Chrome: Faille Zero-day 🌐, Microsoft: IA anti-phishing 🤖, Windows: Vol NTLM 🔓

Bonjour et bienvenue dans l’édition du vendredi 28 mars !

A la une aujourd’hui :

  • Google corrige une faille zero-day de Chrome exploitée dans une campagne d’espionnage
  • Microsoft déploie des agents IA pour renforcer la sécurité et combattre le phishing
  • Nouvelle faille zero-day Windows expose les identifiants NTLM, correctif non officiel disponible
  • Broadcom corrige une faille d’authentification critique dans VMware Tools pour Windows
  • Campus Cyber : Un Nouveau Capitaine pour Naviguer dans les Eaux de la Cybersécurité Française

Google corrige une faille zero-day de Chrome exploitée dans une campagne d’espionnage

Points Clés :

  • Google a corrigé une vulnérabilité zero-day (CVE-2025-2783) dans Chrome qui permettait de contourner le sandbox
  • La faille était exploitée dans des attaques de phishing ciblant des organisations russes
  • Les chercheurs de Kaspersky ont découvert cette vulnérabilité utilisée dans la campagne Operation ForumTroll

Description :

Google a corrigé une vulnérabilité critique dans Chrome qui était activement exploitée pour échapper au sandbox du navigateur et déployer des logiciels malveillants. Découverte par des chercheurs de Kaspersky, cette faille zero-day (CVE-2025-2783) était utilisée dans une campagne d’espionnage sophistiquée nommée Operation ForumTroll ciblant des organisations russes via des emails de phishing.

Pourquoi c’est important :

Cette vulnérabilité représente un risque sérieux car elle permettait aux attaquants de contourner les protections de sécurité de Chrome pour exécuter du code malveillant. La campagne d’espionnage ciblait des médias, des institutions éducatives et des organisations gouvernementales en Russie. Il s’agit de la première faille zero-day de Chrome corrigée en 2025, après que Google en ait corrigé dix en 2024.

Microsoft déploie des agents IA pour renforcer la sécurité et combattre le phishing

Points Clés :

  • Microsoft lance six nouveaux agents IA dans Security Copilot pour automatiser les tâches de sécurité répétitives
  • Ces agents spécialisés ciblent le phishing, la protection des données et la gestion des identités
  • Cinq solutions d’agents supplémentaires développées par des partenaires seront bientôt disponibles

Description :

Security Copilot est un outil d’IA spécialisé dans la sécurité. Il s’intègre avec des produits Microsoft tels que Microsoft Defender XDR et Microsoft Sentinel, aidant ainsi à gérer divers scénarios de sécurité comme la réponse aux incidents, la chasse aux menaces et la gestion de la posture de sécurité.

Microsoft étend les capacités de Security Copilot, avec une nouvelle génération d’agents IA conçus pour affronter les défis de sécurité les plus chronophages. Ces agents intelligents analysent les alertes de phishing, optimisent les politiques d’accès conditionnel, gèrent les vulnérabilités et fournissent des renseignements sur les menaces, tout en s’adaptant continuellement grâce au feedback des administrateurs.

Pourquoi c’est important :

Face aux 30 milliards d’emails de phishing détectés en 2024, les équipes de sécurité sont submergées. Ces agents IA permettent d’automatiser le tri des alertes et d’identifier rapidement les menaces réelles, libérant ainsi les défenseurs humains pour des tâches plus complexes. Cette approche « agentique » représente une évolution majeure dans la cybersécurité, offrant plus de contrôle, de vitesse et de précision tout en réduisant le temps alloué aux alertes.

Nouvelle faille zero-day Windows expose les identifiants NTLM, correctif non officiel disponible

Points Clés :

  • Une vulnérabilité zero-day affecte toutes les versions de Windows, permettant le vol d’identifiants NTLM
  • L’attaque se déclenche simplement en visualisant un fichier malveillant dans l’Explorateur Windows
  • Des correctifs non officiels sont disponibles via le service 0Patch en attendant une solution de Microsoft

Description :

Windows New Technology LAN Manager (NTLM) est une suite de protocoles de sécurité mise à disposition par Microsoft pour confirmer l’identité des utilisateurs et protéger l’intégrité et la confidentialité de leurs activités. Fondamentalement, NTLM est un outil d’authentification unique (SSO) qui s’appuie sur un protocole de stimulation/réponse pour confirmer l’identité d’un utilisateur sans lui demander de saisir un mot de passe.

Une nouvelle vulnérabilité zero-day dans Windows permet aux attaquants de voler des identifiants NTLM lorsque les utilisateurs visualisent des fichiers malveillants dans l’Explorateur Windows. Découverte par ACROS Security, cette faille « SCF File NTLM hash disclosure » affecte toutes les versions de Windows, de Windows 7 jusqu’à Windows 11 et Server 2025.

Pourquoi c’est important :

Bien que Microsoft prévoie d’abandonner le protocole NTLM dans les futures versions de Windows 11, cette vulnérabilité représente un risque immédiat. Les attaquants peuvent exploiter les identifiants volés pour s’authentifier en tant que l’utilisateur compromis, accéder à des données sensibles et se propager latéralement sur le réseau. Ce type de faille a déjà été utilisé dans des attaques réelles, soulignant l’importance d’appliquer les correctifs disponibles via 0Patch (service de micropatch par ACROS Security qui fournit des correctifs de sécurité gratuits et non officiels pour cette faille zero-day sur tous les systèmes Windows affectés) en attendant une solution officielle.

Broadcom corrige une faille d’authentification critique dans VMware Tools pour Windows

Points Clés :

  • Une vulnérabilité d’authentification à haut risque (CVE-2025-22230) a été découverte dans VMware Tools pour Windows
  • Des attaquants locaux avec privilèges limités peuvent obtenir des droits élevés sur les machines virtuelles vulnérables
  • Cette faille s’ajoute à trois zero-days VMware récemment exploités dans des attaques

Description :

Broadcom a publié des correctifs de sécurité pour remédier à une vulnérabilité d’authentification critique dans VMware Tools pour Windows. Cette faille, causée par un contrôle d’accès inapproprié, permet aux attaquants disposant de privilèges limités d’effectuer des opérations à haut niveau de privilège au sein d’une machine virtuelle Windows, sans nécessiter d’interaction utilisateur ni de compétences techniques avancées.

Pourquoi c’est important :

Les produits VMware sont largement utilisés dans les infrastructures d’entreprise pour stocker et traiter des données sensibles, ce qui en fait des cibles privilégiées pour les groupes de ransomware et des groupes soutenus par des États. Cette vulnérabilité s’inscrit dans une série d’exploitations récentes de failles VMware, comme les trois zero-days corrigés plus tôt ce mois-ci et les vulnérabilités de vCenter Server exploitées en novembre. La protection de ces environnements virtualisés est cruciale pour la sécurité des données d’entreprise.