Monthly Threat Report Juin 2025

Introduction

Le rapport mensuel sur les menaces de Hornetsecurity vous offre un aperçu régulier des tendances en cybersécurité dans Microsoft 365, des menaces véhiculées par email, et des commentaires sur les évènements récents en matière de cybersécurité. Cette édition du rapport met l’accent sur les incidents et les tendances observées en mai 2025.

À noter : Le rapport de ce mois-ci se concentre principalement sur les évènements et violations ayant touché l’industrie. Le mois de mai a été particulièrement actif pour les acteurs malveillants, ce qui offre de nombreuses leçons à tirer. Notre équipe poursuit également ses recherches pour publier d’autres renseignements dans l’édition de juillet.

Résumé exécutif

• Des attaques par ransomwares ciblent Marks & Spence, Co-op et Dior, perturbant les opérations et exposant les données des clients via les groupes DragonForce et Scatered Spider.
• Coinbase déjoue une récompense de 20 000 000 $ pour identifier les acteurs derrière cette tentative d’accès non autorisé.
• Microsoft corrige cinq vulnérabilités de type zero-day activement exploitées, incluant des failles critiques dans DWM, OLE, et les composants de noyau Windows.
• Une faille zero-day dans Google Chrome (CV-225-5419) a été corrigée après une exploitation active, avec des mises à jour d’urgence déployées sur toutes les plateformes.
• Une brèche chez PowerSchool mène à des menaces d’extorsion visant des organisations scolaires américaines, mettant en lumière les risques en cascade liés à la compromission de plateformes SaaS.

Aperçu des menaces

Ransomwares dans le commerce de détail : Marks & Spencer, Co-op et Dior ciblés

Le mois de main n’a pas été clément pour le secteur du commerce de détail. Le détaillant britannique Marks & Spencer (M&S) a confirmé des interruptions liées à un incident de ransomware signalé à la fin avril, attribué au groupe de menaces Scattered Spider (OctoTempest). Bien que M&S n’ait pas publié tous les détails, des rapports de BleepingComputer suggèrent que les attaquants étaient présents dans l’environnement dès le début du mois.

Février 2025, avec un mouvement latéral ayant mené au déploiement du ransomware DragonForce sur les hyperviseurs ESXi.

La violation de sécurité chez M & S s’inscrit dans une tendance plus large : l’épicerie coopérative britannique Co-op a également subi des perturbations liées à un ransomware, et le détaillant de luxe Dior a confirmé une atteindre à la sécurité, bien que l’entreprise affirme qu’aucun renseignement financier n’a été compromis, comme l’a rapporté The Times. Il est clair que le secteur du commerce de détail (comme bien d’autres industries) demeure vulnérable aux attaques basées sur le vol d’identifiants, particulièrement lorsqu’il s’appuie sur une infrastructure dépassée et des défenses de pointes de terminaisons faibles.

Menaces internes et pots-de-vin : la prime de Coinbase

Les menaces internes ont pris une tournure dramatique digne d’un roman cyberpunk en mai, lorsque Coinbase a révélé un incident de sécurité impliquant des tentatives présumées de corruption visant ses employés. Selon le PDG de Coinbase, Brian Armstrong, des acteurs malveillants auraient offert d’importantes sommes d’argent en échange de renseignements sur les clients. Bien qu’aucune compromission des actifs financiers des clients n’ait été confirmée, Coinbase n’est pas restée inactive — l’entreprise a offert une prime de 20 millions de dollars pour toute information menant à l’identification des responsables de cette campagne. Si vous pensez que les dommages se limitent à des pertes financières, détrompez-vous. Dans le monde de la cryptomonnaie, les renseignements personnels peuvent devenir des cibles de choix. Il est désormais plus facile pour les cybercriminels d’identifier les détenteurs d’actifs numériques, et dans le pire des cas, les attaquants peuvent utiliser l’adresse physique des détenteurs pour exercer des pressions directes.

Ce type de menace interne n’est pas nouveau, mais l’ampleur et l’audace des tentatives de corruption sont préoccupantes. Gardez en tête qu’aucune infrastructure de sécurité n’est à l’abri de la vulnérabilité humaine. Si vous ne formez pas vos employés adéquatement, vous laissez la porte grande ouverte aux attaquants.

Mise à jour de sécurité Microsoft — plusieurs vulnérabilités critiques activement exploitées

Le mardi des correctifs (Patch Tuesday) de mai, 225 de Microsoft est arrivé avec un niveau d’urgence élevé, l’entreprise a publié des correctifs 76 vulnérabilités, dont cinq failles critiques de type jour zéro activement exploitées. Les détails sont disponibles dans les Mises à jour de sécurité de mai 2025. Voici quelques entrées particulièrement importantes :

• CVE-2025-30397 – Une faille critique dans le moteur de script Microsoft causée par une confusion de types, permettant l’exécution de code à distance.
• CVE-2025-30400 – Une vulnérabilité dans la bibliothèque Windows DWM Core permettant une élévation de privilèges.
• CVE-2025-32701, 32706, and 32709—plusieurs failles locales permettant l’élévation de privilèges.

Toutes ces vulnérabilités faisaient l’objet d’une exploitation active au moment de leur divulgation. Si vous n’avez pas encore déployé ces correctifs dans votre environnement, il est fortement recommandé de la faire dès que possible.

Faille zero-day de Chrome observé dans la nature — CVE-2025-5419

Les 27 et 28 mai, Google a publié une mise à jour d’urgence pour son navigateur Chrome, corrigeant une vulnérabilité zero-day critique (CVE-2025-5419) dans le moteur V8 JavaScript. Cette faille, découverte par un membre du Threat Analysis Group (TAG) de Google, aurait été exploitée dans le cadre d’attaques ciblées. Fidèle à ses pratiques habituelles. Google a retenu les détails techniques jusqu’à ce qu’une majorité d’utilisateurs ait installé la mise à jour. Plus d’informations sont disponibles sur le blogue des mises à jour de Google Chrome.

Cette vulnérabilité illustre une fois de plus l’exploitation constante de failles dans Chrome, un vecteur d’attaque prisé des cybercriminels. Si vous utilisez Chrome dans votre environnement et que vous n’avez pas encore installé cette mise à jour, considérez ceci comme votre rappel officiel. Selon les politiques de tolérance de votre environnement, vous pourriez envisager l’automatisation des mises à jour du navigateur. La rapidité de correction est aujourd’hui plus importante que jamais, alors que le temps de présence des attaques devient de plus en plus court.

Le secteur de l’éducation sous siège : PowerSchool et la vague d’extorsion dans les groupements scolaires

PowerSchool, un fournisseur de logiciel éducatif K-12 largement utilisé, a confirmé avoir versé une rançon à la suite d’une cyberattaque ayant compromis les renseignements de ses clients vers la fin de l’an dernier. Davantage de détails ont émergé au courant du mois de mai. Peu après la crèche, plusieurs commissions scolaires américaines ont reçu des menaces d’extorsion impliquant les données volées, suscitant l’inquiétude dans le secteur de l’éducation.

Les attaquants auraient utilisé les systèmes hébergés de PowerSchool pour menacer les groupes scolaires, exigeant des paiements sous peine de publication. Cette attaque met en lumière une évolution inquiétante du modèle de ransomware : au lieu de cibler chaque client individuellement, les groupes malveillants attaquent un fournisseur central. Cette méthode, efficace, mais profondément immorale, devient malheureusement de plus en plus courante. Si vous êtes dans le domaine de l’éducation que vous fiez à des fournisseurs SaaS, le moment est venu de revoir vos politiques de gestion des risques fournisseurs ainsi que vos plans de réponse aux incidents.

Prévision pour les mois à venir

• Ransomwares ciblant les hyperviseurs ESXi — Les groupes de menaces continueront d’éviter les techniques classiques de chiffrement de fichier pour cibler directement la couche hyperviseur. ESXi demeure une cible de choix.
• Extorsion accrue via la chaine d’approvisionnement SaaS — Le modèle PowerSchool (violer un fournisseur, extorquer toute la clientèle) sera reproduit. Attendez-vous à davantage de victimes secondaires à la suite de compromissions de fournisseurs SaaS.
• Persistance par OAuth et navigateurs expansion attendue – Les techniques d’abus de jetons OAuth et d’exploitation de failles jour zéro via navigateur devrait continuer à croitre, surtout parmi les groupes APT et les réseaux spécialisés en  phishing.

Recommandations mensuelles

• Appliquer les correctifs immédiatement — Donnez priorité au déploiement des mises à jour de sécurité de mai pour Microsoft et Chrome dans vos systèmes. Toutes les vulnérabilités mentionnées sont activement exploitées.
• Auditer l’infrastructure ESXi et virtuelle – En raison de l’activité des rançongiciels visant les hyperviseurs, assurez-vous que vos environnements VMware sont à jour, restreints par accès et sauvegardés de façon constante.
• Reviser les protocoles de surveillance des menaces internes — Utilisez l’incident chez Coinbase comme rappel : les menaces internes sont bien réelles. Révisez vos politiques DLP, vos contrôles d’accès et vos scénarios de réponse à la corruption.
• Renforcer sa vigilance envers les fournisseurs SaaS – Des incidents comme celui de PowerSchool montrent l’impact en cascade des brèches chez les fournisseurs SaaS. Revoyez vos ententes de niveau de service (SLA), vos exigences de notification de brèches et l’usage de jetons dans les plateformes tierces.
• Automatiser l’acception des correctifs de navigateur – Si ce n’est pas déjà fait, mettez en place des politiques de groupe (GPO) ou de gestion des points de terminaison pour assurer la mise à jour rapide de Chrome, qui demeure une cible privilégiée des cybercriminels.

---

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.