Monthly Threat Report Juillet 2025

Introduction

Le rapport mensuel sur les menaces de Hornetsecurity vous propose chaque mois un aperçu des tendances en cybersécurité M365, des menaces liées aux emails et des commentaires sur les évènements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel met l’accent sur les évènements du mois de juin 2025, ainsi que des prédictions et recommandations pour les mois à venir.

 À noter le rapport de ce mois-ci se concentre principalement sur les évènements et violations ayant touché l’industrie dont juillet marque le début d’un nouveau trimestre fiscal, nous présenterons normalement certaines données consolidées avec les contenus habituels du rapport. Notre comparaison trimestrielle sera présentée le mois prochain dans un format renouvelé avec des données plus complètes.

Résumé exécutif

• Nouveau sondage RSSI Hornetsecurity relève une inquiétude croissante concernant la domination de l’IA, le faible niveau de sensibilisation des utilisateurs, et une gouvernance fragmentée, à mesure que l’adoption de l’IA s’accélère.
• Citrix Bleed 2 (CVE‑2025‑5777) – Faille critique exploitée activement ; la CISA a mis un mandat correctif dans un délai de 24 heures.
• Salt Typhoon APT – ntrusion soutenue par l’État chinois ayant compromis Viasat et plusieurs télécoms nord-américaines.
• Renaissance des données Snowflake – les anciennes données de Ticketmaster datant de 2024 refont surface, la violation n’est toujours pas résolue.
• Violation de l’API Zoomcar – Une interface vulnérable a exposé les données de 8,4 millions d’utilisateurs, cible idéale pour le phishing et les campagnes de fraude.
• Logiciel malveillant Myth Stealer – Un voleur de données basées sur Rust marque une nouvelle tendance en matière de logiciels malveillants légers.

Perspectives des RSSI sur l’IA en cybersécurité

Ce mois-ci, Hornetsecurity a publié un nouveau billet de blog basé sur des entrevues  et un sondage réalisé auprès de RSSI en Europe et en Amérique du Nord. Plutôt que de se concentrer sur le cirque médiatique autour de l’IA ou des discours commerciaux, nous avons directement consulté les principaux acteurs pour comprendre comment les responsables de la sécurité abordent réellement l’essor de l’IA dans leurs environnements.

Le verdict ? Partagé, mais éclairant.

Tandis que certaines organisations commencent à intégrer l’IA dans leurs flux de travail en sécurité comme pour le tri de faux positifs, l’efficacité des centres SOC, ou l’enrichissement des billets, la majorité des RSSI adoptent une approche prudente et mesurée. La gouvernance varie considérablement, certaines entreprises mettent en place des politiques internes strictes et hébergent localement leurs propres LLM, tandis que d’autres fonctionnent toujours en mode verrouillé en raison des préoccupations liées à la conformité et à la vie privée.

Un thème récurrent dans toutes les conversations : l’inquiétude quant à l’utilisation de l’IA et le risque de fuites de données sensibles via des outils non autorisés. La sensibilisation des utilisateurs finaux reste faible dans de nombreux environnements, et la compréhension des risques liés à l’IA par les dirigeants varie grandement. Comme l’a résumé un RSSI : « La direction perçoit les gains de productivité liés à l’IA, sans nécessairement voir les risques associés. »

Les RSSI interrogés ont également souligné la fraude d’identité synthétique, la contrefaçon vocale et l’empoisonnement de modèle comme principales préoccupations pour 2025, en particulier pour les organisations qui gèrent des modèles internes ou développent des logiciels en interne.

Si vous cherchez une vision réaliste du terrain sur la façon dont les RSSI abordent l’IA, non seulement les avantages mis aussi les risques et obstacles, consultez l’article complet ci-dessous :

Lire l’article complet ici !

Aperçu des menaces en juin 2025

Citrix Bleed 2 (CVE‑2025‑5777) exploité activement

Les appareils Citrix NetScaler ADC et Gateway ont été ciblés à la mi-juin par une faille critique de type lecture hors limites en mémoire, surnommée Citrix Bleed 2, permettant à des attaquants non authentifiés de voler des jetons de sessions et de détourner des connexions utilisateur. La faille a été corrigée le 17 juin, mais les analyses et les exploits de type preuve de concept ont commencé à circuler presque immédiatement.

En juillet, la CIA a renforcé son action en demandant aux agences fédérales d’appliquer le correctif dans les 24 heures, en raison de l’urgence. Les chercheurs d’Imperva ont noté plus de 11,5 millions de tentatives d’attaque sur des milliers de systèmes exposés, montrant à quel point cette attaque est triviale à lancer.

Pourquoi c’est important

• Aucun besoin d’authentification pour voler les jetons de sessions, ce qui en fait une faille redoutable pour contourner la MFA.
• Des milliers d’appareils vulnérables sont encore exposés sur internet. Plus de 1200 ont été confirmés comme non corrigés à la fin juin.
• Les preuves de concept rapides et les échanges entre groupes de cybercriminels assurent que cette menace reste un risque majeur.

Salt Typhoon, le Groupe APT chinois cible Viasat et les télécoms canadiennes

À la mi-juin, BleepingComputer a rapporté que le groupe ATP Salt Typhoon, lié à la Chine, avait compromis le fournisseur de satellites Viasat en exploitant des failles Cisco pour infiltrer son réseau. Des agences canadiennes de télécommunication ont confirmé de manière indépendante des intrusions remontant à février, indiquant une campagne d’espionnage.

Ce n’est pas une simple nuisance. Salt Typhoon est une unité hautement complexe spécialisée dans les infrastructures télécoms les plateformes d’interception et les métadonnées sensibles. Le fait que le secteur ne semble pas mesurer pleinement l’ampleur de l’intrusion est à la fois inquiétant, troublant et préoccupant.

Pourquoi c’est important

• Les atteintes aux infrastructures essentielles comme Viasat et les fournisseurs télécoms présentent de grand risque pour les communications nationales et les données de surveillance.
• La persistance de la campagne à travers l’Amérique du Nord démontre une volonté d’espionnages et de collecte de données à long terme.
• Le traitement de ces intrusions aide à affiner les protocoles nationaux de contre-espionnage et a probablement inspiré des politiques à venir.

Résurgence de la faille Snowflake ATP, des données Ticketmaster réapparaissent

Un groupe d’extorsion lié à la faille Snowflake de 2024 est revenu en force en juin en remettant en vente les données volées de Ticketmaster (529 GB). Bien qu’au départ la panique ait suggéré une nouvelle fuite, BleepingComputer a confirmé qu’il ne s’agissait pas d’une nouvelle violation, mais de données résiduelles de 2024.

Néanmoins, la réapparition de données obsolètes de Snowflake met en lumière plusieurs tendances inquiétantes : réutilisation d’identifiants, marchés souterrains persistants et longévité des données exposées sur le cloud. Cette faille continue d’être exploitée plus d’un an plus tard. Les organisations doivent se rappeler que des erreurs de configuration et une mauvaise gestion des jetons peuvent hanter l’infrastructure pendant longtemps.

Fuite d’API Zoomcar, 8,4 millions d’utilisateurs exposés

Le 16 juin, des rapports ont révélé que Zoomcar, une grande plateforme indienne de covoiturage, avait une faille non corrigée dans son API qui a permis la fuite de 8,4 millions d’enregistrements utilisateur : noms, emails, numéro de plaque et profils. Aucun ransomware ou extorsion n’a été détecté, mais cet ensemble de données exposées est une mine d’or pour le vol d’identité, les campagnes de phishing ciblées et les arnaques liées aux véhicules.

Même si cela attire moins l’attention que les ransomwares, il est clair que les API représentent une voie d’entrée importante pour les acteurs malveillants, et beaucoup d’organisation n’en tient pas compte. La menace croissante des API non sécurisées dans les écosystèmes SaaS, notamment celle franchissant des frontières internationales, devrait devenir une préoccupation majeure pour les RSSI. Les données restent en ligne, les points de terminaison exposés, et la surveillance règlementaire s’intensifient.

Logiciel malveillant Rust (Myth Stealer)

Début juin, un nouveau voleur d’informations basé sur Rust appelé Myth Stealer est apparu, se faisant passer pour des portails de jeux. Il cible les identifiants de navigateurs (Chrome, Firefox) et les portefeuilles crypto, marquant une nouvelle génération dans l’évolution des logiciels malveillants.

La sécurité mémoire de Rust et sa capacité de compilation multiplateforme en font un langage favori pour les malwares axés sur la rapidité et la furtivité. Myth Stealer est un exemple classique de logiciel malveillant léger, efficace, difficile à détecter par les outils traditionnels. Ce voleur multi-plateforme cible spécifiquement les identifiants numériques, forçant l’industrie à s’adapter à ces menaces émergentes.

Prévisions pour les mois à venir

• D’autres exploits liés à l’authentification pré-session (comme Citrix) cibleront probablement les hyperviseurs et appareils réseau.
• Les fuites de données issues du nuage informatique continueront d’émerger, même anciennes, elles peuvent contenir des données sensibles.
• Les erreurs de configuration d’API deviendront un problème SaaS majeur ; les régulateurs s’y attarderont.
• La gouvernance IA devra être définie rapidement, sinon les risques liés à l’IA générative exploseront.
• L’adoption de l’IA par les RSSI restera prudente, avec des tests limités et une automatisation freinée par la conformité.
• Les fraudes identitaires synthétiques et usurpations par « deepfake » deviendront plus fréquentes, notamment dans les secteurs règlementés.
• Les attaques par empoisonnement de modèles augmenteront, surtout dans les entreprises hébergeant localement leur LLM.

Recommandations mensuelles

• Corrigez immédiatement les appareils réseau critiques : priorisez Citrix, Cisco, et les périphériques périmétriques avec des cycles de mise à jour agressif et des signatures WAF.
• Renforcer l’infrastructure télécom : déployez des solutions EDR/XDR sur les routeurs, appliquez le modèle Zero Trust et traquez activement les groupes d’extorsion comme Salt Typhoon.
• Réévaluez l’hygiène de configuration du nuage informatique : faites l’audit de Snowflake et des API/microservices, changez les jetons, et configurez les accès avec journalisation et alertes.
• Évaluez l’exposition aux logiciels malveillants dans les navigateurs :  déployez des coffres d’identifiants, appliquez la MFA, et mettez à jour les protections contre les maliciels Rust.
• Automatisez-les testes de sécurité des API : intégrez l’analyse de trafic aux pipelines CI pour détecter les anomalies en temps réel.
• Invertissez dans les flux de renseignements : abonnez-vous à des flux qui détectent les PoC et les discussions sur les menaces (ex. Citrix exploits, APT chatter)
• Créez ou mettez à jour votre politique interne sur l’IA : définissez des outils processus, autorisations et limites claires.
• Lancez des formations de sensibilisation utilisateur : mettez l’accent sur les hallucinations de l’IA, les fuites de données, et les fraudes liées à l’IA.
• Travaillez avec les équipes juridiques et conformités : établissez des lignes directrices pour l’évaluation des outils IA tiers.

---

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.