Microsoft: Zero-day corrigé 💻, SentinelOne accuse la Chine 🇨🇳 , Télégram: pot de miel pour les russes 🍯

Bonjour et bienvenue dans l'édition du jeudi 12 juin !

A la une aujourd'hui:

• Microsoft corrige une faille zero-day exploitée et 66 vulnérabilités dans son Patch Tuesday de juin 2025
• Tentative d'attaque chinoise contre SentinelOne : détails révélés sur une opération sophistiquée
• La messagerie Telegram accusée d’être un véritable « pot de miel » au profit du renseignement russe
• Ivanti corrige des failles critiques de clés codées en dur dans Workspace Control
• Les assureurs cyber s'inquiètent du retour des sinistres XXL

Microsoft corrige une faille zero-day exploitée et 66 vulnérabilités dans son Patch Tuesday de juin 2025

Points Clés :

• Correction d'une vulnérabilité WebDAV activement exploitée par le groupe APT (Advanced Persistent Threat) "Stealth Falcon"
• Résolution de 10 vulnérabilités critiques, dont 8 permettant l'exécution de code à distance
• Correction d'une faille SMB publiquement divulguée permettant l'élévation de privilèges

Description :

Le Patch Tuesday de Microsoft de juin 2025 corrige 66 vulnérabilités, dont une faille WebDAV activement exploitée (CVE-2025-33053) et une vulnérabilité SMB publiquement divulguée (CVE-2025-33073). Parmi les correctifs, on trouve 10 failles critiques, principalement liées à l'exécution de code à distance. Les mises à jour concernent divers composants Windows, Office et d'autres produits Microsoft.

Pourquoi c'est important :

La vulnérabilité WebDAV exploitée par le groupe "Stealth Falcon" représente une menace sérieuse, particulièrement pour les entreprises de défense, comme l'a démontré une attaque contre une société turque en mars 2025. La faille SMB divulguée publiquement permet l'élévation de privilèges au niveau SYSTEM. Ces correctifs sont essentiels pour protéger les systèmes Windows contre des attaques ciblées et potentiellement dévastatrices, soulignant l'importance d'appliquer rapidement les mises à jour de sécurité.

Tentative d'attaque chinoise contre SentinelOne : détails révélés sur une opération sophistiquée

Points Clés :

• Identification de deux clusters d'attaque distincts : PurpleHaze (APT15) et ShadowPad (APT41) exploitant des vulnérabilités zero-day sur des équipements réseau
• Déploiement sophistiqué de malwares avec techniques d'évasion : délais de 60 secondes, redémarrages programmés et obfuscation via ScatterBee
• Campagne d'envergure mondiale touchant gouvernements, télécommunications, finance et secteur IT avec création de domaines factices imitant SentinelOne

Description :

SentinelOne dévoile les détails techniques d'une campagne sophistiquée menée par des hackers chinois exploitant des vulnérabilités dans des équipements Check Point, Fortinet et SonicWall. Les attaquants ont utilisé des malwares avancés comme GOREshell et ShadowPad, déployé le framework Nimbo-C2 pour l'accès distant, et créé des scripts PowerShell d'exfiltration de données. La campagne visait spécifiquement les entreprises de cybersécurité pour comprendre leurs capacités de détection.

Pourquoi c'est important :

Cette révélation expose la sophistication croissante des acteurs étatiques chinois qui ciblent directement les défenseurs cyber pour développer des méthodes d'évasion. L'analyse technique détaillée permet aux organisations de mieux comprendre les tactiques, techniques et procédures (TTP) utilisées, renforçant ainsi leurs capacités de détection et de réponse face à ces menaces persistantes avancées qui évoluent constamment.

La messagerie Telegram accusée d’être un véritable « pot de miel » au profit du renseignement russe

Points Clés :

• Une société appartenant à l'ingénieur réseau russe Vladimir Vedeneev contrôle des milliers d'adresses IP de Telegram et gère les serveurs de la messagerie
• D'autres entreprises de Vedeneev ont des antécédents de collaboration avec le secteur de la défense russe, le service de sécurité FSB et d'autres agences sensibles
• Le protocole de chiffrement de Telegram permet à quiconque surveillant le trafic réseau de suivre les utilisateurs, même ceux qui utilisent le chiffrement de bout en bout, en identifiant leur appareil et leur adresse IP

Description :

Une enquête révèle que l'infrastructure réseau de Telegram est gérée par des entreprises liées à Vladimir Vedeneev, un ingénieur russe dont les autres sociétés travaillent avec les services de sécurité russes, dont le FSB. Cet accès, combiné à une vulnérabilité dans le protocole de Telegram, permet potentiellement de suivre les utilisateurs. Ces révélations contredisent l'image de la plateforme soit disant sécurisée, d'autant que Vedeneev a même agi en tant que directeur financier informel pour Telegram.

Pourquoi c'est important :

Ces découvertes créent un « décalage dangereux » entre la réputation de Telegram et la réalité de ses liens avec l'État russe. Les utilisateurs qui comptent sur l'application pour leur sécurité — y compris les activistes, les journalistes et les personnes dans les zones de conflit — pourraient, sans le savoir, exposer leur localisation et leurs habitudes de communication à des entités proches des services de renseignement russes.

Ivanti corrige des failles critiques de clés codées en dur dans Workspace Control

Points Clés :

• Trois vulnérabilités de sévérité élevée permettent le déchiffrement des identifiants SQL stockés
• Les failles affectent Ivanti Workspace Control 10.19.0.0 et versions antérieures
• Aucune exploitation active n'a été détectée avant la divulgation publique

Description :

Ivanti a publié des correctifs pour trois vulnérabilités de sévérité élevée dans sa solution Workspace Control (IWC). Ces failles, causées par l'utilisation de clés cryptographiques codées en dur, permettent à des attaquants authentifiés localement de déchiffrer les identifiants SQL et les mots de passe d'environnement stockés, pouvant conduire à une élévation de privilèges et à la compromission du système.

Pourquoi c'est important :

Ces vulnérabilités représentent un risque significatif pour les entreprises utilisant IWC pour gérer leurs postes de travail et applications. Bien qu'aucune exploitation n'ait été détectée, la gravité des failles souligne l'importance d'appliquer rapidement les correctifs disponibles. Cette situation rappelle également les précédentes vulnérabilités d'Ivanti qui ont été exploitées par des acteurs malveillants, notamment des groupes liés à la Chine ciblant des agences gouvernementales.

Les assureurs cyber s'inquiètent du retour des sinistres XXL

Points Clés :

• L'attaque contre Marks & Spencer a engendré plus de 356 millions d'euros de pertes d'exploitation
• Deux sinistres "XXL" supérieurs à 10 millions d'euros ont été enregistrés en France en 2024
• Malgré la hausse des sinistres, les prix de l'assurance cyber devraient continuer à baisser en 2025

Description :

L'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) constate une augmentation des sinistres cyber en 2024, avec le retour des incidents majeurs et une hausse des petits sinistres. Cette tendance touche aussi bien les grandes entreprises que les ETI, possiblement due à une menace informatique croissante et à une meilleure déclaration des incidents.

Pourquoi c'est important :

Cette évolution du marché de l'assurance cyber révèle un paradoxe : malgré l'augmentation des sinistres, les prix continuent de baisser (-18% en 2024). Si cette baisse favorise l'adoption de l'assurance cyber par les entreprises moyennes (+33%), les grandes organisations réduisent souvent leur budget plutôt que d'ajuster leur couverture, s'exposant à des risques considérables comme l'illustre le cas de Marks & Spencer.

Avant de partir, j'ai 2 (petits) services à te demander :

1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon jeudi à toi !