Archives de catégorie : Mise à jour

Cloud, Cybersécurité, Entreprise, Mise à jour, Patch

Une vulnérabilité Streamlit menace les marchés financiers

Une faille critique dans Streamlit expose des dashboards boursiers aux manipulations, facilitant la prise de contrôle de comptes cloud mal configurés et déstabilisant potentiellement les marchés.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Cato Networks révèle une faille grave dans le widget st.file_uploader de Streamlit : l’absence de validation côté serveur permet d’exploiter cette vulnérabilité pour prendre le contrôle d’instances cloud mal configurées. À travers une démonstration, les chercheurs montrent comment cette faille peut être utilisée pour falsifier des tableaux de bord financiers en temps réel et déclencher des chocs artificiels sur les marchés. Bien que patchée dans la version 1.43.2, cette vulnérabilité souligne les risques liés à de mauvaises pratiques de configuration en environnement cloud. Vigilance, compartimentation et corrections rapides sont essentielles pour éviter tout scénario de manipulation malveillante.

Origine et nature de la vulnérabilité Streamlit

Streamlit, outil open source largement adopté pour la visualisation de données, intègre une fonction de téléchargement de fichiers, st.file_uploader, censée restreindre les types de fichiers acceptés. Or, cette vérification était uniquement exécutée côté client, dans le navigateur. Une faille majeure : en interceptant la requête, un attaquant pouvait facilement modifier l’extension du fichier envoyé, contournant ainsi la sécurité supposée.

L’équipe de Cato CTRL a mis en lumière cette vulnérabilité en février 2025. Elle permettait, entre autres, d’envoyer un fichier Python masqué sous une extension autorisée (ex. .txt), puis exécuté à distance. Cette négligence de validation côté serveur est d’autant plus critique qu’elle concerne un outil utilisé dans de nombreux dashboards de monitoring, y compris dans le secteur financier.

Scénario d’exploitation et conséquences financières

Imaginez une interface de trading qui affiche des données fausses en temps réel : cours erronés, signaux d’achat déclenchés artificiellement, volatilité non justifiée. C’est exactement ce que la démonstration de Cato a mis en scène.

En chargeant un fichier piégé dans une instance Streamlit exposée sans protections réseau (pare-feu, authentification, segmentation), l’attaquant peut obtenir un shell, escalader les privilèges et altérer les données affichées aux analystes financiers. Dans des conditions réelles, cela pourrait provoquer des prises de décisions erronées par des investisseurs, avec des impacts économiques significatifs, voire des déclenchements d’ordres automatiques sur les marchés.

La faille a été corrigée dans la version 1.43.2 de Streamlit en mars 2025. Pourtant, la plateforme a refusé de la qualifier de vulnérabilité de sécurité, estimant que la responsabilité de validation incombait aux développeurs d’applications, et non au framework. Cato Networks a donc tenté de faire enregistrer une CVE via MITRE – en vain jusqu’à aujourd’hui.

Cette faille met en lumière une vérité souvent négligée dans les environnements cloud : la configuration est aussi critique que le code. La vulnérabilité n’exploitait pas une faille dans l’infrastructure cloud sous-jacente (AWS, Azure, GCP), mais dans le déploiement de l’application elle-même. Dans le modèle de responsabilité partagée, c’est bien au client qu’incombe la protection de ses assets.

Il faut donc :

Isoler les instances Streamlit derrière des contrôles d’accès forts ;

Appliquer le principe du moindre privilège dans les autorisations ;

Mettre à jour systématiquement les dépendances open source ;

Effectuer des tests de sécurité sur les entrées utilisateur, y compris les fichiers.

Cato Networks recommande en outre d’utiliser des solutions capables de détecter les comportements anormaux dans les processus cloud, comme les accès non légitimes ou les modifications suspectes de fichiers backend. Ce cas rappelle que même une fonction d’apparence banale peut devenir un vecteur d’attaque dévastateur, surtout dans un contexte de finance algorithmique et de visualisation temps réel. L’ingénierie logicielle ne peut se permettre de reléguer la sécurité à un second plan.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google lance OSS Rebuild pour sécuriser la chaîne d’approvisionnement open source

L’open source représente aujourd’hui 77 % des applications et sa valeur mondiale excède 12 000 milliards de dollars (environ 11 130 milliards d’euros). Mais cette omniprésence en fait une cible privilégiée pour les attaques sur la chaîne d’approvisionnement, où des acteurs malveillants insèrent du code frauduleux dans des composants de confiance.

Les attaques sur la chaîne d’approvisionnement logicielle ciblent principalement les projets open source, au cœur de l’infrastructure numérique. Le phénomène a pris de l’ampleur au fil des années, notamment via la compromission d’outils et de modules largement utilisés dans la communauté mondiale des développeurs. L’attrait pour les composants open source s’explique par leur présence massive dans les applications, des systèmes d’exploitation aux services en ligne. Les statistiques confirment cette tendance : 77 % des applications intégrant du code open source et une valorisation de ces composants estimée à plus de 12 000 milliards de dollars (environ 11 130 milliards d’euros).

Parmi les incidents récents, plusieurs attaques retentissantes ont mis en évidence la vulnérabilité des chaînes d’approvisionnement. Dans un projet hébergé sur npm, la compromission d’un compte a permis l’ajout d’une porte dérobée destinée à dérober des clés cryptographiques. Un autre cas notable concerne l’introduction d’une action GitHub malveillante dans un dépôt populaire, provoquant la fuite de secrets. Enfin, l’attaque sophistiquée sur un projet d’archivage open source a permis l’implantation d’une porte dérobée assurant un accès distant non autorisé. Chacun de ces cas a eu un impact direct sur la confiance accordée aux écosystèmes logiciels, fragilisant à la fois la relation entre développeurs et utilisateurs et ralentissant l’innovation.

La popularité des solutions open source entraîne une diversification des techniques utilisées par les attaquants. Ceux-ci exploitent la complexité des chaînes de développement pour insérer des modifications malicieuses, parfois indétectables sans outils dédiés. Les mécanismes de contrôle traditionnels peinent à suivre le rythme et l’ampleur des évolutions, accentuant la nécessité de solutions innovantes pour restaurer la confiance.

Les conséquences de ces attaques vont au-delà de la simple compromission technique. Elles affectent la réputation des projets, l’adoption des nouvelles versions et la sécurité globale des services. Plusieurs plateformes de distribution de paquets ont déjà renforcé leurs contrôles, mais la question de la transparence du processus de compilation et de la traçabilité des modifications reste centrale.

Google présente OSS Rebuild pour restaurer la confiance

Face à ces enjeux, Google a développé un nouvel outil dédié à la transparence dans la chaîne d’approvisionnement logicielle : OSS Rebuild. Ce service propose de vérifier la correspondance entre le code source public et les paquets distribués, en s’appuyant sur des reconstructions automatisées. L’objectif affiché est de permettre à chaque membre de la communauté d’analyser l’origine des composants, de valider leur intégrité et de surveiller tout changement intervenu durant la phase de compilation.

OSS Rebuild s’inscrit dans une démarche de conformité avec les exigences de la Supply-chain Levels for Software Artifacts (SLSA), en particulier le niveau SLSA Build Level 3. Le service génère automatiquement les métadonnées associées aux processus de compilation, sans requérir l’intervention directe des auteurs des projets concernés. Cette automatisation vise à faciliter l’adoption de standards de sécurité élevés dans l’ensemble de l’écosystème open source.

Le fonctionnement du service est pensé pour répondre aux besoins de différents profils d’utilisateurs. Les spécialistes en sécurité disposent d’un accès à l’analyse détaillée des divergences éventuelles entre code et paquets. Ils peuvent ainsi identifier rapidement les incohérences, les défauts de configuration de l’environnement de compilation ou l’insertion de fonctionnalités cachées. De leur côté, les mainteneurs de projets peuvent enrichir l’historique de leurs publications en y associant des informations sur l’intégrité et la reproductibilité des versions.

Actuellement, OSS Rebuild prend en charge les paquets issus de trois grandes plateformes : PyPI pour Python, npm pour JavaScript et TypeScript, ainsi que Crates.io pour Rust. Cette compatibilité doit être progressivement étendue à d’autres environnements selon le calendrier annoncé par Google. L’accès à l’outil s’effectue via une interface en ligne de commande, permettant d’interroger l’origine d’un paquet, de consulter l’historique des reconstructions ou de lancer une recompilation à la demande.

Le recours à OSS Rebuild n’est pas limité aux seuls incidents de sécurité. Les analyses peuvent également porter sur des versions déjà publiées, offrant la possibilité de réévaluer l’intégrité de paquets antérieurs ou de vérifier la reproductibilité des versions historiques. Cette approche favorise la constitution d’une documentation exhaustive, essentielle à la gestion de la conformité et à la réponse aux exigences réglementaires croissantes.

La généralisation de ce type d’outils répond à une demande pressante du secteur, confronté à l’augmentation du nombre de vulnérabilités exploitées via la chaîne d’approvisionnement. Les grandes entreprises, tout comme les développeurs indépendants, sont encouragés à adopter ces pratiques pour garantir la sécurité de leurs dépendances et préserver la confiance des utilisateurs finaux.

À mesure que le périmètre de l’open source s’élargit, la protection de ses processus de développement revêt une importance stratégique. La mise à disposition d’outils tels qu’OSS Rebuild va-t-il contribuez à réduire les risques systémiques et à promouvoir des standards élevés dans la gestion de la chaîne d’approvisionnement logicielle ? Si la lutte contre les attaques sophistiquées requiert une vigilance constante, la transparence et la traçabilité apparaissent désormais comme des leviers majeurs pour pérenniser l’innovation dans l’univers du logiciel libre.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Failles critiques Cisco ISE : exécution de code à distance et correctifs

Des vulnérabilités critiques, activement exploitées dans Cisco Identity Services Engine et son module Passive Identity Connector, permettent à des attaquants d’accéder à des réseaux d’entreprise sans authentification, compromettant la sécurité interne.

La société Cisco a publié un avis officiel après la découverte de plusieurs vulnérabilités critiques affectant son produit phare Cisco Identity Services Engine (ISE) ainsi que le module associé Passive Identity Connector (ISE-PIC). L’équipe Product Security Incident Response Team (PSIRT) de Cisco a confirmé l’exploitation active de ces failles par des attaquants dans des conditions réelles, précisant que plusieurs tentatives d’exploitation ont été observées sur des infrastructures de clients. La gravité de ces vulnérabilités, évaluée à 10 sur 10 sur l’échelle CVS, place ces incidents parmi les menaces les plus sérieuses identifiées récemment dans le secteur de la cybersécurité d’entreprise.

Le produit Cisco Identity Services Engine occupe une place centrale dans le contrôle des accès aux réseaux professionnels. Il détermine les conditions et modalités selon lesquelles les utilisateurs et équipements peuvent se connecter à l’infrastructure interne d’une organisation. Une compromission de ce composant peut ouvrir la voie à des intrusions à grande échelle, en contournant tous les mécanismes d’authentification et de journalisation des accès. Cette situation expose l’ensemble du système d’information à une prise de contrôle totale, par le biais de privilèges administratifs de type root, traditionnellement réservés à la gestion la plus sensible des systèmes.

Les vulnérabilités concernées portent sur la gestion des requêtes API et le traitement des fichiers au sein des solutions Cisco ISE et ISE-PIC. Les deux premières failles sont issues d’une absence de validation suffisante des données transmises via l’API. Un attaquant distant, sans aucune authentification préalable, peut ainsi envoyer des requêtes spécifiquement conçues pour exécuter des commandes arbitraires sur le serveur, obtenant un accès complet aux ressources critiques de l’entreprise. La troisième vulnérabilité concerne un défaut de filtrage lors du téléchargement de fichiers via une interface interne, ce qui permet à un individu malveillant d’introduire un fichier malveillant dans un répertoire protégé et de le faire exécuter avec les droits les plus élevés du système.

Les mécanismes d’exploitation sont similaires à ceux observés dans d’autres attaques majeures ciblant les infrastructures réseau : manipulation de requêtes API ou envoi de fichiers modifiés pour prendre le contrôle des serveurs. Le danger est accentué par le fait que ces failles ne requièrent aucune authentification préalable, rendant les attaques difficiles à détecter et à prévenir en amont. L’intégrité de la plateforme étant compromise, toutes les mesures de sécurité internes peuvent être contournées, ce qui remet en cause la confiance dans la protection des données et des flux internes à l’organisation.

Corrections publiées et recommandations officielles pour la protection des infrastructures

Face à la gravité de la situation, Cisco a rapidement publié des correctifs visant à supprimer l’ensemble des vulnérabilités détectées. Les entreprises utilisatrices de Cisco Identity Services Engine et du module Passive Identity Connector sont invitées à déployer sans délai les versions corrigées du logiciel. Les systèmes qui ne seraient pas mis à jour demeurent vulnérables à des attaques à distance, avec des risques majeurs de compromission pour les organisations, en particulier celles opérant dans des secteurs à forte contrainte réglementaire ou assurant la gestion d’infrastructures critiques.

La mise à jour des logiciels ne constitue toutefois qu’une première étape. Les experts en cybersécurité de Cisco recommandent une surveillance accrue des journaux d’activité réseau, afin de repérer toute tentative d’exploitation des interfaces API ou d’envoi de fichiers non autorisés. Il est conseillé d’examiner en détail les traces d’événements suspectes, notamment en cas d’exposition des composants ISE à l’extérieur du réseau d’entreprise.

La société ne précise pas à ce stade quelles variantes exactes des failles ont été exploitées par les attaquants, ni l’identité des groupes ou individus à l’origine de ces attaques. Aucune information n’est communiquée sur le périmètre exact des entreprises concernées, ni sur la volumétrie des incidents recensés. Cette retenue s’explique par la nécessité de ne diffuser que des éléments vérifiés, afin de ne pas perturber les opérations de sécurisation en cours et de garantir l’efficacité des mesures correctrices.

Dans l’environnement actuel, marqué par la multiplication des attaques ciblées sur les infrastructures réseau, la compromission d’un composant aussi central que Cisco ISE a un impact immédiat sur la fiabilité de l’ensemble des dispositifs de défense d’une organisation. Le niveau de sévérité attribué par Cisco et les recommandations de remédiation émanant directement de l’éditeur soulignent la nécessité d’agir rapidement pour éviter une propagation des attaques à plus grande échelle.

Chiffrement, Entreprise, Justice, Mise à jour

WeTransfer dans la tourmente : vos fichiers peuvent-ils vraiment être utilisés pour entraîner une IA ?

WeTransfer a récemment déclenché une vague d’indignation en modifiant discrètement ses conditions générales d’utilisation. En jeu : une licence d’exploitation massive sur vos fichiers… et potentiellement leur usage dans des intelligences artificielles.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

En juillet 2025, la plateforme de transfert de fichiers WeTransfer, prisée par des millions de créatifs, journalistes et professionnels, a discrètement mis à jour ses conditions générales d’utilisation. Une nouvelle clause a suscité une vive polémique : elle accordait à l’entreprise une licence étendue pour exploiter les fichiers transférés – incluant la possibilité de les modifier, reproduire, distribuer… voire les utiliser à des fins d’entraînement d’intelligence artificielle.

Face à une levée de boucliers sur Reddit, LinkedIn et dans les cercles créatifs, la société a fait machine arrière. Mais l’affaire soulève des questions cruciales : que devient réellement ce que vous transférez ? Et à quel prix pour votre confidentialité ?

Une licence qui va (très) loin

La version de juillet 2025 des CGU de WeTransfer stipulait que les utilisateurs concédaient une licence perpétuelle, mondiale, gratuite, transférable et sous-licenciable à l’entreprise sur tous les fichiers envoyés via la plateforme.

Dans le détail, cette licence permettait à WeTransfer de :

  • reproduire vos fichiers,

  • créer des œuvres dérivées,

  • les modifier,

  • les distribuer,

  • les afficher publiquement,

  • et même… les utiliser pour former ses propres modèles d’intelligence artificielle.

Autrement dit, vos projets de design, vos photos confidentielles, vos productions vidéos ou fichiers journalistiques pouvaient servir d’alimentation à une IA maison, sans votre consentement explicite… ni compensation.

« C’est totalement fou. On transfère nos rushs à nos clients, et là on apprend que WeTransfer peut les réutiliser comme bon lui semble ? » — témoignage d’un monteur freelance sur Reddit

Le retour de bâton : colère, buzz, et retrait partiel

La clause n’est pas passée inaperçue. Sur les réseaux sociaux, les réactions ont été instantanées et virulentes :

  • Reddit a vu fleurir des topics avec des titres comme “WeTransfer just gave itself full rights to your files” ou “Alerte, ils veulent nourrir leur IA avec nos projets”.

  • LinkedIn a vu des appels au boycott, notamment du côté des créateurs de contenu et photographes professionnels.

  • Plusieurs juristes ont également pointé une potentielle incompatibilité avec le RGPD.

Résultat : à peine une semaine plus tard, WeTransfer a publié une mise à jour. La société y assure ne pas utiliser les fichiers des utilisateurs pour entraîner d’intelligence artificielle ni les monétiser auprès de tiers.

Mais — et c’est un point crucial — la licence d’utilisation étendue n’a pas été totalement retirée. Elle demeure, même sans l’usage de l’IA.

Action Description
Lire les CGU Avant chaque envoi, surtout pour les plateformes freemium.
Ne pas utiliser WeTransfer pour des fichiers sensibles Données clients, fichiers juridiques, créations inédites : passez votre tour.
Préférer un chiffrement en amont Crypter localement vos fichiers (ex : avec VeraCrypt, 7-Zip AES).
Opter pour des alternatives plus transparentes Par exemple : SwissTransfer (serveurs suisses), SpiderOak, Tresorit (protection juridique forte, pas de clause d’usage commercial). Le service Bluefiles est une alternative parfaite. (protection juridique forte, Français).
Suivre les mises à jour légales Les CGU changent vite et souvent. Mieux vaut les suivre comme on suit une météo instable.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Sécurité : chiffrée, mais pas invisible

Sur le plan de la sécurité technique, WeTransfer communique volontiers sur sa conformité avec le RGPD et sur l’utilisation de mesures solides :

  • Chiffrement TLS et AES-256 pour les transferts.

  • Suppression automatique des fichiers après 48h ou selon durée choisie (jusqu’à 1 an si compte Pro).

  • Serveurs conformes aux clauses contractuelles types de l’UE pour les transferts hors EEE.

  • Audits et accès restreints au personnel autorisé.

Sur le papier, c’est rassurant. Mais une question subsiste : à quoi bon crypter si, contractuellement, l’entreprise se réserve le droit de consulter, modifier ou dupliquer le contenu ?

Autrement dit : la sécurité technique ne compense pas une politique de droits d’usage agressive.

Ce que dit le droit (et ce qu’il ne dit pas)

WeTransfer s’appuie sur un principe juridico-commercial courant dans le numérique : l’octroi de licence large pour assurer le bon fonctionnement du service. En clair, permettre à un serveur de copier temporairement un fichier, c’est techniquement une « reproduction ».

Mais là où beaucoup d’acteurs s’arrêtent à une licence limitée à l’exploitation nécessaire du service, WeTransfer avait franchi la ligne avec :

  • la possibilité de créer des œuvres dérivées,

  • l’autorisation de sous-licencier à des tiers,

  • l’usage dans des “produits, services ou technologies futurs”, ce qui inclut… l’IA.

Même après la suppression de la mention IA, ces points restent valides.

Un cas d’école sur le consentement numérique

L’affaire WeTransfer montre à quel point le texte des conditions générales n’est jamais anodin. Derrière un service pratique et populaire peut se cacher une stratégie d’exploitation des données, souvent camouflée dans des formulations juridiques d’apparence banale.

Cette tentative de licence “gloutonne” — et son retrait partiel sous pression — illustre :

  • le déséquilibre informationnel entre plateformes et utilisateurs ;

  • la fragilité de notre consentement numérique ;

  • l’importance d’une veille active sur les pratiques contractuelles, surtout pour les pros de la création, du journalisme et de la cybersécurité.

WeTransfer reste un outil rapide, intuitif, et pratique pour échanger de gros fichiers. Mais sa politique d’utilisation soulève des interrogations profondes sur la monétisation des données, le respect de la vie privée, et l’évolution des rapports de force entre utilisateur et plateforme.

En 2025, le cloud ne vaut pas que par sa vitesse de transfert. Il vaut aussi par ce qu’il nous fait perdre — ou garder — de nos droits fondamentaux sur nos propres données.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Mise à jour, Patch, VPN

Expressvpn corrige une faille critique exposant les adresses ip sous Windows

Une vulnérabilité majeure a été identifiée dans le client Windows d’ExpressVPN, affectant spécifiquement la gestion du protocole Remote Desktop Protocol (RDP) et entraînant l’exposition d’adresses IP réelles des utilisateurs. 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

La faille d’ExpressVPN sur Windows a permis le contournement du tunnel VPN lors des connexions RDP, ce qui a exposé les véritables adresses IP des utilisateurs concernés. À l’origine de cette vulnérabilité se trouvait un code de débogage, laissé par inadvertance lors de tests internes, qui n’a pas été retiré avant la mise en production de plusieurs versions du client. Concrètement, le trafic réseau généré lors d’une session RDP transitait hors du tunnel chiffré, contrairement à ce qu’exige le fonctionnement normal d’un VPN. De ce fait, un observateur externe, qu’il s’agisse d’un fournisseur d’accès à Internet ou d’un tiers connecté au même réseau local, pouvait non seulement détecter l’utilisation d’ExpressVPN, mais également accéder aux adresses IP précises des serveurs distants auxquels l’utilisateur se connectait.

« Le contournement du tunnel VPN lors des sessions RDP a permis la divulgation involontaire d’adresses IP réelles », a-t-il été constaté dans les rapports techniques.

Malgré le maintien du chiffrement du contenu, l’échec du routage par le tunnel VPN est considéré comme une faille importante. ExpressVPN, positionnée comme l’un des acteurs majeurs de la protection de la vie privée en ligne, a reconnu la gravité du problème, tout en précisant que la faille était limitée à une portion restreinte de sa base d’utilisateurs. D’après la communication officielle, seuls les utilisateurs ayant recours à RDP, un protocole essentiellement utilisé dans les environnements professionnels et par les administrateurs informatiques, étaient concernés. Le client standard, notamment pour la navigation web, n’était pas affecté par ce contournement.

La détection de la vulnérabilité le 25 avril 2025 a conduit à une enquête technique approfondie, confirmant que les versions du client Windows d’ExpressVPN comprises entre la 12.97 et la 12.101.0.2-beta étaient vulnérables. Selon l’éditeur, l’introduction du code problématique relevait d’un oubli lors du processus de développement et ne résultait pas d’une intention malveillante.

« La faille provenait d’un résidu de code de test destiné aux équipes internes, resté accidentellement dans les versions de production », ont précisé les experts sécurité.

Suite à la publication de la vulnérabilité, ExpressVPN a déployé le 18 juin 2025 une nouvelle version du client Windows, estampillée 12.101.0.45, corrigeant définitivement le problème. La société a demandé à l’ensemble de ses utilisateurs sous Windows de procéder immédiatement à la mise à jour du logiciel afin d’éviter toute exposition supplémentaire.

En réponse à l’incident, ExpressVPN s’est engagée à renforcer ses processus de validation interne des logiciels, en mettant notamment l’accent sur l’automatisation accrue des tests de sécurité sur les futures versions. L’objectif affiché est de prévenir toute récurrence d’incident de ce type, en veillant à ce qu’aucun code de test ne soit intégré dans les versions finales destinées au public.

 

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

« L’incident a principalement concerné une population d’utilisateurs professionnels, utilisant fréquemment RDP pour des accès à distance », souligne le rapport d’audit technique.

L’impact réel sur les utilisateurs demeure circonscrit à ceux exploitant simultanément ExpressVPN et le protocole RDP sur des systèmes Windows, la majorité des clients particuliers n’ayant pas été concernés. Néanmoins, la nature même de la vulnérabilité, à savoir la possibilité pour des tiers de remonter jusqu’à l’adresse IP réelle d’utilisateurs pensant être protégés par le VPN, constitue un manquement notable à la promesse de confidentialité et de sécurité d’ExpressVPN.

En parallèle, cet incident survient alors qu’ExpressVPN avait déjà été confronté à une fuite de requêtes DNS en 2024, liée à l’option de tunnelisation fractionnée. Cette fonctionnalité avait dû être temporairement désactivée dans l’attente d’un correctif, ce qui avait suscité une vigilance accrue de la part de la communauté sécurité.

La séquence des deux incidents en moins de deux ans souligne les enjeux spécifiques à la sécurisation des logiciels VPN, dont l’attractivité repose justement sur la capacité à garantir l’invisibilité et la confidentialité du trafic en toutes circonstances. Dans les deux cas, ExpressVPN a publié des mises à jour correctives rapides et communique activement auprès de ses utilisateurs, tout en promettant une amélioration continue de ses procédures internes.

« ExpressVPN a diffusé un correctif le 18 juin 2025 et invite ses clients Windows à effectuer la mise à jour sans délai », selon les communications officielles.

La société rappelle que, dès l’installation de la version 12.101.0.45, l’ensemble du trafic, y compris lors des connexions RDP, transite à nouveau exclusivement par le tunnel VPN chiffré, conformément aux attentes et aux garanties de sécurité affichées. L’éditeur poursuit par ailleurs la mise en place de nouveaux mécanismes d’automatisation des tests, afin de mieux contrôler le processus de livraison logicielle et d’anticiper tout défaut similaire à l’avenir.

En ce qui concerne la conformité, ExpressVPN indique collaborer avec des spécialistes indépendants pour auditer ses procédures internes et valider la robustesse des correctifs appliqués. Selon les analyses publiques disponibles, aucun cas d’exploitation malveillante de la faille n’a été rapporté avant la publication du correctif, ce qui limite les risques pour les utilisateurs concernés.

La prise en charge proactive des utilisateurs et la publication rapide d’une version corrigée démontrent la volonté de l’éditeur de restaurer la confiance, bien que la succession d’incidents techniques impose une vigilance renforcée de la part des professionnels et des entreprises recourant à des solutions VPN pour la sécurisation des accès distants.

« Aucune exploitation malveillante de la faille n’a été détectée avant la mise à disposition du correctif », selon les analyses de sécurité publiées.

Pour conclure, cette faille sur le client Windows d’ExpressVPN illustre les risques inhérents au développement de solutions logicielles orientées sécurité, où la moindre erreur de code ou omission dans la gestion des protocoles peut remettre en cause la confidentialité des utilisateurs. Les réactions rapides d’ExpressVPN, associées à l’engagement public de renforcer ses pratiques de test, visent à rassurer l’ensemble de ses clients, tout en soulignant la nécessité pour les utilisateurs professionnels d’appliquer systématiquement les mises à jour proposées par leurs fournisseurs de solutions VPN.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Zéro-day sur Microsoft SharePoint : plus de 100 organisations déjà compromises !

Un exploit critique permet l’injection de portes dérobées avant toute authentification. Des géants industriels, des hôpitaux et des agences gouvernementales figurent déjà parmi les cibles. Microsoft et les CERT appellent à une vigilance renforcée.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Il y a quelques jours, une vulnérabilité critique de type « zero-day » a été découverte dans Microsoft SharePoint Server. D’abord perçue comme une faille technique isolée, elle s’est révélée être au cœur d’une campagne de piratage d’ampleur inédite. Ce défaut de sécurité permet à des attaquants d’exécuter du code arbitraire sur les serveurs cibles, avant même toute authentification. L’exploitation active a été détectée par l’entreprise néerlandaise Eye Security, rapidement relayée par la Shadowserver Foundation, qui confirme une vague de compromissions en cours.

Initialement repérée sur une poignée de systèmes – environ 85 serveurs selon les premières observations – l’attaque s’est révélée bien plus large que prévu. À l’heure actuelle, plus de 100 organisations ont été confirmées comme victimes, parmi lesquelles figurent des multinationales, des entreprises industrielles sensibles, des hôpitaux et des administrations publiques. La majorité des compromissions concerne des entités situées aux États-Unis et en Allemagne, mais la propagation est mondiale.

Une porte d’entrée avant identification, une persistance après patch

La faille, désormais référencée sous le code CVE-2025-49706, affecte spécifiquement les installations locales de Microsoft SharePoint Server. Elle repose sur un processus de désérialisation de données non fiables, permettant à un acteur malveillant d’exécuter du code sans avoir besoin de s’authentifier sur le serveur. Cette caractéristique rend l’attaque particulièrement redoutable : elle contourne les protections de base, infiltre les systèmes, et permet l’installation d’un backdoor persistant dans l’infrastructure.

Une fois la brèche exploitée, les attaquants récupèrent des clés cryptographiques sensibles – notamment les clés MachineKey, utilisées pour la validation et le chiffrement des sessions. Ces éléments permettent ensuite de générer du trafic qui semble parfaitement légitime aux yeux du serveur cible, même après l’installation des correctifs de sécurité. Les requêtes malveillantes sont ainsi indétectables par les filtres traditionnels, et la compromission se prolonge en toute discrétion.

Des chercheurs décrivent une chaîne d’infection redoutablement efficace. L’attaque commence avant l’authentification, se poursuit à l’aide de scripts PowerShell, de fichiers ASPX malveillants, et de techniques d’exfiltration directe depuis la mémoire vive du serveur. L’objectif : récupérer des secrets, contourner les journaux système, et pivoter à l’intérieur du réseau à grande vitesse, sans nécessité de ré-exploiter la faille.

 

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Des milliers de serveurs vulnérables encore exposés

La Shadowserver Foundation estime que jusqu’à 9 000 serveurs SharePoint accessibles depuis Internet pourraient être vulnérables à l’attaque. Les secteurs concernés sont critiques : entreprises industrielles, établissements de santé, cabinets d’audit, institutions bancaires, organismes publics. Le risque d’espionnage économique ou d’interruption de service est donc majeur.

Data Security Breach vous alerte également sur un danger moins visible : la simple présence de la vulnérabilité peut signifier qu’un accès clandestin a déjà été pris. Il ne suffit donc plus de déployer les mises à jour. Il est désormais recommandé de procéder à un audit complet des systèmes, voire à leur isolement en cas de doute sérieux.

Microsoft, de son côté, a reconnu la gravité de la situation. Des mises à jour de sécurité ont été publiées, accompagnées de recommandations urgentes. Toutefois, l’éditeur souligne que les correctifs seuls ne suffisent pas si les attaquants ont déjà obtenu les clés de chiffrement critiques. Pour se protéger, Microsoft préconise également l’activation de l’interface de scan antimalware (AMSI), le déploiement de Microsoft Defender sur les hôtes concernés, et – en cas d’urgence – la coupure de la connexion Internet des serveurs affectés.

Une campagne en chaîne, et des traces menant vers la Chine

Plus inquiétant encore : la faille CVE-2025-49706 est désormais exploitée en tandem avec une autre vulnérabilité, non nommée pour l’instant. Cette combinaison permet de transformer une simple requête HTTP avec un en-tête Referer pointant vers le chemin /_layouts/SignOut.aspx en une attaque complète, équivalente à celle connue sous le nom CVE-2025-53770. Cette technique de contournement minimaliste est actuellement utilisée activement dans des campagnes mondiales, selon les experts Palo Alto Networks.

Quant à l’origine des attaques, aucun groupe n’a encore revendiqué cette campagne sophistiquée. Cependant, les données de Google sur le trafic global ont permis d’établir un lien potentiel avec une groupe APT opérant depuis la Chine. Cette hypothèse reste à confirmer, mais elle est prise au sérieux par les services de renseignement. L’ambassade chinoise, sollicitée, n’a pas souhaité commenter ces accusations. A noter que l’Ip est Chinoise, les pirates sont trés certainement à des milliers de kilomètres de ce pays.

Aux États-Unis, le FBI est désormais saisi de l’affaire, tout comme le National Cyber Security Centre (NCSC) britannique. Les deux entités coopèrent activement avec des partenaires publics et privés pour évaluer l’impact et identifier les vecteurs d’intrusion.

La réaction d’urgence ne suffit plus : les entreprises doivent revoir leur modèle de sécurité

Cette attaque marque un tournant dans la stratégie des cybercriminels. Elle démontre que la compromission d’un serveur peut précéder toute détection, et qu’un patch appliqué tardivement est souvent inutile. Pire encore : certains systèmes sont aujourd’hui silencieusement compromis, en apparence sains, mais manipulés en profondeur. Le modèle de sécurité défensif classique – identifier, patcher, surveiller – montre ici ses limites.

Pour les entreprises utilisant Microsoft SharePoint, il ne s’agit plus d’un simple avertissement. C’est un appel à l’action immédiat, mais aussi à une refonte stratégique. La résilience numérique passe désormais par une surveillance proactive, des journaux renforcés, des audits réguliers de configuration, de la veille sérieuse du web et du dark web comme le propose la référence sur ce sujet, le Service Veille de ZATAZ, et des simulations d’intrusion pour évaluer la surface d’attaque réelle. Le recours à des plateformes cloisonnées, la segmentation réseau, et l’automatisation des détections doivent redevenir prioritaires.

Face à une menace qui évolue aussi vite que les correctifs, seule une vision stratégique et systémique de la cybersécurité permettra de contenir l’impact. Les organisations doivent cesser de traiter les failles comme de simples bugs techniques, et commencer à les voir comme des opportunités offertes à leurs adversaires les plus déterminés.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Entreprise, Mise à jour, Patch

Patch Tuesday de juillet 2025 : 130 failles corrigées, priorité sur Chrome et Edge

Microsoft publie en juillet 2025 des correctifs majeurs pour Windows, Office, SharePoint, SQL et Visual Studio, tandis que Google Chrome et Edge corrigent une faille Zero Day critique.

Le mois de juillet 2025 marque un Patch Tuesday particulièrement dense, avec 130 nouvelles vulnérabilités (CVE) traitées par Microsoft, dont 14 classées au niveau Critique. Ces failles concernent l’ensemble des environnements Windows, mais touchent également Office, SharePoint et SQL Server, des composants majeurs dans les systèmes d’information des entreprises. Microsoft fait état d’une divulgation publique cette fois, avec la correction d’une faille (CVE-2025–49719) dans Microsoft SQL. Cette vulnérabilité de divulgation d’informations, dont la publication a été confirmée par Microsoft, bénéficie d’un score CVSS v3.1 de 7,5 et est considérée de niveau Important, bien que le code d’exploitation n’ait pas encore été démontré.

D’après les données officielles publiées le 9 juillet 2025, Microsoft recommande l’application rapide des correctifs, les vulnérabilités critiques pouvant permettre l’exécution de code à distance, notamment au travers du service Windows RRAS (Routing and Remote Access Service). Seize failles (CVE) ont été corrigées sur ce composant réseau, exposant les systèmes Windows Server à un risque d’exploitation par des acteurs non authentifiés. Microsoft précise que l’attaque ne nécessite pas de privilèges particuliers et peut être initiée via le réseau. Il est donc conseillé de limiter l’exposition en restreignant l’accès aux ports RRAS à des réseaux de confiance ou via des VPN, et de désactiver les fonctionnalités RRAS non utilisées.

« Les vulnérabilités RRAS, si elles ne sont pas corrigées, peuvent être exploitées sans privilège sur le réseau », rappelle le rapport officiel de Microsoft du 9 juillet 2025.

La situation du service DHCP sous Windows Server, perturbé depuis le Patch Tuesday de juin 2025, s’est également normalisée. Plusieurs entreprises avaient rapporté des problèmes de renouvellement d’adresse IP et des interruptions du service DHCP suite à l’application des mises à jour de juin. Selon les articles de connaissances (KB) mis à jour, ainsi qu’une vérification croisée sur le moteur de recherche Gemini le 8 juillet 2025, ce dysfonctionnement a bien été résolu par les correctifs publiés ce mois-ci. Avant la publication de ces correctifs, la solution temporaire recommandée consistait à désinstaller les mises à jour de juin, au prix d’une exposition accrue à d’autres vulnérabilités.

Git, Chrome, Edge et Visual Studio : correctifs urgents

Outre les produits phares, sept vulnérabilités liées à Git et deux vulnérabilités additionnelles nécessitant la mise à jour de Visual Studio sont corrigées ce mois-ci. Ces failles, signalées par MITRE, touchaient directement l’outil de versionnage Git intégré à Visual Studio, utilisé massivement dans le développement de logiciels. Les mises à jour de Visual Studio sont donc recommandées à tous les développeurs concernés.

Si Microsoft concentre l’attention par le volume de ses correctifs, la plus forte alerte de sécurité de ce début d’été concerne la quatrième vulnérabilité Zero Day de l’année pour Google Chrome. Signalée sous la référence CVE-2025-6554, cette faille a été corrigée dans le build 138.9.7204.96/.97 pour Windows, 138.0.7204.92/.93 pour Mac et 138.0.7204.92 pour Linux. La publication du correctif le 30 juin 2025 précède de quelques jours le Patch Tuesday, mais son importance est majeure, dans la mesure où elle a déjà été exploitée activement. Microsoft Edge, navigateur basé sur le même moteur Chromium, bénéficie également de cette correction.

La diffusion du correctif étant en cours sur l’ensemble des plateformes, la priorité de sécurité numéro un ce mois-ci, selon la méthodologie de priorisation basée sur les risques, est d’assurer le déploiement effectif des mises à jour Chrome et Edge sur tous les postes de travail. « Les administrateurs doivent vérifier que la dernière version de Chrome et Edge est bien déployée pour contrer l’exploitation Zero Day CVE-2025-6554 », précise le communiqué officiel de Google.

Vulnérabilités tierces et recommandations

Les vulnérabilités tierces restent donc le point de vigilance principal en juillet 2025, bien que la volumétrie côté Microsoft soit importante. Les administrateurs système sont invités à maintenir un niveau de patching élevé sur l’ensemble des solutions Microsoft et Google, notamment dans les environnements d’entreprise. Les correctifs de juillet 2025 ne comportent toutefois pas, selon les publications officielles, de risque de sécurité significatif non corrigé ou d’incident majeur en cours. La priorité reste le déploiement rapide des correctifs disponibles.

Les recommandations générales pour limiter l’exposition aux vulnérabilités, comme la restriction des accès réseaux, la désactivation des fonctions inutilisées et l’application rapide des correctifs, demeurent d’actualité. Il convient également de s’assurer que la mise à jour de l’OS Windows Server est appliquée, particulièrement pour les organisations qui auraient désinstallé la mise à jour de juin à cause des problèmes DHCP.

Cybersécurité, Entreprise, Mise à jour, Patch

19 000 sites WordPress WooCommerce vulnérables à vendre

Un internaute annonce sur un forum clandestin la vente de 19 000 sites WordPress vulnérables utilisant WooCommerce. Il exploiterait une faille SQL trés ancienne.

Un pirate informatique repéré dans un darkweb propose à la vente une base de données étonnante. Etonnante sur plusieurs points. D’abord, le hacker malveillant connu pour ses « produits » dans l’espace pirate surveillé indique posséder 19 000 sites sous WordPress faillible. La faille, second étonnement, une injection SQL dans un plugin qui souffrirait d’un problème de sécurité depuis… 21 ans !

Offre sur le darkweb : vente massive de sites vulnérables WordPress + WooCommerce

Sur ce forum darkweb, l’utilisateur a proposé il y a quelques jours à la vente un lot de 19 000 sites WordPress équipés du plugin WooCommerce. Selon l’annonce, ces sites ne sont pas nécessairement des boutiques en ligne : la seule condition est la présence du plugin WooCommerce, largement utilisé pour ajouter des fonctionnalités e‑commerce à WordPress.

L’exploit décrit s’appuie sur une vulnérabilité d’injection SQL (SQLi), citant un identifiant CVE « vieux de 21 ans ». Aucun détail technique n’est fourni dans l’annonce pour relier la vulnérabilité à un CVE précis. Soit le pirate ment, mais il est connu dans le milieu donc risquerait de ce faire bannir de l’ensemble de ses business, soit le pirate n’est pas fou et n’a pas envie de voir les sites trop rapidement corrigés. L’attaque permettrait d’extraire tout contenu de la base de données : hachages de mots de passe, paramètres de configuration, voire potentiellement des informations sensibles selon le contenu des bases.

Caractéristiques de l’offre malveillante

L’annonce indique que le vendeur a collecté ces accès mais n’a pas procédé à une exploitation approfondie, déclarant manquer de temps et souhaitant financer un autre projet. Le prix de la base de sites vulnérables est fixé à 2 000 €. Le vendeur affirme que la faille toucherait diverses typologies de sites WordPress : boutiques en ligne, sites associatifs avec bouton de don, et plateformes diverses utilisant WooCommerce, ce qui inclut de fait de nombreux commerces ou sites de collecte de fonds.

L’annonce spécule sur la présence éventuelle de numéros de cartes bancaires en base, mais le vendeur indique ne pas avoir automatisé leur extraction à grande échelle. Il sollicite d’ailleurs d’éventuelles méthodes ou scripts d’automatisation permettant d’accélérer cette opération, en promettant d’étudier toute suggestion reçue (sic!).

WooCommerce reste le plugin e‑commerce le plus déployé dans l’écosystème WordPress, avec plus de 5 millions d’installations actives selon WordPress.org. L’historique des vulnérabilités SQLi sur WordPress et WooCommerce est longuement documenté. Plusieurs failles majeures de type injection SQL ont été découvertes, dont CVE‑2013‑7448 et CVE‑2022‑0072, affectant le cœur de WordPress ou ses extensions e‑commerce.

Malgré la correction de la majorité des failles majeures, l’absence de mises à jour automatiques ou l’usage de versions piratées expose encore de nombreux sites. Les administrateurs des 19 000 sites annoncés n’ont pas « patchés » des vulnérabilités pourtant réparées. Les conséquences : extraction de données personnelles, compromission des comptes administrateurs, exfiltration de listes clients, voire parfois accès à des informations de paiement si elles ne sont pas externalisées.

La vente massive de sites vulnérables n’est pas une nouveauté. ZATAZ.COM, blog de référence dédié aux questions de lutte contre le cybercrime, a déjà alerté de nombreuses fois de ce type de marketing de la malveillance. L’existence d’un marché secondaire actif sur les accès à des sites non sécurisés n’est pas un « fantasme ». Le risque élevé de vols de données clients (mails, identités, commandes), compromission des comptes administrateurs, fraudes, usurpations ou campagnes d’hameçonnage (BEC) ciblées, éventuelle exfiltration de données de paiement, si la gestion des cartes bancaires n’a pas été externalisée à un tiers sécurisé.

L’annonce n’indique pas si des sites français sont concernés. Aucun élément vérifiable ne permet d’attester l’exactitude de la quantité ni la localisation des victimes. Les autorités comme l’ANSSI et la CNIL rappellent régulièrement l’importance de mettre à jour WordPress et ses plugins, et de surveiller toute activité suspecte sur les bases de données e‑commerce.

Cybersécurité, Mise à jour

Microsoft sous pression, 65 failles corrigées en juin

Microsoft a publié ce mois-ci des correctifs pour 65 vulnérabilités de sécurité, dont 9 critiques, dans le cadre de son traditionnel Patch Tuesday.

Depuis le début de l’année, le rythme des correctifs s’intensifie pour Microsoft. Avec déjà près de la moitié du total de vulnérabilités corrigées en 2024, l’éditeur est confronté à une pression croissante pour contenir les failles, dont certaines sont activement exploitées. En juin, 65 vulnérabilités (CVE) ont été corrigées, selon les informations officielles publiées par le Microsoft Security Response Center (MSRC), dont 9 critiques. Deux vulnérabilités zero day sont recensées, dont une fait déjà l’objet d’une exploitation active à grande échelle. Plusieurs failles restent cependant non corrigées, comme BadSuccessor, soulevant des inquiétudes sur le rythme et la portée de la réponse sécuritaire de l’éditeur.

Une CVE activement exploitée dès sa divulgation

Parmi les vulnérabilités les plus notables de ce Patch Tuesday figure la CVE-2025-33053. Il s’agit d’une faille d’exécution de code à distance dans le composant WebDAV (Web Distributed Authoring and Versioning), un protocole étendant les capacités de HTTP. Cette CVE est classée comme critique par Microsoft, et son exploitation a été confirmée. Wilfried Bécard, chercheur en cybersécurité chez Synacktiv, a mis au jour cette vulnérabilité majeure dans Active Directory. Elle permet l’exécution de code à distance et l’élévation de privilèges sur les systèmes Windows sans signature SMB (config par défaut). Check Point Research indique que le groupe Stealth Falcon exploiterait ce 0day.

Les attaquants utilisent des fichiers .url piégés pour inciter les cibles à exécuter du code malveillant. Cette méthode a permis une prise de contrôle distante sans interaction supplémentaire. La faille touche les systèmes Windows exposant le service WebDAV non protégé. L’exploitation a été observée dans plusieurs campagnes ciblées.

La CVE-2025-33053 est une des rares vulnérabilités zero day signalées et exploitées activement dès le jour du Patch Tuesday. (une découverte de la société Sinaktiv)

Microsoft a publié un correctif dans son Patch Tuesday de juin. La base de connaissance KB5039705, consultée le 11 juin 2025, fournit les détails de la vulnérabilité ainsi que les systèmes affectés. Les systèmes Windows Server 2016, 2019, 2022 et Windows 10/11 sont concernés, notamment lorsque les services WebDAV sont activés.

BadSuccessor reste non corrigée malgré une divulgation publique

À l’inverse, Microsoft n’a pas encore corrigé la vulnérabilité CVE non référencée mais surnommée « BadSuccessor« , découverte par les chercheurs d’Akamai. Cette faille permet une élévation de privilèges dans les environnements Active Directory. Elle a été divulguée publiquement le 21 mai 2025 par Akamai, preuve de concept à l’appui.

L’exploitation repose sur l’existence d’au moins un contrôleur de domaine sous Windows Server 2025. Selon Tenable, cette configuration ne concerne qu’environ 0,7 % des domaines Active Directory étudiés. Malgré sa portée limitée, la disponibilité publique d’un exploit, notamment via l’outil SharpSuccessor intégré dans les frameworks d’attaque NetExec et BloodyAD, renforce les risques.

Microsoft a confirmé qu’un correctif est prévu, mais aucune date précise n’a été fournie au moment de la publication de cet article. Le MSRC n’a pas encore attribué de CVE officielle à cette faille. Les administrateurs sont invités à limiter les permissions dans Active Directory et à surveiller tout comportement anormal des identités disposant de privilèges élevés.

Une autre zero day divulguée mais non exploitée

La deuxième faille zero day identifiée en juin, selon Microsoft, fait l’objet d’une divulgation publique, mais aucun cas d’exploitation n’a été confirmé à ce jour. Il s’agit de la CVE-2025-33632, une vulnérabilité de type « information disclosure » affectant Windows Kernel. Cette CVE a été notifiée par un chercheur indépendant, mais Microsoft classe le risque comme modéré, la faille ne permettant pas d’exécution de code ou d’élévation directe de privilèges.

Selon le rapport du MSRC, consulté le 11 juin 2025, cette vulnérabilité est cependant considérée comme suffisamment sensible pour avoir justifié un correctif immédiat.

Un patch controversé pour la CVE-2025-21204

En avril dernier, Microsoft corrigeait la CVE-2025-21204, une faille d’élévation de privilèges. Dans le cadre de la mise à jour cumulative publiée ce mois-ci, l’éditeur a modifié sa méthode de sécurisation. Un dossier nommé %systemdrive%\inetpub est désormais généré pour renforcer certaines permissions du système. Cependant, plusieurs utilisateurs l’ont supprimé manuellement, craignant une modification non documentée.

Face aux inquiétudes, Microsoft a publié un script de remédiation, consulté le 11 juin 2025, permettant de restaurer ce répertoire avec les bonnes permissions et de rétablir les listes de contrôle d’accès (ACL) appropriées. Il est explicitement recommandé à toute organisation ayant supprimé manuellement le dossier de lancer ce script, sous peine de dysfonctionnements des services dépendants.

Microsoft publie un script officiel pour corriger manuellement la suppression du dossier système créé lors du correctif de la CVE-2025-21204.

Un volume de correctifs toujours soutenu

Avec les 65 vulnérabilités corrigées ce mois-ci, le total des CVE publiées par Microsoft en 2025 atteint désormais 486, selon le suivi de Tenable Research. À mi-parcours de l’année, ce chiffre représente déjà près de 48 % du total de 2024, qui s’élevait à 1 009 vulnérabilités selon les archives du MSRC.

La majorité des failles de juin sont classées « importantes » par Microsoft, car elles permettent généralement une élévation de privilèges, un contournement de fonctionnalités de sécurité ou une divulgation d’informations. Elles concernent un éventail large de produits, notamment Microsoft Office, Windows Kernel, les navigateurs Edge basés sur Chromium, ainsi que des composants tels que Microsoft Dynamics 365.

Le détail complet de ces vulnérabilités est accessible sur la page officielle MSRC – June 2025 Security Updates, consultée le 11 juin 2025. Chaque CVE y est documentée avec son score CVSS, sa description, les produits concernés et les références aux correctifs correspondants.

Satnam Narang, ingénieur principal chez Tenable, souligne la pression croissante qui s’exerce sur les équipes de sécurité informatique : « Le nombre de CVE corrigées en 2025 nous rapproche déjà de la moitié du total de l’année dernière. À mesure que ce chiffre augmente chaque année, la pression sur les défenseurs du cyberespace pour atténuer efficacement ces vulnérabilités s’intensifie également.« 

Cette dynamique reflète une tendance plus large : l’augmentation continue des surfaces d’attaque, l’évolution rapide des techniques d’exploitation, et la démocratisation d’outils de type « exploit framework » qui facilitent l’industrialisation des campagnes malveillantes.

Certaines failles, comme celles utilisées par le groupe Cl0p en 2023 contre les logiciels de transfert de fichiers (MOVEit, GoAnywhere), ont démontré la vitesse avec laquelle une vulnérabilité zero day peut être exploitée à grande échelle, motivée par des gains financiers immédiats. L’exploitation rapide de la CVE-2025-33053 semble suivre une trajectoire similaire.

Cyber-attaque, Cybersécurité, Mise à jour

Imprimantes piégées : Procolored infecte malgré lui ses clients pendant six mois

Des imprimantes livrées avec un malware, un fabricant pris au piège et des pirates bien rodés : l’affaire Procolored illustre à quel point les cybermenaces peuvent se dissimuler dans les moindres recoins du numérique.

Pendant près de six mois, des imprimantes Procolored ont été distribuées avec des pilotes vérolés, infectant à leur insu de nombreux utilisateurs. Derrière cette compromission, deux malwares particulièrement dangereux, capables de voler des cryptomonnaies ou d’ouvrir une porte dérobée sur les systèmes infectés. Retour sur un scandale qui ébranle la confiance dans les chaînes logicielles.

C’est un petit clic anodin, celui qu’on effectue pour installer les pilotes d’un nouveau périphérique. Mais dans le cas des imprimantes Procolored, ce geste ordinaire s’est transformé en cauchemar pour des dizaines, voire des centaines d’utilisateurs. Depuis octobre 2024, les fichiers proposés en téléchargement sur le site officiel de la marque renfermaient discrètement deux malwares, découverts en mai 2025. En cause : un stockage de pilotes sur la plateforme Mega.nz, utilisé par le fabricant pour héberger les logiciels nécessaires à l’installation de ses modèles d’imprimantes UV. Problème : plusieurs de ces fichiers hébergés étaient infectés. GData Software, entreprise spécialisée en cybersécurité, a tiré la sonnette d’alarme après qu’un YouTuber passionné d’impression UV a vu son antivirus déclencher une alerte. Les analyses ont révélé que les fichiers téléchargés contenaient les malwares XRedRAT et CoinStealer, deux menaces bien connues du paysage cybercriminel.

Une menace insidieuse, masquée derrière des fichiers officiels

39 fichiers suspects ont été détectés, dont 20 avec des empreintes numériques uniques, preuve que les pirates ont conçu des versions personnalisées des malwares pour échapper aux détections classiques. Le premier, XRedRAT, agit comme une porte dérobée : une fois installé, il permet à des attaquants distants de prendre le contrôle d’un ordinateur, d’en exfiltrer des données, ou encore d’y installer d’autres malwares. Le second, CoinStealer, est conçu pour cibler les utilisateurs de cryptomonnaies. Il surveille le presse-papiers à la recherche d’adresses de portefeuille, et les remplace automatiquement par celles du cybercriminel lorsque l’utilisateur tente d’effectuer une transaction.

Les conséquences sont bien réelles. L’adresse de portefeuille identifiée comme réceptrice des fonds détournés a déjà accumulé 9,3 bitcoins, soit environ 593 000 euros au cours actuel. Cette attaque furtive, qui repose sur l’ingénierie sociale et la confiance dans le matériel officiel, a ainsi permis aux hackers de subtiliser des fonds sans que les victimes ne s’en rendent compte immédiatement.

Un cas d’école de compromission logicielle

La faille a été révélée lorsqu’un testeur a voulu passer en revue les performances d’une imprimante Procolored UV et a été interpellé par une alerte de son antivirus. En remontant l’origine de l’alerte, les chercheurs en cybersécurité ont constaté que les fichiers d’installation avaient été modifiés pour la dernière fois en octobre 2024. Pendant six mois, aucun contrôle de sécurité n’a été effectué sur ces ressources pourtant publiques, disponibles sur le site officiel du fabricant.

L’ampleur de la diffusion pose question. Les imprimantes concernées, parmi lesquelles les modèles F8, F13, F13 Pro, V6, V11 Pro et VF13 Pro, sont principalement destinées à un public professionnel : studios de création, ateliers de personnalisation d’objets, ou encore entreprises de design. Ces utilisateurs, souvent bien équipés mais peu sensibilisés aux risques cyber, constituent une cible privilégiée. L’incident met également en lumière un problème de gouvernance : Procolored n’a à ce jour publié aucun communiqué officiel, ni retiré les liens vers les fichiers infectés.

Durant six mois, les pilotes vérolés sont restés en ligne sur le site du fabricant, exposant potentiellement chaque utilisateur à une compromission.

Une faille révélatrice d’un écosystème vulnérable

Ce type d’attaque n’est pas sans précédent. Ces dernières années, de nombreux acteurs ont été victimes d’attaques dites « de la chaîne d’approvisionnement logicielle ». On se souvient de l’affaire SolarWinds en 2020, ou plus récemment des compromissions de bibliothèques open source dans des projets critiques. Ce qui frappe dans le cas Procolored, c’est la simplicité de la méthode : pas besoin de briser des pare-feux ou d’infiltrer un réseau d’entreprise, il suffisait de placer des fichiers piégés sur une plateforme de téléchargement tierce, et de rediriger les utilisateurs vers ceux-ci. Sans parler du matériel (tablette, smartphone, Etc.) piégé par des commerçants pirates comme les faux samsung vendus avec des logiciels espions installés dans les appareils.

Le recours à Mega.nz n’est pas anodin non plus. Bien que légitime, ce service de stockage est fréquemment utilisé par des acteurs malveillants en raison de son anonymat relatif et de la difficulté pour les autorités à y exercer une surveillance efficace. Procolored, en déléguant ainsi l’hébergement de ses pilotes, a sans doute voulu économiser sur des coûts d’infrastructure, mais cette décision s’est révélée désastreuse pour la sécurité de ses clients.

Les victimes en attente de réponses

Aujourd’hui, de nombreuses questions restent sans réponse. Combien d’utilisateurs ont été infectés ? Procolored compte-t-il prendre des mesures pour prévenir de nouvelles attaques ? La marque va-t-elle collaborer avec les autorités ou les éditeurs antivirus pour aider les victimes ? Pour l’heure, aucune mise à jour officielle des pilotes n’a été annoncée, et les fichiers contaminés sont toujours disponibles en ligne. Face à l’absence de réaction, la communauté technique se mobilise. Des utilisateurs ont commencé à alerter les forums et à proposer des méthodes pour vérifier si leur système est compromis. Les antivirus, eux, mettent à jour leurs bases de données pour bloquer la propagation des malwares.

L’affaire pose également un dilemme : comment rétablir la confiance quand la compromission vient d’un outil censé être fiable ? Les professionnels ayant investi plusieurs centaines d’euros dans une imprimante sont aujourd’hui contraints de désinstaller les pilotes, de scanner leur machine et, dans le pire des cas, de changer de matériel.

L’ombre persistante des attaques logicielles

Cette affaire illustre un changement d’ère dans les cybermenaces. Les attaques ne ciblent plus seulement les grandes entreprises, mais s’introduisent dans les usages quotidiens. Le danger n’est plus uniquement dans les pièces jointes d’e-mails douteux ou les sites suspects : il peut désormais venir d’un fichier téléchargé depuis un site officiel, d’un logiciel recommandé par un fabricant reconnu. La sophistication des attaquants croît, mais surtout, leur stratégie évolue. En compromettant des outils professionnels, ils ciblent des victimes à la fois solvables, peu vigilantes et mal préparées.

Le cas Procolored rappelle ainsi que la cybersécurité ne peut plus être traitée comme une option. Elle doit faire partie intégrante du cycle de vie de tout produit technologique, y compris les périphériques matériels. Les fabricants doivent non seulement sécuriser leur matériel, mais aussi contrôler chaque maillon de leur chaîne logicielle. Car en 2025, il ne suffit plus de vendre une bonne imprimante : encore faut-il garantir qu’elle n’ouvre pas une porte aux pirates.