Plateforme État Français piraté 🇫🇷, Fortinet Faille critique 🛡️, Free Amende 42M€ 💶

Bonjour et bienvenue dans l'édition du lundi 19 janvier !

A la une aujourd'hui:

• Piratage HubEE : 160 000 documents administratifs dérobés dans une cyberattaque contre l'État français
• Vulnérabilité critique de Fortinet FortiSIEM activement exploitée par des pirates
• Piratage de Free : La CNIL inflige une amende record de 42 millions d'euros
• Vulnérabilité critique dans Node.js : risque de déni de service pour presque toutes les applications
• Cisco corrige une faille zero-day exploitée par un groupe APT chinois

Piratage HubEE : 160 000 documents administratifs dérobés dans une cyberattaque contre l'État français

Points Clés :

• La Direction interministérielle du numérique (DINUM) a confirmé une intrusion dans la plateforme HubEE, utilisée pour les échanges de documents administratifs
• 160 000 documents contenant potentiellement des données personnelles sensibles ont été exfiltrés
• Quatre entités administratives sont principalement touchées : la DILA, la DGCS, la DGS et la CNAF

Description :

La DINUM a officialisé le 16 janvier une intrusion dans la plateforme HubEE, infrastructure critique pour les échanges documentaires entre services de l'État français et usagers. Détectée le 9 janvier 2026, cette attaque a permis aux pirates d'exfiltrer environ 70 000 dossiers représentant 160 000 documents, dont certains contiennent des données personnelles potentiellement sensibles.

Pourquoi c'est important :

Cette fuite représente un risque significatif pour la protection des données personnelles des citoyens français ayant effectué des démarches administratives en ligne. Bien qu'aucune publication des données volées n'ait encore été détectée sur le Dark Web, l'incident souligne les vulnérabilités persistantes des infrastructures numériques de l'État, malgré les mesures de sécurité renforcées mises en place après l'attaque (réinitialisation des mots de passe et authentification à double facteur).

Vulnérabilité critique de Fortinet FortiSIEM activement exploitée par des pirates

Points Clés :

• Une vulnérabilité critique (CVE-2025-64155, CVSS: 9.8) dans Fortinet FortiSIEM permet l'exécution de code à distance sans authentification
• Des preuves de concept d'exploitation sont publiquement disponibles et des attaques actives ont été détectées
• Fortinet a publié des correctifs pour les versions affectées (6.7 à 7.5)

Description :

Une faille critique dans Fortinet FortiSIEM, combinant une injection de commande OS et une élévation de privilèges, est désormais exploitée activement par des attaquants. La vulnérabilité permet à un acteur malveillant non authentifié d'exécuter du code arbitraire avec des privilèges root via des requêtes TCP spécialement conçues, ciblant le service phMonitor exposé sur le port 7900.

Pourquoi c'est important :

Cette vulnérabilité représente une menace sérieuse pour les organisations utilisant FortiSIEM, car elle permet une compromission complète des systèmes sans nécessiter d'authentification. L'exploitation active signalée par Defused et la disponibilité publique du code d'exploitation augmentent considérablement le risque. Les administrateurs doivent appliquer immédiatement les correctifs ou mettre en œuvre la solution temporaire recommandée pour limiter l'accès au port 7900.

Piratage de Free : La CNIL inflige une amende record de 42 millions d'euros

Points Clés :

• Free et Free Mobile sanctionnés pour négligence grave suite au piratage massif d'octobre 2024
• Des failles de sécurité élémentaires ont permis l'accès aux données de 24 millions de contrats
• La conservation excessive des données d'anciens clients a aggravé l'ampleur de la fuite

Description :

La CNIL vient de condamner Free (15M€) et Free Mobile (27M€) à une amende totale de 42 millions d'euros suite au piratage massif survenu en 2024. L'autorité dénonce des mesures de sécurité insuffisantes, notamment une authentification VPN peu robuste, des systèmes de détection inefficaces et une communication de crise défaillante envers les victimes.

Pourquoi c'est important :

Cette sanction historique souligne les responsabilités des opérateurs télécoms dans la protection des données personnelles. Les conséquences pour les victimes ont été graves : arnaques aux prélèvements SEPA, usurpations d'identité bancaire et campagnes de phishing ciblées utilisant les IBAN volés. L'affaire établit un précédent qui pourrait inciter l'ensemble du secteur à renforcer drastiquement leur cybersécurité.

Vulnérabilité critique dans Node.js : risque de déni de service pour presque toutes les applications

Points Clés :

• Une faille critique dans Node.js peut provoquer un déni de service lorsque async_hooks est utilisé
• L'application quitte avec le code 7 au lieu de gérer les exceptions de débordement
• La vulnérabilité affecte de nombreux frameworks populaires comme React Server Components et Next.js

Description :

Node.js a publié des correctifs pour une vulnérabilité critique qui touche 'pratiquement toutes les applications Node.js en production'. Le problème survient lorsque async_hooks est activé et qu'un débordement de pile se produit, provoquant l'arrêt brutal de l'application avec le code d'erreur 7 au lieu de gérer l'exception de manière appropriée.

Pourquoi c'est important :

Cette faille (CVE-2025-59466) représente un risque majeur pour l'écosystème Node.js, affectant des frameworks essentiels comme React Server Components, Next.js et de nombreux outils de surveillance des performances. Les attaquants pourraient exploiter cette vulnérabilité pour lancer des attaques par déni de service contre des serveurs, compromettant ainsi la disponibilité des services critiques.

Cisco corrige une faille zero-day exploitée par un groupe APT chinois

Points Clés :

• Cisco a publié des correctifs pour une vulnérabilité critique (CVE-2025-20393) dans ses passerelles de messagerie sécurisées
• La faille permettait l'exécution de commandes à distance avec privilèges root via la fonction Spam Quarantine
• Un groupe APT lié à la Chine (UAT-9686) exploitait activement cette vulnérabilité depuis novembre 2025

Description :

Cisco a déployé des mises à jour de sécurité pour corriger une vulnérabilité critique (CVE-2025-20393) dans ses produits Secure Email Gateway et Secure Email and Web Manager. Cette faille d'exécution de commande à distance, notée 10/10 en gravité CVSS, était activement exploitée par un acteur de menace persistante avancée lié à la Chine.

Pourquoi c'est important :

Cette vulnérabilité représentait une menace majeure pour les infrastructures de messagerie d'entreprise, permettant aux attaquants d'obtenir un contrôle total des systèmes affectés. L'exploitation active par un groupe APT souligne l'importance critique de cette mise à jour, car les attaquants utilisaient déjà des outils sophistiqués comme ReverseSSH et AquaShell pour maintenir un accès persistant aux systèmes compromis.

Avant de partir, j'ai 2 (petits) services à te demander :

1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon lundi à toi !