Rapport D'incident

Selon Acronis (rubrique Threats and Vulnerabilities), un ransomware a visé la plateforme MUSE de Collins Aerospace, entraînant des perturbations majeures dans plusieurs aéroports européens, et a été formellement reconnu par RTX Corporation dans un dépôt à la SEC. • Faits marquants: un ransomware a touché la plateforme de traitement passagers ARINC MUSE, utilisée pour le partage de comptoirs, bornes et portes d’embarquement. Les aéroports de Heathrow, Bruxelles, Berlin et Dublin ont dû revenir à des procédures manuelles, provoquant retards et annulations. Un suspect a été arrêté au Royaume‑Uni puis libéré sous caution. Le variant du ransomware et le vecteur d’attaque restent non confirmés. RTX a apporté la première reconnaissance officielle de l’incident via une déclaration à la SEC. ✈️ ...

Source: Microsoft Security Blog — Microsoft décrit l’intervention de son équipe DART pour contenir deux cyberattaques sophistiquées ciblant des organisations du secteur retail. Les assaillants ont exploité des vulnérabilités SharePoint (CVE-2025-49706, CVE-2025-49704) pour déposer des web shells ASPX, conduisant à de la spoofing d’identité et de l’injection de code à distance. L’objectif opérationnel incluait la prise de contrôle d’identités et la persistance dans l’environnement cible. ⚠️ Pour maintenir la présence malveillante, les acteurs ont utilisé Azure Virtual Desktop, RDP, PsExec et des outils de proxy/tunneling comme Teleport et Rsocx, signe d’un enchaînement TTPs visant mobilité latérale et évasion. 🧭 ...

Selon un avis de la CISA, des acteurs malveillants ont exploité la vulnérabilité CVE-2024-36401 dans des instances GeoServer d’une agence fédérale américaine, tirant parti d’une injection d’eval pour l’accès initial avant de se déplacer latéralement vers des serveurs web et SQL. L’incident n’a été détecté qu’après trois semaines, à la suite d’alertes EDR signalant des téléversements de fichiers suspects sur le serveur SQL. 🚨 Constats clés rapportés par la CISA: ...

Selon GitHub Blog (Xavier René‑Corail, 22 septembre 2025), l’écosystème open source a subi une vague de prises de contrôle de comptes sur des registres de paquets, dont npm, culminant avec une attaque baptisée Shai‑Hulud ciblant la chaîne d’approvisionnement JavaScript. 🚨 Incident: le 14 septembre 2025, Shai‑Hulud a infecté l’écosystème npm via des comptes mainteneurs compromis, en injectant des scripts post‑install malveillants dans des paquets populaires. Le ver était auto‑réplicant et capable de voler plusieurs types de secrets (pas uniquement des jetons npm), ce qui aurait pu permettre des attaques en continu sans l’intervention rapide de GitHub et de mainteneurs open source. ...

Selon BleepingComputer, Stellantis a confirmé qu’un incident de sécurité a conduit au vol de données concernant une partie de ses clients en Amérique du Nord, à la suite d’un accès par des attaquants à la plateforme d’un prestataire tiers. Faits clés ⚠️ Nature de l’incident : vol de données. Vecteur : accès à la plateforme d’un fournisseur tiers. Périmètre impacté : clients nord-américains de Stellantis. L’article indique que l’accès initial s’est fait via un prestataire tiers, ce qui a permis aux attaquants de subtiliser certaines données clients. Aucune information supplémentaire n’est fournie dans l’extrait sur l’ampleur exacte de la compromission ou la nature précise des données. ...

Selon BleepingComputer, Google a confirmé que des cybercriminels ont réussi à créer un compte frauduleux dans son Law Enforcement Request System (LERS), la plateforme utilisée par les forces de l’ordre pour soumettre des demandes officielles de données à l’entreprise. Le cœur de l’affaire porte sur l’usurpation/création illégitime d’un compte au sein d’un système sensible servant d’interface entre Google et les autorités, ce qui soulève des préoccupations quant à l’intégrité des canaux de demande de données. ...

Source: DataBreaches.net (15 septembre 2025, auteur: Dissent). Contexte: après la révélation d’une exfiltration touchant des marques de Kering, le média publie de nouveaux éléments contredisant une partie de la communication officielle du groupe. Les faits: ShinyHunters affirme avoir acquis des données clients via deux attaques liées à Salesforce: plus de 43 M d’enregistrements (Gucci) et près de 13 M pour Balenciaga, Brioni, Alexander McQueen combinés. Les échantillons fournis à DataBreaches paraissent légitimes et ne contiennent pas d’informations financières (cartes, comptes) selon leur examen. ...

Selon BleepingComputer, Google a confirmé qu’un compte frauduleux avait été créé dans sa plateforme Law Enforcement Request System (LERS), utilisée par les forces de l’ordre pour soumettre des demandes légales. Le compte a été désactivé et, selon Google, aucune requête n’a été transmise et aucune donnée n’a été consultée via ce compte. Le FBI a décliné tout commentaire alors qu’un groupe se présentant comme « Scattered Lapsus$ Hunters » affirme avoir accédé à la fois à LERS et au système eCheck du FBI, en publiant des captures d’écran de cet accès. ...

Source: Salesloft Trust Portal — Mises à jour des 7, 11 et 13 septembre 2025. Salesloft détaille l’incident affectant Drift, confirme la poursuite de l’enquête et de la remédiation, et maintient l’application Drift hors ligne. Les clients sont priés de considérer toutes les intégrations Drift et les données associées comme potentiellement compromises. Parallèlement, l’intégration entre la plateforme Salesloft et Salesforce a été rétablie. Ce qui s’est passé (constats Mandiant au 6 sept. 2025) : ...

Source: Snyk — Billet d’alerte et suivi d’incident décrivant une attaque de la supply chain npm consécutive à la compromission par phishing d’un mainteneur open source (~qix), avec chronologie, IoC et conseils de vérification. — Contexte et fait principal — Un développeur open source très en vue, ~qix, a été victime d’un phishing envoyé depuis l’adresse « support@npmjs.help ». L’attaquant a pris le contrôle de son compte npm, lui permettant de publier des versions malveillantes de paquets populaires auxquels il avait des droits. ...