Archives de catégorie : Mise à jour

Cybersécurité, Mise à jour, Patch

Coupure brutale dans la cybersécurité : la base CVE s’éteint

Le gouvernement américain a mis fin au financement de la base de données CVE, pilier mondial de la cybersécurité, provoquant sa fermeture immédiate et laissant un vide critique dans la détection des vulnérabilités… pour faire marche arrière ensuite !

C’est un tournant inquiétant pour l’écosystème de la cybersécurité mondiale. Ce mercredi, la célèbre base de données CVE (Common Vulnerabilities and Exposures), référence universelle en matière d’identification des failles informatiques, s’éteint. En cause : la fin du contrat entre la MITRE Corporation, organisme à but non lucratif gestionnaire du projet, et la CISA, l’agence fédérale américaine chargée de la cybersécurité. Un non-renouvellement abrupt, inscrit dans une politique budgétaire restrictive menée par l’administration Trump, qui provoque l’interruption immédiate de cette infrastructure pourtant essentielle. Depuis 1999, le système CVE permettait une classification claire et standardisée des failles de sécurité. Sa disparition temporaire bouleverse le fonctionnement quotidien de milliers de professionnels à travers le monde.

Un tournant que Datasecuritybreach.fr avait mis en avant, en février et mars 2025. La Maison Blanche ayant mis une pression économique auprès de plusieurs structures dédiées à la cybersécurité, dont la CISA.

La scène se passe presque dans le silence. Pas de conférence de presse ni de communiqué tapageur. Pourtant, l’arrêt de la base de données CVE constitue l’un des événements les plus marquants de ces dernières années pour la cybersécurité internationale. Des millions de professionnels s’appuyaient sur cette base pour identifier, référencer et corriger les vulnérabilités affectant les logiciels, les systèmes d’exploitation ou les composants matériels. L’arrêt de sa mise à jour signifie que les vulnérabilités découvertes à partir d’aujourd’hui ne seront plus répertoriées de manière centralisée, unique et accessible à tous.

Depuis plus de deux décennies, le CVE a été l’épine dorsale de la coordination dans la réponse aux menaces. À l’origine, le projet avait été lancé pour mettre fin au chaos régnant dans les années 1990, où chaque entreprise utilisait ses propres référentiels, rendant les échanges sur les failles complexes et peu efficaces. Grâce au CVE, une faille se voyait attribuer un identifiant unique – une sorte de matricule – permettant à toutes les équipes de cybersécurité, quels que soient leurs outils ou leur pays, de parler le même langage.

« La fin du CVE n’est pas seulement symbolique, elle est structurelle : c’est la disparition d’un standard global sans équivalent immédiat. »

Mais le contrat entre la MITRE Corporation et le ministère de la Sécurité intérieure américain, via la CISA, prend fin ce mercredi, sans reconduction. Cette décision, confirmée par le gouvernement, s’inscrit dans une logique de réduction budgétaire engagée par l’exécutif, au détriment de certains outils considérés comme coûteux ou non prioritaires. Et c’est là que le bât blesse : le coût de fonctionnement du programme CVE, pourtant relativement modeste à l’échelle des budgets fédéraux, est jugé superflu dans le cadre de cette politique d’austérité numérique.

Ce choix soulève l’incompréhension chez de nombreux acteurs du secteur, tant publics que privés. Car si la base de données CVE était officiellement américaine, sa portée, elle, était universelle. Des centaines de chercheurs, de laboratoires, de grandes entreprises de cybersécurité, mais aussi d’organisations gouvernementales et non gouvernementales du monde entier y contribuaient. Le modèle collaboratif du CVE en faisait un bien commun numérique, sans équivalent dans sa structuration et sa portée.

La fermeture brutale du système a pris de court nombre de professionnels. Si les anciennes données restent disponibles via des archives sur GitHub, elles ne seront plus mises à jour tant qu’aucune solution alternative n’aura été trouvée. Et c’est bien là que se situe le danger : selon les chiffres récents, plus de 25 000 nouvelles vulnérabilités ont été enregistrées dans la base CVE rien qu’en 2023. Leur absence de référencement officiel risque d’entraver sérieusement les réponses coordonnées à venir.

L’impact pourrait être particulièrement sévère pour les petites et moyennes entreprises, ainsi que pour les institutions publiques ne disposant pas de moyens pour accéder à des services commerciaux de suivi de vulnérabilités. De nombreuses solutions logicielles de gestion des risques ou de patching automatisé s’appuient directement sur les identifiants CVE pour détecter et corriger les failles. Sans ces repères, les délais de réaction risquent de s’allonger, laissant la porte ouverte à des cyberattaques d’envergure.

« Sans CVE, chaque organisation devra réinventer sa propre méthode de suivi des failles, avec les risques d’erreurs et de lenteurs que cela implique. »

Dans l’urgence, plusieurs pistes sont envisagées pour pallier ce vide. Certains évoquent la création d’un consortium international qui prendrait en charge la continuité du projet, sur un modèle similaire à celui de l’ICANN pour la gouvernance des noms de domaine. D’autres misent sur une reprise du flambeau par des entreprises majeures du secteur, comme Google, Microsoft ou encore IBM, qui disposent des moyens techniques et humains pour maintenir une base à jour. Mais ces options posent aussi des questions éthiques et politiques. Une base gérée par une entreprise privée pourrait perdre sa neutralité, tandis qu’une gouvernance internationale impliquerait des négociations complexes, longues et souvent ralenties par des logiques géopolitiques divergentes.

Dans l’intervalle, certains acteurs, notamment européens, pourraient saisir l’opportunité pour développer une alternative ouverte et souveraine. La question d’une autonomie stratégique en cybersécurité est de plus en plus discutée sur le Vieux Continent, et la fin de la base CVE pourrait accélérer cette dynamique. Un projet européen, financé par des institutions comme l’ENISA ou la Commission européenne, aurait le mérite de réduire la dépendance aux infrastructures américaines et de redonner une impulsion aux politiques de cybersécurité européennes.

Mais rien de tout cela ne sera immédiat. La construction d’une base de données fiable, exhaustive et reconnue prend du temps. Il faudra recréer des réseaux de contributeurs, des protocoles d’évaluation et des processus d’attribution normalisés. En attendant, le secteur devra composer avec une zone grise, où l’identification et la diffusion des vulnérabilités se feront de manière fragmentée.

Certains experts alertent d’ailleurs sur le risque d’une recrudescence de failles non signalées ou mal documentées dans les semaines à venir. Dans ce contexte d’instabilité, les cybercriminels pourraient profiter de cette désorganisation pour exploiter des brèches non encore corrigées. Une situation que les gouvernements comme les entreprises redoutent particulièrement.

Alors que le numérique structure aujourd’hui tous les pans de notre société – santé, finance, énergie, transports – la cybersécurité n’a jamais été aussi stratégique. Or, l’arrêt d’un outil aussi fondamental que le CVE fragilise un édifice déjà sous pression constante. Cette décision marque aussi un signal politique inquiétant : la cybersécurité ne semble plus figurer parmi les priorités stratégiques immédiates des États-Unis, du moins dans sa dimension coopérative et ouverte.

Le CVE n’est pas qu’une base de données. Il est le socle invisible sur lequel repose la coordination mondiale en matière de sécurité informatique. Sa disparition, même temporaire, doit alerter sur la fragilité des infrastructures numériques essentielles lorsqu’elles dépendent d’un unique acteur public ou privé. C’est l’un des paradoxes de notre ère numérique : à l’heure où tout est interconnecté, les outils critiques reposent encore sur des fondations institutionnelles trop peu résilientes.

Alors que le monde cherche une solution de remplacement à la base CVE, une question persiste : la cybersécurité mondiale peut-elle continuer de reposer sur des initiatives isolées, ou est-il temps d’envisager une gouvernance réellement collective et pérenne de la sécurité numérique ?

Mise à jour : La CISA (Cybersecurity and Infrastructure Security Agency) a finalement prolongé mardi soir son contrat avec le programme CVE (Common Vulnerabilities and Exposures), géré par le MITRE.

Le programme CVE, utilisé depuis 25 ans pour identifier et cataloguer les failles de cybersécurité à l’échelle mondiale, risquait de perdre ses financements dès mercredi. Heureusement, un prolongement de 11 mois a été acté in extremis pour éviter une interruption des services critiques.

Cependant, des tensions apparaissent : une partie du conseil du programme CVE envisage de créer une nouvelle entité indépendante, la CVE Foundation, pour garantir la neutralité et la pérennité du programme, actuellement trop lié à un financement gouvernemental unique.

Ce rebondissement intervient alors que la CISA fait face à des réductions budgétaires, des résiliations de contrats et des critiques politiques, notamment sur son rôle durant les élections de 2020. La secrétaire à la Sécurité intérieure Kristi Noem souhaite une réduction de taille et de dépenses pour rendre l’agence « plus efficace et agile« .

Mise à jour : des rebondissements qui ont permis à l’Europe de sortir de la cave https://euvd.enisa.europa.eu/– au moment de cette mise à jour, le site attend de passer en … 2025 !

Cybersécurité, Mise à jour, Patch

Un outil gratuit pour vaincre le ransomware Akira sur Linux

Un outil gratuit pour décrypter le ransomware Akira sur Linux grâce à la puissance des GPU.

Un chercheur en cybersécurité, Yohanes Nugroho, a développé un outil de décryptage gratuit permettant de vaincre le ransomware Akira sur Linux. Ce projet complexe a nécessité trois semaines de travail intensif, un investissement de 1 200 $ en ressources GPU, et une approche innovante basée sur la force brute pour récupérer les clés de chiffrement.

Une percée majeure dans la lutte contre Akira

Face à la menace persistante du ransomware Akira, une nouvelle avancée pourrait changer la donne. Yohanes Nugroho, expert en cybersécurité, a récemment publié un outil de décryptage gratuit capable de restaurer des fichiers chiffrés par ce malware ciblant les systèmes Linux. Le projet, initialement prévu pour durer une semaine, a finalement nécessité trois semaines de travail et 1 200 $ de ressources GPU en raison de la complexité inattendue du processus.

Akira est un ransomware redoutable, actif depuis la fin de 2023, qui chiffre les fichiers à l’aide de clés générées à partir de quatre horodatages précis à la nanoseconde. Grâce à une analyse approfondie des fichiers journaux et des métadonnées des fichiers, Nugroho a pu mettre au point une méthode permettant de contourner le chiffrement en exploitant cette faiblesse dans la génération des clés. Son outil repose sur la puissance des GPU pour effectuer une attaque par force brute, une méthode inhabituelle dans le domaine du décryptage.

« Akira génère des clés de chiffrement uniques pour chaque fichier en utilisant quatre moments précis à la nanoseconde. En utilisant une force brute GPU optimisée, nous avons pu retrouver ces clés et restaurer les fichiers sans payer de rançon. » – Yohanes Nugroho

La faille dans le chiffrement d’Akira

Le ransomware Akira utilise une méthode de chiffrement complexe basée sur la génération de clés uniques pour chaque fichier. Cette génération repose sur l’algorithme de hachage SHA-256, appliqué en 1 500 tours sur quatre horodatages distincts, mesurés à la nanoseconde près. Cette complexité rend le processus de déchiffrement extrêmement difficile, voire impossible avec des méthodes classiques.

Cependant, Nugroho a découvert une faille : l’utilisation de ces horodatages permet de recréer les clés de chiffrement par rétro-ingénierie. Les deux premiers et les deux derniers horodatages sont liés, ce qui a permis à Nugroho de restreindre le champ de recherche et d’augmenter la vitesse du processus de force brute.

Akira chiffre les fichiers en utilisant une combinaison de KCipher2 et Chacha8, des algorithmes de chiffrement réputés pour leur robustesse. Les clés sont ensuite chiffrées avec RSA-4096 et intégrées dans les fichiers. Cette double couche de sécurité rend normalement le décryptage très complexe. Cependant, en identifiant les plages de temps précises utilisées pour générer les clés, Nugroho a réussi à réduire considérablement la difficulté du processus.

« Le malware ne s’appuie pas sur un seul moment dans le temps, mais sur quatre moments distincts avec une précision à la nanoseconde. La corrélation entre ces moments permet de limiter le champ de recherche, rendant la force brute plus efficace. » – Yohanes Nugroho

La puissance des GPU au service de la cybersécurité

Face à la complexité du chiffrement, Nugroho a d’abord tenté d’utiliser des GPU locaux, mais la lenteur du processus l’a conduit à se tourner vers des solutions basées sur le cloud. Après avoir écarté Google Cloud en raison de son coût élevé, il a opté pour RunPod et Vast.ai, deux services offrant une puissance de calcul GPU à moindre coût.

Il a mobilisé 16 GPU RTX 4090, connus pour leur nombre élevé de cœurs CUDA, pour exécuter l’attaque par force brute. Ce choix stratégique a permis de ramener le temps de déchiffrement à 10 heures pour une plage de 4,5 millions de nanosecondes. Le coût de traitement pour cette plage s’élève à environ 261 $, ce qui, multiplié par le volume de fichiers à traiter, a porté le coût total du projet à 1 200 $.

L’utilisation de GPU haut de gamme a permis de traiter un volume de données important en un temps record. Ce succès démontre le potentiel des solutions de décryptage basées sur la force brute GPU dans la lutte contre les ransomwares modernes.

Le décryptage des fichiers chiffrés par Akira est désormais possible sans payer de rançon. Les entreprises et les utilisateurs touchés par ce ransomware peuvent utiliser l’outil de Nugroho pour restaurer leurs données en toute autonomie. Cette percée pourrait également servir de modèle pour lutter contre d’autres variantes de ransomware utilisant des techniques similaires.

Nugroho a précisé que le processus de déchiffrement pourrait encore être optimisé pour améliorer les performances. Actuellement, le temps de récupération dépend de la taille du volume de fichiers à traiter et de la précision des horodatages contenus dans les fichiers journaux.

Un avenir prometteur pour le décryptage des ransomwares ?

L’approche novatrice de Yohanes Nugroho ouvre la voie à de nouvelles stratégies de lutte contre les ransomwares. L’utilisation de la force brute par GPU, combinée à une analyse fine des mécanismes de génération des clés, pourrait inspirer d’autres chercheurs à développer des solutions similaires.

Akira reste une menace active, mais cette avancée donne un avantage considérable aux équipes de cybersécurité. Les ransomwares basés sur des mécanismes de chiffrement temporel pourraient désormais être contournés grâce à une combinaison de rétro-ingénierie et de puissance GPU.

En partageant gratuitement son outil, Nugroho offre une ressource précieuse à la communauté de la cybersécurité et aux victimes de ransomware. Cette initiative illustre l’importance de l’innovation et de la collaboration dans la lutte contre les cybermenaces modernes.

Cybersécurité, Mise à jour, Patch

vulnérabilité initialement localisée, désormais mondiale !

Une vulnérabilité critique affectant les scripts PHP, connue sous le nom de CVE-2024-4577, est devenue une menace à l’échelle mondiale, obligeant les défenseurs de la cybersécurité à agir rapidement. Découverte initialement dans le cadre d’attaques ciblant des organisations japonaises, cette faille est désormais exploitée dans plusieurs régions du monde, ont averti les experts en cybersécurité de GreyNoise et Cisco Talos.

Une vulnérabilité initialement localisée, désormais mondiale

La faille CVE-2024-4577 affecte une configuration spécifique appelée PHP-CGI, utilisée pour exécuter des scripts PHP sur des serveurs Web. Détectée pour la première fois au Japon en janvier 2025, elle a été rapidement exploitée par des attaquants cherchant à voler des identifiants d’accès et à établir une présence persistante dans les systèmes compromis.

Dans un rapport publié jeudi, l’équipe de Cisco Talos a révélé que les attaques initiales visaient principalement des organisations japonaises. L’objectif apparent des attaquants était non seulement de voler des identifiants d’accès, mais aussi de s’implanter durablement dans les systèmes ciblés, ouvrant la voie à de futures intrusions et compromissions.

Cependant, ce qui semblait être une campagne de piratage localisée s’est rapidement transformé en une menace mondiale. Vendredi, GreyNoise, une société spécialisée dans le renseignement sur les menaces, a publié un rapport alarmant indiquant que l’exploitation de cette faille s’est étendue à d’autres régions du globe. Des tentatives d’attaques ont été détectées aux États-Unis, à Singapour, au Japon et dans plusieurs autres pays tout au long du mois de janvier 2025.

Un correctif disponible, mais une menace persistante

Le correctif pour cette vulnérabilité a été publié à l’été 2024, mais de nombreuses entreprises n’ont pas encore mis à jour leurs systèmes, laissant un large éventail de cibles potentielles à la merci des attaquants.

La faille CVE-2024-4577 permet une exécution de code à distance (RCE), ce qui signifie que les pirates peuvent prendre le contrôle d’un serveur vulnérable, exécuter des commandes arbitraires et, potentiellement, compromettre l’ensemble du réseau.

GreyNoise a identifié 79 méthodes connues pour exploiter cette faille, soulignant la complexité et la diversité des vecteurs d’attaque. Les chercheurs ont également détecté une augmentation des tentatives d’attaques utilisant cette faille dans le cadre de campagnes coordonnées.

« L’ampleur de l’exploitation de CVE-2024-4577 dépasse de loin nos prévisions initiales », a déclaré un chercheur de GreyNoise. « Les attaquants utilisent des outils sophistiqués, y compris des cadres d’attaque avancés et des serveurs de commande et de contrôle (C2), ce qui laisse penser qu’il s’agit d’une campagne bien organisée. »

Une menace bien plus complexe qu’un simple vol d’identifiants

Selon Cisco Talos, l’attaquant à l’origine des premières attaques au Japon utilisait un serveur de commande et de contrôle (C2) pour déployer une suite complète d’outils malveillants. Cette approche suggère que les motivations vont au-delà du simple vol d’identifiants.

Le serveur C2 permet de contrôler à distance les systèmes compromis, d’exécuter des commandes, d’installer des malwares et de lancer de nouvelles attaques. Les chercheurs craignent que cette faille ne soit utilisée pour installer des backdoors (portes dérobées) et déployer des logiciels espions sur des cibles stratégiques, comme des infrastructures critiques ou des institutions financières.

« Cela ne ressemble pas à une simple campagne d’espionnage économique », a ajouté un chercheur de Cisco Talos. « L’ampleur des outils utilisés et la persistance démontrée par les attaquants laissent penser à une opération à caractère géopolitique. »

Une attaque documentée depuis plusieurs mois

La vulnérabilité CVE-2024-4577 avait déjà été signalée en août 2024 par des chercheurs de Symantec, après avoir été exploitée contre une université de Taiwan. Peu de temps après la publication du correctif, les attaquants avaient testé la faille contre plusieurs cibles en Asie, avant d’étendre leurs opérations à une échelle mondiale.

GreyNoise a également constaté une augmentation notable du trafic lié à cette faille à partir de la fin décembre 2024, avec des pics d’activité importants début janvier 2025. Cette chronologie suggère que les attaquants ont pu peaufiner leurs outils et leurs méthodes avant de lancer une campagne d’envergure mondiale.

L’appel à une action immédiate

Face à cette menace croissante, GreyNoise et Cisco Talos appellent les entreprises et les administrateurs système à une mise à jour immédiate de leurs serveurs PHP.

« Les organisations qui utilisent PHP-CGI doivent immédiatement vérifier leur configuration et installer les derniers correctifs de sécurité », a déclaré GreyNoise dans son rapport. « Le temps presse : chaque heure qui passe sans correction augmente le risque d’une compromission. »

Les chercheurs recommandent également une surveillance renforcée du trafic réseau pour détecter les comportements suspects associés à l’exploitation de CVE-2024-4577. La mise en place de pare-feu et de systèmes de détection d’intrusion (IDS) pourrait également permettre de contenir la menace.

Cisco Talos a également suggéré que les entreprises désactivent la configuration PHP-CGI si elle n’est pas strictement nécessaire, une mesure qui pourrait réduire considérablement la surface d’attaque.

Une faille symptomatique de la fragilité du web

Ce nouvel incident met une fois de plus en lumière la fragilité des infrastructures web face à des menaces sophistiquées. Le langage PHP, créé il y a près de trois décennies, est l’un des piliers du développement web, mais il est aussi une cible privilégiée en raison de son adoption massive et de la complexité de sa gestion.

Pour les experts, cette vulnérabilité souligne le besoin urgent de renforcer les pratiques de sécurité autour des technologies web historiques. Si la faille CVE-2024-4577 est corrigée rapidement, la menace pourrait être contenue. Dans le cas contraire, elle pourrait devenir le point de départ d’une vague d’attaques sans précédent.

Face à une exploitation déjà mondiale, une action rapide s’impose. Les défenseurs de la cybersécurité sont désormais engagés dans une véritable course contre la montre pour éviter que cette vulnérabilité ne soit utilisée dans des attaques de grande ampleur.

Cybersécurité, Mise à jour

Failles critiques de voitures connectées et infrastructures de recharge mises en lumière par des français

Des experts en cybersécurité ont identifié des vulnérabilités majeures dans les véhicules électriques et leurs infrastructures de recharge. Ces failles pourraient être exploitées pour compromettre la sécurité des utilisateurs et perturber la distribution d’énergie.

Les avancées technologiques dans le domaine de l’automobile et des infrastructures énergétiques ont ouvert la voie à de nouveaux risques de cybersécurité. Synacktiv, spécialiste de la cybersécurité offensive, a démontré au Japon que plusieurs failles critiques existent au sein de l’écosystème des véhicules électriques et connectés. Ces vulnérabilités concernent notamment les infrastructures de recharge, mais également les systèmes embarqués des véhicules. L’exploitation de ces failles pourrait avoir de lourdes conséquences pour les utilisateurs et les opérateurs énergétiques. Ce constat souligne la nécessité d’une collaboration accrue entre les industriels et les experts en cybersécurité afin de protéger cet écosystème essentiel.

Des infrastructures de recharge vulnérables

Les chercheurs ont identifié plusieurs dispositifs critiques présentant des vulnérabilités exploitables :

  • Tesla Energy Wall Connector : Une faille de dépassement de tampon (buffer overflow) via le câble de charge pourrait permettre des manipulations malveillantes.
  • Autel MaxiCharger et ChargePoint Home Flex : Ces bornes présentent des failles dans leur protocole de communication, mettant en péril la sécurité des transactions énergétiques.
  • Systèmes d’infodivertissement embarqués (IVI) : Ces systèmes pourraient être compromis, ouvrant la voie à une prise de contrôle à distance de certaines fonctionnalités du véhicule.

« Les infrastructures de recharge, considérées comme secondaires, constituent en réalité des points d’entrée stratégiques pour les cyberattaques. »

Un risque pour l’ensemble de l’écosystème automobile

L’exploitation de ces vulnérabilités pourrait avoir des répercussions majeures :

  • Intrusions réseau : Les attaquants pourraient accéder aux réseaux internes des opérateurs de recharge et des constructeurs automobiles.
  • Manipulation des flux d’énergie : Une prise de contrôle des systèmes de charge pourrait fausser la facturation et perturber la distribution d’énergie.
  • Interruption des services : Des bornes de recharge pourraient être rendues inopérantes, affectant directement les utilisateurs et la continuité du service.

Avec l’essor de l’intelligence artificielle, les cybercriminels sont en mesure d’automatiser leurs attaques, les rendant plus complexes à détecter. Les stratégies de défense doivent donc s’adapter en temps réel, en intégrant des protocoles de communication sécurisés et des outils de détection avancés.

« L’automatisation des cyberattaques complique leur détection et renforce l’urgence d’une cybersécurité proactive. »

Un appel à la collaboration entre industriels et experts en cybersécurité

Synacktiv exhorte les acteurs de l’industrie à renforcer la sécurité de l’ensemble de l’écosystème automobile. Parmi les recommandations essentielles :

  • Tests de sécurité réguliers : Pour identifier et corriger les failles avant qu’elles ne soient exploitées.
  • Audits de sécurité : Des évaluations approfondies des systèmes doivent être menées pour assurer leur résilience.
  • Intégration de la cybersécurité dès la conception : Les infrastructures et les véhicules doivent être conçus en tenant compte des menaces cyber.

Lors du concours international Pwn2Own Automotive 2025, organisé à Tokyo, l’équipe française a remporté la deuxième place en identifiant plusieurs failles critiques, notamment sur des systèmes Tesla. C’est la quatrième fois que l’entreprise se distingue dans ce domaine.

Les constructeurs disposent généralement de 90 jours pour corriger ces vulnérabilités avant la publication des détails techniques, leur permettant de développer et déployer des correctifs de sécurité.

Suivez les dernières actualités sur la cybersécurité automobile en vous inscrivant à notre newsletter, rejoignez notre groupe WhatsApp et suivez-nous sur nos réseaux sociaux pour ne rien manquer.

 

Mise à jour, Patch

Une faille critique dans 7-Zip expose les utilisateurs à des logiciels malveillants

Une vulnérabilité critique a été découverte dans le célèbre archiveur 7-Zip, permettant à des attaquants d’installer des logiciels malveillants tout en contournant le mécanisme de sécurité Mark of the Web (MoTW) de Windows.

Des chercheurs du Zero Day Initiative ont identifié une faille (CVE-2025-0411) dans 7-Zip, un outil largement utilisé pour compresser et extraire des fichiers. Cette vulnérabilité a reçu un score de 7 sur l’échelle CVSS, la classant comme modérément critique. Découverte mi-2022, cette faille exploite une faiblesse dans la gestion des archives, exposant ainsi les utilisateurs à des risques importants.

Le mécanisme MoTW, introduit par Windows, est conçu pour avertir les utilisateurs lorsqu’ils ouvrent des fichiers téléchargés depuis des sources non fiables. Cependant, dans les versions vulnérables de 7-Zip, ce système peut être contourné. Les fichiers extraits d’archives malveillantes ne portent pas la marque du Web, privant ainsi l’utilisateur d’un avertissement crucial.

Comment fonctionne cette faille ?

La faille repose sur la manipulation des archives. Lorsqu’un utilisateur extrait des fichiers depuis une archive spécialement conçue, 7-Zip ne leur applique pas la marque de sécurité MoTW. Cela signifie qu’un fichier potentiellement dangereux peut être exécuté sans que l’utilisateur ne reçoive d’alerte de sécurité.

Selon Trend Micro, cette faille peut être exploitée pour exécuter du code malveillant dans le contexte de l’utilisateur actuel. En d’autres termes, un attaquant peut utiliser cette vulnérabilité pour déployer des logiciels malveillants sur l’ordinateur de la victime.

Les mesures prises par 7-Zip pour corriger la vulnérabilité

Face à cette faille, les développeurs de 7-Zip ont rapidement réagi. Une nouvelle version de l’archiveur, numérotée 24.09, a été publiée. Cette mise à jour inclut un correctif pour le CVE-2025-0411, rétablissant la sécurité des utilisateurs.

Les utilisateurs qui n’ont pas encore installé la dernière version de 7-Zip restent vulnérables. Ignorer cette mise à jour expose les systèmes à des cyberattaques potentielles, en particulier si des fichiers sont téléchargés depuis des sources non vérifiées.

Le correctif a renforcé la gestion des fichiers extraits. Désormais, 7-Zip applique correctement le marquage MoTW, garantissant ainsi une protection accrue. Il est conseillé de télécharger la version 24.09 directement depuis le site officiel de 7-Zip pour éviter les versions compromises.

Cette vulnérabilité souligne une fois de plus l’importance de maintenir ses logiciels à jour. Elle illustre également comment des failles dans des outils couramment utilisés peuvent avoir des répercussions importantes sur la sécurité des utilisateurs.

Apple, Cybersécurité, Mise à jour

Crash de Docker et faille SIP sur macOS : mise à jour critique indispensable

Les utilisateurs macOS de Docker rencontrent un crash critique bloquant le lancement de l’application. Une signature de fichiers incorrecte en est la cause, mais une mise à jour est déjà disponible.

Depuis le 7 janvier, de nombreux utilisateurs de Docker sur macOS se plaignent d’un blocage inattendu de l’application. En tentant de lancer Docker, un message d’erreur signalant un code malveillant s’affiche, provoquant la panique chez certains utilisateurs. Une enquête approfondie a révélé que ces avertissements du système sont infondés, la cause réelle étant une signature incorrecte de certains fichiers du bundle Docker. Heureusement, une solution est déjà disponible avec la mise à jour vers la version 4.37.2. Toutefois, la mise en place de ce correctif n’est pas encore étendue à tous les utilisateurs. Retour sur cette crise technique et les étapes pour y remédier.

Origine du problème et conséquences

Les premiers signalements concernant le crash de Docker sur macOS sont apparus le 7 janvier 2025. Le problème a immédiatement attiré l’attention en raison de l’impact sur les flux de travail des développeurs utilisant Docker pour la gestion de conteneurs. Lors du lancement de l’application, un message d’alerte s’affichait indiquant un code potentiellement malveillant. Cette notification, générée par macOS, a rapidement été identifiée comme une fausse alerte, liée à des anomalies dans le système de certificat de macOS.

L’analyse a mis en lumière une signature incorrecte de certains fichiers du bundle Docker. Ce dysfonctionnement a perturbé les vérifications de sécurité effectuées par le système d’exploitation, interprétant ces fichiers comme potentiellement dangereux. À en juger par les informations disponibles, cette situation a entraîné un blocage complète de l’application chez de nombreux utilisateurs.

En réponse à cet incident, Docker Inc. a rapidement publié une mise à jour (4.37.2) incluant un correctif pour cette anomalie. Les utilisateurs peuvent résoudre le problème en installant cette nouvelle version. Pour les versions précédentes, des correctifs ont également été déployés sur les branches 4.32 à 4.36.

Cependant, la résolution n’est pas encore totale. La page d’état de Docker indique que certains utilisateurs n’ont pas encore effectué la mise à jour, ce qui complique l’évaluation globale de l’efficacité des correctifs.

Procédures de correction et solutions alternatives

Pour ceux qui rencontrent toujours des problèmes après la mise à jour, Docker a proposé des solutions supplémentaires. Les administrateurs systèmes peuvent utiliser un script MDM spécial pour corriger les erreurs persistantes. Ce script permet de réinitialiser certains composants de Docker et de réinstaller les binaires correctement signés.

Pour une résolution manuelle, les étapes suivantes sont nécessaires :

  1. Arrêter l’application Docker, ainsi que les services vmetd et socket.
  2. Supprimer les anciens binaires de vmetd et socket.
  3. Installer les versions corrigées de ces fichiers.
  4. Redémarrer Docker pour finaliser la procédure.

Ces opérations peuvent s’avérer chronophages pour les équipes techniques gérant un parc informatique important. D’où l’importance de privilégier la mise à jour automatique avec les fichiers signés.

Malgré ces efforts, il reste des doutes sur la stabilité globale du service. Certains utilisateurs rapportent encore des dysfonctionnements mineurs, laissant penser que le problème n’est pas entièrement résolu. À mesure que davantage d’utilisateurs adoptent les correctifs, l’impact des problèmes résiduels devrait diminuer.

Une vulnérabilité SIP révélée en parallèle

Parallèlement à cet incident, une autre menace sécuritaire a été mise en évidence sur macOS. Microsoft a découvert une vulnérabilité critique, identifiée sous le nom de CVE-2024-44243, qui permet à des attaquants locaux de contourner la protection d’intégrité du système (SIP).

SIP, ou System Integrity Protection, est un mécanisme conçu pour empêcher les programmes malveillants d’accéder à certains répertoires ou de modifier des fichiers systèmes critiques. Cette protection restreint les privilèges du compte root et limite l’accès à certains composants aux seuls processus signés par Apple.

Cependant, la faille CVE-2024-44243 permet de désactiver cette protection en exploitant une vulnérabilité dans le démon Storage Kit, qui surveille l’état des disques. Une fois exploitée, cette faille permet à des attaquants de contourner SIP et d’installer des rootkits, compromettant ainsi gravement la sécurité du système.

Apple a corrigé cette faille avec la version macOS Sequoia 15.2, publiée en décembre. Il est donc essentiel pour les utilisateurs de s’assurer que leur système est à jour. Microsoft, quant à elle, a publié les détails techniques de cette vulnérabilité afin d’informer les administrateurs systèmes et d’accélérer la mise en œuvre des correctifs.

Cybersécurité, Mise à jour, Patch

Vulnérabilité zero-day impactant un outil VPN pour entreprise

Mandiant a publié aujourd’hui des détails approfondis sur une vulnérabilité zero-day critique, référencée CVE-2025-0282, récemment divulguée et corrigée par Ivanti. Cette faille affecte les appliances Ivanti Connect Secure VPN (ICS), largement utilisées pour assurer la connectivité sécurisée des entreprises.

Ivanti a détecté cette compromission grâce à son outil dédié, Integrity Checker Tool (ICT), ainsi qu’à des outils tiers de surveillance de sécurité. Selon l’analyse de Mandiant, cette vulnérabilité a été exploitée activement dans la nature dès décembre 2024, vraisemblablement par un acteur de l’espionnage lié à la Chine.

Une exploitation avancée et ciblée

Mandiant rapporte que la CVE-2025-0282 [alerte du CERT SSI France] a été utilisée par des cybercriminels. Bien qu’il ne soit pas encore possible de confirmer l’identité exacte des attaquants, les chercheurs pensent avec une confiance modérée qu’ils appartiennent au groupe connu de bad hacker sous le nom UNC5221, un acteur déjà associé à des campagnes d’espionnage numérique.

Le malware SPAWN, précédemment lié à UNC5337, a été observé dans cette nouvelle attaque. En complément, d’autres familles de malwares comme DRYHOOK et PHASEJAM ont été identifiées. Cependant, les chercheurs précisent qu’ils ne disposent pas encore de données suffisantes pour attribuer ces attaques à un ou plusieurs acteurs spécifiques.

Impacts de la vulnérabilité CVE-2025-0282

L’exploitation de cette faille permet aux attaquants de réaliser des actions critiques :

Exécution de code à distance
Les cybercriminels peuvent prendre le contrôle des systèmes affectés, compromettant ainsi l’intégrité des données et la sécurité des environnements réseau.

Déplacement latéral
Une fois la brèche initiale exploitée, les attaquants se déplacent latéralement dans les systèmes connectés pour élargir leur accès, créant des impacts potentiellement dévastateurs au-delà de l’appareil directement visé.

Installation de portes dérobées persistantes
Des backdoors sont implantées pour maintenir l’accès aux systèmes compromis. Certaines de ces portes peuvent persister même après des mises à jour, ce qui incite Ivanti à recommander une réinitialisation complète pour les clients concernés.

Tactiques avancées des attaquants
Mandiant a observé deux techniques sophistiquées utilisées par les attaquants exploitant la CVE-2025-0282 :

Déploiement de PHASEJAM

Après avoir exploité la faille, les cybercriminels déploient un malware personnalisé nommé PHASEJAM, conçu pour empêcher l’installation des mises à jour système, garantissant ainsi un accès prolongé au système compromis.

Fausse barre de progression de mise à jour
Pour éviter de susciter la méfiance des administrateurs, une fausse barre de progression de mise à jour est affichée, simulant le bon déroulement des mises à jour alors qu’en réalité, le processus est bloqué par l’attaquant.

Mesures de détection et prévention
Les versions récentes d’Ivanti Connect Secure intègrent un outil performant, l’Integrity Checker Tool (ICT), qui s’est avéré efficace pour identifier les compromissions liées à la CVE-2025-0282. Cet outil exécute régulièrement des diagnostics pour détecter des anomalies ou des comportements inhabituels.

Cependant, Mandiant a signalé des tentatives des attaquants pour manipuler le registre des fichiers vérifiés par l’ICT, y intégrant leurs propres fichiers malveillants pour contourner les mécanismes de détection.

Cette vulnérabilité zero-day met en lumière les défis constants auxquels les entreprises sont confrontées en matière de sécurité numérique. Ivanti et Mandiant recommandent aux utilisateurs de déployer les mises à jour correctives immédiatement, de surveiller leurs systèmes pour détecter des anomalies, et de réinitialiser si nécessaire.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Cybersécurité, Mise à jour, Securite informatique

ChatGPT comme moteur de recherche : une révolution fragile face aux abus

ChatGPT, désormais doté de capacités de recherche en ligne, ouvre de nouvelles possibilités aux utilisateurs, mais révèle aussi des failles significatives. Ses vulnérabilités à la manipulation mettent en lumière les défis que doivent relever les modèles d’intelligence artificielle face aux abus.

Depuis l’ouverture de ses fonctionnalités de recherche à tous les utilisateurs, ChatGPT s’est positionné comme un assistant innovant dans le domaine des requêtes en ligne. Cependant, ce nouvel usage n’est pas exempt de risques. Les chercheurs en cybersécurité ont démontré que le chatbot peut être trompé par des techniques comme l’injection de stimuli (prompt injection), qui exploitent sa confiance en l’information fournie. Cette faille permet de manipuler ses réponses pour promouvoir des produits douteux ou diffuser des contenus potentiellement dangereux. Bien que prometteur, le système reste vulnérable, notamment face aux tactiques employées par des acteurs malveillants.

Un chatbot vulnérable à l’injection de stimuli

L’une des principales failles de ChatGPT en tant que moteur de recherche réside dans sa capacité à interpréter et à répondre aux instructions dissimulées. Cette technique, connue sous le nom de prompt injection, permet à un tiers de contrôler indirectement les réponses du chatbot. En intégrant des instructions dans des textes invisibles ou peu visibles sur une page web, les manipulateurs peuvent orienter les résultats générés par ChatGPT.

Par exemple, un site frauduleux peut afficher de faux avis positifs sur un produit en masquant ces commentaires dans le code HTML de la page. Lorsque ChatGPT consulte ce site, il interprète ces avis comme authentiques, ce qui influence sa réponse lorsqu’un utilisateur pose une question sur le produit. Pire encore, si une instruction cachée oblige le modèle à toujours promouvoir un produit, même en présence d’avertissements légitimes, le chatbot obéira sans évaluer les risques.

Cette vulnérabilité n’est pas propre à ChatGPT, mais elle illustre les limites des grands modèles de langage. Comme l’explique Karsten Nohl, expert chez Security Research Labs, ces modèles « sont très crédules, presque comme des enfants ». Leurs vastes capacités de mémoire et leur absence de subjectivité les rendent particulièrement sensibles à la désinformation dissimulée.

L’absence d’expérience face à un défi de taille

En tant que nouvel acteur dans le domaine de la recherche en ligne, ChatGPT souffre d’un manque d’expérience comparé aux moteurs traditionnels comme Google. Ce dernier a développé, au fil des années, des mécanismes sophistiqués pour ignorer les contenus cachés ou les reléguer en bas des résultats. ChatGPT, de son côté, n’a pas encore acquis cette capacité d’analyse critique, le rendant vulnérable aux pages web manipulées.

Les experts soulignent que cette limitation est aggravée par l’absence de filtres robustes pour distinguer les contenus fiables des contenus frauduleux. Contrairement à un moteur de recherche classique, ChatGPT ne hiérarchise pas les résultats en fonction de critères de fiabilité, mais s’appuie sur les données accessibles au moment de la requête. Cela le rend particulièrement sensible aux stratégies malveillantes visant à manipuler son processus décisionnel.

L’impact potentiel de ces failles

Les vulnérabilités de ChatGPT posent des risques significatifs pour les utilisateurs et les entreprises. À court terme, elles peuvent être exploitées pour promouvoir des produits contrefaits, diffuser de la désinformation ou même fournir des instructions nuisibles. Par exemple, un utilisateur cherchant des informations sur un médicament ou une technologie pourrait recevoir des recommandations basées sur des informations manipulées, mettant en danger sa sécurité ou celle de son entreprise.

À long terme, ces failles pourraient éroder la confiance dans les systèmes d’intelligence artificielle. Si les utilisateurs commencent à percevoir ChatGPT comme peu fiable, cela pourrait ralentir l’adoption de ces technologies dans des secteurs critiques, tels que la santé, la finance ou l’éducation.

Vers une intelligence artificielle plus résiliente

Pour surmonter ces défis, les développeurs d’OpenAI doivent renforcer la capacité de ChatGPT à détecter et ignorer les contenus manipulés. Cela pourrait inclure des algorithmes plus avancés pour analyser les sources, des protocoles pour limiter l’influence des contenus cachés et une transparence accrue sur la manière dont le chatbot sélectionne ses réponses.

Cependant, la responsabilité ne repose pas uniquement sur OpenAI. Les utilisateurs doivent être sensibilisés aux limites des modèles d’intelligence artificielle et adopter une approche critique lorsqu’ils interprètent les réponses fournies. Comme le souligne Karsten Nohl, il est essentiel de ne pas prendre les résultats générés par ces modèles « pour argent comptant ».

Conclusion : une technologie prometteuse à perfectionner

ChatGPT en tant que moteur de recherche représente une avancée significative, mais ses vulnérabilités actuelles rappellent que l’intelligence artificielle reste une technologie en développement. Pour éviter les abus et garantir la fiabilité de ses réponses, des efforts supplémentaires sont nécessaires, tant de la part des développeurs que des utilisateurs.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Cybersécurité, Mise à jour

Nvidia met en garde contre des vulnérabilités critiques dans ses cartes graphiques

Aprés des failles sérieuses pour Android de Google, c’est au tour de NVIDIA, le géant de la carte graphique, d’alerter de problèmes de sécurité visant certains de ses hardwares.

Dans un récent rapport de sécurité, le principal développeur de GPU et SoC, Nvidia, met en garde les utilisateurs contre les vulnérabilités critiques de ses cartes graphiques.

La récente publication de la mise à jour du pilote 566.03 de Nvidia corrige un certain nombre de vulnérabilités critiques qui menacent la sécurité des propriétaires de cartes graphiques Nvidia. Parmi les vulnérabilités les plus dangereuses figure CVE-2024-0126, avec un score CVSS de 8,2, qui pourrait permettre aux attaquants d’exécuter du code arbitraire, d’élever les privilèges et de voler des données sur les appareils vulnérables. Cette vulnérabilité affecte les cartes graphiques des séries Nvidia RTX, Quadro, NVS et Tesla, ainsi que les produits GeForce sur les systèmes Windows et Linux.

Les vulnérabilités CVE-2024-0117, CVE-2024-0118 et d’autres ont également été découvertes, qui permettent à des utilisateurs non privilégiés d’interférer avec le système, provoquant des plantages et pouvant potentiellement obtenir un accès complet aux données.

Les pirates utilisant ces vulnérabilités peuvent obtenir un accès non autorisé aux systèmes de l’entreprise en exécutant du code à distance et en obtenant des privilèges élevés. Cela peut entraîner une fuite de données confidentielles, un sabotage des processus métier et de graves perturbations des services critiques. De plus, de telles attaques peuvent provoquer des temps d’arrêt, endommager les réseaux d’entreprise et nuire à la situation financière et à la réputation d’une entreprise si les données des clients sont compromises.

Cybersécurité, Mise à jour

Ma classe à la rentrée ? Le reveal piégé !

Une escroquerie en ligne, loin d’être nouvelle, cible les parents et les élèves impatients de découvrir avec qui ils partageront leur prochaine rentrée scolaire. Le site « RevealClasse » se présente sous une apparence trompeuse, reprenant les codes visuels des sites gouvernementaux français, notamment l’utilisation des couleurs tricolores et des logos similaires à ceux de la police.

La Gendarmerie Nationale a alerté, en plein été 2024, l’apparition d’un site frauduleux exploitant la curiosité des futurs collégiens et lycées. Une arnaque qui fait son apparition chaque année. La référence des blogs sur la cybersécurité, ZATAZ.COM, en révèle chaque année depuis plus de 20 ans ! Voici trois exemples en 2017 ; 2019 ou encore 2023.

Le faux site repéré par la Gendarmerie.

La Gendarmerie rappelle que ce faux site à trois missions :

  1. Collecte d’informations : Les utilisateurs sont invités à saisir leurs nom, prénom, ville et nom de l’établissement scolaire. Cette étape donne l’illusion de légitimité et de sécurité.
  2. Vérification fallacieuse : Une fois les informations saisies, une liste partielle apparaît, avec des noms floutés. Pour accéder à la liste complète, les utilisateurs doivent prouver qu’ils ne sont pas des robots en accomplissant des « missions » comme l’installation d’applications ou la participation à des jeux-concours.
  3. Escroquerie finale : Malgré toutes ces étapes, les utilisateurs ne reçoivent jamais la liste attendue. À la place, leurs informations personnelles sont volées, les exposant à divers types de fraudes.

La jeune génération : une cible facile

Contrairement aux idées reçues, une étude britannique récente a révélé que les jeunes de moins de 20 ans sont plus vulnérables aux arnaques en ligne que les personnes de plus de 55 ans. Bien que cette génération soit fortement connectée aux réseaux sociaux et aux outils numériques, elle ne détecte pas toujours les pièges en ligne. Il est crucial de ne jamais divulguer d’informations personnelles sur des sites suspects. En cas de doute, contactez votre brigade de gendarmerie ou la brigade numérique. Vous pouvez également signaler ces arnaques sur le site officiel : www.internet-signalement.gouv.fr. La vigilance est de mise pour éviter de tomber dans les pièges tendus par ces cyberdélinquants, surtout lorsque cela concerne la sécurité des informations personnelles des enfants.