Aller au contenu
Cryptolab
Cryptolab

Weekly #16 - Canvas rançonnée, Exchange zero-day, YellowKey

·838 mots·4 mins
Weekly Weekly Canvas Exchange Bitlocker Gitea Dbir Self-Hosting
Cryptolab.re
Auteur
Cryptolab.re
Cryptolab est un blog personnel où je documente mes expérimentations techniques : infra, self-hosting, réseau, crypto et projets parfois inutiles, souvent instructifs.
Sommaire

En bref
#

  • Instructure (Canvas) rançonnée : ShinyHunters revendique 3.65 To de données, rançon payée.
  • Exchange Server zero-day (CVE-2026-42897) : XSS dans OWA, pas de patch, exploitation active.
  • BitLocker YellowKey (CVE-2026-45585) : contournement du chiffrement disque avec accès physique.
  • Gitea/Forgejo (CVE-2026-27771) : 30 000+ instances exposent leurs images privées depuis 4 ans.
  • Verizon DBIR 2026 : 48 % des brèches impliquent un tiers, +60 % sur un an.
  • Chrome 148 : 2 correctifs critiques sur Linux (WebRTC UAF, UI spoofing).

Canvas (Instructure) : la plus grosse rançon éducation de l’année
#

Le groupe ShinyHunters a frappé Instructure, l’éditeur de la plateforme LMS Canvas, utilisée par plus de 8 800 établissements dans le monde. Selon les sources publiques, 3.65 To de données ont été exfiltrées, concernant 275 millions d’utilisateurs (élèves, enseignants, personnels).

Le mode opératoire : exploitation d’une vulnérabilité XSS dans le service Free-For-Teacher, escalade vers un accès administrateur, puis exfiltration massive. Instructure a initialement tenté de colmater sans payer, mais ShinyHunters a récidivé une semaine plus tard via la même classe de vulnérabilité, allant jusqu’à défigurer les portails de connexion de centaines d’établissements.

Résultat : rançon payée, données « détruites » selon ShinyHunters (on sait ce que valent ces promesses). Un cas d’école sur la concentration du risque dans le SaaS éducation.

Krebs on Security - Canvas Breach

Exchange Server zero-day : CVE-2026-42897 exploitée activement
#

Microsoft a confirmé le 14 mai une vulnérabilité XSS dans Outlook Web Access (OWA) activement exploitée, sans patch disponible. Un simple email piégé suffit : si la victime l’ouvre dans OWA, du JavaScript arbitraire s’exécute dans son contexte de session.

Les conséquences : compromission de boîte aux lettres, vol de jetons de session, règles de forwarding persistantes. Pas de compromission du serveur complet, mais l’attaquant peut lire les emails, en envoyer au nom de la victime et s’y maintenir.

CISA a ajouté ce CVE à son catalogue KEV le 15 mai, avec deadline de correction au 29 mai. La seule mitigation officielle passe par EEMS (Exchange Emergency Mitigation Service), qui désactive le rendu des images inline et les calendriers imprimables dans OWA.

Microsoft Security Response Center - CVE-2026-42897

BitLocker YellowKey : le chiffrement contourné par une clé USB
#

Le chercheur Chaotic Eclipse a publié YellowKey (CVE-2026-45585), un exploit qui permet de contourner intégralement BitLocker avec un accès physique à la machine. Il suffit de copier quelques fichiers sur une clé USB et de démarrer sur l’environnement de récupération Windows (WinRE) pour monter le volume chiffré en clair.

Microsoft a publié une mitigation le 20 mai (pas de vrai patch pour l’instant). Les versions affectées : Windows 11, Windows Server 2022 et 2025. GreenPlasma, un second exploit du même chercheur, cible l’escalade de privilèges via CTFMON.

Les laptops d’entreprise perdus ou volés redeviennent un risque tangible malgré le chiffrement.

BleepingComputer - BitLocker Zero-Day

Gitea et Forgejo : 30 000 instances exposent leurs images privées
#

Les chercheurs de NoScope ont identifié une faille (CVE-2026-27771) dans Gitea et Forgejo : les images de conteneurs privées hébergées sur ces instances étaient accessibles sans authentification depuis l’extérieur. Pendant 4 ans.

Les secteurs concernés : santé, aérospatial, infrastructures critiques. Si vous hébergez des registres OCI sur une instance Gitea/Forgejo, vérifiez vos permissions immédiatement.

NoScope - Gitea Private Container Images

Chrome 148 : deux correctifs critiques sur Linux
#

Google a poussé une mise à jour de Chrome 148 (version 148.0.7778.179) pour corriger 16 vulnérabilités, dont deux critiques. La première (CVE-2026-9111) est un use-after-free dans WebRTC, exploitable à distance via une page HTML piégée — exécution de code arbitraire sur Linux. La seconde (CVE-2026-9110) est un défaut d’implémentation dans l’interface utilisateur permettant un UI spoofing.

Chrome 148 cumule désormais plus de 350 correctifs de sécurité depuis sa sortie début mai, une cadence inhabituellement élevée, probablement liée à l’utilisation de l’IA dans le fuzzing interne de Google.

Malwarebytes - Update Chrome Now

Verizon DBIR 2026 : le tiers est devenu le risque majoritaire
#

Le Data Breach Investigations Report 2026 de Verizon confirme une tendance que l’on sentait venir : 48 % des brèches impliquent désormais un tiers, contre 30 % l’an dernier et 15 % il y a deux ans.

Autres chiffres qui marquent :

  • Exploitation de vulnérabilité : premier vecteur d’accès initial (31 %), dépasse l’abus de credentials
  • Ransomware : présent dans 48 % des brèches, mais les paiements continuent de baisser (médiane à 115 000 $)
  • Espionnage : +163 % sur un an, désormais 17 % des incidents
  • Shadow AI : 45 % des employés utilisent régulièrement l’IA sur leur poste pro, majoritairement via des comptes personnels

Le message est clair : votre sécurité vaut celle de votre plus faible fournisseur.

Verizon DBIR 2026

Command Line Corner
#

column -t reformate une entrée délimitée en colonnes alignées. Pratique quand vous pipez mount, df, ou du CSV sans séparateur propre :

$ mount | column -t
$ df -h | column -t
$ cat services.csv | column -t -s ','

Weekly #16, fin de la transmission. Remettez vos Gitea à jour et verrouillez vos postes nomades.

Articles connexes

Weekly #15 - Proxmox 9.2, Azure Linux, Plex à 750$

·469 mots·3 mins
Weekly Weekly Proxmox Plex Azure-Linux Github Self-Hosting
En bref # Proxmox VE 9.2 avec Load Balancer natif, SDN BGP/WireGuard, et Debian 13. Microsoft Azure Linux 4.0 : leur première distro grand public, immutable, orientée AI/K8s. Plex Lifetime à 750 $ le 1er juillet. Oui, vous avez bien lu. 3 800 repos GitHub compromis par une extension VS Code malveillante installée par un employé. Jellyfin profite de la panique Plex en « quadruplant » son prix (4 × 0 $ = 0 $).

30 projets open source récemment étoilés sur GitHub

·5635 mots·27 mins
Open Source Open-Source Github Veille Self-Hosting Infra Ia-Locale
L’open source est redevenu bruyant. Très bruyant. Entre les agents IA, les scanners de vulnérabilités, les outils anti-crawlers, les dashboards de monitoring et les apps self-hosted, on peut remplir un serveur en une soirée et le regretter pendant six mois. Le vrai travail n’est plus de trouver des projets. Le vrai travail, c’est de trier. Je mets beaucoup trop d’étoiles sur GitHub. Pas parce que je compte tout installer. Ce serait le meilleur moyen de transformer un homelab en brocante numérique impossible à maintenir. Mais parce qu’une étoile GitHub, bien utilisée, est un marque-page technique. Elle dit : “ce projet répond peut-être à un problème que j’ai déjà rencontré, ou à un problème que je vais rencontrer bientôt” Dans un homelab, le plus dur n’est pas d’installer un projet open source. C’est de savoir s’il mérite encore d’être là dans six mois. C’est exactement pour ça que je garde une veille GitHub : pas pour tout déployer, mais pour repérer les signaux faibles. Cette sélection part donc de mes 30 stars GitHub publiques les plus récentes, récupérées depuis mon profil GitHub foudreclair et plus précisément depuis mes stars publiques. Je ne les présente pas comme un classement, ni comme une recommandation de production. Et surtout, je ne les ai pas tous testés. C’est une photographie de veille : ce qui a attiré mon attention à un moment donné, et ce que ces projets racontent de mes sujets actuels. On y retrouve des thèmes nets : IA, sécurité, infra légère, self-hosting, dev tools, Fediverse, publication web et données personnelles. Ce qui m’intéresse, ce n’est pas la hype. C’est ce que ces projets disent des problèmes que les admins, devs et self-hosters essaient vraiment de résoudre aujourd’hui. Cet article s’adresse surtout aux personnes qui maintiennent un homelab, un petit VPS, un site statique, ou une veille technique personnelle. Anubis m’intéresse particulièrement dans ce contexte, parce qu’il répond à un problème récent et très concret : les petits sites qui subissent le trafic de crawlers automatisés. Je ne l’ai pas encore testé ; je veux justement le faire proprement avec Pangolin, puis en tirer un article dédié sur le duo Pangolin + Anubis. Cette liste est datée : 21 avril 2026. Elle correspond aux 30 dépôts publics les plus récemment étoilés sur mon profil GitHub au moment de la rédaction. Si je change mes stars, l’ordre public sur GitHub peut évoluer, et c’est normal. L’objectif n’est pas de figer un classement, mais de documenter une veille à un instant donné.

Pangolin : exposer CrowdSec Manager derrière le SSO

··2643 mots·13 mins
Infrastructure Infra Sécurité Self-Hosting Pangolin Crowdsec Docker Ansible
Dans le premier article sur Pangolin, j’avais volontairement laissé CrowdSec de côté. Pas parce que CrowdSec n’est pas utile. Au contraire. Mais parce qu’une pile Pangolin doit d’abord être comprise avant d’ajouter des briques de sécurité, des bouncers, des dashboards et des automatisations. Une fois Pangolin stable, la question revient naturellement : Comment visualiser proprement ce que CrowdSec voit et bloque, sans exposer une interface d’administration sensible sur Internet ? C’est là que CrowdSec Manager devient intéressant. L’objectif de ce test est simple : installer CrowdSec Manager à côté de la stack CrowdSec ; ne pas publier son port 8080 sur Internet ; le rendre accessible uniquement via Pangolin ; protéger l’accès avec le SSO Pangolin ; garder les secrets Newt dans Gitea Actions, pas dans Git.