Fortinet publie un correctif pour une vulnérabilité zero-day FortiWeb activement exploitée

Fortinet a publié des mises à jour de sécurité urgentes afin de corriger une nouvelle vulnérabilité zero-day de FortiWeb qui est déjà exploitée par des attaquants. Identifiée sous le numéro CVE-2025-58034, la faille a été découverte par des chercheurs et affecte plusieurs versions de FortiWeb. Cette vulnérabilité permet à des attaquants authentifiés d’exécuter du code non autorisé via des requêtes HTTP ou des commandes CLI spécialement conçues, ce qui en fait un problème critique d’injection de commandes du système d’exploitation. Les chercheurs ont déjà enregistré environ 2 000 tentatives d’exploitation lors d’attaques réelles.
Il est fortement recommandé aux administrateurs de mettre à jour immédiatement vers les versions les plus récentes de FortiWeb publiées plus tôt cette semaine. Cette mise à jour fait suite à la confirmation par Fortinet de la correction d’une autre vulnérabilité zero-day de FortiWeb, CVE-2025-64446, désormais ajoutée au catalogue des vulnérabilités activement exploitées de la CISA.
Ces révélations s’ajoutent à une série de failles exploitées par des groupes d’espionnage et de ransomware, renforçant la nécessité d’appliquer rapidement des correctifs sur les équipements exposés.

Une fuite de données de la sécurité sociale française expose jusqu’à 1,2 million de personnes

Pajemploi, le service français de sécurité sociale utilisé par les parents et les assistants de garde à domicile, a confirmé une importante fuite de données affectant jusqu’à 1,2 million de personnes. L’agence a indiqué que des attaquants ont accédé à des informations personnelles appartenant à des professionnels employés par des foyers privés et enregistrés via le système Pajemploi, qui fait partie de l’URSSAF.
Les données exposées comprennent les noms, lieux de naissance, adresses, numéros de sécurité sociale, détails d’accréditation et le nom de l’établissement bancaire. En revanche, aucun numéro de compte bancaire, aucune adresse e-mail, aucun numéro de téléphone et aucun mot de passe n’ont été compromis. Pajemploi a indiqué que chaque personne concernée sera contactée individuellement et que les services essentiels continuent de fonctionner normalement.
Après avoir détecté la fuite le 14 novembre, l’organisation a rapidement pris des mesures pour contenir l’incident et a informé la CNIL et l’ANSSI. L’URSSAF appelle à la vigilance face au risque accru de tentatives de fraude utilisant les données volées. Aucun groupe de rançongiciel n’a revendiqué l’attaque, bien que l’ANSSI aurait découvert l’incident après l’apparition de données sur le dark web.

Cloudflare confirme qu’une panne majeure a été causée par un bug interne, et non par une cyberattaque

Cloudflare a confirmé que l’importante interruption de service survenue mardi n’était pas due à une cyberattaque, malgré des spéculations initiales après un pic de trafic inhabituel. La panne a touché de nombreuses plateformes en ligne, dont ChatGPT, X, Dropbox, Shopify et League of Legends, ainsi que plusieurs services publics comme New Jersey Transit et New York City Emergency Management.
Selon le CTO Dane Knecht, l’incident provient d’un bug latent dans un service central dédié à l’atténuation des bots. Une modification de configuration de routine a déclenché le problème, qui s’est ensuite propagé et a entraîné une dégradation généralisée du réseau. Cloudflare a commencé son enquête à 11:48 UTC et a déployé un correctif peu avant 14:42 UTC, bien que certains utilisateurs aient continué à rencontrer des erreurs intermittentes.
Cloudflare publiera une analyse complète post-incident. Le PDG Matthew Prince a qualifié l’événement de panne la plus significative de l’entreprise depuis 2019.

Microsoft bloque une attaque DDoS record de 15,7 Tbps liée au botnet Aisuru

Microsoft a révélé avoir atténué avec succès la plus grande attaque DDoS jamais enregistrée dans le cloud : un pic de 15,72 Tbps visant les services Azure à la fin du mois d’octobre. Cette attaque multivecteur, qui a également atteint près de 3,64 milliards de paquets par seconde, provenait du botnet Aisuru, un réseau en pleine expansion de routeurs domestiques et d’appareils IoT compromis.
Plus de 500 000 adresses IP sources réparties dans plusieurs régions ont été utilisées pour inonder un seul point de terminaison en Australie. Microsoft et Netscout ont observé une forte augmentation de l’activité liée à Aisuru durant cette période, y compris des « attaques de démonstration » dépassant 20 Tbps, visant principalement les plateformes de jeux en ligne.
Microsoft souligne que l’augmentation des débits fibre chez les particuliers et la puissance croissante des appareils connectés alimentent des campagnes DDoS toujours plus importantes. L’infrastructure de protection DDoS d’Azure a absorbé et redirigé le trafic, permettant aux services de rester opérationnels.

Les chercheurs avertissent que les frontières entre opérations cyber et attaques physiques s’estompent

L’équipe de renseignement sur les menaces d’Amazon signale une forte augmentation des activités cyber conçues pour soutenir directement des opérations militaires physiques, une tendance qu’elle qualifie de « cyber-enabled kinetic targeting ». Selon l’entreprise, des acteurs liés à l’Iran utilisent de plus en plus la reconnaissance numérique pour guider des attaques dans le monde réel, brouillant la frontière entre cyber-guerre et actions cinétiques.
L’un des exemples les plus marquants concerne Imperial Kitten, un groupe lié aux Gardiens de la Révolution islamique iranienne (IRGC). Entre 2021 et 2024, ce groupe a infiltré des systèmes maritimes, y compris des plateformes AIS et des caméras CCTV embarquées, afin de collecter des renseignements sur des navires spécifiques. Quelques jours seulement après des recherches AIS ciblées menées par le groupe, un navire a été la cible d’une tentative de frappe de missile par des milices houthis.
Un autre acteur iranien, MuddyWater, a utilisé des flux CCTV compromis à Jérusalem pour soutenir des frappes de missiles en juin 2025. Amazon indique que ces cas montrent comment le cyberespionnage alimente désormais directement la prise de décision militaire, les attaquants dissimulant leur origine via des services VPN anonymisants. L’entreprise avertit que cela représente une évolution fondamentale de la guerre moderne.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.