Archives quotidiennes :

Adobe, Cybersécurité, Mise à jour, Patch, Securite informatique

Faille critique SessionReaper : Adobe Commerce sous haute menace

Adobe alerte sur la faille SessionReaper (CVE-2025-54236) qui menace Adobe Commerce et Magento. Exploitable via l’API REST, elle expose directement les comptes clients à une prise de contrôle.

Aprés Apple et Microsoft, Adobe a publié un avis de sécurité concernant CVE-2025-54236, surnommée SessionReaper. La vulnérabilité, notée 9,1/10 au CVSS, touche Adobe Commerce, Magento Open Source et Adobe Commerce B2B. Exploitable via l’API REST, elle permet à un attaquant de s’emparer de comptes clients. Aucun cas d’exploitation n’a été détecté pour l’instant, mais l’éditeur insiste sur l’urgence d’appliquer le correctif VULN-32437-2-4-X. Les environnements cloud bénéficient de règles WAF temporaires, mais seul le patch garantit une protection durable. Découverte par le chercheur blaklis, la faille illustre la fragilité des plateformes e-commerce face aux attaques ciblant directement les données utilisateurs et leurs parcours transactionnels.

SessionReaper, une faille critique révélée

SessionReaper, identifiée sous CVE-2025-54236, résulte d’une validation insuffisante des entrées dans l’API REST d’Adobe Commerce. Selon Adobe, un acteur malveillant pourrait détourner cette faiblesse pour prendre la main sur des comptes clients. L’éditeur a publié son avertissement sous la référence APSB25-88 et attribue à la faille une sévérité de 9,1 sur 10 dans l’échelle CVSS.

Le risque principal réside dans la compromission directe des données clients, un scénario particulièrement dangereux pour des plateformes marchandes. La faille affecte les versions 2.4.9-alpha2 et antérieures d’Adobe Commerce et de Magento Open Source, ainsi que la branche 1.5.3-alpha2 et antérieures d’Adobe Commerce B2B. Le module Custom Attributes Serializable, utilisé entre les versions 0.1.0 et 0.4.0, est également concerné.

Pour Adobe, il s’agit d’une vulnérabilité critique, non exploitée pour l’heure, mais dont le potentiel destructeur impose une réaction rapide des administrateurs. L’entreprise prévient que son assistance sera limitée en cas de retard dans l’application des correctifs.

Le correctif et ses conditions de déploiement

Le correctif officiel est publié sous l’identifiant VULN-32437-2-4-X. Il doit être appliqué sans délai sur toutes les instances vulnérables. Les utilisateurs du module Custom Attributes Serializable doivent quant à eux migrer vers la version 0.4.0 ou supérieure, via la commande Composer appropriée.

Adobe propose un outil de vérification, le Quality Patches Tool, qui permet de confirmer l’application effective du patch. La commande de contrôle fournit un statut « Applied » une fois le correctif installé, apportant aux administrateurs la certitude de disposer d’une protection active.

Pour les clients hébergés dans l’environnement Commerce Cloud, Adobe a mis en place des règles de Web Application Firewall destinées à bloquer les tentatives d’exploitation connues. Ces mesures sont toutefois qualifiées de temporaires et ne dispensent pas du déploiement du correctif officiel. Les clients de services managés sont invités à contacter leur Customer Success Engineer afin d’obtenir un accompagnement spécifique.

Un signal fort pour l’écosystème e-commerce

La faille a été signalée par le chercheur indépendant blaklis, qui a révélé à Adobe le fonctionnement de SessionReaper. L’éditeur souligne qu’aucun cas d’exploitation active n’est documenté. Cependant, le scénario théorique reste préoccupant : un assaillant qui obtiendrait le contrôle de comptes clients pourrait accéder à des informations sensibles, détourner des transactions ou lancer des fraudes massives.

Ce type de vulnérabilité démontre la valeur stratégique des données clients pour les cyberattaquants. Les plateformes de commerce électronique constituent des cibles privilégiées en raison des volumes financiers et des informations personnelles qu’elles centralisent.

L’urgence de la mise à jour découle autant du niveau de criticité technique que de l’attrait économique de telles données sur le marché noir. La diffusion rapide du correctif vise à réduire la fenêtre de tir potentielle avant que des groupes malveillants ne développent un code d’exploitation opérationnel.

Cybersécurité, Entreprise, loi, Securite informatique

Chine : signalement en urgence des cyberattaque

La Chine impose dès novembre 2025 un délai d’une heure pour déclarer les incidents de cybersécurité graves, renforçant ainsi son contrôle sur les réseaux et infrastructures critiques.

Pékin introduit une réglementation stricte obligeant les opérateurs à signaler sous une heure tout incident « particulièrement grave » de cybersécurité. L’Administration chinoise du cyberespace (CAC) supervise cette mesure, qui reflète une intensification de la surveillance étatique après plusieurs affaires sensibles, dont une sanction contre Dior à Shanghai pour transfert illégal de données. Le dispositif, applicable dès le 1er novembre 2025, définit des seuils précis pour classer la gravité des attaques ou pannes et prévoit des sanctions financières lourdes en cas de manquement.

Signalement accéléré des cyberincidents

Les nouvelles règles imposent un signalement d’urgence en cas d’attaque majeure. Les opérateurs de réseau doivent informer les autorités en une heure. Celles-ci transmettent ensuite l’alerte à l’Administration nationale du cyberespace et au Conseil d’État dans un délai de trente minutes. Les incidents sont classés en quatre niveaux, « particulièrement grave » étant le plus critique. Cette catégorie inclut des cyberattaques ou pannes affectant les portails gouvernementaux, les infrastructures vitales ou les sites d’information nationaux pendant plus de 24 heures, ou encore une panne de six heures touchant l’ensemble d’une infrastructure.

La réglementation couvre aussi les atteintes à grande échelle aux services publics, de transport ou de santé. Sont concernés les cas où plus de 50 % d’une province ou plus de 10 millions de citoyens voient leur quotidien perturbé. Les violations massives de données entrent également dans ce champ, dès lors qu’elles affectent plus de 100 millions de personnes ou causent un préjudice financier supérieur à 100 millions de yuans (13 millions d’euros).

Critères renforcés pour les attaques

Les cyberattaques massives affichant du contenu interdit sur un site gouvernemental ou un portail d’information majeur constituent une menace prioritaire si elles persistent plus de six heures ou atteignent une audience d’un million de vues. Elles sont aussi considérées critiques si le contenu est partagé plus de 100 000 fois sur les réseaux sociaux.

Le niveau « grave » concerne les attaques perturbant les sites d’administrations locales ou provinciales plus de six heures, ou les infrastructures essentielles pendant plus de trois heures. Des fuites de données touchant plus de 10 millions de personnes, ou un million dans une grande ville, relèvent aussi de cette catégorie.

Chaque opérateur doit remettre sous 30 jours un rapport détaillé décrivant causes, réponses et enseignements après un incident. Cette exigence prolonge la loi chinoise sur la cybersécurité de 2017 et les textes complémentaires de 2016 et 2021 sur la protection des infrastructures critiques.

Vers des sanctions plus lourdes

En parallèle, le Comité permanent de l’Assemblée populaire nationale étudie un durcissement des sanctions. Les opérateurs d’infrastructures critiques négligents pourraient être sanctionnés de 500 000 à 10 millions de yuans (66 000 à 1,32 millions €). Les responsables directs encourraient jusqu’à 1 million de yuans (132 000 €).

Les opérateurs de réseau qui omettent d’empêcher la diffusion de contenus interdits s’exposeraient à des amendes de 50 000 à 500 000 yuans (≈ 6 600 à 66 000 €). Ce projet de loi traduit une volonté de responsabiliser les acteurs du numérique tout en consolidant le contrôle centralisé de la cybersécurité.

La Chine fait de la rapidité de réaction un enjeu national de cybersécurité. Reste à savoir si cette obligation de signalement instantané renforce réellement la résilience technique, ou surtout le contrôle étatique sur les flux numériques.

Apple, Cybersécurité, Logiciels, Mise à jour, OS X, Patch, Securite informatique

Apple colmate 77 failles dans macOS et 27 dans iOS

Apple publie ses nouveaux systèmes iOS, iPadOS et macOS, corrigeant plus de cent vulnérabilités. Mais l’entreprise reste discrète sur leur gravité et sur tout signe d’exploitation active.

Apple vient de déployer iOS 26, iPadOS 26 et macOS 26, corrigeant 27 failles sur mobiles et 77 sur ordinateurs. Les correctifs couvrent aussi Safari, watchOS, visionOS et Xcode. Contrairement à son intervention d’août face à une attaque sophistiquée, Apple n’évoque cette fois aucun cas d’exploitation en cours. Des failles critiques, notamment dans PackageKit et StorageKit, pourraient pourtant permettre l’obtention de privilèges root sur macOS. L’entreprise reste fidèle à sa ligne de communication minimaliste, sans détail de sévérité. En parallèle, les appareils plus anciens restent bloqués sur iOS 18.7 ou macOS 15.7, recevant uniquement des correctifs de sécurité majeurs.

Nouveaux correctifs, anciennes inquiétudes

Apple a diffusé lundi ses nouveaux systèmes d’exploitation numérotés selon l’année de sortie, une nouveauté présentée comme une simplification. iOS 26 et iPadOS 26 corrigent 27 vulnérabilités, tandis que macOS 26 en traite 77. Certaines failles touchaient l’ensemble des plateformes, confirmant la proximité croissante entre les architectures mobiles et ordinateurs.

La nouvelle interface dite « liquid glass » attire l’attention côté design, mais l’enjeu principal demeure la cybersécurité. Les utilisateurs d’appareils lancés avant 2019, non compatibles avec ces versions, doivent se tourner vers iOS 18.7, iPadOS 18.7 ou macOS 15.7, mises à jour de maintenance centrées sur les vulnérabilités critiques.

Un contraste avec les correctifs d’urgence

Le mois dernier, Apple avait dû réagir en urgence face à une attaque qualifiée d’« extrêmement sophistiquée », exploitant la faille CVE-2025-43300 contre des cibles précises. Depuis janvier, cinq vulnérabilités zero-day activement exploitées ont été corrigées, preuve de l’intérêt constant des attaquants pour l’écosystème Apple. Sept de ces failles ont même été intégrées au catalogue des vulnérabilités exploitées tenu par la CISA, soulignant leur criticité pour les infrastructures sensibles.
Cette fois, aucun signe d’attaque en cours n’a été rapporté.

L’absence d’indicateur de sévérité dans les bulletins Apple est classique pour la Grosse Pomme. Contrairement à d’autres éditeurs, la firme se contente d’énumérer les failles, sans notation selon le CVSS, limitant la visibilité des responsables sécurité.

Failles critiques sur macOS

Deux vulnérabilités corrigées dans macOS attirent particulièrement l’attention des chercheurs : CVE-2025-43298 (PackageKit) et CVE-2025-43304 (StorageKit). Leur exploitation pourrait offrir à un attaquant un accès root, ouvrant la voie à une compromission totale du système.

Côté iOS, le volume de corrections reste notable, mais aucune faille n’inspire de crainte immédiate, selon Childs. Le contraste est frappant : si le risque d’exploitation n’est pas confirmé, la surface d’attaque reste considérable. En complément, Apple a publié sept correctifs pour Safari 26, 19 pour watchOS 26, 18 pour visionOS 26 et cinq pour Xcode 26, preuve de l’ampleur des vulnérabilités touchant tout l’écosystème.

Avec plus de cent vulnérabilités corrigées mais sans alerte d’exploitation active, Apple continue de pratiquer une communication minimaliste. La question reste entière : comment évaluer la criticité des failles Apple en l’absence de notation officielle ?

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.

backdoor, Cybersécurité, Espionnage Spy, Justice

Meta accusée de graves manquements en cybersécurité

Un ex-employé de WhatsApp accuse Meta d’avoir ignoré des failles critiques et d’avoir réprimé ses alertes. L’affaire implique Mark Zuckerberg et relance le débat sur la transparence des géants du numérique.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaullah Baig, ancien ingénieur de WhatsApp, affirme que des centaines de salariés pouvaient accéder sans restriction aux données sensibles des utilisateurs. Il accuse Meta d’avoir violé un accord conclu avec la FTC en 2020, de ne pas avoir signalé ces risques à la SEC et de l’avoir licencié après ses alertes. L’entreprise conteste, évoquant un collaborateur de faible niveau et mal noté. Mais le procès, qui met en cause directement Zuckerberg, soulève une question centrale : la gouvernance interne de Meta est-elle compatible avec la sécurité des données de milliards d’usagers ?

Des accusations directes contre la gouvernance de Meta

L’affaire débute par une série de découvertes que Baig dit avoir faites au sein de WhatsApp. Selon lui, des centaines d’ingénieurs disposaient d’un accès illimité aux informations personnelles des utilisateurs. Cet accès, décrit comme injustifié et incontrôlé, contreviendrait frontalement à l’engagement pris par Meta en 2020 devant la Federal Trade Commission (FTC). L’accord, conclu après plusieurs scandales liés à la vie privée, imposait un contrôle strict des accès internes et une responsabilisation accrue des dirigeants.

Baig soutient que non seulement ces obligations n’ont pas été respectées, mais que l’entreprise aurait sciemment fermé les yeux sur les vols de comptes. Les signalements de compromission d’identités numériques, fréquents sur WhatsApp, auraient été minimisés dans la communication interne et externe. L’ingénieur affirme aussi que Meta a manqué à ses devoirs de transparence envers la Securities and Exchange Commission (SEC) en omettant de déclarer ces risques dans les documents officiels remis aux investisseurs. Cette omission pourrait être assimilée à une fraude boursière.

Selon sa plainte, Baig a personnellement alerté Mark Zuckerberg, directeur général de Meta, et Will Cathcart, patron de WhatsApp. Plutôt que de traiter les failles, il décrit une réaction hostile : dénigrement de ses performances, microgestion intrusive et démantèlement des fonctionnalités de sécurité conçues par son équipe. Estimant avoir été victime de représailles, il a ensuite saisi la SEC. Peu après, il a été licencié.

Aujourd’hui, l’ancien ingénieur réclame sa réintégration, des compensations financières et un procès devant jury. Pour Meta, l’affaire ne repose sur rien : les représentants du groupe affirment que Baig n’était pas un responsable sécurité mais un simple manager de développement logiciel de niveau junior, dont les résultats jugés médiocres justifiaient le licenciement.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces qui vous visent avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Entre obligations réglementaires et enjeux stratégiques

L’aspect juridique de l’affaire repose sur deux points clés : le respect de l’accord FTC de 2020 et la communication à la SEC. L’accord imposait à Meta un dispositif de contrôle interne renforcé, notamment sur la gestion des accès aux données personnelles. Tout manquement à ces obligations pourrait exposer l’entreprise à de lourdes sanctions.

La SEC, de son côté, sanctionne toute dissimulation d’informations pouvant influencer les investisseurs. Si les accusations de Baig sont confirmées, Meta pourrait être poursuivie pour avoir présenté une image trompeuse de sa maîtrise des risques liés à la sécurité et à la confidentialité.

Au-delà du droit, le dossier révèle la tension permanente entre impératifs économiques et exigences de cybersécurité. WhatsApp, propriété de Meta depuis 2014, compte plus de deux milliards d’utilisateurs. Toute faille ou compromission massive aurait un impact mondial. L’accusation d’accès incontrôlé à grande échelle questionne directement la capacité du groupe à protéger les données sensibles, alors même que son modèle repose sur la confiance des utilisateurs et des annonceurs.

La défense de Meta s’appuie sur des éléments factuels : le département du Travail américain a déjà rejeté une plainte antérieure de Baig, estimant que son licenciement ne relevait pas de représailles. Pour l’entreprise, il s’agit donc d’un contentieux personnel monté en épingle. Mais le fait que l’affaire cite explicitement Mark Zuckerberg met sous tension la communication du groupe.

Cybersécurité et renseignement : une faille stratégique

L’accusation centrale, celle d’un accès illimité aux données utilisateurs par un trop grand nombre d’ingénieurs, mérite une lecture stratégique. Dans toute organisation numérique, la gestion des accès est l’un des piliers de la cybersécurité. Multiplier les accès sans justification augmente mécaniquement les risques d’abus, d’espionnage industriel ou d’ingérences étatiques.

Pour une plateforme mondiale comme WhatsApp, utilisée aussi bien par des particuliers que par des entreprises, des ONG ou des responsables politiques, la question prend une dimension de renseignement. L’hypothèse qu’un nombre élevé d’employés ait pu explorer les données personnelles ouvre la possibilité d’une exploitation malveillante interne ou externe.

Les services de renseignement, qui suivent de près les pratiques des grandes plateformes, s’intéressent à ce type de faille. Une infrastructure comptant des milliards d’utilisateurs représente une cible idéale pour l’espionnage, qu’il soit mené par des acteurs étatiques ou criminels. Les accusations de Baig, si elles se vérifient, signifieraient que Meta aurait facilité malgré elle la tâche de tout acteur souhaitant infiltrer ses systèmes.

La portée de l’affaire dépasse donc largement le cas d’un licenciement contesté. Elle interroge sur la gouvernance de la donnée au sein d’une entreprise devenue un nœud stratégique de communication mondiale.

Une crise de confiance pour Meta ?

Le groupe de Menlo Park se trouve à nouveau confronté à une crise de confiance. Depuis Cambridge Analytica, Meta traîne une réputation fragile en matière de protection des données. Chaque révélation ou accusation relance les doutes sur sa capacité à garantir la confidentialité.

Pour les régulateurs, cette affaire pourrait devenir un test. Si le procès confirme les accusations, la FTC et la SEC seraient contraintes de durcir encore leur contrôle. Si, au contraire, les arguments de Meta l’emportent, le cas illustrerait la difficulté pour un lanceur d’alerte interne de se faire entendre dans un groupe tentaculaire.

Dans les deux scénarios, l’impact est réel : la question de la sécurité des données chez Meta reste ouverte. La mention directe de Zuckerberg dans le dossier montre que la responsabilité personnelle des dirigeants est désormais au cœur des débats.

La cybersécurité, longtemps traitée comme une fonction technique, devient ici un enjeu de gouvernance et de confiance publique. Dans un monde où la donnée est ressource stratégique, chaque faille non traitée peut se transformer en crise globale.

Au-delà du conflit personnel entre un ex-ingénieur et son employeur, l’affaire Baig révèle les tensions profondes qui traversent les géants du numérique : comment concilier croissance, gouvernance et sécurité dans un environnement où la donnée est devenue cible de convoitises multiples ? La justice américaine devra déterminer si Meta a failli à ses obligations. Mais la question qui reste est plus large : si même un acteur central comme WhatsApp ne parvient pas à maîtriser ses accès internes, quels garde-fous restent aux utilisateurs et aux États face aux risques d’ingérence ?

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Sources