Envie de suivre l’actualité cybersécurité et des cybermenaces avec un focus sur la Suisse (romande) ?

Voici deux ressources locales en français à ajouter à vos favoris :

Les actualités hebdomadaires de l’Office fédéral pour la cybersécurité

https://ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus.html
Cette semaine : **phishing Microsoft 365 en pleine expansion* et ses effets en chaîne en Suisse*.

La revue mensuelle des cybermenaces (par mon équipe )


https://vd.ch/dcirh/dgnsi/cybersecurite/veille-cybermenace

Disponible aussi sur la nouvelle page dédiée :


https://vd.ch/dcirh/dgnsi/cybersecurite

Infos du mois de février
Attaques en hausse sur les instances*Microsoft 365 en Suisse romande.

DeepSeek : fuite de données.
Espionnage via WhatsApp en Italie.
Europol ferme deux forums cybercriminels.
Cybercriminels arrêtés en Thaïlande (liés à des attaques en Suisse).
2,8 millions d’IP mobilisées pour attaquer des VPN
Le phishing du mois… soyez vigilants !
…

Plus d’infos ici

https://vd.ch/actualites/actualite/news/25019-revue-des-cybermenaces-fevrier-2025

uuulaa Veeam là ils prennent cher c'est un 9.9 d'amour

Watchtowr, toujours aussi caustique, lâche :

"Veeam, malgré lui, reste le jouet favori des ransomwares."

"By executive order, we are banning blacklists: Domain-level RCE in Veeam Backup & Replication (CVE-2025-23120)"

https://labs.watchtowr.com/by-executive-order-we-are-banning-blacklists-domain-level-rce-in-veeam-backup-replication-cve-2025-23120/

Pourquoi tant de sarcasme ? Parce qu’on est face à une énième désérialisation non sécurisée sur un produit très répandu.

Veeam Backup & Replication est massivement déployé et une cible privilégiée des ransomwares.
Il ne doit jamais être exposé sur Internet.
C'est un vecteur d'attaque interne redoutable une fois un accès obtenu.
20% des cas d'incident chez Rapid7 en 2024 impliquaient déjà Veeam.

https://www.rapid7.com/blog/post/2025/03/19/etr-critical-veeam-backup-and-replication-cve-2025-23120/

CVE-2025-23120 touche Veeam 12.3.0.310 et toutes les versions 12 précédentes.

Mitigation immédiate :
Update vers 12.3.1.1139
Ne pas exposer sur Internet

Bref, si vous utilisez Veeam… mettez à jour, même si, d’après nos amis de Rapid7 (d’habitude très agressifs sur les PoC ), "y a pas de preuve publique d’exploit".

Deux vulnérabilités (CVE-2025-25291, CVE-2025-25292) permettent de contourner l’authentification SAML (SSO) sur GitHub et GitLab via une attaque par « signature wrapping ».
Un attaquant disposant d'une signature valide pourrait ainsi se connecter sous l’identité d’un autre utilisateur. La prudence est de mise, surtout qu’un gang spécialisé dans les ransomwares a récemment ciblé ces plateformes. L’exploitation active est à ce jour inconnue.

GitLab recommande fortement la mise à jour vers 17.9.2 :

https://about.gitlab.com/releases/2025/03/12/patch-release-gitlab-17-9-2-released/

GitHub – Sign in as anyone (détails techniques) :

https://github.blog/security/sign-in-as-anyone-bypassing-saml-sso-authentication-with-parser-differentials/

#Cyberveille
#vulnerabilite
#GitHub
#GitLab
#SAML
#CVE_2025_25291
#CVE_2025_25292

"A code analysis by the BSI shows that two-factor authentication could be bypassed in Nextcloud Server. Passwords were also stored in plain text."
"The high-risk vulnerability reported under CVE-2024-37313 allowed attackers to bypass 2FA and take over an account with credentials known to them"

https://www.heise.de/en/news/BSI-analysis-shows-Nextcloud-server-stored-passwords-in-plain-text-10273259.html

[Patched versions ]
"It is recommended that the Nextcloud Server is upgraded to 26.0.13, 27.1.8 or 28.0.4

It is recommended that the Nextcloud Enterprise Server is upgraded to 21.0.9.17, 22.2.10.22, 23.0.12.17, 24.0.12.13, 25.0.13.8, 26.0.13, 27.1.8 or 28.0.4"

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-9v72-9xv5-3p7c

[source][DE]

"BSI untersucht Open Source Software "Nextcloud""

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Projekt-CAOS-30_Nextcloud_250205.html

Nouvelle vague d’arnaques au salaire en Suisse romande, ciblant entreprises et institutions publiques

Ce type de fraude, déjà répandu en Suisse alémanique, s'inscrit dans la continuité de l’arnaque au président ( exemple & explications du OFCS lors des signalements en 2023 https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2023/wochenrueckblick_11.html )

"Dans la variante RH, le service du personnel reçoit le courriel d'un prétendu collaborateur demandant de recevoir son prochain salaire sur un autre compte. Pour mener à bien cette arnaque, le cybercriminel doit disposer du nom et de l'adresse électronique du responsable des ressources humaines ainsi que du nom d'un collaborateur."

Les cybercriminels ont affiné leur méthode au fil du temps. Ils exploitent les organigrammes en ligne pour identifier les responsables des ressources humaines ou de la comptabilité, puis utilisent des outils d’IA pour rédiger des messages convaincants. L’escroquerie consiste à se faire passer pour un employé et à demander un changement d’IBAN pour le versement du salaire.

"Les employeurs doivent redoubler de vigilance face à une augmentation des arnaques ciblant le versement des salaires. Plusieurs cas de fraude ont récemment été signalés."

https://www.vd.ch/actualites/actualite/news/24853-0-larnaque-au-salaire

"How Switzerland is caught up in Russia’s propaganda machine "
"Switzerland’s neutrality has not prevented it from becoming the target of fake news and propaganda from Moscow, reports show. An explainer. "

https://www.swissinfo.ch/eng/foreign-affairs/how-switzerland-is-caught-up-in-russias-propaganda-machine/88785511

Un truc "bizarre" dans l'advisory CISA sur les CMS8000 Patient Monitor

https://www.cisa.gov/sites/default/files/2025-01/fact-sheet-contec-cms8000-contains-a-backdoor-508c.pdf

Le hardcoded IP ( CVE-2025-0626 ) mentionné ne serait-il pas le même que celui présent "hardcoded" dans tous les manuels d'utilisation publiés par Contec ?
Dans le rapport de la CISA, l’adresse IP est redacted, alors qu’elle semblerait publiquement affichée dans les manuels d’utilisation des appareils Contec

Owner
Name:

cernet.edu.cn
Address:

CERNET Center
Beijing 100084, China

"Une société informatique genevoise touchée par un vol de données
L’entreprise visée fournit plusieurs entités publiques, mais leurs données ne sont pas affectées par l’attaque de type «ransomware»."
"Contacté, Samuel Meynet, directeur de la société, explique qu’en réalité une seule filiale du groupe, Boost SA, a été touchée. Elle est spécialisée dans l’hébergement. «L’activité d’Ilem n’est pas impactée», explique celui qui a été nommé à la tête du groupe en octobre dernier seulement"

https://www.tdg.ch/geneve-une-societe-informatique-victime-dun-ransomware-333881303309

Tiens, l’Institut national de test pour la cybersécurité (NTC) a publié un rapport sur les vulnérabilités des systèmes d’information hospitaliers (SIH) en Suisse. Plus de 40 failles, dont 3 présentant la criticité
la plus importante, ont été découvertes dans les produits suivants :

• KISIM (Cistec)
• inesKIS (ines)
• Epic (Epic Systems)

"De nombreuses failles découvertes sont si flagrantes et faciles à exploiter qu’elles ont
permis de prendre le contrôle total du SIH et des données de patients contenues en
l’espace de quelques heures après le début des tests."

Problèmes majeurs détectés :

• Architectures obsolètes (fat client).
• Chiffrement (NDR https://chiffrer.info/) absent ou mal implémenté.
• Vulnérabilités dans les systèmes connexes.
• Séparation insuffisante entre environnements de test et de production.

Cette démarche vise à sensibiliser ce secteur critique, particulièrement ciblé dernièrement par les cyberattaques.

https://fr.ntc.swiss/news/2025-rapport-sih

https://www.ntc.swiss/hubfs/250123-ntc-rapport-sommaire-sih-fr.pdf

Si vous cherchez à évaluer un éventuel impact du leak des configurations #Fortigate de 2022
( https://doublepulsar.com/2022-zero-day-was-used-to-raid-fortigate-firewall-configs-somebody-just-released-them-a7a74e0b0c7f ),
les IP des instances FortiGate compromises à l'époque, ont été mis à disposition ici

https://github.com/arsolutioner/fortigate-belsen-leak/blob/main/affected_ips.txt

Un script pour organiser les adresse par AS et pays est disponible ici

https://github.com/cudeso/tools/tree/master/CVE-2022-40684

...et pour les amateurs d'oignons, quelqu'un a fait ça

https://any.run/report/8706c4029bec49e5ce81a41956a85c14b4a3855a791ee74b78699e7fb796c6a6/5427006e-3537-4142-99f3-2b25a594a51b

Si vous voulez partir à la (retro) chasse des extensions Chrome compromises en fin d'année passée ( https://www.lemagit.fr/actualites/366617794/Extensions-Chrome-une-campagne-plus-vaste-questime-initialement ) sur vos postes et logs réseau,
la liste de suivi est disponible avec les adresses de destination de données détournées (IoCs) ainsi que l'état actuel de l'extension (remédiée / retirée / vulnérable)

https://www.extensiontotal.com/cyberhaven-incident-live