Voici un panel de quelques éléments de l’actualité de la sécurité informatique. Au sommaire de cette lettre :

[EN] Hi everyone !

Here is a panel of some current information about computer security. Contents of this letter:

• Gigalis
• ENISA
• Let’s Encrypt
• Infiltrate
• Cyberattacks
• Latest vulns
• Blog & ICE

Gigalis

[FR] Nous sommes fiers d’annoncer qu’ IRONIE vient d’être référencée sur la centrale d’achat public GIP Gigalis. Ce nouvel accord-cadre, d’une durée de 4 ans, nous permet de mieux servir nos clients soumis au code des marchés publics, sur toute la France. Nous sommes titulaires sur les trois lots suivants :

• Audit, évaluation et tests d’intrusion
• Services de détection et réponse managés (MDR/SOC)
• Protection des infrastructures et applications

• Ironie x GIP Gigalis

https://www.ironie.fr/gigalis

ENISA

[FR] Grâce à une approche davantage axée sur les menaces et à une analyse contextuelle plus poussée, cette dernière édition du rapport ENISA sur le paysage des menaces analyse 4 875 incidents sur une période allant du 1er juillet 2024 au 30 juin 2025. Ce rapport offre essentiellement une vue d’ensemble des principales menaces et tendances en matière de cybersécurité auxquelles l’UE est confrontée dans l’écosystème actuel des cybermenaces.

[EN] Through a more threat-centric approach and further contextual analysis, this latest edition of the ENISA Threat Landscape analyses 4875 incidents over a period spanning from 1 July 2024 to 30 June 2025. At its core, this report provides an overview of the most prominent cybersecurity threats and trends the EU faces in the current cyber threat ecosystem.

• ENISA Threat Landscape 2025

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025

Let’s Encrypt

[FR] Let’s Encrypt a officiellement annoncé son intention de réduire la période de validité maximale de ses certificats SSL/TLS de 90 jours à 45 jours.

[EN] Let’s Encrypt has officially announced plans to reduce the maximum validity period of its SSL/TLS certificates from 90 days to 45 days.

• Let’s Encrypt to Reduce Certificate Validity from 90 Days to 45 Days

https://cybersecuritynews.com/lets-encrypt-45-days-certificate

Infiltrate

[FR] KnowBe4 recherchait un ingénieur logiciel pour son équipe interne d’IA. Nous avons publié l’offre d’emploi, reçu des CV, mené des entretiens, effectué des vérifications d’antécédents et de références, et embauché la personne. Nous lui avons envoyé son poste de travail Mac, et dès sa réception, un logiciel malveillant s’est installé dessus.

[EN] KnowBe4 needed a software engineer for our internal IT AI team. We posted the job, received resumes, conducted interviews, performed background checks, verified references, and hired the person. We sent them their Mac workstation, and the moment it was received, it immediately started to load malware.

• How a North Korean Fake IT Worker Tried to Infiltrate Us
  https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us

Cyberattacks

[FR] Les dernières cyberattaques connues publiquement en France ou ailleurs :

[EN] The latest publicly known cyberattacks in France, or elsewhere:

• PayPal et les grandes banques européennes visés par une cyberattaque

https://www.presse-citron.net/menace-majeure-paypal-grandes-banques-europeennes-vises-cyberattaque

• Une cyberattaque frappe le ministère de l’Intérieur : les « serveurs de messagerie » dans le viseur

https://www.01net.com/actualites/cyberattaque-frappe-ministere-interieur-serveurs-messagerie-viseur.html

• Aviation Under Attack: Turkish Hackers Attempt Data Theft from Israir, Passport Data Feared Exposed

https://www.jfeed.com/news-israel/turkish-hackers-israir-cyberattack

• Un assureur, un outil scolaire et de nouvelles fédérations sportives ciblées par un pirate

https://www.zataz.com/un-assureur-un-outil-scolaire-et-de-nouvelles-federations-sportives-ciblees-par-un-pirate

• Vol de données : Marriott paie 52 millions de dollars d’amende et s’engage à renforcer sa sécurité

https://www.usine-digitale.fr/article/vol-de-donnees-marriott-paie-52-millions-de-dollars-d-amende-et-s-engage-a-renforcer-sa-securite.N2220218

• La FFHB victime d’une cyber attaque via le logiciel des clubs

https://handnews.fr/2025/ffhb-la-ffhb-victime-dune-cyber-attaque-via-le-logiciel-des-clubs

• LockBit 5.0 Infrastructure Exposed in New Server, IP, and Domain Leak

https://cybersecuritynews.com/lockbit-5-0-infrastructure-exposed

• Piratage : les données personnelles des clients des cuisinistes Schmidt et Cuisinella divulguées à «un tiers non autorisé»

https://www.liberation.fr/economie/conso/piratage-les-donnees-personnelles-des-clients-des-cuisinistes-schmidt-et-cuisinella-divulguees-a-un-tiers-non-autorise-20251205_EHP4BZ5LKFD2TDHGQMCL2SH3WI

• MédecinDirect piraté : les données médicales des utilisateurs ont été volées

https://www.01net.com/actualites/medecindirect-pirate-donnees-medicales-utilisateurs-volees.html

• Alerte cyber chez Leroy Merlin : que révèle l’attaque ?

https://presse83.fr/2025/12/03/alerte-cyber-chez-leroy-merlin-que-revele-lattaque

• Salty2FA & Tycoon2FA Hybrid: A New Phishing Threat to Enterprises

https://any.run/cybersecurity-blog/salty2fa-tycoon2fa-hybrid-phishing-2025

• Cyberattaque en mairie : les données de 19 000 habitants piratées

https://www.lavoixdunord.fr/1651066/article/2025-11-28/cyberattaque-en-mairie-les-donnees-de-19000-habitants-piratees

• Cyber malveillance: France Travail a nouveau au centre d’une grosse fuite de données, les informations de 1,6 million de personnes « susceptibles d’être divulguées »

https://www.bfmtv.com/tech/cybersecurite/cyber-malveillance-france-travail-a-nouveau-au-centre-d-une-grosse-fuite-de-donnees-les-informations-de-1-6-million-de-personnes-susceptibles-d-etre-divulguees_AD-202512010705.html

Latest vulns

[FR] Plusieurs vulnérabilités importantes ont été rendues publiques récemment. Mettez à jour vos systèmes sans attendre.

[EN] Several significant vulnerabilities have been made public recently. Update your systems now.

• Notepad++ v8.8.9 release: Vulnerability-fix

https://notepad-plus-plus.org/news/v889-released

• Gemini Zero-Click Vulnerability Let Attackers Access Gmail, Calendar, and Docs

https://cybersecuritynews.com/gemini-zero-click-vulnerability

• CVE-2025-59718/59719: Multiple Fortinet Products’ FortiCloud SSO Login Authentication Bypass

https://fortiguard.fortinet.com/psirt/FG-IR-25-647

• Cisco Warns of Hackers Actively Exploiting ASA and FTD 0-day RCE Vulnerability in the Wild

https://cybersecuritynews-com.cdn.ampproject.org/c/s/cybersecuritynews.com/cisco-asa-and-ftd-0-day-rce-vulnerability/amp

• CVE-2025-55182: Critical Security Vulnerability in React Server Components

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

• NetGate pfSense: Anti-brute force protection bypass and potential denial of service

https://docs.netgate.com/downloads/pfSense-SA-25_09.sshguard.asc

• Multiples vulnérabilités dans les produits NetApp

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1102

• CVE-2025-7073: Local Privilege Escalation via Arbitrary File Operation in Bitdefender ATC (VA-12590)

https://www.bitdefender.com/support/security-advisories/local-privilege-escalation-via-arbitrary-file-operation-in-bitdefender-atc-va-12590

• Multiples vulnérabilités dans les produits Splunk

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1063

• Multiples vulnérabilités dans Zabbix

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1055

L’article (BS153) Gigalis / ENISA / Let’s Encrypt / Infiltrate / Cyberattacks / Latest vulns / Blog & ICE est apparu en premier sur IRONIE.

Le CA/Browser Forum (l’organisme réunissant autorités de certification et éditeurs de navigateurs) a voté en avril 2025 une nouvelle règle qui réduit progressivement la durée de validité maximale des certificats SSL/TLS jusqu’à seulement 47 jours. Cette décision pousse à une gestion automatisée des certificats, jugée indispensable face à une fréquence de renouvellement plus élevée.

Calendrier de réduction des certificats

La mise en œuvre se fait en plusieurs étapes :

• Jusqu’au 15 mars 2026 : durée maximale toujours 398 jours ;
• À partir du 15 mars 2026 : maximum de 200 jours ;
• À partir du 15 mars 2027 : maximum de 100 jours ;
• À partir du 15 mars 2029 : durée maximale réduite à 47 jours.

En parallèle, la période de réutilisation des validations de contrôle de domaine (DCV) suit le même calendrier pour passer progressivement jusqu’à 10 jours en 2029.

Pourquoi ce changement ?

L’objectif est de améliorer la sécurité globale des certificats : des durées plus courtes réduisent le risque qu’un certificat obsolète ou compromis reste actif trop longtemps. Parallèlement, cela renforce la nécessité de solutions automatisées pour la gestion des renouvellements, car une validation manuelle deviendrait trop lourde à maintenir.

Comment s’y préparer

Pour gérer cette transition, il est recommandé aux entreprises de s’appuyer sur plusieurs leviers :

1. Autorité de certification (AC) / Fournisseur de certificats – un partenaire fiable pour l’authentification des domaines et l’émission de certificats ;
2. Gestion du DNS – un contrôle efficace du DNS — notamment pour les enregistrements nécessaires à la validation des domaines ;
3. Outils de gestion de certificats (CLM) – solutions permettant d’automatiser les commandes, renouvellements et déploiements, connectées à vos AC.

En résumé

D’ici 2029, tous les certificats SSL/TLS publics devront être valides au maximum 47 jours, avec des périodes de réutilisation des validations réduites jusqu’à 10 jours. Ce changement, approuvé par consensus au sein du CA/B Forum, marque une nouvelle étape vers la sécurité accrue et une gestion automatisée des infrastructures de certificats.

L’article Durée de vie des certificats TLS est apparu en premier sur IRONIE.

DKIM pourrait avoir un tout nouveau standard, appelé DKIM2 ! DKIM2 remplacerait alors l’ancien mécanisme de sécurité du courrier électronique (DKIM) par un nouveau mécanisme actualisé pour une authentification et une sécurité renforcées.

Nécessité de remplacer DKIM

Le mécanisme naissant de DKIM – DKIM1 – a été décrit pour la première fois dans la RFC 4871et publié en 2007. Depuis, au fil des ans, plusieurs faiblesses opérationnelles ont été découvertes :

1. Question de la modification par l’intermédiaire
   Dans plusieurs cas de transfert de courrier électronique les serveurs intermédiaires prennent souvent la liberté de modifier un courrier électronique légitime en ajoutant des pieds de page supplémentaires ou en modifiant la signature. Cela rend la signature DKIM1 originale invérifiable, ce qui entraîne des échecs DKIM indésirables. Les courriels concernés peuvent alors être signalés ou marqués comme spam, bien qu’ils soient légitimes.
   
2. Atteinte à la réputation par les attaques par répétition
   Lors d’une attaque par rediffusion DKIM, un acteur mailveillant renvoie un courrier électronique qui a été initialement authentifié et signé avec une signature DKIM, en le faisant passer pour un nouveau message authentique. Cependant, le message peut avoir été modifié et être désormais potentiellement dangereux. En bref, des acteurs malveillants peuvent « rejouer » des courriels signés DKIM, nuisant ainsi à la réputation des signataires légitimes.
   
3. Absence de retour d’information normalisé
   Certains systèmes mettent en place des mécanismes informels de retour d’information pour informer les expéditeurs de courriers électroniques de l’efficacité de leurs courriers signés DKIM. Ces boucles de rétroaction aident les expéditeurs à savoir si leurs messages sont délivrés correctement ou s’ils sont signalés comme problématiques. Toutefois, il n’existe actuellement aucune règle officielle concernant le fonctionnement de ces systèmes de retour d’information. Ce manque de normalisation peut entraîner l’envoi d’un retour d’information inutile ou peu utile.
   
4. Problème de rétrodiffusion
   Si quelqu’un se fait passer pour l’expéditeur d’un courriel (il en falsifie l’origine) et que le courriel ne peut pas être livré, le système envoie souvent un « avis d’échec ». Cet avis est appelé « avis d’état de livraison » (Delivery Status Notification, ou DSN). L’avis parvient à la victime sans méfiance dont le domaine a été falsifié. Cela signifie qu’une personne innocente, qui n’a rien à voir avec le courrier électronique, reçoit une notification confuse ou indésirable. Ce phénomène est connu sous le nom de « backscatter ».

Qu’est-ce que DKIM2 ?

DKIM2 devrait être la prochaine version mise à jour de DKIM1, visant à corriger les lacunes de la version précédente, telles que la vulnérabilité aux attaques par rejeu, les problèmes de transfert de courrier, et à fournir une cryptographie améliorée pour une meilleure authentification et une protection ultérieure.

DKIM2 devrait également résoudre les problèmes de signature des en-têtes, empêcher la rétrodiffusion et prendre en charge plusieurs algorithmes cryptographiques pour faciliter la migration d’une version algorithmique obsolète vers une nouvelle.

En quoi DKIM2 peut-il être un atout ?

DKIM2 pourrait surpasser les capacités de DKIM1 en offrant les avantages clés suivants :

Signature normalisée de l’en-tête

Alors que DKIM1 signe parfois partiellement les en-têtes, ce qui laisse des failles non sécurisées que les acteurs de la menace peuvent exploiter, DKIM2 normalisera les en-têtes qui doivent être signés. Cela réduira la confusion et garantira que tous les en-têtes importants sont signés et sécurisés de manière cohérente.

Prévention de la rétrodiffusion

Le problème du DKIM1, qui entraîne une rétrodiffusion, a été expliqué dans la section ci-dessus. DKIM2 permettra à la DSN d’être envoyée au dernier serveur qui a traité le courrier électronique, évitant ainsi toute confusion pour des tiers innocents.

Gestion simplifiée des erreurs

DKIM2 renforce la sécurité et l’efficacité de la messagerie électronique en améliorant le traitement des messages de rebond et des erreurs. Il garantit que les messages de rebond suivent le bon chemin, protégeant ainsi la vie privée des destinataires et aidant les intermédiaires, tels que les fournisseurs de services de courrier électronique et les listes de diffusion, à suivre et à gérer facilement les problèmes de livraison. En outre, DKIM2 permet aux listes de diffusion et aux passerelles de sécurité d’enregistrer et d’annuler les modifications qu’elles effectuent, ce qui simplifie la vérification et permet de repérer les tentatives de falsification.

En résumé

Pour résumer les principaux éléments du projet de l’IETF, le protocole DKIM2 vise à contourner plusieurs inconvénients de la version actuelle du protocole DKIM1, en rendant le traitement des signatures plus simple, plus sûr et plus efficace. Il devrait également améliorer les capacités de reporting et normaliser les boucles de retour d’information, aidant ainsi les entités à rester informées ! Il est à espérer que cette nouvelle norme lancement sera bientôt lancée, afin que les entreprises puissent tirer le meilleur parti de leur authentification DKIM.

L’article DKIM2 : Qu’est-ce qui change ? est apparu en premier sur IRONIE.

Voici un panel de quelques éléments de l’actualité de la sécurité informatique. Au sommaire de cette lettre :

[EN] Hi everyone !

Here is a panel of some current information about computer security. Contents of this letter:

• To Pay or not To Pay
• Digital Omnibus
• Plane Patch
• RadX
• Cyberattacks
• Latest vulns
• Blog & ICE

To Pay or not To Pay

[FR] Des entreprises et experts en cybersécurité ont prévenu le gouvernement britannique que sa proposition de loi pour interdire le paiement de la rançon à certains groupes de pirates aurait peu de chances de mettre un frein aux attaques par rançongiciel. Pire encore, elle pourrait mener à l’effondrement de services essentiels.

[EN] Cybersecurity firms and experts have warned the British government that its proposed legislation to ban ransom payments to certain hacking groups is unlikely to curb ransomware attacks. Worse still, it could lead to the collapse of essential services.

• Le Royaume-Uni veut rendre illégal le paiement après une attaque de rançongiciel, mais ce n’est a priori pas une si bonne idée

https://www.bfmtv.com/tech/actualites/cybersecurite/le-royaume-uni-veut-rendre-illegal-le-paiement-apres-une-attaque-de-rancongiciel-mais-ce-n-est-pas-a-priori-pas-une-si-bonne-idee_AV-202511190487.html

• UK plans to ban public sector bodies from paying ransom to cyber criminals

https://www.reuters.com/world/uk/uk-plans-ban-public-sector-bodies-paying-ransom-cyber-criminals-2025-07-22

• Public Sector Off Limits: UK Introduces Ransomware Payment Ban and Reporting Regime

https://bisi.org.uk/reports/public-sector-off-limits-uk-introduces-ransomware-payment-ban-and-reporting-regime

Digital Omnibus

[FR] La Commission européenne a présenté son projet de règlement destiné à harmoniser et simplifier une large partie des législations liées au numérique. Le texte prévoit notamment une modification de certains points clés du RGPD ainsi que des mécanismes de notification en cas de cyberattaques.

[EN] The European Commission has presented its draft regulation aimed at harmonizing and simplifying a large part of digital legislation. The text notably includes amendments to certain key aspects of the GDPR, as well as mechanisms for notifying individuals in the event of cyberattacks.

• Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l’encadrement de l’IA et la cybersécurité ?

https://www.usine-digitale.fr/article/digital-omnibus-faut-il-craindre-la-reforme-qui-bouscule-le-rgpd-l-encadrement-de-l-ia-et-la-cybersecurite.N2241830

Plane Patch

[FR] Comme vous le savez peut-être déjà, le constructeur Airbus a lancé ce vendredi 28 novembre 2025 une directive urgente affectant un nombre important d’appareils de la famille A320.

[EN] As you may already know, the manufacturer Airbus launched an urgent directive on Friday, November 28, 2025, affecting a significant number of aircraft in the A320 family.

• Airbus update on A320 Family precautionary fleet action

https://www.airbus.com/en/newsroom/press-releases/2025-11-airbus-update-on-a320-family-precautionary-fleet-action

• SNPNC : AIRBUS SITUATION

https://snpnc.org/airbus-situation

RadX

[FR] Depuis des années, Windows NPS a été le service choisi par défaut pour gérer les authentifications réseau basées sur Radius. Microsoft envisageant de le retirer de Windows Server, nous avons pris les devants, en développant un serveur d’authentification tout-terrain.

[EN] For years, Windows NPS has been the default service for managing RADIUS-based network authentication. With Microsoft planning to remove it from Windows Server, we took the initiative by developing a rugged authentication server.

• Bienvenue à RadX
  https://www.ironie.fr/bienvenue-a-radx/

Cyberattacks

[FR] Les dernières cyberattaques connues publiquement en France ou ailleurs :

[EN] The latest publicly known cyberattacks in France, or elsewhere:

• Zapier’s NPM Account Hacked, Multiple Packages Infected with Malware

https://gbhackers.com/zapiers-npm-account-hacked-multiple-packages-infected

• Fuite de données chez Iberia : piratage via un prestataire

https://www.air-journal.fr/2025-11-30-fuite-de-donnees-chez-iberia-piratage-via-un-prestataire-noms-e%E2%80%91mails-et-numeros-de-fidelite-potentiellement-exposes-5269357.html

• MS Teams Guest Access Can Remove Defender Protection When Users Join External Tenants

https://thehackernews.com/2025/11/ms-teams-guest-access-can-remove.html

• Ils connaissent votre plaque d’immatriculation, le modèle exact de votre voiture, votre nom : comment les SMS d’escroquerie au péage sont devenus si précis

https://www.lefigaro.fr/automobile/ils-connaissent-votre-plaque-d-immatriculation-le-modele-exact-de-votre-voiture-votre-nom-comment-les-sms-d-escroquerie-au-peage-sont-devenus-si-precis-20251126

• La plateforme Itelis a été victime d’un piratage

https://www.bfmtv.com/tech/cybersecurite/la-plateforme-itelis-a-ete-victime-d-un-piratage-les-donnees-privees-d-utilisateurs-liees-aux-remboursements-de-frais-d-optique-ont-ete-derobees-attention-aux-campagnes-de-phishing_AV-202511240584.html

• Une cyberattaque contre Weda, logiciel utilisé par des milliers de médecins

https://www.lemonde.fr/pixels/article/2025/11/18/une-cyberattaque-contre-weda-logiciel-utilise-par-des-milliers-de-medecins-provoque-paralysie-et-fuite-de-donnees_6653915_4408996.html

• Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes

https://www.usine-digitale.fr/article/cyberattaque-colis-prive-signale-un-acces-non-autorise-a-ses-systemes-ayant-expose-des-donnees-clients.N2241818

• Cyberattaque contre Asahi : le géant japonais de la bière rétablira son système informatique en février

https://www.lefigaro.fr/secteur/high-tech/cyberattaque-contre-asahi-le-geant-japonais-de-la-biere-retablira-son-systeme-informatique-en-fevrier-20251121

• « C’est terrible » : une PME bretonne piégée par une arnaque vocale à l’IA

https://www.zdnet.fr/actualites/cest-terrible-une-pme-bretonne-piegee-par-une-arnaque-vocale-a-lia-485235.htm

• Fuite de données personnelles : La ville de Quimper appelle à la vigilance

https://www.quimper.bzh/actualite/47932/3-fuite-de-donnees-personnelles-la-ville-de-quimper-appelle-a-la-vigilance.htm

• Incident de cybersécurité chez Eurofiber France

https://www.eurofiber.com/fr-fr/actualites/incident-de-cybersecurite-chez-eurofiber-france

• Données personnelles : après une intrusion malveillante sur une plateforme, la Ville de Brest appelle à la vigilance

https://www.letelegramme.fr/finistere/brest-29200/donnees-personnelles-apres-une-intrusion-malveillante-sur-une-plateforme-la-ville-de-brest-appelle-a-la-vigilance-6929006.php

• Le service Pajemploi victime d’un vol de données, jusqu’à 1,2 million de personnes touchées

https://www.lefigaro.fr/secteur/high-tech/le-service-pajemploi-victime-d-un-vol-de-donnees-jusqu-a-1-2-million-de-personnes-touchees-20251117

Latest vulns

[FR] Plusieurs vulnérabilités importantes ont été rendues publiques récemment. Mettez à jour vos systèmes sans attendre.

[EN] Several significant vulnerabilities have been made public recently. Update your systems now.

• CVE-2025-4619: PAN-OS: Firewall Denial of Service (DoS) Using Specially Crafted Packets

https://security.paloaltonetworks.com/CVE-2025-4619

• CVE-2025-41115: Grafana Patches CVSS 10.0 SCIM Flaw Enabling Impersonation and Privilege Escalation

https://thehackernews.com/2025/11/grafana-patches-cvss-100-scim-flaw.html

• CVE-2025-59287: Analysis of ShadowPad Attack Exploiting WSUS Remote Code Execution Vulnerability

https://asec.ahnlab.com/en/91166

• CVE-2025-20373: Sensitive Information Disclosure in “_internal“ index through Splunk Add-On for Palo Alto Networks

https://advisory.splunk.com/advisories/SVD-2025-1105

• CVE-2025-40601: SonicOS SSLVPN Pre-Auth Stack-Based Buffer Overflow Vulnerability

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0016

• CVE-2025-40604, CVE-2025-40605: PAN-OS: SonicWall Email Security Affected By Multiple Vulnerabilities

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0018

• CVE-2025-6195, 7449, 12571, 12653, 13611: GitLab Patch Release: 18.6.1, 18.5.3, 18.4.5

https://about.gitlab.com/releases/2025/11/26/patch-release-gitlab-18-6-1-released

• Multiples vulnérabilités dans les produits Atlassian

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1025

• Kaspersky : Advisory issued on November 24, 2025

https://support.kaspersky.com/vulnerability/list-of-advisories/12430#241125

• Vulnérabilité dans MISP

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1045

BLOG

• Ironie – Le blog des experts

https://www.ironie.fr/blog

ICE – In Case of Emergency

[FR] En cas d’incident cyber, le portail 17Cyber devient un centre d’information national proposé par la Police Nationale, la Gendarmerie Nationale et Cybermalveillance.gouv.fr :

• https://17cyber.gouv.fr

L’article (BS152) To Pay or not To Pay / Digital Omnibus / Plane Patch / RadX / Cyberattacks / Latest vulns / Blog & ICE est apparu en premier sur IRONIE.

Les équipes IT équipées de NPS se retrouvent avec :

• des règles RADIUS difficiles à maintenir ;
• très peu de visibilité sur les logs ;
• pas de MFA natif ;
• une gestion complexe des environnements hybrides ;
• des risques accrus liés à la dette technique ;
• un produit qui n’évolue plus techniquement (Microsoft envisage une EOL, avec retrait de Windows Server)

C’est pour tout cela et plus encore que nous avons développé un nouvel outil IAM, que nous avons baptisé RadX

Ce que RadX vous apporte :

• Remplacement complet de NPS ;
• Authentification forte 802.1X avec certificats ou login/password ;
• Compatibilité avec les équipements Wi-Fi, VPN, NAC ;
• Une interface d’administration simple et efficace ;
• Intégration native avec Entra ID, Active Directory, LDAP ;
• Support du MFA (Local / Yubico / TrustBuilder) ;
• Déploiement cloud ou on-premise ;
• PKI locale embarquée ;
• IDP Saml 2.0

Les entreprises ne peuvent plus compter sur des outils d’hier pour répondre aux enjeux d’aujourd’hui.
Il est temps de moderniser votre gestion des accès réseau.

L’article Bienvenue à RadX est apparu en premier sur IRONIE.

Pour quel usage ?

Il y a quatre fonctions clés à comprendre :

Authentification : prouver qui est l’utilisateur
Autorisation : déterminer ce qu’il peut faire
SSO : se connecter une seule fois et accéder à plusieurs services sans se reconnecter
Fédération : utiliser une identité externe pour se connecter

Comprends ces fonctions permet de ne plus tout mélanger.

SAML

Besoin : se connecter à une application via une identité d’entreprise.
Fonction : l’application délègue l’authentification au fournisseur d’identité.

• Authentification : Oui
• Autorisation : Non (ou très limitée)
• SSO : Oui
• Fédération : Oui (c’est son usage principal)

OAuth2

Besoin : donner des permissions limitées à une application.
Fonction : obtenir un “token d’accès” sans partager ton mot de passe.

• Authentification : Non
• Autorisation : Oui
• SSO : Non
• Fédération : Non (mais utilisé dans des systèmes fédérés)

OIDC

Besoin : permettre à une application de savoir qui est l’utilisateur.
Fonction : OIDC ajoute une couche identité à OAuth2.

• Authentification : Oui
• Autorisation : Non (c’est OAuth2 qui s’en charge)
• SSO : Oui
• Fédération : Oui (Google, Microsoft, etc.)

Kerberos

Besoin : accéder aux services internes sans se reconnecter partout.
Fonction : authentification centralisée + tickets internes.

• Authentification : Oui
• Autorisation : Non (mais les tickets donnent accès)
• SSO : Oui (c’est son but principal)
• Fédération : Non

LDAP

Besoin : stocker toutes les identités, groupes et infos utilisateur.
Fonction : c’est l’annuaire que les systèmes consultent.

• Authentification : Oui
• Autorisation : Indirecte (fournit groupes et rôles, ne décide pas)
• SSO : Non
• Fédération : Non

RADIUS

Besoin : contrôler l’accès au réseau (WiFi, VPN, switch).
Fonction : vérifier ton identité et accepter/refuser.

• Authentification : Oui
• Autorisation : Oui (accept/reject)
• SSO : Non
• Fédération : Non

Liens

Post LinkedIn « SAML, OAuth2, OIDC, Kerberos, LDAP et RADIUS »

https://www.linkedin.com/posts/biren-bastien_beaucoup-confondent-encore-saml-oauth2-activity-7399134771269799937-ssed

Understanding Login Protocols: OIDC, OAuth2, SAML, and WebAuthn

https://medium.com/h7w/understanding-login-protocols-oidc-oauth2-saml-and-webauthn-c1f1b733f3f7

L’article Protocoles d’identification est apparu en premier sur IRONIE.

Voici un panel de quelques éléments de l’actualité de la sécurité informatique. Au sommaire de cette lettre :

[EN] Hi everyone !

Here is a panel of some current information about computer security. Contents of this letter:

• Fortinet SSLVPN
• PME
• DMARCbis
• IA & Cyber
• Cyberattacks
• Latest vulns
• Blog & ICE

Fortinet SSLVPN

[FR] Fortinet avait annoncé la fin du SSLVPN, ce qui a été définitivement supprimé sur toutes les appliances FortiGate à partir de FortiOS 7.6.3. Cette suppression était déjà effective sur certains nouveaux modèles de génération G. Cette décision marque un changement important dans la façon dont les entreprises doivent aborder la connectivité à distance en utilisant l’infrastructure Fortinet.

[EN] Fortinet had announced the end of SSLVPN, which has been permanently removed from all FortiGate appliances starting with FortiOS 7.6.3. This removal was already in effect on some newer G-generation models. This decision marks a significant change in how businesses should approach remote connectivity using Fortinet infrastructure.

• Fortinet SSLVPN

https://www.ironie.fr/fortinet-sslvpn

PME

[FR] Des efforts réels, mais des failles encore persistantes chez les entreprises françaises. C’est le constat dressé, début octobre, par les professionnels de la sécurité informatique réunis au sein des Assises de la cybersécurité. Dans un contexte crisogène, l’écosystème français de la cybersécurité se structure pour s’adapter aux menaces.

[EN] Real efforts are being made, but vulnerabilities still persist among French companies. This was the conclusion reached in early October by IT security professionals gathered at the Cybersecurity Conference. In a crisis-ridden context, the French cybersecurity ecosystem is structuring itself to adapt to the threats.

• Cyber-résilience : les PME françaises toujours vulnérables

https://www.futura-sciences.com/tech/actualites/cybersecurite-cyber-resilience-pme-francaises-toujours-vulnerables-126600

DMARCbis

[FR] La spécification DMARC a été publiée pour la première fois en 2012, et l’IETF propose des modifications au contrôle basé sur le DNS dans DMARCbis, le titre de travail de la version mise à jour. DMARCbis se trouve actuellement dans la phase « Last Call » de l’IETF et devrait être publié en 2025.

[EN] The DMARC specification was first published in 2012, and the IETF is proposing changes to DNS-based control in DMARCbis, the working title of the updated version. DMARCbis is currently in the IETF’s « Last Call » phase and is expected to be published in 2025.

• DMARCbis : Qu’est-ce qui change ?

https://www.ironie.fr/dmarcbis-quest-ce-qui-change

IA & Cyber

[FR] L’opération révélée par Anthropic, impliquant la manipulation de Claude Code par le groupe de cybercriminels appelé GTG-1002, a des implications considérables pour la cybersécurité et souligne l’urgence de mettre en place des garde-fous pour l’IA. Les réseaux d’une trentaine d’entreprises, de banques, de fabricants et de gouvernements à travers le monde ont été visés et plusieurs intrusions ont été confirmées.

[EN] The operation revealed by Anthropic, involving the manipulation of Claude Code by the cybercriminal group known as GTG-1002, has significant implications for cybersecurity and underscores the urgent need to implement safeguards for AI. The networks of approximately thirty companies, banks, manufacturers, and governments worldwide were targeted, and several intrusions were confirmed.

• Soutenus par l’État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l’IA
  https://www.usine-digitale.fr/article/soutenus-par-l-etat-chinois-des-pirates-ont-pris-le-controle-de-claude-code-pour-mener-une-operation-de-cyberespionnage-orchestree-par-l-ia.N2241434
• When Attacks Come Faster Than Patches: Why 2026 Will be the Year of Machine-Speed Security

https://thehackernews.com/2025/11/when-attacks-come-faster-than-patches.html

• Disrupting the first reported AI-orchestrated cyber espionage campaign

https://www.anthropic.com/news/disrupting-AI-espionage

Cyberattacks

[FR] Les dernières cyberattaques connues publiquement en France ou ailleurs :

[EN] The latest publicly known cyberattacks in France, or elsewhere:

• Puy-de-Dôme : un garage victime d’une cyberattaque à la carte grise à Mozac

https://www.francebleu.fr/infos/faits-divers-justice/mozac-puy-de-dome-un-garage-victime-d-une-cyber-attaque-a-la-carte-grise-2824671

• Santé : l’éditeur du logiciel médical Weda coupe ses services « par précaution »

https://www.lemagit.fr/actualites/366634311/Sante-lediteur-du-logiciel-medical-Weda-coupe-ses-services-par-precaution

• Pirates de A à Z, des malfrats hackent des transporteurs routiers puis volent leurs marchandises

https://www.clubic.com/actualite-585529-pirates-de-a-a-z-des-malfrats-hackent-des-transporteurs-routiers-puis-volent-leurs-marchandises.html

• Cloud Abuse at Scale

https://www.fortinet.com/blog/threat-research/cloud-abuse-at-scale

• Hackers Target Swedish Power Grid Operator

https://www-securityweek-com.cdn.ampproject.org/c/s/www.securityweek.com/hackers-target-swedish-power-grid-operator/amp

• Toys ‘R’ New Proton Research Exposes 300 Million Stolen Credentials

https://www.forbes.com/sites/daveywinder/2025/11/01/proton-exposes-300-million-stolen-credentials—49-include-passwords

• Researchers Find Serious AI Bugs Exposing Meta, Nvidia, and Microsoft Inference Frameworks

https://thehackernews.com/2025/11/researchers-find-serious-ai-bugs.html

• Soutenus par l’État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l’IA

https://www.usine-digitale.fr/article/soutenus-par-l-etat-chinois-des-pirates-ont-pris-le-controle-de-claude-code-pour-mener-une-operation-de-cyberespionnage-orchestree-par-l-ia.N2241434

• Outsourcing firm Capita fined £14m after millions had data stolen

https://www-bbc-com.cdn.ampproject.org/c/s/www.bbc.com/news/articles/c9d6yxdq3d2o.amp

Latest vulns

[FR] Plusieurs vulnérabilités importantes ont été rendues publiques récemment. Mettez à jour vos systèmes sans attendre.

[EN] Several significant vulnerabilities have been made public recently. Update your systems now.

• CVE-2025-64446: Fortinet FortiWeb – Path confusion vulnerability in GUI

https://www.fortiguard.com/psirt/FG-IR-25-910

• CVE-2025-9242: WatchGuard Firebox iked Out of Bounds Write Vulnerability

https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015

• CVE-2025-20333: Cisco Warns of Hackers Actively Exploiting ASA and FTD 0-day RCE Vulnerability in the Wild

https://cybersecuritynews.com/cisco-asa-and-ftd-0-day-rce-vulnerability

• CVE-2025-40778: Cache poisoning attacks with unsolicited RRs

https://kb.isc.org/docs/cve-2025-40778

• CVE-2025-20341: Cisco Catalyst Center Virtual Appliance Privilege Escalation Vulnerability

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-catc-priv-esc-VS8EeCuX

• CVE-2025-4619: PAN-OS: Firewall Denial of Service (DoS) Using Specially Crafted Packets

https://security.paloaltonetworks.com/CVE-2025-4619

• PAN-SA-2025-0018 Chromium and Prisma Browser: Monthly Vulnerability Update (November 2025)

https://security.paloaltonetworks.com/PAN-SA-2025-0018

• CVE-2025-12101: NetScaler ADC and NetScaler Gateway Security Bulletin

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX695486&articleURL=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2025_12101

• Apple Patches Multiple Critical Vulnerabilities in iOS 26.1 and iPadOS 26.1

https://cybersecuritynews.com/apple-patches-critical-vulnerabilities

• Amazon Uncovers Attacks Exploited Cisco ISE and Citrix NetScaler as Zero-Day Flaws

https://thehackernews.com/2025/11/amazon-uncovers-attacks-exploited-cisco.html

BLOG

• Ironie – Le blog des experts

https://www.ironie.fr/blog

ICE – In Case of Emergency

[FR] En cas d’incident cyber, le portail 17Cyber devient un centre d’information national proposé par la Police Nationale, la Gendarmerie Nationale et Cybermalveillance.gouv.fr :

• https://17cyber.gouv.fr

L’article (BS151) Fortinet SSLVPN / PME / DMARCbis / IA & Cyber / Cyberattacks / Latest vulns / Blog & ICE est apparu en premier sur IRONIE.

Le problème du SSLVPN

Les SSLVPN sont depuis longtemps une méthode populaire pour l’accès à distance sécurisé, notamment en raison de leur facilité de déploiement et de leur compatibilité avec les réseaux restrictifs (puisqu’ils utilisent le port standard HTTPS). Cependant, le SSLVPN de Fortinet a été confronté à de nombreux problèmes de sécurité ces dernières années (comme ses compétiteurs). Des vulnérabilités très médiatisées ont conduit à un nombre croissant d’incidents. Il s’agit notamment de failles de contournement de l’authentification, de débordements de la mémoire tampon du tas et de faiblesses dans la gestion des sessions. Cette accumulation a précipité ce changement. En supprimant la prise en charge du mode tunnel du SSLVPN, l’entreprise vise à réduire la surface d’attaque et à encourager les clients à passer à ce qu’ils considèrent comme une alternative plus sûre.

Tunnel vs Portal

Seul le mode tunnel est concerné par cet abandon. Le mode dit « web », ou « portail », permettant par exemple de présenter des ressources à des utilisateurs externes, existe toujours. Il a été renommé « Agentless VPN », et sera désormais géré par le process « wad » (le process « sslvpnd » disparaissant).

Le remplacement : IPsec VPN

A la place du SSLVPN, Fortinet recommande de migrer vers IPsec VPN. IPsec est une norme bien établie qui offre un chiffrement puissant et des canaux de communication sécurisés. Il s’agit d’un élément essentiel de la technologie VPN depuis des décennies. Cependant, IPsec a ses propres inconvénients. La configuration peut être plus complexe que celle du SSLVPN. IPsec utilise par défaut un transport en mode ESP (IP 50). Il peut gérer la translation d’adresse (NAT) avec l’option NAT-T (transport UDP, sur les ports 500 et 4500). Mais ces ports peuvent parfois être bloqués dans des environnements réseau restrictifs, contrairement au SSLVPN, qui peut fonctionner sur le port standard 443 (HTTPS).

Transport TCP

Avec la version 7.6, FortiOS et FortiClient savent désormais régler cette problématique. Le transport TCP pour IPsec est supporté (en IKEv2), et permet d’utiliser le port 443 bien connu. Il est possible de prévoir une bascule en TCP, si la connexion en UDP ne fonctionne pas². Associé aux authentifications modernes (comme SAML), il est possible de s’authentifier facilement (SSO) auprès d’IdP comme Microsoft Entra ID, et d’y associer une authentification forte #MFA, comme TrustBuilder.

FortiClient

Il convient d’anticiper ce changement, pour migrer en toute sérénité. Vous avez plusieurs scenari possibles : IPsec tunnel, ZTNA par application ou Agentless portal. Ces fonctionnalités nécessitent cependant d’utiliser un FortiClient sous licence (EMS, en version Cloud ou On-premise), qui dispose de tout l’éventail des fonctionnalités professionnelles :

• Déploiement des packages préconfigurés et mises à jour du FortiClient
• Inventaire des équipements et définition des profils d’accès
• Posture de sécurité (ZTNA Posture Check) – en interne ou en externe, avec la Security Fabric
• IPsec moderne (IKEv2, authentifications modernes avec IdP)
• Accès ZTNA par applications

C’est aussi l’occasion, au delà de l’accès aux applications d’entreprise, de protéger complètement le poste utilisateur, peu importe qu’il soit à l’intérieur du réseau ou à l’extérieur en déplacement. C’est tout le sens de l’offre FortiSASE, qui s’appuie sur le même agent unique #FortiClient.

1. https://listes.ironie.fr/wws/arc/info-fortinet-fortigate/2025-09/msg00003.html ︎
2. https://docs.fortinet.com/document/fortigate/7.6.0/new-features/545447/automatic-selection-of-ipsec-tunneling-protocol ︎

L’article Fortinet SSLVPN est apparu en premier sur IRONIE.

C’est dans ce contexte qu’a émergé une nouvelle approche : le ZTNA (Zero Trust Network Access), qui redéfinit la manière dont les entreprises contrôlent et sécurisent leurs accès distants.

Définition

VPN est l’abréviation anglaise de « Virtual Private Network »,.

En d’autres termes, Le VPN permet de créer un tunnel chiffré entre un réseau ou poste distant, et le réseau interne d’une entreprise ou organisme. Il garantit la confidentialité des échanges même lorsque les connexions passent par des réseaux non maîtrisés (wifi d’hôtel, d’aéroport ou de café).

Le VPN sert avant tout à :

• Donner aux collaborateurs un accès sécurisé aux ressources internes depuis n’importe où ;
• Permettre à des prestataires externes un accès limité et contrôlé à leurs environnements ;
• Sécuriser les connexions depuis des réseaux publics.

Nos équipes configurent des matrices de flux précises, afin que chaque utilisateur accède uniquement aux ressources nécessaires à son activité. En pratique, il s’agit d’un tableau répertoriant les flux autorisés (ou interdits) entre les différentes zones du système d’information : réseau interne, DMZ, cloud, postes utilisateurs, prestataires, etc.

Grâce à cette approche, il devient possible d’anticiper les besoins en communication entre les services ou les partenaires, tout en bloquant les flux inutiles ou risqués.

Limites du VPN

Le modèle traditionnel basé sur les VPN présente aujourd’hui plusieurs limites majeures :

• Le VPN repose sur un modèle de confiance implicite : une fois connecté, l’utilisateur dispose souvent d’un accès étendu au réseau interne, sans que l’entreprise ne puisse vérifier l’état de son poste ou sa conformité ;

• Par la suite, le VPN ne contrôle pas l’état du poste utilisé avant d’autoriser l’accès au réseau. Par exemple, un collaborateur qui travaille depuis son ordinateur personnel, non protégé par un antivirus ou des mises à jour régulières. Si ce poste est infecté par un malware, la connexion VPN crée un tunnel direct vers le réseau interne de l’entreprise, permettant au virus de se propager librement mettant en danger les données et les systèmes internes ;

• Le VPN présente également une vulnérabilité face aux identifiants volés. Sans double authentification forte, un mot de passe compromis peut suffire à donner à un tiers un accès complet au réseau, sans aucun contrôle sur le poste utilisé. Dans ce cas, le VPN ne distingue pas l’utilisateur légitime de l’attaquant.

ZTNA : la nouvelle génération de sécurité réseau

C’est précisément pour répondre à ce type de risque que le ZTNA a été pensée. Le modèle de Zéro Trust Architecture (ZTA) repose sur un principe fondamental :

« Ne jamais faire confiance, toujours vérifier »

Ce modèle part du postulat qu’aucun utilisateur ni appareil n’est fiable. L’accès aux applications et aux ressources est donc accordé uniquement aux utilisateurs autorisés et vérifiés en continu, selon des critères de conformité strictement définis.

Le ZTNA (Zero Trust Network Access) constitue la mise en œuvre concrète de ce modèle. Elle désigne un ensemble de technologies et de fonctionnalités qui permettent un accès sécurisé aux applications internes pour les utilisateurs à distance.

Contrairement au VPN classique, la ZTNA ne se contente pas d’autoriser une connexion : elle vérifie la conformité et la sécurité du poste avant d’autoriser l’accès aux ressources de l’entreprise. Le ZTNA permet un accès granulaire, limité à des ressources spécifiques et uniques.

Cette approche réduit considérablement les risques de failles de sécurité et notamment de latéralisation d’une attaque, puisque chaque utilisateur ne peut atteindre que ce qui lui est strictement nécessaire.

Le rôle clé de la conformité

Avant d’autoriser une connexion, la solution vérifie la conformité et la sécurité du poste. Chaque appareil se voit attribuer des tags de conformité qui conditionnent l’accès selon des critères définis par l’entreprise, tels que :

• Authentification de l’utilisateur via MFA (Multi Facteur Authentification) ;
• Le poste est connecté au domaine de l’entreprise ;
• Antivirus installé, activé et à jour ;
• Pare-feu Windows actif ;
• Mises à jour Windows appliquées ;
• Chiffrement BitLocker activé.

Ainsi, même avec les bons identifiants, un poste non conforme (obsolète, infecté, ou personnel non contrôlé) n’obtient pas l’accès aux ressources de l’entreprise. De même, un tiers vole des identifiants, il ne pourra se connecter sans un poste client enrôlé répondant à tous ces critères.

Pour pallier ces failles le ZTNA est devenu la solution privilégiée.

Pourquoi adopter le ZTNA

Sécurité renforcée : contrôle de l’utilisateur, du terminal et du contexte avant chaque accès.

Segmentation fine : chaque utilisateur n’accède qu’aux ressources autorisées.

Traçabilité complète : suivi des connexions et conformité centralisée.

Expérience fluide : accès direct aux applications sans tunnel global.

Compatibilité cloud et hybride : le ZTNA s’intègre parfaitement aux infrastructure modernes.

Nous accompagnons nos clients dans la modernisation de leur stratégie de sécurité réseau, en combinant le VPN et la précision du ZTNA.

L’article ZTNA ou VPN ? est apparu en premier sur IRONIE.

Voici un panel de quelques éléments de l’actualité de la sécurité informatique. Au sommaire de cette lettre :

[EN] Hi everyone !

Here is a panel of some current information about computer security. Contents of this letter:

• CyberMaritime
• MFA
• CyberLig
• Backups
• Cyberattacks
• Latest vulns
• ICE : In Case of Emergency

CyberMaritime

[FR] Certains Directeur de l’association France cyber maritime depuis sa création, Xavier Rebour passera le relai à Christian Cévaër au lendemain des Assises de l’économie de la mer 2025.

[EN] Xavier Rebour, who has been the director of the France Cyber ​​Maritime association since its creation, will hand over the reins to Christian Cévaër the day after the 2025 Maritime Economy Conference.

• Christian Cévaër est nommé directeur de France cyber maritime

https://lemarin.ouest-france.fr/economie/cybersecurite/christian-cevaer-est-nomme-directeur-de-france-cyber-maritime-0e9fdd5a-b4e6-11f0-8d83-9a721a62cee7

MFA

[FR] La mise en place de l’authentification forte (MFA) est devenue un enjeu clé pour les établissements de santé — à la croisée des impératifs de sécurité, de conformité réglementaire et de simplicité d’usage. Avec le témoignage d’Antoine Guillot, RSSI du GHT Sud Val-d’Oise – Nord Hauts-de-Seine, qui partagera son retour d’expérience concret sur le déploiement de la MFA dans un environnement hospitalier.

[EN] Implementing multi-factor authentication (MFA) has become a key issue for healthcare institutions – at the intersection of security requirements, regulatory compliance, and ease of use. Featuring insights from Antoine Guillot, CISO of the GHT Sud Val-d’Oise – Nord Hauts-de-Seine, who will share his practical experience deploying MFA in a hospital environment.

• MFA : Conformité, sécurité et retour d’expérience hospitalier

https://www.linkedin.com/events/mfa-conformit-s-curit-etretourd7388518489591816192/
https://meeting.zoho.com/meeting/register?sessionId=1089497566

CyberLig

[FR] CyberLig est le projet de préfiguration d’un campus cyber dans les Pays de la Loire. Porté par Gigalis, avec l’appui de la Région et de la Préfecture des Pays de la Loire, il a l’ambition de fédérer les acteurs économiques et publiques pour accompagner la réflexion vers un modèle répondant aux besoins de sécurité numérique de la Région.

[EN] CyberLig is the pilot project for a cybersecurity campus in the Pays de la Loire region. Led by Gigalis, with the support of the Regional Council and the Prefecture of the Pays de la Loire, its ambition is to bring together economic and public stakeholders to guide the development of a model that meets the digital security needs of the region.

• CyberLig – le projet de Campus Cyber dans les Pays de la loire

https://cyberlig.fr

Backups

[FR] La Corée du Sud perd 858 To de données gouvernementales, car le 26 septembre dernier, un incendie s’est produit au centre de données NIRS (National Information Resources Service) à Daejeon et a cramé 858 téraoctets de fichiers gouvernementaux. Et y’a pas de backup.

[EN] South Korea lost 858 terabytes of government data because on September 26, a fire broke out at the NIRS (National Information Resources Service) data center in Daejeon, burning 858 terabytes of government files. And there was no backup.

• Un incendie et pas de backup – La Corée du Sud perd 858 To de données gouvernementales
  https://korben.info/coree-sud-858-to-donnees-perdues-incendie-sans-backup.html

Cyberattacks

[FR] Les dernières cyberattaques connues publiquement en France ou ailleurs :

[EN] The latest publicly known cyberattacks in France, or elsewhere:

• Hackers Target Swedish Power Grid Operator

https://www-securityweek-com.cdn.ampproject.org/c/s/www.securityweek.com/hackers-target-swedish-power-grid-operator/amp

• New Proton Research Exposes 300 Million Stolen Credentials

https://www.forbes.com/sites/daveywinder/2025/11/01/proton-exposes-300-million-stolen-credentials—49-include-passwords

• EY Data Leak – Massive 4TB SQL Server Backup Exposed Publicly on Microsoft Azure

https://cybersecuritynews.com/ey-data-leak

• Le piratage de Jaguar Land Rover aura coûté 2,19 milliards d’euros à l’économie britannique

https://www.usine-digitale.fr/editorial/le-piratage-de-jaguar-land-rover-aura-coute-2-19-milliards-d-euros-a-l-economie-britannique.N2240002

• Red Hat confirms security incident after hackers breach GitLab instance

https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/red-hat-confirms-security-incident-after-hackers-breach-gitlab-instance/amp

• Toys ‘R’ Us Canada Customer Information Leaked Online

https://www.securityweek.com/toys-r-us-canada-customer-information-leaked-online

• Nation-State Hackers Deploy New Airstalk Malware in Suspected Supply Chain Attack

https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html

• Discord Data Breach – 1.5 TB of Data and 2 Million Government ID Photos Extorted

https://cybersecuritynews.com/discord-data-breach-sensitive-data

• France Travail de nouveau victime d’une cyberattaque, la troisième en moins de deux ans

https://www.usine-digitale.fr/article/france-travail-de-nouveau-victime-d-une-cyberattaque-la-troisieme-en-moins-de-deux-ans.N2240612

• Bitdefender 2025 Cybersecurity Assessment Report

https://www.bitdefender.com/en-us/business/campaign/2025-cybersecurity-assessment

Latest vulns

[FR] Plusieurs vulnérabilités importantes ont été rendues publiques récemment. Mettez à jour vos systèmes sans attendre.

[EN] Several significant vulnerabilities have been made public recently. Update your systems now.

• CVE-2023-20198: ASD Warns of Ongoing BADCANDY Attacks Exploiting Cisco IOS XE Vulnerability

https://thehackernews.com/2025/11/asd-warns-of-ongoing-badcandy-attacks.html

• Statement on OS command injection vulnerabilities on Omada gateways (CVE-2025-6541 and CVE-2025-6542)

https://support.omadanetworks.com/en/document/108455

• CVE-2025-62518: TARmageddon Flaw in Async-Tar Rust Library Could Enable Remote Code Execution

https://thehackernews.com/2025/10/tarmageddon-flaw-in-async-tar-rust.html

• CVE-2025-40603: SonicWall SMA100 Potential Exposure of Sensitive Information in Log File

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0017

• CVE-2025-10023: Centreon Web all versions – MEDIUM severity

https://thewatch.centreon.com/latest-security-bulletins-64/cve-2025-10023-centreon-web-all-versions-medium-severity-5179

• CVE-2025-59287: Vulnérabilité d’exécution de code à distance dans le service Windows Server Update Service (WSUS)

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

• CVE-2025-11955: Bulletin de sécurité TheGreenBow 18200 du 27 octobre 2025

https://www.thegreenbow.com/en/support/security-alerts/#deeplink-18200

• Multiples vulnérabilités dans Microsoft Azure

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0919

ICE – In Case of Emergency

[FR] En cas d’incident cyber, le portail 17Cyber devient un centre d’information national proposé par la Police Nationale, la Gendarmerie Nationale et Cybermalveillance.gouv.fr :

• https://17cyber.gouv.fr

L’article (BS150) CyberMaritime / MFA / CyberLig / Backups / Cyberattacks / Latest vulns / ICE est apparu en premier sur IRONIE.