Archives de catégorie : Patch

backdoor, Chiffrement, Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Rançongiciel en Roumanie, 1 000 systèmes d’eau chiffrés

Une attaque par rançongiciel a paralysé environ 1 000 systèmes informatiques de l’autorité roumaine des eaux. Les barrages et l’exploitation hydraulique ont tenu, grâce à des procédures manuelles.

La Direction nationale roumaine pour la cybersécurité (DNSC) a annoncé qu’une attaque par rançongiciel, survenue en décembre 2025, a compromis près de 1 000 systèmes IT de l’Administrația Națională Apele Române, l’autorité nationale de l’eau. Dix des onze administrations régionales de bassins, dont Oradea, Cluj, Iași, Siret et Buzău, ont été touchées. Les assaillants ont détourné BitLocker, un mécanisme légitime de chiffrement Windows, pour verrouiller les fichiers et déposer une note exigeant un contact sous sept jours.

Un choc IT, une continuité opérationnelle sous contrainte

La scène se joue d’abord côté bureaux et serveurs. La DNSC indique qu’une attaque de type rançongiciel a frappé l’infrastructure informatique de l’Administrația Națională Apele Române, avec environ 1 000 systèmes compromis. L’impact territorial est massif : dix administrations régionales de bassins sur onze seraient concernées, avec des sites cités comme Oradea, Cluj, Iași, Siret et Buzău. La liste, à elle seule, raconte la difficulté logistique : quand l’IT tombe en panne à cette échelle, la gestion de crise devient une affaire de synchronisation et de priorités, pas seulement de remédiation technique.

Le périmètre atteint, détaillé par les autorités, couvre des briques critiques du quotidien numérique. Sont mentionnés des serveurs applicatifs SIG (GIS), des serveurs de bases de données, des postes Windows, des environnements Windows Server, mais aussi des serveurs de messagerie et web, ainsi que des serveurs DNS. Autrement dit, de quoi casser la cartographie opérationnelle, gêner la circulation d’information, perturber la résolution de noms et compliquer toute orchestration de reprise.

Pourtant, l’essentiel, au sens hydrotechnique, n’a pas cédé. L’autorité de l’eau affirme que les technologies opérationnelles (OT) n’ont pas été touchées. Elle précise que l’exploitation des ouvrages hydrotechniques repose sur des centres de dispatching et des communications vocales. Les constructions hydrotechniques resteraient « sécurisées », opérées localement par du personnel spécialisé, coordonné par ces centres. La conséquence immédiate est un basculement vers une conduite dégradée : moins de confort numérique, plus de procédures, de réflexes et de voix au téléphone.

Ce choix d’architecture de crise n’est pas anodin. L’organisation insiste sur la continuité de fonctions sensibles, contrôle de barrages, gestion des crues, distribution d’eau, assurée via supervision manuelle et protocoles vocaux conçus pour ce type de contingence. C’est la logique classique de résilience : si l’IT est frappée, l’OT doit tenir, et si l’OT dépend de l’IT, alors des modes alternatifs doivent déjà exister. Ici, la narration officielle vise à rassurer sur ce point précis : la disponibilité opérationnelle n’a pas été brisée.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

BitLocker détourné, et un angle mort de protection nationale

Le détail technique central tient en un mot connu des administrateurs Windows : BitLocker. Selon une première évaluation, les attaquants ont utilisé ce mécanisme légitime de chiffrement pour produire un blocage par chiffrement sur les systèmes touchés. Le signal est fort sur le plan du renseignement de menace : au lieu d’introduire un malware « exotique », l’adversaire exploite un outil natif, déjà présent et souvent autorisé. Cela complique l’attribution technique, brouille les détections basées sur la présence d’un binaire malveillant, et déplace la bataille vers les droits, la gouvernance et l’audit des usages.

Les assaillants ont aussi déposé une note de rançon exigeant une prise de contact sous sept jours. La DNSC réitère sa doctrine : ne pas contacter ni négocier avec les cybercriminels, pour éviter d’alimenter leur économie. Dans cette logique, la variable critique devient le temps. Sept jours, c’est une pression psychologique, mais c’est aussi une fenêtre de reprise, de reconstitution d’inventaires, d’assainissement et de restauration. Quand des serveurs DNS, mail et web sont cités, la tentation de « raccourcir » la crise est forte. La recommandation publique vise à cadrer cette tension.

Un autre élément, plus politique, ressort de l’enquête : l’infrastructure de l’autorité des eaux n’était pas protégée par le système national de protection des infrastructures IT d’importance critique pour la sécurité nationale. Ce point ouvre un débat de surface, mais surtout un chantier immédiat. Des procédures ont été lancées pour intégrer ce périmètre aux dispositifs développés par le Centre national de cyber-renseignement, au sein du service de renseignement roumain, afin d’assurer la protection d’infrastructures publiques, et privées jugées critiques, via des technologies de cyber-intelligence. Le vocabulaire est important : on passe d’une défense locale à une logique de protection mutualisée, pilotée, et nourrie par le renseignement.

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, Mise à jour, Patch

SmartTube compromis, un détournement par clé de signature

Un client YouTube tiers très utilisé sur Android TV et boîtiers multimédias a diffusé une mise à jour infectée. La compromission des clés de signature a transformé un canal de confiance en vecteur d’implant silencieux.

Le développeur de SmartTube, application open source prisée sur Android TV, Fire TV Stick et décodeurs, a reconnu la compromission de ses clés de signature. Cette fuite aurait permis à des attaquants d’injecter un composant malveillant dans une mise à jour officielle, provoquant une vague d’alertes : Play Protect a commencé à bloquer l’application et à la signaler comme menace, après de nombreuses plaintes d’utilisateurs en fin de semaine dernière. Des analyses communautaires de la version 30.51 ont repéré la bibliothèque libalphasdk.so, absente du code source public. Le module collecte des informations appareil, les envoie à distance et peut recevoir de nouvelles fonctions.

Une chaîne de confiance retournée contre les utilisateurs

Le point critique n’est pas seulement la présence d’un malware, c’est le chemin qu’il emprunte. Selon Yuri Yuliskov, développeur de SmartTube, les clés de signature ont été compromises. Dans l’écosystème Android, la signature est la preuve d’authenticité qui autorise une mise à jour à remplacer une version existante. Quand cette clé tombe, l’attaquant n’a plus besoin de convaincre l’utilisateur : l’update “officielle” devient le cheval de Troie. C’est précisément ce que suggère l’alerte Play Protect, déclenchée après une série de retours utilisateurs en fin de semaine dernière, avec blocage automatique de l’application sur certains appareils.

SmartTube, gratuit et open source, est populaire car il bloque la publicité et reste stable sur du matériel modeste, un profil fréquent dans les parcs de téléviseurs Android, Fire TV Stick et boîtiers TV. Ce contexte compte : ces appareils sont souvent moins surveillés que les smartphones, partagés au sein du foyer et connectés à des comptes Google, ce qui augmente l’intérêt d’un implant discret.

Le module suspect : libalphasdk.so et une collecte furtive

Des passionnés ayant disséqué la version 30.51 affirment y avoir découvert une bibliothèque inconnue, libalphasdk.so, absente du dépôt public. Yuliskov précise que ce composant n’appartient pas au projet et n’est rattaché à aucun outil utilisé pour construire l’application. L’élément le plus inquiétant tient au comportement décrit : fonctionnement silencieux, aucune action visible, collecte d’informations sur l’appareil, envoi vers un serveur distant, et échanges réguliers via un canal chiffré. Le choix d’une bibliothèque native, au format .so, peut aussi compliquer la lecture du code et masquer des fonctions derrière du binaire.

À ce stade, aucun vol de compte ni enrôlement dans un botnet n’est rapporté. Mais le texte insiste sur le risque : l’architecture observée permettrait d’activer à distance des fonctions additionnelles. Dit autrement, la version livrée pourrait n’être qu’un socle, avec des capacités modulaires déclenchées ultérieurement. Pour des opérations d’influence ou de renseignement, ce modèle est pratique : déployer large, rester discret, puis activer seulement sur certaines cibles.

Yuliskov affirme avoir révoqué immédiatement les clés compromises. Il annonce une nouvelle version avec un nouvel identifiant, et pousse les utilisateurs à mettre à jour dès que possible. Il dit aussi avoir publié une bêta sécurisée et une version de test stable via sa chaîne Telegram. Bleeping Computer relève toutefois qu’un déficit d’informations techniques alimente la défiance dans la communauté. Le développeur promet une analyse complète après la disponibilité de la nouvelle version sur F-Droid, ce qui situe la communication dans une logique de transparence différée : d’abord remettre en circulation une build saine, ensuite documenter l’incident.

Cybersécurité, Mise à jour, Patch

Patch Tuesday de décembre : Windows en première ligne

Dernier Patch Tuesday de 2025, et Microsoft boucle l’année avec un lot de correctifs où une élévation de privilèges Windows exploitée activement impose l’ordre de priorité aux équipes sécurité.

Ce Patch Tuesday de décembre se distingue moins par le volume des correctifs que par leur profil de risque. Microsoft publie 56 CVE, dont seulement deux critiques sur le papier mais une faille d’élévation de privilèges déjà exploitée dans Cloud Files Mini Filter Driver, rendant la mise à jour Windows prioritaire. Deux vulnérabilités officiellement divulguées complètent le tableau, l’une dans PowerShell, l’autre dans GitHub Copilot pour JetBrains. En parallèle, Mozilla corrige 27 CVE dans Firefox, et Adobe traite à lui seul 142 failles, majoritairement via une mise à jour ColdFusion classée priorité un. Pour les équipes de défense, l’enjeu n’est plus de tout installer au plus vite, mais de hiérarchiser finement les risques.

Un Patch Tuesday dominé par Windows

Pour ce dernier rendez-vous correctif de 2025, Microsoft publie 56 vulnérabilités référencées, avec deux failles considérées comme critiques et 54 classées importantes. Pris isolément, ce volume pourrait presque sembler modéré par rapport à certains mois précédents. Mais l’angle cyber ne se mesure pas au compteur brut de CVE, plutôt à la combinaison entre criticité théorique, exploitabilité pratique et surface d’exposition.

Le point dur de ce mois-ci est clair : CVE-2025-62221, une vulnérabilité d’élévation de privilèges dans le pilote Cloud Files Mini Filter. Officiellement, Microsoft la classe comme « Important » avec un score CVSS v3.1 de 7,8. En pratique, le fait qu’elle soit déjà exploitée dans la nature change complètement la donne. Un attaquant capable d’en abuser peut obtenir des privilèges SYSTEM, soit le niveau de contrôle maximal sur une machine Windows. Dans un modèle de priorisation basé sur le risque, cette combinaison score élevé plus exploitation active suffit à la reclasser de facto au rang de faille critique, quelle que soit l’étiquette de l’éditeur.

Cette vulnérabilité affecte Windows 10 et les versions ultérieures. Autrement dit, elle recoupe une grande partie du parc encore en production dans les entreprises. Pour un attaquant déjà positionné sur un poste utilisateur, cette élévation de privilèges constitue un tremplin idéal vers un contrôle complet de la machine, puis une éventuelle progression latérale. C’est précisément ce type de maillon qui permet de passer d’un incident isolé à un compromis de domaine complet.

La mise à jour du système d’exploitation Windows de décembre corrige à la fois cette faille exploitée et l’une des vulnérabilités divulguées publiquement, CVE-2025-54100. C’est la raison pour laquelle le bulletin place explicitement Windows au sommet des priorités ce mois-ci. Pour les RSSI et responsables de configuration, le calcul est simple : une seule vague de déploiement du correctif OS réduit en même temps la surface d’attaque liée à une exploitation active et à une divulgation publique. Toutes choses égales par ailleurs, la fenêtre de tir laissée aux attaquants se mesure en jours.

Toutes les autres mises à jour Microsoft peuvent, selon les recommandations fournies, être intégrées dans les cycles de patch habituels, alignés sur les SLA internes. Cette hiérarchisation n’invite pas à la complaisance, mais elle reconnaît que le risque marginal supplémentaire lié à ces autres CVE est moindre que celui associé à une élévation de privilèges déjà utilisée sur le terrain.

PowerShell et Copilot, nouveaux angles d’attaque

Au-delà de l’élévation de privilèges dans Cloud Files, deux vulnérabilités divulguées publiquement attirent l’attention des équipes défense. La première, CVE-2025-54100, touche PowerShell et se traduit par un risque d’exécution de code à distance. Là encore, Microsoft la classe en « Important » avec un score CVSS v3.1 de 7,8. Le fait qu’elle soit déjà publique augmente mécaniquement le risque de voir apparaître des scripts d’exploitation reproductibles, même si aucune exploitation active n’est mentionnée dans le texte fourni.

Le correctif de Microsoft pour cette faille ne se limite pas à un patch technique, il s’accompagne d’un avertissement et de recommandations d’usage. Le cœur du problème vient de la commande Invoke-WebRequest. Lorsqu’elle analyse le contenu d’une page web, elle peut, dans certaines conditions, exécuter du code script lors de cette phase d’analyse. La recommandation fournie insiste sur l’utilisation du paramètre -UseBasicParsing pour éviter la prise en charge avancée susceptible de déclencher ce type de comportement.

Les auteurs du récapitulatif soulignent que la nature même de la vulnérabilité rend une correction totale peu probable. Dit autrement, même après application du correctif, la posture de sécurité dépendra en grande partie de la discipline opérationnelle des administrateurs et des scripts en production. Cette vulnérabilité affecte Windows Server 2008 et toutes les versions ultérieures, ce qui élargit encore la surface d’exposition, notamment dans les environnements où PowerShell est massivement utilisé pour l’automatisation.

La seconde vulnérabilité rendue publique, CVE-2025-64671, cible GitHub Copilot for JetBrains. Elle est également classée « Important » mais avec un score CVSS v3.1 plus élevé, à 8,4. On reste officiellement sous le seuil « critique », mais la proximité montre que le scénario d’attaque est loin d’être théorique. L’exploitation repose sur un concept qui parle directement aux spécialistes de l’IA générative : l’attaque « Cross Prompt Inject ».

Concrètement, un attaquant peut insérer du contenu malveillant dans des fichiers non fiables ou sur des serveurs MCP. Copilot, en traitant ces informations, se trouve alors amené à proposer ou exécuter des commandes supplémentaires, injectées dans le flux normal de travail. Le danger augmente fortement lorsque l’option d’approbation automatique du terminal utilisateur est activée. Dans ce cas, les commandes suggérées franchissent plus facilement la barrière entre assistance et exécution réelle.

Cette vulnérabilité ne se corrige pas par une simple mise à jour Windows. Elle impose aux équipes de développement de télécharger et mettre à jour le plugin GitHub Copilot utilisé dans les IDE JetBrains. Ce détail opérationnel est important : il déplace une partie de la responsabilité du côté des équipes dev, qui n’entrent pas toujours dans le périmètre direct des processus de patch management classiques. Pour les équipes de sécurité, l’alignement entre IT, Dev et Sec devient ici une condition de réduction effective du risque.

En termes de renseignement cyber, le cas Copilot illustre une tendance lourde : les outils d’assistance à la programmation et les extensions d’IDE deviennent de nouvelles surfaces d’attaque. Là où l’on regardait traditionnellement les chaînes CI/CD et les dépôts de code, il faut désormais intégrer les assistants IA comme maillons à part entière de la chaîne d’approvisionnement logicielle.

Mozilla, Adobe et la pression des dépendances tierces

Le Patch Tuesday de décembre ne se limite pas à l’écosystème Microsoft. Côté navigateurs, Mozilla publie plusieurs mises à jour pour Firefox 146 et les branches ESR 115.31 et 140.6. Au total, 27 CVE sont corrigées, avec des impacts jugés élevés pour l’ensemble des trois mises à jour. Même si le détail des failles n’est pas fourni ici, les équipes de défense savent par expérience qu’un navigateur exposé à Internet, combiné à des vulnérabilités CVE en nombre à impact élevé, constitue une cible logique pour les campagnes d’exploitation opportunistes.

Adobe, de son côté, alourdit considérablement le bilan chiffré du mois avec cinq mises à jour qui traitent à elles seules 142 CVE. Les produits concernés sont ColdFusion, Experience Manager, DNG SDK, Acrobat et Reader, ainsi que l’application Creative Cloud Desktop. Quatre de ces cinq mises à jour sont classées priorité trois, ce qui suggère un niveau de pression moindre, soit parce que les scénarios d’exploitation sont jugés difficiles, soit parce qu’aucun contexte opérationnel massivement exposé n’a été identifié.

La mise à jour ColdFusion fait figure d’exception. Classée priorité un, elle corrige la grande majorité des 142 vulnérabilités recensées par Adobe ce mois-ci. Aucune exploitation connue n’est signalée dans le texte fourni, mais la concentration de CVE sur un produit serveur côté applicatif suffit à justifier ce classement prioritaire. Dans un environnement où ColdFusion reste installé, un attaquant obtenant une seule chaîne d’exploit stable peut bénéficier d’une surface extrêmement large, depuis les serveurs de contenu jusqu’aux backends métiers.

Le contraste est frappant : côté Microsoft, une faille exploitée activement dans le cœur de Windows impose l’urgence ; côté Adobe, c’est la densité de vulnérabilités dans un produit serveur qui dicte la priorité, même sans exploit connu. Dans les deux cas, les décisions de patch se font par combinaison de trois paramètres : exploitabilité avérée ou probable, criticité fonctionnelle de l’actif exposé et volume de failles corrigées.

En termes de gestion du risque, le récapitulatif du mois propose une ligne directrice claire. Première étape, déployer en priorité les mises à jour du système d’exploitation Windows pour neutraliser CVE-2025-62221 et réduire en même temps le risque lié à CVE-2025-54100. Deuxième étape, organiser la mise à jour des chaînes de développement utilisant GitHub Copilot for JetBrains afin de traiter CVE-2025-64671, en impliquant clairement les équipes dev. Troisième étape, intégrer les mises à jour Mozilla et Adobe, notamment ColdFusion, dans les cycles de patch habituels, tout en vérifiant que les actifs les plus exposés ne restent pas plusieurs mois sans correction.

Pour les SOC et équipes de renseignement sur la menace, ce Patch Tuesday de décembre offre enfin un signal plus large : les vecteurs d’attaque se diversifient. Pilotes de fichiers cloud, frameworks d’automatisation comme PowerShell, assistants IA intégrés aux IDE, navigateurs et plateformes applicatives comme ColdFusion constituent autant de couches où un attaquant peut chercher l’entrée la plus rentable. L’exercice de priorisation devient un travail d’arbitrage permanent entre ces couches.

Ce Patch Tuesday de décembre 2025 illustre une évolution désormais bien installée du paysage des vulnérabilités : la criticité ne se lit plus seulement dans le score CVSS ou le label « critique », mais dans la combinaison entre exploitation active, divulgation publique et rôle de l’actif dans la chaîne de valeur numérique. Avec une élévation de privilèges Windows déjà armée, un PowerShell dont la correction passe autant par la configuration que par le patch, et un GitHub Copilot exposé aux attaques de type Cross Prompt Inject, les organisations doivent synchroniser sécurité système, sécurité des scripts et sécurité des outils d’IA de développement. À la lumière de ce dernier Patch Tuesday de l’année, les équipes cyber sauront-elles adapter leurs processus de veille et de priorisation pour suivre, en temps quasi réel, le déplacement des surfaces d’attaque vers ces nouveaux points de friction entre système, DevOps et IA générative ?

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Microsoft corrige 63 failles, dont une exploitée activement

Le Patch Tuesday de novembre a comblé 63 vulnérabilités, dont une faille zéro-day déjà exploitée. Quatre d’entre elles sont jugées critiques.

Microsoft a publié ses correctifs mensuels de sécurité, colmatant 63 vulnérabilités réparties entre élévation de privilèges, exécution de code à distance, divulgation d’informations et déni de service. Parmi elles, une faille de type zero-day dans le noyau Windows, identifiée sous le numéro CVE-2025-62215, est activement exploitée. Elle découle d’une condition de course permettant à un attaquant d’obtenir les privilèges SYSTEM et donc le contrôle complet d’un poste. Découverte par les équipes MSTIC et MSRC, cette brèche représente le risque le plus critique du mois.

Quatre vulnérabilités sont classées « critiques » : deux autorisent l’exécution de code à distance (dans Microsoft Office et Visual Studio), une entraîne une élévation de privilèges (DirectX Graphics Kernel), et une dernière cause une fuite d’informations (Nuance PowerScribe 360). Les autres sont qualifiées d’« importantes ». Microsoft souligne que les correctifs appliqués à Edge et à Mariner ne figurent pas dans ce bilan, ce qui explique d’éventuelles différences de chiffres par rapport aux rapports cumulés de novembre.

Répartition par type :
29 élévations de privilèges ; 2 contournements de mécanismes de sécurité ; 16 exécutions de code à distance ; 11 divulgations d’informations ; 3 dénis de service ; 2 attaques par usurpation (spoofing).

En parallèle, l’entreprise a lancé le premier Extended Security Update (ESU) pour Windows 10. Les utilisateurs encore sous cette version sont invités à migrer vers Windows 11 ou à souscrire au programme ESU afin de continuer à recevoir les correctifs. Un correctif d’urgence a également été diffusé pour résoudre un bug affectant l’enregistrement au programme ESU.

Ce Patch Tuesday illustre la persistance des attaques ciblant les composants centraux du système, notamment les services de gestion des privilèges et les modules graphiques. La faille CVE-2025-62215, exploitée avant publication, démontre une fois de plus l’importance des mises à jour rapides dans la défense en profondeur des environnements Windows.

Microsoft n’a pas divulgué les vecteurs d’attaque exacts, mais la nature du bogue (condition de course dans le noyau) laisse penser à une exploitation locale après compromission initiale. Pour les administrateurs, la priorité consiste à appliquer sans délai le lot de correctifs, en particulier sur les postes sensibles et les serveurs exposés.

L’ensemble des correctifs peut être consulté via le Microsoft Security Update Guide.

Ce Patch Tuesday rappelle que, même avec un cycle mensuel régulier, les menaces évoluent plus vite que les correctifs. La faille zero-day CVE-2025-62215 relance la question : combien de vulnérabilités du noyau Windows restent encore inconnues ?

Sources

Cybersécurité, Entreprise, Logiciels, Mise à jour, Patch, Wordpress

Faille critique dans King Addons : des sites WordPress pris pour cibles

En 24 heures, plus de 160 attaques ont visé le plugin King Addons pour Elementor, exposant des milliers de sites WordPress à un risque de piratage complet.

Les chercheurs en sécurité de Wordfence ont détecté une vague d’exploitations massives de la vulnérabilité CVE-2025-8489 affectant le plugin King Addons for Elementor. Ce module, utilisé sur plus de 10 000 sites WordPress, contenait une faille d’élévation de privilèges permettant à un attaquant non authentifié de créer des comptes administrateurs.

Une faille critique exploitée à grande échelle

Selon Wordfence, les premières attaques ont été observées le 1er novembre 2025, avec 162 tentatives bloquées en 24 heures. La faille provenait d’une erreur dans la gestion des rôles lors de l’inscription d’utilisateurs. En exploitant cette faille, les pirates pouvaient obtenir les droits d’administrateur, installer des extensions malveillantes, modifier le contenu ou rediriger le trafic du site. Classée 9,8 sur 10, la vulnérabilité a été jugée critique par le système CVSS.

Les versions concernées vont de 24.12.92 à 51.1.14. Le correctif a été publié dans la version 51.1.35 et confirmé stable à partir de la 51.1.37. Les administrateurs doivent impérativement effectuer la mise à jour.

Ne manquez pas nos dernières actualités sur Google Actualités. Ajoutez-nous comme source préférée sur Google. Suivez-nous

Un risque étendu pour les petites structures

King Addons, extension populaire pour Elementor, est très utilisé par les petites entreprises et les sites personnels, souvent peu surveillés. Ce profil en fait une cible idéale pour les campagnes automatisées de piratage. Les attaquants n’ont besoin d’aucune interaction préalable pour exploiter la faille, ce qui favorise la propagation rapide du code malveillant.

Les incidents signalés montrent que les sites non mis à jour peuvent être compromis en quelques minutes. Une fois le contrôle obtenu, les assaillants peuvent injecter des scripts, détourner le référencement SEO, ou héberger des malwares. Wordfence souligne que la plupart des attaques recensées sont menées depuis des infrastructures déjà utilisées pour d’autres campagnes contre des plugins vulnérables.

Réaction et recommandations

Les développeurs de King Addons ont diffusé une mise à jour corrective dès la découverte de la faille. Wordfence recommande aux utilisateurs de vérifier leur version et de renforcer la sécurité via une solution de protection applicative (WAF). Les administrateurs doivent aussi examiner les comptes récents créés sur leur site et supprimer tout utilisateur suspect.

L’incident illustre une fois encore la vulnérabilité de l’écosystème WordPress, où la sécurité repose largement sur la vigilance des webmasters. Malgré les alertes répétées, nombre de sites tardent à appliquer les correctifs, laissant un vaste champ d’action aux cybercriminels.

Cette nouvelle faille montre combien la maintenance proactive est cruciale pour l’intégrité des sites WordPress. Les campagnes d’exploitation automatisées se multiplient : combien de temps avant qu’elles visent les plateformes plus critiques ?

Boostez votre cybersécurité avec notre service de veille ZATAZ.
Alertes, surveillance et infos exclusives pour anticiper les menaces. Découvrir le service

Sources

backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Vulnérabilités 7-Zip : sortie du répertoire et exécution à distance

Deux failles critiques de 7-Zip permettent l’évasion du répertoire de travail via des symlinks dans des ZIP malveillants. Mettez à jour ou désactivez l’extraction automatique.

Deux vulnérabilités désignées CVE-2025-11001 et CVE-2025-11002, cotées 7,0 CVSS, exposent 7-Zip à des attaques par archives ZIP contenant des liens symboliques malformés. En ouvrant l’archive, la victime risque la corruption ou la substitution de fichiers système, y compris la substitution de DLL utilisées par des services privilégiés, autorisant potentiellement l’exécution de code à distance. Les correctifs sont inclus dans la build 25.00. Les utilisateurs doivent installer la mise à jour immédiatement ou au minimum interdire l’extraction automatique d’archives. Des vulnérabilités moins graves, publiées l’été précédent, permettaient des DoS via écriture hors bornes et déréférencement null.

Manipulation de symlinks et dépassement du répertoire

Les deux vulnérabilités exploitent la même mécanique : une gestion incorrecte des liens symboliques intégrés dans des archives ZIP. 7-Zip, lors de l’extraction, peut suivre ou recréer des symlinks sans vérifier qu’ils restent confinés au répertoire de travail. Un ZIP conçu pour pointer en dehors de l’arborescence cible permet d’écrire ou de remplacer des fichiers situés arbitrairement sur le système. Dans ce scénario l’attaque n’exige pas d’élévation préalable ; elle réclame uniquement que la victime ouvre l’archive dans l’outil vulnérable. Le risque opérationnel est double : disparition ou altération de fichiers applicatifs et substitution de DLL chargées par des services disposant de privilèges supérieurs. La combinaison du vecteur d’infection trivial — double-clic ou extraction automatique — et de l’impact potentiel sur des composants privilégiés transforme une vulnérabilité de chemin en vecteur d’escalade et d’exécution à distance.

Portée technique et conséquences pratiques

Techniquement, ces failles permettent l’écriture arbitraire de fichiers en dehors du dossier prévu par l’utilisateur. Concrètement, un ZIP malveillant peut contenir des entrées dont le nom est un symlink ciblant des chemins sensibles du système. Lors de l’extraction, 7-Zip reconstitue le lien ou suit la cible sans vérification stricte, puis écrit les données de l’archive sur la cible. Résultat possible : remplacement d’un exécutable, altération d’un binaire ou substitution d’une DLL. Si la DLL remplacée est ensuite chargée par un service s’exécutant avec des droits élevés, l’attaquant obtient une exécution de code en contexte privilégié. L’attaque repose sur l’appâtage de l’utilisateur, mais pas sur une technique sophistiquée côté serveur. Elle est donc aisée à déployer à grande échelle par phishing, pièces jointes ou contenus téléchargés.

Correctifs et mesures immédiates recommandées

Les correctifs sont inclus dans la build 25.00 de 7-Zip. L’éditeur a modifié le comportement d’extraction pour valider les symlinks et empêcher l’évasion du répertoire de destination. Les administrateurs doivent déployer cette build sur tous les postes et serveurs où 7-Zip est présent. En attendant la mise à jour, il est impératif d’interdire l’extraction automatique d’archives par tout mécanisme intégré au poste de travail ou au client de messagerie. Les équipes doivent également sensibiliser les utilisateurs aux risques des archives reçues par courriel et privilégier l’analyse en bac à sable des fichiers ZIP suspects. Dans les environnements sensibles, limitez les permissions d’écriture sur les chemins critiques et surveillez les modifications de DLL via intégrité fichier (HIPS, solutions EDR).

L’été précédent, deux autres problèmes ont été révélés pour 7-Zip : une écriture hors bornes et un déréférencement de pointeur nul. Ces derniers permettaient d’induire des états de déni de service (DoS) mais étaient classés comme moins critiques car ils n’autorisaient pas directement l’exécution arbitraire de code. Les nouvelles failles CVE-2025-11001 et CVE-2025-11002, malgré une note CVSS égale à 7,0, présentent un profil d’exploitation plus dangereux en raison de la possibilité de corruption ou substitution de DLL. La différenciation entre crashs non persistants et corruption délibérée d’artefacts système explique l’écart d’impact opérationnel.

 

Rejoignez nous sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaque exploit typique et vecteurs de diffusion

Un exploit plausible commence par une archive ZIP contenant des fichiers dont certains sont des symlinks calculés pour pointer vers des emplacements système. L’archive est livrée à la cible via phishing, téléchargement piégé ou pièce jointe. Si la victime double-clic sur l’archive ou si un processus d’extraction automatique la décompresse, 7-Zip traite la structure et réalise l’écriture vers la cible. L’attaquant peut alors remplacer une DLL utilisée par un service démarré, provoquer un chargement ultérieur de la DLL malveillante et obtenir un exécutable furtif sous les droits du service. Ce scénario est particulièrement critique sur des serveurs exposés, sur des postes administrateurs ou sur des machines où des services système chargent dynamiquement des bibliothèques depuis des chemins modifiables.

Détecter une exploitation requiert de surveiller les modifications de fichiers système habituellement immuables, les créations ou modifications de DLL dans des répertoires système et les écritures inhabituelles initiées par processus utilisateur non privilégiés. Les solutions EDR doivent alerter sur les opérations d’écriture vers les répertoires Windows\System32, Program Files ou tout autre emplacement abritant des composants partagés. L’analyse des journaux d’antivirus et l’examen des actions d’extraction réalisées par 7-Zip peuvent révéler des tentatives d’exploitation. Enfin, la corrélation entre réception d’un ZIP externe et modifications de fichiers sensibles constitue un indicateur fort d’exploitation.

Bonnes pratiques post-correction

Outre l’installation immédiate de la build 25.00, standardisez la gestion des archives dans l’entreprise. Centralisez l’extraction via des bastions ou des environnements isolés. Restreignez les droits d’écriture sur les répertoires où des DLL sont chargées automatiquement. Activez la validation d’intégrité pour les DLL critiques et déployez des règles d’application des DLL signées. Mettez en place un flux de gestion des pièces jointes qui isole et analyse automatiquement les ZIP avant mise à disposition des utilisateurs. Enfin, documentez toute remise en état après incident, car une DLL compromise peut cacher une présence malveillante persistante.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google muscle Drive avec une IA anti-ransomware

Google ajoute une nouvelle barrière dans Drive : une IA dédiée à stopper le ransomware avant la restauration. Objectif : limiter les dégâts une fois l’antivirus contourné.

Google lance une nouvelle protection dans Drive pour Windows et macOS, destinée à bloquer les attaques de ransomware avant qu’elles ne paralysent tout un réseau. Contrairement aux solutions classiques centrées sur le malware, l’outil repose sur une IA entraînée à détecter les comportements suspects, comme le chiffrement massif de fichiers. Dès alerte, la synchronisation cloud s’interrompt et les données passent en quarantaine. Présentée comme une « nouvelle couche » par Luke Camery, responsable produit chez Google Workspace, la solution complète antivirus et restauration, sans les remplacer. Disponible en bêta ouverte, elle sera intégrée sans surcoût dans la majorité des abonnements Workspace.

Une nouvelle couche face aux rançongiciels

Les ransomwares ont démontré les limites des protections classiques. Les antivirus stoppent une partie des menaces, mais les attaquants réussissent régulièrement à franchir cette barrière. Les solutions de restauration existent, mais elles restent coûteuses et lourdes pour les équipes IT. C’est dans cet interstice que Google place sa nouvelle défense.

« Nous ne remettons pas en cause l’efficacité des acteurs traditionnels, mais force est de constater que l’approche actuelle ne suffit pas », résume Luke Camery. Selon lui, l’erreur du statu quo consiste à ne pas intégrer de détection comportementale en amont de la restauration. L’outil Drive se veut donc une couche distincte, un filet de sécurité supplémentaire, destiné à stopper une attaque en cours avant que le chiffrement ne devienne irréversible.

Le principe est simple : supposer que l’antivirus a échoué, puis intervenir. Google compare cela à une maison protégée par des serrures et des assurances, mais dépourvue d’alarme. Avec ce dispositif, l’alarme se déclenche dès qu’un intrus tente de verrouiller toutes les portes.

Une IA entraînée sur des millions d’exemples

Le cœur de la solution est un modèle d’intelligence artificielle personnalisé. Entraîné sur des millions de cas de ransomware, il ne cherche pas à identifier un code malveillant précis mais à reconnaître des schémas de comportement. L’exemple type : un processus qui tente de chiffrer brutalement de nombreux fichiers.

Dès qu’un tel comportement est repéré, Drive suspend immédiatement la synchronisation avec le cloud. Les fichiers potentiellement compromis sont alors isolés, placés dans une forme de quarantaine. L’objectif est d’empêcher la propagation et de préserver des copies saines.

Cette logique de surveillance permanente et réactive place la solution au-dessus d’un antivirus classique et en dessous d’un outil de restauration. Elle se veut complémentaire : non pas un remplacement, mais une barrière intermédiaire.

En cas d’attaque détectée, l’utilisateur reçoit une alerte sur son poste ainsi qu’un e-mail détaillant les étapes à suivre. Un assistant permet ensuite de restaurer facilement une version non contaminée des fichiers. La démonstration fournie par Google montre un processus aussi simple que de récupérer un document effacé dans la corbeille Windows, sans recours à des outils externes ni réinstallation complexe.

Côté administrateurs, les informations remontent dans la console Admin. Ils disposent d’un journal d’audit et peuvent ajuster la configuration. La fonctionnalité sera activée par défaut, mais les responsables IT gardent la possibilité de désactiver la détection ou la restauration si nécessaire.

L’outil est dès aujourd’hui accessible en bêta ouverte. Il sera intégré sans frais supplémentaires dans la plupart des abonnements Google Workspace commerciaux. Google espère ainsi réduire l’impact des ransomwares qui, malgré les efforts combinés des solutions antivirus et des services de sauvegarde, continuent de frapper organisations publiques et privées.

Adobe, Cybersécurité, Mise à jour, Patch, Securite informatique

Faille critique SessionReaper : Adobe Commerce sous haute menace

Adobe alerte sur la faille SessionReaper (CVE-2025-54236) qui menace Adobe Commerce et Magento. Exploitable via l’API REST, elle expose directement les comptes clients à une prise de contrôle.

Aprés Apple et Microsoft, Adobe a publié un avis de sécurité concernant CVE-2025-54236, surnommée SessionReaper. La vulnérabilité, notée 9,1/10 au CVSS, touche Adobe Commerce, Magento Open Source et Adobe Commerce B2B. Exploitable via l’API REST, elle permet à un attaquant de s’emparer de comptes clients. Aucun cas d’exploitation n’a été détecté pour l’instant, mais l’éditeur insiste sur l’urgence d’appliquer le correctif VULN-32437-2-4-X. Les environnements cloud bénéficient de règles WAF temporaires, mais seul le patch garantit une protection durable. Découverte par le chercheur blaklis, la faille illustre la fragilité des plateformes e-commerce face aux attaques ciblant directement les données utilisateurs et leurs parcours transactionnels.

SessionReaper, une faille critique révélée

SessionReaper, identifiée sous CVE-2025-54236, résulte d’une validation insuffisante des entrées dans l’API REST d’Adobe Commerce. Selon Adobe, un acteur malveillant pourrait détourner cette faiblesse pour prendre la main sur des comptes clients. L’éditeur a publié son avertissement sous la référence APSB25-88 et attribue à la faille une sévérité de 9,1 sur 10 dans l’échelle CVSS.

Le risque principal réside dans la compromission directe des données clients, un scénario particulièrement dangereux pour des plateformes marchandes. La faille affecte les versions 2.4.9-alpha2 et antérieures d’Adobe Commerce et de Magento Open Source, ainsi que la branche 1.5.3-alpha2 et antérieures d’Adobe Commerce B2B. Le module Custom Attributes Serializable, utilisé entre les versions 0.1.0 et 0.4.0, est également concerné.

Pour Adobe, il s’agit d’une vulnérabilité critique, non exploitée pour l’heure, mais dont le potentiel destructeur impose une réaction rapide des administrateurs. L’entreprise prévient que son assistance sera limitée en cas de retard dans l’application des correctifs.

Le correctif et ses conditions de déploiement

Le correctif officiel est publié sous l’identifiant VULN-32437-2-4-X. Il doit être appliqué sans délai sur toutes les instances vulnérables. Les utilisateurs du module Custom Attributes Serializable doivent quant à eux migrer vers la version 0.4.0 ou supérieure, via la commande Composer appropriée.

Adobe propose un outil de vérification, le Quality Patches Tool, qui permet de confirmer l’application effective du patch. La commande de contrôle fournit un statut « Applied » une fois le correctif installé, apportant aux administrateurs la certitude de disposer d’une protection active.

Pour les clients hébergés dans l’environnement Commerce Cloud, Adobe a mis en place des règles de Web Application Firewall destinées à bloquer les tentatives d’exploitation connues. Ces mesures sont toutefois qualifiées de temporaires et ne dispensent pas du déploiement du correctif officiel. Les clients de services managés sont invités à contacter leur Customer Success Engineer afin d’obtenir un accompagnement spécifique.

Un signal fort pour l’écosystème e-commerce

La faille a été signalée par le chercheur indépendant blaklis, qui a révélé à Adobe le fonctionnement de SessionReaper. L’éditeur souligne qu’aucun cas d’exploitation active n’est documenté. Cependant, le scénario théorique reste préoccupant : un assaillant qui obtiendrait le contrôle de comptes clients pourrait accéder à des informations sensibles, détourner des transactions ou lancer des fraudes massives.

Ce type de vulnérabilité démontre la valeur stratégique des données clients pour les cyberattaquants. Les plateformes de commerce électronique constituent des cibles privilégiées en raison des volumes financiers et des informations personnelles qu’elles centralisent.

L’urgence de la mise à jour découle autant du niveau de criticité technique que de l’attrait économique de telles données sur le marché noir. La diffusion rapide du correctif vise à réduire la fenêtre de tir potentielle avant que des groupes malveillants ne développent un code d’exploitation opérationnel.

Apple, Cybersécurité, Logiciels, Mise à jour, OS X, Patch, Securite informatique

Apple colmate 77 failles dans macOS et 27 dans iOS

Apple publie ses nouveaux systèmes iOS, iPadOS et macOS, corrigeant plus de cent vulnérabilités. Mais l’entreprise reste discrète sur leur gravité et sur tout signe d’exploitation active.

Apple vient de déployer iOS 26, iPadOS 26 et macOS 26, corrigeant 27 failles sur mobiles et 77 sur ordinateurs. Les correctifs couvrent aussi Safari, watchOS, visionOS et Xcode. Contrairement à son intervention d’août face à une attaque sophistiquée, Apple n’évoque cette fois aucun cas d’exploitation en cours. Des failles critiques, notamment dans PackageKit et StorageKit, pourraient pourtant permettre l’obtention de privilèges root sur macOS. L’entreprise reste fidèle à sa ligne de communication minimaliste, sans détail de sévérité. En parallèle, les appareils plus anciens restent bloqués sur iOS 18.7 ou macOS 15.7, recevant uniquement des correctifs de sécurité majeurs.

Nouveaux correctifs, anciennes inquiétudes

Apple a diffusé lundi ses nouveaux systèmes d’exploitation numérotés selon l’année de sortie, une nouveauté présentée comme une simplification. iOS 26 et iPadOS 26 corrigent 27 vulnérabilités, tandis que macOS 26 en traite 77. Certaines failles touchaient l’ensemble des plateformes, confirmant la proximité croissante entre les architectures mobiles et ordinateurs.

La nouvelle interface dite « liquid glass » attire l’attention côté design, mais l’enjeu principal demeure la cybersécurité. Les utilisateurs d’appareils lancés avant 2019, non compatibles avec ces versions, doivent se tourner vers iOS 18.7, iPadOS 18.7 ou macOS 15.7, mises à jour de maintenance centrées sur les vulnérabilités critiques.

Un contraste avec les correctifs d’urgence

Le mois dernier, Apple avait dû réagir en urgence face à une attaque qualifiée d’« extrêmement sophistiquée », exploitant la faille CVE-2025-43300 contre des cibles précises. Depuis janvier, cinq vulnérabilités zero-day activement exploitées ont été corrigées, preuve de l’intérêt constant des attaquants pour l’écosystème Apple. Sept de ces failles ont même été intégrées au catalogue des vulnérabilités exploitées tenu par la CISA, soulignant leur criticité pour les infrastructures sensibles.
Cette fois, aucun signe d’attaque en cours n’a été rapporté.

L’absence d’indicateur de sévérité dans les bulletins Apple est classique pour la Grosse Pomme. Contrairement à d’autres éditeurs, la firme se contente d’énumérer les failles, sans notation selon le CVSS, limitant la visibilité des responsables sécurité.

Failles critiques sur macOS

Deux vulnérabilités corrigées dans macOS attirent particulièrement l’attention des chercheurs : CVE-2025-43298 (PackageKit) et CVE-2025-43304 (StorageKit). Leur exploitation pourrait offrir à un attaquant un accès root, ouvrant la voie à une compromission totale du système.

Côté iOS, le volume de corrections reste notable, mais aucune faille n’inspire de crainte immédiate, selon Childs. Le contraste est frappant : si le risque d’exploitation n’est pas confirmé, la surface d’attaque reste considérable. En complément, Apple a publié sept correctifs pour Safari 26, 19 pour watchOS 26, 18 pour visionOS 26 et cinq pour Xcode 26, preuve de l’ampleur des vulnérabilités touchant tout l’écosystème.

Avec plus de cent vulnérabilités corrigées mais sans alerte d’exploitation active, Apple continue de pratiquer une communication minimaliste. La question reste entière : comment évaluer la criticité des failles Apple en l’absence de notation officielle ?

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.