1. Vague massive de phishing OAuth contre les comptes Microsoft 365

Les comptes Microsoft 365 sont la cible d’une campagne de phishing sophistiquée exploitant le flux d’autorisation OAuth (y compris via le `device code`). L’objectif est d’obtenir un consentement applicatif légitime plutôt que de voler des mots de passe, ce qui permet aux attaquants d’accéder durablement aux emails, fichiers et données d’entreprise.
[Article Original] 

2. Arrestation du développeur nigérian derrière la plate‑forme de phishing « RaccoonO365 »

Les autorités nigérianes ont arrêté le développeur d’un kit de phishing spécialisé dans l’attaque des comptes Microsoft 365, utilisé dans de nombreuses campagnes de vol d’identifiants et de prise de contrôle de boîtes mail. Cette arrestation illustre l’industrialisation du phishing en mode « plateforme-as-a-service », mais ne met pas fin au risque pour les organisations déjà ciblées.
[Article Original] 

3. Nouvelle faille critique dans les firewalls WatchGuard Firebox exploitée activement

WatchGuard alerte sur une vulnérabilité critique de type exécution de code à distance dans Fireware OS (VPN/Firebox), déjà exploitée dans des attaques réelles. Les attaquants peuvent prendre le contrôle complet des appliances exposées, ce qui en fait un point d’entrée de choix pour pivoter dans les réseaux d’entreprise. 
[Article Original]

4. Faille UEFI grave permettant des attaques DMA pré‑boot sur cartes mères ASUS, GIGABYTE, MSI, ASRock

Une nouvelle vulnérabilité UEFI, affectant plusieurs grands constructeurs, permet des attaques DMA très précoces, avant même le démarrage du système d’exploitation. Cette faiblesse ouvre la porte à des implants firmware persistants et difficiles à détecter, repositionnant le BIOS/UEFI comme maillon critique de la chaîne de sécurité.
[Article Original] 

5. GhostPairing : une nouvelle campagne de piratage de comptes WhatsApp via l’appairage d’appareils

Une campagne active baptisée « GhostPairing » détourne le mécanisme d’appairage des appareils WhatsApp : les victimes pensent valider l’accès à une photo ou une page Facebook, mais en réalité ajoutent silencieusement le navigateur de l’attaquant comme appareil lié. L’attaquant peut alors lire les messages, envoyer des contenus malveillants aux contacts et exploiter les conversations pour l’ingénierie sociale et l’extorsion.
[Article Original]

Principales Menaces Cybersécurité de la Semaine

1.Attaques contre les accès distants et VPN d’entreprise (WatchGuard, Cisco, PAN, SonicWall)

• • Multiplication des exploits et campagnes de password spraying visant les passerelles VPN et équipements de bordure (WatchGuard Firebox, Cisco/Palo Alto VPN, SonicWall edge devices).
  • Risque majeur : ouverture d’un accès initial direct au réseau interne, souvent avec des comptes à privilèges ou un contrôle total de l’appliance.
• Actions prioritaires : inventorier les équipements exposés, appliquer immédiatement les correctifs/fixes, renforcer l’authentification (MFA forte), surveiller les journaux d’accès VPN (échecs massifs, connexions depuis pays inhabituels).

2.Abus des flux d’authentification modernes (OAuth, device code, app consent) sur Microsoft 365

• Les attaquants se déplacent du simple vol de mot de passe vers :
• Le phishing du flux `device code` Microsoft 365.
• La demande de consentement à des applications malveillantes (OAuth consent phishing).
• L’usage de kits spécialisés comme RaccoonO365.
• Résultat : accès persistant à la messagerie, aux fichiers SharePoint/OneDrive et aux données Teams, même si le mot de passe est changé.
• Actions prioritaires :
• Limiter qui peut consentir à des applis OAuth (politique d’approbation admin).
• Activer et surveiller les journaux de consentement d’applis et de connexion.
• Former les utilisateurs sur les pop‑ups de consentement et les emails Microsoft « inhabituels ».

3.Compromission au niveau firmware / UEFI et menaces persistantes bas niveau

• La faille UEFI (Gigabyte, MSI, ASUS, ASRock) et le rappel sur le backdoor ASUS Live Update (CVE‑2025‑59374) montrent que la surface d’attaque descend dans le BIOS/UEFI et les outils de mise à jour.
• Une compromission à ce niveau permet des implants extrêmement persistants, capables de survivre à un reformatage ou à une réinstallation de l’OS, et difficiles à détecter par les solutions de sécurité classiques.
• Actions prioritaires :
• Vérifier la version de firmware/UEFI et appliquer les mises à jour de sécurité fournies par les constructeurs.
• S’assurer que les outils de mise à jour (ASUS Live Update, etc.) proviennent uniquement des sources officielles et sont à jour.
• Pour les environnements sensibles : activer Secure Boot, utiliser des mécanismes d’attestation (TPM, boot measurement) et intégrer ces contrôles dans la gestion de parc.

« En sécurité, le maillon le plus faible n’est plus seulement l’utilisateur ou le mot de passe : c’est souvent tout ce qui se passe avant même que le système ne démarre. Ignorer ces couches invisibles, c’est offrir aux attaquants une clé passe‑partout. »

Conseil de la semaine

Protégez vos accès “invisibles” : VPN, consentements OAuth et firmware. Cette semaine montre que les attaques ciblent ce que l’on regarde le moins :

• Côté accès :
• Passez en revue tous vos accès distants (VPN, portails d’admin, firewalls exposés).
• Activez la MFA partout où c’est possible et limitez les IP autorisées quand vous le pouvez.
• Côté Microsoft 365 :
• Bloquez le consentement libre aux applications tierces, imposez une validation par l’IT.
• Mettez en place des alertes sur les nouveaux consentements d’applis à large périmètre (Mail.Read, Files.Read.All, etc.).
• Côté firmware/poste de travail :
• Planifiez une campagne de mise à jour des BIOS/UEFI et utilitaires de mise à jour constructeur, en commençant par les postes les plus sensibles (admins, serveurs critiques).

Un petit audit ciblé de ces trois zones « peu visibles » peut éliminer des portes d’entrée majeures pour les attaquants.