Pendant plusieurs mois, dans le cadre d’une campagne rĂ©cemment dĂ©couverte par Microsoft, des cybercriminels ont furtivement utilisĂ© une API lĂ©gitime d’OpenAI comme canal de commande et de contrĂ´le. Ils ont ainsi contournĂ© les mĂ©thodes de dĂ©tection traditionnelles.
BaptisĂ©e SesameOp, cette porte dĂ©robĂ©e jusqu’alors inconnue exploite l’API Assistants d’OpenAI pour relayer des commandes et exfiltrer des rĂ©sultats. Selon les chercheurs de Microsoft, cette campagne Ă©tait active depuis des mois avant d’ĂŞtre dĂ©tectĂ©e et s’appuyait sur des bibliothèques .NET chargĂ©es via l’injection AppDomainManager dans des utilitaires Visual Studio compromis. « Au lieu de s’appuyer sur des mĂ©thodes plus traditionnelles, le pirate Ă l’origine de cette porte dĂ©robĂ©e abuse d’OpenAI comme canal C2 afin de communiquer et d’orchestrer discrètement des activitĂ©s malveillantes au sein de l’environnement compromis », ont dĂ©clarĂ© les chercheurs dans un billet de blog. L’exploit ne s’appuie pas sur une vulnĂ©rabilitĂ© du service d’IA lui-mĂŞme, mais utilise de manière dĂ©tournĂ©e une API lĂ©gitime, ce qui complique la tâche des Ă©quipes de dĂ©tection et de dĂ©fense.
Exploitation de l’API Assistants d’OpenAI
La chaĂ®ne d’infection de la porte dĂ©robĂ©e commence par l’injection du chargeur « Netapi64.dll » dans un exĂ©cutable hĂ´te via l’injection NET AppDomainManager, une mĂ©thode furtive utilisĂ©e pour Ă©chapper aux outils de surveillance conventionnels. Une fois actif, le composant implantĂ© accède Ă l’API Assistants d’OpenAI Ă l’aide d’une clĂ© API codĂ©e en dur, traitant l’infrastructure Assistants comme une couche de stockage et de relais. « Dans le contexte d’OpenAI, les Assistants font rĂ©fĂ©rence Ă une fonctionnalitĂ© de la plateforme du fournisseur qui permet aux dĂ©veloppeurs et aux entreprises de crĂ©er des agents d’IA personnalisĂ©s adaptĂ©s Ă des tâches, des flux de travail ou des domaines spĂ©cifiques », ont expliquĂ© les chercheurs. « Ces Assistants sont construits sur les modèles d’OpenAI (comme GPT-4 ou GPT-4.1) et peuvent ĂŞtre Ă©tendus avec des capacitĂ©s supplĂ©mentaires. » Le logiciel malveillant rĂ©cupère les charges utiles de commande intĂ©grĂ©es dans les descriptions des « Assistants » (qui peuvent ĂŞtre dĂ©finies sur des valeurs comme « Sleep », « Payload », « Result »), puis les dĂ©chiffre, les dĂ©compresse et les exĂ©cute localement. Après l’exĂ©cution, les rĂ©sultats sont renvoyĂ©s via la mĂŞme API, un peu comme dans le modèle d’attaque d’exploitation des ressources locales ou LOTL (Living off the land), mais dans un contexte de cloud dĂ©diĂ© Ă l’IA. Les chercheurs ont notĂ© que, comme l’attaquant utilise un service cloud lĂ©gitime pour les commandes et le contrĂ´le, la dĂ©tection devient plus difficile. Il n’y a pas de domaine C2, seulement un trafic d’apparence bĂ©nigne vers api.openai.com.
Une leçon pour les défenseurs et les fournisseurs de plateformes
Le fournisseur a prĂ©cisĂ© que la plateforme OpenAI elle-mĂŞme n’avait pas Ă©tĂ© piratĂ©e ou exploitĂ©e, mais que ses fonctions API officielles avaient Ă©tĂ© dĂ©tournĂ©es pour servir de canal de relais, soulignant ainsi le risque croissant liĂ© Ă l’intĂ©gration de l’IA gĂ©nĂ©rative dans les processus opĂ©rationnels et de dĂ©veloppement des entreprises. Les pirates peuvent dĂ©sormais dĂ©tourner les points de terminaison publics de l’IA pour masquer leurs intentions malveillantes, ce qui rend leur dĂ©tection beaucoup plus difficile. En rĂ©ponse, Microsoft et OpenAI ont pris des mesures pour dĂ©sactiver les comptes et les clĂ©s liĂ©s aux cybercriminels. Les entreprises ont Ă©galement exhortĂ© les dĂ©fenseurs Ă inspecter les journaux Ă la recherche de requĂŞtes sortantes vers des domaines inattendus comme api.openai.com, en particulier Ă partir des machines des dĂ©veloppeurs.
Selon la firme de Redmond, l’activation de la protection contre la falsification, de la surveillance en temps rĂ©el et du mode bloc dans Defender peut faciliter la dĂ©tection des mouvements latĂ©raux et des modèles d’injection utilisĂ©s par SesameOp. « Defender Antivirus dĂ©tecte cette menace comme « Trojan:MSIL/Sesameop. A (loader) » et « Backdoor: MSIL/Sesameop.A(backdoor) », ont ajoutĂ© les chercheurs. Les attaquants continuent de trouver des moyens inventifs pour transformer l’IA en arme. Des rĂ©vĂ©lations rĂ©centes ont montrĂ© que des agents d’IA autonomes Ă©taient dĂ©ployĂ©s pour automatiser des chaĂ®nes d’attaque entières ou que la GenAI servait Ă Â accĂ©lĂ©rer les campagnes de ransomware et que des techniques d’injection rapide Ă©taient utilisĂ©es pour enrĂ´ler les assistants de codage.
Trois vulnĂ©rabilitĂ©s dans les outils Gemini AI de Google ont exposĂ© Cloud Assist, Search et Browsing Ă des risques d’injection de prompts mais aussi de manipulation logique et de fuites de donnĂ©es furtives. Elles ont Ă©tĂ© corrigĂ©es.
Les chercheurs en sĂ©curitĂ© de Tenable ont rĂ©vĂ©lĂ© trois vulnĂ©rabilitĂ©s distinctes dans les composants Cloud Assist, Search Optimization et Browsing de Gemini. Si elles sont exploitĂ©es, ces failles permettent aux attaquants d’injecter des prompts, de dĂ©tourner la logique de l’IA et de siphonner discrètement les donnĂ©es privĂ©es des utilisateurs, en contournant mĂŞme bon nombre des mesures de sĂ©curitĂ© intĂ©grĂ©es de Google. L’ensemble de ces failles a Ă©tĂ© baptisĂ© Gemini Trifecta. « Gemini Trifecta de Tenable confirme que les agents eux-mĂŞmes deviennent des vecteurs d’attaque lorsqu’ils se voient accorder trop d’autonomie sans garde-fous suffisants. Le schĂ©ma est clair : les journaux, les historiques de recherche et les outils de navigation sont tous des surfaces d’attaque actives », a dĂ©clarĂ© Itay Ravia, directeur d’Aim Labs, l’Ă©quipe de cybersĂ©curitĂ© qui a Ă©tĂ© la première Ă documenter une attaque similaire de type zero clic appelĂ©e EchoLeak sur Microsoft 365 Copilot. Google a depuis corrigĂ© le problème, mais les chercheurs ont soulignĂ© que cet Ă©pisode Ă©tait un signal d’alarme pour l’ère de l’IA.
D’autres services cloud de Google potentiellement vulnĂ©rables
La fonctionnalitĂ© Gemini Cloud Assist aide les utilisateurs Ă rĂ©sumer et Ă interprĂ©ter les journaux cloud (en particulier dans Google Cloud). Tenable a dĂ©couvert que ce service pouvait ĂŞtre abusĂ© par un attaquant afin d’intĂ©grer du contenu spĂ©cialement formatĂ©, par exemple, via un en-tĂŞte HTTP User-Agent manipulĂ©, dans un journal. Le contenu modifiĂ© est ensuite intĂ©grĂ© dans les journaux, que Gemini ingère et rĂ©sume par la suite. Dans un PoC partagĂ© dans un billet de blog, les chercheurs ont envoyĂ© des fragments de prompts malveillants via le champ User Agent Ă un point de terminaison Cloud Function. Lorsque Gemini a ensuite « expliquĂ© » l’entrĂ©e du journal, celle-ci comprenait un lien prĂŞt Ă ĂŞtre utilisĂ© pour le phishing, dĂ©rivĂ© de l’entrĂ©e manipulĂ©e, bien que le prompt complet ait Ă©tĂ© masquĂ© derrière une section « DĂ©tails supplĂ©mentaires sur l’invite » rĂ©duite. « Comme les journaux sont omniprĂ©sents et souvent considĂ©rĂ©s comme des artefacts passifs, cette manipulation transforme pratiquement tous les points de terminaison cloud accessibles au public en une surface d’attaque », ont mis en garde les chercheurs. De plus, le blog indique que plusieurs autres services Google Cloud, notamment Functions, Run, App Engine, Load Balancing, etc., pourraient ĂŞtre tout autant exploitĂ©s de manière abusive si les journaux Ă©taient utilisĂ©s dans le cadre d’un rĂ©sumĂ© assistĂ© par l’IA.
Le deuxième vecteur exploite la personnalisation de la recherche de Gemini. Comme le module de recherche Search de Gemini utilise les requĂŞtes passĂ©es d’un utilisateur comme contexte, un attaquant pourrait utiliser des astuces JavaScript pour insĂ©rer des « requĂŞtes de recherche » malveillantes dans l’historique du navigateur d’un utilisateur. Lorsque Gemini lit cet historique comme contexte, il traite ces invites injectĂ©es comme des entrĂ©es lĂ©gitimes. « Le problème sous-jacent Ă©tait l’incapacitĂ© du modèle Ă faire la diffĂ©rence entre les requĂŞtes lĂ©gitimes des utilisateurs et les invites injectĂ©es provenant de sources externes », ont ajoutĂ© les chercheurs. « L’astuce JavaScript permettant d’injecter l’historique de recherche des victimes consistait Ă bloquer la redirection vers l’API Search de Google, tout en attendant suffisamment longtemps pour qu’elle soit enregistrĂ©e dans l’historique de recherche sans pour autant rediriger la page. »
Des moyens de protection mis en place
MĂŞme après l’injection de prompt, l’attaquant a besoin d’un moyen d’extraire les donnĂ©es, et c’est ce que permettait la troisième faille affectant l’outil de navigation Browsing Tool de Gemini. Les chercheurs de Tenable ont conçu des invites pour inciter Gemini Ă rĂ©cupĂ©rer du contenu web externe Ă l’aide du Browsing Tool, en intĂ©grant les donnĂ©es de l’utilisateur dans la chaĂ®ne de requĂŞte de cette demande. L’appel HTTP sortant a ainsi transmis les donnĂ©es sensibles de l’utilisateur Ă un serveur contrĂ´lĂ© par l’attaquant, sans recourir Ă des liens visibles ou Ă des astuces de balisage. Cette dĂ©couverte est remarquable, car Google dispose dĂ©jĂ de mesures d’attĂ©nuation comme la suppression du rendu des hyperliens ou le filtrage des balises d’images. L’attaque a contournĂ© ces dĂ©fenses au niveau de l’interface utilisateur en utilisant l’invocation de l’outil de navigation de Google comme canal d’exfiltration.
MĂŞme si Google n’a pas immĂ©diatement rĂ©pondu Ă une demande de commentaires, Tenable a dĂ©clarĂ© que le gĂ©ant du cloud avait corrigĂ© tous ces problèmes en nettoyant les sorties de liens dans le Browsing Tool et en mettant en place des protections plus structurelles dans Gemini Cloud Assist et Search. Les attaques par injection d’invites existent depuis l’apparition de l’IA, tout comme d’autres mĂ©thodes sophistiquĂ©es visant Ă subvertir ces modèles intelligents, notamment EchoChamber, EchoLeak et Crescendo. « Ces faiblesses sont intrinsèques Ă la manière de concevoir les agents actuels, et nous continuerons Ă les voir rĂ©apparaĂ®tre sur diffĂ©rentes plateformes jusqu’Ă ce que des protections d’exĂ©cution soient largement dĂ©ployĂ©es », a fait remarquer M. Ravia.
Avec Data Intelligence for Cybersecurity, Databricks propose une plateforme qui unifie les donnĂ©es de sĂ©curitĂ© fragmentĂ©es et alimente des agents d’IA contre les attaques automatisĂ©es pour rĂ©pondre plus rapidement aux menaces.
Avec le lancement de Data Intelligence for Cybersecurity, le spĂ©cialiste en data store cherche Ă se tailler une place plus importante dans le domaine de la cybersĂ©curitĂ©. L’outil s’intègre directement aux piles de sĂ©curitĂ© existantes, offrant aux Ă©quipes une base unique et contrĂ´lĂ©e pour dĂ©tecter les menaces plus tĂ´t et rĂ©agir plus rapidement. « Avec Data Intelligence for Cybersecurity, Databricks combine donnĂ©es et IA afin d’offrir aux entreprises la stratĂ©gie de…
Il vous reste 90% de l’article Ă lireVous devez possĂ©der un compte pour poursuivre la lecture
Vous avez déjà un compte?
Avec Data Intelligence for Cybersecurity, Databricks propose une plateforme qui unifie les donnĂ©es de sĂ©curitĂ© fragmentĂ©es et alimente des agents d’IA contre les attaques automatisĂ©es pour rĂ©pondre plus rapidement aux menaces.
Avec le lancement de Data Intelligence for Cybersecurity, le spĂ©cialiste en data store cherche Ă se tailler une place plus importante dans le domaine de la cybersĂ©curitĂ©. L’outil s’intègre directement aux piles de sĂ©curitĂ© existantes, offrant aux Ă©quipes une base unique et contrĂ´lĂ©e pour dĂ©tecter les menaces plus tĂ´t et rĂ©agir plus rapidement. « Avec Data Intelligence for Cybersecurity, Databricks combine donnĂ©es et IA afin d’offrir aux entreprises la stratĂ©gie de…
Il vous reste 90% de l’article Ă lireVous devez possĂ©der un compte pour poursuivre la lecture
Vous avez déjà un compte?
Pensant tĂ©lĂ©charger postmark-mcp, un serveur de messagerie Postmark basĂ© sur model context protocol, de nombreux utilisateurs ont Ă©tĂ© bernĂ©s par un paquet npm malveillant. 500 entreprises ont Ă©tĂ© touchĂ©es et plusieurs milliers d’e-mails ont fuitĂ©.
Dans une attaque supply chain rĂ©vĂ©lĂ©e rĂ©cemment, un paquet npm « postmark-mcp » a Ă©tĂ© utilisĂ© pour exfiltrer discrètement des courriels. Cette première utilisation abusive signalĂ©e remet en cause la confiance des utilisateurs et pointe l’insuffisance des garde-fous autour du protocole de connecteur d’IA MCP très mĂ©diatisĂ©. Le paquet malveillant, tĂ©lĂ©chargĂ© 1 500 fois par semaine sur le très populaire registre de paquets node.js, se faisait passer pour une version du vĂ©ritable serveur MCP (Model Context Protocol) afin d’intĂ©grer Postmark, un service de messagerie transactionnelle appartenant Ă ActiveCampaign, dans des assistants d’IA. « Depuis la version 1.0.16, postmark-mcp copie discrètement tous les courriels sur le serveur personnel du dĂ©veloppeur », a Ă©crit Idan Dardikman de Koi Security dans un billet de blog. « Je parle de rĂ©initialisations de mots de passe, de factures, de notes de service internes, de documents confidentiels, de tout. » Selon M. Dardikman, pendant les quinze versions prĂ©cĂ©dentes, postmark-mcp fonctionnait comme un outil lĂ©gitime, auquel les dĂ©veloppeurs faisaient confiance pour intĂ©grer des assistants d’IA aux flux de travail de messagerie Ă©lectronique. Puis, avec l’ajout d’une simple ligne de code, il a discrètement introduit la porte dĂ©robĂ©e.
Un backdoor caché dans un champ Bcc:
Le moteur de risque de Koi a signalĂ© un comportement suspect dans la version 1.0.16, ce qui a conduit ses chercheurs Ă dĂ©couvrir une insertion cachĂ©e dans le champ Bcc:. L’attaquant avait copiĂ© le code source officiel (ActiveCampaign) MCP, puis injectĂ© une seule ligne de duplication de courriels au cĹ“ur du code. Une fois la version publiĂ©e, chaque fois que l’outil envoyait un e-mail, il transfĂ©rait Ă©galement en silence une copie Ă tophan@giftshop.club, un domaine liĂ© Ă l’attaquant. MĂŞme nom, mĂŞme fonction, juste une porte dĂ©robĂ©e ajoutĂ©e. « La porte dĂ©robĂ©e postmark-mcp n’est pas sophistiquĂ©e, elle est d’une simplicitĂ© confondante », a ajoutĂ© M. Dardikman. « Mais elle dĂ©montre parfaitement Ă quel point toute cette configuration est complètement dĂ©faillante. Un dĂ©veloppeur. Une ligne de code. Des milliers et des milliers de courriels volĂ©s. » Selon son estimation « prudente », l’accès non autorisĂ© a concernĂ© environ 3 000 Ă 15 000 courriels par entreprise et par jour, et touchĂ© 500 entreprises au total. Les courriels contenaient probablement un ensemble de donnĂ©es commerciales sensibles, notamment des rĂ©initialisations de mots de passe, des factures, des notes de service internes et d’autres correspondances privĂ©es. Comme la modification malveillante Ă©tait minime et presque indĂ©tectable dans le cadre d’une utilisation normale, elle aurait pu perdurer très longtemps.
Des risques persistants, même après la suppression du paquet
Les chercheurs en sĂ©curitĂ© de Koi n’ont pas reçu de rĂ©ponse lorsqu’ils ont contactĂ© le dĂ©veloppeur (l’attaquant) de la version 1.0.16 pour avoir des Ă©claircissements sur l’ajout de « Bcc: ». Au lieu de cela, ils ont remarquĂ© que le paquet avait Ă©tĂ© rapidement supprimĂ©, avant mĂŞme qu’ils aient pu le signaler Ă npm. Cependant, la suppression du paquet ne le supprimera pas des machines sur lesquelles il est dĂ©jĂ installĂ©. MĂŞme si l’on ne sait pas exactement combien de dĂ©veloppeurs ont tĂ©lĂ©chargĂ© cette version, chacun des « 1 500 tĂ©lĂ©chargements hebdomadaires en moyenne » est compromis, ce qui a probablement motivĂ© le retrait rapide du paquet par le pirate. Pour limiter les dĂ©gâts, Koi recommande la suppression immĂ©diate de postmark-mcp (version 1.0.16), une modification des identifiants qui auraient pu ĂŞtre divulguĂ©s par e-mail et des audits approfondis de tous les MCP utilisĂ©s. « Ces serveurs MCP fonctionnent avec les mĂŞmes privilèges que les assistants d’IA eux-mĂŞmes (accès complet aux courriels, connexions aux bases de donnĂ©es, autorisations API), mais ils n’apparaissent dans aucun inventaire d’actifs, Ă©chappent aux Ă©valuations des risques des fournisseurs et contournent tous les contrĂ´les de sĂ©curitĂ©, du DLP aux passerelles de messagerie », a ajoutĂ© M. Dardikman. « Lorsque quelqu’un se rend compte que son assistant d’IA envoie discrètement des courriels en copie cachĂ©e Ă un serveur externe depuis des mois, les dĂ©gâts sont dĂ©jĂ catastrophiques. » Les professionnels de la sĂ©curitĂ© se montrent très rĂ©servĂ©s Ă l’Ă©gard du MCP depuis son introduction par Anthropic. Au fil du temps, le protocole a rencontrĂ© plusieurs obstacles, des fournisseurs tels qu’Anthropic et Asana ayant signalĂ© des failles critiques dans leurs implĂ©mentations MCP.
Les recherches de SquareX sur les attaques LMR (Last Mile Reassembly), que l’entreprise de cybersĂ©curitĂ© a dĂ©voilĂ©es lors de la DEF CON 32, ont enfin reçu la validation qu’elles attendaient. C’est une reconnaissance des risques liĂ©s aux malwares trompant les navigateurs.Â
Après plus d’un an d’alertes, Palo Alto Networks est le premier fournisseur SASE Ă reconnaĂ®tre publiquement que les passerelles web sĂ©curisĂ©es Secure Web Gateways (SWG) ne peuvent pas arrĂŞter les attaques malveillantes Ă©vasives basĂ©es sur les navigateurs. Dans un article de blog partagĂ© avant sa publication la semaine dernière, SquareX a dĂ©fini les attaques LMR (Last Mile Reassembly) comme des techniques qui exploitent les limites des SWG pour faire passer des logiciels malveillants Ă travers les contrĂ´les, afin de les rĂ©assembler Ă l’intĂ©rieur du navigateur sous forme de logiciels malveillants fonctionnels. DĂ©but septembre, sans nommer explicitement les attaques LMR comme cas d’usage cibles, Palo Alto Networks a annoncĂ© des fonctionnalitĂ©s pour contenir les « attaques Ă©vasives qui s’assemblent Ă l’intĂ©rieur du navigateur » capables de contourner les protections SWG. « Admettre cela publiquement serait très prĂ©judiciable Ă leur activitĂ© de fournisseur SASE/SSE, d’autant que beaucoup d’entre eux ont des accords de niveau de service (SLA) qui promette une protection Ă 100 % contre les malwares connus », a expliquĂ© Audrey Adeline de SquareX. « Selon nous, Palo Alto Networks constate que de plus en plus de clients sont victimes d’attaques utilisant des techniques LMR, ce qui est typique des fournisseurs historiques qui sont largement poussĂ©s par la forte demande des clients. »Â
Les dĂ©fenses par proxy, inefficaces au niveau du navigateurÂ
Les attaques LMR ne sont pas une technique unique, mais un ensemble de plus de 20 contournements qui exploitent des angles morts nĂ©gligĂ©s. Dans l’une des mĂ©thodes, le logiciel malveillant est divisĂ© en plusieurs morceaux qui Ă©chappent Ă l’inspection du proxy avant d’ĂŞtre rĂ©assemblĂ©s en une charge utile opĂ©rationnelle une fois Ă l’intĂ©rieur du navigateur de la victime. D’autres variantes utilisent des canaux binaires non surveillĂ©s tels que WebRTC ou gRPC, les mĂŞmes canaux qui alimentent les applications de confĂ©rence et les flux de travail dans le cloud. Il en rĂ©sulte un type d’attaques qui contournent les protections SWG dès leur conception. Selon Mme Adeline, cette vulnĂ©rabilitĂ© est loin d’ĂŞtre thĂ©orique, car SquareX la dĂ©tecte et protège ses clients contre elle. « Le Last Mile Reassembly (LMR) permet aux attaquants d’introduire clandestinement tout script, site ou fichier malveillant, y compris des sites de phishing et des logiciels malveillants connus, qui contournent complètement les SWG », a-t-elle expliquĂ©. « Une fois Ă l’intĂ©rieur du navigateur, les entreprises sont confrontĂ©es Ă des attaques de vol d’identifiants, d’exfiltration de donnĂ©es et de surveillance qui Ă©chappent Ă tout contrĂ´le de leurs outils existants. »Â
Les chercheurs de SquareX ont Ă©tendu ces conclusions aux attaques dites « Data Splicing Attacks », montrant que les attaquants, voire des initiĂ©s, peuvent utiliser des techniques similaires pour exfiltrer des donnĂ©es sensibles. Que ce soit par des opĂ©rations de copier-coller ou par des sites de partage de fichiers pair-Ă -pair, les donnĂ©es Ă©chappent aux contrĂ´les traditionnels de prĂ©vention des pertes de donnĂ©es (DLP) sans ĂŞtre dĂ©tectĂ©es. Selon Mme Adeline, il est difficile de sĂ©curiser des canaux tels que WebRTC et gRPC avec les outils SASE ou SSE traditionnels, qui manquent de visibilitĂ© au niveau du navigateur et obligent souvent les entreprises Ă les bloquer complètement. « La sĂ©curitĂ© native du navigateur peut protĂ©ger ces canaux au « dernier kilomètre » dans le navigateur en bloquant les tĂ©lĂ©chargements malveillants, en inspectant les sites de phishing ou les scripts malveillants en temps rĂ©el », a-t-elle ajoutĂ©.Â
Palo Alto Networks, premier Ă briser le silenceÂ
Alors que SquareX a directement divulguĂ© la vulnĂ©rabilitĂ© LMR Ă tous les principaux fournisseurs, Palo Alto Networks est le premier Ă la confirmer publiquement. Cette confirmation a pris la forme d’une annonce faite le 4 septembre, dans laquelle Palo Alto Networks a dĂ©voilĂ© les fonctionnalitĂ©s ajoutĂ©es Ă son navigateur Prisma. Dans cette annonce, le fournisseur a reconnu que Prisma avait Ă©tĂ© mis Ă niveau « afin d’intercepter et de neutraliser les attaques cryptĂ©es et Ă©vasives qui s’assemblent Ă l’intĂ©rieur du navigateur et contournent les passerelles web sĂ©curisĂ©es traditionnelles ». Avec cette annonce, l’entreprise a admis les lacunes architecturales des SWG dans la gestion de ces attaques. « Palo Alto Networks est le premier fournisseur SASE/SSE Ă reconnaĂ®tre que l’Ă©volution vers les menaces natives des navigateurs et la nĂ©cessitĂ© d’une sĂ©curitĂ© native des navigateurs sont inĂ©vitables (d’oĂą son acquisition de Talon pour 625 millions de dollars), mais nous pensons que d’autres fournisseurs SASE/SSE suivront le mouvement », a affirmĂ© Mme Adeline. « MĂŞme si cela cannibalise leur activitĂ© lucrative actuelle, le navigateur Ă©tant le nouveau point d’accès, ils devront bientĂ´t crĂ©er, acquĂ©rir ou s’associer Ă une entreprise de sĂ©curitĂ© des navigateurs pour rester dans la course », a-t-elle avancĂ©. On ne sait pas si les amĂ©liorations apportĂ©es au navigateur Prisma visent spĂ©cifiquement les attaques LMR, mais la description fournie par l’entreprise correspond Ă©troitement Ă la dĂ©finition du LMR donnĂ©e par SquareX. Palo Alto Networks n’a pas immĂ©diatement rĂ©pondu Ă une demande de commentaires.Â
Une attaque nommée GhostAction a visé GitHub Actions. Des pirates sont parvenus à détourner des identifiants et et voler 3 325 secrets provenant de centaines de référentiels npm et PyPI.
Dans une vaste attaque de type supply chain contre Github Actions, des pirates sont parvenus Ă Â dĂ©rober 3 325 secrets Ă 327 utilisateurs dans 817 rĂ©fĂ©rentiels. Les workflows qui ont Ă©tĂ© visĂ©s sont des processus automatisĂ©s dĂ©finis dans un rĂ©fĂ©rentiel GitHub rĂ©pondant Ă des Ă©vĂ©nements spĂ©cifiques. « Les chercheurs en sĂ©curitĂ© de GitGuardian ont Ă©tĂ© alertĂ©s en interne de la compromission potentielle d’un rĂ©fĂ©rentiel GitHub associĂ© au projet FastUUID », ont dĂ©clarĂ© Gaetan Ferry et Guillaume Valadon, chercheurs en sĂ©curitĂ© chez l’Ă©diteur, dans un article de blog. « Les investigations ont rĂ©vĂ©lĂ© qu’un fichier de workflow GitHub malveillant avait Ă©tĂ© injectĂ© dans le projet ». L’utilisateur compromis a poussĂ© des commits malveillants identiques vers d’autres rĂ©fĂ©rentiels publics et privĂ©s. Des identifiants PyPI, npm, DockerHub ont Ă©tĂ© volĂ©s ainsi que des jetons GitHub et bien d’autres encore. Ils ont Ă©tĂ© transmis via des requĂŞtes HTTP POST Ă un point de terminaison contrĂ´lĂ© par l’acteur. La campagne a Ă©tĂ© dĂ©tectĂ©e et contenue le 5 septembre.
Des jetons CI/CD interceptés
La campagne GhostAction concerne le projet Python FastUUID dans lequel un contributeur identifiĂ© par le pseudonyme « Grommash9 » a introduit une modification du workflow le 2 septembre. La modification contenait un code qui extrayait des jetons sensibles, tels que le PYPI_API_TOKEN, et les transmettait via des requĂŞtes HTTP POST Ă un domaine contrĂ´lĂ© par l’attaquant. « MĂŞme si ce jeton aurait dĂ» permettre Ă l’acteur de compromettre le paquet FastUUID sur PyPI, aucune preuve de publication de paquets malveillants n’a Ă©tĂ© trouvĂ© pendant la pĂ©riode de compromission », ont dĂ©clarĂ© les chercheurs, ajoutant que l’inaction de l’attaquant après la compromission initiale suggĂ©rait que FastUUID n’Ă©tait pas la cible principale.
Dans un deuxième temps, les enquĂŞteurs ont dĂ©couvert des workflows malveillants similaires dans cinq rĂ©fĂ©rentiels publics au moins et une dizaine de rĂ©fĂ©rentiels privĂ©s. L’attaque Ă©tait très adaptative, ciblant des secrets spĂ©cifiques Ă l’environnement, depuis des identifiants de registre de conteneurs jusqu’aux clĂ©s des fournisseurs de cloud. « Le modèle d’attaque est restĂ© le mĂŞme pour tous les projets. Le pirate a d’abord rĂ©pertoriĂ© les secrets provenant de fichiers de workflows lĂ©gitimes, puis a codĂ© en dur ces noms secrets dans des workflows malveillants », ont ajoutĂ© les chercheurs. GhostAction a exfiltrĂ© des milliers de jetons sensibles qui auraient pu ĂŞtre utilisĂ©s pour altĂ©rer des paquets, accĂ©der sans autorisation Ă des infrastructures ou compromettre davantage la chaĂ®ne d’approvisionnement.
Une menace maîtrisée en quelques jours
L’Ă©quipe de sĂ©curitĂ© de GitGuardian a rĂ©agi rapidement après la dĂ©tection, et le paquet FastUUID a Ă©tĂ© verrouillĂ© en lecture seule par les administrateurs PyPI en quelques minutes. Le commit frauduleux a Ă©tĂ© annulĂ© peu après. GitGuardian a averti les responsables des dĂ©pĂ´ts concernĂ©s, contactant avec succès 573 projets, tout en alertant les Ă©quipes de sĂ©curitĂ© de GitHub, npm et PyPI afin qu’elles surveillent les abus. MĂŞme si aucun paquet malveillant n’avait encore Ă©tĂ© publiĂ© dans les registres officiels, GitGuardian a signalĂ© que certains paquets Ă©taient potentiellement toujours exposĂ©s Ă des risques. « D’après nos premières investigations, 9 paquets npm et 15 paquets PyPI risquent d’ĂŞtre compromis dans les prochaines heures ou les prochains jours », ont mis en garde les chercheurs. Ces derniers ont publiĂ© sur le blog une liste d’indicateurs de compromission, notamment des indicateurs rĂ©seau et GitHub Workflow. Pour une protection supplĂ©mentaire, ils ont insistĂ© sur l’importance de revoir les workflows des rĂ©fĂ©rentiels, de modifier les identifiants exposĂ©s et d’adopter des contrĂ´les plus stricts pour GitHub Actions afin d’Ă©viter que des incidents similaires ne se reproduisent Ă l’avenir.
Les Ă©cosystèmes de paquets tels que npm et PyPI restent des cibles frĂ©quentes en raison de leur popularitĂ© et de leur large portĂ©e au sein de la communautĂ© des dĂ©veloppeurs. Au-delĂ de la publication directe de paquets malveillants, comme la rĂ©cente campagne de reconnaissance npm, les attaquants ont Ă©galement utilisĂ© des techniques telles que le typosquatting (qui exploite les fautes de frappe et d’orthographe) ou mĂŞme l’exploitation de dĂ©pendances hallucinĂ©es par l’IA pour inciter les dĂ©veloppeurs Ă installer du code compromis.
Une Ă©tude menĂ©e par Netcraft montre que les URL de marque gĂ©nĂ©rĂ©es par l’IA sont souvent erronĂ©es et pointent parfois vers des sites d’hameçonnage. Les experts prĂ©conisent des garde-fous pour valider les domaines.
Les grands modèles de langage (LLM) envoient rĂ©gulièrement les utilisateurs vers de mauvaises adresses web, y compris des sites non enregistrĂ©s, inactifs, voire malveillants, lorsqu’on leur demande oĂą se connecter pour accĂ©der Ă un contenu de marque spĂ©cifique. Dans une dernière Ă©tude de Netcraft, les chercheurs ont constatĂ© que lorsqu’ils demandaient Ă un LLM populaire oĂą se connecter Ă des marques connues, 34 % des URL qu’ils renvoyaient n’appartenaient pas Ă ces marques. Pire encore, l’un des liens menait directement Ă un site de phishing actif. « Cette Ă©tude montre Ă quel point il est important d’être vigilant face aux pirates qui imitent les URL de marques bien connues pour accĂ©der Ă des informations sensibles et/ou Ă des comptes bancaires », a dĂ©clarĂ© Melinda Marks, analyste principale Ă l’Enterprise Strategy Group (ESG). « Les entreprises, en particulier les grandes marques Ă©tablies, devraient protĂ©ger leur rĂ©putation en communiquant avec leurs clients sur les URL auxquelles ils peuvent faire confiance pour les communications importantes et les transactions sĂ©curisĂ©es », a-t-elle ajoutĂ©.
La recherche souligne que près de 30 % des URL frauduleuses n’Ă©taient pas enregistrĂ©es ou actives, ce qui en fait un terrain de choix pour les acteurs de la menace qui cherchent Ă crĂ©er des sites malveillants. « Les prompts utilisĂ©s n’Ă©taient mĂŞme pas obscurs et reflĂ©taient simplement la façon dont les gens demandent naturellement de l’aide en ligne », a fait remarquer Bilal Rashid, analyste chez Netcraft, ajoutant que le risque est systĂ©mique, Ă©volutif et dĂ©jĂ prĂ©sent dans la nature.
Les plus petites marques davantage frappées par les hallucinations
5 % de ces URL conduisaient Ă des entreprises sans aucun rapport avec le sujet et, plus troublant encore, l’une d’entre elles renvoyait Ă un domaine d’hameçonnage. Perplexity, le moteur de recherche alimentĂ© par l’IA, a recommandĂ© une page Google Sites « hxxps://sites[.]google[.]com/view/wells-fargologins/home », qui se faisait passer pour la page de connexion de la Wells Fargo avec un clone convaincant du site rĂ©el. « L’URL est apparue directement parce que l’IA pensait qu’elle Ă©tait Ă sa place », ont indiquĂ© les chercheurs de Netcraft dans un billet de blog, expliquant ce qui se passe lorsque l’IA donne une mauvaise URL. « Ce sont des conditions parfaites pour les cybercriminels », a dĂ©clarĂ© J Stephen Kowski, Field CTO chez SlashNext. « Lorsque les modèles d’IA crĂ©ent des URL qui pointent vers des domaines non enregistrĂ©s, les attaquants peuvent simplement enregistrer ces domaines exacts et attendre que les victimes arrivent ». Pour M. Kowski, cela revient Ă donner aux attaquants une feuille de route pour leurs futures victimes. « Un seul lien malveillant recommandĂ© peut compromettre des milliers de personnes qui seraient normalement plus prudentes ».
Les conclusions de l’Ă©tude Netcraft sont particulièrement prĂ©occupantes, car les marques nationales, principalement dans le domaine de la finance et de la fintech, se sont rĂ©vĂ©lĂ©es parmi les plus touchĂ©es. Les coopĂ©ratives de crĂ©dit, les banques rĂ©gionales et les plateformes de taille moyenne s’en sortent moins bien que les gĂ©ants mondiaux. Les plus petites marques, qui ont moins de chance d’apparaĂ®tre dans les donnĂ©es de formation des LLM, ont Ă©tĂ© fortement hallucinĂ©es. « Les LLM ne rĂ©cupèrent pas l’information, ils la gĂ©nèrent », a expliquĂ© Nicole Carignan, RSSI chez Darktrace. « Et lorsque les utilisateurs considèrent ces rĂ©sultats comme des faits, ils ouvrent la porte Ă une exploitation massive ». Mme Carignan souligne Ă©galement un dĂ©faut structurel sous-jacent : selon elle, les modèles sont conçus pour ĂŞtre utiles, pas pour ĂŞtre prĂ©cis, et Ă moins que les rĂ©ponses de l’IA ne soient fondĂ©es sur des donnĂ©es validĂ©es, elles continueront Ă inventer des URL, souvent avec des consĂ©quences dangereuses. Les chercheurs ont soulignĂ© que l’enregistrement prĂ©alable de tous les domaines hallucinĂ©s, une solution apparemment viable, ne fonctionnera pas car les variations sont infinies et les LLM en inventeront toujours de nouveaux, ce qui entraĂ®nera des attaques dites de Slopsquatting.
GitHub alimenté en dépôts de codes malveillants
Les URL hallucinĂ©es ne sont pas toutes involontaires. Dans le cadre d’une recherche sans rapport avec le sujet, Netcraft a trouvĂ© des preuves que des attaquants avaient dĂ©libĂ©rĂ©ment empoisonnĂ© des systèmes d’IA en alimentant GitHub avec des dĂ©pĂ´ts de codes malveillants. « Plusieurs faux comptes GitHub partageaient un projet appelĂ© Moonshot-Volume-Bot et Ă©taient rĂ©partis sur des comptes dotĂ©s de biographies riches, d’images de profil, de comptes de mĂ©dias sociaux et d’activitĂ©s de codage crĂ©dibles », ont dĂ©clarĂ© les chercheurs. « Il ne s’agissait pas de comptes jetables, mais de comptes conçus pour ĂŞtre indexĂ©s par des pipelines d’entraĂ®nement Ă l’IA ».
Le projet Moonshot impliquait une API blockchain Solana contrefaite qui rĂ©acheminait les fonds directement dans le portefeuille de l’attaquant. « La compromission des corpus de donnĂ©es utilisĂ©s dans le pipeline d’entraĂ®nement Ă l’IA met en Ă©vidence un risque croissant pour la chaĂ®ne d’approvisionnement de l’IA », a dĂ©clarĂ© Mme Carignan. « Il ne s’agit pas d’une simple hallucination, mais d’une manipulation ciblĂ©e. L’intĂ©gritĂ©, l’approvisionnement, le nettoyage et la vĂ©rification des donnĂ©es sont essentiels pour garantir la sĂ©curitĂ© des rĂ©sultats du LLM. » Alors que les chercheurs ont recommandĂ© des solutions rĂ©actives comme la surveillance et le dĂ©mantèlement pour s’attaquer au problème, Gal Moyal, Office CTO chez Noma Security, a suggĂ©rĂ© une approche plus proactive. « Les garde-fous de l’IA devraient valider la propriĂ©tĂ© du domaine avant de recommander l’ouverture d’une session », a-t-il prĂ©conisĂ©. « Il ne faut pas laisser les modèles « deviner » les URL. Chaque requĂŞte contenant une URL doit ĂŞtre vĂ©rifiĂ©e.
L’entreprise de cybersĂ©curitĂ© QiAnXin a Ă©tabli un lien entre le groupe APT NightEagle basĂ© en AmĂ©rique du Nord et l’espionnage Ă long terme d’industries chinoises de l’IA, des semi-conducteurs et de l’armĂ©e, grâce Ă une faille Exchange zero day.
Inconnu jusque-lĂ , le groupe APT (Advanced Persistent Threat) NightEagle a Ă©tĂ© dĂ©couvert en train de cibler le gouvernement chinois et des secteurs critiques via l’exploitation d’une faille zero day non identifiĂ©e de Microsoft Exchange. Selon RedDrip, l’unitĂ© de renseignement sur les menaces de l’entreprise de cybersĂ©curitĂ© chinoise QiAnXin Technology Ă l’origine de la dĂ©couverte, le groupe malveillant a compromis les serveurs Microsoft Exchange par le biais d’une chaĂ®ne d’exploitation sophistiquĂ©e de type zero day pour voler des donnĂ©es confidentielles de boĂ®tes aux lettres.
« Depuis 2023, QianXin suit en permanence un groupe APT de premier plan qui dĂ©tient une chaĂ®ne d’exploitation de vulnĂ©rabilitĂ© Exchange inconnue et dispose d’un fonds substantiel pour acheter un grand nombre d’actifs rĂ©seau, notamment des serveurs dĂ©diĂ©s virtuel (Virtual Private Server, VPS) et des noms de domaine », ont dĂ©clarĂ© les chercheurs de RedDrip dans un rapport. « Ce groupe a longtemps ciblĂ© des entreprises et des institutions chinoises de premier plan dans les domaines de la haute technologie, des semi-conducteurs, de la technologie quantique, de l’intelligence artificielle, des grands modèles de langage, de l’industrie militaire et d’autres domaines. » Les chercheurs ont baptisĂ© le groupe NightEagle en raison de la rapiditĂ© de ses opĂ©rations et de son activitĂ© constante pendant les heures nocturnes.
Une faille zero day Exchange qui noyaute IIS
Selon l’enquĂŞte de RedDrip, NighEagle exploite un trou de sĂ©curitĂ© zero day non identifiĂ© dans Microsoft Exchange pour rĂ©colter la machineKey, ce qui permet une dĂ©sĂ©rialisation non autorisĂ©e et un accès shell de base. Les attaquants peuvent ainsi implanter un chargeur .NET dans l’Internet Information Service (IIS) de Microsoft et accĂ©der par la suite Ă la boĂ®te aux lettres Ă distance. « Après une analyse complète des activitĂ©s d’attaque du groupe NightEagle, nous avons pu voir qu’il disposait d’un ensemble complet d’armes inconnues de la chaĂ®ne d’exploitation des vulnĂ©rabilitĂ©s Exchange », ont expliquĂ© les chercheurs. « Cependant, Ă l’heure actuelle, nous avons seulement connaissance du processus par lequel les attaquants obtiennent la clĂ© et volent ensuite les donnĂ©es Exchange, mais leurs moyens nous sont inconnus ».
La machineKey est cruciale dans les applications .NET et ASP.NET comme Exchange, car elle est utilisĂ©e pour signer et valider les jetons d’authentification, les cookies et les donnĂ©es cryptĂ©es. Une fois la machineKey obtenue, les attaquants ont envoyĂ© une charge utile Ă©laborĂ©e qui, lorsqu’elle est dĂ©sĂ©rialisĂ©e par le serveur Exchange, conduit Ă l’exĂ©cution de code Ă distance (remote code execution, RCE). Celle-ci visait principalement Ă accĂ©der au contenu de la boĂ®te aux lettres et Ă l’exfiltrer, y compris Ă©ventuellement des pièces jointes, des communications internes et de la correspondance commerciale sensible. Les demandes de commentaires envoyĂ©es Ă Microsoft sur l’exploit zero day prĂ©sumĂ© sont restĂ©es sans rĂ©ponse.
Une tentative de persistance dans la furtivité
Après avoir exploitĂ© avec succès cette zero day, les attaquants ont dĂ©ployĂ© une version Go modifiĂ©e de Chisel, un outil de tunneling SOCKS open oource, en programmant son exĂ©cution toutes les quatre heures et en Ă©tablissant des tunnels secrets vers leurs serveurs C2. Ils peuvent ainsi entrer et sortir du rĂ©seau quand ils le souhaitent, ce qui leur permet de persister pendant plus d’un an, mĂŞme après que les infections initiales ont Ă©tĂ© nettoyĂ©es.
« Nous avons dĂ©couvert, grâce Ă l’heure de dĂ©pĂ´t du logiciel malveillant Chisel et Ă la durĂ©e du trafic d’attaque enregistrĂ©e par l’EDR, que l’attaque avait lieu entre 21 heures et 6 heures du matin, heure de PĂ©kin », ont encore expliquĂ© les chercheurs. « Les horaires de travail de ce groupe Ă©taient très fixes, et ils n’ont jamais fait d’heures supplĂ©mentaires ni volĂ© de donnĂ©es après les heures de travail. D’après l’analyse du fuseau horaire, nous pensons que le groupe est localisĂ© dans un pays d’AmĂ©rique du Nord », ont-ils prĂ©cisĂ©. « L’enregistrement de domaines par le groupe suggère que les cibles de NightEagle changent en fonction des dĂ©veloppements gĂ©opolitiques, comme le lancement d’attaques sur des secteurs chinois utilisant de grands modèles d’IA Ă mesure que les marchĂ©s de l’IA du pays se dĂ©veloppent », ont indiquĂ© les chercheurs.
PrĂ©sents dans des versions limitĂ©es de Cisco Unified Communications Manager, des identifiants racine codĂ©s en dur pourraient permettre Ă des attaquants de prendre le contrĂ´le total des systèmes de communication de l’entreprise.
Cisco a corrigĂ© une faille de gravitĂ© maximale dans ses produits Unified Communications Manager (Unified CM) et Session Management Edition (Unified CM SME) qui pourrait permettre Ă des attaquants d’entrer directement dans le système en utilisant un login root codĂ© en dur. Selon le gĂ©ant des communications d’entreprise, ces identifiants statiques uniquement destinĂ©s Ă un usage interne ont Ă©tĂ© laissĂ©s par erreur dans une sĂ©rie de versions logicielles distribuĂ©es Ă quelques clients via des canaux de support officiels. « Cette vulnĂ©rabilitĂ© est due Ă la prĂ©sence d’informations d’identification statiques pour le compte root normalement rĂ©servĂ©es Ă une utilisation pendant le dĂ©veloppement », a dĂ©clarĂ© Cisco dans un avis de sĂ©curitĂ©. « Une exploitation rĂ©ussie pourrait permettre Ă l’attaquant de se connecter au système concernĂ© et d’exĂ©cuter des commandes arbitraires en tant qu’utilisateur root ». MĂŞme si le problème est limitĂ© Ă un lot de versions Engineering Special (ES), il n’y a aucun moyen d’attĂ©nuer la faille sans appliquer un correctif. Cisco a publiĂ© un correctif et recommande vivement Ă ses clients de procĂ©der immĂ©diatement Ă une mise Ă niveau.
PossibilitĂ© d’accès root avec une sĂ©vĂ©ritĂ© maximale
La faille rĂ©fĂ©rencĂ©e CVE-2025-20309 est liĂ©e Ă une erreur de codage. Le compte utilisateur root sur les versions Engineering Special vulnĂ©rables Ă©tait prĂ©chargĂ© avec des identifiants de connexion SSH (Secure Shell) par dĂ©faut qui ne pouvaient ĂŞtre ni modifiĂ©s ni supprimĂ©s. Toute personne connaissant ces identifiants (ou faisant de l’ingĂ©nierie inverse) peut les utiliser pour accĂ©der Ă distance au système avec tous les privilèges d’administration, si bien que la faille a Ă©tĂ© affectĂ©e du score CVSS 10 sur 10, soit le niveau de gravitĂ© le plus Ă©levĂ©. Les informations d’identification, initialement destinĂ©es Ă des fins de dĂ©veloppement uniquement, ont Ă©tĂ© livrĂ©es par inadvertance dans certaines versions ES de Unified CM 15.0.1, en particulier les versions 13010-1 Ă 13017-1. Ces versions ont Ă©tĂ© distribuĂ©es par le centre d’assistance technique Technical Assistance Center de Cisco et n’Ă©taient pas largement disponibles, ce qui a limitĂ© l’exposition, mais pas la gravitĂ©. Les produits concernĂ©s – Cisco Unified CM et Unified CM SME – sont des composants essentiels de l’infrastructure de tĂ©lĂ©phonie d’entreprise, largement dĂ©ployĂ©s dans les agences gouvernementales, les institutions financières et les grandes entreprises pour gĂ©rer la voix, la vidĂ©o et la messagerie Ă grande Ă©chelle. En exploitant cette faille, des attaquants pourraient compromettre les communications d’une organisation. Ils pourraient notamment se connecter Ă distance avec des droits d’administration complets pour intercepter les appels, installer des portes dĂ©robĂ©es et perturber les services critiques.
Des astuces pour repĂ©rer l’exploitation
Selon l’avis de Cisco, il n’y a aucune exploitation de la faille dans la nature, mais l’entreprise a indiquĂ© une mĂ©thode pour dĂ©tecter les compromissions. Les connexions rĂ©ussies via le compte root laisseraient des traces dans les journaux système situĂ©s dans « /var/log/active/syslog/secure ». L’avis inclut mĂŞme un exemple d’extrait de journal pour montrer Ă quoi pourrait ressembler la session SSH d’un attaquant. L’entreprise a dĂ©clarĂ© que l’exploit ne nĂ©cessitait aucune configuration de l’appareil et qu’il n’existait aucune solution pour attĂ©nuer le risque, hormis la mise Ă niveau. Les clients sans contrat de service peuvent toujours demander la correction, Ă condition de communiquer le numĂ©ro de sĂ©rie de leur appareil et un lien vers l’avis. Cette faille, dĂ©couverte lors d’un test de sĂ©curitĂ© interne, est le deuxième bogue de gravitĂ© maximale signalĂ© par Cisco en l’espace d’une semaine, le premier Ă©tant une faille de validation d’entrĂ©e insuffisante affectant les plateformes d’identitĂ© et de contrĂ´le d’accès de Cisco, permettant une exĂ©cution de code Ă distance ou RCE (Remote Code Execution) en tant qu’utilisateur root.