Résumé de la semaine #47 (du 17 au 21 novembre 2025)

Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Fortinet pour FortiWeb [1] [2], FortiClientWindows [3], FortiVoice [4], FortiADC et FortiMail [5] [6], par Microsoft pour Edge [7], par Grafana pour Enterprise [8], par Zyxel [9], par Solarwinds pour Serv-U file server [10], par Mozilla pour Thunderbird [11], par Google pour Chrome [12], par Atlassian pour Bitbucket Data Center and Server [13] et pour Confluence Data Center and Server [14]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système. 

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible. 

Contournement de sécurité via une vulnérabilité au sein de Microsoft Sharepoint [15] 

Un code d’exploitation tirant parti de la vulnérabilité CVE-2025-49706 affectant Microsoft Sharepoint a été publié. Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exploitant cette faille, un attaquant distant et non authentifié pouvait effectuer une première requête HTTP POST pour détecter la technologie Sharepoint, puis effectuer une deuxième requête HTTP POST dans le but de contourner des mesures de sécurité. Le CERT-XMCO recommande l’application des correctifs disponibles via le mécanisme de mise à jour automatique. 

Informations

France

Le service Pajemploi de l’Urssaf a été victime d’un vol de données impliquant potentiellement jusqu’à 1,2 million de salariés [16] 

Le 17 novembre 2025, l’Union de recouvrement des cotisations de sécurité sociale et d’allocations familiales (Urssaf) a diffusé sur son site internet un communiqué reconnaissant avoir été visée par un acte de cybermalveillance, précisant ainsi avoir fait l’objet d’une attaque informatique susceptible d’affecter la sécurité de ses systèmes d’information. Cet incident, détecté le 14 novembre 2025 et circonscrit au service Pajemploi, a entraîné un vol de données à caractère personnel pouvant concerner jusqu’à 1,2 million de particuliers ayant recours à ce service, principalement des assistants maternels et gardes d’enfants à domicile. 

Eurofiber France victime d’une compromission ayant entrainé la fuite de données de milliers de clients [17] 

Le 16 novembre 2025, Eurofiber France a publié un communiqué concernant un incident de cybersécurité ayant affecté leur plateforme de gestion de tickets et le portail client ATE. Cet incident, détecté le 13 novembre, a spécifiquement ciblé les clients d’Eurofiber France ainsi que ceux de ses marques régionales : Eurafibre, FullSave, Netiwan et Avelia. L’attaque résulte de l’exploitation d’une vulnérabilité logicielle par un acteur malveillant, ayant conduit à l’exfiltration non autorisée de certaines données associées à ces services. Des investigations techniques sont en cours afin de déterminer l’ampleur exacte de la compromission et d’en limiter les impacts. 

Cloud/SaaS 

Panne majeure de Cloudflare, de nombreux sites perturbés de par le monde [18] 

Le 18 novembre 2025, Cloudflare a subi une panne majeure affectant son réseau mondial, provoquant des erreurs internes et l’indisponibilité de nombreux sites web et services en ligne. Cette interruption a touché des plateformes majeures comme ChatGPT, X (ex Twitter), Spotify, Google et plusieurs autres, impactant des millions d’utilisateurs à travers le monde. L’incident a été causé par une défaillance interne liée à un fichier de configuration généré automatiquement, qui a déclenché une surcharge mémoire et des erreurs HTTP 500 sur l’ensemble du réseau. Techniquement, la panne a d’abord entraîné l’indisponibilité du portail de support de Cloudflare, suivie de l’apparition généralisée d’erreurs 500 ainsi que l’échec des accès au tableau de bord et à l’API de la société. 

Cybercriminel 

ShinyHunters s’apprête à lancer son Ransomware-as-a-Service, ShinySp1d3r [19] 

Le 19 novembre 2025, les journalistes de BleepingComputer ont publié une analyse du nouveau ransomware-as-a-service (RaaS) ShinySp1d3r actuellement en développement, fruit de l’alliance entre les groupes ShinyHunters et Scattered Spider. Le collectif, également connu pour son association au groupe LAPSUS$, s’est récemment distingué par des attaques d’envergure sur des cibles variées telles que Salesforce et Jaguar Land Rover. Jusqu’à présent, ces groupes utilisaient les outils d’autres collectifs tels qu’ALPHV/BlackCat, Qilin, RansomHub ou DragonForce. Désormais, le collectif privilégierait une stratégie de développement interne d’outils sophistiqués. 

---

Références portail XMCO

[1]  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-910  

[2]  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-513  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-843  

[3]  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-844  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-112  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-125  

[4]  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-666  

[5]  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-225  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-686  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-736  

[6]  

• https://fortiguard.fortinet.com/psirt/FG-IR-25-634  

[7]  

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security  

[8]  

• https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/  

[9]  

• https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-uncontrolled-resource-consumption-and-command-injection-vulnerabilities-in-certain-4g-lte-5g-nr-cpe-dsl-ethernet-cpe-fiber-onts-security-routers-and-wireless-extenders-11-18-2025  

[10]  

• https://www.solarwinds.com/trust-center/security-advisories/cve-2025-40548  

• https://www.solarwinds.com/trust-center/security-advisories/cve-2025-40549  

• https://www.solarwinds.com/trust-center/security-advisories/cve-2025-40547  

[11]  

• https://www.mozilla.org/en-US/security/advisories/mfsa2025-90/  

• https://www.mozilla.org/en-US/security/advisories/mfsa2025-91/  

[12]  

• https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html  

[13]  

• https://confluence.atlassian.com/security/security-bulletin-november-18-2025-1671463469.html  

[14]  

• https://confluence.atlassian.com/security/security-bulletin-november-18-2025-1671463469.html  

[15]  

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49706  

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-49706.yaml  

[16]  

• https://www.urssaf.fr/accueil/actualites/pajemploi-vol-de-donnees.html  

• https://www.usine-digitale.fr/article/chez-l-urssaf-le-service-pajemploi-victime-d-un-vol-de-donnees-concernant-jusqu-a-1-2-million-de-salaries.N2241519  

[17]  

• https://www.eurofiber.com/fr-fr/actualites/incident-de-cybersecurite-chez-eurofiber-france  

• https://www.bleepingcomputer.com/news/security/eurofiber-france-warns-of-breach-after-hacker-tries-to-sell-customer-data/  

[18]   

• https://www.bleepingcomputer.com/news/technology/cloudflare-hit-by-outage-affecting-global-network-services/  

• https://www.cloudflarestatus.com/  

[19]  

• https://www.bleepingcomputer.com/news/security/meet-shinysp1d3r-new-ransomware-as-a-service-created-by-shinyhunters/