Câest lâĂ©tĂ©, les orages approchent… et cĂŽtĂ© cybersĂ©curitĂ©, câest dĂ©jĂ la tempĂȘte. Le 26 juin 2025, jeudi noir en cybersĂ©curitĂ©, restera dans les annales comme une de ces journĂ©es oĂč les RSSI transpirent avant mĂȘme leur premier cafĂ©. Et pour cause : entre vulnĂ©rabilitĂ©s critiques, exploitations actives, piratages, procĂšs, cookies siphonnĂ©s et firmware dĂ©moniaques, câĂ©tait NoĂ«l en avance pour les attaquants.
Voici une petite rĂ©trospective, sur un ton lĂ©gĂšrement piquant â mais on vous jure, câest avec bienveillance.
𧚠Trio gagnant : Cisco, Citrix, AMI
1. Cisco ISE â Root sans invitation
La journĂ©e commence fort avec CVE-2025-20281 et 20282, deux failles critiques (CVSS 10) dans Cisco ISE et ISE-PIC. Lâexploitation est simple : un attaquant non authentifiĂ© peut exĂ©cuter du code en tant que root. Un genre de âskip the login, own the boxâ.
Le produit est censĂ© gĂ©rer vos accĂšs rĂ©seau. Mais lĂ , câest plutĂŽt lâinverse : lâattaquant gĂšre votre rĂ©seau. Merci Cisco, on vous recontacte dĂšs quâon aura terminĂ© notre crise dâangoisse.
2. Citrix NetScaler â CitrixBleed 2, la revanche
Citrix rempile avec CitrixBleed 2 (CVE-2025-5777), digne successeur du dĂ©sormais cĂ©lĂšbre CitrixBleed. Une faille zero-day qui permet de voler les cookies de session sans authentification, sur plus de 56 000 instances vulnĂ©rables. Oui, 56 000. Oui, sans login. Oui, câest dĂ©jĂ exploitĂ©.
Le portail VPN devient un tapis rouge. SSO, MFA ? MĂȘme pas peur. Un bon vieux cookie, et vous voilĂ administrateur.
3. AMI MegaRAC â Le BMC des enfers
Et pour finir le tiercĂ©, AMI MegaRAC offre un joli cadeau empoisonnĂ© : une vulnĂ©rabilitĂ© critique (CVE-2024-54085)permettant Ă un attaquant de prendre le contrĂŽle complet du serveur via le BMC, y compris Ă distance, sans login, et mĂȘme si lâOS est Ă©teint.
Vous pensiez avoir tout vu ? Imaginez que lâattaquant flashe un firmware malveillant, ou pire, bricke votre serveur. Le tout en silence. Pas de logs. Pas de tĂ©moin. Juste vous et votre dĂ©sespoir face Ă une carte mĂšre zombifiĂ©e.
đ„ Les incidents du jour
CÎté incidents, on a aussi été servis :
- Un ex-Ă©tudiant australien a Ă©tĂ© inculpĂ© pour avoir hackĂ© son universitĂ©… pour payer moins cher son parking (et voler quelques donnĂ©es au passage, tant quâĂ faire).
- Le tristement cĂ©lĂšbre IntelBroker (Kai West) a Ă©tĂ© arrĂȘtĂ© pour des fuites de donnĂ©es estimĂ©es Ă Â 25 millions de dollars. Quand le cybercrime devient une carriĂšre.
- Scattered Spider, toujours aussi inspiré, a pivoté vers les assureurs US avec du MFA bypass, du helpdesk scam et autres joyeusetés sociales.
- Et en cadeau bonus : une attaque ClickFix en hausse de 517 %, mĂ©thode de social engineering redoutable via de faux CAPTCHA pour livrer… ransomware, infostealers, et tout le buffet malveillant habituel.
đ Bonus vulnĂ©rabilitĂ©s (on ne sâennuie jamais)
- Le registre Open VSX (extensions VS Code) aurait pu ĂȘtre compromis par une seule faille, menaçant des millions de dĂ©veloppeurs. Supply chain, mon amour.
- Centreon Map, VMware Tanzu, WinRAR, Microsoft Excel 2024, Sitecore… tous frappĂ©s par des RCE ou failles critiques, avec une jolie moisson de PoC sur Exploit-DB.
- MĂȘme les imprimantes Brother ont dĂ©cidĂ© de participer Ă la fĂȘte : 689 modĂšles avec des mots de passe admin… prĂ©visibles et non modifiables.
đŹ CĂŽtĂ© patchs, bugs et absurditĂ©s
- Microsoft a corrigĂ© un bug qui faisait planter Outlook quand on ouvrait un mail. Oui, le mail. Câest embĂȘtant pour un client mail, non ?
- Leur service Family Safety bloque aussi Google Chrome sans raison. Parce quâĂ©videmment, il faut protĂ©ger les enfants… des navigateurs concurrents.
- WhatsApp, de son cĂŽtĂ©, vous propose dĂ©sormais des rĂ©sumĂ©s de messages grĂące Ă lâIA. IdĂ©al pour ne plus lire les messages de vos collĂšgues, mais rester crĂ©dible.
đ§ Ce quâon en retient (et ce quâon devrait faire)
Pour les responsables cyber :
- Segmenter, isoler, bastionner. Vos Ă©quipements critiques ne doivent pas ĂȘtre joignables en clair depuis lâextĂ©rieur.
- Patcher maintenant, pas aprÚs la prochaine réunion.
- Superviser le BMC comme un composant stratégique.
- Surveiller les portails VPN et MFAÂ comme des zones de guerre.
- Et surtout : réagir plus vite que les attaquants, car eux, ils ont déjà lu le bulletin de vulnérabilité. Et ils automatisent.
đ§Ÿ En rĂ©sumĂ©
đ©ïž JournĂ©e noire pour la cybersĂ©curitĂ©.
đ Trois failles CVSS 10 qui ouvrent grand les portes.
đ» Des incidents qui confirment que les hackers nâattendent pas les vacances.
đ§âđ» Des admins fatiguĂ©s, des RSSI rĂ©signĂ©s⊠et des budgets cybersĂ©curitĂ© qui vont devoir sâajuster.
Vous ĂȘtes toujours debout aprĂšs tout ça ? Bravo.
Prenez un café (ou un rhum). Demain, on recommence.
