FORTIER.IT

"L'innovation distingue les leaders des suiveurs." - Steve Jobs

septembre 20, 2025

Newsletter Cybersécurité - 2025 : semaine 38

Nouvelles 2025 de la cybersécurité de la semaine 38

Newsletter Cybersécurité - 2025 : semaine 38

Résumé des Actualités Cybersécurité

(Semaine 38, 2025)

ShadowLeak : une faille « zero‑click » dans l’agent Deep Research de ChatGPT permet la fuite d’emails Gmail  

Des chercheurs ont montré qu’une injection de prompt envoyée par email pouvait forcer l’agent à exfiltrer des données Gmail (via un encodage base64) sans interaction de l’utilisateur; OpenAI a publié un correctif rapidement et aucun abus réel n’a été observé. Risque clé: intégrations mail + agents IA autonomes. 
Article Original

GoAnywhere MFT : correctif critique pour une faille CVSS 10,0 (injection de commandes) — à appliquer d’urgence  

Une vulnérabilité de sévérité maximale dans le servlet de licence permet une exécution de commandes; Fortra a publié un patch et recommande une remédiation immédiate étant donné l’historique d’exploitation de GoAnywhere. Priorités: patch, rotation de secrets, contrôle réseau sortant.
Article Original

Explosion du PhaaS : 17 500 domaines de phishing ciblent 316 marques dans 74 pays  

Forte industrialisation du phishing‑as‑a‑service, avec une couverture mondiale et des kits sophistiqués (CAPTCHA leurres, contournement MFA). Enjeu: compromission d’identités M365 et chaîne BEC → rançongiciel.
Article Original

Principales Menaces de Cybersécurité

- Agents IA et intégrations e‑mail: l’injection de prompt « invisible » démontre que des connecteurs (ex. Gmail) peuvent être abusés pour exfiltrer des données côté serveur. Réduisez l’exposition: moindres privilèges sur les connecteurs, journaux d’activité, filtrage egress/DLP, et politiques anti‑exfiltration (détection d’encodages simples comme base64).

- Vulnérabilités critiques rapidement exploitées (MFT/MDM): la faille CVSS 10,0 de GoAnywhere et les kits malveillants ciblant Ivanti EPMM rappellent l’urgence du patching, de l’isolation des systèmes exposés, du durcissement (auth forte, segmentation) et de la rotation des secrets.

- Phishing industrialisé et vol d’identifiants: la montée du PhaaS, des faux portails officiels et des leurres (CAPTCHA factices) alimente BEC, intrusions M365 et déploiements ultérieurs de malwares/proxies. Antidotes: MFA résistante au phishing (FIDO2/passkeys), blocage des protocoles hérités, politiques d’accès conditionnel et sensibilisation ciblée.

Conseil de la semaine : Rendez votre Microsoft 365 « résistant au phishing »: imposez FIDO2/passkeys (désactivez SMS/voix en secours), bloquez IMAP/POP/SMTP Auth, restreignez le consentement OAuth (admin‑consent et vérification d’éditeurs), et forcez la révocation des sessions lors des resets de mots de passe.

- « Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez pas les problèmes et vous ne comprenez pas la technologie. » — Bruce Schneier