Enquête sur le hacking des serveurs Microsoft SharePoint

Analyse de l'attaque contre Microsoft SharePoint – Juillet 2025

En juillet 2025, une campagne de cyberattaques d’ampleur a visé des serveurs Microsoft SharePoint déployés sur site. Cette opération s’est appuyée sur une vulnérabilité critique exploitée activement par des acteurs malveillants, déclenchant une réaction urgente de la part de Microsoft et des autorités américaines comme la CISA.

Nature de la vulnérabilité

Les failles identifiées, notamment CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 et CVE-2025-53771, permettaient à un attaquant non authentifié d'exécuter du code à distance sur des serveurs vulnérables. L’exploitation combinait un contournement d’authentification, une désérialisation non sécurisée et la capacité à injecter un web shell, rendant possible la compromission complète du système ciblé.

Chronologie de l'incident

Dès le 7 juillet 2025, des signes d’exploitation ont été détectés. Microsoft a publié des correctifs le 20 juillet pour certaines versions, tandis que la CISA a ordonné aux agences fédérales de mettre à jour leurs systèmes au plus tard le 22 juillet. L’attaque s’est intensifiée rapidement entre le 18 et le 21 juillet, entraînant la compromission de dizaines d’organisations.

Campagne ToolShell

Le nom de code ToolShell désigne la chaîne d’exploitation utilisée. Elle tire parti d’un chemin SharePoint spécifique pour déclencher l’exécution de charges malveillantes. La complexité de la chaîne, impliquant plusieurs failles successives, démontre un haut niveau de sophistication et une connaissance approfondie de l’environnement SharePoint.

Acteurs impliqués

Les premiers éléments d’analyse suggèrent l’implication de groupes de cyberespionnage chinois, dont Linen Typhoon et Violet Typhoon. Leur objectif semble être l’exfiltration de données sensibles et l’obtention d’un accès persistant à des réseaux gouvernementaux, éducatifs et industriels.

Impact global

À ce jour, plus de cinquante serveurs ont été identifiés comme compromis. Les organisations touchées se situent principalement dans les secteurs public, de l’éducation et de la santé. Le vol de clés de chiffrement internes a permis aux attaquants de manipuler des flux internes et de compromettre d’autres services intégrés à Microsoft 365, tels qu’Outlook et Teams.

Réaction des autorités

Microsoft a publié des correctifs d’urgence et des recommandations précises, incluant l’activation d’AMSI, la rotation des clés MachineKey et l’analyse des journaux. La CISA a rapidement classé les failles comme activement exploitées, déclenchant une obligation de correction immédiate pour les systèmes critiques du gouvernement américain. Des mesures ont également été prises pour isoler les serveurs vulnérables et renforcer la surveillance réseau.

Risques persistants

L’application des correctifs ne suffit pas à elle seule à garantir la sécurité, car les systèmes déjà compromis peuvent héberger des portes dérobées. Microsoft recommande fortement une analyse post-intrusion approfondie afin de détecter toute activité résiduelle, incluant la présence de web shells et la persistance de certificats ou clés dérobés.

Leçons à tirer

Cette attaque démontre la vulnérabilité structurelle des infrastructures sur site face à des menaces persistantes avancées. Elle souligne également les avantages du cloud en matière de sécurité, SharePoint Online n’ayant pas été concerné. Elle confirme enfin l’importance d’une coopération étroite entre éditeurs de logiciels, agences nationales de cybersécurité et entreprises du secteur privé.

En résumé

L’attaque contre Microsoft SharePoint en juillet 2025 marque un tournant dans la gestion des failles critiques dans des environnements professionnels sensibles. Elle appelle à une vigilance accrue, à une meilleure préparation à l’incident et à une évolution vers des architectures sécurisées et résilientes, capables de répondre aux nouvelles formes de cybermenaces complexes et coordonnées.

Source : The Hackers News - CISA Orders Urgent Patching After Chinese Hackers Exploit SharePoint Flaws in Live Attacks

Lire la suite

Le malware Android Konfety

À la mi-juillet 2025, les chercheurs en cybersécurité ont mis au jour une nouvelle variante du malware Android nommé Konfety. Cette version se distingue par des techniques d’obfuscation avancées destinées à contourner les solutions de détection, tout en poursuivant ses opérations de fraude publicitaire via des applications “jumeaux malveillants”.

Contexte et méthode “evil twin”

Konfety s'appuie sur une approche dite “evil twin” ou “décoy jumeau” : l’attaquant publie une application malveillante portant exactement le même nom de package qu’une application légitime présente sur le Play Store. Le but ? Tromper les victimes pour qu’elles installent la version vérolée depuis un magasin tiers, pensant obtenir une application authentique.

Le terme "evil twin" n’est pas nouveau, mais ici l’opération est élevée au rang d’industrie : les applications malveillantes copient minutieusement la réputation, le nom et parfois même la taille de l’application originale, si bien que l’utilisateur ne voit souvent aucune différence – outre l’absence de fonctionnalités réelles.

Techniques d’obfuscation et d’évasion

Structure ZIP/APK déformée

Les chercheurs de Zimperium zLabs ont identifié que cette variante utilise une structure malformed ZIP/APK, basée sur deux tricks :

• Flag de chiffrement illusoire : le bit 0 du champ "General Purpose Flags" est activé, faisant croire à la plupart des outils que l’APK est chiffré, nécessitant un mot de passe et bloquant la lecture du fichier.
• Compression BZIP fictive : la déclaration d’un mode de compression “BZIP” dans le manifeste Android provoque l’échec d’analyseurs comme APKTool ou JADX, tandis qu’Android installe toujours l’application sans difficulté.

Chargement dynamique du code (DEX)

Comme dans les variantes précédentes, le code malveillant principal est dissimulé dans un fichier DEX chiffré à l’intérieur de l’APK. Ce dernier n’est pas visible après un dépaquetage statique. Il est déchiffré et chargé uniquement à l’exécution, souvent directement en mémoire, ce qui rend la détection extrêmement difficile.

SDK public pour fraude publicitaire

Konfety exploite le SDK de CaramelAds, un réseau de publicité légitime, pour :

• Générer des impressions et clics frauduleux.
• Rediriger les utilisateurs vers des sites malveillants.
• Pousser l’installation d’applications indésirables.
• Envoyer de fausses notifications persistantes dans le navigateur.

Objectifs et capacités

Bien que Konfety ne soit pas un spyware ou un logiciel de type RAT, ses fonctionnalités incluent :

• Exfiltration d’informations non sensibles : applications installées, configuration réseau, système – données utiles à la fraude.
• Installation d’extensions ou modules additionnels via le DEX dynamique.
• Protection de sa visibilité : disparition de l’icône de l’application.
• Usage de la géofencing : son comportement change selon la région géographique de la victime.

Risques pour les utilisateurs et entreprises

• Fraude publicitaire massive : le malware génère des revenus pour les opérateurs illégaux via des campagnes automatisées.
• Menace pour la vie privée : bien que non ciblé pour le vol de données sensibles, il collecte des informations système précieuses pour les attaquants.
• Difficultés de détection : les outils classiques échouent face aux APK corrompus et aux structures trompeuses.
• Propagation accrue en Europe : les hubs Android non-GMS sont particulièrement vulnérables, notamment dans la sideloading et les stores alternatifs.

Conseils de protection et détection

Pour atténuer les risques liés à Konfety :

1. Installer uniquement via le Play Store : les boutiques tierces sont le principal vecteur.
2. Contrôler les sources inconnues et appliquer une politique stricte de sideloading.
3. Utiliser des solutions MTD (Mobile Threat Defense) capables d’analyser la structure APK et le comportement runtime.
4. Former les utilisateurs à vérifier nom de package, éditeur, permissions, et à se méfier des apps inutiles.
5. Intégrer la veille sur les menaces mobiles et mettre à jour les signatures régulièrement.
6. Déployer des techniques d’analyse dynamiques pour détecter le chargement de DEX et les comportements suspects en mémoire.

Évolution et légitimité

L’utilisation de techniques d’obfuscation avancées (APK déformée, faux flag, compression BZIP fictive) illustre l’évolution vers une génération de malware Android hautement sophistiquée. Konfety rejoint ainsi des menaces comparables, comme SoumniBot, qui cherchent à désarmer l’analyse statique.

En résumé

La nouvelle variante de Konfety confirme une tendance préoccupante : les malwares mobiles exploitent désormais des constructions APK truquées pour contourner les mécanismes de sécurité statiques et dynamiques. Ce niveau d'ingéniosité, combiné à la diffusion via des magasins tiers et la fraude publicitaire automatisée, en fait un acteur dangereux dans un écosystème Android globalisé. Face à ce défi, seule une approche holistique — mêlant technologies adaptées, vigilance des utilisateurs et intelligence actionable — permettra d’en limiter la propagation.

Lire la suite

Les extensions malveillantes sur Chrome

Extensions malveillantes sur Chrome : comprendre les risques et se protéger

Les extensions Chrome peuvent enrichir votre navigateur avec des fonctionnalités utiles comme la météo, les VPN, ou les raccourcis. Toutefois, une menace sérieuse émerge : des extensions malveillantes dissimulées parmi des utilitaires légitimes ciblent des millions d’utilisateurs, compromettant la vie privée et la sécurité.

État des lieux : des millions d’installations à risque

En juillet 2025, Koi Security a mis en lumière une dizaine d’extensions malveillantes totalisant 1,7 million de téléchargements sur le Chrome Web Store. Parmi elles : intensificateur de son, VPN, clavier emoji, contrôleur de vitesse vidéo… Des outils anodins, mais capables d’injecter un code espion.

Même schéma pour Chromium Edge : environ 600 000 installations supplémentaires, soit 2,3 millions d’utilisateurs compromis.

En parallèle, d’autres acteurs malveillants ont orchestré des campagnes massives. Plus de 100 extensions malveillantes actives ont été détectées depuis 2024, continuant à siphonner sessions, cookies, compteurs d’ads, et données sensibles.

Comment ces extensions fonctionnent-elles ?

Dissimilation sous couvert d’utilitaires utiles : la tactique est simple : proposer un outil fonctionnel (VPN, météo, clavier emoji…), se rendant donc populaire avec de bons avis, puis injecter du code malveillant via les mises à jour.

Infection via les mises à jour : Google autorise les mises à jour silencieuses. Les auteurs intègrent le code espion une fois l’extension bien en place, sans interaction de l’utilisateur.

Exfiltration des données : en arrière-plan (« service worker »), l’extension écoute chaque navigation, envoie l’URL + un identifiant unique vers un serveur malveillant. Ce dernier peut renvoyer des règles, redirections, ou scripts coercitifs.

Stage avancé : vol d’identifiants et cookies : de nombreuses extensions interceptent vos cookies, jetons d’accès et peuvent se comporter en VPN ou proxy inline, ce qui ouvre la porte à la prise de contrôle de comptes.

Technique de l’extension « muable » : le groupe SquareX Labs a identifié des modules qui désactivent une extension légitime, plantent un clone visuel et la remplacent sournoisement — vous restez sur l’illusion alors que l’extension est un piège.

Cas concrets et statistiques

— 1,7 million d’installations sur Chrome pour une douzaine d’extensions malveillantes.

— 600 000 installations sur Edge, soit 2,3 millions d’utilisateurs au total.

— Plus de 100 extensions malveillantes détectées depuis début 2024.

— 30 extensions ciblées fin 2024 : 20 voleurs de cookies, 10 traqueurs via bibliothèques monétisées.

— 57 extensions suspectées actives récemment, représentant 6 millions d’installations.

Cadre réglementaire et protection

Politique Chrome Web Store : Google affirme que moins de 1 % des installations étaient potentiellement infectées. Depuis janvier 2025, des outils comme Manifest V3 limitent drastiquement les capacités malveillantes (évaluation académique : pertes d’API de 87 %, mais 56 % des malwares restent efficaces).

Mesures pour entreprises : avec Chrome Enterprise, les administrateurs peuvent restreindre les extensions validées, retirer celles déjà installées et bloquer les installations futures.

Bonnes pratiques pour l’utilisateur

1. Limiter le nombre d’extensions installées et ne garder que celles strictement nécessaires.

2. Vérifier les autorisations demandées : attention aux extensions qui réclament un accès total aux données.

3. Consulter les avis extérieurs, notamment les forums de cybersécurité.

4. Observer tout changement de comportement après une mise à jour.

5. Utiliser un antivirus moderne avec protection comportementale web.

6. Surveiller les connexions ouvertes sur vos comptes sensibles.

7. Supprimer toute extension douteuse ou inutile via le menu « Extensions ».

En résumé

Le succès des extensions Chrome est contrebalancé par l’exploitation des failles du système : mises à jour silencieuses, permissions excessives, clones visuels, exfiltration de données. Chaque utilisateur doit adopter des réflexes de prudence : installer peu, réviser souvent, vérifier les droits. Pour Google, renforcer le contrôle qualité, les alertes comportementales et l’analyse automatique sont essentiels. L’écosystème des extensions ne peut évoluer sans préserver sa confiance.

Source : BleepingComputer - Malicious Chrome extensions with 1.7M installs found on Web Store.

Lire la suite

La fin de Hunters international

Un tournant dans l’univers du cybercrime

En juillet 2025, le groupe de ransomware Hunters International a officiellement annoncé sa dissolution. Cette organisation cybercriminelle, qui a sévi pendant près de deux ans, a choisi de mettre fin à ses opérations en rendant accessibles gratuitement des outils de déchiffrement aux victimes de ses attaques passées. Cependant, cette annonce, qui aurait pu être interprétée comme un renoncement sincère, cache en réalité une mutation stratégique vers un modèle de cybercriminalité différent. En effet, Hunters International cède la place à une nouvelle entité baptisée World Leaks, orientée exclusivement vers l’extorsion par fuite de données, sans recours au chiffrement.

Ascension et méthode de Hunters International

Apparu sur la scène cybercriminelle à la fin de l’année 2023, Hunters International s’est rapidement imposé comme l’un des groupes de ransomware les plus actifs et les plus organisés. Il a souvent été décrit comme l’héritier de Hive, un autre groupe de ransomware démantelé en janvier 2023 par une opération conjointe du FBI et d’agences européennes. À travers une structure de type Ransomware-as-a-Service (RaaS), Hunters proposait à des affiliés de déployer son rançongiciel contre une part des bénéfices générés. Ce modèle permettait une grande souplesse dans les attaques, tout en maintenant une efficacité redoutable.

Le groupe visait principalement les entreprises moyennes et grandes dans les secteurs de la santé, de l’industrie, des technologies et de la finance. Des entités comme Tata Technologies, le Fred Hutchinson Cancer Center et même le service des US Marshals ont été identifiées parmi les victimes. Les systèmes Windows, Linux, FreeBSD, SunOS et ESXi figuraient parmi les cibles du chiffreur. Une fois les systèmes compromis, les attaquants procédaient à un double chantage, exigeant une rançon pour le déchiffrement des fichiers et pour éviter la publication de données confidentielles volées en amont.

Une annonce de fermeture inattendue

Le 3 juillet 2025, Hunters International a publié un communiqué sur son site du darknet annonçant sa fermeture immédiate. Les administrateurs du groupe ont précisé qu’ils mettaient fin à leurs activités « à la lumière de récents développements » et qu’ils souhaitaient, dans un geste de bonne foi, fournir gratuitement les outils nécessaires au déchiffrement des fichiers verrouillés par leurs malwares. Le site de fuites, qui servait à faire pression sur les victimes, a été vidé de ses contenus, et un formulaire a été mis en place pour permettre aux entreprises affectées de demander leurs clés de déchiffrement.

Si certains observateurs ont salué cette décision comme une forme de repentir, d’autres y ont vu une manœuvre opportuniste. Des experts en cybersécurité, dont Luke Connolly de la société Emsisoft, ont mis en garde contre une utilisation aveugle des outils de déchiffrement fournis, évoquant le risque potentiel que ces derniers soient piégés ou défectueux. Les analystes ont souligné que malgré la fermeture officielle, le groupe avait probablement d’autres intentions, compte tenu de l’historique des groupes de ransomware qui se « rebrandent » plutôt que de disparaître.

Une transformation stratégique vers World Leaks

Très rapidement après l’annonce de la fermeture de Hunters International, une nouvelle entité, World Leaks, a été identifiée comme sa possible héritière. Le site de World Leaks présente une esthétique très similaire, et les premiers noms de victimes listés sur la nouvelle plateforme laissent peu de doute sur la continuité entre les deux organisations. Contrairement à Hunters International, World Leaks ne procède plus au chiffrement des systèmes. Le groupe se contente désormais de voler des données sensibles, puis de menacer de les rendre publiques si une rançon n’est pas versée.

Ce changement de stratégie reflète une tendance plus large observée dans l’écosystème des cybermenaces. Le vol de données, souvent facilité par des accès initiaux via phishing, vulnérabilités VPN ou mots de passe faibles, permet aux attaquants d’agir plus discrètement, avec des risques juridiques moindres et des coûts techniques réduits. De plus, le fait de ne pas chiffrer les fichiers rend les attaques moins visibles dans les premiers temps, prolongeant la période durant laquelle les criminels peuvent monétiser les données sans être détectés.

Les raisons d’un tel revirement

Plusieurs facteurs expliquent cette réorientation. D’abord, la pression judiciaire s’intensifie à l’encontre des groupes de ransomware. Aux États-Unis, des lois récentes assimilent certaines formes de cyberextorsion à des actes terroristes, exposant leurs auteurs à des poursuites internationales renforcées. Ensuite, la rentabilité des attaques par ransomware est en baisse. Les entreprises sont mieux préparées, les sauvegardes sont plus fréquentes, et les négociations de rançon aboutissent moins souvent à des paiements. Enfin, la gestion technique d’un ransomware est complexe et coûteuse : elle nécessite de maintenir des chiffreurs fiables, de gérer des portails de paiement anonymes et de coordonner des affiliés souvent peu disciplinés.

En se concentrant uniquement sur l’extorsion de données, World Leaks simplifie ses opérations, réduit les coûts, et maintient un levier de pression efficace sur ses victimes. De plus, cette approche attire moins l’attention des forces de l’ordre dans un premier temps, car les entreprises peuvent être réticentes à signaler la fuite de données lorsqu’aucun dysfonctionnement technique n’est immédiatement perceptible.

Réactions de la communauté de cybersécurité

La communauté cyber a réagi avec une prudence mêlée de scepticisme. Si certains ont salué la mise à disposition gratuite des déchiffreurs, beaucoup ont insisté sur le fait que cette démarche n’est en rien une preuve de remords. Il s’agit d’un repositionnement tactique. D’autres experts, comme Allan Liska de Recorded Future, estiment que cette transition vers l’extorsion simple s’inscrit dans une évolution naturelle du modèle économique des groupes de ransomware, qui cherchent à maximiser leurs gains tout en réduisant leur exposition au risque.

Par ailleurs, le site World Leaks a déjà commencé à publier des extraits de données provenant de victimes ayant refusé de coopérer. Cela démontre que, malgré le changement d’approche, les conséquences pour les entreprises restent dramatiques. Fuite de données confidentielles, atteinte à la réputation, litiges juridiques avec les clients et fournisseurs, amendes pour non-conformité au RGPD ou à d’autres réglementations : les impacts d’une telle attaque sont multiples.

Enjeux et perspectives

Le démantèlement de Hunters International ne signifie pas la fin du groupe, mais plutôt sa métamorphose. Pour les entreprises, la menace évolue mais ne disparaît pas. Il devient urgent d’adapter les stratégies de cybersécurité. Les sauvegardes, longtemps considérées comme l’ultime rempart contre les ransomwares, ne suffisent plus. La prévention de l’exfiltration de données devient une priorité. Les solutions de type DLP (Data Loss Prevention), la segmentation des réseaux, le chiffrement des données sensibles au repos et en transit, ainsi qu’une surveillance continue des comportements anormaux, sont des axes à renforcer.

Par ailleurs, les entreprises doivent se doter de plans de réponse aux incidents intégrant des scénarios d’extorsion sans chiffrement. Il est aussi essentiel d’anticiper la gestion de la communication de crise et les obligations de notification en cas de fuite avérée. La coopération avec les autorités, les CERT et les agences spécialisées dans la cybersécurité doit être renforcée. En parallèle, la surveillance active des sites de fuite comme World Leaks peut permettre une détection rapide en cas d’exposition.

En résumé

Le cas de Hunters International illustre parfaitement la résilience et l’adaptabilité des cybercriminels. Face à des environnements juridiques et techniques en mutation, ces groupes n’hésitent pas à se réinventer. Leur objectif reste le même : monétiser l’accès à des données sensibles. La disparition des ransomwares ne doit donc pas être interprétée comme un recul de la menace, mais plutôt comme une transformation. La communauté de la cybersécurité, tout comme les entreprises et institutions publiques, doit rester vigilante et proactive pour répondre à ces nouveaux défis.

Source : Security Week - Hunters International Shuts Down, Offers Free Decryptors as It Morphs Into World Leaks

Lire la suite

Cyberattaque contre Ingram Micro

Contexte et déroulement initial

Début juillet 2025, Ingram Micro, géant mondial de la distribution IT, a subi une cyberattaque majeure. Le 3 juillet, de nombreux dysfonctionnements ont été constatés : impossibilité de passer commande, site web et téléphones inaccessibles, systèmes internes paralysés. Rapidement, des indices ont pointé vers un ransomware, identifié plus tard comme SafePay. Des messages de rançon sont apparus sur les postes de travail, évoquant un chiffrement et une possible exfiltration de données.

Portée de l’attaque et conséquences immédiates

Les plateformes Xvantage et Impulse ont été sévèrement touchées. Ces outils sont cruciaux pour la gestion des commandes et des licences. Certains services Microsoft restaient toutefois opérationnels. Des employés ont été invités à ne pas utiliser le VPN GlobalProtect, soupçonné d’être le point d’entrée initial de l’attaque. L’activité a été suspendue dans certains centres, dont celui de Bulgarie.

Réponse d’Ingram Micro

Après plusieurs jours de silence, l’entreprise a confirmé le 6 juillet qu’un ransomware avait été détecté sur certains systèmes internes. Ingram Micro a lancé une enquête avec des experts en cybersécurité et contacté les autorités. Le groupe s’est excusé pour les perturbations et a indiqué que les restaurations étaient en cours, sans confirmer si des données avaient été volées.

Impacts sur l’écosystème IT mondial

Avec un chiffre d’affaires de près de 48 milliards de dollars, Ingram Micro est un maillon essentiel de la chaîne d’approvisionnement IT mondiale. L’arrêt de ses systèmes a paralysé les flux de commande, les services cloud, les livraisons et la gestion des licences. De nombreux clients ont exprimé leur frustration face au manque de communication. Dans les régions MENA (Moyen-Orient et Afrique du Nord), où Ingram distribue des solutions critiques, les risques sont amplifiés.

Le groupe SafePay

SafePay est un groupe de cybercriminels actif depuis novembre 2024, responsable de plus de 220 attaques. Leur tactique consiste à infiltrer les réseaux via VPN compromis, déployer un chiffreur, puis menacer de publier les données. Ils ne revendiquent aucune motivation politique, mais uniquement financière. Dans ce cas précis, SafePay a reproché à Ingram Micro de multiples erreurs de configuration.

Enjeux et leçons retenues

L’attaque souligne plusieurs failles : vulnérabilité des accès VPN, manque de plans de continuité efficaces, lacunes dans la communication de crise et dépendance excessive à un fournisseur unique. Des sauvegardes hors ligne, une sécurité renforcée des accès distants, une communication proactive et une stratégie de résilience doivent devenir prioritaires.

État des lieux au 7 juillet et perspectives

Une semaine après l’attaque, les systèmes d’Ingram Micro ne sont pas encore pleinement restaurés. Les commandes restent bloquées, les livraisons perturbées, et les clients dans l’attente d’informations. La question du paiement de la rançon, de la divulgation éventuelle de données, et des enseignements post-incident restent ouverts.

Bilan et recommandations

Cette attaque marque un tournant dans la cybersécurité des acteurs logistiques IT. Elle rappelle l’importance cruciale de la transparence, de la résilience et de la diversification dans un monde de plus en plus dépendant des infrastructures numériques. Pour prévenir des incidents similaires, les entreprises doivent adopter des pratiques de cybersécurité robustes, renforcer leurs protocoles d’accès, et mettre en place des plans de continuité concrets et testés régulièrement.

Sources :
Bleeping Computer - Ingram Micro outage caused by SafePay ransomware attack
The Register - Ingram Micro confirms ransomware behind multi-day outage

Lire la suite

Des hackers chinois s'intéressent au gouvernement français

Contexte général

En septembre 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a détecté une campagne d’intrusions visant de nombreuses entités françaises. Les secteurs touchés incluent l’administration, les télécommunications, les médias, les transports et la finance. L’attaque n’a pas été limitée à la France, mais s’est également étendue à d’autres pays européens, à l’Amérique du Sud et à l’Asie du Sud-Est. L’origine de la menace est attribuée à un groupe cybercriminel d’origine chinoise, nommé Houken par l’ANSSI et identifié comme UNC5174 par Google Mandiant. Ce groupe est également connu sous les noms Uteus ou Uetus. Leur objectif principal semble être l’espionnage, mais certains aspects de leurs opérations suggèrent également une finalité commerciale.

Vulnérabilités exploitées

Les attaquants ont ciblé spécifiquement les appliances Ivanti Cloud Service Appliance (CSA), un composant utilisé pour la gestion sécurisée des connexions VPN. Plusieurs failles zero-day ont été découvertes et utilisées par les pirates, notamment CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190. Ces vulnérabilités ont permis une exécution de code à distance sans authentification. Une fois l’accès initial obtenu, les attaquants ont injecté des web shells PHP et modifié des scripts existants pour maintenir une présence persistante sur les systèmes compromis.

Chaîne d’infection et techniques utilisées

L’infection débute par l’exploitation des failles zero-day. Cela permet l’installation de fichiers PHP malveillants, dont certains sont inspirés d’outils comme Behinder et neo-reGeorg. Ensuite, un module noyau malveillant est installé, souvent identifié sous le nom sysinitd.ko, accompagné d’un script d’installation nommé install.sh. Ce module fonctionne comme un rootkit au niveau noyau, fournissant aux attaquants un accès complet avec les privilèges root. Il permet également d’établir des tunnels HTTP ou HTTPS, facilitant ainsi les mouvements latéraux à l’intérieur du réseau.

Après cette phase, plusieurs outils de post-exploitation sont déployés. GOREVERSE et SNOWLIGHT sont deux composants de tunneling utilisés pour maintenir des connexions discrètes. SNOWLIGHT, également connu sous le nom dnsloger, permet un contrôle distant via DNS. Le groupe utilise aussi un agent personnalisé appelé VShell, qui exploite les WebSockets pour maintenir une communication entre les systèmes compromis et leurs serveurs de commande et de contrôle. VShell est sophistiqué, capable de charger dynamiquement des modules et de manipuler des flux de données via JSON.

Organisation opérationnelle

L’attaque montre une séparation nette des rôles, ce qui suggère une opération structurée. D’un côté, certains acteurs se concentrent sur la découverte des vulnérabilités. Une autre équipe, probablement liée directement à UNC5174, assure la compromission initiale et le déploiement des charges utiles. Une troisième partie semble responsable de la post-exploitation, de la gestion des accès persistants, de l’exfiltration des données et éventuellement de la revente des accès. Cela indique une approche en plusieurs couches, avec une chaîne logistique cybercriminelle bien développée.

Objectifs et motivations

Le premier objectif identifié est l’espionnage, notamment par la collecte massive de courriels, comme observé lors d’une attaque contre un ministère des affaires étrangères en Amérique du Sud. Le groupe semble également motivé par des gains financiers. Plusieurs cas de cryptominage ont été observés sur des systèmes compromis. En outre, des accès persistants sont parfois revendus à d’autres groupes ou acteurs étatiques. Fait intéressant, les attaquants ont été vus en train de « patcher » les systèmes compromis eux-mêmes, empêchant ainsi d’autres groupes d’exploiter les mêmes vulnérabilités.

Cibles géographiques et sectorielles

En France, les cibles comprenaient des entités sensibles du secteur public et privé. À l’échelle internationale, des victimes ont été identifiées en Europe, en Amérique du Sud et en Asie. Dans cette dernière région, les secteurs de l’éducation, les ONG, les entités politiques et des infrastructures critiques ont été visés. Des attaques ont aussi été confirmées à Hong Kong, Macao et dans des pays limitrophes. L’ampleur de la campagne suggère une opération d’envergure, menée dans le cadre d’objectifs de surveillance et d’influence.

Réponses et recommandations

Face à cette menace, l’ANSSI recommande aux organisations utilisant des appliances Ivanti de procéder immédiatement aux mises à jour de sécurité disponibles. Il est également conseillé d’analyser les journaux systèmes pour détecter toute activité suspecte, en particulier la présence de web shells PHP ou de modules noyau non autorisés. Un audit des connexions réseau et des déplacements latéraux est essentiel, tout comme l’isolement des équipements exposés à Internet. Il est aussi fortement recommandé de mettre en place une surveillance réseau plus rigoureuse et de restreindre les communications entrantes vers les interfaces d’administration.

Les entreprises doivent adopter une approche de défense en profondeur, segmenter les réseaux, renforcer la gestion des accès et établir des procédures de réponse rapide en cas d’anomalie. La coopération avec les éditeurs de logiciels, notamment pour le déploiement accéléré des correctifs, est également cruciale.

Liens avec d'autres campagnes

UNC5174 n’en est pas à sa première campagne. Le groupe a précédemment exploité d’autres plateformes vulnérables telles que SAP NetWeaver, les solutions Palo Alto, ConnectWise ScreenConnect et F5 BIG-IP. Il a également déployé les mêmes outils (SNOWLIGHT, VShell, GOREVERSE) dans différents contextes, ce qui permet de les relier à des attaques menées dès 2023. Cette continuité d’opérations renforce l’hypothèse d’une structure organisée, dotée de moyens techniques importants et probablement soutenue par des intérêts étatiques.

En résumé

La campagne menée par Houken/UNC5174 illustre l’évolution des cybermenaces, marquées par une grande sophistication technique, l’exploitation rapide de vulnérabilités critiques, et une forte coordination entre différentes cellules opérationnelles. Le recours à des rootkits au niveau noyau, à des techniques de persistance avancées et à des outils de tunneling personnalisés démontre une capacité d’action rare, digne d’un groupe sponsorisé par un État. Il est crucial que les organisations exposées prennent conscience du risque encouru, renforcent leurs défenses et adoptent des mesures proactives pour faire face à ce type de menace.

Sources :
The Record - French cybersecurity agency confirms government affected by Ivanti hacks
The Hacker News - Chinese Hackers Exploit Ivanti CSA Zero-Days in Attacks on French Government, Telecoms.

Lire la suite

Le groupe de hackers Scattered Spider s'en prend aux compagnies aériennes

Depuis la fin juin 2025, le groupe de cybercriminels connu sous le nom de Scattered Spider a intensifié ses attaques contre le secteur aérien, ciblant à la fois des compagnies aériennes et leurs fournisseurs technologiques. Ce collectif de pirates, déjà célèbre pour avoir compromis de grandes entreprises du jeu et de l’assurance, comme MGM Resorts ou Caesars Entertainment, concentre désormais ses efforts sur les infrastructures critiques de l’aviation commerciale.

Origines et méthodes du groupe

Scattered Spider, également identifié sous les noms UNC3944 ou Starfraud, est un groupe réputé pour ses techniques avancées d’ingénierie sociale. Ses membres sont principalement de jeunes adultes situés aux États-Unis et au Royaume-Uni. Leur mode opératoire repose largement sur l'usurpation d'identité et la manipulation des équipes de support informatique (help desk), notamment par des appels téléphoniques simulant des demandes légitimes de réinitialisation de mots de passe ou d'ajout de nouveaux dispositifs d’authentification multifacteur (MFA).

Ce mode d’attaque, appelé vishing (phishing vocal), est renforcé par des techniques telles que le MFA bombing, où la victime est inondée de requêtes d’authentification jusqu’à ce qu’elle accepte par fatigue ou erreur. Une fois l’accès obtenu, les cybercriminels escaladent leurs privilèges pour atteindre les systèmes sensibles, exfiltrer des données ou déployer des rançongiciels.

Ces méthodes ont été largement documentées par des entreprises de cybersécurité comme Google Mandiant et Palo Alto Networks Unit 42, qui collaborent activement avec le FBI pour contrer cette menace croissante (Reuters, juin 2025).

Premières attaques confirmées dans le secteur aérien

En juin 2025, deux compagnies aériennes nord-américaines ont été directement affectées par des attaques attribuées à Scattered Spider. La première est Hawaiian Airlines, qui a confirmé avoir subi une intrusion affectant ses systèmes internes. Bien que les vols n’aient pas été perturbés, la compagnie a rapidement mobilisé ses équipes de cybersécurité et signalé l’incident aux autorités fédérales.

Peu après, WestJet, la seconde plus grande compagnie aérienne du Canada, a également été visée. Des limitations d’accès temporaires ont été observées sur son application mobile et ses services numériques, coïncidant avec une campagne active du groupe contre les systèmes d’accès internes. Les deux cas ont été rapportés par le Business Insider et confirmés par le FBI dans une alerte diffusée aux infrastructures critiques américaines.

Cibles stratégiques : pas seulement les compagnies, mais leurs fournisseurs

L’un des aspects les plus inquiétants des attaques récentes est la stratégie du groupe consistant à cibler les fournisseurs tiers et prestataires technologiques de l’industrie aérienne. En compromettant ces acteurs périphériques, souvent moins bien protégés, Scattered Spider parvient à pénétrer indirectement les réseaux des compagnies aériennes principales. Cela inclut notamment les sous-traitants en gestion des identités, les services cloud, et les prestataires de maintenance informatique.

Cette approche "par la chaîne d’approvisionnement" avait déjà été observée lors des attaques précédentes du groupe dans les secteurs des jeux et de l’assurance. Elle constitue aujourd’hui un vecteur d’intrusion majeur dans l’aérien, comme l’a noté l’analyse de CyberScoop.

Réactions des autorités et des entreprises

Le Federal Bureau of Investigation (FBI) a émis plusieurs alertes à destination des opérateurs du secteur aérien. Dans ses recommandations, le FBI insiste sur la nécessité de renforcer les processus d’identification des utilisateurs dans les centres d’assistance, de désactiver les plateformes de réinitialisation de mot de passe en libre-service non sécurisées, et de déployer une MFA résistante au phishing, telle que les clés FIDO2 ou les jetons matériels sécurisés.

Les experts de Google Mandiant ont quant à eux conseillé d’éduquer les équipes techniques à reconnaître les tactiques de manipulation, et de surveiller de manière proactive les requêtes anormales d’accès aux systèmes sensibles.

En parallèle, les compagnies aériennes renforcent leur coopération avec les organismes gouvernementaux et les partenaires privés pour limiter les risques. Des exercices de simulation de crise sont menés dans plusieurs hubs aériens nord-américains, et les investissements en cybersécurité sont revus à la hausse selon un rapport de AINvest.

Un groupe au passé déjà très actif

Avant de viser les compagnies aériennes, Scattered Spider avait déjà fait parler de lui pour ses attaques contre des acteurs majeurs du jeu (MGM Resorts, Caesars), du retail (Marks & Spencer, Harrods) et de l’assurance (Aflac, Erie). Le groupe se distingue par sa capacité à s’adapter rapidement à ses cibles et à utiliser les ressources du Web social pour contourner les mesures classiques de sécurité.

Plusieurs de ses membres ont été inculpés aux États-Unis entre 2023 et 2024, bien que le collectif dans son ensemble reste actif et capable de se réorganiser. Le rapport de NY Post souligne l’extrême mobilité et l’aspect décentralisé du groupe, qui le rend difficile à démanteler.

En résumé

La montée en puissance du groupe Scattered Spider dans le secteur aérien constitue une alerte rouge pour l’ensemble de l’industrie du transport. Leur capacité à exploiter les failles humaines via le social engineering, à cibler la chaîne logistique technologique, et à compromettre des systèmes critiques place les compagnies aériennes dans une position vulnérable. Si les attaques recensées à ce jour n'ont pas entraîné de perturbations majeures des vols, elles révèlent un potentiel de nuisance considérable.

Pour les contrer efficacement, les compagnies aériennes et leurs partenaires doivent adopter une stratégie de cybersécurité défensive complète, intégrant technologie, formation humaine, et coopération internationale. Le cas de Scattered Spider est emblématique d’un nouveau type de cybermenace polymorphe et persistante, capable de déstabiliser des infrastructures essentielles à l’échelle mondiale.

Lire la suite

Attaque au ransomware Sarcoma contre Radix en Suisse

Contexte et ciblage de Radix

Radix, basé à Zurich, est une fondation spécialisée dans la promotion de la santé, notamment via des programmes éducatifs et des services de conseil en ligne comme SafeZone et StopSmoking. Cette entité travaille en partenariat avec plusieurs autorités fédérales suisses, des cantons, des communes et des organisations privées.

Le groupe Sarcoma : profil d’un nouvel acteur menaçant

Sarcoma est un acteur ransomware apparu pour la première fois en octobre 2024. En quelques mois, il a multiplié les attaques, en revendiquant notamment une compromission de l’industriel taïwanais Unimicron en février 2025. Le mode opératoire consistait alors en une double extorsion : vol de données sensibles puis chantage via encryption et menace de les diffuser sur le dark web.

Chronologie de l’attaque

L’assaut contre Radix aurait été initié le 16 juin 2025, selon les communiqués officiels de l’organisation et du Centre national suisse pour la cybersécurité (NCSC). Les hackers ont accédé au réseau, exfiltré puis chiffré des données. Après l’échec de l’extorsion, ils ont mis en ligne un volume estimé entre 1,3 et 2 téraoctets sur leur portail, un geste d’intimidation destiné à obliger Radix à céder.

Portée des données affectées

BleepingComputer évoque unvolume de données de 1,3 To, incluant des scans, contrats, communications, et enregistrements financiers. Radix et les autorités fédérales n’ont pour l’heure pas identifié d’éléments sensibles ou critiques parmi les données exposées, bien que l’enquête soit en cours.

Réaction de Radix et des autorités

À la découverte de l’intrusion, Radix a immédiatement coupé les accès, restauré les données chiffrées à partir de sauvegardes sécurisées, et surveille la situation de près. L’organisation affirme n’avoir pas encore engagé de négociations financières, sans toutefois exclure cette hypothèse. Par ailleurs, elle a averti individuellement les personnes potentiellement impactées et recommande vigilance face aux tentatives de phishing ou de fraude au long cours.

Enquête en cours et mesures en cours

Le NCSC suisse, épaulé par des experts indépendants, est mobilisé pour analyser le volume volé, en établir la nature exacte et déterminer quelles agences fédérales ont été affectées. Bien que Radix assure que ses plateformes de counselling SafeZone et StopSmoking, hébergées à l’extérieur de son infrastructure principale, n’ont pas été compromises, l’enquête est encore active.

Conséquences et responsabilités

Cette affaire rappelle la dépendance des institutions publiques envers des prestataires tiers, notamment dans le domaine de la santé. Le fait que Radix travaille pour des offices fédéraux met en lumière les risques associés à l’écosystème numérique public. Le précédent d’un incident similaire survenu en mars 2024, via l’attaque du prestataire Xplain par le groupe Play, qui avait alors entraîné la fuite de 65 000 documents gouvernementaux, accentue la gravité de la situation.

Analyse des méthodes cybercriminelles

Les experts en cybersécurité pointent un manuel opératif typique : accès initial via phishing ou faille non corrigée, exploitation de RDP, déplacement latéral sur le réseau, exfiltration, encryption, puis double extorsion. Des indices montrent que Sarcoma opère probablement depuis l’Europe de l’Est, sur le même modèle que d’autres groupes récents.

Enjeux pour la santé publique

La compromission d’une organisation public-privé comme Radix soulève une double problématique : premièrement, le risque pour les patients et citoyens dont les données pourraient être exposées ou utilisées contre eux ; deuxièmement, l’impact sur la confiance qu’accordent les autorités à leurs partenaires, qui pourrait freiner des initiatives de santé numériques si la sécurisation n’est pas garantie.

Pistes d’amélioration et perspectives

Les leçons à tirer sont claires : renforcer les audits de sécurité des infrastructures tierces, imposer des protections avancées (authentification multifacteur, segmentation réseau, anti-phishing, etc.), et établir des clauses contractuelles contraignantes sur la protection des données et les protocoles de réponse aux incidents. Un plus grand partage d’informations entre entités publiques, prestataires et NCSC améliorerait la résilience face aux menaces similaires.

En résumé

Cette attaque contre Radix orchestrée par le groupe Sarcoma met en lumière les vulnérabilités persistantes dans le maillage numérique des services publics en Suisse. Malgré les sauvegardes et la réactivité de Radix, les enjeux de confidentialité et de confiance restent critiques. Le gouvernement suisse et ses partenaires doivent impérativement renforcer les protections, intensifier la collaboration cybernationale et tirer des enseignements du passé pour éviter que la santé publique ne soit compromise à l’avenir.

Références :
Bleeping Computer - Switzerland says government data stolen in ransomware attack The Record Media - Swiss nonprofit health organization breached by Sarcoma ransomware group

Lire la suite

Europol démantèle un réseau de fraude aux cryptomonnaies

Le 30 juin 2025, Europol a annoncé la destruction d’un important réseau criminel spécialisé dans la fraude aux investissements en cryptomonnaies. L’enquête, coordonnée par les autorités espagnoles, a permis l’arrestation de cinq individus et la neutralisation d’un système de blanchiment ayant siphonné près de 460 millions d’euros (soit 540 millions de dollars) à plus de 5 000 victimes dans le monde entier.

Chronologie et déroulement de l’enquête

Le scandale a été révélé au terme d’une longue enquête commencée en 2023. Les autorités espagnoles, soutenues par Europol et accompagnées de partenaires en France, en Estonie et aux États‑Unis (notamment Homeland Security Investigations), ont mis en place un dispositif international d’enquête et d’analyse opérationnelle.

Le jour de l’interpellation, un expert en cryptomonnaies a été mobilisé en Espagne pour tracer et sécuriser les fonds détournés dès leur localisation sur les plateformes et portefeuilles ciblés. Au total, cinq suspects ont été arrêtés : trois dans les îles Canaries et deux à Madrid.

Un réseau sophistiqué à portée mondiale

Selon Europol, le réseau suspect employait une armée d’accompagnateurs disséminés sur plusieurs continents. Ces complices facilitaient la collecte des fonds grâce à divers moyens : retraits en espèces, virements bancaires et transactions en cryptomonnaies.

Les enquêteurs estiment que les cerveaux du système ont mis en place une infrastructure financière complexe basée à Hong Kong, composée de sociétés écrans et de comptes bancaires, ainsi que de passerelles de paiement utilisant des noms et identités variés. Cette architecture multilatérale permettait de camoufler la provenance et la destination des fonds, en multipliant les échanges sur différentes plateformes et comptes utilisateurs.

Le rôle de l’intelligence artificielle et la recrudescence des arnaques

Europol pointe une tendance inquiétante : l’usage croissant de l’intelligence artificielle dans les fraudes en ligne. Cette technologie permet de générer des publicités truquées extrêmement persuasives, mettant en scène des célébrités à l’aide de deepfakes.

En avril 2025, les autorités espagnoles ont déjà mené une opération parallèle, aboutissant à six arrestations pour avoir exploité l’IA dans le cadre d’arnaques spectaculaires liées aux cryptomonnaies. Ces techniques incluent des publicités détournées destinées à inspirer confiance et inciter à investir.

Cadre juridique et actions européennes

Face à l’explosion de ce type d’escroqueries, les régulateurs européens multiplient les initiatives. En France, l’Autorité des marchés financiers a mis hors ligne plus de 181 sites d’investissement factices, pour un préjudice moyen de 29 500 € par victime en 2024. Elle a également infligé 26,5 millions d’euros d’amendes à soixante entités impliquées. En Belgique, l’organisme FSMA a identifié des pertes de 15,9 millions d’euros, dont plus de 12,5 millions liées à des plateformes trompeuses, principalement en cryptomonnaies.

Les pertes dépassent également les frontières européennes : au Royaume-Uni, les citoyens ont perdu jusqu’à 1,17 milliard de livres en 2024 à cause de la fraude financière ; en Australie, plus de 119 millions de dollars australiens ont été perdus dans les premiers mois de 2025.

Perspectives

Cette vaste opération démontre que la lutte internationale contre les fraudes associées aux cryptomonnaies s’intensifie. Europol, via son partenariat avec la Guardia Civil espagnole, a su coordonner une riposte efficace, assortie d’une expertise technique cruciale et d’outils adaptés à la traçabilité des actifs blockchain.

Malgré la saisie de 460 millions d’euros, Europol se félicite mais prévient que l’enquête se poursuit : les infrastructures financières utilisées pourraient encore abriter des traces à extraire, et le réseau pourrait être plus étendu que ce que l’on sait à ce stade :contentReference[oaicite:14]{index=14}.

Enfin, les autorités alertent : les arnaques basées sur les cryptomonnaies et les investissements frauduleux, dopées par l’intelligence artificielle, représenteront probablement la forme dominante de cybercriminalité dans les années à venir. Les individus et les entreprises doivent rester vigilants et les régulateurs continuer à renforcer leurs outils et campagnes de sensibilisation.

Source : Europol helps disrupt $540 million crypto investment fraud ring

Lire la suite

Arnaque au faux support technique

En juin 2025, des experts en cybersécurité ont révélé une méthode d’escroquerie en ligne particulièrement ingénieuse. Des cybercriminels utilisent les moteurs de recherche internes de sites web légitimes pour afficher de faux numéros de support technique, ciblant des marques majeures comme Apple, Microsoft, Netflix, PayPal, Facebook, HP et Bank of America. Cette attaque repose sur l’injection de contenu dans les paramètres d’URL, trompant ainsi les internautes en les dirigeant vers de véritables sites contenant des informations falsifiées.

Fonctionnement de l’attaque

La technique de « search parameter injection »

Les cybercriminels achètent des publicités via Google Ads, qui apparaissent en tête des résultats lors de recherches telles que « assistance Microsoft » ou « support Netflix 24h/24 ». Ces publicités redirigent vers une URL authentique du site officiel ciblé, mais incluent un paramètre de recherche contenant un faux numéro de téléphone. Le moteur de recherche interne du site traite ce paramètre et l’affiche dans la page de résultats comme si ce contenu provenait du site lui-même.

Une attaque discrète et efficace

L’un des aspects les plus redoutables de cette technique est que le site affiché est véritablement celui de l’entreprise ciblée, avec le nom de domaine officiel et l’interface familière. L’utilisateur n’a donc aucune raison apparente de douter de la légitimité des informations affichées. Le faux numéro, souvent formaté pour paraître professionnel, est directement visible dans la page, parfois mis en évidence dans les résultats de recherche ou dans les zones de réponse automatisée.

Entreprises ciblées

Les analystes ont identifié plusieurs grandes marques affectées par cette manipulation :

Netflix

La page d’aide de Netflix affichait le numéro injecté en haut des résultats, donnant l’impression qu’il s’agissait du numéro officiel de contact.

Apple

Sur le site d’Apple, l’attaque était plus subtile, avec une intégration discrète dans les résultats de recherche internes, rendant la supercherie moins visible à première vue.

Autres entreprises concernées

Microsoft, HP, Facebook, PayPal et Bank of America figurent également parmi les entreprises dont les pages ont été exploitées de cette manière. Dans chaque cas, les attaquants se sont contentés de manipuler les paramètres d’URL, sans compromettre directement les systèmes de l’entreprise.

Objectif des escrocs

Établir un contact téléphonique frauduleux

Une fois l’utilisateur convaincu d’avoir trouvé un numéro de support officiel, il appelle et tombe sur un faux agent du service client. Ce dernier se fait passer pour un représentant légitime de l’entreprise, utilisant parfois des scripts professionnels pour paraître crédible.

Accès aux données ou prise de contrôle

Le faux agent peut alors demander à la victime d’installer un logiciel de prise en main à distance, prétendument pour résoudre un problème technique. Cela donne un accès complet à l’ordinateur ou au smartphone de la victime. Il peut également demander des informations personnelles, des identifiants de compte ou des données bancaires, voire des paiements immédiats pour des services fictifs.

Pourquoi cette arnaque fonctionne-t-elle ?

La confiance dans les marques

Les utilisateurs font naturellement confiance aux grandes marques et à leurs sites web. Lorsque le nom de domaine et le design sont authentiques, peu de gens remettent en question le contenu affiché.

Une page légitime, mais manipulée

Comme il ne s’agit pas de sites frauduleux, mais de pages véritablement hébergées par les entreprises concernées, les mesures de détection classiques (comme les filtres anti-phishing) ne repèrent pas ces attaques. Cela les rend particulièrement difficiles à prévenir.

Risques pour les victimes

Les conséquences de ce type de fraude peuvent être graves. La victime peut perdre l’accès à ses comptes, voir ses données personnelles volées, ou subir des pertes financières directes. Dans certains cas, les escrocs poussent même les utilisateurs à effectuer des virements ou des achats en ligne qu’ils redirigent vers leurs propres comptes.

Comment se protéger ?

Éviter les publicités sponsorisées

Il est préférable de ne pas cliquer sur les annonces Google Ads lorsque l’on recherche un support technique. Mieux vaut se rendre directement sur le site officiel en saisissant l’adresse dans la barre du navigateur ou en utilisant un lien fiable.

Analyser les URL

Avant de faire confiance aux informations affichées, il faut observer attentivement l’URL. Si elle contient des caractères inhabituels, comme des numéros de téléphone, ou des séquences codées (par exemple %2B ou %20), il peut s’agir d’une injection de contenu frauduleux.

Vérifier les numéros de téléphone

Il est recommandé de toujours valider un numéro de téléphone sur une page officielle dédiée, comme la section « Contact » du site, ou à l’aide d’un document ou d’un message antérieur reçu de l’entreprise.

Installer des outils de protection

Des extensions de navigateur comme Malwarebytes Browser Guard peuvent alerter l’utilisateur lorsqu’un contenu suspect est injecté dans un site. Ces outils bloquent aussi les redirections ou scripts malveillants.

Se méfier des demandes inhabituelles

Un véritable support technique ne demandera jamais vos identifiants complets, un paiement immédiat, ou l’installation de logiciels tiers sans vérification. Toute demande de carte cadeau, de crypto-monnaie ou de virement bancaire à titre de « règlement » est un signal d’alerte évident.

Responsabilité des entreprises et des moteurs de recherche

Cette situation montre également la nécessité pour les entreprises d’améliorer la sécurité de leur moteur de recherche interne. Il est important de filtrer ou désactiver les requêtes contenant des numéros de téléphone ou du contenu sensible. Les moteurs de recherche comme Google devraient également renforcer leurs mécanismes de validation des publicités, en exigeant une preuve de lien avec l’entreprise promue.

En résumé

Les attaques par injection de paramètres de recherche représentent une nouvelle forme d’ingénierie sociale qui détourne la confiance naturelle des internautes envers les marques qu’ils connaissent. Même en naviguant sur un site parfaitement légitime, l’utilisateur peut être exposé à un contenu frauduleux. Pour éviter de tomber dans le piège, il convient de rester vigilant, d’analyser chaque page avec esprit critique, et de privilégier les canaux de contact vérifiés. Les entreprises et les plateformes publicitaires doivent quant à elles adapter leurs pratiques pour empêcher que leurs outils soient utilisés à des fins malveillantes.

Source : Malwarebytes Labs - Scammers hijack websites of Bank of America, Netflix, Microsoft, and more to insert fake phone number.

Lire la suite

SparkKitty, un malware voleur

Contexte et origine

SparkKitty semble être l’évolution d’un malware précédent, SparkCat, découvert en janvier 2025 par Kaspersky. SparkCat utilisait la technologie OCR (reconnaissance optique de caractères) pour extraire des phrases de récupération (« seed phrases ») de portefeuilles cryptos à partir de captures d’écran.

Les phrases de récupération permettent à un attaquant de restaurer un wallet sur un autre appareil et donc de dérober des actifs numériques. Bien que déconseillée, la capture d’écran de ces phrases reste une pratique courante de certains utilisateurs.

Cibles et vecteurs d’attaque

Depuis au moins février 2024, la campagne SparkKitty s’est propagée via :

• Applications sur les stores officiels (Google Play, App Store) ;
• Applications tierces détournées, clones malveillants de TikTok, faux stores de crypto, casinos, jeux pour adultes diffusés hors stores officiels.

Deux applications malveillantes identifiées et supprimées :

• 币coin (via l’App Store d’Apple) ;
• SOEX (messagerie + échange crypto) sur Google Play, téléchargée plus de 10 000 fois avant d’être retirée.

Fonctionnement technique

Sur iOS :

• Intégré à des frameworks factices (AFNetworking.framework, libswiftDarwin.dylib) via profils de provisionnement « enterprise ».
• Exécution automatique du code à chaque lancement via la méthode Objective‑C +load.
• Demande d’accès à la galerie, surveillance en temps réel des nouvelles images, puis exfiltration discrètex.

Sur Android :

• Intégré via du code Java/Kotlin ou des modules Xposed/LSPosed.
• Activation au lancement de l’app ou lors d’actions spécifiques. Téléchargement d’un fichier de configuration depuis un serveur C2, décrypté en AES‑256 (mode ECB).
• Exfiltration des images, des métadonnées et identifiants. Certaines variantes utilisent Google ML Kit OCR pour ne cibler que les images contenant du texte (ex. phrases de récupération).

Impact potentiel

Outre le vol de phrases de récupération de portefeuilles crypto, d’autres images sensibles (photos privées, documents) pourraient être exploitées à des fins de chantage ou d’autres formes de fraudex.

Conseils de sécurité

1. Méfiez-vous des applications : surveillez les faux avis, auteurs inconnus, peu de téléchargements mais notes excellentes.
2. Attention aux permissions : refusez l’accès à la galerie ou au stockage si l’app ne présente pas de besoin légitime (ex. photo, documents).
3. Sur iOS : n’acceptez que les profils de configuration ou certificats officiels.
4. Sur Android : activez Google Play Protect et effectuez des analyses régulières.
5. Sécurisez vos phrases de récupération : ne les photographiez jamais ni ne les stockez sur un smartphone. Préférez les supports hors ligne (papier, coffre, stockage chiffré).

Réponse de Google et d’Apple

Selon Google, l’application SOEX a été supprimée et le développeur banni ; tous les utilisateurs de Google Play bénéficient automatiquement d’une protection via Play Protect.

Leçons à retenir

• Les stores officiels ne garantissent pas une sécurité absolue ; le malware peut passer à travers.
• Le ciblage des expressions de récupération crypto représente une menace concrète pour les détenteurs de cryptos.
• Le bon sens, la vigilance sur les permissions et un stockage hors ligne demeurent les meilleures protections.

En résumé

Le malware SparkKitty démontre que les attaques mobiles évoluent et ciblent désormais les phrases de récupération, type de données ultra-sensibles dans l’univers crypto. Il réaffirme que :

• La prudence lors de l’installation d’applications est essentielle ; analysez avis, éditeur, permissions.
• Ne jamais stocker ses phrases de récupération numériquement.
• Activer les protections natives (Play Protect, profils sécurisés sur iOS) et réaliser des scans réguliers.

Protégez vos cryptos comme vos données : la vigilance reste la meilleure défense.

Source : Bleeping Computer - Malware on Google Play, Apple App Store stole your photos—and crypto.

Lire la suite

La fuite de données à 16 milliards d'identifiants. Vraiment ?

La presse s'est empressée de relayer le 20 juin 2025, une information de CyberNews selon laquelle une fuite de données contenant 16 milliards d'identifiants aurait eu lieu ces derniers jours.

Or il n'en est rien. Comme le précise la CNIL sur son site, il s'agit d'une base de données qui comporte 16 milliards d'identifiants, mise en ligne sur le darknet. En revanche, il ne s'agit pas d'une nouvelle fuite de données ou d'une fuite de données récente comme pourrait le laisser entendre la formulation des media mainstreem. Il s'agit en fait du cumul de dizaines voir de centaines de fuites de données de ces dix dernières années qui ont été rassemblées en une seule base. Donc rien de nouveau sous le soleil.

Comme le rappelle la CNIL, cela n'empêche pas d'effectuer une piqure de rappel au niveau de la sécurité des données : nécessité d'utiliser des mots de passe forts et de les changer régulièrement. Sans pour autant surfer sur la vague marketing de la peur pour vendre du clic.

Source : Communiqué de la CNIL - Exposition de 16 milliards d’identifiants et des mots de passe – que faire ?

Lire la suite

Des dépôts Github infectés de trojans

Une vaste campagne malveillante menée via GitHub a été découverte par ReversingLabs. Baptisée “Banana Squad” par les chercheurs de ReversingLabs, cette opération implique 67 dépôts GitHub diffusant des outils Python trojanisés, notamment pour les jeux et le développement, mais infectant en réalité les utilisateurs avec des backdoors.

Contexte et continuité d’anciennes campagnes

Banana Squad s’inscrit dans la continuité d’une campagne découverte en 2023, ciblant le registre PyPI avec des packages Python truqués téléchargés plus de 75 000 fois sur Windows et conçus pour voler des données sensibles.

Auparavant, en novembre 2024, le SANS Internet Storm Center a signalé un dépôt GitHub prétendant offrir un outil « steam‑account‑checker » ; celui-ci téléchargeait discrètement un payload camouflé, compromettant le portefeuille Exodus et transmettant les données vers dieserbenni[.]ru.

Méthodes d’attaque et dissimulation

Les dépôts trojanisés sont des copies nominales de véritables projets open-source de Python, hébergeant des milliers de scripts injectés de backdoors. Pour masquer le code malveillant, les attaquants utilisent :

• Longues lignes de code dissimulées hors écran via l’interface de GitHub (pas de retour à la ligne automatique).
• Chiffrement et encodage du code malveillant (Base64, hexadécimal, Fernet).
• Repos souvent hébergés sur des comptes GitHub n’ayant qu’un seul dépôt, dépourvus d’historique ou d’activité, ce qui indique une création fictive.
• Détails trompeurs dans la description contenant des mots-clés populaires et emojis (flammes, fusées) pour attirer les recherches via AI.

Cibles de la campagne

Les dépôts visent particulièrement :

• Des outils de nettoyage de compte Discord, Fortnite cheats, vérificateurs de noms TikTok, vérificateurs PayPal en masse, etc.

Ces outils ciblent les joueurs et les développeurs à la recherche de scripts “hacking” ou de triches faciles.

Techniques de distribution et infrastructure

Les charges utiles trojanisées utilisent des URL vers des domaines contrôlés par les pirates, comme dieserbenni[.]ru et 1312services[.]ru. Les scripts Python eux-mêmes contiennent du code pour télécharger les backdoors à partir de ces infrastructures hostiles.

Un autre rapport de Trend Micro sur la campagne Water Curse (18 juin 2025) a révélé l’existence de 76 comptes GitHub diffusant des malwares en multi‑étapes via phishing repos, VBS/PowerShell, info‑stealers, etc.

De même, Check Point a identifié le réseau Stargazers Ghost Network, avec près de 3 000 comptes fantômes, offrant un service de distribution de malware à grande échelle via faux likes, forks, “stars”, etc.

Impact potentiel et victimes

Ces backdoors Python ciblent Windows et visent à :

• Faire des reconnaissances système
• Désactiver la défense système
• Stéaler des identifiants, tokens de session, données de navigateurs, de portefeuilles crypto, etc.

Le nombre exact de victimes est inconnu, mais il est probable que de nombreux développeurs ou gamers aient installé ces outils sans se méfier, intégrant ainsi du code malveillant dans leurs machines ou projets.

Réponse et recommandations

Voici les conseils essentiels issus des analyses :

• Vérification systématique : Confirmer que le dépôt provient bien d’un compte légitime, avec historique et activité cohérente.
• Analyse de différences : Utiliser des outils comme Spectra Assure/Analyze pour comparer les versions suspectes avec des EPURÉES.
• Inspection du code caché : Passer en mode d’affichage hexadécimal ou forensique pour repérer les longues lignes malveillantes hors écran.
• Surveillance des infrastructures : Vérifier les domaines connus (dieserbenni.ru, 1312services.ru) dans la chaîne de distribution.
• Scepticisme face à l’apparence trompeuse : Les packs visent à paraître populaires et légitimes mais peuvent être vides ou échafaudés pour tromper.

Contexte plus large des attaques par supply chain logicielle

GitHub, comme d’autres écosystèmes (npm, PyPI), est devenu une cible majeure pour l’injection de malwares dans la supply chain logicielle :

• Récentes campagnes, comme Water Curse et Stargazers Ghost Netzwerk, utilisent des milliers de comptes pour promouvoir des dépôts malveillants.
• Les raisonneurs de packages légitimes diminuent, mais les tentatives de contrefaçon, typo‑squatting et obfuscation augmentent.
• Des études universitaires sur les « stars falsifiées » et les failles invisibles (‘Trojan Source’) confirment que ces attaques se déploient à large échelle sur GitHub et affectent même l’entraînement des IA et des LLM.

En résumé

La campagne Banana Squad démontre l’évolution de la menace : des malwares visant non plus les registres de packages (npm, PyPI) mais la plateforme GitHub elle‑même, via des dépôts trojanisés. L’attaque cherche à tromper les utilisateurs avec des outils qui semblent familiers et populaires, mais qui cachent des backdoors sophistiquées.

Face à cette menace croissante, les développeurs doivent :

• Toujours vérifier l’authenticité d’un dépôt avant de l’utiliser
• Faire des revues de code complètes, utiliser des outils de diff et d’analyse statique
• Contrôler les flux réseau des scripts importés
• Suivre les recommandations de sécurité et rester informés des domaines malveillants

En fin de compte, la confiance excessive dans les plateformes open-source sans vérification expose à des attaques de la chaîne d’approvisionnement logicielle, qui peuvent provoquer des vols de données, l’installation de logiciels espions ou la compromission complète des systèmes.

Source : The Hacker News - 200+ Trojanized GitHub Repositories Found in Campaign Targeting Gamers and Developers.

Lire la suite

Le nouveau malware Android Antidot

Aperçu du malware « Antidot »

Le rapport « Overview » publié par Prodaft décrit en détail une nouvelle famille avancée de malwares Android nommée Antidot, orchestrée au sein d’une plateforme de type Malware-as-a-Service (MaaS), dominée par l’acteur identifié sous le nom LARVA-398. L’étude révèle que plus de 3 775 terminaux ont été compromis dans le cadre de 273 campagnes distinctes, destinées à un large éventail de cibles en Europe, en Asie et ailleurs.

Architecture et modus operandi

Antidot propose une triple capacité redoutable :

• enregistrement à l’écran via les services d’accessibilité Android ;
• interception des SMS ;
• extraction de données sensibles dans des applications tierces (services bancaires, crypto-wallets, etc.).

Ces fonctionnalités, couplées à une large distribution via des campagnes de phishing ciblé et des réseaux publicitaires malveillants, positionnent Antidot comme un outil sophistiqué de collecte massive d’informations.

Dangers liés aux services d’accessibilité

En tirant parti des services d’accessibilité d’Android, le malware obtient des privilèges étendus, souvent sans que l’utilisateur ne soit pleinement conscient des permissions accordées. Cette escalade de privilèges permet à Antidot de fonctionner en arrière-plan, de surveiller les activités et de voler les données sans alerter l’utilisateur.

Modèle économique et ciblage géographique

En tant que MaaS, Antidot est proposé à des acteurs souhaitant diffuser des campagnes ciblées. Les campagnes identifiées s’adressaient à des victimes localisées selon la langue et la géolocalisation, montrant une dimension stratégique dans la sélection des cibles.

Limites des défenses traditionnelles

Les chercheurs soulignent une limite majeure des protections Android : les mises à jour de sécurité sont fragmentées selon les fabricants et opérateurs, ce qui crée des fenêtres d’exposition pouvant durer plusieurs mois. En conséquence, protéger le système uniquement par des correctifs s’avère insuffisant face à des menaces comme Antidot.

Ressurgence du malware Android : AntiDot, GodFather & SuperCard X

Un article récent de The Hacker News met en lumière deux menaces actuellement actives : la progression explosive d’AntiDot et le malware baptisé GodFather, ainsi que l’apparition d’un nouveau vecteur nommé SuperCard X pour les attaques NFC.

AntiDot : extension des capacités et escalade

Confirmant les données de Prodaft, l’article précise qu’AntiDot est actif sur 3 775 appareils via 273 campagnes différentes, distribué en tant que MaaS par LARVA-398. Il concrétise sa dangerosité avec l’exploitation des services d’accessibilité, la surveillance SMS et la capture d’écran.

GodFather : vol de données bancaires et crédentiels de verrouillage

Contrairement à AntiDot, GodFather s’en prend directement aux institutions financières, notamment en Turquie. Il utilise des fonctionnalités de virtualisation pour subtiliser :

• les identifiants de verrouillage (schéma, PIN ou mot de passe) ;
• informations bancaires sensibles en profitant de surcouches applicatives intégrées dans les apps financières.

L’exfiltration de données bancaires devient encore plus critique, car l’accès physique à l’appareil n’est plus nécessaire pour compromettre le compte financier.

SuperCard X : détournement via NFC

SuperCard X est un malware de type relais NFC, dérivé de l’outil légitime NFCGate. Il permet d’intercepter les communications NFC destinées à des cartes bancaires, puis de les reproduire depuis un appareil contrôlé par l’attaquant afin de mener des transactions frauduleuses. D’abord détecté en Italie, il ciblait ensuite des institutions financières en Europe, aux États-Unis et en Australie.

Modes de distribution et méthodes de social engineering

Les infections sont initiées via du smishing : l’utilisateur reçoit un message incitant à installer une APK malveillante déguisée en application utile. Dans certains cas, des apps malveillantes sont hébergées sur le Play Store ou l’App Store, comme RapiPlata, un SpyLoan ciblant des utilisateurs colombiens avec 150 000 téléchargements, capable de voler SMS, journaux d’appels, calendriers, applications installées, et même des phrases mnémoniques de porte-monnaie crypto.

Dangers accrus et tendances émergentes

Multiplication des vecteurs d'attaque

Batting sur plusieurs fronts, ces malwares Android opèrent via :

• services d’accessibilité Android (Antidot, GodFather) ;
• relai NFC (SuperCard X), un vecteur inédit pour le grand public ;
• applications discrètes dans les stores officiels (SpyLoan).

Cette convergence technologique rend la menace plus complexe et difficile à surveiller.

Malware-as-a-Service (MaaS)

Antidot et GodFather étant proposés en tant que MaaS, cela abaisse les barrières techniques pour les cybercriminels. Cette généralisation d’un modèle à la Uber multiplie le nombre d’acteurs semi-professionnels capables de déployer des campagnes ciblées.

Escalade de privilèges et furtivité

Le recours aux services d’accessibilité, aux seize captages d’écran, aux interceptions SMS, au phishing NFC et à l’ingénierie sociale permet aux malwares d’opérer discrètement, sans alerter les utilisateurs ou systèmes de protection active.

Impact mondial

Les campagnes visent un public international : Europe (Turquie, Italie, Colombie), Amériques, Océanie. La diversité des cibles financières et bancaires montre l’atteinte d’un niveau de sophistication industriel, exploitant des niches spécifiques comme la crypto, la finance et le mobile banking.

Recommandations et stratégies de défense

Sensibilisation et vigilance utilisateur

Les utilisateurs doivent être formés pour reconnaître les messages frauduleux (smishing) et comprendre les risques liés à l’installation d’applications hors des stores officiels. Toute demande de permissions étendues ou de bypass doit être considérée avec suspicion.

Renforcement des politiques de sécurité Android

Les organisations doivent :

• restreindre l’accès aux services d’accessibilité Android aux seules applications légitimes ;
• bloquer le sideloading d’APK quand cela est possible ;
• mettre en place des solutions de Mobile Threat Defense (MTD) sur les terminaux.

De plus, l’intervention proactive sur les systèmes fragmentés est essentielle pour combler les lacunes mises en lumière par Prodaft.

Détection comportementale et réponse aux incidents

Mettre en place une surveillance active des comportements suspects (captures d’écran, lecture SMS, transactions NFC), détecter les signaux faibles via l’analyse des logs et déployer des réponses rapides (isolation de l’appareil, analyse forensic).

Collaboration internationale

La nature transversale des attaques sur des utilisateurs situés dans plusieurs pays invite à une collaboration renforcée entre les institutions de sécurité, les forces de l’ordre et les fournisseurs de mobilité pour partager les indicateurs de compromission (IoC) et démanteler les infrastructures malveillantes.

En résumé

La combinaison révélée par Prodaft et The Hacker News montre que les malwares Android comme Antidot, GodFather et SuperCard X représentent une menace nouvelle : avancée, multiforme et difficile à détecter. Ils s’appuient sur des techniques de pointe (services d’accessibilité, NFC, virtualisation, phishing), sont revendus sous forme de services, et touchent des secteurs critiques (banque, finance, crypto).

Pour y répondre de manière efficace, il ne suffit plus de patcher les systèmes ou d’installer un antivirus. La stratégie doit être holistique : sensibilisation humaine, contrôle des permissions, détection comportementale, interdiction du sideloading, et coordination internationale. Cette vision globale est indispensable pour anticiper, détecter et neutraliser les menaces mobiles qui prolifèrent aujourd’hui.

Sources :
The Hacker News - New Android Malware Surge Hits Devices via Overlays, Virtualization Fraud and NFC Theft.
Rapport Prodaft - Antidot.

Lire la suite

Le groupe de hackers russes APT29 cible Gmail App

Contexte général de la campagne

Depuis avril 2025, le groupe de cyberespionnage APT29 (aussi appelé UNC6293, Cozy Bear ou Midnight Blizzard) mène une campagne sophistiquée visant principalement des universitaires et critiques du gouvernement russe. Ces attaques exploitent une faille d’usage dans les comptes Google en contournant l’authentification à deux facteurs grâce aux « App Passwords ».

Fonctionnement des App Passwords

Les App Passwords sont des codes à usage unique générés par l’utilisateur depuis son compte Google pour permettre à des applications moins sécurisées d’accéder aux données. Or, ces codes permettent un accès sans déclenchement du système de vérification à deux facteurs, créant une porte dérobée idéale pour les attaquants une fois qu’ils l’obtiennent.

Méthodologie des attaques

Techniques de phishing ciblé

Les attaquants contactent leurs cibles via de faux courriels en anglais impeccable, imitant des employés du Département d’État américain. Ils utilisent des adresses en @state.gov (inexistantes mais sans retour d’erreur) et établissent un échange prolongé visant à instaurer la confiance.

Le piège final via un faux PDF

Après plusieurs échanges, la victime reçoit un document PDF d’apparence officielle contenant des instructions précises pour générer un App Password Google nommé « ms.state.gov ». Pensant participer à un projet sécurisé gouvernemental, la victime transmet ce code aux attaquants, leur ouvrant un accès total à sa messagerie.

Accès aux comptes Gmail

Le code transmis permet à APT29 de configurer un client mail ou un accès programmatique qui contourne complètement la 2FA. Les attaquants peuvent alors lire, surveiller et extraire les emails sans être détectés.

Étude de cas : Keir Giles

Parmi les victimes figure Keir Giles, chercheur britannique spécialiste de la Russie. Il a échangé avec un faux fonctionnaire américain avant de recevoir un PDF sophistiqué. Ce document, long de six pages, sans aucune faute, pourrait avoir été généré ou affiné par une intelligence artificielle pour maximiser son réalisme.

Infrastructure technique de l’attaque

Les connexions malveillantes sont effectuées via des proxies résidentiels et des serveurs VPS, rendant la détection géographique difficile. Deux vagues ont été observées : une orientée vers le milieu académique américain, l’autre autour de thèmes ukrainiens.

Réaction de Google

Contre-mesures mises en œuvre

Google a collaboré avec Citizen Lab pour identifier les attaques, révoquer les App Passwords compromis, verrouiller les comptes ciblés et avertir les victimes potentielles. Les mesures préventives recommandées incluent l’activation du programme Advanced Protection et la suppression de tous les App Passwords inutilisés.

Analyse des tactiques APT29

APT29 est connu pour ses campagnes ciblées (comme SolarWinds ou le phishing OAuth). Sa méthode actuelle repose moins sur l’exploitation technique que sur le social engineering avancé, rendant la détection plus difficile et les dégâts potentiellement importants.

Conséquences en matière de cybersécurité

Failles liées aux App Passwords

Malgré leur rôle initialement utile, les App Passwords représentent une faille critique dans les environnements où la sécurité est primordiale. Ils permettent un accès furtif à des comptes protégés par 2FA, sans alerter l’utilisateur.

Amélioration du phishing grâce à l’IA

L’usage potentiel d’intelligence artificielle pour rédiger des messages et documents sans fautes grammaticales ou incohérences rend les tentatives de phishing plus convaincantes que jamais, surtout auprès de cibles éduquées et habituées à filtrer les fraudes classiques.

Recommandations de sécurité

Les organisations et individus à risque élevé doivent activer le programme Advanced Protection, auditer régulièrement leurs App Passwords, former les employés à détecter les signes de rapport-building suspect, et intégrer des solutions d’analyse comportementale capables de détecter des anomalies d’accès.

En résumé

La campagne de phishing d’APT29 exploitant les App Passwords de Gmail révèle un changement stratégique dans l’arsenal des cyberattaques étatiques. Au-delà des vulnérabilités techniques, elle exploite les failles humaines avec une précision redoutable. Cette menace souligne l’importance d’un modèle de sécurité centré sur l’utilisateur, reposant autant sur la technologie que sur la formation, la gouvernance des accès et l’analyse proactive des comportements numériques.

Sources :
The Hacker News - Russian APT29 Exploits Gmail App Passwords to Bypass 2FA in Targeted Phishing Campaign.
Security Week - Russian Hackers Bypass Gmail MFA With App-Specific Password Ruse.

Lire la suite

Une vulnérabilité de Gerrit compromet Google Chromium

Une vulnérabilité critique dans le système de revue de code open source Gerrit, utilisé par Google, a été détectée et nommée « GerriScary » (CVE‑2025‑1568). Cette faille a permis à des utilisateurs enregistrés, sans droits administratifs, d’injecter du code malveillant dans plusieurs projets Google majeurs, compromettant notamment ChromiumOS, Chromium, Dart, Bazel et d’autres.

Contexte et découverte

Découverte par les chercheurs de Tenable Cloud Research (notamment Liv Matan), la vulnérabilité s’est manifestée à travers une mauvaise configuration des permissions dans Gerrit et une condition exploitée par les attaquants. Dénommée « GerriScary », elle a été attribuée au CVE‑2025‑1568.

Gerrit est un outil web de revue de code développé par Google, largement utilisé tant en interne qu’en open-source. Comme tout projet Gerrit, n’importe qui peut s’enregistrer et obtenir des permissions minimales telles que addPatchSet, permettant d’ajouter des révisions de patches aux changements existants.

Nature de la vulnérabilité

Le cœur du problème tient à deux failles :

a. Permissions par défaut trop larges : tout utilisateur enregistré pouvait ajouter une nouvelle version d’un patch pré-approuvé, via addPatchSet.

b. Copy Conditions mal configurées : les étiquettes d’approbation (« labels »), comme **Code‑Review** ou **Commit‑Queue**, étaient copiées automatiquement vers les patch sets suivants sans exiger une nouvelle validation. Cette configuration erronée a empêché une revalidation du nouveau patch, ouvrant la voie à des injections malveillantes.

Exploitation via condition de course

Les chercheurs ont observé que lorsqu’un patch recevait une approbation « Commit‑Queue +2 », un bot Gerrit lançait la fusion automatique après un délai de quelques minutes. Les attaquants pouvaient alors profiter de cette fenêtre pour modifier le patch approuvé en injectant du code malicieux, lequel était fusionné sans revalidation.

Concrètement, le scénario se déroulait en trois étapes :

• Soumission d’un patch innocent accepté par un développeur.
• Dès que l’étiquette **Commit‑Queue +2** est attribuée, le script de reconnaissance la détecte.
• Le script injecte un patch malveillant via addPatchSet avant l’exécution du bot, contournant la nécessité d’une nouvelle approbation.

Le délai entre la pose de l’étiquette et la fusion varie selon les projets : quelques secondes à une minute pour certains, jusqu’à cinq minutes pour ChromiumOS et Dart.

Étendue des projets compromis

Au moins 18 projets Google étaient concernés, parmi lesquels :

ChromiumOS, Chromium, Dart, Bazel, Dawn, BoringSSL, GN, Gerrit, Ceres Solver, Quiche, Android‑KVM, Opensecura, Cue, Linux, Plan9port, Hafnium, Nginx….

Ces projets sont stratégiques : ChromiumOS équipe les Chromebooks, Chromium est au cœur de Chrome, Dart sert la plateforme Flutter et Bazel constitue le moteur de construction. Une compromission aurait pu avoir un impact global massif.

Preuve de concept

Pour valider leur découverte, les chercheurs ont conçu des preuves de concept :

- Injection d’un simple commentaire dans le dépôt ChromiumOS, visible via Code Search.
- Pas de test complet en production par précaution éthique, mais démonstration technique dans plusieurs projets.

Scan automatisé et identification des cibles

Les chercheurs ont déployé un outil de scan capable de détecter les projets vulnérables sans provoquer d’erreurs visibles. En analysant les codes de réponse HTTP (200 ou 209) des requêtes visant à modifier un message de commit, ils pouvaient déterminer si le patch set pouvait être modifié via addPatchSet.

Réponse et remédiation par Google

Google a répondu rapidement après divulgation (octobre 2024) :

• Désactivation de addPatchSet pour les utilisateurs non fiables sur les projets critiques, notamment ChromiumOS.
• Correction des conditions de copie pour obliger une revalidation des labels à chaque patch set.
• Déploiement d’audits sur d’autres projets Gerrit similaires.
• Attribution d’un bug bounty de 5 000 $ pour le signalement.
• Publication du CVE‑2025‑1568 en février 2025.

Gravité technique et notation CVSS

Le NVD attribue une note CVSS 3.1 de 8.8 (« High ») à CVE‑2025‑1568, indiquant un risque important potentiellement aboutissant à une exécution de code à distance ou une interruption des services via la chaîne logistique de développement.

Enseignements et bonnes pratiques

Plusieurs leçons majeures émergent de l’incident :

• Ne jamais accorder l’accès addPatchSet par défaut à des utilisateurs non triés. Restreindre ce droit aux collaborateurs de confiance.
• Activer la revalidation des labels à chaque patch set pour éviter toute continuation implicite d’une approbation antérieure.
• Mettre en place des contrôles temporels entre approbation et fusion ; analyser les délais automatisés pour éviter les attaques par condition de course.
• Auditer systématiquement les configurations Gerrit, notamment Copy Conditions et étiquettes personnalisées comme “Commit‑Queue”.
• Standardiser des pipelines CI/CD avec revalidation cryptographique, signatures de commit et vérifications automatisées (“zero trust”).

Répercussions globales

L’incident souligne que même des géants comme Google restent vulnérables à des failles de configuration dans leurs outils de développement. Il rappelle que la chaîne logistique logicielle est aussi critique que le code final, et que toute faiblesse dans le processus de revue peut exploiter massivement des projets open-source.

En résumé

GerriScary (CVE‑2025‑1568) a révélé que des permissions trop larges et l’absence de revalidation dans Gerrit peuvent conduire à des injections silencieuses de code malveillant dans des projets majeurs. Grâce à la divulgation responsable de Tenable, Google a mis en place des mesures correctives : retrait des droits pour les utilisateurs non fiables et validation stricte des étiquettes. Toutefois, cette affaire reste un signal d’alerte global dans l’écosystème open source et DevOps. Chaque mainteneur doit désormais considérer la sécurité des accès, le temps système et la revalidation comme des axes critiques de protection.

Sources :
Rapport Tenable - GerriScary: Hacking the Supply Chain of Popular Google Products (ChromiumOS, Chromium, Bazel, Dart & More).
Security Week - Gerrit Misconfiguration Exposed Google Projects to Malicious Code Injection.

Lire la suite