« Câest lâĂ©tĂ©, mais visiblement, les cybercriminels nâont pas posĂ© de RTT… »
đ„ Jeudi noir pour la cyberdĂ©fense mondiale
Pour cet Edito, c’Ă©tait censĂ© ĂȘtre une semaine paisible de juillet, rythmĂ©e par les mails d’absence et les selfies LinkedIn « vue mer + laptop = #workation ». Mais non. Les cybercriminels, eux, ont optĂ© pour un Hackation. Jeudi 10 juillet a Ă©tĂ© une symphonie de pwns, avec des failles critiques, des malwares travestis, des ransomwares revanchards, et des outils de post-exploitation tout droit sortis des pires cauchemars du SOC.
Spoiler : si vous pensiez que WinRAR Ă©tait un logiciel mort, les attaquants viennent de lui redonner une seconde jeunesse.
𧱠WSUS en carafe : Microsoft nous refait le coup du mardi maudit
Pendant que la planĂšte cybersĂ©curitĂ© courait aprĂšs les failles Fortinet et les ransomwares russes, une autre catastrophe discrĂšte s’est abattue : les serveurs WSUS sont tombĂ©s en rade aprĂšs le Patch Tuesday. La mise Ă jour cumulative de juillet a provoquĂ© un joyeux chaos sur les instances Windows Server 2019 et 2022 avec des services gelĂ©s, des clients non synchronisĂ©s, et des erreurs cryptiques qui transforment n’importe quel admin systĂšme en poĂšte maudit.
Sur Reddit et les forums MS, on a vu naĂźtre un florilĂšge de solutions maison Ă base de PowerShell, de dĂ©sactivation temporaire de TLS, voire dâexorcisme binaire. Microsoft, fidĂšle Ă lui-mĂȘme, a rĂ©pondu : âon est au courant, ça sera corrigĂ© dans un futur patch.â Traduction : dĂ©merdez-vous jusquâen aoĂ»t.
đ APT, ransomwares et autres joies diplomatiques
đšđł Les hackers chinois ont encore faim
Source : Google / TheHackerNews
Les chercheurs de Google TAG ont dĂ©couvert que les groupes APT chinois â parce quâil y en a autant que de recettes de nouilles â sâattaquent dĂ©sormais aux think tanks amĂ©ricains. Parce quâentre voler des secrets militaires, manipuler lâIA et rĂ©cupĂ©rer des donnĂ©es diplomatiques, ils ont encore un peu de temps libre. Ils utilisent des campagnes de phishing hautement ciblĂ©es avec des PDF piĂ©gĂ©s, dĂ©ployĂ©s depuis des domaines usurpĂ©s qui feraient presque rire un stagiaire en cybersĂ©c de 2e annĂ©e. Et pourtant : ça marche.
En savoir plus
đ·đș Les russes visitent VMware (encore)
Source : BleepingComputer / US-CERT
Pendant ce temps-lĂ , les APT russes ont remis le couvert avec VMware. Une campagne dâexploitation dĂ©tectĂ©e en juin mais active dĂšs avril vise les serveurs ESXi non patchĂ©s, via des vulnĂ©rabilitĂ©s documentĂ©es mais pas corrigĂ©es (parce que le patch planning de certaines DSI tient sur une serviette en papier). Et pendant que les analystes dĂ©battent de la menace, les attaquants eux, profitent de leur accĂšs RCE comme on ouvre un 3Ăšme Mojito sur la plage.
En savoir plus
đ MGM Resorts : Jackpot dâexfiltration
Source : BleepingComputer
Encore ? Oui, encore. MGM Resorts, aprĂšs avoir dĂ©jĂ tout perdu en 2023, vient de voir ses systĂšmes partiellement coupĂ©s par une attaque. Aucun ransomware officiellement revendiquĂ©, mais vu la tĂȘte des systĂšmes HS, lâabsence de wifi et la fermeture de rĂ©servations, on soupçonne un bon vieil accĂšs initial bien placĂ© et un joli move latĂ©ral en chaussons.
En savoir plus
đŸ Fuites, malwares et appĂąts digitaux
đ» RustDoor : un malware Mac qui se fait passer pour Office
Source : BleepingComputer
Les utilisateurs Mac aiment se croire Ă l’abri. Spoiler : non. Le malware RustDoor se dĂ©guise en application Office (tiens, coucou « Microsoft Word Updater.dmg ») pour mieux sâinfiltrer. Ecrit en Rust, bien plus clean que certains devs React freelance, il cible les entreprises via de faux e-mails internes. Il rĂ©cupĂšre, exfiltre et installe une backdoor, tout ça dans un silence dĂ©routant. Propre, prĂ©cis, efficace. Comme un espresso aprĂšs un pentest.
đ Kaspersky : la mode est au ransomware multi-vecteurs
Source : Kaspersky
Dans son rapport Q2, Kaspersky note une tendance lourde : les ransomwares ne se contentent plus dâencrypter. Ils exfiltrent, dĂ©sapprentissent vos EDR, et publient vos fichiers RH sur Telegram avec des mĂšmes. On voit Ă©merger des chaĂźnes dâattaque hybrides, avec initial access brokers, tunneling DNS, et payloads en cascade. Bref : 2025 est lâannĂ©e du ransomware full-stack.
âĄïž VulnĂ©rabilitĂ©s de la semaine : patch or die
đ„ Fortinet (CVE-2025-32620) : Auth Bypass niveau « tapis rouge »
Source : BleepingComputer / CERT-FR
Cette faille permet une authentification sans credentials. Oui, vous avez bien lu. Les firewalls FortiOS peuvent ĂȘtre contournĂ©s avec une simple requĂȘte HTTP bien formĂ©e. La CISA lâa immĂ©diatement classĂ©e comme prioritaire, et les exploitations in-the-wild sont dĂ©jĂ confirmĂ©es.
đ WinRAR (CVE-2025-33081) : la CVE nĂ©cromancienne
Source : NVD / GitHub
WinRAR fait de la rĂ©sistance. Cette faille permet dâexĂ©cuter du code arbitraire via un fichier SFX piĂ©gĂ©. Et comme dâhabitude, lâexploit est dĂ©jĂ sur GitHub, testĂ©, validĂ©. Spoiler : oui, ça fonctionne toujours.
Lien GitHub
â ïž CISA ajoute 3 failles critiques au catalogue KEV
Parce que câĂ©tait trop calme. Ces vulnĂ©rabilitĂ©s, activement exploites, doivent ĂȘtre patchĂ©es dans les 10 jours. Un bon test pour votre CMDB.
En savoir plus
đ 1. CVE-2023-20867 â VMware vCenter Server
- Impact :Â Contournement dâauthentification via lâAPI VAPI.
- Score CVSS :Â 9.8 (critique)
- Exploitation : Permet Ă un acteur non authentifiĂ© dâexĂ©cuter des commandes arbitraires sur les hĂŽtes ESXi via vCenter.
- Statut : ExploitĂ© activement. Les groupes APT russes lâutiliseraient pour pivoter dans les infrastructures virtualisĂ©es.
- Patch disponible : Oui, depuis octobre 2023. Mais non dĂ©ployĂ© partout…
đ 2. CVE-2024-22026 â Ivanti EPMM (MobileIron)
- Impact : Command Injection non authentifié.
- Score CVSS :Â 9.9
- Exploitation : Injection de commandes via lâinterface admin exposĂ©e. Vise les serveurs mobiles dâentreprise (souvent oubliĂ©s).
- Contexte : Utilisé dans plusieurs attaques visant le secteur public européen.
- Patch : Disponible depuis février 2024.
đ 3. CVE-2025-33081 â WinRAR (vulnĂ©rabilitĂ© des fichiers SFX auto-extractibles)
- Impact : Exécution de code à distance via des archives piégées.
- Score CVSS :Â 7.8
- Exploitation : Confirmée via GitHub. POC public disponible, usage déjà repéré dans des malspam.
- Spécificité : Toujours pas corrigée sur de nombreuses machines grand public et professionnelles.
đŻ Pourquoi câest important ?
- KEV = âExploitĂ© en vraiâ, pas juste une vulnĂ©rabilitĂ© thĂ©orique.
- Les organisations US doivent corriger dans les 10 jours. En Europe, câest conseillĂ© mais pas obligatoire.
- Câest un excellent rĂ©fĂ©rentiel de priorisation pour les RSSI : si câest dans KEV, ça doit ĂȘtre patchĂ©Â avant les autres.
đ€ Nouveaux outils : on sâĂ©quipe pour lâoffensive
đ§ FlexShell : post-exploitation, mais en Go
Source : GitHub
Parce que Python câest trop lent, voici FlexShell, un outil de post-exploitation en Go, ultra-rapide et discret. Il permet pivoting, collecte de credentials, enumeration avancĂ©e, et extraction de fichiers. IdĂ©al pour vos exercices RedTeam ⊠ou pour faire peur au RSSI.
Lien GitHub
đ Reverse Shell Toolkit â MAJ avec IoCs
Source : Reddit
Le toolkit populaire reçoit une mise à jour importante : nouveaux IoCs, nouvelles signatures, et compatibilité avec plusieurs EDR. De quoi tester vos rÚgles YARA sur un week-end pluvieux.
đ”ïžââïž Forums, dark web et rumeurs
Pas de fuite gĂ©ante cette semaine, mais de nombreuses ventes dâaccĂšs RDP Fortinet non patchĂ©s ont Ă©tĂ© repĂ©rĂ©es sur les forums russes. Plusieurs pastebins mentionnent des exfiltrations en cours. Des rumeurs circulent aussi sur un prochain dump de donnĂ©es gouvernementales europĂ©ennes. Encore un vendredi fun en perspective.
đ TL;DR sarcastique (mais utile)
| Catégorie | à retenir cette semaine |
|---|---|
| đ„ APT & ransom | China et Russie toujours au top |
| đ VulnĂ©rabilitĂ©s | Fortinet & WinRAR, classiques mais efficaces |
| đȘ Outils | Reverse shells et post-exploitation Go |
| đ” Forums | AccĂšs en vente, POCs qui traĂźnent, IoCs partout |
| đĄ Conseils | Patch, vĂ©rifie les IoCs, bois un cafĂ©, recommence |
đ§Œ En conclusion : un Ă©tĂ© sous tension, une hygiĂšne numĂ©rique non nĂ©gociable
Cette semaine nous rappelle une vĂ©ritĂ© immuable : la cybersĂ©curitĂ© ne prend pas de vacances. MĂȘme en juillet, les menaces sâempilent, les vulnĂ©rabilitĂ©s explosent, et les RSSI transpirent plus que les serveurs en surchauffe. La panne WSUS, les exploits Fortinet, les campagnes APT, et les outils offensifs en open bar sont autant de signaux faibles pour certains⊠et dâurgences pour les autres.
Alors, en attendant le patch salvateur de Microsoft ou la prochaine CVE de lâĂ©tĂ©, on termine avec quelques conseils dâhygiĂšne numĂ©rique (pas sexy, mais essentiels) :
â Les 5 commandements de la cyber-survie estivale
- Tu patcheras, mĂȘme Ă distance.
- Tu ne cliqueras pas sur un .dmg nommé WordUpdater.
- Tu testerais tes sauvegardes AVANT quâil ne soit trop tard.
- Tu segmenteras ton réseau comme un melon bien mûr.
- Tu parleras MFA, mĂȘme sous un parasol.
Bonne semaine, et nâoubliez pas : la menace ne dort jamais. Mais vous, si.
![đ„ Retour de flamme en cybersĂ©curitĂ© â [EDITO] Semaine du 5 au 12 juillet 2025](https://secuslice.com/wp-content/uploads/2025/07/edito-12-juillet-300x200.png)