Fuites de données basées sur le navigateur : les 3 plus grands défis de sécurité aujourd'hui - Actus du 12/03/2025
Découvrez comment Microsoft a comblé une faille critique du noyau Windows, les tactiques des pirates chinois ciblant les routeurs de genévriers avec des rootkits, et les principaux défis de sécurité des données basées sur le navigateur en 2023. Plongez au cœur des cybermenaces actuelles!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft Patches Windows Kernel Zero-Day exploité depuis 2023
Une vulnérabilité zero-day récemment corrigée dans le sous-système Win32 de Windows a été exploitée depuis mars 2023, selon la société slovaque de cybersécurité ESET. Suivie sous le nom CVE-2025-24983, cette faille a été signalée à Microsoft par le chercheur Filip Jurčacko. Elle est due à une faiblesse de type "use-after-free", permettant à des attaquants avec des privilèges limités d'acquérir des privilèges SYSTEM sans interaction de l'utilisateur. Bien que l'exploitation soit jugée complexe, car elle nécessite de gagner une condition de course, un exploit a été observé dans la nature, ciblant des systèmes infectés par le malware PipeMagic. Cette vulnérabilité affecte principalement les anciennes versions de Windows, mais aussi des versions plus récentes comme Windows Server 2016 et Windows 10 (versions 1809 et antérieures). Lors du Patch Tuesday de mars 2025, Microsoft a également corrigé cinq autres vulnérabilités zero-day. L'agence CISA a ajouté ces failles à son catalogue de vulnérabilités exploitées, ordonnant aux agences fédérales de sécuriser leurs systèmes d'ici le 1er avril. Ces vulnérabilités représentent des vecteurs d'attaque fréquents pour les cybercriminels.
Sources :
Les pirates chinoises brèche les routeurs de réseaux de genévriers avec des déambulations et des rootkits personnalisés
Le groupe de cyberespionnage chinois UNC3886 a été observé ciblant des routeurs MX en fin de vie de Juniper Networks pour déployer des portes dérobées personnalisées, mettant en lumière leur capacité à s'attaquer à l'infrastructure réseau interne. Selon Mandiant, ces portes dérobées possédaient des fonctions variées, y compris des capacités actives et passives, ainsi qu'un script intégré désactivant les mécanismes de journalisation sur les appareils ciblés. Documenté pour la première fois en septembre 2022, ce groupe est jugé "hautement compétent" et vise des organisations de défense, de technologie et de télécommunications aux États-Unis et en Asie. Les attaques exploitent le manque de solutions de surveillance sur ces dispositifs, permettant une opération discrète. En 2024, des implants basés sur TinyShell ont été identifiés, chacun ayant des capacités uniques, comme le transfert de fichiers et l'injection de processus. Mandiant souligne que l'objectif principal de ce malware est de désactiver la journalisation avant que l'opérateur ne se connecte au routeur. Les organisations sont conseillées de mettre à jour leurs appareils Juniper pour bénéficier des dernières protections. UNC3886 démontre une connaissance approfondie des systèmes avancés et privilégie la discrétion dans ses opérations.
Sources :
Fuites de données basées sur le navigateur: 3 plus grands défis de sécurité des données aujourd'hui
Les solutions de prévention de la perte de données (DLP) ont longtemps ciblé les e-mails, les points de terminaison et le trafic réseau, mais la situation a évolué. Les employés transfèrent désormais des informations sensibles via des navigateurs, mélangeant comptes personnels et professionnels, ce qui accroît les risques. Les outils d'IA et les extensions de navigateur amplifient cette vulnérabilité, rendant le navigateur le principal point d'exfiltration de données. Des actions courantes, comme l'exportation de contacts CRM vers des feuilles Google personnelles, contournent les contrôles de sécurité, car les données ne quittent pas officiellement les applications approuvées. De plus, l'utilisation de plusieurs navigateurs crée des zones d'ombre pour les équipes de sécurité. Les employés alternent entre comptes professionnels et personnels, surtout dans des environnements comme Google Workspace et Microsoft 365. Pour contrer cela, les organisations doivent mettre en place des politiques de sécurité au niveau du navigateur, différenciant l'utilisation professionnelle de l'utilisation personnelle. Cela permet de protéger les données en mouvement sans perturber la productivité. Les menaces telles que le phishing par consentement et les intégrations tierces compliquent encore la surveillance des permissions. Un modèle DLP basé sur le navigateur est essentiel pour assurer une protection cohérente et efficace des données.
Sources :
Routeurs de genévriers de porte dérobée chinois pour un accès furtif
Des hackers chinois exploitent des failles de sécurité sur des routeurs Juniper Networks fonctionnant sous le système d'exploitation Junos, qui ont atteint leur fin de vie et ne reçoivent plus de mises à jour de sécurité. Ils déploient des portes dérobées personnalisées, principalement basées sur le malware TinyShell, un outil open-source permettant l'échange de données et l'exécution de commandes sur des systèmes Linux. Mandiant a identifié plusieurs de ces portes dérobées, utilisées par le groupe UNC3886, qui a mené des attaques sophistiquées en utilisant des vulnérabilités zero-day. Les attaques commencent par des serveurs terminaux pour accéder à l'interface de ligne de commande (CLI) de Junos, contournant les protections du système de fichiers 'Veriexec' en injectant du code malveillant dans la mémoire de processus légitimes. Ces portes dérobées permettent d'établir des sessions shell distantes, de télécharger des fichiers et d'agir comme des proxies pour le trafic malveillant, tout en restant inactives jusqu'à leur activation par un signal ICMP spécifique. Chaque porte dérobée utilise une méthode de communication C2 distincte, rendant leur détection plus difficile. Il est recommandé de remplacer ces routeurs obsolètes par des modèles récents et de mettre à jour leur firmware.
Sources :
Cybersécurité – Rapport ANSSI : +15 % d’attaques en 2024 – Comment réagir en temps réel ?
L'ANSSI a publié son Panorama 2024 de la cybermenace, révélant une augmentation de 15 % des cyberattaques par rapport à 2023 et une intensification des opérations de déstabilisation. Cette hausse souligne la croissance continue des menaces cybernétiques, avec des attaquants utilisant des outils de plus en plus sophistiqués. Dans ce contexte, Rémi Forest, Senior Manager chez Confluent, souligne l'importance du traitement des flux de données en temps réel pour contrer ces menaces modernes. Il affirme qu'une menace en temps réel nécessite une réponse immédiate, incitant les entreprises à abandonner les méthodes traditionnelles basées sur l'analyse de données historiques. En adoptant des systèmes capables de détecter rapidement les anomalies, les organisations peuvent bénéficier d'une visibilité continue sur leur trafic, identifier les comportements suspects et automatiser les réponses pour neutraliser les menaces avant qu'elles ne causent des dommages. Face à l'évolution constante des cyberattaques, il est crucial pour les entreprises de réévaluer leur stratégie de sécurité afin de mieux se protéger contre ces risques croissants.
Sources :
Plus de 400 IPs exploitant plusieurs vulnérabilités SSRF dans la cyberattaque coordonnée
La société de renseignement sur les menaces GreyNoise alerte sur une "augmentation coordonnée" de l'exploitation des vulnérabilités de type Server-Side Request Forgery (SSRF) sur plusieurs plateformes. Au moins 400 adresses IP ont été observées exploitant simultanément plusieurs CVE SSRF, avec des tentatives d'attaque notables le 9 mars 2025. Les pays ciblés incluent les États-Unis, l'Allemagne, Singapour, l'Inde, la Lituanie, le Japon et Israël, ce dernier ayant connu une hausse le 11 mars 2025. Les vulnérabilités exploitées comprennent des failles dans DotNetNuke, Zimbra, VMware, et GitLab, avec des scores CVSS variant de 5.3 à 9.8. GreyNoise souligne que de nombreuses adresses IP ciblent plusieurs failles simultanément, suggérant une exploitation structurée ou une collecte d'informations préalables. Face à ces tentatives d'exploitation, il est crucial que les utilisateurs appliquent les derniers correctifs, limitent les connexions sortantes aux points nécessaires et surveillent les requêtes sortantes suspectes. GreyNoise met en garde que les services cloud modernes dépendent souvent d'APIs internes vulnérables aux SSRF, pouvant permettre la cartographie des réseaux internes et le vol de données d'identification.
Sources :
Microsoft: les mises à jour Windows récentes font de l'imprimante USB Imprimer le texte aléatoire
Microsoft a annoncé que certaines imprimantes USB impriment du texte aléatoire après l'installation des mises à jour de Windows publiées depuis fin janvier 2025. Ce problème concerne Windows 10 (version 22H2) et Windows 11 (versions 22H2 et 23H2), tandis que la dernière version de Windows 11, 24H2, n'est pas affectée. Selon Microsoft, après l'installation de la mise à jour de prévisualisation de janvier 2025 (KB5050092), les utilisateurs peuvent rencontrer des problèmes avec les imprimantes à double mode USB, qui prennent en charge les protocoles USB Print et IPP Over USB. Les impressions erronées commencent souvent par l'en-tête "POST /ipp/print HTTP/1.1", suivi d'autres en-têtes liés au protocole d'impression Internet (IPP). Ces problèmes se produisent fréquemment lorsque l'imprimante est allumée ou reconnectée. Microsoft a résolu ces problèmes d'impression via le Known Issue Rollback (KIR), une fonctionnalité qui permet de revenir sur des mises à jour défectueuses. Les administrateurs informatiques doivent installer des politiques de groupe spécifiques pour résoudre le problème sur les appareils gérés. Microsoft a également levé une restriction de compatibilité pour certains utilisateurs d'AutoCAD souhaitant passer à Windows 11 24H2.
Sources :
Pentesters: L'IA arrive-t-elle pour votre rôle?
L'article aborde l'impact croissant de l'intelligence artificielle (IA) sur le domaine du pentesting, soulignant que, bien que certaines tâches puissent être automatisées, l'élément humain reste essentiel. Selon la Cloud Security Alliance, l'IA ne remplace pas les testeurs de pénétration, mais agit comme un multiplicateur de force. L'IA facilite l'accès au pentesting pour des personnes moins expérimentées, souvent appelées "script kiddies", en automatisant des tâches complexes comme le scan de vulnérabilités et la simulation d'adversaires. Cela permet aux testeurs de se concentrer sur des travaux nécessitant une expertise plus poussée, comme la création d'exploits uniques ou des exercices avancés d'équipe rouge. Les tâches que l'IA peut automatiser incluent la recherche approfondie, le scan des systèmes pour des vulnérabilités courantes, et la priorisation des failles découvertes. En éliminant les tâches répétitives, l'IA permet aux pentesters d'explorer des failles cachées et d'améliorer leurs compétences. L'article conclut que l'IA n'est pas là pour remplacer les testeurs, mais pour rendre leur travail plus efficace, leur permettant de se concentrer sur les aspects les plus stimulants de leur métier.
Sources :
Urgent: Microsoft Patches 57 Flaws de sécurité, dont 6 jours zéro exploités activement
Microsoft a récemment corrigé 45 vulnérabilités, dont 23 sont des failles d'exécution de code à distance et 22 concernent l'escalade de privilèges. Parmi celles-ci, six vulnérabilités sont activement exploitées, notamment CVE-2025-24983, une vulnérabilité UAF dans le noyau Windows, et CVE-2025-24985, un débordement d'entier dans le pilote de système de fichiers Fast FAT. ESET a découvert CVE-2025-24983, exploitée via un malware nommé PipeMagic, qui cible des entités en Asie et en Arabie Saoudite. Ce malware utilise une technique de création de pipe nommée pour recevoir des charges utiles encodées. D'autres vulnérabilités, comme CVE-2025-26633, permettent à un attaquant de contourner les protections de réputation des fichiers. La CISA a ajouté ces vulnérabilités à son catalogue, exigeant des agences fédérales qu'elles appliquent les correctifs d'ici le 1er avril 2025. En parallèle, d'autres entreprises, telles qu'Adobe et Apple, ont également publié des mises à jour de sécurité pour corriger diverses vulnérabilités. Les experts soulignent que certaines vulnérabilités pourraient être enchaînées pour permettre des attaques plus complexes, notamment via des fichiers VHD malveillants.
Sources :
Chokepoints : quelle est cette stratégie cyber qui permet aux responsables sécurité de mieux cibler leurs efforts ?
Face à une augmentation des cyberattaques et à une pénurie de compétences, les équipes de sécurité sont débordées par un nombre croissant de vulnérabilités. L'essor de l'IA générative, perçue comme une menace par 47 % des entreprises, complique encore la situation, entraînant des attaques plus sophistiquées. Pour faire face à ces défis, la stratégie des chokepoints émerge comme une solution efficace. Inspirée du vocabulaire militaire, cette approche se concentre sur la sécurisation des points névralgiques du réseau, permettant de neutraliser simultanément diverses menaces. Selon Nicolas Cote, Chief Transversal Cybersecurity Architect chez TEHTRIS, les méthodes traditionnelles de filtrage des menaces ne suffisent plus et alourdissent le travail des équipes SOC, déjà confrontées à un manque de ressources. La stratégie des chokepoints offre plusieurs avantages : elle maximise l'impact des mesures de sécurité en ciblant les vulnérabilités critiques, optimise l'utilisation des ressources en concentrant les efforts là où ils sont le plus nécessaires, et améliore les flux de travail en réduisant le volume d'alertes. Ainsi, cette approche aide les équipes SOC à mieux anticiper et réagir face aux cybermenaces, simplifiant la gestion de la sécurité. Un blog détaillé sur ce sujet est disponible sur le site de TEHTRIS.
Sources :
Comment UPDF est devenu le leader dans la catégorie des éditeurs PDF sur G2 hiver 2025
UPDF, lancé en 2021, est un outil d’édition de PDF conçu pour améliorer la productivité des professionnels grâce à ses fonctionnalités complètes et accessibles. Il permet de modifier facilement le texte et les images, de convertir des PDF en divers formats (Word, Excel, PowerPoint), et d’organiser les documents en réorganisant les pages ou en fusionnant plusieurs fichiers. UPDF se distingue par sa capacité à traduire des fichiers PDF dans n’importe quelle langue sans altérer le format original et à transformer des PDF en cartes mentales, facilitant ainsi la visualisation des informations complexes. Comparé aux outils traditionnels comme Adobe Acrobat Pro, UPDF offre un tarif plus de 80 % inférieur, avec des options d’abonnement annuelles et à vie. Sa compatibilité multiplateforme permet une utilisation sur Windows, Mac, iOS et Android avec une seule licence. De plus, UPDF s’engage à fournir des mises à jour régulières et gratuites, garantissant des outils à la pointe de la technologie. Alimenté par l’IA, il facilite les interactions avec les documents. En somme, UPDF se positionne comme un choix privilégié pour ceux qui recherchent un éditeur PDF efficace et économique, répondant à une large gamme de besoins professionnels.
Sources :
Vous avez un iPhone ou un iPad ? Il y a une mise à jour importante à installer
Apple a récemment publié la mise à jour iOS 18.3.2 le 11 mars 2025, un mois après la version 18.3.1. Bien que cette mise à jour soit mineure, elle est essentielle pour corriger une faille de sécurité liée à WebKit, le moteur de navigation d'Apple. Cette vulnérabilité, si elle n'est pas corrigée, pourrait permettre à des contenus malveillants d'accéder à l'iPhone. Apple souligne que cette faille avait déjà été abordée dans iOS 17.2, mais que la mise à jour 18.3.2 est cruciale pour la sécuriser définitivement. Il est donc fortement recommandé d'installer cette mise à jour rapidement pour protéger votre appareil contre d'éventuelles attaques. En plus de corriger cette faille, iOS 18.3.2 pourrait également résoudre d'autres problèmes de sécurité, bien qu'Apple n'ait pas encore communiqué à ce sujet. Les mises à jour mineures, bien que souvent négligées, jouent un rôle clé dans la sécurité des utilisateurs. Pour une protection optimale, il est conseillé d'utiliser des solutions de sécurité comme celles proposées par Bitdefender, qui protègent contre les escroqueries, les virus et les ransomwares.
Sources :
Apple libère le correctif pour la vulnérabilité Webkit zéro-jour exploitée dans des attaques ciblées
Apple a publié mardi une mise à jour de sécurité pour corriger une vulnérabilité de type zero-day, identifiée sous le numéro CVE-2025-24201, exploitée dans des attaques "extrêmement sophistiquées". Cette faille, liée au moteur de navigateur WebKit, est un problème d'écriture hors limites qui permettrait à un attaquant de créer du contenu web malveillant capable de contourner le bac à sable de contenu web. Apple a résolu le problème en améliorant les vérifications pour empêcher des actions non autorisées, précisant qu'il s'agit d'un correctif complémentaire à une attaque bloquée dans iOS 17.2. La société a également reconnu que cette vulnérabilité "pourrait avoir été exploitée dans une attaque très sophistiquée ciblant des individus spécifiques sur des versions d'iOS antérieures à 17.2". Toutefois, l'avis ne précise pas si la faille a été découverte par l'équipe de sécurité d'Apple ou signalée par un chercheur externe, ni quand les attaques ont commencé ou qui a été ciblé. La mise à jour est disponible pour plusieurs appareils et versions de systèmes d'exploitation, et porte à trois le nombre de zero-days activement exploités corrigés par Apple depuis le début de l'année.
Sources :
Les pirates nord-coréens de Lazarus infectent des centaines via des forfaits NPM
Des chercheurs ont identifié six paquets malveillants sur npm, liés au groupe de hackers nord-coréen Lazarus, qui ont été téléchargés 330 fois. Ces paquets visent à voler des identifiants de compte, à déployer des portes dérobées et à extraire des informations sensibles sur les cryptomonnaies. La campagne a été découverte par l'équipe de recherche Socket, qui l'a associée à des opérations de chaîne d'approvisionnement connues du groupe. Lazarus utilise souvent des techniques de typosquatting pour tromper les développeurs, en imitant des bibliothèques populaires. Parmi les paquets identifiés, on trouve des outils déguisés en bibliothèques de validation et de gestion d'événements, qui contiennent du code malveillant pour collecter des données sensibles, y compris des informations sur les portefeuilles de cryptomonnaies. Les paquets chargent également des malwares comme BeaverTail et InvisibleFerret. Bien que ces paquets soient encore disponibles sur npm et GitHub, les développeurs sont avertis de vérifier attentivement les paquets utilisés et de surveiller le code des logiciels open-source pour détecter des signes suspects. La menace demeure active, soulignant l'importance de la vigilance dans la sécurité des logiciels.
Sources :
Apple corrige Webkit Zero-Day dans des attaques «extrêmement sophistiquées»
Apple a publié des mises à jour de sécurité d'urgence pour corriger une vulnérabilité zero-day, identifiée comme CVE-2025-24201, exploitée dans des attaques "extrêmement sophistiquées". Cette faille, découverte dans le moteur de navigateur WebKit utilisé par Safari et d'autres applications, permet aux attaquants de contourner le sandboxing du contenu web via du contenu malveillant. Bien que cette vulnérabilité ait été bloquée dans iOS 17.2, Apple a signalé qu'elle avait été exploitée dans des attaques ciblées contre des individus spécifiques sur des versions antérieures d'iOS. Les mises à jour de sécurité concernent iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 et Safari 18.3.1. Les appareils affectés incluent divers modèles d'iPhone, d'iPad et de Mac, ainsi que l'Apple Vision Pro. Bien qu'Apple n'ait pas encore attribué la découverte de cette vulnérabilité à un chercheur spécifique, il est fortement recommandé d'installer les mises à jour pour se protéger contre d'éventuelles tentatives d'attaques en cours. Depuis le début de l'année, Apple a corrigé trois zero-days, poursuivant une tendance de correction de vulnérabilités exploitables.
Sources :
La mise à jour de Windows 10 KB5053606 Correction des connexions SSH cassées
Microsoft a publié la mise à jour cumulative KB5053606 pour Windows 10 versions 22H2 et 21H2, corrigeant plusieurs bugs, dont un qui empêchait les connexions SSH. Cette mise à jour est obligatoire, car elle inclut les correctifs de sécurité de mars 2025, visant six vulnérabilités zero-day activement exploitées. Les utilisateurs peuvent installer cette mise à jour via les paramètres de Windows Update, où elle s'installera automatiquement après vérification des mises à jour. Après installation, Windows 10 22H2 sera mis à jour vers la version 19045.5608 et 21H2 vers 19044.5608.
La mise à jour KB5053606 comprend neuf corrections, notamment pour le service OpenSSH, qui ne démarrait pas, et des améliorations pour l'éditeur de méthode d'entrée (IME) chinois. Deux problèmes connus persistent, liés à l'agent d'enregistrement de session Citrix, qui peut empêcher l'installation des mises à jour de sécurité, et une erreur d'événement 7023 dans l'EventViewer, sans impact fonctionnel. Microsoft prévoit de résoudre ces problèmes dans de futures mises à jour. Une liste complète des corrections est disponible dans le bulletin de support de KB5053606.
Sources :
Windows 11 KB5053598 & KB5053602 Mises à jour cumulatives publiées
Microsoft a publié les mises à jour cumulatives KB5053598 et KB5053602 pour Windows 11 versions 24H2 et 23H2, visant à corriger des vulnérabilités de sécurité et divers problèmes. Cette mise à jour du Patch Tuesday introduit plusieurs nouvelles fonctionnalités, notamment une publicité Xbox dans les paramètres. Parmi les corrections notables, le Gestionnaire des tâches ne confond plus les disques durs avec les SSD, et une nouvelle option permet d'en apprendre davantage sur l'image de l'écran de verrouillage. Les utilisateurs peuvent également voir une carte de parrainage pour un abonnement PC Game Pass, visible uniquement après connexion avec un compte Microsoft. De plus, il est désormais possible de reporter ou désactiver le rappel de sauvegarde dans l'Explorateur de fichiers. Les performances lors du chargement de dossiers contenant de nombreux fichiers multimédias ont été améliorées, et des problèmes de menu contextuel et de volume audio ont été résolus. Une fonctionnalité de caméra multi-applications a été développée pour faciliter la communication avec les personnes malentendantes. Cependant, un problème persiste pour les utilisateurs de Windows 11 24H2, empêchant le téléchargement de Roblox sur les appareils Arm, que Microsoft prévoit de corriger dans une future mise à jour.
Sources :
Microsoft remplaçant l'application de bureau à distance par l'application Windows en mai
Microsoft a annoncé qu'il mettrait fin au support de l'application Remote Desktop, disponible via le Microsoft Store, le 27 mai 2025, et la remplacera par la nouvelle Windows App. Cette dernière est conçue pour les comptes professionnels et scolaires, facilitant la connexion à Azure Virtual Desktop, Windows 365, Microsoft Dev Box, ainsi qu'aux services de bureau à distance et aux PC distants. Accessible depuis divers appareils, y compris PC, tablettes et smartphones, l'application permet de se connecter à des PC cloud et des bureaux virtuels. Bien qu'elle soit en développement depuis plusieurs années et lancée officiellement en septembre 2024, la Windows App ne prend pas encore en charge les services de bureau à distance et les connexions à distance sur Windows, contrairement à d'autres plateformes comme macOS et Android. Microsoft recommande donc aux utilisateurs de l'application Remote Desktop d'utiliser l'application intégrée Remote Desktop Connection pour se connecter aux bureaux distants jusqu'à ce que la prise en charge soit disponible dans la Windows App. Les utilisateurs doivent rechercher "Remote Desktop Connection" dans le menu Démarrer de Windows pour établir une connexion.
