Monthly Threat Report Septembre 2025

Attaques sur la chaine d’approvisionnement SaaS et IA Fantôme

Écrit par Security Lab / 09.09.2025 /
Home » Blog » Monthly Threat Report Septembre 2025

Introduction

Le rapport mensuel sur les menaces de Hornetsecurity vous offre chaque mois des informations sur les tendances de sécurité M365, les menaces par email et des commentaires sur les évènements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel sur les menaces se concentre sur les évènements de l’industrie et le contenu du mois d’aout 2025.

Résumé exécutif

  • Microsoft bloque les domaines .onmicrosoft.com, fermant ainsi un vecteur longtemps exploité pour le phishing et le spam.
  • La compromission OAuth de Salesloft Drift démontre à quel point la chaine de confiance SaaS peut être risquée.
  • La faille zero-day de WinRAR confirme que les logiciels hérités demeurent une cible de choix pour les attaques réelles. Corrigez sans tarder.
  • Une vulnérabilité dans Cisco Secure Firewall FMX met en lumière le fait que les plans de gestion sont des cibles privilégiées pour les hackers.
  • SharePoint et Exchange en environnement local refont surface : un correctif est impératif pour éviter une compromission.
  • La montée de DeepSeek montre comment l’engouement pour l’IA entre en collision avec les risques liés à la vie privée, incitant les organismes de règlementation à intervenir.
  • À venir : connecteur SaaS, IA fantôme et fraude d’identité synthétique sont appelées à dominer le paysage des menaces.

Aperçue des menaces et évènements dans l’industrie

Microsoft bloque les domaines .onmicrosoft.com

À la fin aout, Microsoft a annoncé un changement majeur de politique concernant ses domaines hérités .onmicrosoft.com. Historiquement, les clients pouvaient utiliser ces domaines cloud par défaut pour l’envoi d’email sortant, ce qui a été de plus en plus exploité par les cybercriminels pour le phishing et le spam. À compter de cet automne, le trafic sortant provenant de ces domaines sera limité à 100 destinataires externes par jour et par organisation. Cette mesure neutralise efficacement l’utilisation massive des domaines .onmicrosoft.com pour des envois groupés. Microsoft précise également que toute organisation souhaitant envoyer des emails professionnels devra vérifier et configurer son propre domaine. L’impact devrait toutefois être limité, puisque la plupart des équipes de sécurité ont déjà anticipé et verrouillé ce vecteur d’attaque. Les communications liées à M365 seront couvertes par cette nouvelle restriction.

Pourquoi est-ce important ?

Cette mesure ne vise pas seulement la commodité : elle impose des pratiques d’identité plus sécuritaires. Les organisations qui n’ont pas migrées vers des domaines personnalisés seront touchées, et les acteurs malveillants perdront un vecteur d’usurpation majeur.

Compromission de la chaine d’approvisionnement OAuth – Salesloft/Drift

Une compromission liée à l’intégration OAuth de Salesloft Drift a perturbé plusieurs clients Salesforce ce mois-ci. Selon The Hacker News, des jetons OAuth associés à Drift ont été volés, permettant un accès non autorisé à des données Salesforce sensibles. Des entreprises comme Zscaler et Google ont confirmé une exposition de données, démontrant à quel point une seule intégration SaaS peut entrainer des répercussions massives sur l’ensemble de l’écosystème. Cet incident met en évidence la difficulté croissante de sécuriser les environnements cloud modernes et les intégrations SaaS-à-SaaS, qui deviennent désormais des cibles aussi attrayantes que les chaines d’approvisionnement logicielles traditionnelles.

Pourquoi est-ce important ?

Les intégrations OAuth sont omniprésentes et accordent souvent des privilèges élevés avec peu de supervision. Un seul compromis peut avoir un effet domino sur des dizaines d’environnements critiques, en contournant les contrôles de sécurité traditionnels, un scénario bien connu des cybercriminels.

Correctif de sécurité, août 2025 : 107 vulnérabilités corrigées

Le bulletin Patch Tuesday d’aout 2025 publié par Microsoft a été particulièrement important, avec 107 vulnérabilités corrigées, dont 13 failles critiques et une faille zero-day déjà exploitée. Les correctifs concernent Windows, Office et les composantes Azur, avec plusieurs vulnérabilités critiques permettant l’exécution de code à distance, notamment dans Excel et SharePoint. L’ampleur de cette mise en fait l’une des plus importantes de l’année et met en évidence une tendance, la fréquence croissante des mises à jour majeures qui alourdissent la charge des administrateurs TI en milieu de trimestres.

Pourquoi est-ce important ?

Le volume exceptionnel de correctif combiné aux failles RCE critiques accroit le risque de fatigue des correctifs. Les organisations qui tardent à appliquer ces mises à jour s’exposent à des surfaces d’attaque considérables et vulnérables aux exploitations opportunistes.

Exploitation active d’une faille zero-day dans Wild (CVE-2025-8088)

Les logiciels d’archivage continuent d’être un terrain de jeu privilégié pour les hackers et, parfois, une cible. Les chercheurs ont confirmé que WinRAR a été victime d’une faille de traversée de chemin permettant l’exécution de code à distance via des archives spécialement conçue. Répertoriée sous le code CVE-2025-8088, la faille a déjà été exploitée dans des campagnes réelles. L’éditeur a répondu avec une mise à jour vers WinRAR 7.13, mais en raison de l’ampleur de l’installation du logiciel sur un large éventail de machines, l’adoption du correctif devrait être lente.

Pourquoi est-ce important ?

WinRAR demeure omniprésent dans les écosystèmes TI et n’est souvent pas considéré comme faisant partie de la surface d’attaque traditionnelle. Cette combinaison en fait une cible persistante tant que les organisations n’appliquent pas les correctifs.

Cisco Secure Firewall FMC : exécution de code à distance critique (RCE)

Cisco a révélé une faille de gravité maximale dans son Secure Firewall Management Center (FMC) (CVE-2025-20265). La vulnérabilité réside dans le sous-système RADIUS et pourrait permettre à un hacker non authentifié d’exécuter des commandes arbitraires sur le système sous-jacent. Cisco a publié des correctifs et des mesures d’atténuation, mais avertit que l’exploitation serait triviale pour un acteur malveillant motivé. La plateforme FMC gère les déploiements de pare-feu à grande échelle, augmentant considérablement les risques pour les organisations qui retardent l’application du correctif.

Pourquoi est-ce important ?

Les plateformes de gestion représentent les « clés du royaume ». Une compromission ne se limite pas à un seul appareil, elle met en péril l’ensemble des pare-feux, des politiques de sécurité et des données de l’entreprise, faisant de cette faille une cible privilégiée pour les hackers.

Du blogue de Hornetsecurity

Vulnérabilités SharePoint & Exchange – Le retour du « Déjà Vu »

Peu de choses causent autant de stress aux responsables de la sécurité qu’un serveur Microsoft non corrigé exposé sur le périmètre. Cet été, SharePoint Server a été placé sous les projecteurs à la suite de la découverte de la faille ToolSheel lors de Pwn20wn, laquelle a rapidement mené à des exploitations massives. Des groupes liés à la Chine, tels que Linen Typhoon, Violet Typhoon et Storm 2603, ont exploit. Cette faille pour voler de la propriété intellectuelle, mener de l’espionnage industriel, et déployer des rançongiciels via Group Policy. Des victimes majeures ont été touchées, notamment U.S. Department of Homeland Security, NIH, et National Nuclear Security Administration. Cet incident démontre que cette faille ne représente pas seulement un problème de sécurité local, mais une menace mondiale.

Lisez l’article complet ici !

DeepSeek IA – Le battage médiatique, les failles et les dures réalités

L’ascension fulgurante de DeepSeek au sommet des palmarès d’applications a été rapidement suivie d’un retour de bâton. Des chercheurs en cybersécurité ont découvert des bases de données non protégées, des journaux de clavardage en clair, des clés API et des détails de systèmes dorsaux exposés, révélant que la plateforme ne respectait même pas les normes minimales d’hygiène en matière de sécurité. À cela s’ajoute une politique de confidentialité qui collecte ouvertement les données biométriques de frappe, les informations sur les appareils et l’historique des conversations, toutes stockées en Chine. Résultat est des signaux d’alarme règlementaires à l’échelle mondiale. L’autorité italienne de protection des données a déjà interdit le service et d’autres régulateurs européens s’apprêtent à lui emboiter le pas.

Ce qui rend ce dossier particulièrement épineux c’est l’illusion d’anonymat. Les données biométriques de frappe peuvent identifier de manière unique les utilisateurs, annulant ainsi les avantages en matière de confidentialité des RPV ou des comptes pseudonymies ajoutent à cela l’échec de DeepSeek à sécuriser plus de la moitié des tests de contournement menés par Qualys, et l’outil devient une arme à double tranchant, d’un côté, des capacités puissantes d’IA et de l’autre, un risque majeur pour la sécurité. Pour les entreprises, la leçon est claire, l’adoption de l’IA doit être équilibrée par une évaluation rigoureuse des risques fournisseurs, surtout lorsque la souveraineté des données et la conformité règlementaire sont en jour.

Lisez l’article complet ici !

Prévisions pour les mois à venir

  • Les compromissions de chaine d’approvisionnement vont se multiplier
    L’incident Salesloft Drift n’est que le début. Les attaquants exploiteront de plus en plus les connecteurs SaaS et les chaines de confiance OAuth, en particulier celles liées à Salesforce, M365 et Google Workspace.
  • Les batailles pour la confidentialité des données d’IA vont s’intensifier
    Attendez-vous à plus d’interdictions règlementaires et davantage d’enquêtes sur les services d’IA qui collectent des données biométriques ou qui échouent à respecter les exigences de conformité RGPD. DeepSeek pourrait bien être le premier d’une longue série de scandales de confidentialité liés à l’IA.
  • Davantage de failles zero-day dans les logiciels hérités
    L’affaire WinRAR rappelle que les pirates apprécient particulièrement les logiciels anciens et négligés, surveillez l’apparition de nouvelles campagnes visant les lecteurs de PDF, les utilitaires d’archivage, et même les pilotes d’imprimantes, partout où l’hygiène des correctifs est la plus faible.
  • Des directives gouvernementales plus strictes
    L’ordre d’urgence de la CISA concernant Exchange n’est qu’un avant-gout de ce qui s’en vient. À mesure que les infrastructures critiques deviennent des cibles, les organismes gouvernementaux imposeront des délais de correctifs plus serrés et des pénalités potentielles plus sévères en cas de non-conformité.
  • La politique de domaines de Microsoft n’est que le début
    La restriction sur l’envoi d’emails sortant via onmicrosoft.com s’entendra à d’autres configurations par défaut ou héritées. Des mesures similaires devraient toucher l’ensemble de M365 afin de limiter les abus et d’imposer de meilleures pratiques de sécurité.
  • Les infrastructures hybrides vont rétrécir plus rapidement
    Après les crises successives touchant SharePoint et Exchange, plusieurs organisations accélèreront leurs migrations ver le cloud. Les environnements sur site deviennent de plus en plus indéfendables, autant sur le plan technique que stratégique.
  • L’exploitation des Deepfakes et de la fraude à l’identité synthétique
    Avec les outils d’IA facilement accessibles, les cybercriminels vont intensifier les campagnes d’usurpation d’identité et les fraudes basées sur les identités synthétiques. Les attaques biométriques et la falsification d’identités posent désormais un risque accru pour les entreprises.

Recommandations mensuelles

  • Corriger immédiatement les serveurs SharePoint et Exchange
    Si votre organisation utilise encore SharePoint ou Exchange hybride sur site, supposez qu’il y a compromission si les correctifs n’ont pas été appliqués immédiatement. Suivez les recommandations de Microsoft, appliquez les mesures d’atténuation, vérifiez les mécanismes de persistance comme les clés compromises ASP.NET, et en cas de doute, faites appel à des experts en analyse forensique.
  • Prioriser les mises à jour WinRAR
    La faille CVE-2025-8088 est activement exploitée, mettez à jour immédiatement vers WinRAR 7.13 ou une version ultérieure sur tous les points d’accès. Recherchez des signes d’activité malveillante, les logiciels hérités constituent une faille évidente qui attend d’être exploitée.
  • Vérifier les intégrations SaaS OAuth
    L’incident de la chaine d’approvisionnement Salesloft Drift prouve que les connecteurs SaaS tiers peuvent créer des failles dans votre environnement Salesforce ou M365, révisez les autorisations OAuth existantes, révoquez celle qui ne sont pas utilisées, et imposez le principe du moindre privilège.
  • Renforcer les plateformes de gestion
    La faille Cisco Secure Fire FMC démontre le risque des plans de gestion exposée, appliquez les correctifs d’urgence, restreignez l’accès aux adresses IP de confiance, et envisagez la segmentation du réseau pour toutes les interfaces administratives.
  • Rester à jour sur les correctifs Patch Tuesday
    Avec plus de 100 vulnérabilités corrigées rien qu’en aout, établissez un processus rapide de déploiement des mises à jour. Testez si nécessaire, mais évitez que la « fatigue des correctifs » ne crée des fenêtres d’exploitation.
  • Traiter les outils d’IA comme des fournisseurs à haut risque
    Les bases de données exposées et le suivi biométrique intrusif liés à DeepSeek doivent servir d’avertissement, mettez en place des processus d’IA, bloquez les modèles de langage non approuvés (LLM), et formez vos équipes sur les risques liés à l’utilisation d’IA fantôme.
  • Réévaluer votre stratégie de sensibilisation à la sécurité
    Les compromissions de chaines d’approvisionnement SaaS et la montée en popularité de DeepSeek reposent fortement sur le comportement des utilisateurs. Élargissez les formations de sensibilisation afin d’inclure le phishing via OAuth, les risques liés à la confidentialité des données d’IA, les pièges courant en cybersécurité, ainsi que les formats de fichiers dangereux, tels que les archives malveillantes.

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.

Vous pourriez aussi être intéressé par