Monthly Threat Report Novembre 2025

Introduction

Le rapport mensuel sur les menaces de Hornetsecurity présente chaque mois un aperçu des tendances de sécurité liées à Microsoft 365, des menaces véhiculées par email et des commentaires sur les événements récents dans le domaine de la cybersécurité. Cette édition du rapport mensuel sur les menaces met l’accent sur les incidents observés durant le mois d’octobre 2025.

Résumé exécutif

• Exploitation du service WSUS en milieu réel – Une vulnérabilité critique dans Windows Server Update Services (WSUS) (CVE-2025-59287) est actuellement exploitée, permettant l’exécution de code à distance avec des privilèges SYSTEM. La CISA a émis une directive d’urgence imposant une mise à jour immédiate sur l’ensemble des réseaux fédéraux.
• Fuite de données chez F5 Networks –  Des acteurs malveillants ont dérobé des portions de code source de BIG-IP ainsi que des données internes sur les vulnérabilités de F5, offrant ainsi aux adversaires une visibilité approfondie dans le développement des produits et des outils de sécurité des postes de travail.
• Failles « zéro day » chez Microsoft et VMware –  Le correctif de sécurité d’octobre a révélé plusieurs vulnérabilités activement exploitées dans les produits Windows et VMware, marquant un autre mois de mise à jour urgente sous le thème « corrigez ou périssez ».
• Hausse des abus liés aux domaines de premier niveau (TLS) – Les acteurs malveillants utilisent de plus en plus des domaines exotiques tel que .zip, .app, ou .mov afin de contourner les filtres de diffuser des courriels d’hameçonnage ou des logiciels malveillants sous une apparence légitime.
• Rôle croissant de l’intelligence artificielle en cybersécurité – L’intelligence artificielle redéfinit à la fois l’attaque et la défense. Bien qu’elle améliore la détection et l’automatisation pour les défenseurs, elle permet aussi aux adversaires de concevoir des campagnes plus élaborées et convaincantes.

Aperçu des menaces

Comment les cyberattaquants exploitent les domaines de premier niveau (TLD) exotique

Les défenseures doivent constamment d’adapter aux tactiques, techniques et procédures des attaquants. Parmi les évolutions plus discrètes observées récemment dans le domaine du phishing et des logiciels malveillants, on note l’augmentation de l’abus de domaines de premier niveau dits « exotiques » (TLD). Dans le rapport de ce mois-ci, nous souhaitons mettre en lumière la façon dont les acteurs malveillants exploitent ces domaines moins connus. En général, cela inclut des domaines se terminant par des extensions comme .app, .zip, .lol, .cam et bien d’autres. L’objectif de ces domaines est de contourner les filtres de sécurité et de tromper les utilisateurs finaux. Bon nombre de ces domaines de premier niveau (TLD) sont récents, peu couteux ou à l’origine destinés à des usages légitimes dans des secteurs spécialisés. Ils sont désormais devenus un refuge pour des campagnes malveillantes, en raison d’un contrôle insuffisant des registres et de la confiance visuelle héritée de marques connues.

La tactique fonctionne parce que les utilisateurs remarquent rarement les terminaisons de domaines, et les outils de sécurité fondés sur des bases de données de réputation dépassées peuvent tarder à signaler les nouveaux sites créés. Les attaquants déploient des milliers de domaines ressemblant à des sites légitimes sur des infrastructures temporaires, en les associant à des certificats SSL valides pour leur donner une apparence de légitimité. Le résultat est un mécanisme quasi parfait de diffusion de campagne de phishing, de vol d’identifiants et de logiciels malveillants diffusés par navigation piégée (drive-by malware). La leçon à tirer est simple, mais essentielle : les défenseurs doivent mettre à jour en continu leurs renseignements sur les domaines, appliquer une réécriture stricte des adresses URL et effectuer des analyses approfondies. Ils doivent aussi sensibiliser les utilisateurs à remettre en question les liens attrayants, comme un lien .zip, car dans le cas des abus liés aux TLD, l’obscurité demeure la meilleure alliée des cybercriminels.

L’impact de l’intelligence artificielle sur la cybersécurité

Il ne fait aucun doute que l’IA a eu un impact majeur sur la cybersécurité, tout comme dans d’autres secteurs. Depuis quelque temps, nous discutons, à travers nos publications, de la façon dont l’IA transforme le domaine de la sécurité. Même si la première « vague de battage médiatique » autour de l’IA s’est atténuée, les développements et effets concrets sur les opérations de sécurité se poursuivent.

Dans un article récent du blog de Hornetsecurity intitulé L’impact de l’IA sur la cybersécurité par Paul Schnackenburg, on explore comment l’IA redéfinit à la fois la défense et l’offensive dans le paysage de la cybersécurité. D’un côté, l’IA agit comme multiplicateur de puissance pour les équipes défensives, favorisant une détection plus intelligente, un tirage plus rapide et une meilleure reconnaissance des modèles dans des ensembles de données massifs. Elle aide les équipes de sécurité à automatiser les réponses aux incidents et à réduire le bruit, particulièrement dans les environnements infonuagiques complexes où les outils traditionnels ont de la difficulté à suivre.

De l’autre côté, la même technologie renforce aussi les attaquants. L’IA abaisse le seuil technique requis pour créer des campagnes de phishing, de faux contenus (deepfakes) et de manipulation sociale, tout en augmentant l’ampleur et la crédibilité des menaces. Les chercheurs préviennent que, à mesure que les modèles de langage et outils génératifs deviennent omniprésents, les adversaires s’en serviront tout aussi vite que les défenseurs. La principale conclusion est claire : les organisations doivent adopter l’IA de manière sécuritaire, mais aussi renforcer leurs politiques, leur gouvernance et la sensibilisation des utilisateurs. Dans le nouveau paysage des menaces, l’IA ne fait plus seulement partie de la défense : elle constitue aussi une partie de la surface d’attaque.

Principaux incidents et événements dans l’industrie

Vulnérabilité du WSUS activement exploitée dans la nature

Le mois d’octobre a incité les administrateurs à appliquer des correctifs après la découverte d’une vulnérabilité critique dans Windows Server Update Service (WSUS) sous exploitation active : CVE-2025-59287. Cette faille permet l’exécution de code à distance avec des privilèges SYSTEM sur les serveurs WSUS configurés, donne aux cybercriminels un contrôle quasi total du système visé en tant que source de mises à jour. Le correctif de Microsoft a été publié au début d’octobre, mais la CISA est rapidement intervenue avec une directive d’urgence obligeant les agences fédérales américaines à corriger ou à désactiver les rôles WSUS vulnérables dans un délai de 48 heures. Les premières exploitations ont été observées dans des attaques opportunistes visant des serveurs WSUS exposés à Internet.

Le véritable danger provient du rôle du WSUS comme centre névralgique de la gestion des correctifs Windows en entreprise. Une compromission de ce système pourrait permettre à un attaquant d’étendre sa portée à l’ensemble du réseau. Ce n’est pas qu’une hypothèse : il s’agit d’un cas typique d’abus de chaine d’approvisionnement, semblable à celui observé avec SolarWinds il y a quelques années.  Si vous exécutez WSUS dans un environnement hybride ou avec des ports ouverts vers l’extérieur, c’est le moment de vérifier la segmentation du réseau, d’appliquer les correctifs de sécurité et de valider l’intégrité de la signature des mises à jour. Traitez cet incident comme un événement de niveau 1, car dès qu’un serveur de gestion des correctifs devient malveillant, le risque s’étend à l’ensemble de votre infrastructure.

Fuite de données chez F5 : exposition du code source de BIG-IP et des informations sur les vulnérabilités

À la fin du mois d’octobre, F5 Networks a confirmé une atteinte à la sécurité ayant permis à des attaquants de voler des portions du code source de BIG-IP, ainsi que des recherches internes sur les vulnérabilités et de la documentation de renseignement sur les menaces. L’entreprise a retracé l’intrusion jusqu’à un compte de développeur compromis ayant mené à une instance GitLab exposée. Ce cas illustre parfaitement pourquoi les dépôts de code privilégient doivent être protégés par une authentification multifacteur (MFA) et des contrôles d’accès sévères. F5 a déclaré qu’aucune donnée client ni aucun système de production n’avaient été touchés, mais les éléments volés pourraient offrir aux attaquants un aperçu précieux de dailles encore non divulgués et des mécanismes internes des produits, réduisant ainsi le délai entre la découverte d’une vulnérabilité et son exploitation.

Pour les entreprises utilisant BIG-IP pour l’équilibrage de charge ou la sécurité périmétrique, les répercussions sont sérieuses : le vol du code source permet aux acteurs malveillants d’identifier des failles exploitables et de comprendre avec précision la gestion de la mémoire, des flux d’authentification et des interfaces. Même s’il n’y a pas encore d’exploitation confirmée, il est prudent de s’attendre à une hausse des activités de balayage et de test automatisé ciblant les appareils F5 au cours des prochains mois. Les organisations devraient s’assurer d’exécuter la plus récente version du micrologiciel, de surveiller tout trafic anormal vers les interfaces de gestion et de réviser leurs stratégies de segmentation. Souvenez-vous : lorsque les plans internes d’un fournisseur de sécurité périmétrique sont divulgués, la surface d’attaque de votre propre réseau s’élargit.

Autres failles « zéro day » majeures et ruée vers les correctifs

Le mardi des correctifs (Patch Tuesday) d’octobre a été particulièrement chargé et critique. Microsoft a publié une importante série de correctifs pour plusieurs vulnérabilités, dont certaines failles zéro day déjà exploitées activement dans la nature (notamment CVE-2025-24990 et CVE-2025-59230). Lorsque ces vulnérabilités sont détectées dans les rapports de télémétrie, souvent avant même que les organisations aient lu l’avis officiel, la réaction devient une course contre la montre : test d’urgence, déploiement rapide des correctifs, et parfois annulations imprévues lorsque des problèmes surviennent. En pratique, pour les équipes de sécurité, cela signifie une réalité exigeante, mais simple : si un correctif corrige une faille activement exploitée, il passe immédiatement en tête de liste des priorités, quitte à mobiliser les équipes même la fin de semaine.

La situation s’est compliquée en raison d’une vulnérabilité de type « zero-day » liée à VMware (CVE-2025-41244), associée à Aria/VMware Tools, observée entre les mains d’un acteur de menace sophistiqué, ce qui a accru les risques pour les équipes responsables du nuage et de la virtualisation. La leçon à retenir : il faut accélérer le déploiement des correctifs pour les produits exposés au public ou servant à la gestion, sans toutefois agir de manière imprudente. Les organisations doivent associer une mise à jour rapide à des mesures compensatoires, faute de quoi elles risquent d’engendrer de nouveau problème. Si l’installation immédiate d’un correctif n’est pas possible, il faut appliquer de correctifs virtuels (règles WAF, signature IPS, etc.), restreindre l’accès aux interfaces de gestion (RPV + ZTNA + authentification multifacteur), renforcer la télémétrie EDR/XDR pour détecter les exploitations après l’intrusion et surveiller toute activité anormale d’authentification ou de déplacement latéral. En résumé : corrige rapidement, mais corrigez intelligemment, car les cybercriminels considèrent déjà les réseaux non corrigés comme des cibles faciles.

Prévision pour les prochains mois

• Hausse prévue de domaines TLD – On prévoit une poursuite de la croissance des campagnes de phishing  et de logiciels malveillants exploitant des domaines exotiques tels que .zip, .app, et .mov. À mesure que les protections de base s’améliorent, les attaquants diversifieront leurs enregistrements de domaines afin de rester une longueur d’avance sur les filtres de sécurité.
• Accélération des campagnes de phishing propulsée par l’IA – Les outils d’intelligence artificielle générative continueront d’abaisser la barrière d’entrée pour les acteurs de menace, permettant la création de campagnes multilingues, personnalisées et évolutives qui échappent plus facilement aux méthodes de détection traditionnelles.
• Les infrastructures de correctifs deviennent une cible à part entière – À la suite l’exploitation de WSUS, on prévoit une augmentation des attaques contre les systèmes d’orchestration des correctifs, les serveurs de mise à jour et les outils de gestion de configuration, utilisés comme vecteurs de mouvement latéral.
• Les fuites e code source alimentent une ruée vers les vulnérabilités – L’incident F5 met en lumière une tendance émergente : l’exposition de code source accélère le développement d’exploits. On peut s’attendre à des incidents similaires touchant d’autres fournisseurs, les attaquants cherchant à exploiter ces fuites pour le ransomware ou le vol de propriété intellectuelle.

Recommandations mensuelles

• Prioriser les cycles de correctifs critiques – Corrigez immédiatement WSUS et vérifiez la segmentation entre les réseaux de gestion et de production. Appliquez sans délai les avis de sécurité publiés par Microsoft, VMware et F5 pour le mois d’octobre.
• Sécuriser l’infrastructure de mise à jour – Limitez les accès entrant aux serveurs WSUS et aux autres systèmes de gestion des correctifs. Utilisez TLS, des mises à jour signées et un audit rigoureux afin d’éviter toute injection de contenu non autorisé.
• Surveiller l’activité de balayage visant F5 – Installez la plus récente version du micrologiciel, restreignez l’accès aux interfaces d’administration, et surveillez les journaux réseau pour repérer tout comportement d’empreinte ou d’énumération visant les points de terminaison BIG-IP.
• Mettre à jour les flux de renseignements sur les domaines – Ajoutez des flux menace incluant les nouveaux domaines TLD émergents. Appliquez les mécanismes de réécriture d’URL et d’isolement sécurisé de Hornetsecurity pour neutraliser l’avantage de nouveauté que présentent les domaines exotiques.
• Renforcer la formation à la sensibilisation contre l’hameçonnage – Utilisez des exemples concrets d’abus de domaines de premier niveau exotiques (TLD) et de contenu de phishing rédigé à l’aide de l’intelligence artificielle pour former les utilisateurs finaux sur les tactiques modernes d’ingénierie sociale.
• Adopter des correctifs virtuels et des contrôles compensatoires – lorsque l’application immédiate d’un correctif n’est pas possible, tirez parti des règles de pare-feu applicatif (WAF), des signatures d’intrusion et de la microsegmentation pour gagner du temps sans exposer les systèmes essentiels.
• Étendre la recherche proactive de menaces liées à la chaine d’approvisionnement – Surveillez de manière proactive les systèmes de distribution de mises à jour, les dépôts d’artéfacts et les chaines CI/CD afin de détecter toute anomalie pouvant indiquer une altération ou une mauvaise utilisation d’identifiants.

---

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.