Sommaire

• Infos

• Vulnérabilités

• Articles

• Outils

• Podcasts / Vidéos

• Conférences / Salons

• Finances / Marché

• Misc

Infos

Nouvelle fuite de données chez la Mutuelle des Motards, Chronopost et la Caisse des dépôts. La nature des données concerne les informations personnelles : nom, prénom, adresse mail, numéro de téléphone et code postal. Aucune donnée de type mot de passe ou coordonnées bancaires n’est concernée.

• Mutuelle des Motards

• Chronopost

• Caisse des dépôts

Kaspersky revient sur les attaques de supply chain en 2024. Les techniques sont diverses : vol de clés SSH via des paquets npm malveillants, package PyPI abandonné utilisé pour propager un malware, backdoor intégré aux distributions Linux via XZ Utils, injection de code malveillant sur des milliers de sites via Polyfill.io, etc. Lien 

ReversingLabs a découvert des modèles de Machine Learning malveillants sur Hugging Face capable d’exécuter du code sur le système. Les modèles contenaient un reverse shell se connectant à une adresse IP codée en dur. L’attaque exploite la sérialisation des fichiers Pickle, un format de données connu pour ses failles de sécurité, utilisé notamment dans TensorFlow. Hugging Face a supprimé les modèles malveillants dans les 24 heures suivant l’alerte. Lien 

Des chercheurs en sécurité ont trouvé une faille majeure permettant d’extraire l’adresse e-mail personnelle de n’importe quel utilisateur YouTube. Pour y parvenir, ils ont exploité une chaîne de vulnérabilités combinant le chat en direct de YouTube et l'application Pixel Recorder de Google. Les chercheurs ont reçu une prime de 10 000 $ pour leur découverte de la part de Google. Lien 

Le groupe de menaces nord-coréen Lazarus a été associé à un implant JavaScript inédit, nommé Marstech1, utilisé dans des attaques ciblées contre des développeurs. Ces attaques, bien que limitées en portée, visent spécifiquement les développeurs pour compromettre leurs environnements et accéder à des informations sensibles. Lien 

Les attaquants soupçonnés d’être sponsorisés par l’État chinois qui ont compromis les postes de travail de plusieurs employés du Trésor américain en décembre 2024 ont exploité deux vulnérabilités zero-day, selon les chercheurs de Rapid7. L'une d'elles est la faille CVE-2025-1094, une vulnérabilité d’injection SQL dans PostgreSQL, utilisée pour contourner les mécanismes de sécurité et accéder aux systèmes sensibles. Lien 

L’équipe de Threat Intel de Google a publié un rapport mettant en évidence le risque majeur que représente la cybercriminalité pour la sécurité nationale. En 2024, les attaques à motivation financière ont dépassé les cyberattaques commanditées par des États. Ces attaques perturbent gravement les infrastructures critiques, le secteur de la santé et l’économie. Lien 

Microsoft affirme que le groupe d’attaquants Sandworm (qu'ils appellent "Seashell Blizzard") ne se concentre plus uniquement sur l'Ukraine et cible désormais des infrastructures aux États-Unis, au Royaume-Uni et dans d'autres pays occidentaux. Lien 

Le CISA, l’agence fédérale responsable de la cybersécurité aux États-Unis, met en pause son travail sur la sécurisation des élections. Dans les pas de la reprise en main de toutes les agences américaines par le DOGE d'Elon Musk et Donald Trump, le CISA, met sur pause tout son travail sur la sécurité électorale. L’administration Trump a également lancé une série de licenciements massifs au sein du CISA. Environ 130 employés ont été renvoyés vendredi dernier, et une nouvelle vague de licenciements encore plus importante est attendue. Lien 1 / Lien 2

Vulnérabilités

Bulletin d'actualité du CERT-FR de la semaine 7 avec notamment 11 vulnérabilités critiques dont 5 déjà exploitées, impactant notamment les produits Microsoft (cf. patch tuesday de la semaine dernière), PAN-OS (CVE-2025-0108 / CVSS 8.8) et PostgreSQL (CVE-2025-1094 / CVSS 8.1). Lien

Un module d’exploitation Metasploit pour BeyondTrust Privileged Remote Access & Remote Support (CVE-2024-12356, CVE-2025-1094) a été développé. La CVE-2024-12356 est une vulnérabilité d’injection d’arguments dans le code de BeyondTrust. La CVE-2025-1094 est une vulnérabilité d’injection SQL dans le code de PostgreSQL, qui est fourni en tant que composant dans l’appliance BeyondTrust. Lien 

Fortinet averti que des attaquants exploitent une récente vulnérabilité dans FortiOS et FortiProxy (CVE-2024-55591 / CVSS: 9.6) corrigée en janvier . Cette faille permet aux cybercriminels de prendre le contrôle des pare-feux Fortinet et de compromettre les réseaux d’entreprise. Lien 

Une analyse de Quarkslab de la faille USB Restricted Mode contournée sur iOS (CVE-2025-24200). Cette vulnérabilité a été signalée par Citizen Lab et semble avoir été exploitée dans des attaques ciblées avancées. Lien 

Articles

Un article qui traite des bonnes pratiques pour la dérivation de clés cryptographiques. L’article explique la dérivation de clés, les erreurs courantes à éviter (mauvaise gestion du sel, utilisation d’une entrée à faible entropie, etc) et fournit les bons outils (protocoles et algorithmes). Lien 

Deux chercheurs en sécurité ont découvert une vulnérabilité en menant une attaque sur la chaîne d’approvisionnement logicielle d’une entreprise. En fouillant dans les infrastructures liées à la filiale, ils ont trouvé un DockerHub associé à l’entreprise. L’un des conteneurs Docker contenait tout le code source du backend. Ils ont également découvert un dossier .git, contenant un fichier config avec un jeton d’authentification GitHub ainsi qu’un jeton NPM pour un package privé. Prime de leur découverte : 50 500 $. Lien 

Une cartographie qui regroupe tous les guides de bonnes pratiques de l’ANSSI. Lien 

Cet article explore la manière d’exploiter manuellement une instance Active Directory Certificate Services (ADCS) vulnérable à ESC15, lorsqu'un utilisateur du domaine possède le droit d’enrôlement sur le template de certificat Webserver. La technique utilise certreq et certutil. Lien 

Cet article explique comment cartographier les ressources d’un compte AWS cible sans disposer d’un accès IAM interne. L’auteur montre comment construire une wordlist efficace pour identifier des ressources IAM (rôles, utilisateurs, groupes), des files SQS ou les Buckets S3 et propose celles qu’il a générées. Lien 

Un guide qui détaille comment configurer un laboratoire de sécurité offensive et défensive en utilisant Ludus, une plateforme permettant de créer et gérer des environnements de test en cybersécurité. L'objectif est de mettre en place une infrastructure Active Directory (GOAD), intégrée à une solution XDR/SIEM (Wazuh) pour tester différentes attaques et méthodes de défense. Lien 

Un blog post qui met en lumière un problème majeur avec la façon dont VSCode gère l’édition de code à distance via SSH. VSCode implante un agent complet sur la machine distante, ce qui pose des risques de sécurité importants. Lien 

Détection des extensions malveillantes sur VSCode : exploration et contre-mesures. Le Marketplace de VSCode ne filtre pas efficacement les extensions, et les développeurs ne sont pas alertés des risques. L’auteur a créé un outil Python et une version en web pour attribuer une note de suspicion basée sur différents facteurs. Lien / Lien vers la version web

Ce guide liste les certifications majeures en sécurité offensive (OSCP, CRTO, ODPC, etc.) avec leurs avantages, inconvénients, et les compétences qu’elles apportent. Lien

Les guerres des crawlers IA menacent l’ouverture du Web. L’Internet fonctionne grâce à des crawlers : des robots qui explorent et indexent les sites web. Ces bots sont essentiels au référencement sur Google, aux comparateurs de prix comme Amazon ou Kayak, et aux outils d’accessibilité et d’archivage. Cependant, les crawlers dédiés à l’IA, qui collectent massivement des données pour entraîner des modèles comme ChatGPT, créent une crise sur le web. Lien 

Outils

Turbo-Intruder-Scripts : une collection de scripts Turbo Intruder, spécialement conçus pour émuler les 4 principaux types d'attaques dans Burp Intruder (Sniper, Battering ram, Pitchfork, et Cluster bomb). Lien 

Un dépôt qui fournit des exemples de politiques de contrôle des ressources AWS pour débuter ou améliorer votre utilisation des AWS RCPs. Lien

Podcasts / Vidéos

🎧️ Underscore_ : On a reçu le hacker qui tend des pièges aux cyber-criminels (épisode dédié aux honey pots). Lien 

🎧️ NoLimitSecu : Détection vs Recherche de Compromissions. Lien

Conférences / Salons

🗓️ Insomni’hack - Du 10 au 15 mars 2025 à Genève (Suisse) Lien

🗓️ IT & CYBERSECURITY MEETINGS - Du 18 au 20 mars 2025 à Cannes (France). Lien

Finances / Marché

📈 Annoncée il y a quelques semaines, l’entreprise SailPoint, spécialisée dans la gestion des identités et des accès (IAM), a fait son retour en bourse, marquant la première introduction en bourse (IPO) technologique de 2025. SailPoint a levé 1,4 milliard de dollars en fixant son action à 23 $. Lien

🇱🇺 Passbolt, une plateforme luxembourgeoise de gestion de mots de passe, a levé 8 millions de dollars en série A. Lien

Misc

Parcel : une application mobile qui centralise le suivi de tous vos colis au même endroit. Lien 

Comprendre ce que l’IA sait faire et ce qu’elle ne peut pas faire. L’article décrit les types de technologie comme l’IA générative, qui produit du contenu (textes, images, sons…) et l’IA prédictive, qui tente d’anticiper des comportements ou des résultats. L’auteur tente ainsi de montrer que l’IA n’est pas une solution miracle et que son efficacité dépend du domaine où elle est appliquée. Lien 

YouTube devient le leader du streaming sur TV. Pour de plus en plus de personnes, regarder la télévision signifie regarder YouTube. Lien 

Alerte GenIA : une extension pour navigateur qui signale aux internautes lorsqu’ils naviguent sur un site généré par intelligence artificielle. Lien 

Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.

Bastien

Suivez-moi sur LinkedIn ou sur X/Twitter