Voici un panel de quelques éléments de l’actualité de la sécurité informatique. Au sommaire de cette lettre :

[EN] Hi everyone !

Here is a panel of some current information about computer security. Contents of this letter:

• DORA
• Salt Typhoon
• Cloud Act
• Cyberattacks
• Latest vulns

DORA

[FR] L’Autorité des marchés financiers (AMF) confirme l’application des orientations conjointes des autorités européennes de supervision, issues du règlement DORA (UE 2022/2554), entré en vigueur le 17 janvier 2025, concernant l’évaluation et la notification des coûts et pertes liés aux incidents majeurs TIC..

[EN] The European Regulation on Digital operational resilience in the financial sector (DORA) establishes a common framework for managing risks related to information and communication technologies (ICT). It sets out rules on cyber security and IT risk management that apply to a wide range of financial entities.

• INTERPOL Digital Operational Resilience Act (DORA)
• https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora
• The Regulation on Digital Operational Resilience in the Financial Sector (DORA)
• https://www.amf-france.org/en/news-publications/depth/dora

Salt Typhoon

[FR] Le Centre canadien pour la cybersécurité et le Federal Bureau of Investigation (FBI) des États-Unis ont émis un avertissement concernant les cyberattaques menées par les acteurs de Salt Typhoon liés à la Chine pour pirater les principaux fournisseurs mondiaux de télécommunications dans le cadre d’une campagne de cyberespionnage.

[EN] The Canadian Centre for Cyber Security and the U.S. Federal Bureau of Investigation (FBI) have issued an advisory warning of cyber attacks mounted by the China-linked Salt Typhoon actors to breach major global telecommunications providers as part of a cyber espionage campaign.

• A Saint-China-linked Salt Typhoon Exploits Critical Cisco Vulnerability to Target Canadian Telecom

https://thehackernews.com/2025/06/china-linked-salt-typhoon-exploits.html

Cloud Act

[FR] Selon Anton Carniaux Directeur des affaires publiques et juridiques de Microsoft France, Microsoft ne peut pas garantir la non transmission des données aux autorités Américaines. De l’aveu de Microsoft, le directeur des affaires juridiques ne peut, sous serment, garantir que les données ne seront pas transmises aux autorités américaines sans l’accord explicite des autorités françaises.

[EN] According to Anton Carniaux, Director of Public and Legal Affairs at Microsoft France, Microsoft cannot guarantee that data will not be transmitted to American authorities. According to Microsoft, the Director of Legal Affairs cannot, under oath, guarantee that data will not be transmitted to American authorities without the explicit consent of the French authorities.

• Les comptes rendus de la CE Commande publique

https://www.senat.fr/compte-rendu-commissions/ce-commande-publique.html

• Bleu et S3NS face au risque de la coupure

https://www.cio-online.com/actualites/lire-bleu-et-s3ns-face-au-risque-de-la-coupure-16403.html

Cyberattacks

FR] Les dernières cyberattaques connues publiquement en France ou ailleurs :

[EN] The latest publicly known cyberattacks in France, or elsewhere:

• Fuite présumée de bases sportives : boxe et force françaises en vente sur le dark web

https://www.zataz.com/fuite-presumee-de-bases-sportives-boxe-et-force-francaises-en-vente-sur-le-dark-web

• Cyber attackers steal personal data from council

https://www-bbc-com.cdn.ampproject.org/c/s/www.bbc.com/news/articles/c2k1dyql37ko.amp

• Les banques suisses victimes d’une fuite de données après une cyberattaque

https://www.lesechos.fr/finance-marches/banque-assurances/les-banques-suisses-victimes-dune-fuite-de-donnees-apres-une-cyberattaque-2171899

• Disneyland Paris piraté par un groupe de hackers nommé Anubis

https://www.clubic.com/actualite-569784-disneyland-paris-pirate-par-un-groupe-de-hackers-nomme-anubis-voici-ce-que-l-on-sait.html

• Exposition de 16 milliards d’identifiants et des mots de passe

https://www.cnil.fr/fr/exposition-de-16-milliards-didentifiants-et-des-mots-de-passe-que-faire

• Suspected Israeli hackers claim to destroy data at Iran’s Bank Sepah

https://www.reuters.com/world/middle-east/suspected-israeli-hackers-claim-destroy-data-irans-bank-sepah-2025-06-17

• Center Parcs victime d’une cyberattaque : 20 000 clients concernés

https://www.zataz.com/center-parcs-victime-dune-cyberattaque-20-000-clients-concernes

• Sorbonne Université a été victime d’une nouvelle cyberattaque : les données de 32 000 personnes ont été volées

https://www.01net.com/actualites/sorbonne-victime-nouvelle-cyberattaque-donnees-32-000-personnes-volees.html

https://www.sorbonne-universite.fr/presse/informations-sur-la-cyberattaque-dont-sorbonne-universite-fait-lobjet

Latest vulns

[FR] Plusieurs vulnérabilités importantes ont été rendues publiques récemment. Mettez à jour vos systèmes sans attendre.

[EN] Several significant vulnerabilities have been made public recently. Update your systems now.

• CVE-2024-54085: Critical AMI BMC Vulnerability Enables Remote Server Takeover and Bricking

https://www.clubic.com/actualite-570561-cette-faille-d-une-gravite-exceptionnelle-permet-de-prendre-le-controle-total-de-milliers-de-serveurs-dans-le-monde.html

• CVE-2025-20281, CVE-2025-20282: Critical RCE Flaws in Cisco ISE and ISE-PIC Allow Unauthenticated Attackers to Gain Root Access

https://thehackernews.com/2025/06/critical-rce-flaws-in-cisco-ise-and-ise.html

• CVE-2025-5777: Citrix Bleed 2 Flaw Enables Token Theft

https://thehackernews.com/2025/06/citrix-bleed-2-flaw-enables-token-theft.html

• CVE-2025-6543: Critical severity update announced for NetScaler Gateway and NetScaler

https://www.netscaler.com/blog/news/critical-severity-update-announced-for-netscaler-gateway-and-netscaler

• CVE-2025-23121: Critical Veeam Backup & Replication

https://www.rapid7.com/blog/post/etr-critical-veeam-backup-replication-cve-2025-23121

• CVE-2023-0386: CISA Warns of Active Exploitation of Linux Kernel Privilege Escalation Vulnerability

https://thehackernews.com/2025/06/cisa-warns-of-active-exploitation-of.html

• CVE-2025-36631: High-Severity Vulnerabilities Patched in Tenable Nessus Agent

https://www-securityweek-com.cdn.ampproject.org/c/s/www.securityweek.com/high-severity-vulnerabilities-patched-in-tenable-nessus-agent/amp

• Microsoft sous pression, 65 failles corrigées en juin

https://www-datasecuritybreach-fr.cdn.ampproject.org/c/s/www.datasecuritybreach.fr/microsoft-sous-pression-65-failles-corrigees-en-juin

 Hub d’Intégrations
Une interface centralisée pour connecter, surveiller et étendre votre écosystème cybersécurité. Le hub regroupe les intégrations configurées et disponibles, avec un premier support pour VMware vCenter

 EASM
Gestion de la surface d’attaque externe (External Attack Surface Management). Elle offre une visibilité précieuse sur les vulnérabilités externes, comme les domaines, IPs, certificats et services exposés

 Améliorations XDR & EDR
Attribution et priorisation des incidents simplifiées
Rapports PDF téléchargeables
Panneau d’activité plus flexible et interactif

 Gestion des Risques
Les ressources conteneurs sont désormais visibles dans les pages de ressources, constats et vulnérabilités

 Integrity Monitoring
Ajout d’un statut “En attente” pour les fichiers verrouillés, avec notification une fois l’action effectuée

 Protection Réseau
Support étendu pour les protocoles email sécurisés (IMAPS, POP3S, SMTP, MAPI) et filtrage par type d’entité

 PHASR & Threats Xplorer
Visualisation du statut PHASR et confirmation d’isolement dans Threats Xplorer

 APIs
Nouvelles méthodes pour gérer les intégrations et l’add-on EASM, avec suivi des usages mensuels

 Correctifs
Résolution de problèmes de traduction, affichage et export CSV dans plusieurs modules

Pour aller plus loin

Vous pouvez retrouver les Release Notes en ligne, à cette adresse :

What’s New in GravityZone June 2025 (v 6.64)

La fin de support (end of support) de la version 10 du Wallix Bastion est prévue pour le 31 mai 2025.

De ce fait, après cette date, il n’y aura plus de maintenance, de mises à jour et de patchs de sécurité pour ce produit.

Si vous êtes concernés par cette version, nous vous encourageons à nous solliciter pour une mise à jour de vos « Bastion » en version 12.

Dernières mises à jour

•    WALLIX Bastion 12.0.10
•    WALLIX Bastion 10.0.11
•    WALLIX Access Manager 5.1.3
•    WALLIX Access Manager 4.0.9
•    BestSafe Enterprise 5.4.0
•    WALLIX Application-to-Application 4.2.3

WSM disponible

La nouvelle fonctionnalité Web Session Manager (WSM) de Wallix, qui était attendue de longue date, est enfin disponible et commercialisée.

Concrètement, ce WSM permet de supporter les protocoles http/https pour l’accès aux cibles du Bastion. (en plus des protocoles rdp/ssh/vnc historiques)

Cela vous évite d’avoir à créer une VM windows RDS de rebond dédiée à cet usage navigation web.

Bon à savoir :

• Chaque session WEB d’un user passant par le bastion et le wsm est totalement isolée (dans un conteneur) ;
• Possibilité de filtrer les URLs consultables ;
• Traçabilité des sessions (enregistrements vidéos , logs , metadata) ;
• Accès conditionnel (approbation , plages horaires) ;
• Pas d’impact sur l’expérience utilisateur, la session WEB a lieu dans le navigateur du client ;
• Intégration transparente dans l’environnement Wallix Bastion et Access Manager ;
• Copier/coller bidirectionnel supporté ;
• Upload et Download de fichiers possible ;
• Impression possible ;
• Nécessite la mise en place d’un nouvelle VM dédiée au WSM ;
• Cette fonctionnalité est soumise à licence (perpétuelle ou souscription).

En tant que lac de données de la Security Fabric de Fortinet, FortiAnalyzer consolide la télémétrie sur les réseaux, les terminaux et les environnements cloud, en intégrant des outils Fortinet et tiers. Il normalise et enrichit les données grâce à des analyses optimisées par du Machine Learning, fournissant des tableaux de bord structurés pour l’IoT, le SOC, la messagerie électronique et les vulnérabilités des terminaux. Il rationalise les opérations grâce à des fonctionnalités intégrées de veille sur les menaces, de SIEM.

Bénéficiant des opérations augmentées de FortiAI, FortiAnalyzer offre des options de déploiement flexibles sur les appliances, les machines virtuelles et le cloud. Il permet aux équipes réseau et sécurité de détecter plus rapidement, de réagir plus intelligemment et d’améliorer leur efficacité, le tout depuis une plateforme unique.

Dans les versions précédentes, FortiAnalyzer utilisait une base de données Postgres SQL pour stocker la table de journaux. Dans FortiAnalyzer 7.6.0, les journaux historiques sont migrés de PSQL vers ClickHouse, insérant ainsi les journaux en temps réel dans ClickHouse. Tous les rapports et les vues FortiView seront basés sur la nouvelle table de données de ClickHouse.

ClickHouse est un système de gestion de base de données SQL hautes performances, orienté colonnes, pour le traitement analytique en ligne (OLAP). Les scénarios OLAP nécessitent des réponses en temps réel sur de grands ensembles de données pour des requêtes analytiques complexes présentant les caractéristiques suivantes :

• Les ensembles de données peuvent être volumineux, avec des milliards de lignes ;

• Les données sont organisées en tables contenant de nombreuses colonnes ;

• Seules quelques colonnes sont sélectionnées pour répondre à une requête donnée ;

• Les résultats doivent être renvoyés en millisecondes ou en secondes.

Parsers pour les applications tierces via Syslog

FortiAnalyzer peut analyser des journaux système tiers plus spécifiques pour obtenir plus de données dans la base de données SIEM à partir de journaux bruts. Les analyseurs de journaux FortiGuard sont automatiquement fournis avec une licence valide pour Security Automation Service.

Les clients peuvent également créer leurs propres analyseurs de journaux personnalisés, qui peuvent être importés dans FortiAnalyzer et activés dans le journal système brut de leur application.

Voici un panel de quelques éléments de l’actualité de la sécurité informatique. Au sommaire de cette lettre :

[EN] Hi everyone !

Here is a panel of some current information about computer security. Contents of this letter:

• Operation Secure
• Saint-Nazaire
• Australia
• Cyberattacks
• Latest vulns

Operation Secure

[FR] L’action conjointe, baptisée Opération Secure, s’est déroulée entre janvier et avril 2025 et a impliqué les forces de l’ordre de 26 pays pour identifier les serveurs, cartographier les réseaux physiques et exécuter des démantèlements ciblés.

[EN] The joint action, codenamed Operation Secure, took place between January and April 2025, and involved law enforcement agencies from 26 countries to identify servers, map physical networks, and execute targeted takedowns.

• INTERPOL Dismantles 20,000+ Malicious IPs Linked to 69 Malware Variants in Operation Secure

https://thehackernews.com/2025/06/interpol-dismantles-20000-malicious-ips.html

Saint-Nazaire

[FR] La cyberattaque dont a été victime, en avril 2024, Saint-Nazaire est encore dans toutes les têtes au sein des personnels de la ville. Si pour les usagers, c’est désormais du passé, dans certains services, la « reconstruction » se poursuit. On a fait le point avec Xavier Perrin, l’adjoint en charge des finances et des questions numériques.

[EN] The cyberattack that hit Saint-Nazaire in April 2024 is still fresh in the minds of all city staff. While for users, it’s now a thing of the past, in some departments, the « reconstruction » continues. We took stock with Xavier Perrin, the deputy mayor in charge of finance and digital issues.

• A Saint-Nazaire, plus d’un an après la cyberattaque, il reste encore des traces

https://france3-regions.franceinfo.fr/pays-de-la-loire/loire-atlantique/saint-nazaire/on-a-vecu-une-forme-d-enfer-et-heureusement-on-s-en-est-sortis-a-saint-nazaire-plus-d-un-an-apres-la-cyberattaque-il-reste-encore-des-traces-3165672.html

• Cyberattaque. Le point sur la situation

https://www.saintnazaire.fr/actualite/cyberattaque-le-point-sur-la-situation

Australia

[FR] Depuis fin mai, les entreprises australiennes dont le chiffre d’affaires annuel dépasse 3 millions de dollars doivent déclarer dans les 72 heures tout paiement de rançon effectué à la suite d’une attaque par ransomware. Une mesure inédite, qui vise à renforcer la transparence face à un phénomène largement sous-déclaré.

[EN] As part of the latest « season » of Operation Endgame, a coalition of law enforcement agencies have taken down about 300 servers worldwide, neutralized 650 domains, and issued arrest warrants against 20 targets.

• L’Australie impose la déclaration obligatoire des paiements de rançon

https://www.ictjournal.ch/news/2025-06-03/laustralie-impose-la-declaration-obligatoire-des-paiements-de-rancon

• New ransomware payment reporting obligations in Australia

https://www.minterellison.com/articles/new-ransomware-payment-reporting-obligations-in-australia

Cyberattacks

[FR] Les dernières cyberattaques connues publiquement en France ou ailleurs :

[EN] The latest publicly known cyberattacks in France, or elsewhere:

• Le site AYOMI piraté ? Un pirate menace les clients !

https://www.zataz.com/le-site-ayomi-pirate-un-pirate-menace-les-clients

• Le CROUS était vérolé par des hackers russes, des dizaines de milliers d’étudiants français touchés

https://www.jeuxvideo.com/news/2005193/le-crous-etait-verole-par-des-hackers-russes-des-dizaines-de-milliers-d-etudiants-francais-touches.htm

• H&M stores hit by major IT outage, cyber attack speculation mounts

https://www.techdigest.tv/2025/06/hm-stores-hit-by-major-it-outage-cyber-attack-speculation-mounts.html

• Marks & Spencer : la cyberattaque tourne au scénario catastrophe

https://www.lesechos.fr/industrie-services/conso-distribution/marks-spencer-la-cyberattaque-tourne-au-scenario-catastrophe-2166491

• Le North Face avertit les clients d’avril

https://fr.techtribune.net/d2/tendance-actuelle/le-north-face-avertit-les-clients-davril/973407

• Cartier est victime d’un hack, les données des clients ont été volées

https://www.01net.com/actualites/cartier-victime-hack-donnees-clients-volees.html

• Ville de Gentilly – Incident informatique [Point de situation au 10/06]

https://www.ville-gentilly.fr/actualites/incident-informatique-point-de-situation-au-1006

• WestJet investigates cyberattack disrupting internal systems

https://www.bleepingcomputer.com/news/security/westjet-investigates-cyberattack-disrupting-internal-systems

Latest vulns

[FR] Plusieurs vulnérabilités importantes ont été rendues publiques récemment. Mettez à jour vos systèmes sans attendre.

[EN] Several significant vulnerabilities have been made public recently. Update your systems now.

• CVE-2025-20286: Critical Cisco ISE Auth Bypass Flaw Impacts Cloud Deployments on AWS, Azure, and OCI

https://thehackernews.com/2025/06/critical-cisco-ise-auth-bypass-flaw.html

• CISA Releases Three Industrial Control Systems Advisories

https://www.cisa.gov/news-events/alerts/2025/06/03/cisa-releases-three-industrial-control-systems-advisories

• SentinelOne: Last week’s 7-hour outage caused by software flaw

https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/technology/sentinelone-last-weeks-7-hour-outage-caused-by-software-flaw/amp

• Multiples vulnérabilités dans les produits Palo Alto Networks

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0505

• CVE-2025-49113: Roundcube / Security updates 1.6.11 and 1.5.10 released

https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10

• CVE-2025-32756: Fortinet / Stack-based buffer overflow vulnerability in API

https://www.fortiguard.com/psirt/FG-IR-25-254

• Multiples vulnérabilités dans les produits Centreon

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0493

Disponibilité

Le protocole est bien fait. Un nom de domaine peut avoir plusieurs serveurs faisant autorité sur une zone, et permet donc de distribuer la charge des requêtes. Cela permet aussi de palier à une indisponibilité d’un serveur, d’un réseau (IP/AS). Pour cela, il faut bien distribuer la configuration.

Il faut cependant bien veiller à configuration de ses serveurs DNS, pour ne pas qu’ils soient saturés de requêtes par du déni de service (DOS, rate-limit). Vous veillerez aussi à filtrer en amont le trafic avec ses opérateurs, pour éviter le déni de service distribué (DDoS).

Intégrité

DNSSEC (Domain Name System Security Extensions) est une extension DNS qui permet à un client de valider la réponse DNS sur les domaines et TLD pris en charge.

Les résolveurs vérifient la signature numérique des réponses DNS pour vérifier que les données correspondent à ce que le propriétaire de la zone a initialement configuré. Cela repose sur l’utilisation d’un chiffrement asymétrique et utilise donc un schéma utilisant deux clés: une clé privée et une clé publique. Le but de DNSSEC est de protéger contre l’empoisonnement de cache DNS (DNS cache poisoning)

Contrairement à d’autres protocoles comme TLS, il ne sécurise pas un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu’un serveur intermédiaire trahit la réponse (ment).

Confidentialité

DoH et DoT établissent un tunnel sécurisé entre le client et le serveur DNS. Ils garantissent qu’un client reçoit des informations d’adresse IP précises, éliminant ainsi les opportunités pour les tiers de voir à quels sites Web un utilisateur tente d’accéder.

Pour assurer une confidentialité DNS maximale, DoH et DoT fonctionnent mieux en tandem avec DNSSEC et d’autres mesures de sécurité qui valident les autorités de certification SSL (CA) utilisées pour les connexions au site.

Différences entre DoT et DoH

DNS Over TLS comme son nom l’indique s’appuie sur le protocole TLS (Transport Layer Security).
De ce fait DoT fonctionne avec le protocole TCP avec comme port par défaut 853. Cela rend donc ce dernier assez facile à bloquer puisqu’il suffit d’interdire la connexion vers ce port sortant.

DNS Over HTTPs se base donc sur le chiffrement HTTPS qui fonctionnent en standard sur le port 443. Cela rend donc le blocage de ce dernier plus difficile puisqu’il se mélange avec le trafic HTTPS classique. Sachant qu’en plus, on peut le configurer sur le navigateur WEB, cela permet de contourner la configuration du poste.

En conclusion

Implémenter ces mesures de sécurité est incontournable pour la diffusion dans le DNS d’infomations comme des enregistrements SPF, des clés DKIM ou une politique DMARC.

Voici un panel de quelques éléments de l’actualité de la sécurité informatique. Au sommaire de cette lettre :

[EN] Hi everyone !

Here is a panel of some current information about computer security. Contents of this letter:

• CISO
• KeeLoader
• Endgame
• Cyberattacks
• Latest vulns

CISO

[FR] Face à la montée des cyberattaques et au durcissement des réglementations, les CISO voient leur rôle renforcé — mais aussi leur responsabilité pénale engagée. Philippe Glaser décrypte les risques juridiques auxquels ces garants de la sécurité informatique sont désormais exposés.

[EN] Faced with the rise of cyberattacks and tougher regulations, CISOs are seeing their role strengthened—and their criminal liability also being incurred. Philippe Glaser deciphers the legal risks to which these IT security guarantors are now exposed.

• La responsabilité pénale des CISO

https://incyber.org/article/la-responsabilite-penale-des-ciso

• Protecting CISOs from the Growing Risk of Personal Liability

https://media.orrick.com/Media%20Library/public/files/insights/2024/protecting_cisos_from_the_growing_risk_of_personal_liability_new_york_law_journal_-_may_2024.pdf

KeeLoader

[FR] Récemment, l’équipe Threat Intelligence de WithSecure a découvert une campagne de malware sophistiquée dans laquelle le gestionnaire de mots de passe open source KeePass a été trojanisé pour délivrer des charges utiles Cobalt Strike et exfiltrer des informations d’identification sensibles.

[EN] Recently, WithSecure’s Threat Intelligence team uncovered a sophisticated malware campaign where the open-source password manager KeePass was trojanised to deliver Cobalt Strike payloads and exfiltrate sensitive credentials.

• Trojanized KeePass Used to Deploy Cobalt Strike and Steal Credentials

https://securityonline.info/trojanized-keepass-used-to-deploy-cobalt-strike-and-steal-credentials

• KeeLoader : une version piégée de KeePass mène à un ransomware qui chiffre les serveurs VMware ESXi

https://www.it-connect.fr/keeloader-version-piegee-keepass-ransomware-chiffre-les-serveurs-vmware-esxi

Endgame

[FR] Dans le cadre de la dernière « saison » de l’opération Endgame, une coalition d’agences chargées de l’application de la loi a démantelé environ 300 serveurs dans le monde, neutralisé 650 domaines et émis des mandats d’arrêt contre 20 cibles.

[EN] As part of the latest « season » of Operation Endgame, a coalition of law enforcement agencies have taken down about 300 servers worldwide, neutralized 650 domains, and issued arrest warrants against 20 targets.

• Largest ever operation against botnets hits dropper malware ecosystem

https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem

• Germany 300 Servers and €3.5M Seized as Europol Strikes Ransomware Networks Worldwide

https://thehackernews.com/2025/05/300-servers-and-35m-seized-as-europol.html

• Opération ENDGAME 2025

https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-008

Cyberattacks

[FR] Les dernières cyberattaques connues publiquement en France ou ailleurs :

[EN] The latest publicly known cyberattacks in France, or elsewhere:

• 184 millions de mots de passe uniques exposés publiquement : l’énorme fuite que personne n’a vue venir

https://www.clubic.com/actualite-566523-millions-de-mots-de-passe-uniques-exposes-publiquement-l-enorme-fuite-que-personne-n-a-vue-venir.html

• Le département des Hauts-de-Seine touché par une cyberattaque

https://www-lemondeinformatique-fr.cdn.ampproject.org/c/s/www.lemondeinformatique.fr/actualites/lireamp-le-departement-des-hauts-de-seine-touche-par-une-cyberattaque-96886.html

• Coinbase piraté : 400 millions de dollars de perte et des données clients volées

https://worldissmall.fr/2025/05/19/coinbase-pirate-400-millions-de-dollars-de-perte-et-des-donnees-clients-volees

• Marks & Spencer : la cyberattaque tourne au scénario catastrophe

https://www.lesechos.fr/industrie-services/conso-distribution/marks-spencer-la-cyberattaque-tourne-au-scenario-catastrophe-2166491

• Dior victime d’un vol de données personnelles de clients

https://www.lemonde.fr/pixels/article/2025/05/13/dior-victime-d-un-vol-de-donnees-personnelles-de-clients_6605835_4408996.html

• Les cybercriminels de Termite font une nouvelle victime dans l’Hexagone

https://www.zdnet.fr/actualites/les-cybercriminels-de-termite-font-une-nouvelle-victime-dans-lhexagone-474834.htm

• Breachforums Boss to Pay $700k in Healthcare Breach

https://krebsonsecurity.com/2025/05/breachforums-boss-to-pay-700k-in-healthcare-breach

• Nova Scotia Power confirme avoir été victime d’une attaque par rançongiciel

https://ici.radio-canada.ca/nouvelle/2167160/nova-scotia-power-cyberattaque-rancongiciel

Latest vulns

[FR] Plusieurs vulnérabilités importantes ont été rendues publiques récemment. Mettez à jour vos systèmes sans attendre.

[EN] Several significant vulnerabilities have been made public recently. Update your systems now.

• Windows Server 2025 – Compte dMSA : cette faille critique menace l’Active Directory

https://www.it-connect.fr/windows-server-2025-compte-dmsa-cette-faille-critique-menace-lactive-directory

• CVE-2025-40595: Product Notice: SMA 1000 Series affected by Encoded URL SSRF Vulnerability

https://www.sonicwall.com/support/notices/product-notice-sma-1000-series-affected-by-encoded-url-ssrf-vulnerability/250513120756710

• CVE-2025-20188: Cisco IOS XE Wireless Controller Software Arbitrary File Upload Vulnerability

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC

• Multiples vulnérabilités dans Tenable Nessus Network Monitor

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0448

• CVE-2024-21610: Junos OS: If in a scaled CoS scenario information on CoS state is gathered mgd processes get stuck

https://supportportal.juniper.net/s/article/2024-04-Security-Bulletin-Junos-OS-MX-Series-In-a-scaled-subscriber-scenario-if-CoS-information-is-gathered-mgd-processes-gets-stuck-CVE-2024-21610?language=en_US

• CVE-2025-4575: OpenSSL – The x509 application adds trusted use instead of rejected use

https://openssl-library.org/news/secadv/20250522.txt

• Multiples vulnérabilités dans les produits Netgate

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0423

Module optionnel hashtag#Compliance Manager
En exploitant les rapports et les cadres de conformité, vous pouvez réduire la probabilité de violations de données, rester à la pointe de l’évolution des exigences réglementaires et renforcer votre position globale en matière de sécurité

Analyse de la hashtag#vulnérabilité pour les capteurs XDR Network
Avec la dernière mise à jour, le capteur XDR Network ne se contente plus de surveiller le trafic réseau pour détecter les tentatives de déplacement latéral. Il recherche également activement les ports ouverts, identifie les applications en cours d’exécution et détecte les vulnérabilités connues associées (CVE).

Prise en charge de hashtag#Azure hashtag#vTAP
Le capteur XDR Network prend désormais également en charge Azure vTAP, améliorant ainsi sa capacité à fournir une visibilité complète du réseau. Cette intégration signifie que votre dispositif virtuel de détection de réseau XDR peut désormais être configuré pour ingérer le trafic réseau en définissant l’interface de surveillance du serveur de sécurité comme destination vTAP, étendant ainsi la visibilité du réseau à vos environnements en Cloud Azure.

Amélioration de la hashtag#protection des hashtag#réseaux
La dernière version a amélioré la protection du réseau en ajoutant une option d’analyse du trafic entrant du serveur. Vous pouvez activer cette fonction dans les politiques GravityZone, dans la section Protection du réseau, sous Attaques du réseau. Elle analyse les protocoles tels que SMB, RPC, Kerberos, LDAP et WinRM lorsqu’elle est active.

Pour aller plus loin

Vous pouvez retrouver les Release Notes en ligne, à cette adresse :

What’s New in GravityZone May 2025 (v 6.63)

C’est là qu’interviennent un certain nombre de protocoles, qu’il faut mettre en oeuvre sur son domaine, pour se protéger, et que les autres puissent vérifier ces éléments. Et d’autre part, que vos systèmes de messagerie puissent aussi vérifier les éléments de vos interlocuteurs. La protection réciproque permet alors de faire grandement reculer les menaces.

• SPF
• DKIM
• DMARC
• BIMI
• MTA-STS

Ces protocoles participent aussi à une bonne déliverabilité de vos messages. La délivrabilité d’un email est le fait que l’email envoyé atteigne la boîte de réception de son destinataire.

• votre réputation : c’est-à-dire votre adresse IP, votre nom de domaine, … ;
• la fréquence d’envoi de vos emails ;
• le contenu de vos emails ;
• la qualité de votre liste de contacts.

SPF

Le SPF, ou Sender Policy Framework, est un mécanisme d’authentification des emails conçu pour vérifier l’identité d’un expéditeur. Il permet aux serveurs de messagerie de vérifier si l’adresse IP d’origine d’un email est autorisée à envoyer des emails au nom du domaine indiqué.

Le SPF est important car il évite que vos emails ne soient marqués comme spam ou rejetés par les filtres anti-spam des destinataires. Il permet ainsi de prouver que vous êtes un expéditeur légitime et, dans le domaine de l’emailing par exemple, que vous utilisez les bonnes pratiques de base.

DKIM

Le DKIM, ou DomainKeys Identified Mail, est un autre protocole d’authentification des emails. Il permet à l’expéditeur de signer numériquement l’email à l’aide d’une clé privée. Le destinataire peut ensuite vérifier cette signature à l’aide de la clé publique disponible dans les enregistrements DNS du domaine de l’expéditeur.

Le DKIM garantit l’intégrité de l’email et permet au destinataire de vérifier que l’email n’a pas été modifié durant son transit. Cela contribue à renforcer la confiance entre l’expéditeur et le destinataire, tout en réduisant le risque d’emails frauduleux (usurpation d’identité, phishing).

DMARC

Le DMARC, ou Domain-based Message Authentication, Reporting, and Conformance, est un mécanisme de sécurité de messagerie électronique conçu pour renforcer l’authentification des emails et lutter contre les tentatives de phishing et de fraude en ligne. Il va de paire avec le SPF et le DKIM, offrant ainsi une protection supplémentaire.

L’expéditeur configure une politique DMARC pour indiquer aux serveurs de messagerie comment traiter les emails qui échouent aux vérifications SPF et DKIM. Les options incluent le rejet, la quarantaine ou l’acceptation (« Aucun ») avec un avertissement.

Le DMARC contribue à améliorer la délivrabilité des emails légitimes en aidant les fournisseurs de messagerie à distinguer les messages authentiques du spam. Il aide également à renforcer la confiance dans les communications par email en permettant une meilleure authentification des messages.

BIMI

Le BIMI, ou Brand Indicators for Message Identification, est une norme relativement nouvelle qui vise à améliorer la confiance et la reconnaissance des expéditeurs d’emails. Il permet aux entreprises de lier le logo de leur marque à leurs emails authentifiés via SPF, DKIM et DMARC.

Lorsque les destinataires voient le logo dans leur boîte de réception, ils sont plus susceptibles de reconnaître l’email comme étant légitime, ce qui augmente le taux d’ouverture.

En résumé, le SPF, le DKIM, le DMARC et le BIMI sont des outils essentiels. L’authentification des emails permet de faire la différence entre une vraie personne et du spam. Concernant les expéditeurs, c’est un moyen de prouver leur légitimité et de mettre toutes les chances de leur côté pour atterrir sans encombre dans la boîte de réception visée. Quant aux destinataires, c’est l’assurance pour eux de recevoir des emails autorisés, fiables plutôt qu’une nuée de spam, et de se prémunir contre la fraude. Tout le monde y trouve donc son compte !

MTA-STS

Une norme internet très connue qui permet d’améliorer la sécurité des connexions entre les serveurs SMTP (Simple Mail Transfer Protocol) est le SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS résout les problèmes existants en matière de SMTP en appliquant le chiffrement TLS, et en l’imposant en transit. Le chiffrement est facultatif dans le protocole SMTP, ce qui signifie que les courriels peuvent être envoyés en clair. MTA-STS permet aux fournisseurs de services de messagerie d’appliquer le protocole TLS (Transport Layer Security) pour sécuriser les connexions SMTP et de spécifier si les serveurs SMTP d’envoi doivent refuser de livrer des courriels aux hôtes MX qui ne prennent pas en charge le protocole TLS avec un certificat de serveur fiable. Il a été prouvé qu’il permettait d’atténuer avec succès les attaques par déclassement TLS et les attaques de type Man-In-The-Middle (MITM).

Voici un panel de quelques éléments de l’actualité de la sécurité informatique. Au sommaire de cette lettre :

[EN] Hi everyone !

Here is a panel of some current information about computer security. Contents of this letter:

• NIS2
• Lockbit down
• eXch down
• Cyberattacks
• Latest vulns

NIS2

[FR] Le 7 mai 2025, la Commission européenne a envoyé un avis motivé à 19 États membres de l’Union européenne, les pressant de transposer pleinement la directive (UE) 2022/2555 dite « NIS2 ». Cette directive vise à renforcer la cybersécurité au sein de l’Union. Parmi les pays ciblés figurent notamment la France, mais aussi l’Allemagne, l’Espagne, la Pologne ou encore la Suède.

[EN] On May 7, 2025, the European Commission sent a reasoned opinion to 19 EU Member States, urging them to fully transpose Directive (EU) 2022/2555, known as « NIS2. » This directive aims to strengthen cybersecurity within the Union. The targeted countries include France, but also Germany, Spain, Poland, and Sweden.

• NIS2, l’ultimatum : 19 pays sommés d’adopter NIS2 sous 2 mois
• https://www.linkedin.com/pulse/nis2-lultimatum-19-pays-somm%25C3%25A9s-dadopter-sous-2-mois-moussa-sall-efnpe/
• NIS 2 : pourquoi seuls trois des 27 membres de l’UE sont prêts ?

https://www.itforbusiness.fr/nis-2-pourquoi-seuls-trois-des-27-membres-de-lue-sont-prets-80767

Lockbit hacked

[FR] Le gang de ransomware LockBit a subi une violation de données après que ses panneaux d’affiliation sur le dark web ont été défigurés et remplacés par un message renvoyant vers un vidage de base de données MySQL.

[EN] The LockBit ransomware gang has suffered a data breach after its dark web affiliate panels were defaced and replaced with a message linking to a MySQL database dump.

• LockBit ransomware gang hacked, victim negotiations exposed

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed

eXch down

[FR] L’Office fédéral allemand de police criminelle (BKA) a saisi et fermé l’infrastructure en ligne liée à la plateforme d’échange de cryptomonnaies eXch, suite à des allégations de blanchiment d’argent et d’exploitation d’une plateforme de trading criminelle. L’opération a été menée le 30 avril 2025, ont indiqué les autorités, ajoutant qu’elles ont également confisqué 8 téraoctets de données et des actifs en cryptomonnaies d’une valeur de 34 millions d’euros (38,25 millions de dollars) en Bitcoin, Ether, Litecoin et Dash.

[EN] Germany’s Federal Criminal Police Office (aka Bundeskriminalamt or BKA) has seized the online infrastructure and shutdown linked to the eXch cryptocurrency exchange over allegations of money laundering and operating a criminal trading platform. The operation was carried out on April 30, 2025, authorities said, adding they also confiscated 8 terabytes worth of data and cryptocurrency assets worth €34 million ($38.25 million) in Bitcoin, Ether, Litecoin, and Dash.

• Germany Shuts Down eXch Over $1.9B Laundering, Seizes €34M in Crypto and 8TB of Data

https://thehackernews.com/2025/05/germany-shuts-down-exch-over-19b.html

Cyberattacks

[FR] Les dernières cyberattaques connues publiquement en France ou ailleurs :

[EN] The latest publicly known cyberattacks in France, or elsewhere:

• Warning — 19 Billion Compromised Passwords Have Been Published Online

https://www.forbes.com/sites/daveywinder/2025/05/06/new-warning—19-billion-compromised-passwords-create-hacking-arsenal

• Cyberattaque mondiale : le virus ResolverRAT prend d’assaut le secteur de la santé et de la pharmacie

https://www.01net.com/actualites/cyberattaque-mondiale-virus-resolverrat-prend-assaut-secteur-sante-pharmacie.html

• Notaires et cybersécurité : un secteur sous haute tension

https://www.journaldunet.com/cybersecurite/1541149-notaires-et-cybersecurite-un-secteur-sous-haute-tension

• Iranian Hackers Maintain 2-Year Access to Middle East CNI via VPN Flaws and Malware

https://thehackernews.com/2025/05/iranian-hackers-maintain-2-year-access.html

• Experts warn of brute-force login attempts on PAN-OS GlobalProtect gateways following increased scanning activity on its devices

https://securityaffairs-com.cdn.ampproject.org/c/s/securityaffairs.com/176446/hacking/brute-force-login-attempts-on-pan-os-globalprotect.html

• SentinelOne Uncovers Chinese Espionage Campaign Targeting Its Infrastructure and Clients

https://thehackernews.com/2025/04/sentinelone-uncovers-chinese-espionage.html

Latest vulns

[FR] Plusieurs vulnérabilités importantes ont été rendues publiques récemment. Mettez à jour vos systèmes sans attendre.

[EN] Several significant vulnerabilities have been made public recently. Update your systems now.

• CVE-2025-20188: Cisco IOS XE Wireless Controller Software Arbitrary File Upload Vulnerability

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC
https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0378/

• CVE-2023-44221 & CVE-2024-38475: SonicWall Confirms Active Exploitation of Flaws Affecting Multiple Appliance Models

https://thehackernews.com/2025/05/sonicwall-confirms-active-exploitation.html

• CVE-2021-20035: CISA Flags Actively Exploited Vulnerability in SonicWall SMA Devices

https://thehackernews.com/2025/04/cisa-flags-actively-exploited.html

• CVE-2025-31324 exploit attempts on the rise

https://www.linkedin.com/pulse/cve-2025-31324-exploit-attempts-rise-crowdsec-q5nff/
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-005/

• Multiples vulnérabilités dans les produits F5

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0382

• CVE-2025-30391: Microsoft Dynamics Information Disclosure Vulnerability

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30391