Salesforce: fuite OAuth 🔓, Taïwan: cyberespionnage 🎯, Oracle: faille critique exploitée ⚠️

A la une aujourd’hui:

  • Attaque sophistiquée de la chaîne d’approvisionnement: ShinyHunters compromet Salesforce via Gainsight
  • Espionnage de longue durée : APT24 cible Taïwan avec le malware BADAUDIO
  • Vulnérabilité critique d’Oracle Identity Manager activement exploitée
  • CrowdStrike licencie un employé qui a vendu des informations internes à des hackers
  • GrapheneOS : Le système d’exploitation sécurisé accusé de servir le narcotrafic

Attaque sophistiquée de la chaîne d’approvisionnement: ShinyHunters compromet Salesforce via Gainsight

Points Clés :

  • Une attaque de la chaîne d’approvisionnement a compromis plus de 200 entreprises en exploitant l’intégration entre Gainsight et Salesforce
  • Les attaquants ont volé des jetons OAuth pour contourner l’authentification MFA
  • Salesforce a désactivé d’urgence la connexion avec les applications Gainsight pour contenir la menace

Description :

Le groupe de hackers ShinyHunters a orchestré une attaque sophistiquée ciblant l’intégration entre la plateforme Gainsight et Salesforce. Au lieu de s’attaquer directement à Salesforce, les pirates ont exploité les jetons OAuth, permettant un accès non autorisé aux données sensibles de centaines d’organisations.

Pourquoi c’est important :

Cette attaque met en lumière une tendance croissante dans les cybermenaces modernes: cibler les « clés » plutôt que les « serrures ». Elle souligne l’importance critique de surveiller et d’auditer régulièrement les intégrations tierces dans les environnements SaaS. Pour les entreprises, cet incident rappelle que la gestion des autorisations des applications connectées est désormais aussi vitale que la correction des vulnérabilités logicielles.

Espionnage de longue durée : APT24 cible Taïwan avec le malware BADAUDIO

Points Clés :

  • Le groupe APT24, lié à la Chine, utilise le malware BADAUDIO pour maintenir un accès persistant aux réseaux compromis
  • Les attaquants ont compromis plus de 1 000 domaines via une attaque de la chaîne d’approvisionnement d’une entreprise taïwanaise
  • Les techniques d’attaque incluent des sites compromis, des attaques de la chaîne d’approvisionnement et du phishing ciblé

Description :

Le groupe APT24, d’origine chinoise, mène depuis novembre 2022 une campagne d’espionnage sophistiquée contre Taïwan. Les chercheurs de Google ont découvert que les attaquants utilisent un nouveau malware nommé BADAUDIO, conçu pour établir un accès persistant aux systèmes compromis. APT24 a évolué vers des vecteurs d’attaque plus sophistiqués, notamment la compromission d’une entreprise de marketing numérique taïwanaise pour infecter plus de 1 000 domaines.

Pourquoi c’est important :

Cette campagne illustre l’évolution des tactiques des groupes APT chinois, qui passent de compromissions web générales à des attaques ciblées et sophistiquées. L’utilisation d’attaques de la chaîne d’approvisionnement permet aux attaquants d’atteindre un grand nombre de victimes simultanément tout en maintenant une présence discrète. Cette opération s’inscrit dans un contexte plus large d’espionnage cyber chinois visant l’Asie du Sud-Est, avec un intérêt particulier pour le vol de propriété intellectuelle et d’informations stratégiques.

Vulnérabilité critique d’Oracle Identity Manager activement exploitée

Points Clés :

  • La CISA a ajouté une faille critique d’Oracle Identity Manager (CVE-2025-61757) à son catalogue de vulnérabilités exploitées
  • Cette vulnérabilité permet l’exécution de code à distance sans authentification
  • Des preuves suggèrent que la faille a été exploitée avant même la publication du correctif

Description :

La CISA a signalé une vulnérabilité critique (score CVSS 9.8) dans Oracle Identity Manager qui permet aux attaquants non authentifiés d’exécuter du code à distance. La faille provient d’un contournement de filtre de sécurité qui permet d’accéder à des points de terminaison API protégés en ajoutant simplement « ?WSDL » ou « ;.wadl » à n’importe quelle URI.

Pourquoi c’est important :

Cette vulnérabilité représente une menace sérieuse car elle permet une prise de contrôle complète des systèmes d’identité, facilitant la manipulation des flux d’authentification et l’escalade de privilèges. Les preuves d’exploitation avant le correctif suggèrent qu’elle a été utilisée comme vulnérabilité zero-day, ce qui souligne l’urgence pour les organisations, particulièrement les agences fédérales, d’appliquer les correctifs avant le 12 décembre 2025.

CrowdStrike licencie un employé qui a vendu des informations internes à des hackers

Points Clés :

  • Un employé de CrowdStrike a partagé des captures d’écran internes avec le groupe de hackers ‘Scattered Lapsus$ Hunters’ contre 25 000 dollars
  • CrowdStrike affirme que ses systèmes n’ont jamais été compromis et que les clients sont restés protégés
  • L’incident souligne la menace croissante des initiés recrutés dans les environnements de cybersécurité

Description :

CrowdStrike a licencié un employé qui aurait partagé des captures d’écran de systèmes internes avec le collectif de hackers ‘Scattered Lapsus$ Hunters’. Les images divulguées montraient des tableaux de bord internes, notamment un panneau Okta SSO. Bien que les hackers aient prétendu avoir compromis le réseau via une brèche chez Gainsight, CrowdStrike a confirmé qu’il s’agissait simplement d’un employé partageant des images de son écran.

Pourquoi c’est important :

Cet incident met en lumière l’évolution des tactiques des cybercriminels qui ciblent désormais le facteur humain plutôt que les défenses techniques. La convergence de l’ingénierie sociale sophistiquée avec les ressources combinées de trois grands groupes cybercriminels représente une menace significative pour les entreprises technologiques. Cette affaire rappelle que même les géants de la cybersécurité ne sont pas à l’abri des menaces internes.

GrapheneOS : Le système d’exploitation sécurisé accusé de servir le narcotrafic

Points Clés :

  • GrapheneOS, une version alternative d’Android sans Google, est accusée par Le Parisien d’être « la botte secrète des narcotrafiquants »
  • Les développeurs du projet open source dénoncent des allégations mensongères et accusent la France d’un « virage autoritaire »
  • Ce système ultra-sécurisé cible principalement les journalistes, activistes et professionnels de la sécurité, pas les criminels

Description :

GrapheneOS est un système d’exploitation alternatif basé sur Android mais sans services Google, conçu pour maximiser la confidentialité et la sécurité. Installable sur les téléphones Pixel, il durcit le système en limitant les permissions et en rendant l’exploitation de failles extrêmement difficile. Le système permet même de verrouiller le bootloader avec sa propre clé cryptographique, empêchant toute intrusion non autorisée.

Pourquoi c’est important :

Cette polémique illustre la tension croissante entre sécurité individuelle et capacités d’investigation des autorités. Comme pour le chiffrement, les outils de protection de la vie privée sont souvent stigmatisés pour leur utilisation potentielle par des criminels, alors qu’ils servent principalement à protéger des populations légitimement vulnérables. Ce débat questionne l’équilibre entre libertés numériques et pouvoirs régaliens.