Archives de catégorie : Patch

Cybersécurité, Mise à jour, Patch

Patch Tuesday de décembre : Windows en première ligne

Dernier Patch Tuesday de 2025, et Microsoft boucle l’année avec un lot de correctifs où une élévation de privilèges Windows exploitée activement impose l’ordre de priorité aux équipes sécurité.

Ce Patch Tuesday de décembre se distingue moins par le volume des correctifs que par leur profil de risque. Microsoft publie 56 CVE, dont seulement deux critiques sur le papier mais une faille d’élévation de privilèges déjà exploitée dans Cloud Files Mini Filter Driver, rendant la mise à jour Windows prioritaire. Deux vulnérabilités officiellement divulguées complètent le tableau, l’une dans PowerShell, l’autre dans GitHub Copilot pour JetBrains. En parallèle, Mozilla corrige 27 CVE dans Firefox, et Adobe traite à lui seul 142 failles, majoritairement via une mise à jour ColdFusion classée priorité un. Pour les équipes de défense, l’enjeu n’est plus de tout installer au plus vite, mais de hiérarchiser finement les risques.

Un Patch Tuesday dominé par Windows

Pour ce dernier rendez-vous correctif de 2025, Microsoft publie 56 vulnérabilités référencées, avec deux failles considérées comme critiques et 54 classées importantes. Pris isolément, ce volume pourrait presque sembler modéré par rapport à certains mois précédents. Mais l’angle cyber ne se mesure pas au compteur brut de CVE, plutôt à la combinaison entre criticité théorique, exploitabilité pratique et surface d’exposition.

Le point dur de ce mois-ci est clair : CVE-2025-62221, une vulnérabilité d’élévation de privilèges dans le pilote Cloud Files Mini Filter. Officiellement, Microsoft la classe comme « Important » avec un score CVSS v3.1 de 7,8. En pratique, le fait qu’elle soit déjà exploitée dans la nature change complètement la donne. Un attaquant capable d’en abuser peut obtenir des privilèges SYSTEM, soit le niveau de contrôle maximal sur une machine Windows. Dans un modèle de priorisation basé sur le risque, cette combinaison score élevé plus exploitation active suffit à la reclasser de facto au rang de faille critique, quelle que soit l’étiquette de l’éditeur.

Cette vulnérabilité affecte Windows 10 et les versions ultérieures. Autrement dit, elle recoupe une grande partie du parc encore en production dans les entreprises. Pour un attaquant déjà positionné sur un poste utilisateur, cette élévation de privilèges constitue un tremplin idéal vers un contrôle complet de la machine, puis une éventuelle progression latérale. C’est précisément ce type de maillon qui permet de passer d’un incident isolé à un compromis de domaine complet.

La mise à jour du système d’exploitation Windows de décembre corrige à la fois cette faille exploitée et l’une des vulnérabilités divulguées publiquement, CVE-2025-54100. C’est la raison pour laquelle le bulletin place explicitement Windows au sommet des priorités ce mois-ci. Pour les RSSI et responsables de configuration, le calcul est simple : une seule vague de déploiement du correctif OS réduit en même temps la surface d’attaque liée à une exploitation active et à une divulgation publique. Toutes choses égales par ailleurs, la fenêtre de tir laissée aux attaquants se mesure en jours.

Toutes les autres mises à jour Microsoft peuvent, selon les recommandations fournies, être intégrées dans les cycles de patch habituels, alignés sur les SLA internes. Cette hiérarchisation n’invite pas à la complaisance, mais elle reconnaît que le risque marginal supplémentaire lié à ces autres CVE est moindre que celui associé à une élévation de privilèges déjà utilisée sur le terrain.

PowerShell et Copilot, nouveaux angles d’attaque

Au-delà de l’élévation de privilèges dans Cloud Files, deux vulnérabilités divulguées publiquement attirent l’attention des équipes défense. La première, CVE-2025-54100, touche PowerShell et se traduit par un risque d’exécution de code à distance. Là encore, Microsoft la classe en « Important » avec un score CVSS v3.1 de 7,8. Le fait qu’elle soit déjà publique augmente mécaniquement le risque de voir apparaître des scripts d’exploitation reproductibles, même si aucune exploitation active n’est mentionnée dans le texte fourni.

Le correctif de Microsoft pour cette faille ne se limite pas à un patch technique, il s’accompagne d’un avertissement et de recommandations d’usage. Le cœur du problème vient de la commande Invoke-WebRequest. Lorsqu’elle analyse le contenu d’une page web, elle peut, dans certaines conditions, exécuter du code script lors de cette phase d’analyse. La recommandation fournie insiste sur l’utilisation du paramètre -UseBasicParsing pour éviter la prise en charge avancée susceptible de déclencher ce type de comportement.

Les auteurs du récapitulatif soulignent que la nature même de la vulnérabilité rend une correction totale peu probable. Dit autrement, même après application du correctif, la posture de sécurité dépendra en grande partie de la discipline opérationnelle des administrateurs et des scripts en production. Cette vulnérabilité affecte Windows Server 2008 et toutes les versions ultérieures, ce qui élargit encore la surface d’exposition, notamment dans les environnements où PowerShell est massivement utilisé pour l’automatisation.

La seconde vulnérabilité rendue publique, CVE-2025-64671, cible GitHub Copilot for JetBrains. Elle est également classée « Important » mais avec un score CVSS v3.1 plus élevé, à 8,4. On reste officiellement sous le seuil « critique », mais la proximité montre que le scénario d’attaque est loin d’être théorique. L’exploitation repose sur un concept qui parle directement aux spécialistes de l’IA générative : l’attaque « Cross Prompt Inject ».

Concrètement, un attaquant peut insérer du contenu malveillant dans des fichiers non fiables ou sur des serveurs MCP. Copilot, en traitant ces informations, se trouve alors amené à proposer ou exécuter des commandes supplémentaires, injectées dans le flux normal de travail. Le danger augmente fortement lorsque l’option d’approbation automatique du terminal utilisateur est activée. Dans ce cas, les commandes suggérées franchissent plus facilement la barrière entre assistance et exécution réelle.

Cette vulnérabilité ne se corrige pas par une simple mise à jour Windows. Elle impose aux équipes de développement de télécharger et mettre à jour le plugin GitHub Copilot utilisé dans les IDE JetBrains. Ce détail opérationnel est important : il déplace une partie de la responsabilité du côté des équipes dev, qui n’entrent pas toujours dans le périmètre direct des processus de patch management classiques. Pour les équipes de sécurité, l’alignement entre IT, Dev et Sec devient ici une condition de réduction effective du risque.

En termes de renseignement cyber, le cas Copilot illustre une tendance lourde : les outils d’assistance à la programmation et les extensions d’IDE deviennent de nouvelles surfaces d’attaque. Là où l’on regardait traditionnellement les chaînes CI/CD et les dépôts de code, il faut désormais intégrer les assistants IA comme maillons à part entière de la chaîne d’approvisionnement logicielle.

Mozilla, Adobe et la pression des dépendances tierces

Le Patch Tuesday de décembre ne se limite pas à l’écosystème Microsoft. Côté navigateurs, Mozilla publie plusieurs mises à jour pour Firefox 146 et les branches ESR 115.31 et 140.6. Au total, 27 CVE sont corrigées, avec des impacts jugés élevés pour l’ensemble des trois mises à jour. Même si le détail des failles n’est pas fourni ici, les équipes de défense savent par expérience qu’un navigateur exposé à Internet, combiné à des vulnérabilités CVE en nombre à impact élevé, constitue une cible logique pour les campagnes d’exploitation opportunistes.

Adobe, de son côté, alourdit considérablement le bilan chiffré du mois avec cinq mises à jour qui traitent à elles seules 142 CVE. Les produits concernés sont ColdFusion, Experience Manager, DNG SDK, Acrobat et Reader, ainsi que l’application Creative Cloud Desktop. Quatre de ces cinq mises à jour sont classées priorité trois, ce qui suggère un niveau de pression moindre, soit parce que les scénarios d’exploitation sont jugés difficiles, soit parce qu’aucun contexte opérationnel massivement exposé n’a été identifié.

La mise à jour ColdFusion fait figure d’exception. Classée priorité un, elle corrige la grande majorité des 142 vulnérabilités recensées par Adobe ce mois-ci. Aucune exploitation connue n’est signalée dans le texte fourni, mais la concentration de CVE sur un produit serveur côté applicatif suffit à justifier ce classement prioritaire. Dans un environnement où ColdFusion reste installé, un attaquant obtenant une seule chaîne d’exploit stable peut bénéficier d’une surface extrêmement large, depuis les serveurs de contenu jusqu’aux backends métiers.

Le contraste est frappant : côté Microsoft, une faille exploitée activement dans le cœur de Windows impose l’urgence ; côté Adobe, c’est la densité de vulnérabilités dans un produit serveur qui dicte la priorité, même sans exploit connu. Dans les deux cas, les décisions de patch se font par combinaison de trois paramètres : exploitabilité avérée ou probable, criticité fonctionnelle de l’actif exposé et volume de failles corrigées.

En termes de gestion du risque, le récapitulatif du mois propose une ligne directrice claire. Première étape, déployer en priorité les mises à jour du système d’exploitation Windows pour neutraliser CVE-2025-62221 et réduire en même temps le risque lié à CVE-2025-54100. Deuxième étape, organiser la mise à jour des chaînes de développement utilisant GitHub Copilot for JetBrains afin de traiter CVE-2025-64671, en impliquant clairement les équipes dev. Troisième étape, intégrer les mises à jour Mozilla et Adobe, notamment ColdFusion, dans les cycles de patch habituels, tout en vérifiant que les actifs les plus exposés ne restent pas plusieurs mois sans correction.

Pour les SOC et équipes de renseignement sur la menace, ce Patch Tuesday de décembre offre enfin un signal plus large : les vecteurs d’attaque se diversifient. Pilotes de fichiers cloud, frameworks d’automatisation comme PowerShell, assistants IA intégrés aux IDE, navigateurs et plateformes applicatives comme ColdFusion constituent autant de couches où un attaquant peut chercher l’entrée la plus rentable. L’exercice de priorisation devient un travail d’arbitrage permanent entre ces couches.

Ce Patch Tuesday de décembre 2025 illustre une évolution désormais bien installée du paysage des vulnérabilités : la criticité ne se lit plus seulement dans le score CVSS ou le label « critique », mais dans la combinaison entre exploitation active, divulgation publique et rôle de l’actif dans la chaîne de valeur numérique. Avec une élévation de privilèges Windows déjà armée, un PowerShell dont la correction passe autant par la configuration que par le patch, et un GitHub Copilot exposé aux attaques de type Cross Prompt Inject, les organisations doivent synchroniser sécurité système, sécurité des scripts et sécurité des outils d’IA de développement. À la lumière de ce dernier Patch Tuesday de l’année, les équipes cyber sauront-elles adapter leurs processus de veille et de priorisation pour suivre, en temps quasi réel, le déplacement des surfaces d’attaque vers ces nouveaux points de friction entre système, DevOps et IA générative ?

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch, Securite informatique

Microsoft corrige 63 failles, dont une exploitée activement

Le Patch Tuesday de novembre a comblé 63 vulnérabilités, dont une faille zéro-day déjà exploitée. Quatre d’entre elles sont jugées critiques.

Microsoft a publié ses correctifs mensuels de sécurité, colmatant 63 vulnérabilités réparties entre élévation de privilèges, exécution de code à distance, divulgation d’informations et déni de service. Parmi elles, une faille de type zero-day dans le noyau Windows, identifiée sous le numéro CVE-2025-62215, est activement exploitée. Elle découle d’une condition de course permettant à un attaquant d’obtenir les privilèges SYSTEM et donc le contrôle complet d’un poste. Découverte par les équipes MSTIC et MSRC, cette brèche représente le risque le plus critique du mois.

Quatre vulnérabilités sont classées « critiques » : deux autorisent l’exécution de code à distance (dans Microsoft Office et Visual Studio), une entraîne une élévation de privilèges (DirectX Graphics Kernel), et une dernière cause une fuite d’informations (Nuance PowerScribe 360). Les autres sont qualifiées d’« importantes ». Microsoft souligne que les correctifs appliqués à Edge et à Mariner ne figurent pas dans ce bilan, ce qui explique d’éventuelles différences de chiffres par rapport aux rapports cumulés de novembre.

Répartition par type :
29 élévations de privilèges ; 2 contournements de mécanismes de sécurité ; 16 exécutions de code à distance ; 11 divulgations d’informations ; 3 dénis de service ; 2 attaques par usurpation (spoofing).

En parallèle, l’entreprise a lancé le premier Extended Security Update (ESU) pour Windows 10. Les utilisateurs encore sous cette version sont invités à migrer vers Windows 11 ou à souscrire au programme ESU afin de continuer à recevoir les correctifs. Un correctif d’urgence a également été diffusé pour résoudre un bug affectant l’enregistrement au programme ESU.

Ce Patch Tuesday illustre la persistance des attaques ciblant les composants centraux du système, notamment les services de gestion des privilèges et les modules graphiques. La faille CVE-2025-62215, exploitée avant publication, démontre une fois de plus l’importance des mises à jour rapides dans la défense en profondeur des environnements Windows.

Microsoft n’a pas divulgué les vecteurs d’attaque exacts, mais la nature du bogue (condition de course dans le noyau) laisse penser à une exploitation locale après compromission initiale. Pour les administrateurs, la priorité consiste à appliquer sans délai le lot de correctifs, en particulier sur les postes sensibles et les serveurs exposés.

L’ensemble des correctifs peut être consulté via le Microsoft Security Update Guide.

Ce Patch Tuesday rappelle que, même avec un cycle mensuel régulier, les menaces évoluent plus vite que les correctifs. La faille zero-day CVE-2025-62215 relance la question : combien de vulnérabilités du noyau Windows restent encore inconnues ?

Sources

Cybersécurité, Entreprise, Logiciels, Mise à jour, Patch, Wordpress

Faille critique dans King Addons : des sites WordPress pris pour cibles

En 24 heures, plus de 160 attaques ont visé le plugin King Addons pour Elementor, exposant des milliers de sites WordPress à un risque de piratage complet.

Les chercheurs en sécurité de Wordfence ont détecté une vague d’exploitations massives de la vulnérabilité CVE-2025-8489 affectant le plugin King Addons for Elementor. Ce module, utilisé sur plus de 10 000 sites WordPress, contenait une faille d’élévation de privilèges permettant à un attaquant non authentifié de créer des comptes administrateurs.

Une faille critique exploitée à grande échelle

Selon Wordfence, les premières attaques ont été observées le 1er novembre 2025, avec 162 tentatives bloquées en 24 heures. La faille provenait d’une erreur dans la gestion des rôles lors de l’inscription d’utilisateurs. En exploitant cette faille, les pirates pouvaient obtenir les droits d’administrateur, installer des extensions malveillantes, modifier le contenu ou rediriger le trafic du site. Classée 9,8 sur 10, la vulnérabilité a été jugée critique par le système CVSS.

Les versions concernées vont de 24.12.92 à 51.1.14. Le correctif a été publié dans la version 51.1.35 et confirmé stable à partir de la 51.1.37. Les administrateurs doivent impérativement effectuer la mise à jour.

Ne manquez pas nos dernières actualités sur Google Actualités. Ajoutez-nous comme source préférée sur Google. Suivez-nous

Un risque étendu pour les petites structures

King Addons, extension populaire pour Elementor, est très utilisé par les petites entreprises et les sites personnels, souvent peu surveillés. Ce profil en fait une cible idéale pour les campagnes automatisées de piratage. Les attaquants n’ont besoin d’aucune interaction préalable pour exploiter la faille, ce qui favorise la propagation rapide du code malveillant.

Les incidents signalés montrent que les sites non mis à jour peuvent être compromis en quelques minutes. Une fois le contrôle obtenu, les assaillants peuvent injecter des scripts, détourner le référencement SEO, ou héberger des malwares. Wordfence souligne que la plupart des attaques recensées sont menées depuis des infrastructures déjà utilisées pour d’autres campagnes contre des plugins vulnérables.

Réaction et recommandations

Les développeurs de King Addons ont diffusé une mise à jour corrective dès la découverte de la faille. Wordfence recommande aux utilisateurs de vérifier leur version et de renforcer la sécurité via une solution de protection applicative (WAF). Les administrateurs doivent aussi examiner les comptes récents créés sur leur site et supprimer tout utilisateur suspect.

L’incident illustre une fois encore la vulnérabilité de l’écosystème WordPress, où la sécurité repose largement sur la vigilance des webmasters. Malgré les alertes répétées, nombre de sites tardent à appliquer les correctifs, laissant un vaste champ d’action aux cybercriminels.

Cette nouvelle faille montre combien la maintenance proactive est cruciale pour l’intégrité des sites WordPress. Les campagnes d’exploitation automatisées se multiplient : combien de temps avant qu’elles visent les plateformes plus critiques ?

Boostez votre cybersécurité avec notre service de veille ZATAZ.
Alertes, surveillance et infos exclusives pour anticiper les menaces. Découvrir le service

Sources

backdoor, Cybersécurité, Mise à jour, Patch, Securite informatique

Vulnérabilités 7-Zip : sortie du répertoire et exécution à distance

Deux failles critiques de 7-Zip permettent l’évasion du répertoire de travail via des symlinks dans des ZIP malveillants. Mettez à jour ou désactivez l’extraction automatique.

Deux vulnérabilités désignées CVE-2025-11001 et CVE-2025-11002, cotées 7,0 CVSS, exposent 7-Zip à des attaques par archives ZIP contenant des liens symboliques malformés. En ouvrant l’archive, la victime risque la corruption ou la substitution de fichiers système, y compris la substitution de DLL utilisées par des services privilégiés, autorisant potentiellement l’exécution de code à distance. Les correctifs sont inclus dans la build 25.00. Les utilisateurs doivent installer la mise à jour immédiatement ou au minimum interdire l’extraction automatique d’archives. Des vulnérabilités moins graves, publiées l’été précédent, permettaient des DoS via écriture hors bornes et déréférencement null.

Manipulation de symlinks et dépassement du répertoire

Les deux vulnérabilités exploitent la même mécanique : une gestion incorrecte des liens symboliques intégrés dans des archives ZIP. 7-Zip, lors de l’extraction, peut suivre ou recréer des symlinks sans vérifier qu’ils restent confinés au répertoire de travail. Un ZIP conçu pour pointer en dehors de l’arborescence cible permet d’écrire ou de remplacer des fichiers situés arbitrairement sur le système. Dans ce scénario l’attaque n’exige pas d’élévation préalable ; elle réclame uniquement que la victime ouvre l’archive dans l’outil vulnérable. Le risque opérationnel est double : disparition ou altération de fichiers applicatifs et substitution de DLL chargées par des services disposant de privilèges supérieurs. La combinaison du vecteur d’infection trivial — double-clic ou extraction automatique — et de l’impact potentiel sur des composants privilégiés transforme une vulnérabilité de chemin en vecteur d’escalade et d’exécution à distance.

Portée technique et conséquences pratiques

Techniquement, ces failles permettent l’écriture arbitraire de fichiers en dehors du dossier prévu par l’utilisateur. Concrètement, un ZIP malveillant peut contenir des entrées dont le nom est un symlink ciblant des chemins sensibles du système. Lors de l’extraction, 7-Zip reconstitue le lien ou suit la cible sans vérification stricte, puis écrit les données de l’archive sur la cible. Résultat possible : remplacement d’un exécutable, altération d’un binaire ou substitution d’une DLL. Si la DLL remplacée est ensuite chargée par un service s’exécutant avec des droits élevés, l’attaquant obtient une exécution de code en contexte privilégié. L’attaque repose sur l’appâtage de l’utilisateur, mais pas sur une technique sophistiquée côté serveur. Elle est donc aisée à déployer à grande échelle par phishing, pièces jointes ou contenus téléchargés.

Correctifs et mesures immédiates recommandées

Les correctifs sont inclus dans la build 25.00 de 7-Zip. L’éditeur a modifié le comportement d’extraction pour valider les symlinks et empêcher l’évasion du répertoire de destination. Les administrateurs doivent déployer cette build sur tous les postes et serveurs où 7-Zip est présent. En attendant la mise à jour, il est impératif d’interdire l’extraction automatique d’archives par tout mécanisme intégré au poste de travail ou au client de messagerie. Les équipes doivent également sensibiliser les utilisateurs aux risques des archives reçues par courriel et privilégier l’analyse en bac à sable des fichiers ZIP suspects. Dans les environnements sensibles, limitez les permissions d’écriture sur les chemins critiques et surveillez les modifications de DLL via intégrité fichier (HIPS, solutions EDR).

L’été précédent, deux autres problèmes ont été révélés pour 7-Zip : une écriture hors bornes et un déréférencement de pointeur nul. Ces derniers permettaient d’induire des états de déni de service (DoS) mais étaient classés comme moins critiques car ils n’autorisaient pas directement l’exécution arbitraire de code. Les nouvelles failles CVE-2025-11001 et CVE-2025-11002, malgré une note CVSS égale à 7,0, présentent un profil d’exploitation plus dangereux en raison de la possibilité de corruption ou substitution de DLL. La différenciation entre crashs non persistants et corruption délibérée d’artefacts système explique l’écart d’impact opérationnel.

 

Rejoignez nous sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaque exploit typique et vecteurs de diffusion

Un exploit plausible commence par une archive ZIP contenant des fichiers dont certains sont des symlinks calculés pour pointer vers des emplacements système. L’archive est livrée à la cible via phishing, téléchargement piégé ou pièce jointe. Si la victime double-clic sur l’archive ou si un processus d’extraction automatique la décompresse, 7-Zip traite la structure et réalise l’écriture vers la cible. L’attaquant peut alors remplacer une DLL utilisée par un service démarré, provoquer un chargement ultérieur de la DLL malveillante et obtenir un exécutable furtif sous les droits du service. Ce scénario est particulièrement critique sur des serveurs exposés, sur des postes administrateurs ou sur des machines où des services système chargent dynamiquement des bibliothèques depuis des chemins modifiables.

Détecter une exploitation requiert de surveiller les modifications de fichiers système habituellement immuables, les créations ou modifications de DLL dans des répertoires système et les écritures inhabituelles initiées par processus utilisateur non privilégiés. Les solutions EDR doivent alerter sur les opérations d’écriture vers les répertoires Windows\System32, Program Files ou tout autre emplacement abritant des composants partagés. L’analyse des journaux d’antivirus et l’examen des actions d’extraction réalisées par 7-Zip peuvent révéler des tentatives d’exploitation. Enfin, la corrélation entre réception d’un ZIP externe et modifications de fichiers sensibles constitue un indicateur fort d’exploitation.

Bonnes pratiques post-correction

Outre l’installation immédiate de la build 25.00, standardisez la gestion des archives dans l’entreprise. Centralisez l’extraction via des bastions ou des environnements isolés. Restreignez les droits d’écriture sur les répertoires où des DLL sont chargées automatiquement. Activez la validation d’intégrité pour les DLL critiques et déployez des règles d’application des DLL signées. Mettez en place un flux de gestion des pièces jointes qui isole et analyse automatiquement les ZIP avant mise à disposition des utilisateurs. Enfin, documentez toute remise en état après incident, car une DLL compromise peut cacher une présence malveillante persistante.

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Google muscle Drive avec une IA anti-ransomware

Google ajoute une nouvelle barrière dans Drive : une IA dédiée à stopper le ransomware avant la restauration. Objectif : limiter les dégâts une fois l’antivirus contourné.

Google lance une nouvelle protection dans Drive pour Windows et macOS, destinée à bloquer les attaques de ransomware avant qu’elles ne paralysent tout un réseau. Contrairement aux solutions classiques centrées sur le malware, l’outil repose sur une IA entraînée à détecter les comportements suspects, comme le chiffrement massif de fichiers. Dès alerte, la synchronisation cloud s’interrompt et les données passent en quarantaine. Présentée comme une « nouvelle couche » par Luke Camery, responsable produit chez Google Workspace, la solution complète antivirus et restauration, sans les remplacer. Disponible en bêta ouverte, elle sera intégrée sans surcoût dans la majorité des abonnements Workspace.

Une nouvelle couche face aux rançongiciels

Les ransomwares ont démontré les limites des protections classiques. Les antivirus stoppent une partie des menaces, mais les attaquants réussissent régulièrement à franchir cette barrière. Les solutions de restauration existent, mais elles restent coûteuses et lourdes pour les équipes IT. C’est dans cet interstice que Google place sa nouvelle défense.

« Nous ne remettons pas en cause l’efficacité des acteurs traditionnels, mais force est de constater que l’approche actuelle ne suffit pas », résume Luke Camery. Selon lui, l’erreur du statu quo consiste à ne pas intégrer de détection comportementale en amont de la restauration. L’outil Drive se veut donc une couche distincte, un filet de sécurité supplémentaire, destiné à stopper une attaque en cours avant que le chiffrement ne devienne irréversible.

Le principe est simple : supposer que l’antivirus a échoué, puis intervenir. Google compare cela à une maison protégée par des serrures et des assurances, mais dépourvue d’alarme. Avec ce dispositif, l’alarme se déclenche dès qu’un intrus tente de verrouiller toutes les portes.

Une IA entraînée sur des millions d’exemples

Le cœur de la solution est un modèle d’intelligence artificielle personnalisé. Entraîné sur des millions de cas de ransomware, il ne cherche pas à identifier un code malveillant précis mais à reconnaître des schémas de comportement. L’exemple type : un processus qui tente de chiffrer brutalement de nombreux fichiers.

Dès qu’un tel comportement est repéré, Drive suspend immédiatement la synchronisation avec le cloud. Les fichiers potentiellement compromis sont alors isolés, placés dans une forme de quarantaine. L’objectif est d’empêcher la propagation et de préserver des copies saines.

Cette logique de surveillance permanente et réactive place la solution au-dessus d’un antivirus classique et en dessous d’un outil de restauration. Elle se veut complémentaire : non pas un remplacement, mais une barrière intermédiaire.

En cas d’attaque détectée, l’utilisateur reçoit une alerte sur son poste ainsi qu’un e-mail détaillant les étapes à suivre. Un assistant permet ensuite de restaurer facilement une version non contaminée des fichiers. La démonstration fournie par Google montre un processus aussi simple que de récupérer un document effacé dans la corbeille Windows, sans recours à des outils externes ni réinstallation complexe.

Côté administrateurs, les informations remontent dans la console Admin. Ils disposent d’un journal d’audit et peuvent ajuster la configuration. La fonctionnalité sera activée par défaut, mais les responsables IT gardent la possibilité de désactiver la détection ou la restauration si nécessaire.

L’outil est dès aujourd’hui accessible en bêta ouverte. Il sera intégré sans frais supplémentaires dans la plupart des abonnements Google Workspace commerciaux. Google espère ainsi réduire l’impact des ransomwares qui, malgré les efforts combinés des solutions antivirus et des services de sauvegarde, continuent de frapper organisations publiques et privées.

Adobe, Cybersécurité, Mise à jour, Patch, Securite informatique

Faille critique SessionReaper : Adobe Commerce sous haute menace

Adobe alerte sur la faille SessionReaper (CVE-2025-54236) qui menace Adobe Commerce et Magento. Exploitable via l’API REST, elle expose directement les comptes clients à une prise de contrôle.

Aprés Apple et Microsoft, Adobe a publié un avis de sécurité concernant CVE-2025-54236, surnommée SessionReaper. La vulnérabilité, notée 9,1/10 au CVSS, touche Adobe Commerce, Magento Open Source et Adobe Commerce B2B. Exploitable via l’API REST, elle permet à un attaquant de s’emparer de comptes clients. Aucun cas d’exploitation n’a été détecté pour l’instant, mais l’éditeur insiste sur l’urgence d’appliquer le correctif VULN-32437-2-4-X. Les environnements cloud bénéficient de règles WAF temporaires, mais seul le patch garantit une protection durable. Découverte par le chercheur blaklis, la faille illustre la fragilité des plateformes e-commerce face aux attaques ciblant directement les données utilisateurs et leurs parcours transactionnels.

SessionReaper, une faille critique révélée

SessionReaper, identifiée sous CVE-2025-54236, résulte d’une validation insuffisante des entrées dans l’API REST d’Adobe Commerce. Selon Adobe, un acteur malveillant pourrait détourner cette faiblesse pour prendre la main sur des comptes clients. L’éditeur a publié son avertissement sous la référence APSB25-88 et attribue à la faille une sévérité de 9,1 sur 10 dans l’échelle CVSS.

Le risque principal réside dans la compromission directe des données clients, un scénario particulièrement dangereux pour des plateformes marchandes. La faille affecte les versions 2.4.9-alpha2 et antérieures d’Adobe Commerce et de Magento Open Source, ainsi que la branche 1.5.3-alpha2 et antérieures d’Adobe Commerce B2B. Le module Custom Attributes Serializable, utilisé entre les versions 0.1.0 et 0.4.0, est également concerné.

Pour Adobe, il s’agit d’une vulnérabilité critique, non exploitée pour l’heure, mais dont le potentiel destructeur impose une réaction rapide des administrateurs. L’entreprise prévient que son assistance sera limitée en cas de retard dans l’application des correctifs.

Le correctif et ses conditions de déploiement

Le correctif officiel est publié sous l’identifiant VULN-32437-2-4-X. Il doit être appliqué sans délai sur toutes les instances vulnérables. Les utilisateurs du module Custom Attributes Serializable doivent quant à eux migrer vers la version 0.4.0 ou supérieure, via la commande Composer appropriée.

Adobe propose un outil de vérification, le Quality Patches Tool, qui permet de confirmer l’application effective du patch. La commande de contrôle fournit un statut « Applied » une fois le correctif installé, apportant aux administrateurs la certitude de disposer d’une protection active.

Pour les clients hébergés dans l’environnement Commerce Cloud, Adobe a mis en place des règles de Web Application Firewall destinées à bloquer les tentatives d’exploitation connues. Ces mesures sont toutefois qualifiées de temporaires et ne dispensent pas du déploiement du correctif officiel. Les clients de services managés sont invités à contacter leur Customer Success Engineer afin d’obtenir un accompagnement spécifique.

Un signal fort pour l’écosystème e-commerce

La faille a été signalée par le chercheur indépendant blaklis, qui a révélé à Adobe le fonctionnement de SessionReaper. L’éditeur souligne qu’aucun cas d’exploitation active n’est documenté. Cependant, le scénario théorique reste préoccupant : un assaillant qui obtiendrait le contrôle de comptes clients pourrait accéder à des informations sensibles, détourner des transactions ou lancer des fraudes massives.

Ce type de vulnérabilité démontre la valeur stratégique des données clients pour les cyberattaquants. Les plateformes de commerce électronique constituent des cibles privilégiées en raison des volumes financiers et des informations personnelles qu’elles centralisent.

L’urgence de la mise à jour découle autant du niveau de criticité technique que de l’attrait économique de telles données sur le marché noir. La diffusion rapide du correctif vise à réduire la fenêtre de tir potentielle avant que des groupes malveillants ne développent un code d’exploitation opérationnel.

Apple, Cybersécurité, Logiciels, Mise à jour, OS X, Patch, Securite informatique

Apple colmate 77 failles dans macOS et 27 dans iOS

Apple publie ses nouveaux systèmes iOS, iPadOS et macOS, corrigeant plus de cent vulnérabilités. Mais l’entreprise reste discrète sur leur gravité et sur tout signe d’exploitation active.

Apple vient de déployer iOS 26, iPadOS 26 et macOS 26, corrigeant 27 failles sur mobiles et 77 sur ordinateurs. Les correctifs couvrent aussi Safari, watchOS, visionOS et Xcode. Contrairement à son intervention d’août face à une attaque sophistiquée, Apple n’évoque cette fois aucun cas d’exploitation en cours. Des failles critiques, notamment dans PackageKit et StorageKit, pourraient pourtant permettre l’obtention de privilèges root sur macOS. L’entreprise reste fidèle à sa ligne de communication minimaliste, sans détail de sévérité. En parallèle, les appareils plus anciens restent bloqués sur iOS 18.7 ou macOS 15.7, recevant uniquement des correctifs de sécurité majeurs.

Nouveaux correctifs, anciennes inquiétudes

Apple a diffusé lundi ses nouveaux systèmes d’exploitation numérotés selon l’année de sortie, une nouveauté présentée comme une simplification. iOS 26 et iPadOS 26 corrigent 27 vulnérabilités, tandis que macOS 26 en traite 77. Certaines failles touchaient l’ensemble des plateformes, confirmant la proximité croissante entre les architectures mobiles et ordinateurs.

La nouvelle interface dite « liquid glass » attire l’attention côté design, mais l’enjeu principal demeure la cybersécurité. Les utilisateurs d’appareils lancés avant 2019, non compatibles avec ces versions, doivent se tourner vers iOS 18.7, iPadOS 18.7 ou macOS 15.7, mises à jour de maintenance centrées sur les vulnérabilités critiques.

Un contraste avec les correctifs d’urgence

Le mois dernier, Apple avait dû réagir en urgence face à une attaque qualifiée d’« extrêmement sophistiquée », exploitant la faille CVE-2025-43300 contre des cibles précises. Depuis janvier, cinq vulnérabilités zero-day activement exploitées ont été corrigées, preuve de l’intérêt constant des attaquants pour l’écosystème Apple. Sept de ces failles ont même été intégrées au catalogue des vulnérabilités exploitées tenu par la CISA, soulignant leur criticité pour les infrastructures sensibles.
Cette fois, aucun signe d’attaque en cours n’a été rapporté.

L’absence d’indicateur de sévérité dans les bulletins Apple est classique pour la Grosse Pomme. Contrairement à d’autres éditeurs, la firme se contente d’énumérer les failles, sans notation selon le CVSS, limitant la visibilité des responsables sécurité.

Failles critiques sur macOS

Deux vulnérabilités corrigées dans macOS attirent particulièrement l’attention des chercheurs : CVE-2025-43298 (PackageKit) et CVE-2025-43304 (StorageKit). Leur exploitation pourrait offrir à un attaquant un accès root, ouvrant la voie à une compromission totale du système.

Côté iOS, le volume de corrections reste notable, mais aucune faille n’inspire de crainte immédiate, selon Childs. Le contraste est frappant : si le risque d’exploitation n’est pas confirmé, la surface d’attaque reste considérable. En complément, Apple a publié sept correctifs pour Safari 26, 19 pour watchOS 26, 18 pour visionOS 26 et cinq pour Xcode 26, preuve de l’ampleur des vulnérabilités touchant tout l’écosystème.

Avec plus de cent vulnérabilités corrigées mais sans alerte d’exploitation active, Apple continue de pratiquer une communication minimaliste. La question reste entière : comment évaluer la criticité des failles Apple en l’absence de notation officielle ?

Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

Une faille sur le portail cloud de SonicWall expose les pare-feu

Une attaque par force brute a compromis le portail MySonicWall.com, exposant des fichiers de configuration de pare-feu et mettant en cause la sécurité interne du fournisseur lui-même.

SonicWall a confirmé une attaque contre son portail cloud MySonicWall.com ayant exposé des fichiers de configuration de pare-feu appartenant à ses clients. Moins de 5 % des installations seraient concernées, selon l’entreprise. Les cybercriminels ont obtenu ces données via une série d’attaques par force brute ciblant les comptes clients. Si les mots de passe étaient chiffrés, les fichiers contenaient aussi des informations sensibles sur l’architecture réseau, ouvrant la voie à de futures exploitations. Cet incident souligne les faiblesses structurelles de SonicWall, déjà critiqué pour des vulnérabilités à répétition. L’affaire illustre un risque systémique : la compromission directe d’un système géré par un fournisseur de cybersécurité, avec des répercussions sur la confiance de tout son écosystème.

Systèmes compromis chez le fournisseur

L’attaque ne visait pas directement les équipements installés chez les clients, mais le portail MySonicWall.com. Ce point change la nature du problème : le défaut ne provient pas d’un produit exposé en périphérie réseau, mais d’un service centralisé sous la responsabilité de SonicWall. Selon Bret Fitzgerald, directeur de la communication mondiale, les attaquants ont exploité une série d’attaques par force brute compte par compte pour accéder à des fichiers de sauvegarde stockés en ligne. Moins de 5 % de la base installée de pare-feu était concernée.

Ces fichiers contenaient des mots de passe chiffrés, mais aussi des détails sur la configuration des réseaux, les règles de sécurité et les politiques appliquées. Pour des attaquants, ces informations constituent une cartographie technique facilitant des intrusions futures. Une compromission du fournisseur lui-même affecte directement la confiance des clients dans l’ensemble de son écosystème.

Des risques durables pour les clients

SonicWall a rapidement désactivé la fonctionnalité de sauvegarde cloud et engagé une société de réponse à incident pour analyser l’attaque. L’entreprise affirme n’avoir détecté aucune fuite publique des fichiers compromis, mais reconnaît un risque en aval pour les organisations concernées. Les clients impactés sont invités à réinitialiser leurs identifiants, contenir toute activité suspecte et renforcer leur surveillance des journaux d’événements.

DataSecurityBreach.fr rappelle que les informations dérobées peuvent rester exploitables sur le long terme. Même si les mots de passe sont modifiés, la connaissance de l’architecture réseau, des politiques de filtrage et des règles internes fournit aux adversaires un avantage tactique. Pour Sanchez, la simple réinitialisation de comptes ne suffit pas à réduire la portée d’un tel vol d’informations.

L’entreprise assure avoir notifié les autorités, ses clients et ses partenaires. Elle insiste sur une politique de transparence totale et promet de nouvelles communications à mesure que l’enquête progresse.

Un historique de vulnérabilités récurrentes

Cet incident survient dans un contexte défavorable pour SonicWall. Depuis fin 2021, ses produits figurent à 14 reprises dans le catalogue des vulnérabilités activement exploitées de la CISA américaine. Neuf de ces failles ont été associées à des campagnes de rançongiciel, dont une vague récente attribuée au groupe Akira avec environ 40 attaques recensées.

Ces antécédents renforcent les doutes sur la solidité des pratiques de sécurité internes de SonicWall. Les cybercriminels n’exploitent plus seulement des failles logicielles présentes dans les équipements, mais cherchent désormais à infiltrer directement les services opérés par le fournisseur. Cette évolution accentue la pression sur un acteur déjà fragilisé par les critiques répétées de la communauté cybersécurité.

La question dépasse le cas SonicWall. De nombreux fournisseurs proposent à leurs clients de stocker leurs configurations dans des portails cloud pour des raisons de commodité. Cette centralisation offre aussi une surface d’attaque supplémentaire, qui peut transformer un service de gestion en vecteur d’exposition massif.

La compromission du portail MySonicWall met en lumière une faille critique : lorsque la vulnérabilité se situe au cœur d’un service opéré par le fournisseur de cybersécurité, l’ensemble de la chaîne de confiance s’en trouve menacé. La vraie question est désormais de savoir si SonicWall, et d’autres acteurs du secteur, sauront instaurer des garde-fous solides pour protéger les données qu’ils centralisent eux-mêmes.

Cybersécurité, Mise à jour, Patch

Septembre : Zero Day en amont, Patch Tuesday plus calme

Deux Zero Day Android, une faille WhatsApp et une vulnérabilité WinRAR ont marqué septembre. Le Patch Tuesday s’annonce plus sobre, mais Windows et Adobe restent des priorités.

Le mois de septembre a été rythmé par plusieurs vulnérabilités Zero Day découvertes avant le Patch Tuesday : deux failles critiques dans Android, une brèche dans WhatsApp et une autre dans WinRAR. Microsoft publie ensuite 81 correctifs, dont huit jugés critiques et deux déjà divulgués publiquement. Adobe diffuse en parallèle neuf mises à jour couvrant 22 CVE, dont certaines touchant Acrobat Reader, ColdFusion et Premiere Pro. Malgré un Patch Tuesday relativement calme, la pression reste forte : l’exploitation active des Zero Day, conjuguée à une attaque de la chaîne d’approvisionnement via Drift AI et Salesforce, rappelle l’ampleur de la surface de menace.

Zéro Day avant le Patch Tuesday

Les jours précédant le Patch Tuesday de septembre ont été agités. Deux vulnérabilités critiques dans Android (CVE-2025-38352 et CVE-2025-48543) ont été exploitées activement. Elles s’ajoutent à une faille Zero Day dans WhatsApp (CVE-2025-55177) et à une vulnérabilité similaire dans WinRAR (CVE-2025-8088). Ces quatre incidents suffisent à reconfigurer l’agenda des équipes de sécurité. Parallèlement, une attaque visant la chaîne d’approvisionnement a touché l’agent conversationnel Drift AI, exposant des données de clients Salesforce. L’ensemble illustre la multiplication des vecteurs d’attaque, allant des applications mobiles aux logiciels tiers en passant par les intégrations cloud.

Microsoft a corrigé 81 nouvelles vulnérabilités ce mois-ci, dont huit classées critiques. Parmi elles figurent cinq exécutions de code à distance, deux élévations de privilèges et une divulgation d’informations, toutes affectant Windows ou Office. Deux vulnérabilités avaient déjà été rendues publiques. La première, CVE-2025-55234, concerne le protocole SMB de Windows. Elle offre une élévation de privilèges et affiche un score CVSS de 8,8. Microsoft la classe comme importante, avec un niveau de maturité de code non prouvé. La seconde, CVE-2024-21907, est liée à Newtonsoft.Json et touche SQL Server 2016 à 2019. Elle permet un déni de service à distance, selon l’usage de la bibliothèque. Là encore, l’évaluation du risque recommande de la traiter comme importante. Ces deux divulgations montrent que les failles connues circulent rapidement, augmentant le risque d’exploitation opportuniste.

Mises à jour Adobe et priorités de septembre

Adobe a publié neuf mises à jour couvrant 22 CVE, dont 12 critiques. Les produits concernés incluent Acrobat Reader, Premiere Pro, After Effects, Commerce, ColdFusion, Experience Manager, Dreamweaver et deux outils de modélisation 3D. Adobe attribue une priorité 1 à ColdFusion et une priorité 2 à Commerce. Les autres mises à jour sont classées en priorité 3, donc moins urgentes. La hiérarchisation proposée par Adobe renvoie à l’usage intensif de certaines plateformes en production. Pour ce mois de septembre, les équipes de sécurité doivent donc d’abord traiter les Zero Day détectées avant le Patch Tuesday. Ensuite, elles peuvent planifier les mises à jour Microsoft et Adobe dans le cadre des opérations de maintenance mensuelles. L’absence de nouvelles Zero Day dans le Patch Tuesday allège la charge immédiate, mais l’intensité des incidents précédents rappelle que la vigilance ne peut pas se relâcher.

La séquence de septembre montre un contraste entre l’intensité des Zero Day découvertes avant le Patch Tuesday et la relative stabilité des correctifs officiels. Une question demeure : les équipes de sécurité peuvent-elles maintenir une priorisation efficace face à la convergence des menaces mobiles, logicielles et cloud ?

Cybersécurité, Mise à jour, Patch

Microsoft publie enfin le code source historique de BASIC 6502

Après des décennies de rumeurs et de copies non officielles, Microsoft ouvre le code source de son BASIC pour processeur MOS 6502, pierre angulaire de l’informatique personnelle.

Microsoft a mis en accès libre le code source de son interpréteur BASIC pour processeur MOS 6502. Longtemps resté dans l’ombre, accessible uniquement via des fuites ou des archives, il est désormais disponible sous licence MIT. Ce langage, porté en 1976 et adopté dès 1977 par Commodore pour ses ordinateurs PET, VIC-20 et Commodore 64, a contribué à démocratiser l’informatique personnelle. Le dépôt GitHub publié par Microsoft inclut près de 7 000 lignes d’assembleur, des notes historiques et des commits rétrodatés. Ce geste éclaire les origines de l’entreprise et la centralité du BASIC dans son modèle économique initial, tout en offrant à la communauté un patrimoine technologique à explorer et réinventer.

Un langage fondateur libéré

Microsoft a publié le code source de la version 1.1 de son BASIC pour le processeur MOS 6502, une première dans l’histoire de l’entreprise. Écrit en assembleur, le fichier compte 6 955 lignes et reprend les améliorations proposées par l’ingénieur de Commodore John Feagans, ainsi que par Bill Gates lui-même, en 1978. Cette mouture correspond à ce que les utilisateurs des Commodore PET connaissaient sous l’appellation BASIC V2. Jusqu’à présent, il n’existait qu’à travers des copies non officielles, des disquettes de musée ou des projets de rétro-ingénierie.

Le dépôt GitHub mis en ligne sous licence MIT autorise une réutilisation sans restriction, y compris commerciale. Microsoft y a ajouté des commits artificiellement datés d’« il y a 48 ans » et des notes explicatives retraçant l’évolution du langage. L’entreprise redonne ainsi vie à un élément clé de son ADN technologique.

Du prototype Altair aux millions de Commodore

Le premier BASIC de Microsoft a été conçu en 1975 pour l’Altair 8800, un ordinateur équipé du processeur Intel 8080. Ce travail fondateur a été réalisé par Bill Gates et Paul Allen. Dès 1976, avec l’aide de Rick Weiland, le langage est porté sur le MOS 6502, un processeur qui allait s’imposer dans l’histoire de l’informatique.

En 1977, Commodore obtient une licence pour 25 000 $ (≈ 23 000 €). Le BASIC est alors intégré aux PET, puis aux VIC-20 et Commodore 64. Ces deux derniers modèles atteignent des ventes de masse, propulsant le langage et l’entreprise américaine sur le devant de la scène. La stratégie de licences de Microsoft trouve là son premier socle économique solide, bien avant l’ère MS-DOS et Windows.

Le code révèle également une attention extrême portée à l’efficacité mémoire. Sur des systèmes 8 bits limités, la gestion des chaînes, l’arithmétique en virgule flottante et le ramasse-miettes représentaient des défis techniques cruciaux. Des « Easter Eggs » signés Bill Gates, dissimulés dans certaines étiquettes du code (STORDO, STORD0), attestent d’une pratique déjà courante de signatures cachées dans les logiciels.

Le processeur MOS 6502 a équipé des machines devenues emblématiques : Apple II, consoles Atari 2600, Nintendo NES et toute la gamme Commodore. Sa simplicité d’architecture et son faible coût l’ont rendu incontournable. Ce processeur reste un symbole pour les passionnés qui continuent à le reproduire en FPGA, à créer des émulateurs et à imaginer de nouvelles éditions de machines historiques comme le Commodore 64.

Le geste de Microsoft s’inscrit dans cette dynamique patrimoniale. En mettant à disposition ce code, l’entreprise offre à la communauté non seulement une ressource technique, mais aussi une pièce d’histoire. L’initiative résonne avec l’engouement croissant pour l’archéologie numérique et les expérimentations rétro-informatiques.

BASIC a façonné l’accès à l’informatique personnelle : du curseur clignotant sur l’écran d’un Commodore aux projets de réédition en 2025, son empreinte reste intacte. La publication du code sous licence libre garantit sa transmission et son adaptation, loin des contraintes propriétaires d’autrefois.

La mise en ligne du BASIC 6502 dépasse l’acte symbolique. Elle rappelle comment un langage compact et efficace a façonné l’économie et la culture de Microsoft. Elle pose aussi une question contemporaine : dans un monde dominé par les logiciels propriétaires et les plateformes fermées, quelle place reste-t-il pour la transmission libre des codes fondateurs ?