Découvrez dès maintenant notre plateforme d'e-learning avec nos formations en Cybersécurité & Digitale.
Notre offre Formation L'équipe Blog Guides
Contact
<- Retour au blog

Le plus gros leak des US !

30 Mars 2025 | Valentin

Illustration de l'article

recap

cyber

actu

C’est probablement le plus gros leak de l’histoire des États-Unis : le leak du plan de bataille avant le bombardement du Yémen. Le responsable derrière cela ? Un groupe d'attaquants financé par un pays ennemi ? Non pas du tout, juste une erreur catastrophique du conseiller à La Défense.

Le 15 mars, alors que tout le monde a appris le bombardement du Yémen aux alentours de 19 heures, heure française, un journaliste de The Atlantic l'a appris deux heures avant tout le monde, ayant été ajouté par erreur par ce conseiller dans une conversation ultra secrète sur Signal.

Si pour Trump et son administration, les informations partagées n'étaient pas confidentielles, en réalité cette fuite pose beaucoup plus de questions derrière tout cela : Pourquoi un journaliste a pu être ajouté par erreur dans une conversation comme celle-ci ? Pourquoi l'administration de Trump utilise signal ? Pourquoi l'équipe de Donald Trump ne considère pas ces informations comme confidentielles ? Et pourquoi cela reste très très grave pour la sécurité des États-Unis.Le 15 mars, alors que tout le monde a appris le bombardement du Yemen aux alentours de 19 heures, heure francaise, un journaliste de The Atlantic la appris deux heures avant tout le monde, ayant été ajouté par erreur par ce conseiller dans une conversation ultra secrète sur Signal.

Si pour Trump et son adminstration, les informations partagés n'étaient pas confidentielles, en réalité cette fuite pose beaucoup plus de questions derrière tous cela : Pourquoi un journaliste a pu être ajouté par erreur dans une conversation comme celle ci ? Pourquoi l'administration de Trump utilise signal ? Pourquoi l'équipe de Donald Trump ne considère pas ces informations comme confidentielles ? Et pourquoi cela reste très très grave pour la sécurité des États-Unis.

Alors on en parle plus en détail tout de suite dans le récap de l'actualité cyber de cette semaine !

Le superleak US

Comment un journaliste a pu être ajouté par erreur dans une conversation créée par le conseiller à la sécurité nationale des États-Unis et qu'aucun membre ne l'a remarqué, que ce soit le vice-président ou le président de la CIA.

L'une des premières raisons, déjà, c'est que toute cette fine équipe utilise une application de messagerie civile, Signal, ce qui est déjà une erreur en soi, car cela implique plein de problèmes, notamment la confiance qu'accordent ces dirigeants à une application privée, mais ce qui explique peut-être beaucoup mieux pourquoi Bruno Retailleau veut absolument une backdoor dans ses applications.

L'utilisation de Signal, c'est aussi un problème sur le fait que n'importe qui peut se trouver dessus et donc n'importe qui peut inviter n'importe quoi, et mais surtout, que l'ensemble des mesures et procédures de sécurité chez Signal sont parfaites pour un usage civil, mais absolument pas pour le militaire.

Le second point, c'est pourquoi, comme l'administration de Trump, de plus en plus de gouvernement bascule sur Signal ? Et bien pour diverses raisons, que ce soit par habitude, par influence ou par peur d'être écouté par leurs collègues sur les applications officielles.

Pour l'instant, l'administration de Trump se défend en annonçant que les informations qui ont fuité n'étaient absolument pas confidentielles, le secrétaire à la défense allant encore plus loin en annonçant qu'il ne s'agissait même pas d'un plan de guerre.

Pourtant, la réalité, c'est que ce leak est gravissime. Les informations partagées deux heures avant l'attaque et durant l'attaque indiquaient clairement les équipements, la manière et les personnes visées. Alors imaginez pendant un instant que le journaliste n'est pas attendu pour partager ces informations, ou pire, que n'importe qui d'autres aurait eu accès à ces informations et pris la décision de les revendre au plus offrant.

Entre un pays qui pourrait tirer profit de ces infos en axant sa défense sur ces éléments et le danger que cela pourrait représenter pour les pilotes, par exemple, une simple erreur de ce style aurait pu avoir des conséquences dramatiques.

Le plus beau dans tout cela, c'est que le pentagone avait alerté tous ses employés sur l'usage de signal après la découverte d'une vulnérabilité. Donc la cybersécurité, c'est aussi cela, lutter contre les erreurs des utilisateurs, de ses équipes ou ici du gouvernement et pas uniquement se battre contre des hackers. ([1], [2], [3],[4],[5],[6],[7])

Failles majeures

Parlons un peu des vulnérabilités maintenant car ce sont deux énormes failles qui sont sorties cette semaine sur NGINX et NextJs, dont la première qui concerne quand même plus de 40% des utilisateurs de Kubernetes.

Pour grandement simplifier, les ingress sur Kubernetes sont des éléments qui permettent d’exposer les pods au monde et l’une des implémentations les plus populaires est celle de NGINX.

Et quatre vulnérabilités ont été identifiées et patchées sur cet ingress car l’exploitation combinée de ces failles pouvait permettre à n’importe qui de prendre le contrôle de votre cluster.

Du côté de NextJS, c’est une faille permettant de skip certain middleware, dont ceux d’authentification pouvant amener un attaquant à pouvoir accéder à des données confidentielles.

Deux choix si vous êtes concernés : patché ou appliquer les mesures de mitigation. ([8], [9])

Hacker Chinois

Des hackers chinois sont infiltrés depuis plus de quatre ans dans un fournisseur de télécommunications, comme Orange ou Bouygues, mais en Asie.

Alors que l’on ne connaît pas le nom du provider victime de cette attaque, le groupe d’attaquants a lui été nommé Weaver ant et s’assure donc depuis plus de quatre ans, à des fins d’espionnage, l’accès à l’infrastructure grâce notamment à des webshells.

La première chose à noter c’est notamment l’utilisation d’un webshell complètement inédit ne s’exécutant qu’en mémoire pour essayer de limiter les preuves et donc être moins détectable.

Et la seconde chose, c’est que malgré ce manque de trace, beaucoup d’indices semblent pointer du doigt ce groupe d’attaquants chinois, notamment de par les heures de travail des hackers et les outils utilisés très populaires dans les autres groupes d’attaquants du même pays.

Quatre ans d’infiltration sans se faire détecter c’est quand même incroyable et cela montre bien comment les groupes d’attaquants APT sponsorisée par les gouvernements sont redoutables ! ([10])

23&me

7 millions de fichiers d'ADN pourraient être vendus dans les semaines à venir après la faillite de la plateforme 23andme.

Les tests ADN étaient très populaires il y a quelques années, bien aidés par les influenceurs, mais aujourd'hui cela ne semble plus intéresser grand monde, comme en témoigne l'état des comptes en banque de l'entreprise.

Et le rapport entre une faillite et la cybersécurité, c'est la confidentialité des données car pour rembourser ses dettes, 23andme est tenté de revendre les 7 millions d'échantillons ADN collectés à une autre entreprise, qui pourrait avoir une vision et une utilisation bien différente de ces données.

Pour rappel, l'ADN est la donnée personnelle la plus sensible par excellence, car ces informations vous permettent non seulement de vous identifier, mais aussi de comprendre votre patrimoine génétique, vos maladies et même des secrets sur vos ancêtres et vos antécédents familiaux.

Si vous résidez dans un pays de l'UE ou dans une zone ayant un équivalent du RGPD, vous pouvez et devez demander dès maintenant sur leur site la suppression de vos données et des échantillons de salive que vous avez pu leur envoyer, mais aussi retirer votre consentement pour effectuer des recherches avec vos données pour protéger votre ADN ! ([11] )

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !