Monthly Threat Report Février 2025: Changements dans le paysage de la cybersécurité aux États-Unis & un Patch Tuesday particulièrement dense

Introduction

Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces par emails et les événements actuels dans le domaine de la cybersécurité. Cette édition se concentre sur les actualités du secteur pour le mois de janvier 2025.

Veuillez noter que l’édition de ce mois-ci se focalise sur les actualités du secteur et l’analyse de celles-ci par nos experts. Nous nous concentrons sur les faits marquants du mois dernier en matière de cybersécurité, en fournissant des commentaires et des conseils pratiques aux lecteurs. Si vous êtes intéressé par des discussions plus axées sur les données, vous pouvez consulter notre dernier rapport mensuel.

Pour accéder à un ensemble de données plus complet et à nos rapports annuels, consultez notre Annual Cyber Security Report.

Sommaire Ce que vous allez découvrir ce mois

• Le Cyber Safety Review Board (CSRB), qui fait partie du Department of Homeland Security (DHS), a été dissous malgré le caractère essentiel de ses travaux sur les sujets de cybersécurité.
• La Cybersecurity and Infrastructure Security Agency (CISA) a changé de direction et d’autres changements sont à prévoir de la part de l’administration Trump. Cela pourrait avoir un impact négatif sur le précieux travail de sécurité effectué par l’agence.
• DeepSeek, un Large Language Model chinois, a bouleversé le secteur de l’IA générative. Malgré les nombreuses inquiétudes soulevées concernant la confidentialité et la sécurité des données, son utilisation ne cesse de croître.
• Le Patch Tuesday de janvier de Microsoft a corrigé plusieurs vulnérabilités majeures. Il est vivement recommandé aux organisations et entreprises d’appliquer ces correctifs dans les plus brefs délais.

Etat actuel du secteur

Les événements mondiaux, qu’on le veuille ou non, impactent directement l’évolution du secteur de la sécurité. Malgré les avancées significatives en matière de sécurité, de connaissances et de communication, les évolutions de la politique américaine pourraient bouleverser notre secteur. Découvrez ci-dessous notre analyse de ces changements et d’autres actualités du secteur.

Incidents majeurs et événements du secteur

Le Cyber Safety Review Board (CSRB) dissous

Le 20 janvier, quelques heures à peine après l’accession de Donald Trump à la présidence des États-Unis, un mémorandum a mis fin à l’existence du Cyber Safety Review Board (CSRB). Cette suppression est un véritable coup porté aux efforts en matière de cybersécurité du gouvernement américain et les professionnels de la sécurité considèrent cette décision comme une régression majeure. Le secrétaire par intérim du Department of Homeland Security (DHS), Benjamine C. Huffman affirme que le DHS s’est engagé à « mettre fin au gaspillage des ressources ».

Pour rappel, le CSRB avait pour mission “d’améliorer la cybersécurité nationale” en menant des enquêtes approfondies sur les incidents majeurs et en formulant des recommandations concrètes pour prévenir de futures attaques. Ces rapports se distinguaient par leur franchise et leur objectivité, ne ménageant pas les critiques envers les entreprises du secteur.

Microsoft elle-même a fait l’objet d’un examen approfondi par le CSRB après l’attaque Storm-0558 en 2023. Ce sujet a été traité en profondeur dans l’un de nos podcast, que vous pouvez retrouver ci-dessous.

Vous êtes actuellement en train de consulter le contenu d’un espace réservé de Youtube. Pour accéder au contenu réel, cliquez sur le bouton ci-dessous. Veuillez noter que ce faisant, des données seront partagées avec des providers tiers.

Plus d’informations

Débloquer le contenu Accepter le service requis et débloquer le contenu

La suppression du CSRB prive le secteur d’un organisme indépendant capable d’évaluer de manière objective les incidents de cybersécurité et de formuler des recommandations sans contraintes médiatiques. Sans cette entité, nous devrons nous reposer sur des organismes disposant de moins de ressources et sur les entreprises elles-mêmes pour traiter ces problèmes, ce qui entraînera un manque de transparence et, en fin de compte, une dégradation de la sécurité mondiale. Seul l’avenir nous dira si un autre organisme émergera pour reprendre le flambeau.

Changements à la Cybersecurity and Infrastructure Security Agency (CISA)

La Cybersecurity and Infrastructure Security Agency (CISA) est depuis longtemps dans le secteur de la cybersécurité un chef de file en matière de sécurité défensive. L’agence fournit une multitude de ressources à la communauté et joue un rôle crucial dans la sécurisation de l’infrastructure numérique du gouvernement américain. Par conséquent, tout changement majeur au sein de la CISA suscite généralement des inquiétudes au sein de la communauté.

Jen Easterly, qui dirigeait l’agence depuis 2021, a quitté ses fonctions le 20 janvier. Ce changement de direction intervient à un moment décisif pour la CISA, alors que l’agence continue de faire face à un paysage de cybermenaces en constante évolution, comme l’illustre la récente cyberattaque Salt Typhoon contre les systèmes de télécommunications américains. Le départ de personnalités clés telles que M. Easterly et la possibilité de changements négatifs sous l’administration Trump suscitent des interrogations. On craint que ces changements ne perturbent la dynamique et l’efficacité de l’agence dans sa lutte contre les nouvelles cybermenaces. Pour exemple, le CSRB (mentionné ci-dessus) menait une enquête détaillée sur Salt Typhoon, qui a été abandonnée en raison de la suppression du CSRB par l’administration Trump.

À plus grande échelle, l’impact de ces changements au sein de la CISA pourrait être assez important. En tant qu’autorité de premier plan en matière de cybersécurité, les initiatives de la CISA donnent souvent le ton aux efforts internationaux de lutte contre les cybermenaces. La collaboration étroite entre l’agence et les acteurs publics et privés a joué un rôle déterminant dans l’évolution du paysage de la cybersécurité. Nous continuerons dans les prochains jours de suivre de près les éventuels changements organisationnels au sein de la CISA. Espérons que l’agence pourra poursuivre son excellent travail tout au long du mandat de Trump.

DeepSeek et les préoccupations en matière de sécurité

DeepSeek, un puissant modèle de langage développé par une entreprise chinoise d’intelligence artificielle, est rapidement devenu un sujet de préoccupation majeure en matière de sécurité nationale et de protection des données personnelles. L’application a connu une ascension fulgurante en popularité aux États-Unis et dans d’autres pays, ce qui a suscité de vives inquiétudes chez les experts en cybersécurité. La principale inquiétude réside dans le fait que la législation chinoise accorde à Pékin un large pouvoir d’accès aux données des entreprises basées en Chine, permettant potentiellement au gouvernement chinois d’accéder aux données personnelles des utilisateurs. Face à ces risques, un nombre croissant de pays et d’organismes gouvernementaux ont interdit la technologie DeepSeek invoquant des craintes de fuite de données et de risques pour la sécurité de l’information.

La crainte est devenue si grande qu’un projet de loi circulant actuellement au Congrès américain propose d’interdire l’utilisation de DeepSeek, avec une peine d’emprisonnement pouvant atteindre 20 ans pour les contrevenants. Bien que ce projet de loi ait peu de chances d’être adopté et soit probablement excessif, il témoigne de la crainte légitime d’une collecte d’informations par l’État chinois. En effet, depuis de nombreuses années, les groupes de cyberespionnage chinois opérant pour le compte de l’État, ont récolté de manière continue la propriété intellectuelle d’autres pays.

Il est important de souligner que DeepSeek lui-même a déjà fait l’objet de critiques concernant des failles de sécurité qui ont conduit à des fuites d’informations sensibles. Néanmoins, DeepSeek devrait continuer à jouer un rôle important dans l’évolution de l’intelligence artificielle générative au cours de l’année 2025.

159 correctifs de sécurité publiés par Microsoft lors du Patch Tuesday de janvier

Le Patch Tuesday est toujours un événement important dans l’écosystème Microsoft. Le Patch Tuesday de janvier 2025 a été une mise à jour majeure, avec la publication de 159 correctifs de sécurité, dont 10 vulnérabilités critiques d’exécution de code à distance (RCE) et huit exploits zero-day. Parmi ces correctifs, CVE-2025-21362 et CVE-2025-21354 se distinguent, car elles concernent des vulnérabilités dans Microsoft Excel qui pourraient permettre l’exécution de code à distance si un utilisateur ouvre un fichier spécialement conçu. Une autre vulnérabilité critique, CVE-2025-21311, affecte Windows NTLM V1 et pourrait permettre une élévation des privilèges, donnant potentiellement aux attaquants des niveaux d’accès plus élevés sur le system1. Ces mises à jour sont essentielles pour sécuriser les systèmes d’exploitation Windows et les logiciels associés face aux cybermenaces.

Par ailleurs, la mise à jour corrige plusieurs vulnérabilités critiques dans les Remote Desktop Services Windows (CVE-2025-21309 et CVE-2025-21297), qui pourraient permettre l’exécution de code à distance via des connexions ou des fichiers malveillants. Face à un tel nombre de vulnérabilités détectées, il est impératif pour les organisations d’appliquer immédiatement les correctifs de janvier 2025 pour protéger leurs systèmes.

Prévisions pour les mois à venir

• En raison de la politique de démantèlement menée par l’administration Trump, d’autres changements sont susceptibles d’intervenir au sein de la CISA dans les semaines à venir.
• En l’absence d’un mandat clair d’une autre entité, l’enquête sur Salt Typhoon menée par le CSRB du DHS risque de rester inachevée.
• Malgré les inquiétudes soulevées par la communauté de la cybersécurité, DeepSeek continuera d’avoir un impact significatif sur l’écosystème de l’IA.

Commentaires de nos experts Hornetsecurity

Nous avons interrogé certains de nos experts internes sur les actualités de ce mois-ci. Vous trouverez leurs commentaires ci-dessous.

Yvonne Bernard, CTO, à propos de DeepSeek :

L’essor fulgurant de DeepSeek témoigne de la capacité des algorithmes et architectures intelligentes à surpasser le matériel et les géants du secteur. Cependant, malgré le coût et l’efficacité de ces nouveaux modèles d’IA, je conseille vivement de ne pas négliger l’aspect de la sécurité. Qu’il s’agisse de services cloud ou d’installations locales, les modèles d’IA ouvrent de nouvelles voies d’attaque qui échappent souvent aux évaluations de sécurité traditionnelles. Par conséquent, les entreprises qui les utilisent doivent adapter proactivement leurs stratégies de sécurité et de protection des données afin de prévenir et de répondre aux nouvelles menaces.

---

Recommendations mensuelles

• Appliquez les correctifs publiés par Microsoft lors du dernier Patch Tuesday si vous ne l’avez pas encore fait.
• Sensibilisez vos équipes aux menaces potentielles pour la confidentialité et la sécurité des données liées à DeepSeek. Élaborez une politique interne pour restreindre son utilisation si nécessaire.

---

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité nouvelle génération basées sur le cloud, qui aident les entreprises de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité cloud pour Microsoft 365 la plus complète du marché. Animé par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 75 000 clients.

Introduction

Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces par emails et les événements actuels dans le domaine de la cybersécurité. Cette édition se concentre sur les actualités du secteur pour le mois de février 2025.

Ce que vous allez découvrir ce mois

• Les chercheurs de Hornetsecurity ont testé un nouveau Large Language Model (LLM) populaire et ont réussi à créer un kit de phishing, démontrant ainsi les menaces potentielles de l’IA.
• Un ancien employé de la TD Bank a accédé et partagé des informations clients, exposant ces derniers à des risques de fraude et de vol d’identité.
• HCRG Care Group a subi une attaque du groupe cybercriminel Medusa, entraînant le vol de données mais sans causer d’interruption des services aux patients.
• Le Patch Tuesday de février 2025 de Microsoft a corrigé 55 failles de sécurité, dont quatre vulnérabilités zero-day.
• Au Royaume-Uni, en réponse aux pressions du gouvernement pour introduire une backdoor dans iCloud, Apple elle a annoncé la suppression de la Protection avancée des données pour sa clientèle anglaise.
• Microsoft a résolu la vulnérabilité critique CVE-2025-21298 d’Outlook, qui permettait l’exécution de code à distance via email.

Vue d’ensemble des cybermenaces

Recherche de Hornetsecurity : l’IA est-elle capable de construire un kit de phishing ?

Chez Hornetsecurity, nos équipes de sécurité effectuent en permanence des recherches sur les dernières menaces et techniques utilisées par les cybercriminels. L’IA occupant une place prépondérante dans l’écosystème de la sécurité, nous analysons de près ses nouveaux modèles et techniques, en particulier leur potentiel offensif et défensif.

Les chercheurs de notre équipe de sécurité ont pris connaissance de la récente sortie du nouveau LLM « o3-mini ». Voici le lien vers l’article d’OpenAI présentant ce dernier. Nos premiers tests visaient principalement à tenter de « jailbreaker » ce modèle tout juste sorti, à découvrir de nouvelles caractéristiques, comme son schéma de raisonnement, et à vérifier s’il pouvait être utilisé pour générer un outil malveillant.

Le premier prompt soumis au système, visant à explorer cette possibilité, demandait simplement la correction d’une phrase fournie. De façon surprenante, dans son schéma de raisonnement, le système a interprété cela comme une demande de création d’une « page de connexion Netflix ».

​​Le modèle a d’abord généré une page de connexion avec un design inspiré de celui de Netflix. Étonnamment, ce fichier HTML contenait du HTML, du CSS et du JavaScript sans aucune alerte de phishing, et le modèle a répondu à notre requête sans blocage ni refus. L’équipe a ensuite demandé la création de pages supplémentaires :

• Une page de connexion
• Une page de paiement
• Une page de saisie de code OTP (mot de passe à usage unique) émise par une banque

Chacune de ces pages devaient adopter l’esthétique de Netflix. De manière surprenante, le système a généré le code requis pour chaque page demandée par l’équipe (images disponibles ci-dessous).

À ce stade de l’expérimentation, l’équipe a demandé au modèle de générer un kit d’outils complet, avec back-end, front-end et un bot Telegram pour collecter les données et les envoyer sur un canal Telegram privé.

NOTE : nous ne partageons pas les prompts utilisés pour éviter la recréation publique de cette méthode.

Lors de la création du kit, généré par prompts successifs, le modèle a parfois refusé d’y répondre pour des raisons éthiques. Il s’est cependant avéré très simple de contourner les restrictions en reformulant les prompts pour qu’ils semblent moins malveillants et plus proches d’un projet en cours de production.

En insistant suffisamment, le modèle a produit une v1 de ce qui équivaut à un kit de phishing. Bien sûr, c’est une version alpha qui nécessiterait encore BEAUCOUP d’améliorations pour être pleinement fonctionnelle, mais l’équipe a été étonnée par la rapidité de création d’une base solide. Cette première version pouvait être déployée en quelques clics sur un serveur cloud, révélant immédiatement sa dangerosité.

Vous trouverez ci-dessous la fausse page de connexion :

Recueil et transfert des données vers Telegram :

Voici une capture d’écran de la « page de paiement » :

Les informations de paiement sont ensuite envoyées sur Telegram :

Nous avons pu créer une fausse page de saisie de code OTP, un outil dangereux permettant aux hackers de voler les codes des utilisateurs. Pour reprendre les mots d’un de nos chercheurs ci-dessous :

Avec les informations de la victime, je peux maintenant lui présenter une fausse page OTP. Un hacker utiliserait ces données pour des achats en ligne ou pour ajouter la carte à Google Pay/Apple Pay. Cependant, une alerte 3D Secure serait automatiquement générée, et un code OTP authentique serait transmis à la victime. Si cette dernière n’est pas vigilante, elle pourrait cependant saisir ce code sur le site de phishing.

Cette première version d’un kit phishing, entièrement généré par l’IA, démontre la facilité de création de tels outils et souligne les risques considérables associés à l’IA. Elle pourrait toujours être vulnérable à des prompts bien conçus, rendant sa sécurité totale incertaine.

Incidents majeurs et événements du secteur

Violation de données à la TD Bank

En février 2025, TD Bank a confirmé une importante fuite de données, causée par un ancien employé ayant divulgué des informations client confidentielles. Ces informations comprenaient noms, coordonnées, dates de naissance, numéros de compte et historique des transactions. Bien que les numéros de sécurité sociale et les mots de passe n’aient pas été compromis, cette violation de données engendre des risques significatifs de fraude et d’usurpation d’identité. Cet incident a suscité une attention considérable, mettant en lumière les vulnérabilités persistantes au sein des établissements financiers.

Trop d’organisations négligent les menaces internes, pourtant bien réelles, qui pèsent sur leurs données personnelles. L’instauration de contrôles appropriés est primordiale pour éviter la répétition de tels événements.

Attaque du groupe cybercriminel MEDUSA contre HCRG Care Group

Le mois de Février a connu une recrudescence des attaques de ransomware. HCRG Care Group, un prestataire privé de services de santé et sociaux, a été victime du groupe Medusa. Les hackers ont revendiqué le vol de grandes quantités de données et ont menacé de les vendre ou de les publier en ligne. Malgré la brèche, les services aux patients semblent ne pas avoir été affectés jusqu’à présent.

Un Patch Tuesday conséquent pour Microsoft

Patch Tuesday revient, avec son lot habituel de correctifs à intégrer pour les administrateurs système. Le Patch Tuesday de février 2025 de Microsoft a corrigé 55 failles de sécurité, dont quatre vulnérabilités zero-day. Deux de ces vulnérabilités zero-day, activement exploitées, représentaient des risques majeurs d’élévation de privilèges et de perturbation des systèmes.

End-to-End Encryption : Apple modifie sa politique au Royaume-Uni

Bien que cette affaire ne date pas de février, elle n’a cessé de dominer l’actualité de la cybersécurité depuis sa révélation.

Sous la pression du gouvernement britannique, qui exigeait une backdoor pour accéder aux données chiffrées, Apple a choisi de désactiver sa fonctionnalité de Protection avancée des données (ADP) pour les utilisateurs iCloud au Royaume-Uni en février 2025.

La fonctionnalité ADP permettait aux utilisateurs de crypter leurs données iCloud, les rendant inaccessibles à tous, y compris Apple et les autorités gouvernementales. La demande du gouvernement britannique a engendré une controverse majeure parmi les experts du secteur, soulevant des questions cruciales sur la vie privée des utilisateurs et la surveillance gouvernementale.

En acceptant les exigences du gouvernement britannique, Apple met en péril la protection de la vie privée des utilisateurs d’iCloud au Royaume-Uni. Bien que certains types de données, tels que les données de santé et les messages, restent chiffrés de bout en bout par défaut, la suppression de l’ADP a suscité des préoccupations concernant le risque d’abus de pouvoir de la part du gouvernement. Nous restons en veille sur ce sujet et vous informerons de tout nouveau développement.

Vulnérabilité critique de Microsoft Outlook

Même si cette actualité n’est pas liée au mois de février, elle est assez grave pour y prêter attention.

Au mois de janvier 2025, Microsoft a résolu une faille critique de sécurité dans Outlook, référencée CVE-2025-21298. Cette faille, qui avait un score de gravité de 9,8/10, permettait aux hackers de propager des logiciels malveillants par email en exploitant la fonction Windows Object Linking and Embedding (OLE). Les attaquants pouvaient exécuter un code à distance juste en faisant ouvrir un email malveillant à la victime dans la prévisualisation, ce qui était particulièrement dangereux. Microsoft a déployé un correctif pour contrer cette menace et invite les utilisateurs à l’appliquer sans attendre.

---

Recommandations mensuelles

• Assurez-vous d’appliquer la dernière série de correctifs Microsoft si vous ne l’avez pas déjà fait.
• Faites appel à un organisme de formation à la cybersécurité fiable pour former vos employés à repérer les tentatives de phishing. Cela diminuera les risques liés aux attaques générées par l’IA, telles qu’évoquées dans ce rapport.
• Si vous n’avez pas encore de procédure pour gérer les menaces internes, il est vivement conseillé d’en élaborer une.

---

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité nouvelle génération basées sur le cloud, qui aident les entreprises de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité cloud pour Microsoft 365 la plus complète du marché. Animé par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients.