Cher Auditrice, Auditeur,
Une rumeur a secoué la sphère cybersécurité ces dernièrs jours : celle d’une prétendue « méga-fuite » de 16 milliards d’identifiants. Certains médias ont relayé l’information comme une découverte alarmante, évoquant une compromission massive et récente.
🔍 En réalité, il ne s’agit ni d’une nouvelle fuite, ni même d’une compromission récente. Le fichier en question est une compilation de données d’identification issues de fuites connues, d’attaques par infostealers et de credential stuffing. Ces informations circulent pour certaines depuis des années dans les canaux cybercriminels, Telegram, Pastebin ou Discord.
🧩 Le format observé — des logs d’infostealers structurés en URL:username:password — est typique des malwares voleurs d’informations. Ces logiciels malveillants, de plus en plus répandus, ciblent Windows et macOS, vidant les navigateurs et applications locales de leurs identifiants. Les logs ainsi constitués sont ensuite exfiltrés et revendus ou partagés gratuitement.
📦 La base repérée, brièvement exposée et analysée par Cybernews, n’est qu’un repackaging de ces archives. Aucun site web majeur n’a été récemment compromis pour produire ce fichier, contrairement à ce que certains ont pu laisser entendre.
📊 Pour donner un ordre de grandeur : une archive de seulement 1,2 Go peut contenir plus de 64 000 paires d’identifiants. Multiplié par des dizaines de milliers d’archives, on atteint très vite des chiffres impressionnants — sans que cela reflète une attaque inédite.
🔐 Ce phénomène rappelle d’ailleurs d’autres compilations, comme RockYou2024 (9 milliards de records) ou Collection #1, qui regroupait déjà plus de 22 millions de mots de passe uniques.
🎯 Ce qu’il faut en retenir ?
Aucun incident de sécurité récent n’a été détecté derrière cette annonce.
Cette compilation n’apporte aucune donnée nouvelle sur les fuites.
L’impact opérationnel doit être relativisé, même si la volumétrie peut impressionner.
Pour les CERT, les équipes SOC et les RSSI, cela souligne une fois encore :
La nécessité d'une détection proactive des infostealers (Lumma, Redline, Raccoon, etc.).
L’importance du threat hunting sur les logs volés, notamment pour repérer les connexions entrantes suspectes avec des identifiants compromis.
La validation continue de l’exposition d’identifiants via des services comme HaveIBeenPwned.
La promotion d’une hygiène stricte des mots de passe : mot de passe unique, fort, géré via un gestionnaire, et 2FA activée avec une application dédiée (éviter le SMS).
Pas de panique. Pas de nouvelle brèche. Ce « buzz » rappelle plutôt l’ampleur de l’écosystème cybercriminel autour des infostealers et de la revente massive de logs.
Il nous rappelle aussi que la compromission d’un mot de passe reste aujourd’hui l’une des portes d’entrée les plus fréquentes pour les attaquants.
🎧 Pour aller plus loin, RadioCSIRT proposera prochainement un dossier complet sur les infostealers et la vente de logs d’identifiants, avec retours d’expérience et bonnes pratiques de détection.
Bien à vous
Marc-Frédéric GOMEZ
Fondateur de RadioCSIRT
🔎 À lire cette semaine sur LinkedIn
Je vous propose une nouvelle sélection de mes derniers articles publiés sur LinkedIn.
🔹 Alerte du FBI : le botnet BadBox 2.0 se propage via des appareils Android et iOS modifiés
Analyse du rapport du FBI et de ses partenaires sur une menace persistante touchant les terminaux mobiles.
👉 Lire : https://www.linkedin.com/pulse/alerte-du-fbi-botnet-badbox-20-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-unfve/?trackingId=WTP79infR66NmNEbUc7mxA%3D%3D
🔹 CVE-2025-29902 : vulnérabilité d’exécution de code à distance dans Ghostscript
Retour sur une faille critique RCE affectant l'interpréteur PostScript.
👉 Lire : https://www.linkedin.com/pulse/cve-2025-29902-vuln%25C3%25A9rabilit%25C3%25A9-dex%25C3%25A9cution-de-code-%25C3%25A0-distance-gomez-odshe/?trackingId=WTP79infR66NmNEbUc7mxA%3D%3D
🔹 Fraude à l’airdrop de NFT sur Hedera Hashgraph
Étude de cas sur une escroquerie Web3 utilisant des fichiers HTML piégés.
👉 Lire : https://www.linkedin.com/pulse/fraude-%25C3%25A0-lairdrop-de-nft-sur-hedera-hashgraph-analyse-gomez-7iy1e/?trackingId=WTP79infR66NmNEbUc7mxA%3D%3D
🔹 Attaques par injection de prompt : une nouvelle ère de phishing ?
Exploration technique des risques liés aux modèles de langage exposés au public.
👉 Lire : https://www.linkedin.com/pulse/attaques-par-injection-de-prompt-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-mst7e/?trackingId=WTP79infR66NmNEbUc7mxA%3D%3D
🎙 Récapitulatif des épisodes du podcast de la semaine
Du samedi 14 Juin au vendredi 20 Juin 2025
📅 Podcast RadioCSIRT du Samedi 14 Juin 2025 (Ep.323)
📌 Au programme aujourd’hui :
🧠 Google renforce la défense contre les attaques Prompt Injection
Une mise à jour majeure sur l’implémentation des LLMs dans Google Cloud et Vertex AI, avec un encadrement plus strict des appels et des politiques de sécurité renforcées.
🔗 Source : https://security.googleblog.com/2025/06/mitigating-prompt-injection-attacks.html
🌐 Campagne massive d’injection JavaScript : 269 000 sites compromis
Un nouveau malware basé sur SocGholish a infecté des centaines de milliers de sites via des scripts malveillants pour distribuer des charges comme FakeUpdates.
🔗 Source : https://thehackernews.com/2025/06/over-269000-websites-infected-with.html
🐧 Red Hat annonce RHEL 10 et ferme la porte aux clones gratuits
La nouvelle politique de Red Hat rend inutilisable AlmaLinux et Rocky pour la reconstruction libre, créant des débats dans la communauté open source.
🔗 Source : https://www.theregister.com/2025/06/14/rocky_alma_and_rhel_10/
🛠️ CVE-2025-5491 : faille critique chez Acer
Cette vulnérabilité permet une exécution de code arbitraire à distance. Aucune information détaillée sur le contexte, mais score CVSS élevé.
🔗 Source : https://www.cve.org/CVERecord?id=CVE-2025-5491
🔐 Palo Alto Networks corrige plusieurs élévations de privilèges
PAN-OS était vulnérable à des attaques locales permettant d’accéder aux ressources root via des erreurs de gestion des rôles.
🔗 Source : https://securityaffairs.com/179000/security/palo-alto-networks-fixed-multiple-privilege-escalation-flaws.html
CERT-FR publie un avis de sécurité sur le noyau Linux de Red Hat
Mise à jour importante concernant plusieurs vulnérabilités corrigées dans le noyau Linux de Red Hat.
🔗 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0510/
📅 Podcast RadioCSIRT du Dimanche 15 Juin 2025 (Ep.324)
📌 Au programme aujourd’hui :
🦠 BADBOX 2.0 : plus d’un million d’appareils compromis
Le FBI alerte sur un botnet à grande échelle exploitant des appareils Android non certifiés, intégrant des TV box, projecteurs et tablettes. Utilisé comme proxy résidentiel pour la fraude publicitaire, le malware est actif dans 222 pays.
🔗 Source : https://www.cysecurity.news/2025/06/fbi-issues-alert-as-badbox-20-malware.html
🏛️ Thomasville (Caroline du Nord) et le circuit judiciaire d’Ogeechee (Géorgie) visés par des cyberattaques
Des services municipaux et judiciaires ont été perturbés. L’attaque contre le ministère public géorgien intervient alors que des mesures de sauvegarde tardives étaient en cours de déploiement.
🔗 Source : https://therecord.media/thomasville-nc-government-ogeechee-ga-district-cyberattacks
📂 Paraguay : 7,4 millions de données citoyennes en fuite sur le dark web
Des archives issues de plusieurs agences nationales ont été publiées par un groupe se revendiquant comme “Cyber PMC”. Le pays aurait été ciblé pour des motifs géopolitiques liés à la reconnaissance de Taïwan.
🔗 Source : https://securityaffairs.com/178970/data-breach/paraguay-suffered-data-breach-7-4-million-citizen-records-leaked-on-dark-web.html
📱 Apple confirme l’exploitation active de la CVE-2025-43200 dans Messages
Une faille zero-click exploitée par le spyware Graphite de Paragon a visé au moins deux journalistes européens via iCloud Link. La vulnérabilité a été corrigée dans iOS 18.3.1.
🔗 Source : https://securityaffairs.com/178962/mobile-2/apple-confirmed-messages-app-flaw-actively-exploited.html
⚔️ Escalade cyber dans le conflit Israël-Iran : risque de débordement sur les États-Unis
Des experts anticipent une intensification des attaques destructrices, notamment via des groupes affiliés comme CyberAv3ngers, avec pour cibles potentielles les infrastructures critiques américaines.
🔗 Source : https://www.theregister.com/2025/06/13/cyber_weapons_israel_iran/
🛠️ CVE-2024-38824 : vulnérabilité SaltStack dans Apache HTTP Server
Une faille de traversée de répertoire dans la méthode recv_file permet l’écriture de fichiers arbitraires dans le cache maître. Score CVSS : 9.6.
🔗 Source : https://cvefeed.io/vuln/detail/CVE-2024-38824
🔥 CVE-2025-29902 : exécution de code à distance critique dans Apache HTTP Server
Une faille d’injection de code via l’API REST permet à un attaquant non authentifié d’exécuter du code à distance sur les serveurs Telex RDC et RTS VLink. Score CVSS : 10.0.
🔗 Source : https://cvefeed.io/vuln/detail/CVE-2025-29902
📅 Podcast RadioCSIRT du Lundi 16 Juin 2025 (Ep.325)
📌 Au programme aujourd’hui :
🐍 Package PyPI malveillant : vol de tokens AWS, CI/CD et données macOS
Le module chimera-sandbox-extensions ciblait les développeurs via un stealer multi-étapes hébergé sur un domaine généré par DGA.
🔗 https://thehackernews.com/2025/06/malicious-pypi-package-masquerades-as.html
🧠 Pourquoi les CISOs doivent comprendre l’architecture IA
Le Paladin Global Institute détaille les 5 couches critiques du stack IA et les priorités en matière de sécurité pour éviter les dérives liées aux modèles et aux données.
🔗 https://www.helpnetsecurity.com/2025/06/16/ciso-ai-tech-stack/
⚖️ Procès XXL à Lyon : 76 000 fiches Adecco siphonnées
Un alternant a permis un accès aux données bancaires d’intérimaires via le darkweb, provoquant une fraude de 1,6 million d’euros.
🔗 https://www.clubic.com/actualite-569067-piratage-adecco-le-proces-xxl-de-lyon-jugera-le-siphonnage-de-76-000-fiches-d-interimaires.html
📊 CVE-2025-4123 : plus de 46 000 instances Grafana exposées
Une faille de redirection ouverte côté client permet le vol de sessions et l’installation de plugins malveillants. Score CVSS élevé, patch disponible.
🔗 https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/
💥 Mise à jour Windows Server de juin : incidents DHCP
Les KB de juin causent des blocages du service DHCP, empêchant le renouvellement d’adresses IP unicast. Correctif en attente.
🔗 https://www.bleepingcomputer.com/news/microsoft/microsoft-june-windows-server-security-updates-cause-dhcp-issues/
🔐 CVE-2025-33108 : vulnérabilité critique dans IBM BRMS
Une faille d’appel non qualifié permet l’exécution de code avec élévation de privilèges sur IBM i. Score CVSS : 8.5. Correctifs SJ05906 et SJ05907 publiés.
🔗 https://gbhackers.com/ibm-backup-services-flaw/
🧬 Stocker des images dans des enregistrements DNS TXT
Une technique de preuve de concept utilisant Base64 pour répartir les données d’images dans des sous-domaines DNS. Intéressante… mais risquée.
🔗 https://gbhackers.com/uncovering-hiding-images-in-dns-txt-entries/
📉 Nouvelle fuite de données AT&T : 86 millions de clients concernés
Des données personnelles issues d’une ancienne compromission réapparaissent sur le darkweb. AT&T enquête et alerte les forces de l’ordre.
🔗 https://www.cysecurity.news/2025/06/at-customers-at-risk-again-after-new.html
📅 Podcast RadioCSIRT du Mardi 17 Juin 2025 (Ep.326)
📌 Au programme aujourd’hui :
☢️ CERT-FR : vulnérabilité critique dans Apache Tomcat (CVE-2024-4577)
Le CERT-FR publie l’avis CERTFR-2025-AVI-0516 concernant une faille de contournement de sécurité sur Tomcat. Un attaquant peut obtenir l’exécution de code via une configuration mal maîtrisée d’un connecteur HTTP. Patch vivement recommandé.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0516/
👀 Keyloggers injectés dans des pages Outlook Web App (OWA)
Des cybercriminels ont piégé des fausses pages OWA avec des scripts en JavaScript capables de capturer les identifiants tapés par les utilisateurs. Une nouvelle vague de phishing ciblée.
🔗 https://www.helpnetsecurity.com/2025/06/17/researchers-unearth-keyloggers-on-outlook-login-pages/
📡 CVE-2023-28771 : Zyxel toujours ciblé via faille RCE
Malgré les correctifs publiés en 2023, la faille critique affectant Zyxel (commande non authentifiée sur port UDP 500) reste massivement exploitée. Une vérification des pare-feux s’impose.
🔗 https://securityaffairs.com/179073/hacking/attackers-target-zyxel-rce-vulnerability-cve-2023-28771.html
🐧 CISA alerte sur CVE-2023-0386 : vulnérabilité Linux Kernel activement exploitée
Ajoutée au KEV Catalog, cette faille permet une élévation de privilèges par mauvaise gestion des droits sur les fichiers overlayfs. Patch obligatoire pour les systèmes Linux exposés.
🔗 https://www.cisa.gov/news-events/alerts/2025/06/17/cisa-adds-one-known-exploited-vulnerability-catalog
📅 Podcast RadioCSIRT du Mercredi 18 Juin 2025 (Ep.327)
L’ennemi est invisible, mais ses armes sont actives.
Ce 18 juin 2025, à l’image d’un autre 18 juin, nous appelons les professionnels de la cybersécurité à ne pas baisser la garde.
🎯 Nouvelle alerte :
Des hackers nord-coréens ciblent les candidats indiens dans les cryptomonnaies avec une fausse promesse d’emploi.
➡️ Faux recruteurs, tests piégés, vidéo truquée et… malware.
🎧 Dans cet épisode :
🔸 Le malware PylangGhost
🔸 La tactique ClickFix
🔸 L’arsenal de Famous Chollima
🔸 Et l’objectif : infiltrer, voler, désinformer.
🔗 Source : The Record – North Korea targeting Indian crypto job applicants
📱 Écoutez sur :
🔊 Apple Podcasts : radiocsirt.org/apple
🎧 Amazon Music : radiocsirt.org/amazon
🌐 Tous les liens : radiocsirt.org
RadioCSIRT : votre bouclier numérique quotidien.
Vive la France libre !
📅 Podcast RadioCSIRT du Jeudi 19 Juin 2025 (Ep.328)
📌 Au programme aujourd’hui :
🔐 100 000 sites WordPress exposés à une élévation de privilèges via AI Engine
Une faille critique dans le plugin AI Engine (versions 2.8.0 à 2.8.3) permet à un utilisateur authentifié avec de faibles privilèges de prendre le contrôle total d’un site WordPress. Le problème provient d’un défaut d’autorisation dans le module Model Context Protocol (MCP), désactivé par défaut. Des fonctions comme wp_update_user ou wp_create_user peuvent être exécutées sans vérification appropriée du token Bearer. 🔗 Source : https://cybersecuritynews.com/100000-wordpress-sites-exposed/
🧪 CLAMAV : vulnérabilité critique CVE-2025-20260
Un contournement de sécurité permet à un fichier malveillant d’échapper à l’analyse, avec un risque élevé pour les passerelles email intégrant ClamAV. Patch publié par Cisco/Talos.
🔗 Source : https://cyberveille.esante.gouv.fr/alertes/clamav-cve-2025-20260-2025-06-19
🤖 NIST publie un rapport sur les risques liés aux chatbots internes
Le NCCoE évalue les menaces spécifiques posées par l’utilisation de modèles de langage génératif dans les environnements d’entreprise, y compris l’exfiltration de données et les hallucinations.
🔗 Source : https://www.nist.gov/news-events/news/2025/06/now-available-nist-nccoe-chatbot-internal-report
🪖 CYBER SURAKSHA : l’Inde déploie un système cyber pour ses forces armées
Le programme vise à protéger les réseaux sensibles militaires contre les cybermenaces de grande ampleur. L’Inde intègre désormais des capacités offensives et défensives dans sa doctrine militaire.
🔗 Source : https://www.cysecurity.news/2025/06/cyber-suraksha-indian-armed-forces.html
📬 ChatGPT va analyser vos emails Gmail et gérer votre agenda Google
Nouvelle intégration des agents IA par Google via Workspace Labs, permettant à ChatGPT de prioriser les mails, proposer des réponses, et planifier automatiquement des événements.
🔗 Source : https://www.bleepingcomputer.com/news/artificial-intelligence/chatgpt-will-analyze-gmail-emails-manage-schedule-on-google-calendar/
📡 L’Iran subit une coupure quasi totale d’Internet
Le pays a connu un blackout national massif, attribué à une opération d’ingérence étrangère ou à des contre-mesures internes. L’accès au DNS et aux services mobiles a été fortement perturbé.
🔗 Source : https://securityaffairs.com/179136/security/iran-experienced-a-near-total-national-internet-blackout.html
📅 Compilation de 16 milliards d’identifiants : panique inutile ? (Ep.329)
🎙️ RadioCSIRT démonte l’emballement médiatique.
Aujourd’hui, une prétendue « méga-fuite » fait le buzz.
📢 16 milliards de credentials ? Oui.
🔍 Nouvelle fuite ? Absolument pas.
✅ Il s’agit d’une compilation massive de logs d’infostealers déjà connus.
🧪 Aucun site n’a été compromis récemment.
📁 Juste une réorganisation de données issues de fuites anciennes, infostealers et credential stuffing.
Dans cet épisode spécial de RadioCSIRT, on remet les faits au centre :
🔹 Ce que contiennent ces fichiers
🔹 Pourquoi cette annonce affole les influenceurs
🔹 Ce que doivent en retenir les CERT, RSSI et SOC
🔹 Et surtout, ce qu’il ne faut pas surinterpréter
👉 Un seul mot d’ordre : pas de panique, pas de précipitation.
📚 Sources :
Article complet de Lawrence Abrams (BleepingComputer) :
https://www.bleepingcomputer.com/news/security/no-the-16-billion-credentials-leak-is-not-a-new-data-breach/
🔐 Protégez-vous efficacement :
✔️ Antivirus à jour
✔️ Password manager
✔️ 2FA via application (évitez les SMS)
✔️ Vérification sur https://haveibeenpwned.com/
📅 Podcast RadioCSIRT du Vendredi 20 Juin 2025 (Ep.330)
📌 Au programme aujourd’hui :
🧑⚖️ Le ransomware Qilin menace d’appeler votre avocat
Le groupe Qilin innove en ciblant les cabinets d’avocats : non seulement les fichiers sont chiffrés, mais une voix synthétique appelle les cabinets en exigeant une rançon pour éviter la fuite des données. Un cas inquiétant a été observé au Royaume-Uni.
🔗 Source : https://thehackernews.com/2025/06/qilin-ransomware-adds-call-lawyer.html
🐧 Chaîne de vulnérabilités Linux : escalade root confirmée sur les distributions majeures
Une chaîne de failles, touchant systemd, XDG Desktop Portal, et Flatpak, permet une élévation de privilège locale jusqu’à root. Ubuntu, Fedora, Debian et Arch sont concernés. Une démonstration technique a été publiée.
🔗 Source : https://securityaffairs.com/179174/security/linux-flaws-chain-allows-root-access-across-major-distributions.html
🪛 Microsoft supprime les anciens drivers de Windows Update
Pour renforcer la sécurité, Microsoft va retirer progressivement les pilotes non conformes à ses normes modernes de signature numérique. Cette mesure vise à réduire l’exposition aux attaques par pilotes malveillants.
🔗 Source : https://www.bleepingcomputer.com/news/microsoft/microsoft-to-remove-legacy-drivers-from-windows-update-for-security-boost/
🧩 Trend Micro corrige une vulnérabilité critique de RCE
Une faille affectant le module Apex Central permettait l’exécution de code à distance via une requête HTTP piégée. Elle est activement exploitée et notée critique par l’éditeur. Un patch est disponible immédiatement.
🔗 Source : https://www.cysecurity.news/2025/06/trend-micro-patches-critical-remote.html