Bulletin du 6 mai 2025


mardi 6 mai 2025

Les actualités de la cybersécurité

  • Fin de Skype au profit de Teams

    Comme annoncé en février 2025, Microsoft vient de fermer le service Skype, 14 ans après avoir lui-même remplacé Windows Live Messenger. Il est possible de migrer gratuitement vers Teams en utilisant le même compte. Les conversations et contacts seront alors transférés. Il ne sera cependant plus possible d'appeler des numéros de téléphone depuis son compte. La version entreprise de Skype reste encore active.

    Microsoft, 6 mai 2025, en anglais
  • Enquête sur le groupe Dracula, vol de 884000 cartes de crédits

    Plusieurs journaux (NRK, Bayerischer Rundfunk et Le Monde) avec la société norvégienne Mnemonic reviennent sur les opérations de Dracula. Il s'agit d'un groupe malveillant offrant de l'hameçonnage en mode service (phishing-as-a-service) et auraient 600 clients. Les expéditeurs des messages frauduleux se font passer pour des sociétés de péages routiers ou de livraison pour récupérer les informations des cartes de crédits des victimes. Depuis avril 2025, l'utilisation de l'intelligence artificielle générative leur permet de traduire leurs messages dans toutes langues et d'améliorer la rédaction pour ne plus être facilement détectés.

    Bleeping Computer, 6 mai 2025, en anglais
  • Nouveau malware Python : infostealer avec serveur de phishing intégré

    Xavier Mertens a analysé un script Python malveillant combinant des fonctionnalités d’infostealer avec un serveur de phishing embarqué. Ce malware, nommé 2.py (SHA256 : 538485a12db0a673623dfbf1ea1ae61a68c5e8f0df5049a51399f30d48aa15d2), présente encore une détection faible sur VirusTotal (3/62).

    Contrairement aux infostealers traditionnels, ce malware intègre un serveur Flask (un micro-framework web Python), ce qui permet de lancer son propre serveur web directement depuis la machine infectée et ainsi de récupérer en temps réel les éléments saisis par les victimes.

    Les principales fonctionnalités identifiées sont :

    • Keylogger
    • Persistance
    • Exfiltration
    • Techniques anti-débogage et anti-VM
    • Serveur de phishing intégré
    SANS, 6 mai 2025, en anglais
  • Changement de paradigme pour les mots de passe chez Microsoft

    Cette année inaugure la première édition de la journée mondiale des clés d'accès (passkey). Elle devrait remplacer la journée mondiale des mots de passe. Microsoft en profite pour faire un changement majeur lors de la création de nouveau compte : authentification sans mots de passe par défaut au profit de clés d'accès. Cela fait suite aux travaux initiés les années passées sur l'interface de connexion et Microsoft Hello. Il ne sera donc plus demander de définir un mot de passe, mais de choisir parmi les options proposées comme empreintes digitales, clé de sécurité (FIDO) ou l'application Microsoft Authenticator.

    Cette modification a pour but de réduire l'usurpation et piratage de compte.

    Microsoft, 3 mai 2025, en anglais
  • Deux nouvelles vulnérabilités : CommonVault et Yiiframework référencées par la CISA

    La CISA a ajouté deux nouvelles vulnérabilités exploité à son catalogue Known Exploited Vulnerabilities (KEV) :

    • CVE-2025-34028 (CommonVault) : Une vulnérabilité de type "traversée de répertoires" dans le Command Center de Commvault permet à un attaquant non authentifié d’exécuter du code arbitraire.
    • CVE-2024-58136 (Yiiframework) : permet à un attaquant d'exécuter du code arbitraire en exploitant une mauvaise gestion de l'attachement de comportements définis par une clé __class
    CISA, 2 mai 2025, en anglais

Focus sur les vulnérabilités récentes

  • Faille critique dans la partie PostgreSQL de la librairie PHP ADOdb

    La librairie PHP ADOdb, permettant de manipuler plusieurs SGBD, contient une vulnérabilité dans la méthode pg_insert_id(). Une injection SQL est possible due à un mauvais échappement de caractère. Il est possible d'exécuter des commandes SQL arbitraires. Une nouvelle version a été publiée pour corriger le souci : 5.22.9.

    Github, 3 mai 2025, en anglais

Prochains rendez-vous

  • SSTIC 2025 se tiendra à Rennes

    Le Symposium sur la Sécurité des Technologies de l'Information et des Communications 2025 se déroulera du 4 au 6 juin 2025.

    Quelques exemples de conférences au programme :

    Mercredi 4 juin :

    • 300 secondes chrono : prise de contrôle d’un système d’infodivertissement automobile à distance
    • Rumps

    Jeudi 5 juin :

    • Eurydice : guichet de diodes open source par l'ANSSI
    • Analysez des logiciels malveillants plus rapidement avec hrtng

    Vendredi 6 juin :

    • bbs et proxychains-udp : deux outils proxy pour le pentest
    • “Ça fait quoi si j'appuie là ?” : retour d'expérience de tests d'intrusion sur des systèmes industriels
    SSTIC, 4 juin 2025, en français
  • Prochaine conférence Google I/O les 20 et 21 mai 2025

    L'événement sera en ligne et en direct. Aucun enregistrement préalable est nécessaire pour le suivre.

    Google, 20 mai 2025, en anglais
  • Événement sur le thème du RGPD

    La CNIL organisent, le 14 mai 2025, une nouvelle journée RGPD, elle sera dédiée aux données de santé. L'objectif est d'identifier des solutions pour une gestion responsable et innovante des données de santé.

    L'événement se tiendra à la Faculté de droit de l'Université Catholique de Lille. Il sera accessible uniquement en présentiel et l'inscription est obligatoire.

    CNIL, 14 mai 2025, en français
  • Prochain Android Show le 13 mai prochain

    Google vient de mettre en ligne la page de la nouvelle édition de l'Android Show. Cet événement, dédié à l'écosystème Android chez Google, rejoint la conférence annuelle générale prévue pour le même mois (20 et 21). Sameer Samat, le président de l’écosystème Android, présentera les nouveautés avec son équipe. Il sera possible la suivre sur YouTube à partir de 19h (CEST) / 10 (PT).

    Google, 29 avril 2025, en français