Archives de catégorie : Mise à jour

backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Vulnérabilités 7-Zip : sortie du répertoire et exécution à distance

Deux failles critiques de 7-Zip permettent l’évasion du répertoire de travail via des symlinks dans des ZIP malveillants. Mettez à jour ou désactivez l’extraction automatique.

Deux vulnérabilités désignées CVE-2025-11001 et CVE-2025-11002, cotées 7,0 CVSS, exposent 7-Zip à des attaques par archives ZIP contenant des liens symboliques malformés. En ouvrant l’archive, la victime risque la corruption ou la substitution de fichiers système, y compris la substitution de DLL utilisées par des services privilégiés, autorisant potentiellement l’exécution de code à distance. Les correctifs sont inclus dans la build 25.00. Les utilisateurs doivent installer la mise à jour immédiatement ou au minimum interdire l’extraction automatique d’archives. Des vulnérabilités moins graves, publiées l’été précédent, permettaient des DoS via écriture hors bornes et déréférencement null.

Manipulation de symlinks et dépassement du répertoire

Les deux vulnérabilités exploitent la même mécanique : une gestion incorrecte des liens symboliques intégrés dans des archives ZIP. 7-Zip, lors de l’extraction, peut suivre ou recréer des symlinks sans vérifier qu’ils restent confinés au répertoire de travail. Un ZIP conçu pour pointer en dehors de l’arborescence cible permet d’écrire ou de remplacer des fichiers situés arbitrairement sur le système. Dans ce scénario l’attaque n’exige pas d’élévation préalable ; elle réclame uniquement que la victime ouvre l’archive dans l’outil vulnérable. Le risque opérationnel est double : disparition ou altération de fichiers applicatifs et substitution de DLL chargées par des services disposant de privilèges supérieurs. La combinaison du vecteur d’infection trivial — double-clic ou extraction automatique — et de l’impact potentiel sur des composants privilégiés transforme une vulnérabilité de chemin en vecteur d’escalade et d’exécution à distance.

Portée technique et conséquences pratiques

Techniquement, ces failles permettent l’écriture arbitraire de fichiers en dehors du dossier prévu par l’utilisateur. Concrètement, un ZIP malveillant peut contenir des entrées dont le nom est un symlink ciblant des chemins sensibles du système. Lors de l’extraction, 7-Zip reconstitue le lien ou suit la cible sans vérification stricte, puis écrit les données de l’archive sur la cible. Résultat possible : remplacement d’un exécutable, altération d’un binaire ou substitution d’une DLL. Si la DLL remplacée est ensuite chargée par un service s’exécutant avec des droits élevés, l’attaquant obtient une exécution de code en contexte privilégié. L’attaque repose sur l’appâtage de l’utilisateur, mais pas sur une technique sophistiquée côté serveur. Elle est donc aisée à déployer à grande échelle par phishing, pièces jointes ou contenus téléchargés.

Correctifs et mesures immédiates recommandées

Les correctifs sont inclus dans la build 25.00 de 7-Zip. L’éditeur a modifié le comportement d’extraction pour valider les symlinks et empêcher l’évasion du répertoire de destination. Les administrateurs doivent déployer cette build sur tous les postes et serveurs où 7-Zip est présent. En attendant la mise à jour, il est impératif d’interdire l’extraction automatique d’archives par tout mécanisme intégré au poste de travail ou au client de messagerie. Les équipes doivent également sensibiliser les utilisateurs aux risques des archives reçues par courriel et privilégier l’analyse en bac à sable des fichiers ZIP suspects. Dans les environnements sensibles, limitez les permissions d’écriture sur les chemins critiques et surveillez les modifications de DLL via intégrité fichier (HIPS, solutions EDR).

L’été précédent, deux autres problèmes ont été révélés pour 7-Zip : une écriture hors bornes et un déréférencement de pointeur nul. Ces derniers permettaient d’induire des états de déni de service (DoS) mais étaient classés comme moins critiques car ils n’autorisaient pas directement l’exécution arbitraire de code. Les nouvelles failles CVE-2025-11001 et CVE-2025-11002, malgré une note CVSS égale à 7,0, présentent un profil d’exploitation plus dangereux en raison de la possibilité de corruption ou substitution de DLL. La différenciation entre crashs non persistants et corruption délibérée d’artefacts système explique l’écart d’impact opérationnel.

 

Rejoignez nous sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaque exploit typique et vecteurs de diffusion

Un exploit plausible commence par une archive ZIP contenant des fichiers dont certains sont des symlinks calculés pour pointer vers des emplacements système. L’archive est livrée à la cible via phishing, téléchargement piégé ou pièce jointe. Si la victime double-clic sur l’archive ou si un processus d’extraction automatique la décompresse, 7-Zip traite la structure et réalise l’écriture vers la cible. L’attaquant peut alors remplacer une DLL utilisée par un service démarré, provoquer un chargement ultérieur de la DLL malveillante et obtenir un exécutable furtif sous les droits du service. Ce scénario est particulièrement critique sur des serveurs exposés, sur des postes administrateurs ou sur des machines où des services système chargent dynamiquement des bibliothèques depuis des chemins modifiables.

Détecter une exploitation requiert de surveiller les modifications de fichiers système habituellement immuables, les créations ou modifications de DLL dans des répertoires système et les écritures inhabituelles initiées par processus utilisateur non privilégiés. Les solutions EDR doivent alerter sur les opérations d’écriture vers les répertoires Windows\System32, Program Files ou tout autre emplacement abritant des composants partagés. L’analyse des journaux d’antivirus et l’examen des actions d’extraction réalisées par 7-Zip peuvent révéler des tentatives d’exploitation. Enfin, la corrélation entre réception d’un ZIP externe et modifications de fichiers sensibles constitue un indicateur fort d’exploitation.

Bonnes pratiques post-correction

Outre l’installation immédiate de la build 25.00, standardisez la gestion des archives dans l’entreprise. Centralisez l’extraction via des bastions ou des environnements isolés. Restreignez les droits d’écriture sur les répertoires où des DLL sont chargées automatiquement. Activez la validation d’intégrité pour les DLL critiques et déployez des règles d’application des DLL signées. Mettez en place un flux de gestion des pièces jointes qui isole et analyse automatiquement les ZIP avant mise à disposition des utilisateurs. Enfin, documentez toute remise en état après incident, car une DLL compromise peut cacher une présence malveillante persistante.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google muscle Drive avec une IA anti-ransomware

Google ajoute une nouvelle barrière dans Drive : une IA dédiée à stopper le ransomware avant la restauration. Objectif : limiter les dégâts une fois l’antivirus contourné.

Google lance une nouvelle protection dans Drive pour Windows et macOS, destinée à bloquer les attaques de ransomware avant qu’elles ne paralysent tout un réseau. Contrairement aux solutions classiques centrées sur le malware, l’outil repose sur une IA entraînée à détecter les comportements suspects, comme le chiffrement massif de fichiers. Dès alerte, la synchronisation cloud s’interrompt et les données passent en quarantaine. Présentée comme une « nouvelle couche » par Luke Camery, responsable produit chez Google Workspace, la solution complète antivirus et restauration, sans les remplacer. Disponible en bêta ouverte, elle sera intégrée sans surcoût dans la majorité des abonnements Workspace.

Une nouvelle couche face aux rançongiciels

Les ransomwares ont démontré les limites des protections classiques. Les antivirus stoppent une partie des menaces, mais les attaquants réussissent régulièrement à franchir cette barrière. Les solutions de restauration existent, mais elles restent coûteuses et lourdes pour les équipes IT. C’est dans cet interstice que Google place sa nouvelle défense.

« Nous ne remettons pas en cause l’efficacité des acteurs traditionnels, mais force est de constater que l’approche actuelle ne suffit pas », résume Luke Camery. Selon lui, l’erreur du statu quo consiste à ne pas intégrer de détection comportementale en amont de la restauration. L’outil Drive se veut donc une couche distincte, un filet de sécurité supplémentaire, destiné à stopper une attaque en cours avant que le chiffrement ne devienne irréversible.

Le principe est simple : supposer que l’antivirus a échoué, puis intervenir. Google compare cela à une maison protégée par des serrures et des assurances, mais dépourvue d’alarme. Avec ce dispositif, l’alarme se déclenche dès qu’un intrus tente de verrouiller toutes les portes.

Une IA entraînée sur des millions d’exemples

Le cœur de la solution est un modèle d’intelligence artificielle personnalisé. Entraîné sur des millions de cas de ransomware, il ne cherche pas à identifier un code malveillant précis mais à reconnaître des schémas de comportement. L’exemple type : un processus qui tente de chiffrer brutalement de nombreux fichiers.

Dès qu’un tel comportement est repéré, Drive suspend immédiatement la synchronisation avec le cloud. Les fichiers potentiellement compromis sont alors isolés, placés dans une forme de quarantaine. L’objectif est d’empêcher la propagation et de préserver des copies saines.

Cette logique de surveillance permanente et réactive place la solution au-dessus d’un antivirus classique et en dessous d’un outil de restauration. Elle se veut complémentaire : non pas un remplacement, mais une barrière intermédiaire.

En cas d’attaque détectée, l’utilisateur reçoit une alerte sur son poste ainsi qu’un e-mail détaillant les étapes à suivre. Un assistant permet ensuite de restaurer facilement une version non contaminée des fichiers. La démonstration fournie par Google montre un processus aussi simple que de récupérer un document effacé dans la corbeille Windows, sans recours à des outils externes ni réinstallation complexe.

Côté administrateurs, les informations remontent dans la console Admin. Ils disposent d’un journal d’audit et peuvent ajuster la configuration. La fonctionnalité sera activée par défaut, mais les responsables IT gardent la possibilité de désactiver la détection ou la restauration si nécessaire.

L’outil est dès aujourd’hui accessible en bêta ouverte. Il sera intégré sans frais supplémentaires dans la plupart des abonnements Google Workspace commerciaux. Google espère ainsi réduire l’impact des ransomwares qui, malgré les efforts combinés des solutions antivirus et des services de sauvegarde, continuent de frapper organisations publiques et privées.

Adobe, Cybersécurité, Mise à jour, Patch, Securite informatique

Faille critique SessionReaper : Adobe Commerce sous haute menace

Adobe alerte sur la faille SessionReaper (CVE-2025-54236) qui menace Adobe Commerce et Magento. Exploitable via l’API REST, elle expose directement les comptes clients à une prise de contrôle.

Aprés Apple et Microsoft, Adobe a publié un avis de sécurité concernant CVE-2025-54236, surnommée SessionReaper. La vulnérabilité, notée 9,1/10 au CVSS, touche Adobe Commerce, Magento Open Source et Adobe Commerce B2B. Exploitable via l’API REST, elle permet à un attaquant de s’emparer de comptes clients. Aucun cas d’exploitation n’a été détecté pour l’instant, mais l’éditeur insiste sur l’urgence d’appliquer le correctif VULN-32437-2-4-X. Les environnements cloud bénéficient de règles WAF temporaires, mais seul le patch garantit une protection durable. Découverte par le chercheur blaklis, la faille illustre la fragilité des plateformes e-commerce face aux attaques ciblant directement les données utilisateurs et leurs parcours transactionnels.

SessionReaper, une faille critique révélée

SessionReaper, identifiée sous CVE-2025-54236, résulte d’une validation insuffisante des entrées dans l’API REST d’Adobe Commerce. Selon Adobe, un acteur malveillant pourrait détourner cette faiblesse pour prendre la main sur des comptes clients. L’éditeur a publié son avertissement sous la référence APSB25-88 et attribue à la faille une sévérité de 9,1 sur 10 dans l’échelle CVSS.

Le risque principal réside dans la compromission directe des données clients, un scénario particulièrement dangereux pour des plateformes marchandes. La faille affecte les versions 2.4.9-alpha2 et antérieures d’Adobe Commerce et de Magento Open Source, ainsi que la branche 1.5.3-alpha2 et antérieures d’Adobe Commerce B2B. Le module Custom Attributes Serializable, utilisé entre les versions 0.1.0 et 0.4.0, est également concerné.

Pour Adobe, il s’agit d’une vulnérabilité critique, non exploitée pour l’heure, mais dont le potentiel destructeur impose une réaction rapide des administrateurs. L’entreprise prévient que son assistance sera limitée en cas de retard dans l’application des correctifs.

Le correctif et ses conditions de déploiement

Le correctif officiel est publié sous l’identifiant VULN-32437-2-4-X. Il doit être appliqué sans délai sur toutes les instances vulnérables. Les utilisateurs du module Custom Attributes Serializable doivent quant à eux migrer vers la version 0.4.0 ou supérieure, via la commande Composer appropriée.

Adobe propose un outil de vérification, le Quality Patches Tool, qui permet de confirmer l’application effective du patch. La commande de contrôle fournit un statut « Applied » une fois le correctif installé, apportant aux administrateurs la certitude de disposer d’une protection active.

Pour les clients hébergés dans l’environnement Commerce Cloud, Adobe a mis en place des règles de Web Application Firewall destinées à bloquer les tentatives d’exploitation connues. Ces mesures sont toutefois qualifiées de temporaires et ne dispensent pas du déploiement du correctif officiel. Les clients de services managés sont invités à contacter leur Customer Success Engineer afin d’obtenir un accompagnement spécifique.

Un signal fort pour l’écosystème e-commerce

La faille a été signalée par le chercheur indépendant blaklis, qui a révélé à Adobe le fonctionnement de SessionReaper. L’éditeur souligne qu’aucun cas d’exploitation active n’est documenté. Cependant, le scénario théorique reste préoccupant : un assaillant qui obtiendrait le contrôle de comptes clients pourrait accéder à des informations sensibles, détourner des transactions ou lancer des fraudes massives.

Ce type de vulnérabilité démontre la valeur stratégique des données clients pour les cyberattaquants. Les plateformes de commerce électronique constituent des cibles privilégiées en raison des volumes financiers et des informations personnelles qu’elles centralisent.

L’urgence de la mise à jour découle autant du niveau de criticité technique que de l’attrait économique de telles données sur le marché noir. La diffusion rapide du correctif vise à réduire la fenêtre de tir potentielle avant que des groupes malveillants ne développent un code d’exploitation opérationnel.

Apple, Cybersécurité, Logiciels, Mise à jour, OS X, Patch, Securite informatique

Apple colmate 77 failles dans macOS et 27 dans iOS

Apple publie ses nouveaux systèmes iOS, iPadOS et macOS, corrigeant plus de cent vulnérabilités. Mais l’entreprise reste discrète sur leur gravité et sur tout signe d’exploitation active.

Apple vient de déployer iOS 26, iPadOS 26 et macOS 26, corrigeant 27 failles sur mobiles et 77 sur ordinateurs. Les correctifs couvrent aussi Safari, watchOS, visionOS et Xcode. Contrairement à son intervention d’août face à une attaque sophistiquée, Apple n’évoque cette fois aucun cas d’exploitation en cours. Des failles critiques, notamment dans PackageKit et StorageKit, pourraient pourtant permettre l’obtention de privilèges root sur macOS. L’entreprise reste fidèle à sa ligne de communication minimaliste, sans détail de sévérité. En parallèle, les appareils plus anciens restent bloqués sur iOS 18.7 ou macOS 15.7, recevant uniquement des correctifs de sécurité majeurs.

Nouveaux correctifs, anciennes inquiétudes

Apple a diffusé lundi ses nouveaux systèmes d’exploitation numérotés selon l’année de sortie, une nouveauté présentée comme une simplification. iOS 26 et iPadOS 26 corrigent 27 vulnérabilités, tandis que macOS 26 en traite 77. Certaines failles touchaient l’ensemble des plateformes, confirmant la proximité croissante entre les architectures mobiles et ordinateurs.

La nouvelle interface dite « liquid glass » attire l’attention côté design, mais l’enjeu principal demeure la cybersécurité. Les utilisateurs d’appareils lancés avant 2019, non compatibles avec ces versions, doivent se tourner vers iOS 18.7, iPadOS 18.7 ou macOS 15.7, mises à jour de maintenance centrées sur les vulnérabilités critiques.

Un contraste avec les correctifs d’urgence

Le mois dernier, Apple avait dû réagir en urgence face à une attaque qualifiée d’« extrêmement sophistiquée », exploitant la faille CVE-2025-43300 contre des cibles précises. Depuis janvier, cinq vulnérabilités zero-day activement exploitées ont été corrigées, preuve de l’intérêt constant des attaquants pour l’écosystème Apple. Sept de ces failles ont même été intégrées au catalogue des vulnérabilités exploitées tenu par la CISA, soulignant leur criticité pour les infrastructures sensibles.
Cette fois, aucun signe d’attaque en cours n’a été rapporté.

L’absence d’indicateur de sévérité dans les bulletins Apple est classique pour la Grosse Pomme. Contrairement à d’autres éditeurs, la firme se contente d’énumérer les failles, sans notation selon le CVSS, limitant la visibilité des responsables sécurité.

Failles critiques sur macOS

Deux vulnérabilités corrigées dans macOS attirent particulièrement l’attention des chercheurs : CVE-2025-43298 (PackageKit) et CVE-2025-43304 (StorageKit). Leur exploitation pourrait offrir à un attaquant un accès root, ouvrant la voie à une compromission totale du système.

Côté iOS, le volume de corrections reste notable, mais aucune faille n’inspire de crainte immédiate, selon Childs. Le contraste est frappant : si le risque d’exploitation n’est pas confirmé, la surface d’attaque reste considérable. En complément, Apple a publié sept correctifs pour Safari 26, 19 pour watchOS 26, 18 pour visionOS 26 et cinq pour Xcode 26, preuve de l’ampleur des vulnérabilités touchant tout l’écosystème.

Avec plus de cent vulnérabilités corrigées mais sans alerte d’exploitation active, Apple continue de pratiquer une communication minimaliste. La question reste entière : comment évaluer la criticité des failles Apple en l’absence de notation officielle ?

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.

Cybersécurité, Mise à jour, Patch

Septembre : Zero Day en amont, Patch Tuesday plus calme

Deux Zero Day Android, une faille WhatsApp et une vulnérabilité WinRAR ont marqué septembre. Le Patch Tuesday s’annonce plus sobre, mais Windows et Adobe restent des priorités.

Le mois de septembre a été rythmé par plusieurs vulnérabilités Zero Day découvertes avant le Patch Tuesday : deux failles critiques dans Android, une brèche dans WhatsApp et une autre dans WinRAR. Microsoft publie ensuite 81 correctifs, dont huit jugés critiques et deux déjà divulgués publiquement. Adobe diffuse en parallèle neuf mises à jour couvrant 22 CVE, dont certaines touchant Acrobat Reader, ColdFusion et Premiere Pro. Malgré un Patch Tuesday relativement calme, la pression reste forte : l’exploitation active des Zero Day, conjuguée à une attaque de la chaîne d’approvisionnement via Drift AI et Salesforce, rappelle l’ampleur de la surface de menace.

Zéro Day avant le Patch Tuesday

Les jours précédant le Patch Tuesday de septembre ont été agités. Deux vulnérabilités critiques dans Android (CVE-2025-38352 et CVE-2025-48543) ont été exploitées activement. Elles s’ajoutent à une faille Zero Day dans WhatsApp (CVE-2025-55177) et à une vulnérabilité similaire dans WinRAR (CVE-2025-8088). Ces quatre incidents suffisent à reconfigurer l’agenda des équipes de sécurité. Parallèlement, une attaque visant la chaîne d’approvisionnement a touché l’agent conversationnel Drift AI, exposant des données de clients Salesforce. L’ensemble illustre la multiplication des vecteurs d’attaque, allant des applications mobiles aux logiciels tiers en passant par les intégrations cloud.

Microsoft a corrigé 81 nouvelles vulnérabilités ce mois-ci, dont huit classées critiques. Parmi elles figurent cinq exécutions de code à distance, deux élévations de privilèges et une divulgation d’informations, toutes affectant Windows ou Office. Deux vulnérabilités avaient déjà été rendues publiques. La première, CVE-2025-55234, concerne le protocole SMB de Windows. Elle offre une élévation de privilèges et affiche un score CVSS de 8,8. Microsoft la classe comme importante, avec un niveau de maturité de code non prouvé. La seconde, CVE-2024-21907, est liée à Newtonsoft.Json et touche SQL Server 2016 à 2019. Elle permet un déni de service à distance, selon l’usage de la bibliothèque. Là encore, l’évaluation du risque recommande de la traiter comme importante. Ces deux divulgations montrent que les failles connues circulent rapidement, augmentant le risque d’exploitation opportuniste.

Mises à jour Adobe et priorités de septembre

Adobe a publié neuf mises à jour couvrant 22 CVE, dont 12 critiques. Les produits concernés incluent Acrobat Reader, Premiere Pro, After Effects, Commerce, ColdFusion, Experience Manager, Dreamweaver et deux outils de modélisation 3D. Adobe attribue une priorité 1 à ColdFusion et une priorité 2 à Commerce. Les autres mises à jour sont classées en priorité 3, donc moins urgentes. La hiérarchisation proposée par Adobe renvoie à l’usage intensif de certaines plateformes en production. Pour ce mois de septembre, les équipes de sécurité doivent donc d’abord traiter les Zero Day détectées avant le Patch Tuesday. Ensuite, elles peuvent planifier les mises à jour Microsoft et Adobe dans le cadre des opérations de maintenance mensuelles. L’absence de nouvelles Zero Day dans le Patch Tuesday allège la charge immédiate, mais l’intensité des incidents précédents rappelle que la vigilance ne peut pas se relâcher.

La séquence de septembre montre un contraste entre l’intensité des Zero Day découvertes avant le Patch Tuesday et la relative stabilité des correctifs officiels. Une question demeure : les équipes de sécurité peuvent-elles maintenir une priorisation efficace face à la convergence des menaces mobiles, logicielles et cloud ?

Cybersécurité, Mise à jour, Patch

Microsoft publie enfin le code source historique de BASIC 6502

Après des décennies de rumeurs et de copies non officielles, Microsoft ouvre le code source de son BASIC pour processeur MOS 6502, pierre angulaire de l’informatique personnelle.

Microsoft a mis en accès libre le code source de son interpréteur BASIC pour processeur MOS 6502. Longtemps resté dans l’ombre, accessible uniquement via des fuites ou des archives, il est désormais disponible sous licence MIT. Ce langage, porté en 1976 et adopté dès 1977 par Commodore pour ses ordinateurs PET, VIC-20 et Commodore 64, a contribué à démocratiser l’informatique personnelle. Le dépôt GitHub publié par Microsoft inclut près de 7 000 lignes d’assembleur, des notes historiques et des commits rétrodatés. Ce geste éclaire les origines de l’entreprise et la centralité du BASIC dans son modèle économique initial, tout en offrant à la communauté un patrimoine technologique à explorer et réinventer.

Un langage fondateur libéré

Microsoft a publié le code source de la version 1.1 de son BASIC pour le processeur MOS 6502, une première dans l’histoire de l’entreprise. Écrit en assembleur, le fichier compte 6 955 lignes et reprend les améliorations proposées par l’ingénieur de Commodore John Feagans, ainsi que par Bill Gates lui-même, en 1978. Cette mouture correspond à ce que les utilisateurs des Commodore PET connaissaient sous l’appellation BASIC V2. Jusqu’à présent, il n’existait qu’à travers des copies non officielles, des disquettes de musée ou des projets de rétro-ingénierie.

Le dépôt GitHub mis en ligne sous licence MIT autorise une réutilisation sans restriction, y compris commerciale. Microsoft y a ajouté des commits artificiellement datés d’« il y a 48 ans » et des notes explicatives retraçant l’évolution du langage. L’entreprise redonne ainsi vie à un élément clé de son ADN technologique.

Du prototype Altair aux millions de Commodore

Le premier BASIC de Microsoft a été conçu en 1975 pour l’Altair 8800, un ordinateur équipé du processeur Intel 8080. Ce travail fondateur a été réalisé par Bill Gates et Paul Allen. Dès 1976, avec l’aide de Rick Weiland, le langage est porté sur le MOS 6502, un processeur qui allait s’imposer dans l’histoire de l’informatique.

En 1977, Commodore obtient une licence pour 25 000 $ (≈ 23 000 €). Le BASIC est alors intégré aux PET, puis aux VIC-20 et Commodore 64. Ces deux derniers modèles atteignent des ventes de masse, propulsant le langage et l’entreprise américaine sur le devant de la scène. La stratégie de licences de Microsoft trouve là son premier socle économique solide, bien avant l’ère MS-DOS et Windows.

Le code révèle également une attention extrême portée à l’efficacité mémoire. Sur des systèmes 8 bits limités, la gestion des chaînes, l’arithmétique en virgule flottante et le ramasse-miettes représentaient des défis techniques cruciaux. Des « Easter Eggs » signés Bill Gates, dissimulés dans certaines étiquettes du code (STORDO, STORD0), attestent d’une pratique déjà courante de signatures cachées dans les logiciels.

Le processeur MOS 6502 a équipé des machines devenues emblématiques : Apple II, consoles Atari 2600, Nintendo NES et toute la gamme Commodore. Sa simplicité d’architecture et son faible coût l’ont rendu incontournable. Ce processeur reste un symbole pour les passionnés qui continuent à le reproduire en FPGA, à créer des émulateurs et à imaginer de nouvelles éditions de machines historiques comme le Commodore 64.

Le geste de Microsoft s’inscrit dans cette dynamique patrimoniale. En mettant à disposition ce code, l’entreprise offre à la communauté non seulement une ressource technique, mais aussi une pièce d’histoire. L’initiative résonne avec l’engouement croissant pour l’archéologie numérique et les expérimentations rétro-informatiques.

BASIC a façonné l’accès à l’informatique personnelle : du curseur clignotant sur l’écran d’un Commodore aux projets de réédition en 2025, son empreinte reste intacte. La publication du code sous licence libre garantit sa transmission et son adaptation, loin des contraintes propriétaires d’autrefois.

La mise en ligne du BASIC 6502 dépasse l’acte symbolique. Elle rappelle comment un langage compact et efficace a façonné l’économie et la culture de Microsoft. Elle pose aussi une question contemporaine : dans un monde dominé par les logiciels propriétaires et les plateformes fermées, quelle place reste-t-il pour la transmission libre des codes fondateurs ?

Cybersécurité, Mise à jour, Patch, Securite informatique, VPN

FreeVPN.One : un espion masqué sur Chrome pendant des mois

Sous couvert de protéger la vie privée, une extension Chrome vérifiée a mené une vaste opération d’espionnage silencieux. Plus de 100 000 victimes. Silence radio côté développeur.

L’extension FreeVPN.One, téléchargée plus de 100 000 fois sur Chrome, s’est révélée être un puissant outil de surveillance déguisé. Derrière son label « vérifié » par le Chrome Web Store, elle capturait en secret des captures d’écran des navigateurs, extrayait des données sensibles et les transmettait à des serveurs distants. L’attaque, perfectionnée au fil des versions, exploitait des autorisations critiques, changeait de nom et ajoutait du chiffrement sophistiqué pour brouiller les pistes. En prétendant analyser les menaces, elle siphonnait en réalité des informations personnelles et professionnelles. Cet incident soulève des questions profondes sur la fiabilité du modèle de validation de Google. Quand la sécurité devient façade, qui contrôle vraiment l’extension ?

Une extension banale, une menace invisible

Pendant des mois, FreeVPN.One a fait partie du paysage numérique de nombreux internautes. Téléchargée depuis le Chrome Web Store, affichant fièrement la mention « vérifiée », elle offrait un service de protection de la vie privée, un VPN gratuit et simple d’utilisation. Rien d’inhabituel à première vue. Pourtant, derrière cette façade rassurante se cachait une opération d’espionnage massive, organisée et habilement dissimulée. L’extension, installée sur plus de 100 000 navigateurs, agissait silencieusement à chaque navigation.

La mécanique était bien huilée : à chaque chargement de page, des scripts étaient injectés en arrière-plan. Une temporisation précise de 1,1 seconde permettait d’activer une API peu connue du grand public, chrome.captureVisibleTab(). Ce simple appel technique suffisait à figer l’instantané de la page visitée. De Google Docs à Gmail, en passant par les plateformes bancaires et les services photo, rien n’échappait à la surveillance.

Les images ainsi capturées étaient encodées en base64 et transférées discrètement vers un serveur distant, identifié comme appartenant au domaine aitd.one. La collecte ne se limitait pas aux captures : adresse IP, géolocalisation, caractéristiques techniques du terminal, tout était aspiré et archivé. L’utilisateur, de son côté, ne voyait rien. Pas de ralentissement, pas d’alerte, aucune anomalie visible.

Une évolution toxique et programmée

Le processus d’infiltration s’est affiné sur plusieurs mois. L’analyse des versions successives révèle une stratégie en trois temps. À partir de la version 3.0.3, publiée au printemps 2025, FreeVPN.One demande une autorisation critique : <all_urls>. Ce simple paramètre ouvre l’accès à l’ensemble des sites visités, sans distinction. À partir de là, tout devient possible.

Puis vient la mutation. Avec la version 3.1.1, l’extension change de nom et se rebaptise « AI Threat Detection ». Un repositionnement sémantique malin, qui laisse entendre qu’elle renforcerait la sécurité de l’utilisateur en détectant d’éventuelles menaces à l’aide de l’intelligence artificielle. Une couverture parfaite pour masquer des fonctions d’espionnage toujours plus sophistiquées.

Dans les versions suivantes (3.1.3 et 3.1.4), le basculement est complet. La collecte de données s’intensifie et un chiffrement AES‑256‑GCM est mis en place, couplé à un empaquetage des clés avec RSA. Ce double verrou rend l’analyse des flux sortants particulièrement complexe, même pour les experts. La structure à deux niveaux (scripts injectés, capture différée, envoi chiffré) fait penser à une opération pensée pour durer, mais surtout pour ne pas être découverte.

Le discours du développeur, lorsqu’il était encore joignable, évoquait un simple outil d’analyse destiné à identifier les « domaines suspects ». Mais cette défense s’écroule face aux preuves : des captures issues de services de confiance (Google Photos, Sheets, etc.) ont été retrouvées sur les serveurs, sans aucune justification légitime. La dissimulation prend alors une autre tournure.

Silence du développeur, échec de Google

Le responsable de l’extension, contacté par plusieurs chercheurs en cybersécurité, a brusquement cessé toute communication. Son site de référence, construit sur une base Wix générique, ne comporte aucun contenu concret, aucune mention légale, aucune identité vérifiable. L’opacité est totale.

Plus troublant encore : malgré les signaux d’alerte répétés, FreeVPN.One a conservé son statut « vérifié » pendant toute la durée de son activité malveillante. Ce label, censé rassurer l’utilisateur, a paradoxalement joué contre lui. Il a renforcé la confiance, facilité la diffusion et multiplié les installations. Un échec structurel du Chrome Web Store, déjà critiqué par le passé pour ses failles de contrôle.

Cette affaire illustre une réalité inquiétante : même les extensions officiellement validées par Google peuvent devenir des vecteurs de surveillance massive. Et dans un contexte de tensions géopolitiques croissantes, l’enjeu dépasse le simple cadre technique. Qui étaient les véritables bénéficiaires des données collectées ? Pour quelles finalités ces captures ont-elles été stockées, organisées, analysées ? Aucune réponse officielle, mais des indices qui pointent vers une exploitation à grande échelle, peut-être au service d’acteurs étatiques ou de groupes opérant en sous-traitance.

Ce que révèle FreeVPN.One dépasse le cas isolé d’une extension malveillante. Il s’agit d’un signal d’alarme. La confiance accordée aux labels de sécurité, les promesses de confidentialité, les discours de protection sont aujourd’hui trop facilement détournés. Derrière une interface propre et un slogan rassurant, se cache parfois une mécanique d’espionnage redoutablement efficace.

Et si cette affaire n’est qu’un exemple parmi d’autres, elle pose une question fondamentale : dans un écosystème où les extensions peuvent tout voir, tout lire, tout enregistrer, qui surveille vraiment les surveillants ?

backdoor, Cybersécurité, Mise à jour

Microsoft comble 107 failles en août, BadSuccessor en tête

Microsoft frappe fort en août 2025 : 107 vulnérabilités corrigées, dont la faille zero-day BadSuccessor. Les élévations de privilèges dominent une nouvelle fois le paysage cyber.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

La mise à jour Patch Tuesday d’août 2025 de Microsoft corrige 107 vulnérabilités (CVE), dont 13 critiques. En tête : CVE‑2025‑53779, alias BadSuccessor, une élévation de privilèges dans Kerberos révélée en mai, désormais corrigée. Bien que son impact immédiat reste limité (seulement 0,7 % des domaines Active Directory sont vulnérables), sa dangerosité potentielle est indiscutable. La tendance est claire : pour le deuxième mois consécutif, les élévations de privilèges dépassent les exécutions de code. SharePoint et Exchange continuent d’inquiéter, notamment après les failles ToolShell. Avec déjà 20 failles SharePoint corrigées en 2025, un nouveau record est en vue. L’alerte est maintenue dans l’écosystème Microsoft.

Une tendance persistante : les élévations de privilèges dominent

Depuis juillet 2025, Microsoft constate un basculement notable : les vulnérabilités post-compromission, notamment celles liées à l’élévation de privilèges (EoP), deviennent majoritaires. En août, 39,3 % des CVE corrigées relèvent de cette catégorie, contre 41,4 % le mois précédent. Cette évolution souligne une stratégie offensive plus subtile de la part des cybercriminels, visant à contourner les défenses en profondeur via l’exploitation des privilèges élevés.

Dans ce contexte, les vulnérabilités critiques, bien que moins nombreuses (13 cette fois), ne doivent pas masquer le danger latent des failles importantes, souvent moins spectaculaires, mais plus facilement exploitables dans des environnements mal surveillés.

BadSuccessor : une menace silencieuse mais sous contrôle

Révélée en mai 2025, la vulnérabilité CVE‑2025‑53779, surnommée BadSuccessor, visait le mécanisme d’authentification Kerberos dans les domaines Active Directory utilisant des comptes de service gérés délégués (dMSA) sous Windows Server 2025.

Cette faille permet à un attaquant, possédant déjà un accès de base, d’élever ses privilèges et de compromettre un domaine entier. Pourtant, l’analyse de Tenable nuance son impact : seulement 0,7 % des domaines Active Directory étaient vulnérables au moment de la divulgation. L’exploitation requiert au moins un contrôleur de domaine exécutant Windows Server 2025, un environnement encore peu répandu.

Microsoft a corrigé la faille dans cette publication, bien que son niveau de sévérité soit jugé « important » plutôt que critique. Le fait que cette vulnérabilité ait été rendue publique sans preuve d’exploitation dans la nature permet de gagner en sérénité — du moins temporairement.

SharePoint et Exchange : la menace continue de rôder

SharePoint, cible récurrente mais peu exploitée
En août, deux nouvelles failles SharePoint sont corrigées :

CVE‑2025‑49712 : exécution de code à distance,

CVE‑2025‑53760 : élévation de privilèges.

Ces correctifs arrivent dans un contexte post-ToolShell particulièrement tendu. Entre 2022 et 2024, plus de 80 vulnérabilités SharePoint ont été corrigées. Pourtant, seules six ont été activement exploitées : trois en 2023-2024 (CVE-2023-29357, CVE-2023-24955, CVE-2024-38094) et trois ToolShell en 2025 (CVE-2025-49706, -49704, -53770). Une septième, CVE‑2025‑53771, pourrait aussi avoir été exploitée, sans confirmation officielle.

Malgré ces chiffres rassurants, la méfiance reste de mise. SharePoint, par sa surface d’exposition et son usage intensif en entreprise, demeure une cible de choix.

Exchange, toujours sous pression

Autre point chaud : Microsoft Exchange Server. La faille CVE‑2025‑53786 permet une élévation de privilèges qui, si elle est combinée à d’autres vecteurs, pourrait faciliter l’accès à Exchange Online. La CISA (Cybersecurity and Infrastructure Security Agency) a classé cette vulnérabilité comme à fort potentiel d’exploitation, au point d’en faire une priorité dans sa directive d’urgence d’août 2025.

Ce regain d’attention n’est pas anodin. Depuis les vagues d’attaques Hafnium en 2021, Exchange est scruté de près. L’écosystème Microsoft reste, plus que jamais, sous tension. BadSuccessor, bien que spectaculaire dans sa conception, illustre la nuance entre gravité théorique et impact réel. Quant à SharePoint et Exchange, leur présence continue dans les bulletins de sécurité souligne une nécessité : ne jamais relâcher l’attention sur les environnements Microsoft.

backdoor, Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

RomCom exploite une faille WinRAR zero‑day CVE‑2025‑8088

Une faille critique dans WinRAR exploitée par RomCom menace entreprises et administrations. Espionnage ciblé, spearphishing redoutable : l’Europe et le Canada sont directement dans le viseur.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Une vulnérabilité critique (CVE‑2025‑8088) dans WinRAR, exploitée par le groupe cyberespion RomCom aligné sur la Russie, a été découverte par ESET Research. Active entre le 18 et le 21 juillet 2025, cette campagne visait des secteurs stratégiques en Europe et au Canada : finance, défense, logistique, industrie. Disséminées via spear phishing, les archives piégées permettaient l’exécution de backdoors comme SnipBot, RustyClaw ou Mythic. Cette attaque sophistiquée marque une nouvelle escalade dans la guerre cyber et politique menée par des groupes APT russophones. WinRAR a corrigé la faille dès le 30 juillet 2025 via une mise à jour manuelle obligatoire vers la version 7.13. Le retard de correctif expose encore de nombreuses victimes potentielles.

Une faille invisible, une intrusion discrète

Le 18 juillet 2025, les analystes d’ESET détectent un comportement anormal dans une archive RAR transmise à une entreprise européenne de défense. Une DLL nommée msedge.dll, dissimulée dans un chemin d’extraction détourné, attire immédiatement leur attention. L’analyse révèle l’exploitation d’une faille jusqu’alors inconnue, touchant toutes les versions de WinRAR jusqu’à la 7.12 incluse.

Dénommée CVE‑2025‑8088, cette vulnérabilité exploite un mécanisme sournois : la traversée de chemin via les flux de données alternatifs NTFS. Résultat ? Un simple fichier extrait peut être redirigé vers des répertoires critiques du système, comme le dossier de démarrage de Windows. À la prochaine session, le code malveillant s’exécute sans déclencher d’alerte.

Le 24 juillet, ESET contacte le développeur de WinRAR. La réponse est immédiate : un correctif est intégré dans une version bêta, puis publié officiellement le 30 juillet dans la version 7.13. Mais attention : WinRAR ne propose aucune mise à jour automatique. Des millions d’utilisateurs pourraient donc encore être exposés sans le savoir.

Spearphishing ciblé et backdoors sur mesure

Entre le 18 et le 21 juillet 2025, RomCom lance une offensive de spearphishing contre plusieurs entreprises situées en Europe et au Canada. Les cibles sont choisies avec soin : finance, logistique, industrie manufacturière et défense. Les e-mails se présentent sous forme de candidatures professionnelles, CV à l’appui. Une fois l’archive RAR ouverte, la vulnérabilité est déclenchée.

Dans les cas observés par ESET, les charges utiles déployées sont variées mais convergent toutes vers un objectif d’espionnage. On retrouve la backdoor SnipBot, une version personnalisée de RustyClaw, et un agent Mythic configuré sur mesure. Ces implants sont conçus pour maintenir l’accès, exfiltrer des données et injecter des modules additionnels à distance.

RomCom — également connu sous les noms de Storm‑0978, Tropical Scorpius ou UNC2596 — est formellement attribué à cette campagne. ESET justifie cette attribution par une concordance complète des outils, méthodes et infrastructures déjà associées au groupe lors de précédentes attaques. RomCom est réputé pour ses opérations mêlant cybercriminalité classique et espionnage au service d’objectifs géopolitiques russes.

Un contexte géopolitique sous tension

La campagne RomCom s’inscrit dans une dynamique inquiétante. Depuis 2023, ce groupe cible les institutions occidentales sensibles, avec un pic d’activité lors de moments de tension internationale. En juin 2023, RomCom s’en était déjà pris à des entités européennes via des leurres liés au Congrès mondial ukrainien. Le choix des cibles 2025 — défense, finance, logistique — suggère une volonté claire d’interférer dans les structures stratégiques.

La faille CVE‑2025‑8088 a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA américaine le 12 août 2025. Cela implique une obligation pour les agences fédérales de déployer un correctif immédiat sous peine de non-conformité aux directives de cybersécurité (BOD 22-01). Le score CVSS attribué à cette vulnérabilité est de 8,4, signe de sa criticité élevée.

Le plus alarmant reste la simultanéité d’exploitation par un second groupe : Paper Werewolf, alias GOFFEE, qui s’est approprié la même faille peu après. Cette double exploitation suggère une probable fuite ou vente privée de l’exploit, accentuant le danger de réutilisation dans des campagnes futures.

Dans cette nouvelle ère de guerre hybride, où les lignes entre cybercriminalité et renseignement s’effacent, la vulnérabilité WinRAR symbolise une faille bien plus large : celle d’un cyberespace vulnérable, traversé par des ambitions politiques masquées sous des lignes de code.