• CYBERDEFENSE.NET
  • Posts
  • LES HACKERS PASSENT A L'ATTAQUE, ETES VOUS PRET A RIPOSTER ?

LES HACKERS PASSENT A L'ATTAQUE, ETES VOUS PRET A RIPOSTER ?

Transmission de la Fédération Numérique. Canal sécurisé - Opération FireWall Sentinel. Hier, un code hostile a infiltré nos lignes. Aujourd’hui, votre session pourrait être la prochaine cible

Author

Johnny Rico
5th juin 2025 • Estimated Reading Time: 16 minutes

​🤖​ Chers internautes et les amis Cyber-défenseurs,

Le groupe Earth Lamia — une escouade d’élite cyberterroriste originaire de la République Populaire — a lancé une campagne d’infiltration sur plusieurs fronts : éducation, finance, logistique, gouvernement. Leur arme ? Des injections SQL. Leur méthode ? L’omniprésence.

Pendant que vous dormiez, plus de 364 000 identités ont été siphonnées depuis une plateforme de développement tierce. LexisNexis ? Compromis. GitHub ? Contrôlé. Les données ? Ennemies.

Et ce n’est pas tout. Une nouvelle menace a été repérée sur les radars : les attaques Browser-in-the-Middle. Vous pensiez être sur votre navigateur ? Faux. Vous étiez dans celui de l’ennemi. MFA ? Obsolète. Cookies et tokens ? Capturés avant que vous ne puissiez dire ".htaccess".

La Fédération (a.k.a. la CISA et l’ACSC) riposte grâce à la publication d’un manuel de guerre pour la mise en place des plateformes SIEM/SOAR. Trop tard pour certains. Juste à temps pour vous.

Mais dans l’ombre du chaos, une escouade de jeunes recrues singapouriennes, menée par le Capitaine Senthil, développe une nouvelle arme : Virage, un simulateur IA de scams vocaux. Leur but ? Former la prochaine génération de défenseurs numériques.

Les grandes lignes :

👉 Earth Lamia exploite les failles SQL pendant que tout le monde regarde ailleurs💣

👉364 000 identités volées sans alarme chez LexisNexis 🚨

👉 Piégé en quelques clics : la menace invisible des Browser-in-the-Middle 🕵️‍♂️

👉 La CISA met en garde les SOC qui croient trop aux promesses de leurs outils ⚙️

👉 L’IA détourne des appels pour arnaquer 🤖

Si on t’a transféré cette lettre, abonne-toi en cliquant sur ce lien !

🗞️​Vous savez quoi ?

  • Earth Lamia exploite plusieurs failles critiques pour infiltrer discrètement des systèmes sensibles : injections SQL, backdoors .NET, outils modifiés… tout y passe.

  • LexisNexis Risk Solutions a perdu le contrôle de données sensibles hébergées sur GitHub. Les 364 000 victimes ne l’apprendront que trois mois plus tard.

  • Le malware Browser-in-the-Middle permet de détourner des sessions MFA en quelques secondes, en passant par un navigateur distant. Il reste invisible, agit rapidement et s’avère redoutablement efficace.

  • La CISA a publié un guide préoccupant sur les outils SIEM et SOAR. Elle alerte sur les risques liés à un mauvais paramétrage, aux coûts cachés et aux alertes peu fiables.

  • La startup Virage, issue d’un projet étudiant, développe une intelligence artificielle capable de simuler des arnaques vocales réalistes afin de sensibiliser les utilisateurs. Ce nouveau type de prévention marque une évolution vers la version 3.0 de la cybersécurité.

Business news as it should be.

Join 4M+ professionals who start their day with Morning Brew—the free newsletter that makes business news quick, clear, and actually enjoyable.

Each morning, it breaks down the biggest stories in business, tech, and finance with a touch of wit to keep things smart and interesting.

🤓​ Vous voulez en savoir plus ?

1️⃣ Earth Lamia exploite les failles SQL pendant que tout le monde regarde ailleurs

Résumé : Depuis 2023, le groupe Earth Lamia cible activement plusieurs secteurs critiques grâce à l’exploitation des failles bien connues, principalement via des injections SQL. Leur arsenal comprend des backdoors sur mesure, la création d’administrateurs fantômes, et le contournement de solutions de sécurité grâce à des outils modifiés. La sophistication de leur mode opératoire impose une vigilance renforcée.

Les détails :

  1. Ciblage multisectoriel : Finance, IT, éducation, logistique… Earth Lamia alterne ses campagnes selon les secteurs. C’est ce qui a augmenté l’effet de surprise et le potentiel de dégâts.

  2. Exploitation de failles connues : CVE Apache Struts, GitLab, WordPress, SAP NetWeaver… Le groupe capitalise sur les défauts non corrigés dans les infrastructures exposées.

  3. Techniques d’intrusion avancées : Webshells, escalade de privilèges, extraction de credentials et pivot réseau, avec des outils comme BypassBoss et Pulsepack.

  4. Contournement de la détection : DLL sideloading dans les outils de sécurité, shellcodes Cobalt Strike et Brute Ratel… tout est pensé pour rester sous le radar.

  5. Affiliations suspectées : Connexions possibles avec REF0657, CL-STA-0048 et DragonRank, ce qui renforce l’hypothèse d’un groupe soutenu par l’État chinois.

Que faut-il en retenir ?

Earth Lamia représente un modèle de cyber-opération étatique moderne : agile, modulaire et persistant. Sa capacité à infiltrer des environnements critiques via des vulnérabilités publiques souligne l’urgence de la remédiation proactive et de la surveillance continue.

2️⃣ Fuite massive chez LexisNexis : 364 000 identités volées sans alarme

Résumé : Un tiers a accédé au GitHub de LexisNexis Risk Solutions en décembre 2024 et exfiltre des données sensibles sans déclencher d’alerte. Ce n’est qu’en avril 2025 que l’intrusion est détectée. L’entreprise assure que ses systèmes n’ont pas été touchés, mais des informations critiques comme les noms, les SSN et les adresses ont bien été volées.

Les détails :

  1. Origine de l’intrusion : Un accès non autorisé à un dépôt GitHub utilisé pour le développement logiciel a permis l’exfiltration de données internes.

  2. Données compromises : Bien que sans impact sur les réseaux internes, les informations volées incluent SSN, permis de conduire et autres données PII.

  3. Réaction tardive : L’attaque a eu lieu le 25 décembre, mais LexisNexis ne l’a découverte qu’en avril via une alerte externe.

  4. Communication réglementaire : Notification envoyée aux victimes, régulateurs informés, et services de protection d’identité offerts pendant 2 ans.

Que faut-il en retenir ?

Cette attaque prouve que la chaîne de développement logiciel est un vecteur critique de compromission. La négligence en matière de sécurité DevOps peut exposer des centaines de milliers de personnes sans même toucher le cœur de l'infrastructure.

3️⃣ Piégé en quelques clics : la menace invisible des Browser-in-the-Middle

Résumé : Les attaques Browser-in-the-Middle (BiTM) détournent la session d’un utilisateur via un navigateur distant pour imiter un vrai site. MFA devient inutile dès lors que le token de session est volé. Mandiant et l’Université de Salento alertent : les BiTM sont rapides, silencieuses et redoutablement efficaces.

Les détails :

  1. Fonctionnement : L’utilisateur pense interagir avec son navigateur local, alors qu’il est sur un navigateur contrôlé par l’attaquant.

  2. Contournement de MFA : Une fois l’utilisateur connecté, les tokens de session sont volés, ce qui a rendu les systèmes de double authentification caducs. 

  3. Méthodes d’injection : Script malicieux, phishing et redirections transparentes rendent cette attaque difficile à détecter.

  4. Vulnérabilité universelle : Toute application web est potentiellement ciblable, et aucune technologie de session n’y échappe.

  5. Mesures de défense : Rotation de tokens, CSP rigoureuse, sandboxing et surveillance comportementale sont les seules protections viables.

Que faut-il en retenir ?

BiTM illustre une nouvelle frontière des cyberattaques, où l’expérience utilisateur est détournée de manière imperceptible. Le vol de session en temps réel transforme chaque interaction web en risque potentiel.

4️⃣SIEM & SOAR : l’avertissement cash de la CISA aux SOC mal préparés

Résumé : La CISA et l’ACSC publient une alerte détaillée sur les erreurs courantes dans l’implémentation des plateformes SIEM et SOAR. Projets complexes, coûteux et souvent mal pilotés, ces outils peuvent devenir inefficaces s’ils ne sont pas contextualisés et testés correctement.

Les détails :

  1. Coûts cachés : Les frais liés à l’ingestion de données, la formation et la maintenance explosent souvent les budgets initiaux.

  2. Configuration critique : Un SOAR sans SIEM bien paramétré génère des faux positifs, ce qui surcharge les analystes au lieu de les soulager.

  3. Baselines indispensables : Définir un comportement réseau normal est clé pour détecter les anomalies réelles.

  4. Dangers de l’externalisation : L’outsourcing peut générer des angles morts et une mauvaise connaissance du système surveillé.

  5. Absence d’IA dénoncée : Le document ignore le facteur IA, alors que les attaquants l’utilisent déjà massivement pour automatiser leurs offensives.

Que faut-il en retenir ?

Le déploiement de SIEM/SOAR doit être guidé par une stratégie métier et une gouvernance forte. Sans cela, ces outils deviennent des mirages technologiques, coûteux et inefficaces face à des menaces automatisées

5️⃣ L’IA simule des arnaques téléphoniques 

Résumé : Virage, une startup fondée par deux jeunes diplômés de Singapour, propose une plateforme IA qui simule des appels de scams vocaux réalistes. Conçue pour former les utilisateurs à détecter les arnaques, cette technologie immersive révolutionne la sensibilisation à la cybersécurité.

Les détails :

  1. Origine éducative : Inspiré de sessions de sensibilisation pour seniors, le projet est né d’un besoin de pédagogie plus concrète.

  2. Simulation réaliste : L’IA génère en temps réel des réponses vocales en fonction des interactions de l’utilisateur.

  3. Déploiement rapide : Passé d’un projet d’étudiants à une entreprise active en 2 mois, avec premiers clients B2B dès janvier 2025.

  4. Campagnes vishing personnalisées : Les entreprises peuvent tester leurs employés et leur envoyer des appels simulés par IA.

  5. Évolution constante : Les scénarios suivent l’actualité des scams (ex. élections), et le moteur vocal est entraîné sur des voix locales.

Que faut-il en retenir ?

Virage démontre que l’innovation locale et la pédagogie immersive peuvent combler le maillon faible de la cybersécurité : l’humain. Une réponse intelligente à une menace de plus en plus sociale et psychologique.

⚙️ Opération sécurité numérique

Cybersécurité made in France –  pourquoi la souveraineté devient vitale

La cyber-souveraineté désigne la capacité d’un État à maîtriser ses infrastructures numériques, ses données et ses outils technologiques. 

Face à l’augmentation des cyberattaques, notamment envers les PME et établissements publics, la France a lancé un plan ambitieux pour renforcer sa cybersécurité nationale.

Le plan a pour principal objectif de protéger les entreprises, créer des solutions locales, réduire la dépendance aux GAFAM et garantir le respect du RGPD. Cette stratégie s’appuie sur des enjeux politiques, économiques, éthiques, écologiques et stratégiques. 

La souveraineté numérique vise aussi à limiter le Shadow IT, renforcer la cyberculture des entreprises, et affirmer la position de la France dans la cybersécurité mondiale.

LIEUTENANT AU RAPPORT 🏆

Patrowl : Le cyber-radar français qui cartographie les menaces en temps réel

Fondée en 2020, Patrowl est une start-up française spécialisée dans la gestion de la surface d’attaque externe (EASM). Elle propose une plateforme SaaS capable d’identifier en temps réel les vulnérabilités exposées sur Internet, en détectant les failles, les erreurs de configuration, les services oubliés ou les shadow IT. Patrowl s’adresse aux entreprises soucieuses de leur visibilité numérique et de la sécurisation de leurs actifs web.

Faits marquants : 

En mars 2025, Patrowl a été sacrée lauréate du Grand Prix de la Start-up Cyber lors du Forum InCyber. Il s’agit d’une distinction majeure qui récompense l’innovation dans la cybersécurité. Ce prix met en lumière leur approche proactive de la détection de surface d’attaque.

La start-up s’est distinguée par sa capacité à détecter automatiquement des actifs exposés sans intervention humaine, ce qui permet ainsi à de nombreuses entreprises de corriger des failles de sécurité avant qu’elles ne soient exploitées. Ce succès lui a permis de renforcer sa notoriété auprès des grands comptes et des institutions publiques.

CYBERTRIVIA - LE SAVIEZ-VOUS ? 🤔

Le mot de passe le plus utilisé ? Une blague... toujours pas drôle

🔍 Le savais-tu ? Le mot de passe "123456" est encore utilisé par plus de 20 millions d’utilisateurs dans le monde.

Selon un rapport de NordPass en 2024, "123456" reste le mot de passe le plus utilisé au niveau mondial, malgré des décennies de campagnes de sensibilisation. Ce mot de passe peut être craqué en moins d’une seconde par un script automatisé. Cela souligne à quel point l’erreur humaine demeure la plus grande faiblesse en cybersécurité, même à l’ère de l’intelligence artificielle et des outils de détection avancée.

🚨 Quelle faille humaine représente selon vous le plus grand risque pour la cybersécurité ?

Connexion ou S'abonner pour participer aux sondages.

👉 Votez et partagez votre point de vue avec la cybercommunauté !

Ne manquez aucune actualité cruciale en matière de cybersécurité ! Abonnez-vous dès maintenant à notre newsletter pour recevoir des analyses approfondies, des conseils d'experts et rester informé des dernières menaces et des solutions pour protéger votre entreprise.  « C'est pour vous tous les nouveaux : je n'ai qu’une seule règle. Tout le monde se bat. Personne se barre ».