🧠💥 EDITO Hebdo #42 — Ransomwares, WSUS, et 40 milliards de données en balade 🚀

🔎 Revue cybersécurité de la semaine du 12 au 19 octobre 2025

La semaine a été aussi chargée qu’un serveur WSUS mal configuré : entre une fuite de 40 milliards de données chez un prestataire marketing, un zero-day Microsoft exploitée dans la nature, et les ransomwares Qilin qui se prennent pour des rockstars industrielles, l’actu cybersécurité a eu de quoi faire trembler les SOC.
Dans cette revue SecuSlice (édition #42), on passe en revue les fuites de données, vulnérabilités critiques, ransomwares actifs, nouveaux outils de pentest et les mouvements discrets mais inquiétants du Dark Web.
🧩 Du piquant, de la technique et un zeste d’ironie — tout ce qu’il faut pour rester à jour sans sombrer dans la parano.

🕵️ Fuites de données / Leaks

① Netcore Cloud Pvt. Ltd. – ~13 To de données non chiffrées exposées

Un gros dossier : une base de données (~13 To) avec environ 40 milliards d’enregistrements (oui, milliards) chez Netcore (Mumbai), qui servait 6 500 marques mondiales a été repérée « en accès libre ». Windows Central Données : adresses mail, sujets de message, quelques infos bancaires/ santé, documents marqués « confidentiel ». Le coupable ? Probablement une négligence – un stockage non protégé.
Pourquoi ça pique : 40 milliards de lignes = potentiel gigantesque pour le phishing, l’usurpation d’identité, la revente de bases. On y voit aussi un pattern : une entreprise marketing (pas toujours dans l’IT critique) mais qui gère beaucoup de données clients, se fait percer.
À retenir : chiffrement + accès restreint = toujours pas optionnel.
Note : Vérifier si vos fournisseurs marketing travaillent avec Netcore ou s’ils ont des connexions.

② Capita (UK) – Amende de 14 M £ après attaque 2023

Bon, c’est un peu « rattrapage » mais reste pertinent = l’org a été sanctionnée pour « failles de protection » après une cyber-attaque en mars 2023 qui a compromis 6,6 millions de personnes. The Guardian On a une leçon claire : même quand on détecte vite (ici 10 min), si on n’isole pas le problème (ils ont laissé un appareil compromis 58h) ça peut finir en très grosse amende et réputation dans la boue.
À retenir : réaction rapide + isolation = clé. Et on écrit « la réaction » dans le playbook.
Date : annoncée cette semaine.

🔐 Verisure (filiale suédoise / Alert Alarm) — fuite via un prestataire de facturation

Le fournisseur d’alarmes Verisure a signalé une intrusion chez un prestataire de facturation externe affectant sa filiale suédoise Alert Alarm : environ 35 000 clients actuels et anciens seraient concernés (noms, adresses, e-mails et numéros de sécurité sociale). Verisure affirme pour l’instant que ses propres systèmes internes ne semblent pas compromis et a porté l’affaire à la police tout en mobilisant des conseillers externes ; des tentatives d’extorsion sont évoquées dans certains rapports.
Pourquoi ça gratte : données personnelles sensibles stockées chez un sous-traitant = chaîne de responsabilité qui doit être revue. La facture (ironie) : on paye un prestataire pour gérer la facturation, pas pour ouvrir une fenêtre aux attaquants.
Action recommandée : vérifier tous les prestataires qui traitent des données clients (contrats, encryptions au repos & en transit, accès à journaux), exiger preuve d’audit, bloquer les accès non nécessaires et informer les clients concernés rapidement.
Liens : Reuters (compte-rendu synthétique) et communiqué Verisure. // 💥 Quand Verisure oublie de sécuriser sa facture : anatomie d’une fuite par fournisseur
Date : annonce/rapports publiés le 17 octobre 2025. 

🔓 Vulnérabilités / Exploits

① Windows Server Update Services (WSUS) – CVE-2025-59287 (RCE via désérialisation)

Un vrai joli trou dans WSUS : vulnérabilité de désérialisation non-authentifiée, RCE possible, score CVSS ≈ 9.8/10. Affecte Windows Server 2012 à 2025.
Pourquoi c’est grave : WSUS est sur les réseaux d’entreprise, souvent privilégié, et si un attaquant peut exécuter du code à distance sans se loguer → catastrophe.
Conseil secuslice : vérifier d’urgence vos serveurs WSUS, appliquer correctif ou couper l’accès externe, privilégier segmentation.
Date de découverte / mineure : 13-19 oct 2025.
Lien : article de CyberSecurityAdvisors. Cybersecurity Advisors Network

② Microsoft – Patch Tuesday Octobre 2025 : ~170-180 CVEs, plusieurs zero-days exploitées

Microsoft a lâché la plus grosse mise à jour de son histoire ce mois-ci : entre 167 et 183 vulnérabilités corrigées selon la source (Tenable/ CyberSecurity-Help) dont 2-3 zero-days utilisées activement. Tenable®
Points clés :

• 7 à 17 critiques, >150 importantes.
• Zero-days exploitables publiquement déjà.
• C’est aussi la fin de support de Windows 10 hors ESU : un signal fort.
  À retenir : si vous êtes encore sur Windows 10 non-ESU ou versions non supportées → vous êtes la cible.
  Lien : Tenable blog, The HackerNews, CyberSecurity-Help report.
  Date : mise à jour publiée/ rapportée il y a ~4-5 jours.

③ Cyble – 996 vulnérabilités relevées cette semaine, 140+ PoC publiques

Une vue d’ensemble : Cyble signale ~996 vulnérabilités dans la semaine, dont plus de 140 disposent déjà de preuves de concept (PoC). Cyble
Pourquoi c’est utile : Cela montre que le « flux CVE » reste massif, et que le temps entre publication et exploitabilité se réduit (PoC = pot-entiellement plus d’attaques).
À retenir : automatisez votre ingestion de vulnérabilités, priorisez PoC + niveau d’exposition réseau interne/externe.
Date : rapportée il y a ~2 jours.

🚨 Incidents / APT / Ransomwares

① Asahi Group Holdings (Japon) – Victime du gang Qilin

Le gang Qilin revendique une attaque sur Asahi (brasserie japonaise) : production arrêtée dans 6 usines, ~9 300 fichiers (~27 Go) volés, images internes publiées. Reuters
Pourquoi ça vaut le détour : c’est l’industrie « non-traditionnelle » (brasserie) — Rappel que tout secteur est dans la ligne de mire. Le groupe Qilin est de plus en plus actif.
À retenir : vos chaînes d’approvisionnement (fournisseurs, usines) sont faibles ; surveillez‐les.
Date : revendication 7 octobre 2025.
Lien : Reuters article.

② Qilin encore – Winholt Equipment Group (USA)

Un autre coup de Qilin : Winholt Equipment Group victime d’un ransomware (découvert 19 oct 2025) selon HookPhish.
Pourquoi important : double attaque sur des acteurs industriels – pattern d’élargissement.
À retenir : industrial/ manufacturing = zone de risque + souvent moins de défense que secteur IT.
Date : découverte 19 oct 2025.
Lien : HookPhish blog.

③ Microsoft « Digital Defense Report » – 52 % des attaques motivées par extorsion ou ransom

Rapport interne de Microsoft : plus de la moitié des incidents connus sont motivés par argent (extorsion/ransom), espionnage pur est faible (~4 %). The Official Microsoft Blog
À retenir : axer votre posture sur prévention de fuite + extorsion, pas seulement espionnage «prestige».
Date : 16 octobre 2025.
Lien : blog Microsoft.

🧰 Outils et scripts récents

Pas beaucoup d’articles très techniques ultra récents listés cette semaine sur de nouveaux outils “big launch”, mais quelques mentions :

• Le rapport de Cyble mentionne «140+ PoC publiques» — ce qui signifie que derrière chaque PoC, potentiellement un script/exploit publiquement accessible.
• Sur GitHub/exploit-db, il faut surveiller les nouveaux PoC de la vuln WSUS CVE-2025-59287.
  À surveiller prochainement : scripts d’exploitation de la CVE WSUS, outils de scanning automatisé pour patch Tuesday Microsoft.

🌑 Mouvements Dark Web / Forums Hackers

Quelques signaux intéressants :

• Le gang Qilin est doublement actif. Leur nom revient sur deux incidents récents (Asahi & Winholt). Cela suggère une montée en puissance ou un nouveau palier.
• Pas de sources publiques explicites cette semaine de fuites de forum underground ultra-techniques (ex : chats internes, repos GitHub mentionnés) que j’ai pu attraper avec mes sources publiques. Cela ne veut pas dire qu’il n’y en a pas.
• À noter : le rapport Cyble (996 vulnérabilités) implique que dans les communautés « outils de hacking », les PoC sont diffusés très rapidement — surveillez forums/Discords de vulnérabilité.
  À surveiller : forums comme r/netsec ou r/cybersecurity pour mentions de WSUS exploitation ou Qilin/Cl0p chatter.

🧭 En résumé

🧩 Cette semaine, on retient :

• 40 milliards de données en fuite chez Netcore, la démesure dans toute sa splendeur.
• Une faille WSUS critique, à patcher hier.
• Des ransomwares Qilin en goguette dans l’industrie.
• Un Patch Tuesday record, et un Microsoft plus bavard que jamais.
• Des PoC à gogo sur GitHub.

💡 Conseil SecuSlice de la semaine :

« Celui qui dit : je patcherai demain vient de créer une CVE. »

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com