SocGholish : démantèlement 🚨, ANSSI : Référentiel formation 📚, Apple iPhone : Faille critique puces A12, A13 🍎
Bonjour et bienvenue dans l'édition du mardi 23 juin !
A la une aujourd'hui:
- Les forces de l'ordre neutralisent le malware SocGholish sur près de 15 000 sites
- Nouveau référentiel de formation pour le pilotage de la remédiation cybersécurité
- Vulnérabilité BootROM iPhone : une Faille Critique compromet la chaîne de confiance Apple
- Faille dans Google Cloud Vertex AI : Détournement de modèles d'IA et exécution de code malveillant
- Microsoft reconnaît la vulnérabilité 'RoguePlanet' dans Defender
Les forces de l'ordre neutralisent le malware SocGholish sur près de 15 000 sites
Points Clés :
- L'opération internationale 'Endgame' a nettoyé près de 15 000 sites WordPress compromis par SocGholish
- Ce malware sert de porte d'entrée pour des attaques plus graves comme les rançongiciels
- Les autorités de plusieurs pays ont neutralisé plus de 100 serveurs liés à cette infrastructure
Description :
Une coalition internationale incluant les Pays-Bas, le Canada, les États-Unis et l'Allemagne, soutenue par Europol et Eurojust, a frappé le réseau SocGholish (aussi appelé FakeUpdates). Cette opération a permis d'assainir 14 971 sites WordPress compromis et de neutraliser plus de 100 serveurs. SocGholish, actif depuis 2017, détourne des sites légitimes pour piéger les visiteurs avec de fausses mises à jour de navigateurs, créant un accès initial exploitable par des cybercriminels.
Pourquoi c'est important :
Cette opération est significative car elle s'attaque aux infrastructures d'accès initial plutôt qu'aux attaques finales. SocGholish constitue une porte d'entrée stratégique pour des groupes comme le groupe russe Evil Corp, permettant le déploiement de rançongiciels majeurs comme LockBit et RansomHub. En neutralisant cette chaîne d'infection, les autorités réduisent considérablement la capacité des cybercriminels à compromettre des systèmes et à menacer des infrastructures critiques, protégeant ainsi entreprises et citoyens.
Nouveau référentiel de formation pour le pilotage de la remédiation cybersécurité
Points Clés :
- L'ANSSI a publié un nouveau référentiel de formation intitulé 'Pilotage de la remédiation' pour les organismes de formation continue
- Ce référentiel propose une méthode adaptée de réponse aux incidents de sécurité avec des supports utilisables par les organismes de formation
- Les formations conformes à ce référentiel pourront être éligibles au label SecNumedu-FC
Description :
Il y a quelques jours, l'ANSSI a publié un nouveau référentiel de formation dédié au pilotage de la remédiation des incidents de cybersécurité. Élaboré par les experts de l'agence, ce référentiel propose une méthodologie adaptée pour répondre aux incidents de sécurité, accompagnée de supports que les organismes de formation peuvent utiliser ou dont ils peuvent s'inspirer pour développer leurs propres programmes.
Pourquoi c'est important :
Face à la pénurie mondiale de talents en cybersécurité, le développement des compétences est un enjeu majeur pour la résilience cyber de la France. Cette initiative s'inscrit dans la stratégie nationale 2026-2030 et complète l'écosystème de formation de l'ANSSI qui comprend déjà les labels SecNumedu et SecNumedu-FC, le centre de formation CFSSI et le MOOC SecNumacadémie, contribuant ainsi à renforcer l'expertise française en cybersécurité.
Vulnérabilité BootROM iPhone : une Faille Critique compromet la chaîne de confiance Apple
Points Clés :
- La vulnérabilité 'usbliter8' affecte les puces A12 et A13 d'Apple et ne peut pas être corrigée par mise à jour logicielle
- L'exploit exploite une faille dans le contrôleur USB et les configurations du firmware permettant des écritures mémoire non autorisées
- Cette faille permet de compromettre l'intégralité de la chaîne de confiance du processeur d'application
Description :
Une vulnérabilité critique dans le BootROM des iPhone, nommée 'usbliter8', a été découverte par Paradigm Shift. Cette faille exploite un défaut dans le contrôleur USB DesignWare de Synopsys utilisé dans les puces A12 et A13 d'Apple. Le problème provient d'une mauvaise gestion des transferts USB qui permet une sous-allocation de mémoire contrôlée, donnant aux attaquants la capacité d'écrire dans des régions mémoire sensibles et de compromettre le processus de démarrage sécurisé.
Pourquoi c'est important :
Cette vulnérabilité est particulièrement grave car le BootROM est immuable, rendant impossible toute correction par mise à jour logicielle. Les millions d'appareils équipés de puces A12 et A13 : iPhone XS, XR, iPhone SE (2ème génération) 11, et 11 Pro resteront donc vulnérables à vie. L'exploit permet de contourner les mécanismes de sécurité d'Apple, d'injecter du code non signé et de modifier le processus de démarrage, affaiblissant considérablement les barrières de sécurité du système, même face à des protections avancées comme l'authentification des pointeurs.
Faille dans Google Cloud Vertex AI : Détournement de modèles d'IA et exécution de code malveillant
Points Clés :
- Une vulnérabilité dans le SDK Python de Vertex AI permettait de détourner les téléchargements de modèles ML
- L'attaque 'Pickle in the Middle' exploite une validation insuffisante de propriété des buckets de stockage
- L'exploitation réussie permettait l'exécution de code à distance dans les environnements Vertex AI
Description :
Des chercheurs de Unit42 ont découvert une vulnérabilité critique dans Google Cloud Vertex AI permettant aux attaquants de détourner les téléchargements de modèles d'apprentissage automatique. La faille résulte d'une combinaison de noms prévisibles pour les buckets de stockage temporaires et d'une absence de validation de propriété. Cette technique, baptisée 'Pickle in the Middle', permettait à un attaquant de créer un bucket avec le nom attendu et d'intercepter les artefacts du modèle pour y injecter du code malveillant.
Pourquoi c'est important :
Cette vulnérabilité illustre les risques émergents dans les pipelines d'IA/ML, où les attaques peuvent cibler les artefacts de modèles plutôt que les composants logiciels traditionnels. L'exploitation permettait d'exécuter du code malveillant, d'extraire des tokens d'authentification et d'accéder à d'autres ressources cloud avec des privilèges étendus. Cette découverte souligne l'importance de contrôles stricts autour du stockage, de l'identité et de la validation des modèles dans les plateformes d'IA gérées.
Microsoft reconnaît la vulnérabilité 'RoguePlanet' dans Defender
Points Clés :
- La vulnérabilité CVE-2026-50656 (CVSS 7.0) permet une élévation de privilèges locale dans Microsoft Defender
- L'exploit 'RoguePlanet' a été publié par le chercheur Nightmare Eclipse qui diffuse des zero-days Microsoft depuis mars 2026
- Microsoft travaille sur un correctif mais n'a pas encore annoncé de date de déploiement
Description :
Microsoft a reconnu une vulnérabilité d'élévation de privilèges dans Defender (CVE-2026-50656) exploitable via 'RoguePlanet'. Cette faille, qui exploite une condition de concurrence, permet d'obtenir des privilèges SYSTEM sur Windows 10 et 11. Elle fait partie d'une série d'exploits zero-day publiés par un chercheur anonyme nommé Nightmare Eclipse depuis mars 2026, apparemment en représailles contre Microsoft.
Pourquoi c'est important :
Cette vulnérabilité représente un risque sérieux car elle permet à un attaquant authentifié d'obtenir des privilèges système sans interaction de l'utilisateur. Microsoft l'a classée comme 'Exploitation plus probable' dans son index d'exploitabilité. L'incident souligne également les tensions entre Microsoft et certains chercheurs en sécurité concernant la divulgation responsable des vulnérabilités.
Avant de partir, j'ai 2 (petits) services à te demander :
- Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
- Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.
Bon mardi à toi !