🛡️ Revue de l’actu cyber — semaine du 29/09 au 05/10

L’actu cyber de la semaine en mode fast news. Pendant que tout le monde lançait « Cybersecurity Awareness Month », les attaquants ont lancé… la saison des soldes. Données au kilo, 0-days au rayon frais, et extorsions “en bundle”. Voici ce qu’il fallait voir — et ce que vous avez peut-être manqué.

🧨 ShinyHunters sort la banderole et leak(e) en série

Le groupe a ouvert un nouveau site d’extorsion pour publier des échantillons de données volées lors de la vague d’attaques Salesforce (39 victimes revendiquées). Marketing agressif, branding confus (“Scattered Lapsus$ Hunters”), mais le message est clair : « payez, ou on publie ». 

🟥 Red Hat : ce n’était pas GitHub, c’était GitLab (mais c’est quand même moche)

Un collectif baptisé Crimson Collective clame avoir pillé 570 Go sur 28 000 repos internes. Red Hat a précisé ensuite que l’incident touchait un GitLab — pas GitHub. Peu importe la plateforme : la surface d’attaque CI/CD reste un gruyère si la gouvernance de secrets est light. 

✈️ Breaches XXL : Allianz et WestJet comptent (beaucoup)

• Allianz Life : 1,5 million de personnes notifiées, après vol de PII sur un CRM cloud en juillet.
  Voir notre article : 🔹 Allianz Life et la fuite de données : 1,5 million de victimes, et une leçon à retenir
• WestJet : 1,2 million d’impactés, attaque de juin confirmée et inventaire des données en cours. Les programmes de miles ne couvrent pas ce genre de

🧾 DMS à genoux : Motility et 766 000 identités exposées

Ransomware chez l’éditeur de dealer management systems Motility : noms, SSN, permis — tout le kit pour ouvrir un crédit “express”. Les chaînes B2B restent le maillon faible… du client final.

🛠️ 0-day & vulnérabilités : le rayon bricolage du week-end

• sudo (Linux) : la faille CVE-2025-32463 est activement exploitée. Si vos bastions se contentent d’un sudo mal réglé, vos attaquants vous remercient pour la livraison “clé en main”. BleepingComputer
• VMware / Broadcom :
  • Des chinois exploitent depuis… 2024 la CVE-2025-41244 (Aria/Tools) pour monter en privilèges sur VM. La PoC tourne, la comm’ rame. BleepingComputer
  • Patchs “importants” pour vCenter/NSX (CVE-2025-41250/251/252, CVSS jusqu’à 8.5). À appliquer hier. IT-Connect
• Splunk & Tenable (CERT-FR) : salves d’avis sécurité, RCE/DoS/priv-esc au menu. Si vos SOC tournent dessus, la priorité n’est pas “plus tard”. cert.ssi.gouv.fr
• Cisco ASA/FTD : l’alerte CERT-FR reste en cours après la vague du 25/09 ; corrélez avec vos ASA exposés côté VPN web. cert.ssi.gouv.fr

📡 ICS : deux avis CISA, parce que vos OT ne se patchent pas tout seuls

CISA publie deux avis ICS (02/10). Traduction : si vos automates pilotent du réel, l’urgence est réelle. CISA

📶 Télécom & Wi-Fi : FreeWifi_Secure, fin de partie

Free coupe FreeWifi_Secure après la découverte d’une faille exposant des IMSI. On parle de signalisation et de traçabilité potentielle : oui, c’est grave. 

🕵️‍♀️ Forensic candy : Kaspersky sort l’outil AmCache-EvilHunter

Un CLI pour parser Amcache.hve et greffer OpenTIP/VirusTotal. Parfait pour arrêter de deviner “à la louche” quels binaire(s) ont réellement tourné avant chiffrement. securelist.com

🌐 Dark web & géopolitique locale : les petites lignes qui piquent

• Top 4 Fans (adult) : fuite massive, CNI en vrac, ultimatum exécuté. Le RGPD adore. zataz.com
• Volvo Amérique du Nord : victime collatérale via un prestataire RH suédois (Miljödata). La supply-chainn’oublie jamais. zataz.com
• ShinyHunters vs Air France/KLM : mentionnés dans la salve d’extorsion liée à Salesforce. À suivre de très près côté com’ & réponse à incident. zataz.com

🏷️ Awareness Month : beaucoup de rubans, n’oubliez pas les patchs

Octobre = Cybersecurity Awareness Month (DHS/CISA). Très bien. Mais si vous devez choisir entre une bannière LinkedIn et un change freeze avec fenêtre de patch… choisissez le second. CISA

🧭 Ce que ça change (vraiment) pour vos équipes

1. Durcir vos intégrations SaaS (Salesforce & co.) : inventaire des connecteurs tiers (Salesloft/Drift), revue des tokens, surveillance exfil et API logs en continu. L’attaque du moment passe par l’écosystème, pas par votre périmètre “historique”. 
2. CI/CD & dépôts internes : audit des droits, rotation des secrets, durcissement des runners et webhooks, cloisonnement réseau de vos GitLab/GitHub auto-hébergés. L’incident Red Hat montre la facture quand on “oublie” le voisinage des secrets. BleepingComputer
3. Priorité patch : sudo, VMware, Splunk/Tenable, Cisco ASA/FTD. Faites passer vos actifs exposés devant, pas l’inverse. Oui, ça veut dire couper un peu de prod un samedi matin. Mieux vaut ça que la prod coupée tous les matins. BleepingComputer
4. OT : appliquez les avis ICS CISA et vérifiez vos compensations (segmentation, listes de contrôle d’accès, baselines réseau). L’OT ne pardonne pas les patchs “quand on aura le temps”. CISA
   A lire aussi notre synthèse : ⚙️ OT et cybersécurité : le maillon faible qu’on ne veut plus voir – Retour sur le guide NIST contre les menaces USB
5. Forensic prêt-à-l’emploi : ajoutez AmCache-EvilHunter à votre trousse IR ; script d’extraction, corrélation TTP et timeline d’exécution = Gains en MTTD/MTTR. securelist.com

✅ La to-do en 10 minutes (et un café fort)

• Révisez vos connecteurs Salesforce et tokens OAuth (révoquez le superflu). 
• Patcher : sudo / vCenter-NSX / Splunk / Tenable / ASA-FTD. BleepingComputer
• CI/CD : rotation des clés, inventaire des secrets, journalisation complète des pipelines. BleepingComputer
• OT : appliquez les deux avis ICS CISA publiés jeudi. CISA
• Wi-Fi/Telecom : si vous répliquiez le modèle FreeWifi_Secure, re-validez vos flux d’authent EAP/IMSI.

Conclusion sarcastique mais tendre : Octobre nous rappelle d’“être cybersécurisés”. Les attaquants, eux, n’ont jamais oublié d’être efficaces. Faites moins de posters, plus de patchs — et gardez un œil sur vos intégrations SaaS, c’est là que ça fuit en ce moment.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com