CISA: 300 sites critiques ciblés 🏢, Juniper: backdoors chinoises 🔧, France: rapport annuel ANSSI 🇫🇷

Maxime Blanc

Maxime Blanc

4 min read

Bienvenue dans cette édition du vendredi 14 mars !

J'ai une petite question à te poser à la fin pour améliorer la newsletter !

A la une aujourd'hui:

  • Des pirates chinois déploient des backdoors sur les routeurs Juniper en fin de vie
  • Facebook alerte sur une faille FreeType exploitée activement
  • CISA alerte : Medusa a frappé plus de 300 organisations d'infrastructures critiques aux États-Unis
  • Mozilla alerte : mettez à jour Firefox avant l'expiration du certificat
  • L'ANSSI alerte sur l'intensification des cyberattaques russes contre la France

Des pirates chinois déploient des backdoors sur les routeurs Juniper en fin de vie

Points Clés :

  • Des hackers chinois (UNC3886) ont installé six backdoors personnalisées sur des routeurs Juniper Networks Junos OS MX obsolètes
  • Les backdoors sont basées sur le malware TinyShell et contournent les protections de sécurité des routeurs
  • Les attaques visent des appareils en fin de vie qui ne reçoivent plus de mises à jour de sécurité

Description :

Mandiant, une entreprise de cybersécurité américaine filiale de Google, a découvert que le groupe d'espionnage chinois UNC3886 déploie des backdoors sur des routeurs Juniper Networks Junos OS MX en fin de vie. Les attaquants utilisent des variantes du malware TinyShell pour établir un accès persistant, exécuter des commandes à distance et contourner les systèmes de protection d'intégrité des fichiers. Six backdoors distinctes ont été identifiées, chacune avec ses propres méthodes de communication.

Pourquoi c'est important :

Cette campagne souligne l'importance de remplacer les équipements réseau obsolètes qui ne reçoivent plus de mises à jour de sécurité. Les routeurs compromis peuvent servir de point d'entrée persistant dans les réseaux d'entreprise ou gouvernementaux, permettant l'exfiltration de données sensibles.

Facebook alerte sur une faille FreeType exploitée activement

Points Clés :

  • Une vulnérabilité dans FreeType jusqu'à la version 2.13 permet l'exécution de code arbitraire
  • Facebook signale que cette faille est activement exploitée dans des attaques
  • Les développeurs doivent mettre à jour vers FreeType 2.13.3 dès que possible

Description :

Facebook a révélé une vulnérabilité critique (CVE-2025-27363) dans la bibliothèque FreeType, utilisée pour le rendu de polices dans des millions de systèmes. Cette faille d'écriture hors limites, présente dans toutes les versions jusqu'à 2.13, peut conduire à l'exécution de code arbitraire lorsqu'elle traite certaines structures de polices TrueType.

Pourquoi c'est important :

Cette vulnérabilité est particulièrement préoccupante car FreeType est intégré dans d'innombrables systèmes et applications (Linux, Android, moteurs de jeux, frameworks GUI). Malgré la correction datant de février 2023, de nombreux projets utilisent encore d'anciennes versions vulnérables. L'exploitation active signalée par Facebook souligne l'urgence pour les développeurs de mettre à jour leurs dépendances.

CISA alerte : Medusa a frappé plus de 300 organisations d'infrastructures critiques aux États-Unis

Points Clés :

  • Le ransomware Medusa a impacté plus de 300 organisations d'infrastructures critiques aux États-Unis
  • Les attaques Medusa ont augmenté de 42% entre 2023 et 2024, avec une escalade continue en 2025
  • Medusa opère désormais comme un service (RaaS) et recrute des affiliés avec des paiements allant jusqu'à 1 million de dollars

Description :

La CISA (l'équivalent de l'ANSSI aux Etats-Unis) révèle que le groupe ransomware Medusa a compromis plus de 300 organisations d'infrastructures critiques américaines dans les secteurs médical, éducatif, juridique et technologique. Apparu en 2021, ce groupe a intensifié ses activités en 2023 en lançant un site de fuite pour faire pression sur ses victimes, revendiquant plus de 400 victimes dans le monde.

Pourquoi c'est important :

Cette alerte souligne la menace croissante que représentent les ransomwares pour les infrastructures critiques. L'évolution de Medusa vers un modèle RaaS (Ransomware as a Service) avec recrutement d'affiliés, démontre la sophistication croissante de ces opérations criminelles.

Mozilla alerte : mettez à jour Firefox avant l'expiration du certificat

Points Clés :

  • Un certificat racine de Mozilla expire aujourd'hui, le 14 mars 2025, affectant les extensions Firefox
  • Les utilisateurs doivent mettre à jour vers Firefox 128+ ou ESR (Extended Support Release) 115.13+ pour éviter les perturbations
  • Ne pas mettre à jour expose à des risques de sécurité significatifs sur toutes les plateformes sauf sur iOS

Description :

Mozilla avertit les utilisateurs de Firefox de mettre à jour leur navigateur avant l'expiration d'un certificat racine le 14 mars 2025. Ce certificat est utilisé pour prouver qu'un add-on a bien été validé par Mozilla. Cette expiration affectera les extensions et diverses fonctionnalités de sécurité dans les versions antérieures à Firefox 128 ou ESR 115.13, rendant le navigateur vulnérable et potentiellement dysfonctionnel.

Pourquoi c'est important :

Sans cette mise à jour, les utilisateurs s'exposent à des risques majeurs : extensions malveillantes pouvant compromettre les données personnelles, visites de sites frauduleux sans avertissement, et alertes non fonctionnelles des mots de passe compromis. Cette situation touche Firefox sur presque toutes les plateformes et pourrait affecter également les navigateurs forkés de Firefox, comme Tor et LibreWolf.

L'ANSSI alerte sur l'intensification des cyberattaques russes contre la France

Points Clés :

  • L'ANSSI a géré 4 386 incidents de sécurité en 2024, une hausse de 15% par rapport à 2023
  • Les Jeux Olympiques de Paris ont fait de la France une cible privilégiée pour les cybercriminels
  • Une cyberattaque d'origine étatique a ciblé un satellite français avec un potentiel de sabotage

Description :

Dans son dernier panorama de la cybermenace annuel, l'ANSSI souligne une accélération des attaques informatiques en France en 2024, particulièrement celles d'origine russe qualifiées de "désinhibées". Si les petites entreprises et les établissements d'enseignement supérieur restent les principales victimes de rançongiciels, les collectivités territoriales et établissements de santé connaissent une baisse significative des attaques.

Pourquoi c'est important :

Cette évolution de la menace cyber révèle une stratégie de déstabilisation orchestrée par la Russie, avec une porosité inquiétante entre acteurs criminels et étatiques. L'intensification des attaques pendant les JO de Paris 2024 démontre la vulnérabilité des infrastructures critiques françaises face à des adversaires de plus en plus audacieux.

Suite à plusieurs de vos retours, je me questionne sur le nombre de mails à envoyer par semaine et le nombre d'actualités par newsletter. Je te laisse donner ton avis sur ta préférence en utilisant les pouces ci-dessous :

👍 Option 1: Format actuel

  • 3 à 4 newsletters par semaine
  • 5 actualités cyber par édition

👎 Option 2: Format plus fréquent mais condensé

  • 6 à 7 newsletters par semaine
  • 3 actualités cyber par édition (lecture plus rapide)

Tu as une autre suggestion ? N'hésite pas à répondre directement à cet email pour me partager tes idées. Mon objectif est d'améliorer cette newsletter ensemble pour qu'elle réponde au mieux à tes attentes.

Merci et bonne journée à toi !