Qilin exploite WSL 🦾, DELMIA vulnérable 🏭, Hauts-de-France cyberattaqué 🎓

Maxime Blanc

Maxime Blanc

4 min read

Bonjour et bienvenue dans l'édition du jeudi 30 octobre !

A la une aujourd'hui:

  • Le ransomware Qilin exploite WSL pour exécuter des chiffreurs Linux sous Windows
  • 10 packages npm malveillants ciblent les développeurs sur tous les systèmes d'exploitation
  • Alerte CISA : Des failles critiques dans Dassault Systèmes et XWiki activement exploitées
  • Atos remporte un contrat stratégique de 326 millions d'euros pour protéger l'Europe numérique
  • Après l'attaque par rançongiciel, la course contre la montre des lycées des Hauts-de-France avant la rentrée

Le ransomware Qilin exploite WSL pour exécuter des chiffreurs Linux sous Windows

Points Clés :

  • Le groupe Qilin utilise Windows Subsystem for Linux (WSL) pour exécuter des chiffreurs Linux sur des systèmes Windows, contournant ainsi les outils de sécurité traditionnels.
  • Les attaquants déploient des pilotes vulnérables signés pour désactiver les logiciels antivirus et EDR avant de lancer leurs attaques.
  • Qilin est devenu l'une des opérations de ransomware les plus actives, avec plus de 700 victimes dans 62 pays cette année.

Description :

Le groupe de ransomware Qilin a été observé en train d'exécuter des chiffreurs Linux sur des systèmes Windows via Windows Subsystem for Linux (WSL). Cette technique permet aux attaquants de contourner les outils de sécurité Windows traditionnels qui ne surveillent pas les comportements malveillants dans l'environnement WSL, démontrant ainsi l'adaptation des opérateurs de ransomware aux environnements hybrides.

Pourquoi c'est important :

Cette évolution tactique représente un danger significatif car elle permet aux attaquants d'échapper à la détection des solutions de sécurité Windows conventionnelles. Les entreprises doivent désormais surveiller non seulement les menaces Windows natives mais aussi les activités suspectes dans WSL. Cette technique sophistiquée souligne comment les groupes de ransomware s'adaptent continuellement pour maximiser leur efficacité et minimiser leur détection.

10 packages npm malveillants ciblent les développeurs sur tous les systèmes d'exploitation

Points Clés :

  • Des chercheurs ont découvert 10 packages npm malveillants qui ont été téléchargés plus de 9 900 fois
  • Le malware utilise quatre couches d'obfuscation et affiche un faux CAPTCHA pour paraître légitime
  • L'infostealer cible les identifiants sur Windows, Linux et macOS en extrayant les données des trousseaux système

Description :

Des chercheurs en cybersécurité ont identifié 10 packages npm malveillants conçus pour déployer un voleur d'informations. Ces packages, téléchargés près de 10 000 fois, utilisent des techniques avancées d'obfuscation et un faux CAPTCHA pour masquer leur activité malveillante. Une fois installé, le malware extrait les identifiants des trousseaux système, navigateurs et services d'authentification sur Windows, Linux et macOS.

Pourquoi c'est important :

Cette attaque représente une menace sérieuse pour les développeurs car elle cible directement leurs environnements de travail. En compromettant les trousseaux système, les attaquants peuvent accéder aux emails professionnels, au stockage de fichiers, aux réseaux internes et aux bases de données de production. Cette technique sophistiquée contourne les sécurités applicatives en récupérant les identifiants sous leur forme déchiffrée, offrant un accès immédiat aux ressources sensibles.

Alerte CISA : Des failles critiques dans Dassault Systèmes et XWiki activement exploitées

Points Clés :

  • Des acteurs malveillants exploitent activement des vulnérabilités dans DELMIA Apriso de Dassault Systèmes et XWiki
  • Les failles permettent l'exécution de code arbitraire et l'accès privilégié aux applications
  • Un mineur de cryptomonnaie est déployé via la vulnérabilité XWiki dans une attaque en deux phases

Description :

La CISA et VulnCheck signalent l'exploitation active de vulnérabilités critiques dans DELMIA Apriso de Dassault Systèmes (CVE-2025-6204, CVSS 8.0, CVE-2025-6205, CVSS 9.1) et XWiki (CVE-2025-24893, CVSS 9.8). Ces failles permettent l'injection de code, l'accès non autorisé et l'exécution de code à distance. Les attaques sur XWiki déploient un mineur de cryptomonnaie via un processus en deux étapes.

Pourquoi c'est important :

Ces vulnérabilités représentent une menace sérieuse pour les infrastructures critiques utilisant ces logiciels. L'exploitation de ces failles permet aux attaquants de compromettre entièrement les systèmes ciblés, d'exécuter du code malveillant et de détourner des ressources pour le minage de cryptomonnaies.

Atos remporte un contrat stratégique de 326 millions d'euros pour protéger l'Europe numérique

Points Clés :

  • Atos décroche un contrat-cadre de cybersécurité d'une valeur maximale de 326 millions d'euros auprès de la Commission européenne
  • Le groupe français sera responsable de la protection numérique des institutions européennes contre les cybermenaces
  • Cette victoire s'inscrit dans le cadre du plan de redressement 'Genesis' visant à recentrer Atos sur ses métiers stratégiques

Description :

Atos a été sélectionné comme prestataire principal pour assurer les services d'exploitation technique en cybersécurité pour les institutions européennes. Ce contrat de quatre ans comprend la réponse aux incidents, les enquêtes numériques, la détection des menaces et les activités de cybersécurité offensive comme les tests d'intrusion et la gestion des vulnérabilités.

Pourquoi c'est important :

Cette victoire commerciale représente un tournant pour Atos, qui traverse une phase de redressement après plusieurs années difficiles. Elle confirme la pertinence de sa stratégie de recentrage sur la cybersécurité et renforce sa position de leader européen dans ce domaine. Pour l'Europe, ce choix affirme sa volonté de souveraineté numérique en s'appuyant sur des acteurs européens pour protéger ses infrastructures critiques.

Après l'attaque par rançongiciel, la course contre la montre des lycées des Hauts-de-France avant la rentrée

Points Clés :

  • 5000 postes administratifs ont été restaurés, mais 55 000 ordinateurs pédagogiques restent à traiter
  • Un kit de ressources et un plan de continuité pédagogique sont en préparation pour la rentrée
  • Le groupe Qilin revendique le vol de plus de 1000 Go de données sensibles

Description :

À une semaine de la rentrée scolaire, les lycées des Hauts-de-France poursuivent leur remédiation après l'attaque par rançongiciel subie il y a quinze jours. Si la "quasi-totalité" des 5000 postes administratifs a été traitée, les 55 000 ordinateurs dédiés à la pédagogie restent à restaurer, compliquant la préparation de la rentrée pour les enseignants qui dépendent de ces outils numériques.

Pourquoi c'est important :

Cette cyberattaque illustre l'impact considérable des rançongiciels sur les services publics essentiels. La perturbation du système éducatif régional démontre la vulnérabilité des infrastructures numériques et les défis de la continuité de service après un incident majeur. L'enquête en cours sur le vol potentiel de données sensibles souligne également les risques de compromission d'informations personnelles dans ce type d'attaque.

Avant de partir, j'ai 2 (petits) services à te demander :

  1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
  2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon jeudi à toi !