EXTENSIONS DE NAVIGATEUR : SONT-ELLES EN TRAIN DE NOUS ESPIONNER ?

​🤖​ Chers internautes et les amis Cyber-défenseurs,

Sur un champ de bataille silencieux, pas de sirènes, pas d’alertes stridentes. Juste un clic innocent sur une extension Chrome. Un script automatisé dans un conteneur GPU. Une API mal sécurisée dans un formulaire d’assurance. Ce n’est pas de la science-fiction, c’est votre environnement numérique en 2025.

Alors que vous fassiez défiler LinkedIn ou générez des rapports via ChatGPT, plus de 190 000 permis de conduire ont glissé à travers les mailles d’une vulnérabilité dans un simple parcours client chez Lemonade.

Au même moment, NVIDIA publiait un patch… incomplet, exposant des milliers d’environnements IA à des exécutions de code malveillantes. Et dans l’ombre, vos navigateurs — que vous pensiez inoffensifs — deviennent des trappes ouvertes sur l’intégralité de votre SI.

Pendant que la surface d’attaque explose, les régulateurs eux, resserrent l’étau : DORA, FCA, conformité des tiers, résilience opérationnelle… les DSI du secteur financier sont désormais plus préoccupés par leurs tableaux de conformité que par les attaques elles-mêmes.

Mais tout n’est pas perdu. Une nouvelle génération d’outils cyberéthiques émerge, dopés à l’intelligence artificielle. PentestGPT, votre assistant virtuel de pentest, vous guide à travers le chaos comme un éclaireur augmenté. Il n’a pas peur. Il ne dort pas. Il exécute. Et il vous aide à survivre.

Les grandes lignes :

👉 Lemonade laisse fuiter 190 000 permis de conduire 🚗

👉 Les extensions de navigateur vous espionnent sans que vous le sachiez🧩

👉 NVIDIA sous le feu des critiques après la découverte de deux failles critiques ⚙️

👉  Le secteur financier britannique étouffe sous le poids des réglementations 💼

👉 PentestGPT assiste les hackers éthiques à vitesse grand V 🤖

Si on t’a transféré cette lettre, abonne-toi en cliquant sur ce lien !

🗞️​Vous savez quoi ?

🤓​ Vous voulez en savoir plus ?

1️⃣ 190 000 permis de conduire exposés par une faille chez Lemonade

Résumé : En pleine ère de transformation numérique du secteur assurantiel, Lemonade, startup emblématique de l’insurtech, fait face à une défaillance qui entache son image de pionnier technologique. Entre avril 2023 et septembre 2024, une vulnérabilité technique dans le parcours de souscription auto a permis la transmission en clair de numéros de permis de conduire. Près de 190 000 personnes sont concernées. La société affirme que les données n’ont pas été activement compromises. Mais cet incident, passé sous les radars pendant plus d’un an, soulève de profondes questions sur les pratiques DevSecOps et la transparence en matière de gestion des risques numériques.

Les détails :

1. Une faille "non matérielle" qui questionne la communication réglementaire : Lemonade a signalé l’incident à la SEC comme étant "non matériel". C’est ce qui sous-entend un faible impact financier ou opérationnel. Or, près de 190 000 utilisateurs ont vu leur permis potentiellement exposé.

2. Données critiques exposées via HTTP non chiffré : La faille est d’autant plus préoccupante qu’elle repose sur un oubli fondamental : l’absence de chiffrement dans un flux de données personnelles. Concrètement, les numéros de permis transitent en clair entre le navigateur et les serveurs de Lemonade.

3. Réaction de crise rapide mais communication technique minimale : Lemonade a réagi rapidement. Comment ? La société a corrigé la vulnérabilité dès sa détection et a offert une année de services de protection d’identité aux personnes concernées. Toutefois, aucune analyse post-mortem n’a été publiée, aucun rapport détaillé ne permet d’évaluer la chaîne de défaillance.

4. Défaillance d’implémentation plutôt qu’intrusion malveillante : Il ne s’agit pas d’une attaque externe sophistiquée, mais bien d’une erreur d’implémentation dans un système métier.

5. Une régulation américaine encore morcelée, mais de plus en plus réactive : Même si les États-Unis ne disposent pas d’un cadre unique tel que le RGPD européen, plusieurs législations locales comme le CCPA (Californie) imposent des obligations strictes en matière de notification et de protection des PII.

Que faut-il en retenir ?

L’incident Lemonade agit comme un électrochoc pour tout le secteur insurtech. Il démontre que la sophistication technologique ne garantit pas à elle seule une hygiène de sécurité suffisante. Ce n’est pas un ransomware, ni une attaque APT. C’est plutôt une erreur de configuration, invisible mais persistante, qui expose des données critiques pendant plus d’un an.

2️⃣ Les extensions de navigateur sont votre pire ennemi, et vous ne le saviez pas encore 

Résumé : Alors que les outils de productivité, d’intelligence artificielle ou de collaboration se multiplient via le navigateur, un rapport explosif de LayerX vient jeter une lumière crue sur une surface d’attaque aussi omniprésente qu’ignorée : les extensions de navigateur. Dans son Enterprise Browser Extension Security Report 2025, la firme dévoile une réalité alarmante : 99 % des employés en entreprise utilisent des extensions, et plus de la moitié d’entre elles ont accès à des données critiques. Derrière cette banalité se cache une bombe à retardement qui, si elle explose, peut compromettre tout un système d’information sans générer le moindre bruit.

Les détails :

1. 99 % des utilisateurs sont déjà exposés : L’étude montre que pratiquement tous les employés utilisent au moins une extension, et 52 % en possèdent plus de dix. Cela signifie que l’exposition n’est pas marginale, mais systémique. Les entreprises ont intégré ces outils dans leur quotidien sans supervision centralisée. Ce qui transforme le navigateur en zone grise de la cybersécurité. Sans contrôle précis, c’est une faille généralisée à l’échelle de l’entreprise. 

2. Des permissions excessives et invisibles : 53 % des extensions peuvent accéder à des données sensibles : cookies de session, tokens JWT, contenu HTML de pages métiers, historique de navigation, voire champs de formulaire. Ces autorisations sont souvent accordées automatiquement par l’utilisateur, sans en mesurer les conséquences. Or, une seule extension malveillante suffit pour détourner des identifiants et franchir les périmètres les mieux protégés.

3. Anonymat et opacité des développeurs : Plus de 54 % des extensions sont publiées par des éditeurs non identifiés, souvent via des comptes Gmail, sans mention d’une entité légale ou commerciale. Ce flou identitaire rend impossible toute vérification de légitimité ou d’antécédents de sécurité. Pire : 79 % des extensions concernées ne sont liées à aucun éditeur récurrent, ce qui laisse soupçonner des campagnes opportunistes ou éphémères.

4. Les outils GenAI : nouveaux cheval de Troie corporate : Avec la démocratisation des assistants IA via extensions (comme ChatGPT pour navigateur, résumeurs de page, correcteurs sémantiques, etc.), de nouvelles menaces émergent. 20 % des utilisateurs professionnels utilisent déjà au moins une extension GenAI, dont 58 % possèdent des permissions jugées critiques. Ces outils peuvent, sans supervision, aspirer du contenu sensible et le transférer vers des services cloud non maîtrisés.

5. Sideloading et obsolescence : le duo fatal : 26 % des extensions utilisées sont installées manuellement, hors des stores officiels (sideloading), ce qui les rend totalement invisibles aux politiques de sécurité classiques. Par ailleurs, 51 % n’ont pas été mises à jour depuis plus d’un an, ce qui multiplie les vulnérabilités exploitables. Un terrain parfait pour des attaques furtives, persistantes et indétectables à l’œil nu.

Que faut-il en retenir ?

Ce que révèle le rapport LayerX est clair : les extensions de navigateur constituent une surface d’attaque massive, non maîtrisée, et sous-estimée. Là où les RSSI se concentrent sur les endpoints, les accès cloud ou les flux réseau, le navigateur devient une backdoor autorisée — parfois volontaire, souvent ignorée. Le modèle de sécurité moderne ne peut plus ignorer cet angle mort.

Il est impératif de mettre en place une cartographie complète des extensions actives, de classer leur niveau de risque selon leurs permissions et leur origine, et de définir des politiques adaptatives d’autorisation et de blocage.

3️⃣ ​Deux failles critiques chez NVIDIA exposent les IA et l’infra conteneurisée 

Résumé : Les infrastructures conteneurisées qui exploitent des GPU NVIDIA pour les charges de travail IA sont actuellement sous tension. Malgré un correctif publié en 2024 pour corriger une vulnérabilité critique (CVE-2024-0132), des chercheurs de Trend Micro et Wiz ont découvert une faille secondaire (CVE-2025-23359) qui persiste même sur les systèmes déjà patchés.

Cette vulnérabilité, liée à une course condition dans le NVIDIA Container Toolkit, permettrait à un attaquant de compromettre l’hôte via des images Docker malicieuses. À l’heure où l’IA devient un levier stratégique, cette double faille illustre les limites actuelles des cycles de patching et soulève des inquiétudes majeures sur la robustesse de la chaîne logicielle.

Les détails :

1. Un patch initial incomplet, une exposition prolongée : Le correctif de septembre 2024 censé corriger CVE-2024-0132, une vulnérabilité de type TOCTOU, s’est avéré inefficace dans certains cas d’usage. Cela a conduit à la découverte d’une faille secondaire non couverte (CVE-2025-23359), qui expose encore les infrastructures malgré l'application du patch initial. 

2. Une faille critique dans les conteneurs IA : CVE-2025-23359 touche particulièrement les déploiements Linux qui utilisent Docker avec le NVIDIA Container Toolkit. Elle permet, via un montage de volumes symlinkés, d’accéder au système hôte et d’en exécuter les commandes avec privilèges root.

3. Menace sur les modèles propriétaires : L’exploitation de la faille permet non seulement un accès au système, mais aussi à des artefacts critiques : modèles IA propriétaires, données d’entraînement, configurations réseau ou tokens d’accès.

4. La confusion autour des publications de vulnérabilités : Wiz a publié son analyse début 2025, tandis que Trend Micro a attendu avril pour alerter publiquement sur la faille, bien qu’elle ait été corrigée en février.

5. Mesures de mitigation immédiates recommandées : Outre l’application du dernier correctif de février 2025, les experts recommandent de restreindre les droits sur le Docker API, désactiver les fonctionnalités inutiles du Container Toolkit, surveiller les accès aux sockets Unix et imposer un contrôle rigoureux sur les images importées. Des politiques CI/CD renforcées doivent également détecter toute anomalie lors de l’exécution de conteneurs.

Que faut-il en retenir ?

Les failles successives dans le NVIDIA Container Toolkit constituent un signal fort pour toutes les entreprises investies dans l’IA. La complexité croissante des environnements conteneurisés, combinée à l’absence de vérification complète lors du patching, expose à des compromissions à la fois techniques et économiques. Les équipes DevSecOps doivent désormais intégrer un processus de revalidation post-patch, tester en conditions réelles, et cloisonner plus strictement les environnements de calcul. L’IA n’est pas que puissance : c’est un risque d’une nouvelle nature.

4️⃣ ​Le secteur financier UK pris en otage par la conformité réglementaire 

Résumé : Alors que les menaces cyber évoluent en sophistication, les institutions financières britanniques identifient un autre type de pression, plus insidieuse, mais tout aussi stratégique : la conformité réglementaire.

Selon une enquête de Bridewell Consulting, 44 % des acteurs du secteur considèrent aujourd’hui le respect des régulations comme leur principal défi cybersécurité. Cette bascule du paradigme technique vers l’obligation légale s’inscrit dans un contexte d’inflation réglementaire, marqué par l’entrée en vigueur du DORA européen, les nouvelles règles de la FCA sur les tiers, et la complexification de la chaîne logistique numérique. Résultat : la résilience ne se décrète plus, elle se prouve.

Les détails :

1. DORA : un tremblement de terre pour la gouvernance cyber européenne : Depuis janvier 2025, le Digital Operational Resilience Act impose aux institutions opérant dans l’UE une série d’exigences inédites : gestion du risque tiers, cartographie des actifs critiques, tests de résilience obligatoires. Pour les entreprises britanniques avec une présence continentale, cela implique une double conformité (EU/UK), ce qui mobilise à la fois les équipes cyber et juridiques.

2. La FCA impose de nouvelles règles sur les fournisseurs tiers : En parallèle, la Financial Conduct Authority britannique renforce son contrôle sur la sécurité des prestataires de services. Les institutions doivent désormais prouver qu’elles peuvent résister aux défaillances d’un fournisseur critique, sous peine de sanctions. Cela exige un niveau de visibilité et de contrôle rarement atteint dans les architectures distribuées et les modèles SaaS/BaaS.

3. Les chaînes d’approvisionnement numériques allongent les temps de réponse : Le rapport révèle que les attaques sur la supply chain prennent en moyenne 16 heures à être contenues, bien plus que le ransomware ou le DDoS. Cela s’explique par l’interconnexion complexe des systèmes, la difficulté à identifier le point d’entrée, et l’enchevêtrement des responsabilités contractuelles entre donneur d’ordre et sous-traitant.

4. Une menace étatique toujours latente : Les institutions financières britanniques s’inquiètent également de la montée en puissance des menaces étatiques. 70 % redoutent des attaques russes, 69 % craignent l’ingérence iranienne, et 57 % surveillent les capacités chinoises. Dans ce contexte, la conformité devient aussi une posture géopolitique : démontrer sa résilience, c’est aussi dissuader l’adversaire.

5. Montée en puissance de l’IA défensive… et offensive : 33 % des entreprises du secteur utilisent désormais des outils d’automatisation de la réponse à incident, 31 % des assistants IA, et 22 % des plateformes de cyberveille dopées à l’IA. Mais cette adoption est en miroir d’une nouvelle menace : 89 % redoutent les attaques de phishing générées par IA, 81 % les botnets autonomes et 78 % les deepfakes.

Que faut-il en retenir ?

Le secteur financier britannique vit une transformation radicale de son approche cyber : le centre de gravité s’est déplacé du firewall à la gouvernance. La multiplication des obligations réglementaires, européennes, nationales et sectorielles, pousse les institutions à intégrer la conformité comme un pilier de leur stratégie cyber.

Cette évolution n’est pas sans coût : elle nécessite des outils de pilotage, des audits fréquents, une culture partagée de la résilience, et une collaboration renforcée entre RSSI, DPO et directions juridiques. Dans ce nouveau paradigme, la conformité n’est plus une case à cocher, mais un moteur de maturité organisationnelle… et un facteur clé de survie.

5️⃣ PentestGPT : l'IA qui assiste les hackers éthiques à vitesse grand V

Résumé : Avec l’explosion des outils basés sur l’intelligence artificielle, il était inévitable qu’un assistant dédié au pentesting voie le jour. C’est désormais chose faite avec PentestGPT, un outil conversationnel développé par GreyDGL et propulsé par GPT-4. Ce compagnon intelligent s’adresse autant aux professionnels qu’aux amateurs éclairés. Le processus est simple, car il permet de les guider à travers les phases classiques d’un test d’intrusion.

Reconnaissance, exploitation, élévation de privilèges : tout peut être abordé en langage naturel. Loin d’être un gadget, cet assistant préfigure une nouvelle ère où l’expertise humaine s’augmente par l’IA, dans un équilibre subtil entre automatisation, contextualisation… et responsabilité.

Les détails :

1. Une interface en langage naturel pour le pentest : Fini les recherches fastidieuses sur les forums ou dans les docs d’outils : PentestGPT permet de poser une question en anglais courant comme "Comment escalader mes privilèges sur Windows ?". Il peut aussi fournir des pistes concrètes, des commandes, voire du code. Ce changement d’interface réduit la courbe d’apprentissage et démocratise des techniques avancées.

2. Un outil qui raisonne, pas seulement qui copie-colle : Contrairement aux bases de scripts ou aux frameworks classiques, PentestGPT est capable d’enchaîner les étapes logiques d’un test : corréler des indices, suggérer des vecteurs combinés, proposer une chaîne d’exploitation plausible. Son comportement se rapproche de celui d’un junior pentester en formation continue, mais toujours disponible. 

3. Un allié pour les CTF, les Red Team… et les analystes blue team : Bien qu’orienté offensive, l’outil peut aussi servir à simuler des attaques, renforcer l’hygiène défensive ou automatiser des recherches. Dans les Capture The Flag ou les environnements lab, PentestGPT permet un brainstorming rapide, une validation de stratégie ou une aide ponctuelle sur un script ou un payload.

4. L’open source avec dépendance à GPT-4 : L’outil est disponible sur GitHub sous licence libre, mais son fonctionnement repose sur l’API OpenAI. Cela implique un abonnement à ChatGPT Plus et une gestion sécurisée des clés API. En revanche, l’outil tourne localement, sans exfiltration automatique des données. Il appartient à l’utilisateur de cadrer les usages et les inputs.

5. Limites et responsabilités : l’IA n’est pas infaillible : PentestGPT ne "hacke" pas à votre place. Il propose, suggère, mais ne remplace ni l’intuition ni l’expérience humaine. Certaines recommandations peuvent être inadaptées ou incomplètes. L’utilisateur doit valider les choix, croiser les résultats et garder la maîtrise. L’outil doit être vu comme un coéquipier, non comme un pilote automatique.

Que faut-il en retenir ?

PentestGPT marque une avancée décisive dans l’intégration de l’IA dans les métiers du test d’intrusion. Il ne s’agit pas d’un outil miracle, mais d’un levier d’accélération, de structuration et de montée en compétence. Il rend d’ailleurs l’expertise offensive plus accessible et réduit ainsi les temps de recherche, augmente la créativité opérationnelle et offre un gain de productivité net. Côté blue team, il ouvre aussi la voie à une compréhension plus fine des tactiques adverses. 

LIEUTENANT AU RAPPORT 🏆

Bearops – La pépite bretonne qui redéfinit la cybersécurité offensive

Fondée en octobre 2023 par Steven Carrier, Bearops est une startup française spécialisée dans la cybersécurité offensive. Elle propose des services d'audits Red Team, de tests d'intrusion (pentest) et d'investigations OSINT. Sa solution phare, Beareye, intègre des fonctionnalités d'EASM, IASM, CERT, OSINT et TPRM. Ce qui offre une plateforme complète pour la gestion des risques cyber. ​

Faits marquants : 

En 2024, Bearops a franchi une étape significative en étant référencée au sein de Bretagne CyberAlliance et de Breizh Cyber. Cette reconnaissance régionale témoigne de la qualité et de l'efficacité de ses solutions. La startup prévoit de dépasser le million d'euros de chiffre d'affaires et de doubler ses effectifs pour répondre à la demande croissante. Sa participation au Forum International de la Cybersécurité (FIC) dès 2025 marque son ambition de s'imposer comme un acteur incontournable de la cybersécurité en France.

CYBERTRIVIA - LE SAVIEZ-VOUS ? 🤔

Le BIOS : la faille ultime que vous ne surveillez (presque) jamais ?

Alors que la plupart des organisations concentrent leur surveillance sur les couches logicielles, peu soupçonnent que la véritable clé de voûte de la compromission totale réside dans le firmware bas niveau : le BIOS ou UEFI. Ces composants, pourtant essentiels au démarrage du système, sont rarement monitorés… et pourtant, ils peuvent être modifiés à l’insu des équipes IT.

Certaines attaques dites “firmware-level”, comme LoJax, exploitent le BIOS pour installer des rootkits persistants qui survivent même à un reformatage complet. Une fois compromis, le BIOS permet à un attaquant de reprendre le contrôle dès le boot, avant que tout antivirus ou EDR ne soit actif.

Pourquoi cette menace est-elle sous-estimée ?

• Le BIOS est rarement mis à jour (ou uniquement lors d'incidents matériels)

• Les outils de supervision classiques ne scrutent pas cette couche

• Peu de solutions offrent un contrôle d’intégrité du firmware en runtime

Pourtant, des normes émergent, comme UEFI Secure Boot, ou des outils comme CHIPSEC (développé par Intel), qui permettent d’analyser et de détecter les modifications suspectes. Les grands acteurs (Microsoft, HP, Lenovo) commencent à intégrer des mécanismes de vérification de l’intégrité firmware dans leurs solutions.