Archives quotidiennes :

Cybersécurité, Mise à jour, Patch, Securite informatique

Firefox 147.0.4 colmate une faille critique libvpx

Mozilla déclenche une mise à jour de sécurité hors cycle pour Firefox. En cause, une vulnérabilité critique dans le décodage vidéo, exploitable à distance via du contenu web piégé.

Mozilla a publié Firefox 147.0.4 pour corriger une vulnérabilité de dépassement de tampon dans le tas, CVE-2026-2447, qui touche la bibliothèque vidéo libvpx utilisée pour VP8 et VP9. La faille, signalée par le chercheur jayjayjazz, est classée « élevée » et a motivé un déploiement coordonné sur plusieurs branches, dont Firefox ESR 140.7.1 et Firefox ESR 115.32.1. Les versions antérieures à ces correctifs sont considérées vulnérables. Le scénario d’attaque décrit repose sur un média ou une page web conçus pour déclencher une corruption mémoire, avec un risque allant du crash à l’exécution de code. Aucun score CVSS n’était communiqué lors de la divulgation.

Une correction hors cycle qui trahit l’urgence

Le détail qui compte, pour les équipes cyber comme pour les utilisateurs, n’est pas seulement la présence d’une CVE. C’est le rythme. Mozilla a choisi une publication hors cycle, donc en dehors du calendrier habituel, pour livrer Firefox 147.0.4. Ce type de décision est rarement confortable, car il bouscule les procédures de validation, les fenêtres de maintenance et les cycles de déploiement en entreprise. S’il arrive, c’est qu’un risque immédiat est jugé crédible.

La confusion observée dans certaines discussions autour de « Firefox v147 » illustre un piège classique côté défense. Ce n’est pas « 147 » qui protège, c’est 147.0.4. La nuance paraît minime à l’écran, mais elle change tout dans un inventaire de parc, un outil de conformité ou une campagne de remédiation. Dans un environnement géré, une version majeure peut être autorisée tandis qu’un correctif mineur reste en attente, et c’est précisément dans cet interstice que se glissent les attaques opportunistes.

Mozilla n’a pas limité l’effort au canal grand public. En parallèle, l’éditeur a déployé des correctifs sur les branches ESR, Firefox ESR 140.7.1 et Firefox ESR 115.32.1. Cette synchronisation est un signal à destination des RSSI et des équipes SOC : l’exposition ne concerne pas un segment marginal, mais aussi les postes réputés « stabilisés », souvent présents dans les administrations et les entreprises. Or, l’ESR est fréquemment choisi pour réduire les changements fonctionnels, pas pour accepter un retard de correctifs sécurité. Quand une faille est classée « élevée » et patchée partout, la fenêtre de risque devient autant organisationnelle que technique.

CVE-2026-2447, quand la vidéo devient un vecteur d’attaque

La vulnérabilité CVE-2026-2447 est décrite comme un dépassement de tampon dans le tas, un heap overflow, au sein de libvpx, bibliothèque mobilisée par Firefox pour traiter VP8 et VP9. Ces formats étant largement utilisés sur le web, la surface d’attaque est mécaniquement large. Là où certains bogues exigent une action volontaire, un import de fichier ou une option activée, le décodage vidéo s’insère dans une navigation ordinaire, souvent automatique, parfois en arrière-plan.

Techniquement, un dépassement de tampon dans le tas survient lorsqu’un programme écrit au-delà de la mémoire qui lui a été allouée dynamiquement. Le résultat n’est pas seulement un plantage. En écrasant des zones adjacentes, l’erreur peut ouvrir la porte à une corruption mémoire contrôlée, et donc, dans les scénarios les plus graves, à l’exécution de code arbitraire. Dans le contexte d’un navigateur, cela signifie qu’un contenu vidéo spécialement conçu, ou un flux multimédia intégré à une page, peut devenir une charge utile. L’attaque n’a alors plus besoin d’un exécutable téléchargé : la page fait le travail.

Le texte de contexte le souligne, il suffirait à une victime de consulter un site compromis ou malveillant, ou d’ouvrir une vidéo truquée, pour déclencher la condition de dépassement. C’est le modèle typique du téléchargement furtif, où l’arme se confond avec la consommation normale du web. Et c’est aussi, du point de vue du renseignement sur la menace, le type de faille qui intéresse des acteurs patients : une primitive de corruption mémoire dans une chaîne multimédia est un point d’entrée discret, compatible avec des scénarios d’hameçonnage ciblé comme avec des campagnes plus larges.

À la divulgation, aucune exploitation à grande échelle n’était confirmée. Cette absence de signal ne doit toutefois pas être interprétée comme une absence de risque. Les failles de corruption mémoire sont régulièrement privilégiées parce qu’elles peuvent, une fois maîtrisées, fournir des résultats fiables. L’équation est connue des défenseurs : dès qu’un correctif est public, les acteurs malveillants peuvent comparer les changements et accélérer l’industrialisation de tentatives d’exploitation. L’enjeu, ici, est donc la vitesse de patch, et la qualité de l’inventaire.

Mozilla indique que les versions de Firefox antérieures à 147.0.4 sont vulnérables, que les ESR antérieures à 140.7.1 et 115.32.1 le sont aussi, et recommande une mise à jour immédiate. La voie la plus directe passe par le mécanisme interne, Aide puis À propos de Firefox, qui déclenche la recherche et l’installation. Pour les environnements ESR, la priorité est de réduire le délai entre disponibilité du correctif et déploiement effectif, car c’est dans ce délai que la menace a le plus de valeur opérationnelle.

Cybersécurité, IA, Mise à jour

Modes « Lockdown » et « Elevated Risk » : le pari d’OpenAI

OpenAI change de méthode contre l’injection de prompts, ces attaques qui profitent des connexions réseau des IA. Avec « Lockdown » et « Elevated Risk », la défense passe par des verrous d’infrastructure, pas seulement par le modèle.

OpenAI a annoncé deux mesures de sécurité visant les attaques par injection de prompts, devenues plus menaçantes à mesure que les assistants IA se connectent au web et aux applications. Le mode « Lockdown » cible des profils à haut risque en imposant des restrictions déterministes qui réduisent la surface d’attaque et bloquent l’exfiltration de données, même si un contenu externe tente de manipuler le système. En parallèle, les étiquettes « Elevated Risk » signalent aux utilisateurs les fonctions réseau qui augmentent l’exposition, notamment dans Codex. L’approche revendique une sécurité par couches, combinant verrous techniques, contrôle d’accès et journalisation.

Le mode « Lockdown », un confinement pensé pour l’exfiltration

Le cœur du mode « Lockdown » tient en une idée simple, mais lourde de conséquences : empêcher physiquement certaines actions plutôt que demander au modèle de « bien se comporter ». OpenAI présente ce réglage comme une option pour un public restreint, cadres dirigeants, équipes sécurité, organisations manipulant des informations très sensibles, susceptibles d’être ciblés par des menaces avancées. Le message implicite est clair : quand l’adversaire peut influencer ce que l’IA lit, il peut tenter de piloter ce que l’IA fait.

La protection centrale concerne la navigation. En « Lockdown », l’accès au web est limité à du contenu mis en cache. Autrement dit, aucune requête réseau en direct n’est censée sortir de l’environnement contrôlé par OpenAI. Cette contrainte vise un scénario devenu classique en cyber : une page malveillante glisse des instructions cachées dans son contenu, puis pousse l’assistant à divulguer des éléments de conversation ou des données internes, en les envoyant vers une infrastructure externe. Ici, même si la manipulation est persuasive, l’action d’exfiltration perd son vecteur principal, la sortie réseau.

Le verrouillage ne s’arrête pas à la navigation. OpenAI indique désactiver des capacités qui ne permettent pas de garanties « déterministes » robustes sur la protection des données. Concrètement, certaines fonctions sont coupées : pas d’images dans les réponses, pas de recherche approfondie, pas de mode agent. Autre point sensible, l’approbation par l’utilisateur d’un code généré via Canvas pour accéder au réseau est bloquée. Enfin, le système ne peut pas télécharger automatiquement des fichiers pour des analyses de données, même si les documents importés manuellement restent exploitables. Le fil rouge est la réduction drastique des chemins involontaires par lesquels une information pourrait sortir.

Sur le plan de la gouvernance, l’activation passe par l’administration de l’espace de travail. Les offres citées incluent ChatGPT Enterprise, Edu, Healthcare et Teachers. Les administrateurs créent des rôles dédiés dans les réglages du workspace et conservent une granularité sur les applications et les actions autorisées, y compris quand « Lockdown » est enclenché. En arrière-plan, OpenAI met en avant la journalisation via la plateforme de logs de l’API de conformité, pour suivre l’usage des applications, les données partagées et les sources connectées. Dans cette logique, la sécurité ne repose pas sur une promesse abstraite, mais sur des paramètres, des droits et des traces.

OpenAI précise enfin que ce mode n’est pas destiné à la majorité. La fonctionnalité vise un petit ensemble d’utilisateurs exposés, avec un niveau d’exigence élevé. Un déploiement grand public est évoqué « dans les prochains mois », après la phase entreprise, signe que l’éditeur traite cette option comme une posture extrême, pas comme un défaut universel.

Étiquettes « Elevated Risk », rendre visible ce qui reste fragile

En complément du confinement, OpenAI introduit une signalétique : des mentions « Elevated Risk » apposées sur les fonctionnalités réseau qui augmentent l’exposition. L’objectif n’est pas d’interdire, mais d’éclairer. L’étiquetage est annoncé dans ChatGPT, ChatGPT Atlas et Codex lorsque l’utilisateur active des capacités connectées susceptibles d’ouvrir des failles non totalement résolues. La nuance est importante : OpenAI reconnaît que, dans l’état actuel du secteur, certaines surfaces de risque ne se « corrigent » pas parfaitement.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

L’exemple le plus parlant concerne Codex. Les développeurs peuvent autoriser l’accès réseau pour consulter de la documentation ou interagir avec des sites. Désormais, l’écran de réglages affiche une mention « risque élevé » qui explicite ce que change l’activation, les dangers associés et les contextes où ce choix peut se justifier. La promesse est pédagogique : faire comprendre qu’un bouton « réseau » n’est pas une option neutre, mais une bascule de menace.

Autre élément notable, OpenAI affirme que ces étiquettes ont vocation à disparaître au fur et à mesure que des améliorations réduiront les risques identifiés. Le système se veut dynamique, avec des mises à jour régulières des fonctions marquées, afin de mieux communiquer sur l’état réel de la menace. Dit autrement, l’éditeur admet que le risque n’est pas binaire : il évolue selon les atténuations disponibles, les usages et la sophistication des attaques.

Tout cela s’inscrit dans une défense « par couches » déjà évoquée : sandboxing, protections contre l’exfiltration via URL, mécanismes de supervision et d’application des règles, plus les contrôles entreprise classiques, gestion des rôles et journaux d’audit. Le constat sous-jacent est celui que les équipes sécurité voient chaque jour : quand une IA lit, agit et se connecte, la simple filtration de contenu ne suffit plus face à des injections de prompts conçues pour contourner les garde-fous.

Dans cette bataille, « Lockdown » et « Elevated Risk » traduisent un glissement vers une cyberstratégie de renseignement défensif : réduire les capacités exploitables, rendre les risques visibles, et laisser moins de place aux illusions d’obéissance du modèle.

Communiqué de presse, Cybersécurité, Entreprise

Les Émirats bloquent une offensive cyber dite terroriste

En pleine montée des usages numériques du Ramadan, les Émirats arabes unis disent avoir stoppé une campagne coordonnée mêlant infiltration, rançongiciels et hameçonnage, avant toute rupture de services essentiels.

Le Conseil de cybersécurité des Émirats arabes unis a annoncé samedi que les défenses nationales ont déjoué des cyberattaques terroristes organisées visant l’infrastructure numérique et des secteurs vitaux. Selon l’autorité, la campagne combinait intrusion réseau, déploiement de rançongiciels et hameçonnage systématique contre des plateformes nationales. Le Conseil met en avant un tournant tactique, avec l’usage d’outils offensifs dopés à l’intelligence artificielle.

Un récit de riposte, peu de traces exploitables

les Émirats arabes unis veulent peser dans le monde de la cybersécurité. Depuis quelques années, petit à petit, ils montent en puissance. Le communiqué que vient de diffuser le CERT UEA pose un décor de crise, une attaque pensée pour déstabiliser et perturber des services essentiels, mais laisse le lecteur face à une zone grise. Le Conseil de cybersécurité décrit une opération coordonnée, avec trois briques classiques d’une campagne moderne, l’accès initial par infiltration, la pression par rançongiciel, l’industrialisation du leurre par hameçonnage. L’élément mis en avant est l’intelligence artificielle, présentée comme un accélérateur de sophistication, et comme la preuve que des organisations extrémistes s’approprient des technologies autrefois réservées à des États ou à des réseaux cybercriminels structurés.

Dans ce type d’annonce, la formulation compte autant que le contenu. Qualifier l’attaque d’« acte terroriste » rehausse le niveau politique du signal, surtout lorsqu’aucun groupe n’est nommé. Le Conseil ne précise ni secteurs touchés, ni fenêtre temporelle, ni méthode de détection, ni vecteur d’entrée, ni infrastructure réellement ciblée. Cette absence verrouille l’analyse, impossible de distinguer une action d’un groupe idéologique, un montage de faux drapeau, ou un opportunisme criminel profitant d’un contexte régional tendu. Elle empêche aussi de relier les faits à une famille de rançongiciels, à une chaîne d’hameçonnage, ou à un mode opératoire récurrent.

Le Conseil insiste, en revanche, sur la mécanique défensive, surveillance continue, blocage précoce, coopération entre fournisseurs, entités nationales et internationales, organisations spécialisées, appui sur des partenariats stratégiques et une expertise technique internationale. Derrière cette liste, un enjeu de renseignement affleure, réduire le temps entre le signal faible et la neutralisation, partager des indicateurs, couper les relais, et éviter qu’un incident technique ne se transforme en crise d’État. La priorité affichée, sécurité des personnes, protection des données personnelles, continuité des services critiques, vise autant à rassurer qu’à rappeler que la surface d’attaque d’un pays moderne est désormais indissociable de sa vie quotidienne.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Ramadan, IA et pression psychologique sur les victimes

Le calendrier n’est pas neutre. L’annonce coïncide avec le début du Ramadan, période de hausse des dons et des transactions en ligne aux Émirats arabes unis et plus largement dans le monde musulman. Le Conseil appelle les résidents à redoubler de prudence, notamment lorsqu’il s’agit de dons, de partage d’informations personnelles, ou de mouvements financiers. C’est un rappel d’hygiène numérique, mais aussi une lecture de la menace, les attaquants aiment les pics saisonniers, car l’émotion et l’urgence accélèrent les clics, et réduisent la vérification.

Le texte élargit d’ailleurs le cadre, en rappelant que les périodes de célébrations religieuses sont des fenêtres propices à la fraude et à l’ingénierie sociale. Le Conseil avait déjà diffusé des recommandations sur la protection des données et la prévention de la fraude, en alertant sur le risque de vol d’identifiants et d’informations financières lorsque les paiements numériques augmentent. Dans cette logique, l’intelligence artificielle change l’échelle, elle permet de produire des messages crédibles, d’adapter les scénarios culturels, de tester rapidement des variantes, et de cibler plus finement, jusqu’à simuler un ton institutionnel ou caritatif.

L’arrière-plan régional est posé, les pays du Moyen-Orient feraient face à des attaques persistantes mêlant organisations terroristes, acteurs étatiques et cybercriminalité motivée par le profit. Les secteurs critiques cités comme à forte valeur, énergie, télécommunications, transports, services financiers, sont ceux où un incident peut créer des effets en cascade. Le Conseil souligne aussi une volumétrie déjà alarmante, « entre 90 000 et 200 000 tentatives d’intrusion ciblent chaque jour l’infrastructure des Émirats arabes unis ». La fourchette est large, mais le message est clair, l’attaque est devenue un bruit de fond permanent, automatisé, accessible, et donc plus difficile à contenir sans industrialiser la défense.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

DÉCOUVRIR L’OUTIL CTI

Le pays met en avant des orientations de long terme, dont la cryptographie post-quantique et la coopération avec QuantumGate, plateforme nationale axée sur une cybersécurité résiliente aux attaques quantiques. Le Dr Mohammed Al Kuwaiti, responsable de la cybersécurité au sein du gouvernement des Émirats arabes unis, résume la doctrine, anticiper plutôt que subir.

Au final, l’annonce revendique une victoire défensive, mais elle laisse volontairement peu d’éléments vérifiables, signe que la bataille se joue aussi dans la maîtrise de l’information, autant que dans les journaux d’événements.

Cybersécurité, IA, Mise à jour, Patch, Securite informatique

Claude Code Security, Anthropic veut industrialiser l’audit IA

Anthropic ajoute à Claude Code un scanner de vulnérabilités pensé pour les entreprises, avec une promesse simple, lire une base de code, détecter les failles, proposer des correctifs, puis laisser l’humain décider.

Anthropic annonce Claude Code Security, une fonctionnalité de sécurité intégrée à Claude Code capable d’analyser le code d’un utilisateur, de repérer des vulnérabilités et de suggérer des correctifs. Le déploiement démarre en accès limité pour des clients entreprises et des équipes pilotes. L’éditeur affirme s’appuyer sur plus d’un an de tests de résistance menés par ses spécialistes, incluant des exercices Capture the Flag et un travail avec le Pacific Northwest National Laboratory pour améliorer la précision. L’outil promet une vérification en plusieurs étapes afin de réduire les faux positifs, un classement par gravité et une approche orientée flux de données.

Une promesse d’analyse « comme un chercheur humain »

Anthropic avance un pari clair, l’IA va devenir un passage quasi obligé dans l’examen du code. Dans son discours, l’argument n’est pas seulement la vitesse, mais le changement d’échelle. L’entreprise estime qu’une fraction importante du code mondial pourrait être passée au crible par des modèles dans un futur proche, à mesure que ces systèmes gagnent en efficacité pour révéler des bugs et des faiblesses de sécurité restés invisibles. La tension, elle, est immédiate, ce qui accélère la protection accélère aussi l’attaque.

Claude Code Security est présenté comme un module qui « lit » une base de code et en reconstruit la logique, à la manière d’un analyste. L’outil ne se limiterait pas à pointer des motifs suspects, il chercherait à comprendre comment les composants interagissent, à suivre les chemins empruntés par les données, puis à isoler des défauts majeurs que des approches classiques d’analyse statique peuvent manquer. Dans ce scénario, la valeur n’est pas seulement la détection, mais la contextualisation, autrement dit relier une faiblesse à un flux, une entrée, une dépendance, un composant, et à un impact.

Pour réduire le bruit, Anthropic décrit un mécanisme de contrôle interne. Chaque détection passerait par une validation en plusieurs étapes avant d’être transmise à un analyste, puis le modèle « se relirait » lui-même, afin de confirmer ou d’infirmer ses propres conclusions et de limiter les faux positifs. Les résultats seraient ensuite hiérarchisés par gravité, pour guider les équipes vers ce qui doit être corrigé en premier. Le processus mis en avant reste, au bout de la chaîne, une boucle de décision humaine, l’utilisateur approuve les modifications avant tout déploiement.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Une mise en production prudente, et une règle clé sur les droits

Le lancement, lui, est encadré. Anthropic indique que Claude Code Security sera d’abord réservé à un groupe restreint de clients entreprises et d’équipes, dans une phase de test. L’annonce s’appuie sur un récit de robustesse construit sur la durée, plus d’un an de tests de résistance par une équipe interne d’experts cybersécurité, des participations à des compétitions de type Capture the Flag, et une collaboration avec le Pacific Northwest National Laboratory, présentée comme un levier pour améliorer la précision des analyses.

En filigrane, l’entreprise vise un basculement culturel, celui du « vibe coding », cette manière de produire plus vite en s’appuyant sur l’IA pour écrire et assembler des morceaux de logiciel. Anthropic soutient que, si cette pratique se diffuse, la demande d’analyses automatisées de vulnérabilités pourrait dépasser le besoin d’audits manuels. L’argument est pragmatique, si davantage de code est généré plus vite, alors davantage de code doit être audité plus vite, sinon la dette de sécurité enfle. Dans cette logique, un scanner directement intégré au flux de développement pourrait, potentiellement, réduire le nombre de failles, à condition que l’automatisation n’endorme pas la vigilance.

Mais la même capacité de lecture rapide et d’exploration systématique intéresse aussi l’adversaire. Le texte souligne que des cybercriminels peuvent, eux aussi, utiliser des modèles pour cartographier plus vite l’environnement d’une victime et y trouver des points d’entrée exploitables. C’est le dilemme classique du renseignement technique, un outil qui améliore la visibilité des défenseurs peut aussi accélérer la reconnaissance et la sélection de cibles côté attaquants. D’où l’enjeu, non seulement de détecter, mais de qualifier, prioriser et corriger sans délai.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

DÉCOUVRIR L’OUTIL CTI

Des chercheurs spécialisés dans les menaces nuancent l’enthousiasme. Oui, les capacités ont progressé, mais elles seraient souvent plus à l’aise sur des failles modestes, tandis que des opérateurs chevronnés restent indispensables, notamment pour piloter le dispositif et traiter les vulnérabilités et menaces de haut niveau. En parallèle, certains outils, comme Claude Opus et XBOW, ont déjà montré qu’ils pouvaient découvrir des centaines de vulnérabilités logicielles, rendant parfois la chasse et la correction nettement plus rapides qu’une équipe humaine seule.

Anthropic revendique aussi un saut de performance côté modèle, en affirmant que Claude Opus 4.6 est « nettement meilleur » pour repérer des vulnérabilités de haute gravité que les versions antérieures, avec, dans certains cas, des défauts qui seraient restés indétectés pendant des décennies. L’accès, enfin, s’accompagne d’une contrainte juridique et éthique explicite, les testeurs doivent s’engager à n’utiliser l’outil que sur du code appartenant à leur entreprise, et pour lequel ils disposent de tous les droits nécessaires à l’analyse, à l’exclusion du code de tiers, sous licence, ou de projets open source.

Au fond, Claude Code Security illustre une bascule de la cyber-intelligence, l’audit devient un flux continu, mais la bataille se joue toujours sur la qualité du tri, de la preuve, et de la décision.