🔎 Cyberveille

La production auto britannique a chuté de plus d'un quart sur un an en septembre au Royaume-Uni, plombée par une cyberattaque qui a mis à l'arrêt pendant plus d'un mois Jaguar Land Rover (JLR), plus gros employeur du secteur au Royaume-Uni.

Révélée le 2 septembre, la cyberattaque avait contraint JLR à fermer ses systèmes et sa production, qui n'a pas pu redémarrer avant début octobre, mettant la pression sur le constructeur et nombre de ses fournisseurs.

La production britannique de voitures a chuté de 27,1% en septembre, selon les chiffres publiés vendredi par l'association sectorielle (SMMT), qui pointe notamment dans un communiqué "l'arrêt de la production chez le plus grand employeur automobile britannique".

"Le paiement d'une rançon ne garantit pas que les auteurs de la menace ne divulguent pas les données de la victime ou ne frappent pas de nouveau, ce qui modifie fondamentalement le calcul du rapport risque-bénéfice pour les organisations ciblées”, note CrowdStrike. (…) Les facteurs économiques favorisent les attaquants qui peuvent percevoir des paiements tout en conservant les données volées pour les exploiter ultérieurement, tenter d'autres extorsions ou les vendre à d'autres groupes criminels.”

L’avenir de la sécurité réseau ne réside plus dans la détection, mais dans la stabilisation entropique. Il faudra concevoir des algorithmes capables de maintenir la cohérence du chaos, de limiter la dérive sans chercher à la supprimer.

La survie des entreprises passe désormais par leur capacité à réagir efficacement lors d'un incident.

Les entreprises européennes font face à une réalité alarmante : les cyberattaques ont établi de nouveaux records en termes de variété et de nombre d'incidents selon le rapport ENISA Threat Landscape 2024. Cette tendance observée en 2024 transforme radicalement l'approche que doivent adopter les organisations en matière de gestion de crise pour 2025. Au-delà de la simple protection technique, c'est désormais leur capacité à réagir efficacement lors d'un incident qui détermine leur survie.

Après la cyberattaque qui a touché l'hôpital de Pontarlier dans la nuit de samedi 18 à dimanche 19 octobre, le personnel est repassé au papier et au crayon. Certains salariés sont aussi revenus de leurs congés pour donner un coup de main.

La tête dans les médicaments, stylo à la main et feuilles sur les genoux : l'équipe de la pharmacie de l'hôpital de Pontarlier a dû recompter entièrement son stock de médicaments à la main. Des "modalités de fonctionnement d'autrefois" selon le directeur de l'hôpital de Pontarlier. Car l'établissement a été victime d'une cyberattaque dans la nuit du samedi 18 au dimanche 19 octobre et fonctionne sans réseau informatique depuis.

La panne AWS du 19 octobre a eu des conséquences graves pour de très nombreux services web. Elle nous a appris qu’une seule région d’Amazon concentrait énormément de services au cœur des applications modernes. Les explications croisées d’Amazon et de Ookla, qui édite DownDetector, sont précieuses pour comprendre ce qu’il s’est passé… et tenter de mitiger la prochaine panne.

Source: Kanton Basel-Landschaft (baselland.ch) — communiqué officiel. 🚨 La police indique qu’un « SMS-Blaster » a été utilisé le mardi 14 octobre 2025 dans la région de Muttenz.

Une vaste opération d’espionnage vise les fabricants de drones militaires en Europe. Sous couvert de fausses offres d’emploi, les hackers nord-coréens de Lazarus ont infiltré plusieurs entreprises européennes. Les données volées doivent aider la Corée du Nord à développer leurs propres drones de combat.

Hanoï - Plus de 60 pays ont signé samedi à Hanoï le premier traité des Nations Unies visant la cybercriminalité malgré l’opposition d’un groupe improbable d’entreprises technologiques et d’organisations de défense des droits s’inquiétant d’une surveillance étatique accrue.

Ce nouveau cadre juridique international vise à renforcer la coopération internationale pour lutter contre la cybercriminalité, allant de la pédopornographie aux arnaques et au blanchiment d’argent.

Il entrera en vigueur une fois ratifiée par chacun des Etats signataires.

Le secrétaire général de l’ONU, Antonio Guterres, s’est félicité de cette «étape importante», ajoutant que ce n’est «que le début».

Des données personnelles des licenciés de la Fédération française de tir ont été visées par un piratage informatique entre le 18 et 20 octobre. L'instance affirme qu'aucune donnée bancaire ou médicale n'est concernée.

Un hacker éthique est parvenu à pirater la plateforme de la Fédération internationale de l’automobile (FIA) gérant l’accès aux classements des pilotes. Une opération qui lui a permis d’accéder aux pièces d’identité et aux données personnelles de Max Verstappen et de tous les autres pilotes F1.

Les cybercriminels utilisent des méthodes sophistiquées pour se glisser dans les échanges e-mail des entreprises et pour rediriger des transactions financières.

Les fraudeurs collectent des informations sur des entreprises, des institutions ou des associations en exploitant des données publiques telles que les sites web ou les profils sur les réseaux sociaux.

En général, l’incident commence par un e-mail anodin adressé au secrétariat ou à une personne du service financier d’une entreprise, d’une institution ou d’une association. L’e-mail semble provenir du compte du supérieur hiérarchique (CEO fraud) ou d’un fournisseur / partenaire commercial externe.

Ce genre d’organisations à but non lucratif n’ont souvent pas assez de ressources à consacrer à leur sécurité informatique.

En janvier 2024, une centaine de hackeurs bénévoles avaient identifié et transmis « plus de cent vulnérabilités critiques aux ONG partenaires ». Ce vendredi 24 octobre, l’association Hack4Values, créée en 2021, remet le couvert avec la deuxième édition de son bug bounty solidaire.

TL;DR : Microsoft a publié un correctif hors-cycle pour une RCE critique dans WSUS (CVE-2025-59287). Une preuve d’exploitation (PoC) est publique — patch immédiat recommandé. Si vous ne pouvez pas patcher tout de suite : désactivez le rôle WSUS ou bloquez les ports 8530/8531 (mais les clients ne recevront plus de MAJ). Gravité élevée (CVSS ≈ 9.8).

Ce qu’il se passe

Microsoft a sorti une mise à jour urgente corrigeant une exécution de code à distance dans Windows Server Update Services (WSUS). La faille permet à un attaquant distant non authentifié d’exécuter du code sur le serveur (avec des privilèges élevés). Une démonstration d’exploitation / PoC circule déjà publiquement, ce qui augmente nettement l’urgence du correctif.

Traduction de la note Microsoft :

« Si vous n’avez pas encore installé la mise à jour de sécurité Windows d’octobre 2025, nous vous recommandons d’appliquer cette mise à jour OOB à la place. Après l’installation, vous devrez redémarrer votre système. »

Pourquoi c’est alarmant

• Exploitable à distance sans authentification.

• WSUS tourne souvent avec des droits élevés (SYSTEM) → prise de contrôle complète possible.

• Les serveurs WSUS peuvent se synchroniser entre eux → risque de propagation automatique (d’où le terme wormable).

• PoC public disponible → réel risque d’exploitation massive si non patché.

Liens utiles

PoC / write-up technique : https://hawktrace.com/blog/CVE-2025-59287

Fiche vulnérabilité : https://vulnerability.circl.lu/vuln/CVE-2025-59287

Microsoft Security Response Center : https://support.microsoft.com/en-us/topic/october-23-2025-kb5070879-os-build-25398-1916-out-of-band-e192ac2e-3519-44c6-8706-d7e40c556c8c

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

Dans les news [EN]: https://www.bleepingcomputer.com/news/security/microsoft-releases-windows-server-emergency-updates-for-critical-wsus-rce-flaw/

Des fact-checkers états-uniens et journalistes français ont identifié un réseau de plus de 300 sites d'information, dont 143 « au moins » en français, financés par le service de renseignement militaire russe. Nous les avons ajoutés à la liste des (soi-disant) sites d'information épinglés par l'extension (gratuite) que Next a développée pour alerter ses utilisateurs au sujet des contenus générés par IA. Elle dénombre désormais plus de 8 000 sites GenAI.

Qilin n'est pas un groupe de pirates informatiques, mais une "franchise" qui permet d'utiliser ses services contre rémunération. Apparue en 2022, elle reste nimbée de mystère.

Des lycées du nord de la France aux mairies des Pyrénées-Orientales, un nom revient avec inquiétude : Qilin. Ce mot désigne un animal mythologique asiatique, mais c'est aussi le nom choisi par les concepteurs d'un logiciel malveillant qui paralyse 80% des lycées publics des Hauts-de-France(Nouvelle fenêtre) depuis le 10 octobre.

La vulnérabilité SessionReaper (CVE-2025-54236) présente dans Adobe Commerce (anciennement Magento) est désormais exploitée activement par des pirates. Quels sont les risques ? Comment se protéger ? Faisons le point.

Ce jeudi 16 octobre, Le Monde et Die Zeit ont publié une enquête sur un mystérieux groupe 78 qui aurait deux objectifs principaux : « d’une part, mener des actions en Russie pour rendre la vie des membres de Black Basta impossible et les forcer à quitter le territoire afin de les mettre à portée des mandats d’arrêt les visant ; d’autre part, manipuler les autorités russes pour qu’elles mettent fin à la protection dont bénéficie le gang ».

Selon nos confrères, ces révélations « éclairent d’un jour nouveau deux événements survenus peu de temps après. À la mi-décembre, une même source anonyme contacte deux journalistes spécialisés dans la Cybercriminalité ». J’étais l’un d’eux.

La comparaison d'un scan Nmap avec un autre peut être très utile dans le contexte d'un suivi régulier de la cartographie du système d'information. Effectuer des scans réguliers, avec les mêmes options et vers les mêmes réseaux cibles, permet de s'assurer que rien n'a changé, ou au contraire référencer les changements observés et s'assurer qu'ils sont attendus et justifiés.

Une faille dangereuse (CVE-2025-9133) a été identifiée dans les dispositifs de la série Zyxel ATP/USG : même avec l’authentification à deux facteurs activée, un attaquant disposant de creds (ayant franchi seulement la 1ʳᵉ étape du 2FA) peut potentiellement contourner les contrôles d’accès et accéder à la configuration complète du système.

En envoyant une commande commençant par un élément autorisé (ex : show version), puis en enchaînant ;show running-config, la validation ne détecte pas la seconde commande et la base entière est exposée. Rainpwn

Impact : divulgation de mots de passe, clés, configurations réseau — c’est un accès potentiel complet à l’appareil. Rainpwn

Recommandations : appliquer rapidement les correctifs proposés par Zyxel, bloquer les chaînes de commandes (; ou pipeline), renforcer l’autorisation per-commande. Rainpwn

Si vous gérez ou utilisez une Zyxel ATP/USG : vérifiez que vous êtes à jour, restreignez l’accès à l’interface d’administration, et surveillez toute activité suspecte.

⬇️ 2025-08-15 : ZYXEL a été informé de la vulnérabilité 2025-08-15 : ZYXEL a accusé réception de mon rapport de vulnérabilité. 2025-08-19 : ZYXEL a attribué l’identifiant CVE-2025-9133 aux problèmes signalés et m’a informé de son intention de publier un avis de sécurité le 30 septembre 2025. 2025-09-08 : ZYXEL a demandé de reporter la divulgation publique au 21 octobre 2025, car le correctif du firmware devait être publié le 20 octobre 2025. Cela devait permettre aux utilisateurs d’appliquer la mise à jour et de sécuriser leurs systèmes avant la divulgation de la faille. 2025-10-21 : ZYXEL a publié son avis de sécurité, conformément au calendrier de divulgation coordonnée.

⬇️ CVE-2025-9133: Configuration Exposure via Authorization Bypass 👇

https://rainpwn.blog/blog/cve-2025-9133/

🩹⬇️

"The missing authorization vulnerability in certain ZLD firewall versions could allow a semi-authenticated attacker—who has completed only the first stage of the two-factor authentication (2FA) process—to view and download the system configuration from an affected device." ⬇️ "Zyxel security advisory for post-authentication command injection and missing authorization vulnerabilities in ZLD firewalls"

👇

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-and-missing-authorization-vulnerabilities-in-zld-firewalls-10-21-2025

🌐⬇️

https://cve.circl.lu/vuln/CVE-2025-9133

https://nvd.nist.gov/vuln/detail/CVE-2025-9133

21.10.2025 - L’OFCS reçoit régulièrement des signalements d’e-mails de phishing visant à duper les clients TWINT. L’objectif des fraudeurs est de voler des données de cartes de crédit ou de prendre le contrôle de comptes TWINT. Certaines tentatives ne nécessitent même pas de pages de phishing sophistiquées. Un cas récent, à première vue anodin, mais astucieusement conçu, en est un parfait exemple. À l’aide d’un message personnel et d’une demande d’argent envoyée au petit matin, les escrocs incitent leurs cibles à agir de manière irréfléchie.

Posted On 21 Oct 2025By : Damien Bancal - zataz
À cinq mois du vote municipal, les communes françaises doivent sécuriser leurs systèmes d’information avant les attaques numériques déjà observées dans plusieurs villes.