Citrix: Faille CitrixBleed 2 🛡️, BreachForums: Démantèlement 👮, Ahold: 2,2M données volées 🏪,

A la une aujourd’hui:

  • Nouvelle faille ‘CitrixBleed 2’ : des sessions NetScaler vulnérables au piratage
  • Des hackers iraniens ciblent des experts israéliens en cybersécurité
  • Ahold Delhaize : Fuite de données affectant 2,2 millions de personnes
  • Cisco alerte sur des failles critiques d’exécution de code à distance dans Identity Services Engine
  • La police française démantèle le réseau derrière BreachForums, marché noir de données volées

Nouvelle faille ‘CitrixBleed 2’ : des sessions NetScaler vulnérables au piratage

Points Clés :

  • Une vulnérabilité critique (CVE-2025-5777) dans Citrix NetScaler ADC et Gateway permet aux attaquants de voler des tokens d’authentification
  • Cette faille rappelle le ‘CitrixBleed‘ original qui avait été largement exploité par des acteurs malveillants
  • Citrix recommande d’installer les mises à jour et de terminer toutes les sessions actives après la mise à jour

Description :

Une nouvelle vulnérabilité critique dans Citrix NetScaler ADC et Gateway, surnommée ‘CitrixBleed 2‘, permet à des attaquants non authentifiés d’accéder à des portions de mémoire contenant des jetons de session et des informations sensibles. Cette faille peut être exploitée pour contourner l’authentification MFA et prendre le contrôle de sessions utilisateur légitimes.

Pourquoi c’est important :

Cette vulnérabilité représente un risque majeur pour plus de 56 500 points d’accès NetScaler exposés publiquement. La précédente faille CitrixBleed avait conduit à des attaques par rançongiciel et des compromissions gouvernementales. Sans application rapide des correctifs et terminaison des sessions actives, les organisations risquent des compromissions graves, même après avoir appliqué les correctifs.

Des hackers iraniens ciblent des experts israéliens en cybersécurité

Points Clés :

  • Le groupe APT42, lié à l’Iran, mène une campagne de phishing sophistiquée contre des journalistes et experts israéliens
  • Les attaquants utilisent des messages conçus avec l’IA et se font passer pour des employés d’entreprises de cybersécurité
  • Les chercheurs s’attendent à une intensification des cyberattaques iraniennes dans les semaines à venir

Description :

Selon Check Point, des hackers iraniens liés au Corps des Gardiens de la révolution islamique ont lancé une nouvelle vague d’attaques de phishing ciblant des journalistes israéliens et des professeurs d’informatique. Les attaquants établissent d’abord une relation de confiance avant d’envoyer des liens malveillants déguisés en invitations Google Meet ou pages de connexion Gmail.

Pourquoi c’est important :

Cette campagne s’inscrit dans un contexte de tensions accrues entre Israël et l’Iran, avec des experts qui anticipent une intensification des cyberattaques. Les opérations cyber iraniennes visent généralement à recueillir des renseignements et à promouvoir des objectifs politiques, pouvant s’étendre aux infrastructures critiques. Ces tactiques sophistiquées montrent l’évolution des méthodes d’espionnage numérique.

Ahold Delhaize : Fuite de données affectant 2,2 millions de personnes

Points Clés :

  • Le géant de la distribution alimentaire Ahold Delhaize a été victime d’une attaque par ransomware en novembre
  • Plus de 2,2 millions de personnes ont vu leurs données personnelles, financières et médicales dérobées
  • Le groupe de ransomware INC Ransom est suspecté d’être à l’origine de cette attaque

Description :

Ahold Delhaize, l’une des plus grandes chaînes de distribution alimentaire au monde, notifie plus de 2,2 millions de personnes que leurs informations personnelles, financières et médicales ont été volées lors d’une attaque par ransomware en novembre dernier. Les données compromises incluent des noms, coordonnées, numéros d’identification gouvernementaux, informations bancaires et données médicales liées à l’emploi.

Pourquoi c’est important :

Cette violation de données chez un acteur majeur de la distribution (9 400 magasins dans le monde, 60 millions de clients hebdomadaires) souligne la vulnérabilité persistante des grandes entreprises face aux cyberattaques sophistiquées. Le groupe INC Ransom, responsable présumé, a intensifié ses activités contre des organisations américaines, notamment dans le secteur de la santé, démontrant une tendance inquiétante de ciblage stratégique des infrastructures critiques.

Cisco alerte sur des failles critiques d’exécution de code à distance dans Identity Services Engine

Points Clés :

  • Deux vulnérabilités critiques (CVE-2025-20281 et CVE-2025-20282) permettent l’exécution de code à distance sans authentification
  • Les failles affectent Cisco Identity Services Engine (ISE) et Passive Identity Connector (ISE-PIC)
  • Des correctifs sont disponibles via les mises à jour 3.3 Patch 6 et 3.4 Patch 2

Description :

Cisco a publié un bulletin concernant deux vulnérabilités critiques d’exécution de code à distance (RCE) affectant ses produits Identity Services Engine et Passive Identity Connector. Ces failles, notées avec une sévérité maximale (CVSS 10.0), permettent à des attaquants non authentifiés d’exécuter des commandes arbitraires avec des privilèges root via des requêtes API spécialement conçues ou le téléchargement de fichiers malveillants.

Pourquoi c’est important :

Ces vulnérabilités menacent directement les infrastructures réseau des grandes entreprises, organisations gouvernementales et universités qui utilisent Cisco ISE comme solution centrale de contrôle d’accès réseau. Une exploitation réussie permettrait une compromission complète des systèmes ciblés sans aucune interaction utilisateur. Bien qu’aucune exploitation active n’ait été détectée, l’application immédiate des correctifs est fortement recommandée en l’absence de solutions de contournement.

La police française démantèle le réseau derrière BreachForums, marché noir de données volées

Points Clés :

  • Cinq Français, dont les hackers connus comme « ShinyHunters », « Hollow », « Noct » et « Depressed », ont été arrêtés pour leur rôle dans l’administration de Breachforums
  • Les suspects sont accusés de piratages majeurs visant des entreprises françaises comme Boulanger, SFR et France Travail
  • BreachForums était l’un des plus grands marchés en ligne pour les données volées, déjà perturbé en 2023 après l’arrestation de son fondateur

Description :

Les autorités françaises ont procédé à l’arrestation de cinq individus liés à Breachforums, plateforme majeure de vente de données volées. Un premier suspect britannique, « Intelbroker » (Kai West), a été arrêté en février, suivi de quatre Français en juin. Ces interpellations ont été menées par la brigade de lutte contre la cybercriminalité de Paris, avec l’aide du FBI.

Pourquoi c’est important :

Cette opération pourrait marquer la fin définitive de Breachforums, forum central des fuites de données depuis 2022. Le parquet de Paris espère une « fermeture durable » de la plateforme et annonce que les éléments informatiques saisis permettront de faire avancer « significativement de nombreuses enquêtes en cours ». Ces arrestations illustrent l’intensification de la coopération internationale contre la cybercriminalité organisée.