenir moins de 1% de parties rankées avec tricheurs. Les cheats modernes incluent des attaques DMA via hardware spécialisé, screen readers avec Arduino, et bientôt l'IA pour classifier les écrans. Malgré les risques de confidentialité, Riot maintient son approche kernel-level, privilégiant la transparence pour justifier ce niveau d'accès intrusif.

SCIM (System for Cross-domain Identity Management), protocole de synchronisation des identités souvent négligé, présente de nombreuses vulnérabilités critiques. Les principales failles incluent des bypasses d'authentification (comme dans Casdoor), la manipulation d'attributs internes permettant l'escalade de privilèges, le contournement de vérifications d’email ou téléphone, et des prises de contrôle de comptes via changement d'email non sécurisé.

Porter Frida vers des plateformes Linux avec musl non supportées nécessite plusieurs étapes techniques : créer une toolchain personnalisée GCC/musl compatible, compiler les bibliothèques de support (libiconv, libucontext) et appliquer des patches spécifiques. L'article démontre le processus complet sur OpenWrt x86 32-bit en surmontant les incompatibilités entre musl et les attentes de Frida.

Un chercheur révèle comment les caractères de contrôle ASCII (SOH, STX, ETX, etc.) peuvent être exploités dans VS Code. Originellement destinés au contrôle de transmission série, ces caractères sont réutilisés par le shell pour l'édition de ligne. VS Code utilise node-pty qui transfère directement les octets bruts au shell sans validation. L'attaque fonctionne via deux vecteurs : configuration de run personnalisées avec caractères de contrôle dans les arguments, et drag-and-drop de fichiers aux noms malicieux contenant des séquences comme \x03 (Ctrl+C) et \x0d (entrée). Ces techniques contournent l'échappement classique et permettent l'exécution de commandes arbitraires, notamment l'ouverture d'applications non autorisées. Microsoft ne considère pas cela comme une faille de sécurité.

Un chercheur découvre une vulnérabilité critique dans DriverHub d'ASUS permettant l'exécution de code à distance via un défaut de validation d'origine HTTP. L'application vérifie mal l'en-tête Origin, acceptant driverhub.asus.com.malicious.com. L'exploitation combine trois requêtes UpdateApp : téléchargement d'un payload non signé (échec), d'un fichier AsusSetup.ini malveillant spécifiant SilentInstallRun=payload.exe, puis d'un binaire ASUS légitime signé AsusSetup.exe.

L'injection SQL à l'ère des ORM : risques et bonnes pratiques

L'article démystifie la fausse sécurité des frameworks ORM face aux injections SQL. Bien que les ORM offrent des protections par défaut, l'utilisation incorrecte (requêtes SQL brutes avec concaténation) ou des vulnérabilités dans les frameworks eux-mêmes (Sequelize, node-mysql) peuvent réintroduire des failles. L'auteur présente des exemples vulnérables et sécurisés pour 9 technologies (Hibernate, SQLAlchemy, Django, Entity Framework, Sequelize, Prisma, Eloquent, Active Record, GORM).

Le CSIRT Synacktiv analyse trois outils utilisés après compromission d'appliances Ivanti CSA et fournit des règles YARA et Sigma pour détecter ces outils :

  • suo5 : tunnel proxy HTTP performant déployé sur Exchange, utilisant Transfer-Encoding chunked pour améliorer les performances vs Neo-reGeorg.

  • iox : outil de redirection de ports et proxy SOCKS5 avec chiffrement XChaCha20, dérivé de lcx/HTran et Earthworm.

  • atexec-pro : variante d'atexec utilisant le planificateur de tâches Windows pour exécution à distance, avec fonctionnalités étendues (PowerShell, upload/download, assemblies .NET).

Microsoft détaille les types d'authentification Windows dans cette documentation officielle :

  • Connexion interactive : authentification locale (SAM) ou domaine (Active Directory) avec saisie directe d'identifiants.

  • Connexion réseau : utilise des identifiants préétablis via protocoles comme Kerberos, certificats PKI, SSL/TLS, Digest, ou NTLM pour accéder aux ressources.

  • Connexion par carte à puce : exclusivement pour comptes de domaine, remplace le mot de passe par cryptographie asymétrique (paire clés publique/privée).

  • Connexion biométrique : capture d'empreintes ou autres caractéristiques, comparaison avec échantillon de référence. La documentation précise que l'authentification biométrique nécessite des identifiants domaine pour accéder aux ressources Active Directory, et souligne les risques de cache local (accès avec ancien mot de passe si modification cloud).

Outils

Cette compilation présente des centaines d'APIs utiles pour automatiser les tâches d'OSINT (Open Source Intelligence). Le dépôt GitHub organise les APIs par catégories : moteurs de recherche IoT/IP, vérification de numéros de téléphone, recherche d'entreprises, analyse de domaines/DNS, géolocalisation, réseaux sociaux, détection de malwares, recherche d'images inversée, etc.

GoExec est un outil d'exécution de commandes à distance sur Windows utilisant diverses techniques : WMI, DCOM, SCMR et TSCH.

Evilent exploite le protocole MS-EVEN (Windows Event Log) pour forcer une machine cible à se connecter à un serveur SMB malveillant. L'outil comprend evilent.py pour déclencher la coercition et fefender.py pour orchestrer smbserver et ntlmrelayx.

Favicorn permet d'identifier des sites web en recherchant leurs favicons sur 10 plateformes spécialisées (Shodan, ZoomEye, Netlas, Fofa, etc.). L'outil prend une favicon (URL, fichier ou domaine) et génère des liens de recherche automatiques. Applications typiques : détection de phishing, extension de périmètre de pentest, identification de serveurs C2, recherche OSINT.

Un scanner de ports Windows, fonctionnant uniquement en mémoire, conçu pour les équipes redteam et les pentesters qui nécessitent une furtivité. Il envoie des probes HTTP entièrement en mémoire avec des caractéristiques réseau aléatoires pour se fondre dans les modèles de trafic normaux.

Assistant IA pour tests d’injection SQL

SQLMap AI Assistant automatise les tests d'injection SQL en utilisant l'IA pour analyser les résultats et suggérer les prochaines étapes. Modes disponibles : standard et adaptatif avec tests step-by-step et optimisations SGBD spécifiques. Le mode adaptatif identifie automatiquement le SGBD, applique des stratégies ciblées (MySQL, MSSQL, Oracle, PostgreSQL), contourne les WAF et extrait les données sensibles.

IPinfo a récemment lancé une offre gratuite qui donne aux développeurs un accès illimité aux données de géolocalisation IP et aux informations ASN (Autonomous System Number), sans aucune restriction.

Podcasts / Vidéos

🎬 ARTE - Enquête sur les faussaires des réseaux sociaux

🎧️ NoLimitSecu - Détection vs Recherche de Compromissions : La discussion continue

Conférences / Salons

🗓️ ESIEA Secure Edition - Le 17 mai 2025 à Paris, France

🗓️ BotConf - Du 20 au 23 mai 2025 à Angers, France

🎤 Vidéos de la SpecterOps CON 2025

Finances / Marché

CrowdStrike prévoit de licencier 5% de ses effectifs (environ 500 employés) pour "améliorer l'efficacité". Selon le CEO George Kurtz, l'IA permet de "réduire la courbe d'embauche" et d'innover plus rapidement. L'entreprise vise 10 milliards de dollars de revenus annuels mais reste déficitaire (92,3 millions perdus au Q4 2025).

📈 Persona, une plateforme de vérification d'identité et de lutte contre la fraude basée aux États-Unis, destinée à l'identification des clients et à la récupération de comptes, a levé 200 millions de dollars américains lors d'un tour de financement de série D.

🤝 CyberTee, une société de services professionnels basée en France qui propose des conseils en sécurité cloud, en gestion des identités et des accès (IAM) et en protection des données par le biais d'une communauté de freelances, a été rachetée par Cyberr pour un montant non divulgué.

Misc

Une ressource visuelle complète pour comprendre les licences Microsoft 365 créée par Aaron Dinnage. Couvre tous les niveaux : Business (Basic, Standard, Premium), Enterprise (E3, E5), Education (A1, A3, A5), Frontline (F1, F3, F5), et services associés. Inclut les détails sur Copilot, Microsoft Defender, Teams, Intune, Entra ID, Windows, et Office 365.

AwesomeDockerCompose est un hub regroupant plus de 700 applications Docker Compose prêtes à déployer. Simplifie l'installation d'applications auto-hébergées via des templates docker-compose.yml pré-configurés. Les applications sont organisées avec structures de répertoires détaillées, liens vers ressources officielles (GitHub, Docker Hub), et guides de configuration.

EXO Labs a démontré un modèle Llama 2 fonctionnant sur un Pentium II 350 MHz avec Windows 98 et 128 MB de RAM. Le système génère 35,9 tokens/seconde avec un LLM de 260K paramètres, utilisant une version C pure basée sur llama2.c de Karpathy.

Cette frise a été créée dans le cadre du projet "Histoire de la Cyber Française", une initiative visant à documenter et valoriser les jalons historiques, les acteurs, et les événements marquants qui ont contribué au développement de la cybersécurité en France.

Promptor transforme n'importe quel projet en prompt prêt pour ChatGPT ou autres LLMs. Cette application macOS permet de glisser-déposer un dossier et générer un prompt formaté incluant tout le contexte du projet. Fonctionnalités : import en un clic, filtrage intelligent (ignore binaires, images, dossiers build), sélection par arborescence, compteur de tokens en temps réel, système de templates personnalisables.

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter