Un internaute annonce sur un forum clandestin la vente de 19 000 sites WordPress vulnérables utilisant WooCommerce. Il exploiterait une faille SQL trés ancienne.
Un pirate informatique repéré dans un darkweb propose à la vente une base de données étonnante. Etonnante sur plusieurs points. D’abord, le hacker malveillant connu pour ses « produits » dans l’espace pirate surveillé indique posséder 19 000 sites sous WordPress faillible. La faille, second étonnement, une injection SQL dans un plugin qui souffrirait d’un problème de sécurité depuis… 21 ans !
Offre sur le darkweb : vente massive de sites vulnérables WordPress + WooCommerce
Sur ce forum darkweb, l’utilisateur a proposé il y a quelques jours à la vente un lot de 19 000 sites WordPress équipés du plugin WooCommerce. Selon l’annonce, ces sites ne sont pas nécessairement des boutiques en ligne : la seule condition est la présence du plugin WooCommerce, largement utilisé pour ajouter des fonctionnalités e‑commerce à WordPress.
L’exploit décrit s’appuie sur une vulnérabilité d’injection SQL (SQLi), citant un identifiant CVE « vieux de 21 ans ». Aucun détail technique n’est fourni dans l’annonce pour relier la vulnérabilité à un CVE précis. Soit le pirate ment, mais il est connu dans le milieu donc risquerait de ce faire bannir de l’ensemble de ses business, soit le pirate n’est pas fou et n’a pas envie de voir les sites trop rapidement corrigés. L’attaque permettrait d’extraire tout contenu de la base de données : hachages de mots de passe, paramètres de configuration, voire potentiellement des informations sensibles selon le contenu des bases.
Caractéristiques de l’offre malveillante
L’annonce indique que le vendeur a collecté ces accès mais n’a pas procédé à une exploitation approfondie, déclarant manquer de temps et souhaitant financer un autre projet. Le prix de la base de sites vulnérables est fixé à 2 000 €. Le vendeur affirme que la faille toucherait diverses typologies de sites WordPress : boutiques en ligne, sites associatifs avec bouton de don, et plateformes diverses utilisant WooCommerce, ce qui inclut de fait de nombreux commerces ou sites de collecte de fonds.
L’annonce spécule sur la présence éventuelle de numéros de cartes bancaires en base, mais le vendeur indique ne pas avoir automatisé leur extraction à grande échelle. Il sollicite d’ailleurs d’éventuelles méthodes ou scripts d’automatisation permettant d’accélérer cette opération, en promettant d’étudier toute suggestion reçue (sic!).
WooCommerce reste le plugin e‑commerce le plus déployé dans l’écosystème WordPress, avec plus de 5 millions d’installations actives selon WordPress.org. L’historique des vulnérabilités SQLi sur WordPress et WooCommerce est longuement documenté. Plusieurs failles majeures de type injection SQL ont été découvertes, dont CVE‑2013‑7448 et CVE‑2022‑0072, affectant le cœur de WordPress ou ses extensions e‑commerce.
Malgré la correction de la majorité des failles majeures, l’absence de mises à jour automatiques ou l’usage de versions piratées expose encore de nombreux sites. Les administrateurs des 19 000 sites annoncés n’ont pas « patchés » des vulnérabilités pourtant réparées. Les conséquences : extraction de données personnelles, compromission des comptes administrateurs, exfiltration de listes clients, voire parfois accès à des informations de paiement si elles ne sont pas externalisées.
La vente massive de sites vulnérables n’est pas une nouveauté. ZATAZ.COM, blog de référence dédié aux questions de lutte contre le cybercrime, a déjà alerté de nombreuses fois de ce type de marketing de la malveillance. L’existence d’un marché secondaire actif sur les accès à des sites non sécurisés n’est pas un « fantasme ». Le risque élevé de vols de données clients (mails, identités, commandes), compromission des comptes administrateurs, fraudes, usurpations ou campagnes d’hameçonnage (BEC) ciblées, éventuelle exfiltration de données de paiement, si la gestion des cartes bancaires n’a pas été externalisée à un tiers sécurisé.
L’annonce n’indique pas si des sites français sont concernés. Aucun élément vérifiable ne permet d’attester l’exactitude de la quantité ni la localisation des victimes. Les autorités comme l’ANSSI et la CNIL rappellent régulièrement l’importance de mettre à jour WordPress et ses plugins, et de surveiller toute activité suspecte sur les bases de données e‑commerce.
Le Patch Tuesday de mai 2025 marque un tournant majeur : 72 failles comblées, cinq Zero Day actives, et des mises à jour Windows massives dopées à l’intelligence artificielle.
Chaque deuxième mardi du mois, les équipes informatiques du monde entier retiennent leur souffle. Le Patch Tuesday de Microsoft, devenu un rendez-vous incontournable, vient rythmer la sécurité des systèmes d’exploitation et des logiciels professionnels. Et celui de mai 2025 n’a pas dérogé à la règle : entre les correctifs de vulnérabilités critiques, les exploits déjà utilisés activement et une poussée technologique du côté de l’intelligence artificielle, la cuvée de ce mois se révèle particulièrement dense. Elle exige des entreprises comme des particuliers une attention soutenue et une application rapide des correctifs. Car cette fois, le danger ne plane pas seulement : il est déjà à l’œuvre.
Une avalanche de failles comblées… et cinq Zero Day
Microsoft annonce avoir corrigé pas moins de 72 vulnérabilités (CVE) dans sa mise à jour mensuelle de mai, dont cinq sont classées Zero Day. Ces dernières désignent des failles de sécurité activement exploitées avant même que le correctif ne soit disponible, ce qui les rend particulièrement dangereuses. Si, selon le classement officiel, elles ne sont que de niveau « Important », l’application d’un modèle de priorisation basé sur les risques les fait passer sans hésitation au niveau « Critique ».
Parmi ces vulnérabilités, on retrouve notamment une faille dans le pilote Ancillary Function Driver de WinSock (CVE-2025-32709), permettant une élévation de privilèges en local pour obtenir un accès Administrateur. Cette brèche affecte toutes les versions de Windows Server depuis 2012. Confirmée comme étant exploitée sur le terrain, elle reçoit un score CVSS 3.1 de 7,8.
Dans la même veine, deux autres failles critiques (CVE-2025-32706 et CVE-2025-32701), touchant le système de fichiers journaux communs de Windows, permettent une élévation de privilèges jusqu’au niveau SYSTEM. Là encore, elles concernent l’ensemble des versions de Windows, avec une exploitation active confirmée.
Un autre Zero Day (CVE-2025-30400) cible la bibliothèque du Gestionnaire de fenêtrage Microsoft, rendant vulnérables Windows 10, Server 2016 et toutes les versions ultérieures. Enfin, la cinquième faille critique (CVE-2025-30397) affecte le moteur de scripts Microsoft et permet l’exécution de code sur le réseau.
Cinq vulnérabilités Zero Day activement exploitées sont corrigées, toutes liées à l’OS Windows, et considérées comme critiques par les experts malgré leur évaluation initiale comme « importantes ».
CVE-2025-30397
Type : Corruption de mémoire dans le moteur de script
Conditions : Nécessite l’usage du mode Internet Explorer dans Microsoft Edge, une authentification côté client, et un clic sur un lien malveillant
Gravité réelle : Faible exploitation à large échelle à cause des nombreuses contraintes
Contexte : Peu de vulnérabilités similaires ces dernières années, sauf CVE-2024-38178, exploitée activement en août 2024
Des failles déjà connues, mais pas encore corrigées
Deux autres vulnérabilités font aussi l’objet d’un correctif, bien qu’elles aient déjà été divulguées publiquement. La première, une exécution de code à distance (CVE-2025-30397) dans Visual Studio, affecte les versions 2019 et 2022. Sa dangerosité reste modérée pour l’instant, car sa maturité est jugée « non prouvée » et son exploitabilité « peu probable ».
La deuxième concerne une faille d’usurpation d’identité (CVE-2025-26685) dans Microsoft Defender for Identity, qui pourrait permettre à un pirate d’imiter un utilisateur sur un réseau adjacent. Là encore, la menace reste théorique, mais la divulgation publique impose de s’en prémunir rapidement.
Ce Patch Tuesday ne se limite pas à la correction de failles : il inaugure également une évolution fonctionnelle importante dans Windows 11 et Server 2025. La mise à jour mensuelle pèse désormais près de 4 Go, un volume inhabituel qui s’explique par l’intégration de trois nouvelles fonctions basées sur l’intelligence artificielle.
Parmi elles, Recall, conçue pour faciliter la mémoire utilisateur à travers des rappels contextuels intelligents, Click to Do, un système d’automatisation des tâches courantes inspiré des macros intelligentes, et une version améliorée de Windows Search, désormais capable d’interpréter des requêtes complexes en langage naturel.
Ces ajouts répondent à la volonté de Microsoft d’intégrer l’IA plus profondément dans l’expérience utilisateur de Windows, dans un contexte où la concurrence — notamment avec Apple et Google — s’intensifie sur le terrain des assistants intelligents.
La mise à jour de mai introduit trois fonctions IA dans Windows, alourdissant le programme d’installation à près de 4 Go. Un changement qui marque un tournant vers des OS toujours plus intelligents.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
CVE-2025-30400
Type : Él evation de privilèges dans Desktop Window Manager (DWM)
Contexte : 26 vulnérabilités similaires dans DWM depuis 2022, mais seules deux autres exploitées comme zero-days (CVE-2024-30051, CVE-2023-36033)
Particularité : Faible visibilité d’exploitation active, mais DWM reste une cible fréquente
Adobe : 39 vulnérabilités corrigées, dont 33 critiques
Le Patch Tuesday ne concerne pas uniquement Microsoft. Adobe s’est également illustré avec la publication de 13 mises à jour couvrant un total de 39 CVE. Parmi elles, 33 sont classées comme critiques, soulignant une fois encore la fragilité de certains logiciels largement utilisés dans les milieux professionnels et créatifs, notamment Photoshop, Acrobat et ColdFusion.
Bien que les détails de chaque faille ne soient pas tous publics, Adobe incite les utilisateurs à appliquer les correctifs sans attendre. Comme pour Microsoft, plusieurs des failles corrigées peuvent permettre l’exécution de code arbitraire, avec des conséquences potentiellement dévastatrices si elles sont exploitées.
Pour les administrateurs système et les responsables de la sécurité informatique, ce Patch Tuesday de mai représente un défi de taille. Les correctifs sont nombreux, les priorités claires, mais la complexité croissante des environnements à maintenir rend leur déploiement délicat. Il ne s’agit plus seulement de corriger des failles : il faut aussi tester, valider, s’assurer que les nouvelles fonctionnalités IA n’introduisent pas d’instabilité ou de conflit avec des systèmes existants.
La pression est d’autant plus forte que les menaces ne sont plus théoriques. Les cinq failles Zero Day prouvées démontrent que des cybercriminels sont déjà à l’œuvre. Dans un contexte géopolitique tendu et face à la recrudescence des attaques par ransomwares, les entreprises savent que chaque jour gagné dans l’application des correctifs peut représenter des milliers d’euros économisés… ou évités en rançon.
CVE-2025-32701 & CVE-2025-32706
Type : Élévation de privilèges dans le pilote CLFS (Common Log File System)
Exploitabilité : Exploitées activement en post-compromission, probablement dans des campagnes de cyberespionnage ou de ransomware
Contexte : 33 failles dans CLFS depuis 2022, dont 6 zero-days activement exploités. Ces deux CVE s’inscrivent dans une tendance inquiétante
Vers une automatisation de la cybersécurité ?
L’ampleur de ce Patch Tuesday soulève une question essentielle : comment faire face durablement à une telle fréquence et complexité de mises à jour ? Les géants du secteur misent de plus en plus sur l’automatisation, l’intelligence artificielle et l’apprentissage automatique pour anticiper les failles et accélérer leur résolution. Mais ces outils nécessitent eux-mêmes des ressources et une gouvernance solides.
À terme, faudra-t-il déléguer entièrement les mises à jour à des systèmes intelligents autonomes ? Ou conserver une supervision humaine pour garder le contrôle des choix techniques et des risques éthiques associés à l’IA ?
Le mois de mai 2025, avec son Patch Tuesday dense et riche en nouveautés, illustre la double tendance actuelle : une sécurité toujours plus pressante et une technologie toujours plus complexe. Entre vulnérabilités critiques et assistants dopés à l’IA, l’équilibre devient aussi stratégique qu’ardu à maintenir.
CVE-2025-32709
Type : Élévation de privilèges dans afd.sys, le pilote associé à l’API WinSock
Usage : Typiquement utilisé après compromission initiale, pour renforcer les privilèges d’un attaquant
Contexte : 10 failles similaires depuis 2022, souvent exploitées comme zero-days dans des contextes post-intrusion
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.
Un code malveillant enfoui depuis 2019 dans des extensions Magento vient d’être activé, affectant entre 500 et 1 000 boutiques en ligne, dont une entreprise pesant 40 milliards de dollars.
Depuis une semaine, la communauté de la cybersécurité est en alerte maximale. Une attaque sophistiquée de la chaîne d’approvisionnement, dissimulée depuis six ans dans des extensions Magento, a permis à des pirates de prendre le contrôle de centaines de boutiques en ligne. L’ampleur du piratage dépasse les frontières du simple incident technique : elle met en lumière les risques systémiques liés à l’économie numérique, notamment dans le secteur du commerce électronique. Selon le cabinet de cybersécurité Sansec, à l’origine de la découverte, des acteurs malveillants ont compromis des serveurs de téléchargement d’extensions utilisées par des centaines d’e-commerçants à travers le monde. Une faille dormante, activée seulement récemment, a permis une intrusion massive et coordonnée.
L’attaque, qui cible le cœur du fonctionnement des boutiques Magento, repose sur une technique redoutable : le piratage des extensions logicielles fournies par des développeurs tiers. Dans ce cas précis, 21 modules commercialisés ou distribués entre 2019 et 2022 ont été infectés par une porte dérobée, masquée dans une fausse vérification de licence. Cette dernière permet aux hackers de charger un fichier à distance, sans authentification pour les versions les plus anciennes, ou via une clé secrète dans les plus récentes. Grâce à cette faille, les attaquants pouvaient injecter du code arbitraire dans les serveurs des e-commerçants et potentiellement accéder aux données des clients, aux informations de paiement ou encore aux paramètres de configuration sensibles.
Les fournisseurs impliqués sont trois noms bien connus de l’écosystème Magento : Tigren, Meetanshi et Magesolution (MGS). Tous trois proposent depuis plusieurs années des modules d’optimisation pour les boutiques en ligne : ajouts au panier plus fluides, gestion des cookies, localisation des magasins ou encore intégration avec les réseaux sociaux. Autant d’outils précieux pour les commerçants, mais qui se sont révélés être, dans ce cas précis, des chevaux de Troie. Les backdoors ont été identifiées dans des extensions telles que Ajaxsuite, RGPD, Lookbook, ou encore Facebook Chat, avec une même signature : un fichier License.php ou LicenseApi.php détourné de sa fonction initiale.
« Une multinationale pesant 40 milliards de dollars est parmi les victimes«
Le scénario découvert est d’autant plus inquiétant que la compromission initiale remonte à plusieurs années. Le code malveillant aurait été injecté dès 2019, voire plus tôt, mais n’a été activé qu’en avril 2025. Cette stratégie dite de « dormance » est particulièrement redoutée en cybersécurité : elle permet à l’attaquant de rester invisible pendant des années, jusqu’au jour où il décide d’agir. Le fait que l’abus réel n’ait commencé qu’en avril interroge les experts : s’agissait-il d’une phase de test, ou d’une attaque mûrement planifiée pour coïncider avec une période stratégique, comme la saison des ventes en ligne ? Les implications sont majeures.
La réaction des fournisseurs concernés jette une lumière crue sur la difficulté de gérer de telles crises. Tigren nie avoir été piraté, malgré les preuves techniques et le maintien en ligne de ses extensions compromises. Meetanshi, plus transparent, admet que son serveur a bien été compromis, sans pour autant reconnaître d’altération de ses packages. Quant à Magesolution, il n’avait toujours pas répondu aux sollicitations lors de l’écriture de l’article de DataSecurityBreach.fr. Un silence qui interroge, alors même que ses modules restent disponibles au téléchargement, porte dérobée incluse.
L’analyse révèle que chaque backdoor possède un nom, un chemin et une somme de contrôle uniques. Cela suggère une attaque particulièrement sophistiquée, menée avec minutie pour éviter toute détection automatisée. Cette personnalisation complique le travail des systèmes antivirus et des scanners de sécurité, qui peinent à identifier une menace qui ne se répète pas à l’identique. De plus, les hackers ont utilisé un fichier appelé registration.php pour activer la fausse vérification de licence, une méthode subtile permettant de ne pas éveiller les soupçons des développeurs ou des administrateurs de sites.
« Il est rare qu’une porte dérobée reste indétectée pendant six ans, mais il est encore plus étrange que les abus réels ne commencent que maintenant »
D’un point de vue technique, la faille repose sur une fonction appelée « adminLoadLicense », qui exécute en PHP le contenu d’une variable contrôlée par l’attaquant : $licenseFile. C’est cette porte d’entrée qui permet l’exécution de code à distance. Dans les versions anciennes des extensions, aucune authentification n’était requise pour charger un fichier, ce qui rendait l’attaque encore plus facile à mener. Les versions plus récentes imposent une clé secrète, mais celle-ci a manifestement été compromise, ou générée de manière prévisible.
Au-delà de l’aspect technique, cette attaque soulève des questions majeures sur la sécurité des chaînes d’approvisionnement logicielles. Dans un monde numérique où la majorité des entreprises s’appuient sur des composants tiers pour bâtir leurs infrastructures, la confiance dans les fournisseurs devient un enjeu vital. Lorsque cette confiance est trahie, les conséquences sont catastrophiques. Dans ce cas, non seulement les commerçants ont été exposés, mais également les consommateurs, dont les données personnelles et financières ont pu être compromises.
Le modèle économique des extensions Magento accentue ce risque. Bon nombre de ces modules sont gratuits ou à faible coût, développés par des petites entreprises ou des indépendants qui n’ont pas les moyens de mettre en place des processus de sécurité avancés. Et même lorsque des vérifications existent, elles se concentrent souvent sur les fonctionnalités visibles, non sur des fichiers apparemment anodins comme License.php. Cette attaque démontre qu’il est désormais impératif d’intégrer des audits de sécurité profonds, même pour les composants considérés comme mineurs.
À l’échelle globale, cette faille pourrait entraîner un regain de méfiance envers les plateformes open source comme Magento. Pourtant, le problème ne vient pas de la plateforme elle-même, mais de l’écosystème de modules tiers non suffisamment contrôlés. Des géants comme Adobe, propriétaire de Magento, devront sans doute revoir leurs processus de validation et encourager les utilisateurs à auditer les packages avant toute installation. La multiplication des attaques de ce type, SolarWinds, Log4j, et maintenant Magento, montre que la chaîne d’approvisionnement numérique est devenue le nouveau front du cybercrime.
Les conséquences économiques exactes de l’attaque restent à évaluer. Si une multinationale de 40 milliards de dollars est impliquée, les pertes potentielles pourraient se chiffrer en millions d’euros. Outre l’atteinte à la réputation, il faudra aussi compter avec les frais de mise à jour des systèmes, les audits de sécurité, les signalements aux régulateurs et, possiblement, des plaintes de clients. Le RGPD prévoit en effet des sanctions sévères en cas de fuite de données due à une négligence dans la chaîne de traitement.
Dans l’immédiat, il est recommandé aux commerçants en ligne utilisant les extensions concernées de les supprimer sans délai, de scanner leurs serveurs à la recherche de fichiers suspects et d’auditer les accès réseau. Il est également conseillé de mettre en place un suivi automatisé de l’intégrité des fichiers, pour détecter rapidement toute modification suspecte.
Cette attaque soulève une inquiétude légitime : combien d’autres portes dérobées dorment encore dans nos infrastructures numériques ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.
Des chercheurs ont découvert 23 vulnérabilités dans AirPlay, menaçant potentiellement plus de deux milliards d’appareils Apple et tiers d’attaques informatiques sophistiquées.
La dernière alerte de cybersécurité en date concerne l’un des protocoles les plus utilisés de l’écosystème Apple : AirPlay. Conçu pour permettre la transmission fluide de contenu audio, vidéo ou d’affichage entre appareils Apple – ou vers des appareils tiers compatibles – AirPlay est aujourd’hui au centre d’un problème de sécurité d’envergure. Le 31 mars 2025, Apple a publié une série de correctifs critiques pour iOS, macOS, iPadOS, visionOS ainsi que pour les SDK audio et vidéo AirPlay. En cause : un ensemble de 23 vulnérabilités découvertes par les experts de la société Oligo Security, regroupées sous le nom évocateur de « AirBorne ».
Ces failles permettent notamment l’exécution de code à distance, les attaques Man-in-the-Middle (MitM), le déni de service, l’interaction non autorisée avec l’utilisateur et la lecture de fichiers locaux. Parmi les menaces les plus graves identifiées : deux failles de type « zéro clic », permettant de compromettre un appareil sans aucune interaction de l’utilisateur, et une autre contournant la validation manuelle d’une connexion AirPlay. Ces vulnérabilités peuvent être exploitées via une connexion directe entre appareils ou à travers un réseau Wi-Fi partagé, décuplant ainsi leur potentiel de propagation et de nuisance.
Un risque systémique pour l’écosystème Apple
L’une des forces d’Apple – la connectivité fluide entre ses appareils – devient ici une faiblesse structurelle. Un iPhone compromis par AirBorne pourrait, par exemple, infecter un Mac, une Apple TV ou même un téléviseur tiers connecté au même réseau domestique ou professionnel. Les conséquences sont multiples : espionnage discret via prise de contrôle des flux audiovisuels, déploiement de rançongiciels, compromission de chaînes d’approvisionnement ou sabotage de systèmes critiques dans des environnements sensibles comme les hôpitaux ou les entreprises technologiques.
Les chercheurs d’Oligo Security ont démontré que des haut-parleurs Bose ou des téléviseurs intelligents compatibles AirPlay peuvent aussi être visés. À travers une vidéo de preuve de concept, ils ont montré qu’il est possible d’afficher des images arbitraires sur un appareil tiers, soulignant le potentiel d’un contrôle complet à distance.
« AirPlay est omniprésent et vulnérable »
Selon Oligo, pas moins de 2,35 milliards d’appareils Apple dans le monde sont concernés. À ce chiffre déjà vertigineux s’ajoutent des dizaines de millions d’appareils tiers, comme les haut-parleurs connectés, les téléviseurs intelligents et les systèmes de divertissement embarqués prenant en charge CarPlay. En clair, la surface d’attaque dépasse largement les seuls produits Apple.
« Étant donné qu’AirPlay est pris en charge par un grand nombre d’appareils, il faudra des années pour que beaucoup d’entre eux soient corrigés, ou ils ne le seront jamais« , avertissent les chercheurs.
Cette prédiction fait froid dans le dos. Car si Apple a rapidement publié des correctifs pour ses propres appareils, les fabricants tiers devront adapter, tester et déployer leurs propres mises à jour pour les intégrer. Or, dans le monde de l’électronique grand public, où les mises à jour logicielles tardent souvent – voire sont complètement négligées – ce délai représente un danger concret et durable.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Des attaques potentiellement autonomes et persistantes
Les failles AirBorne sont d’autant plus préoccupantes qu’elles pourraient être utilisées pour créer un ver, c’est-à-dire un logiciel malveillant capable de se propager de manière autonome d’un appareil vulnérable à un autre. Cela rappelle les grands incidents informatiques comme WannaCry ou NotPetya, qui ont paralysé des réseaux entiers à l’échelle mondiale.
Dans le cas présent, un tel ver pourrait tirer parti de la connectivité sans fil entre les appareils pour s’infiltrer sans laisser de trace visible. Il suffirait qu’un utilisateur se connecte à un réseau Wi-Fi public ou mal sécurisé pour voir son téléphone ou son ordinateur portable compromis, devenant alors un vecteur d’infection pour tous les autres appareils compatibles AirPlay du réseau.
« Ce type de vulnérabilités peut avoir de graves conséquences« , écrivent les experts, soulignant que l’attaque peut débuter par un simple partage de contenu AirPlay entre deux appareils de confiance.
Des réponses à mettre en œuvre rapidement
Face à cette menace, la réponse ne peut pas se limiter à des correctifs techniques. Les chercheurs appellent les entreprises à mettre immédiatement à jour tous les appareils Apple qu’elles utilisent, y compris les terminaux personnels des employés, et à désactiver AirPlay lorsqu’il n’est pas indispensable.
Ils recommandent également de limiter l’accès à AirPlay par le biais de pare-feux ou de règles de sécurité réseau, en s’assurant que seuls des appareils connus et approuvés puissent établir une connexion. Ces mesures sont relativement simples à mettre en œuvre dans un environnement d’entreprise, mais beaucoup plus complexes dans le grand public, où la commodité prime souvent sur la sécurité.
Du côté d’Apple, la réponse a été rapide, mais reste partielle. En publiant des mises à jour pour iOS 18.4, macOS Sonoma 14.7.5, Ventura 13.7.5, Sequoia 15.4 et visionOS 2.4, l’entreprise a montré sa capacité à réagir efficacement. Toutefois, elle ne peut pas imposer aux fabricants tiers de patcher leurs produits, ni contraindre les utilisateurs à installer les mises à jour.
Cela pose la question de la gestion de la sécurité dans les écosystèmes interconnectés, où la responsabilité est répartie entre plusieurs acteurs : Apple, les fabricants tiers, les développeurs de logiciels, les fournisseurs d’accès et, bien sûr, les utilisateurs eux-mêmes.
La promesse d’AirPlay se heurte à la réalité des cybermenaces
Depuis son lancement, AirPlay a été présenté comme un symbole d’innovation, de simplicité et d’interopérabilité. Mais en 2025, cette vision est remise en question par une réalité plus sombre : celle de systèmes complexes, où chaque fonction peut devenir un vecteur de compromission.
À mesure que les objets connectés prolifèrent, que les voitures s’équipent de CarPlay, et que les foyers adoptent des téléviseurs toujours plus intelligents, la sécurité des protocoles comme AirPlay devient une priorité stratégique. Car si ces failles venaient à être exploitées à grande échelle, les conséquences pourraient être dramatiques pour les particuliers comme pour les organisations.
D’autant que la connectivité AirPlay est souvent active par défaut, exposant sans le savoir de nombreux utilisateurs à des risques qu’ils ne soupçonnent même pas. L’illusion de sécurité procurée par la marque Apple pourrait ainsi jouer contre elle, en incitant à un excès de confiance.
L’affaire AirBorne pose, en filigrane, la question fondamentale de la confiance dans les technologies que nous utilisons chaque jour. Quand un protocole aussi central et populaire qu’AirPlay se révèle vulnérable à des attaques sophistiquées, c’est l’ensemble de l’édifice numérique qui vacille.
Les prochaines semaines diront si les mises à jour d’Apple suffiront à juguler la menace ou si, comme le craignent certains experts, une vague d’attaques exploitant ces failles se prépare. Mais une chose est sûre : l’affaire AirBorne marquera un tournant dans la manière dont la sécurité des protocoles sans fil est perçue, tant par les ingénieurs que par le grand public.
En fin de compte, cette alerte pourrait-elle inciter les fabricants à repenser l’architecture de leurs systèmes et à accorder une priorité absolue à la sécurité dès la conception ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.
Microsoft a publié une mise à jour de sécurité massive pour corriger 126 vulnérabilités, dont une, critique, est déjà activement exploitée par des groupes de hackers.
C’est un rituel désormais bien rôdé : chaque deuxième mardi du mois, Microsoft déploie son « Patch Tuesday », la grande mise à jour mensuelle de sécurité de ses produits. Mais celle d’avril 2025 a fait l’effet d’un coup de semonce dans le secteur. Avec pas moins de 126 failles comblées, dont 11 jugées critiques, 112 importantes et 2 de moindre gravité, le géant de Redmond montre l’ampleur des menaces qui pèsent aujourd’hui sur les utilisateurs de ses systèmes. Surtout, une vulnérabilité particulièrement dangereuse, identifiée sous le code CVE-2025-29824, attire toutes les attentions : déjà exploitée activement dans la nature, elle concerne un composant central de Windows et laisse des millions d’appareils à la merci de pirates.
La faille CVE-2025-29824 touche le pilote Windows CLFS (Common Log File System), un composant chargé de la gestion des journaux système. La nature de la brèche est connue : il s’agit d’une erreur de type use-after-free, un bug de gestion de mémoire bien documenté qui permet, dans certains cas, à un attaquant local de prendre le contrôle complet de la machine. Le plus inquiétant est que cette faille ne nécessite pas de droits administrateur pour être exploitée. Un simple accès local suffit pour élever ses privilèges au niveau système, ouvrant la voie à toutes les dérives, notamment l’installation de rançongiciels. Microsoft a confirmé que cette vulnérabilité était déjà utilisée dans des attaques réelles.
La faille critique CVE-2025-29824, activement exploitée, permet à un utilisateur local d’obtenir un contrôle total sur un système Windows sans droits d’administrateur.
Ce type d’attaque n’en est pas à son premier coup d’essai. Depuis 2022, c’est la sixième vulnérabilité du même genre exploitée dans CLFS, ce qui souligne une faiblesse structurelle dans le composant. En réaction à la menace, la CISA (Cybersecurity and Infrastructure Security Agency) américaine a ajouté cette faille à son catalogue des vulnérabilités activement exploitées. Elle impose aux agences fédérales de déployer le correctif avant le 29 avril 2025, une mesure exceptionnelle qui traduit l’urgence de la situation.
Mais tout le monde ne peut pas encore respirer. Le correctif de Microsoft n’est pas disponible pour certaines versions de Windows 10, en particulier les éditions 32 et 64 bits, toujours largement utilisées dans le monde professionnel comme chez les particuliers. Cela signifie que des millions d’appareils restent vulnérables à cette faille, sans solution immédiate. Pour ces utilisateurs, la seule défense reste la prudence et la limitation des accès physiques aux machines.
Outre CVE-2025-29824, la vague de correctifs d’avril couvre un large éventail de services et d’applications critiques. Des failles ont été corrigées dans des protocoles d’authentification comme Kerberos, dans le bureau à distance RDP, le service LDAP, la suite bureautique Microsoft Office (dont Excel), ainsi que dans la pile réseau TCP/IP de Windows et l’hyperviseur Hyper-V. Plusieurs de ces vulnérabilités permettaient l’exécution de code à distance, ce qui, dans les mains d’un pirate, peut se traduire par une prise de contrôle totale du système ciblé.
Certaines failles corrigées ce mois-ci permettaient l’exécution de code à distance, ouvrant la porte à des compromissions totales de système.
Ces failles, combinées à la montée en puissance des attaques par rançongiciel, posent de sérieuses questions sur la résilience des infrastructures informatiques. Aujourd’hui, les cyberattaques ne visent plus seulement les grandes entreprises ou les institutions : elles touchent aussi les PME, les collectivités, les hôpitaux et les particuliers. Chaque faille non corrigée devient une porte d’entrée potentielle pour des groupes cybercriminels de plus en plus organisés, souvent liés à des États.
La publication de cette mise à jour n’est pas un événement isolé. Avril 2025 a vu un véritable branle-bas de combat dans l’ensemble de l’industrie technologique. Outre Microsoft, des entreprises comme Adobe, Google, Apple, Cisco, HP, AMD, Mozilla, Fortinet, SAP, Zoom et les éditeurs de distributions Linux ont également publié des mises à jour de sécurité importantes. Cela montre à quel point les failles sont omniprésentes, souvent découvertes par des chercheurs en cybersécurité, mais aussi parfois après avoir été utilisées à mauvais escient.
Pour les professionnels de l’IT et les responsables de la sécurité, cette cascade de correctifs signifie des heures de travail supplémentaires pour tester, déployer et vérifier les mises à jour dans des environnements parfois complexes. Le moindre oubli, le moindre retard peut avoir des conséquences dramatiques. Dans ce contexte, les politiques de gestion des correctifs (patch management) deviennent une composante essentielle de la stratégie de cybersécurité d’une organisation.
Microsoft, de son côté, continue d’améliorer ses systèmes de détection et de réponse face aux menaces. L’entreprise s’appuie sur des données récoltées à travers son vaste écosystème pour repérer rapidement les nouvelles attaques. Mais face à l’ingéniosité des cybercriminels, la simple réactivité ne suffit plus. Il faut une approche proactive, avec des audits réguliers, une réduction de la surface d’attaque et une sensibilisation constante des utilisateurs aux bons comportements.
À moyen terme, la dépendance à des composants anciens et parfois mal sécurisés comme CLFS interroge sur la durabilité des architectures logicielles actuelles. Faut-il réécrire des pans entiers du code de Windows pour éviter les mêmes erreurs ? Est-il encore viable de maintenir autant de versions du système d’exploitation en parallèle ? Ces questions, stratégiques, dépassent le cadre technique et engagent l’ensemble de l’écosystème numérique.
Enfin, cette actualité rappelle une réalité trop souvent ignorée : la cybersécurité n’est plus un sujet réservé aux experts. C’est une préoccupation quotidienne, qui touche directement la vie des utilisateurs et la stabilité des entreprises. Face à des menaces de plus en plus sophistiquées, la seule stratégie gagnante reste la vigilance.
Le gouvernement américain a mis fin au financement de la base de données CVE, pilier mondial de la cybersécurité, provoquant sa fermeture immédiate et laissant un vide critique dans la détection des vulnérabilités… pour faire marche arrière ensuite !
C’est un tournant inquiétant pour l’écosystème de la cybersécurité mondiale. Ce mercredi, la célèbre base de données CVE (Common Vulnerabilities and Exposures), référence universelle en matière d’identification des failles informatiques, s’éteint. En cause : la fin du contrat entre la MITRE Corporation, organisme à but non lucratif gestionnaire du projet, et la CISA, l’agence fédérale américaine chargée de la cybersécurité. Un non-renouvellement abrupt, inscrit dans une politique budgétaire restrictive menée par l’administration Trump, qui provoque l’interruption immédiate de cette infrastructure pourtant essentielle. Depuis 1999, le système CVE permettait une classification claire et standardisée des failles de sécurité. Sa disparition temporaire bouleverse le fonctionnement quotidien de milliers de professionnels à travers le monde.
La scène se passe presque dans le silence. Pas de conférence de presse ni de communiqué tapageur. Pourtant, l’arrêt de la base de données CVE constitue l’un des événements les plus marquants de ces dernières années pour la cybersécurité internationale. Des millions de professionnels s’appuyaient sur cette base pour identifier, référencer et corriger les vulnérabilités affectant les logiciels, les systèmes d’exploitation ou les composants matériels. L’arrêt de sa mise à jour signifie que les vulnérabilités découvertes à partir d’aujourd’hui ne seront plus répertoriées de manière centralisée, unique et accessible à tous.
Depuis plus de deux décennies, le CVE a été l’épine dorsale de la coordination dans la réponse aux menaces. À l’origine, le projet avait été lancé pour mettre fin au chaos régnant dans les années 1990, où chaque entreprise utilisait ses propres référentiels, rendant les échanges sur les failles complexes et peu efficaces. Grâce au CVE, une faille se voyait attribuer un identifiant unique – une sorte de matricule – permettant à toutes les équipes de cybersécurité, quels que soient leurs outils ou leur pays, de parler le même langage.
« La fin du CVE n’est pas seulement symbolique, elle est structurelle : c’est la disparition d’un standard global sans équivalent immédiat. »
Mais le contrat entre la MITRE Corporation et le ministère de la Sécurité intérieure américain, via la CISA, prend fin ce mercredi, sans reconduction. Cette décision, confirmée par le gouvernement, s’inscrit dans une logique de réduction budgétaire engagée par l’exécutif, au détriment de certains outils considérés comme coûteux ou non prioritaires. Et c’est là que le bât blesse : le coût de fonctionnement du programme CVE, pourtant relativement modeste à l’échelle des budgets fédéraux, est jugé superflu dans le cadre de cette politique d’austérité numérique.
Ce choix soulève l’incompréhension chez de nombreux acteurs du secteur, tant publics que privés. Car si la base de données CVE était officiellement américaine, sa portée, elle, était universelle. Des centaines de chercheurs, de laboratoires, de grandes entreprises de cybersécurité, mais aussi d’organisations gouvernementales et non gouvernementales du monde entier y contribuaient. Le modèle collaboratif du CVE en faisait un bien commun numérique, sans équivalent dans sa structuration et sa portée.
La fermeture brutale du système a pris de court nombre de professionnels. Si les anciennes données restent disponibles via des archives sur GitHub, elles ne seront plus mises à jour tant qu’aucune solution alternative n’aura été trouvée. Et c’est bien là que se situe le danger : selon les chiffres récents, plus de 25 000 nouvelles vulnérabilités ont été enregistrées dans la base CVE rien qu’en 2023. Leur absence de référencement officiel risque d’entraver sérieusement les réponses coordonnées à venir.
L’impact pourrait être particulièrement sévère pour les petites et moyennes entreprises, ainsi que pour les institutions publiques ne disposant pas de moyens pour accéder à des services commerciaux de suivi de vulnérabilités. De nombreuses solutions logicielles de gestion des risques ou de patching automatisé s’appuient directement sur les identifiants CVE pour détecter et corriger les failles. Sans ces repères, les délais de réaction risquent de s’allonger, laissant la porte ouverte à des cyberattaques d’envergure.
« Sans CVE, chaque organisation devra réinventer sa propre méthode de suivi des failles, avec les risques d’erreurs et de lenteurs que cela implique. »
Dans l’urgence, plusieurs pistes sont envisagées pour pallier ce vide. Certains évoquent la création d’un consortium international qui prendrait en charge la continuité du projet, sur un modèle similaire à celui de l’ICANN pour la gouvernance des noms de domaine. D’autres misent sur une reprise du flambeau par des entreprises majeures du secteur, comme Google, Microsoft ou encore IBM, qui disposent des moyens techniques et humains pour maintenir une base à jour. Mais ces options posent aussi des questions éthiques et politiques. Une base gérée par une entreprise privée pourrait perdre sa neutralité, tandis qu’une gouvernance internationale impliquerait des négociations complexes, longues et souvent ralenties par des logiques géopolitiques divergentes.
Dans l’intervalle, certains acteurs, notamment européens, pourraient saisir l’opportunité pour développer une alternative ouverte et souveraine. La question d’une autonomie stratégique en cybersécurité est de plus en plus discutée sur le Vieux Continent, et la fin de la base CVE pourrait accélérer cette dynamique. Un projet européen, financé par des institutions comme l’ENISA ou la Commission européenne, aurait le mérite de réduire la dépendance aux infrastructures américaines et de redonner une impulsion aux politiques de cybersécurité européennes.
Mais rien de tout cela ne sera immédiat. La construction d’une base de données fiable, exhaustive et reconnue prend du temps. Il faudra recréer des réseaux de contributeurs, des protocoles d’évaluation et des processus d’attribution normalisés. En attendant, le secteur devra composer avec une zone grise, où l’identification et la diffusion des vulnérabilités se feront de manière fragmentée.
Certains experts alertent d’ailleurs sur le risque d’une recrudescence de failles non signalées ou mal documentées dans les semaines à venir. Dans ce contexte d’instabilité, les cybercriminels pourraient profiter de cette désorganisation pour exploiter des brèches non encore corrigées. Une situation que les gouvernements comme les entreprises redoutent particulièrement.
Alors que le numérique structure aujourd’hui tous les pans de notre société – santé, finance, énergie, transports – la cybersécurité n’a jamais été aussi stratégique. Or, l’arrêt d’un outil aussi fondamental que le CVE fragilise un édifice déjà sous pression constante. Cette décision marque aussi un signal politique inquiétant : la cybersécurité ne semble plus figurer parmi les priorités stratégiques immédiates des États-Unis, du moins dans sa dimension coopérative et ouverte.
Le CVE n’est pas qu’une base de données. Il est le socle invisible sur lequel repose la coordination mondiale en matière de sécurité informatique. Sa disparition, même temporaire, doit alerter sur la fragilité des infrastructures numériques essentielles lorsqu’elles dépendent d’un unique acteur public ou privé. C’est l’un des paradoxes de notre ère numérique : à l’heure où tout est interconnecté, les outils critiques reposent encore sur des fondations institutionnelles trop peu résilientes.
Alors que le monde cherche une solution de remplacement à la base CVE, une question persiste : la cybersécurité mondiale peut-elle continuer de reposer sur des initiatives isolées, ou est-il temps d’envisager une gouvernance réellement collective et pérenne de la sécurité numérique ?
Mise à jour : La CISA (Cybersecurity and Infrastructure Security Agency) a finalement prolongé mardi soir son contrat avec le programme CVE (Common Vulnerabilities and Exposures), géré par le MITRE.
Le programme CVE, utilisé depuis 25 ans pour identifier et cataloguer les failles de cybersécurité à l’échelle mondiale, risquait de perdre ses financements dès mercredi. Heureusement, un prolongement de 11 mois a été acté in extremis pour éviter une interruption des services critiques.
Cependant, des tensions apparaissent : une partie du conseil du programme CVE envisage de créer une nouvelle entité indépendante, la CVE Foundation, pour garantir la neutralité et la pérennité du programme, actuellement trop lié à un financement gouvernemental unique.
Ce rebondissement intervient alors que la CISA fait face à des réductions budgétaires, des résiliations de contrats et des critiques politiques, notamment sur son rôle durant les élections de 2020. La secrétaire à la Sécurité intérieure Kristi Noem souhaite une réduction de taille et de dépenses pour rendre l’agence « plus efficace et agile« .
Mise à jour : des rebondissements qui ont permis à l’Europe de sortir de la cave https://euvd.enisa.europa.eu/– au moment de cette mise à jour, le site attend de passer en … 2025 !
Un outil gratuit pour décrypter le ransomware Akira sur Linux grâce à la puissance des GPU.
Un chercheur en cybersécurité, Yohanes Nugroho, a développé un outil de décryptage gratuit permettant de vaincre le ransomware Akira sur Linux. Ce projet complexe a nécessité trois semaines de travail intensif, un investissement de 1 200 $ en ressources GPU, et une approche innovante basée sur la force brute pour récupérer les clés de chiffrement.
Une percée majeure dans la lutte contre Akira
Face à la menace persistante du ransomware Akira, une nouvelle avancée pourrait changer la donne. Yohanes Nugroho, expert en cybersécurité, a récemment publié un outil de décryptage gratuit capable de restaurer des fichiers chiffrés par ce malware ciblant les systèmes Linux. Le projet, initialement prévu pour durer une semaine, a finalement nécessité trois semaines de travail et 1 200 $ de ressources GPU en raison de la complexité inattendue du processus.
Akira est un ransomware redoutable, actif depuis la fin de 2023, qui chiffre les fichiers à l’aide de clés générées à partir de quatre horodatages précis à la nanoseconde. Grâce à une analyse approfondie des fichiers journaux et des métadonnées des fichiers, Nugroho a pu mettre au point une méthode permettant de contourner le chiffrement en exploitant cette faiblesse dans la génération des clés. Son outil repose sur la puissance des GPU pour effectuer une attaque par force brute, une méthode inhabituelle dans le domaine du décryptage.
« Akira génère des clés de chiffrement uniques pour chaque fichier en utilisant quatre moments précis à la nanoseconde. En utilisant une force brute GPU optimisée, nous avons pu retrouver ces clés et restaurer les fichiers sans payer de rançon. » – Yohanes Nugroho
La faille dans le chiffrement d’Akira
Le ransomware Akira utilise une méthode de chiffrement complexe basée sur la génération de clés uniques pour chaque fichier. Cette génération repose sur l’algorithme de hachage SHA-256, appliqué en 1 500 tours sur quatre horodatages distincts, mesurés à la nanoseconde près. Cette complexité rend le processus de déchiffrement extrêmement difficile, voire impossible avec des méthodes classiques.
Cependant, Nugroho a découvert une faille : l’utilisation de ces horodatages permet de recréer les clés de chiffrement par rétro-ingénierie. Les deux premiers et les deux derniers horodatages sont liés, ce qui a permis à Nugroho de restreindre le champ de recherche et d’augmenter la vitesse du processus de force brute.
Akira chiffre les fichiers en utilisant une combinaison de KCipher2 et Chacha8, des algorithmes de chiffrement réputés pour leur robustesse. Les clés sont ensuite chiffrées avec RSA-4096 et intégrées dans les fichiers. Cette double couche de sécurité rend normalement le décryptage très complexe. Cependant, en identifiant les plages de temps précises utilisées pour générer les clés, Nugroho a réussi à réduire considérablement la difficulté du processus.
« Le malware ne s’appuie pas sur un seul moment dans le temps, mais sur quatre moments distincts avec une précision à la nanoseconde. La corrélation entre ces moments permet de limiter le champ de recherche, rendant la force brute plus efficace. » – Yohanes Nugroho
La puissance des GPU au service de la cybersécurité
Face à la complexité du chiffrement, Nugroho a d’abord tenté d’utiliser des GPU locaux, mais la lenteur du processus l’a conduit à se tourner vers des solutions basées sur le cloud. Après avoir écarté Google Cloud en raison de son coût élevé, il a opté pour RunPod et Vast.ai, deux services offrant une puissance de calcul GPU à moindre coût.
Il a mobilisé 16 GPU RTX 4090, connus pour leur nombre élevé de cœurs CUDA, pour exécuter l’attaque par force brute. Ce choix stratégique a permis de ramener le temps de déchiffrement à 10 heures pour une plage de 4,5 millions de nanosecondes. Le coût de traitement pour cette plage s’élève à environ 261 $, ce qui, multiplié par le volume de fichiers à traiter, a porté le coût total du projet à 1 200 $.
L’utilisation de GPU haut de gamme a permis de traiter un volume de données important en un temps record. Ce succès démontre le potentiel des solutions de décryptage basées sur la force brute GPU dans la lutte contre les ransomwares modernes.
Le décryptage des fichiers chiffrés par Akira est désormais possible sans payer de rançon. Les entreprises et les utilisateurs touchés par ce ransomware peuvent utiliser l’outil de Nugroho pour restaurer leurs données en toute autonomie. Cette percée pourrait également servir de modèle pour lutter contre d’autres variantes de ransomware utilisant des techniques similaires.
Nugroho a précisé que le processus de déchiffrement pourrait encore être optimisé pour améliorer les performances. Actuellement, le temps de récupération dépend de la taille du volume de fichiers à traiter et de la précision des horodatages contenus dans les fichiers journaux.
Un avenir prometteur pour le décryptage des ransomwares ?
L’approche novatrice de Yohanes Nugroho ouvre la voie à de nouvelles stratégies de lutte contre les ransomwares. L’utilisation de la force brute par GPU, combinée à une analyse fine des mécanismes de génération des clés, pourrait inspirer d’autres chercheurs à développer des solutions similaires.
Akira reste une menace active, mais cette avancée donne un avantage considérable aux équipes de cybersécurité. Les ransomwares basés sur des mécanismes de chiffrement temporel pourraient désormais être contournés grâce à une combinaison de rétro-ingénierie et de puissance GPU.
En partageant gratuitement son outil, Nugroho offre une ressource précieuse à la communauté de la cybersécurité et aux victimes de ransomware. Cette initiative illustre l’importance de l’innovation et de la collaboration dans la lutte contre les cybermenaces modernes.
Une vulnérabilité critique affectant les scripts PHP, connue sous le nom de CVE-2024-4577, est devenue une menace à l’échelle mondiale, obligeant les défenseurs de la cybersécurité à agir rapidement. Découverte initialement dans le cadre d’attaques ciblant des organisations japonaises, cette faille est désormais exploitée dans plusieurs régions du monde, ont averti les experts en cybersécurité de GreyNoise et Cisco Talos.
Une vulnérabilité initialement localisée, désormais mondiale
La faille CVE-2024-4577 affecte une configuration spécifique appelée PHP-CGI, utilisée pour exécuter des scripts PHP sur des serveurs Web. Détectée pour la première fois au Japon en janvier 2025, elle a été rapidement exploitée par des attaquants cherchant à voler des identifiants d’accès et à établir une présence persistante dans les systèmes compromis.
Dans un rapport publié jeudi, l’équipe de Cisco Talos a révélé que les attaques initiales visaient principalement des organisations japonaises. L’objectif apparent des attaquants était non seulement de voler des identifiants d’accès, mais aussi de s’implanter durablement dans les systèmes ciblés, ouvrant la voie à de futures intrusions et compromissions.
Cependant, ce qui semblait être une campagne de piratage localisée s’est rapidement transformé en une menace mondiale. Vendredi, GreyNoise, une société spécialisée dans le renseignement sur les menaces, a publié un rapport alarmant indiquant que l’exploitation de cette faille s’est étendue à d’autres régions du globe. Des tentatives d’attaques ont été détectées aux États-Unis, à Singapour, au Japon et dans plusieurs autres pays tout au long du mois de janvier 2025.
Un correctif disponible, mais une menace persistante
Le correctif pour cette vulnérabilité a été publié à l’été 2024, mais de nombreuses entreprises n’ont pas encore mis à jour leurs systèmes, laissant un large éventail de cibles potentielles à la merci des attaquants.
La faille CVE-2024-4577 permet une exécution de code à distance (RCE), ce qui signifie que les pirates peuvent prendre le contrôle d’un serveur vulnérable, exécuter des commandes arbitraires et, potentiellement, compromettre l’ensemble du réseau.
GreyNoise a identifié 79 méthodes connues pour exploiter cette faille, soulignant la complexité et la diversité des vecteurs d’attaque. Les chercheurs ont également détecté une augmentation des tentatives d’attaques utilisant cette faille dans le cadre de campagnes coordonnées.
« L’ampleur de l’exploitation de CVE-2024-4577 dépasse de loin nos prévisions initiales », a déclaré un chercheur de GreyNoise. « Les attaquants utilisent des outils sophistiqués, y compris des cadres d’attaque avancés et des serveurs de commande et de contrôle (C2), ce qui laisse penser qu’il s’agit d’une campagne bien organisée. »
Une menace bien plus complexe qu’un simple vol d’identifiants
Selon Cisco Talos, l’attaquant à l’origine des premières attaques au Japon utilisait un serveur de commande et de contrôle (C2) pour déployer une suite complète d’outils malveillants. Cette approche suggère que les motivations vont au-delà du simple vol d’identifiants.
Le serveur C2 permet de contrôler à distance les systèmes compromis, d’exécuter des commandes, d’installer des malwares et de lancer de nouvelles attaques. Les chercheurs craignent que cette faille ne soit utilisée pour installer des backdoors (portes dérobées) et déployer des logiciels espions sur des cibles stratégiques, comme des infrastructures critiques ou des institutions financières.
« Cela ne ressemble pas à une simple campagne d’espionnage économique », a ajouté un chercheur de Cisco Talos. « L’ampleur des outils utilisés et la persistance démontrée par les attaquants laissent penser à une opération à caractère géopolitique. »
Une attaque documentée depuis plusieurs mois
La vulnérabilité CVE-2024-4577 avait déjà été signalée en août 2024 par des chercheurs de Symantec, après avoir été exploitée contre une université de Taiwan. Peu de temps après la publication du correctif, les attaquants avaient testé la faille contre plusieurs cibles en Asie, avant d’étendre leurs opérations à une échelle mondiale.
GreyNoise a également constaté une augmentation notable du trafic lié à cette faille à partir de la fin décembre 2024, avec des pics d’activité importants début janvier 2025. Cette chronologie suggère que les attaquants ont pu peaufiner leurs outils et leurs méthodes avant de lancer une campagne d’envergure mondiale.
L’appel à une action immédiate
Face à cette menace croissante, GreyNoise et Cisco Talos appellent les entreprises et les administrateurs système à une mise à jour immédiate de leurs serveurs PHP.
« Les organisations qui utilisent PHP-CGI doivent immédiatement vérifier leur configuration et installer les derniers correctifs de sécurité », a déclaré GreyNoise dans son rapport. « Le temps presse : chaque heure qui passe sans correction augmente le risque d’une compromission. »
Les chercheurs recommandent également une surveillance renforcée du trafic réseau pour détecter les comportements suspects associés à l’exploitation de CVE-2024-4577. La mise en place de pare-feu et de systèmes de détection d’intrusion (IDS) pourrait également permettre de contenir la menace.
Cisco Talos a également suggéré que les entreprises désactivent la configuration PHP-CGI si elle n’est pas strictement nécessaire, une mesure qui pourrait réduire considérablement la surface d’attaque.
Une faille symptomatique de la fragilité du web
Ce nouvel incident met une fois de plus en lumière la fragilité des infrastructures web face à des menaces sophistiquées. Le langage PHP, créé il y a près de trois décennies, est l’un des piliers du développement web, mais il est aussi une cible privilégiée en raison de son adoption massive et de la complexité de sa gestion.
Pour les experts, cette vulnérabilité souligne le besoin urgent de renforcer les pratiques de sécurité autour des technologies web historiques. Si la faille CVE-2024-4577 est corrigée rapidement, la menace pourrait être contenue. Dans le cas contraire, elle pourrait devenir le point de départ d’une vague d’attaques sans précédent.
Face à une exploitation déjà mondiale, une action rapide s’impose. Les défenseurs de la cybersécurité sont désormais engagés dans une véritable course contre la montre pour éviter que cette vulnérabilité ne soit utilisée dans des attaques de grande ampleur.
Une vulnérabilité critique a été découverte dans le célèbre archiveur 7-Zip, permettant à des attaquants d’installer des logiciels malveillants tout en contournant le mécanisme de sécurité Mark of the Web (MoTW) de Windows.
Des chercheurs du Zero Day Initiative ont identifié une faille (CVE-2025-0411) dans 7-Zip, un outil largement utilisé pour compresser et extraire des fichiers. Cette vulnérabilité a reçu un score de 7 sur l’échelle CVSS, la classant comme modérément critique. Découverte mi-2022, cette faille exploite une faiblesse dans la gestion des archives, exposant ainsi les utilisateurs à des risques importants.
Le mécanisme MoTW, introduit par Windows, est conçu pour avertir les utilisateurs lorsqu’ils ouvrent des fichiers téléchargés depuis des sources non fiables. Cependant, dans les versions vulnérables de 7-Zip, ce système peut être contourné. Les fichiers extraits d’archives malveillantes ne portent pas la marque du Web, privant ainsi l’utilisateur d’un avertissement crucial.
Comment fonctionne cette faille ?
La faille repose sur la manipulation des archives. Lorsqu’un utilisateur extrait des fichiers depuis une archive spécialement conçue, 7-Zip ne leur applique pas la marque de sécurité MoTW. Cela signifie qu’un fichier potentiellement dangereux peut être exécuté sans que l’utilisateur ne reçoive d’alerte de sécurité.
Selon Trend Micro, cette faille peut être exploitée pour exécuter du code malveillant dans le contexte de l’utilisateur actuel. En d’autres termes, un attaquant peut utiliser cette vulnérabilité pour déployer des logiciels malveillants sur l’ordinateur de la victime.
Les mesures prises par 7-Zip pour corriger la vulnérabilité
Face à cette faille, les développeurs de 7-Zip ont rapidement réagi. Une nouvelle version de l’archiveur, numérotée 24.09, a été publiée. Cette mise à jour inclut un correctif pour le CVE-2025-0411, rétablissant la sécurité des utilisateurs.
Les utilisateurs qui n’ont pas encore installé la dernière version de 7-Zip restent vulnérables. Ignorer cette mise à jour expose les systèmes à des cyberattaques potentielles, en particulier si des fichiers sont téléchargés depuis des sources non vérifiées.
Le correctif a renforcé la gestion des fichiers extraits. Désormais, 7-Zip applique correctement le marquage MoTW, garantissant ainsi une protection accrue. Il est conseillé de télécharger la version 24.09 directement depuis le site officiel de 7-Zip pour éviter les versions compromises.
Cette vulnérabilité souligne une fois de plus l’importance de maintenir ses logiciels à jour. Elle illustre également comment des failles dans des outils couramment utilisés peuvent avoir des répercussions importantes sur la sécurité des utilisateurs.
Mandiant a publié aujourd’hui des détails approfondis sur une vulnérabilité zero-day critique, référencée CVE-2025-0282, récemment divulguée et corrigée par Ivanti. Cette faille affecte les appliances Ivanti Connect Secure VPN (ICS), largement utilisées pour assurer la connectivité sécurisée des entreprises.
Ivanti a détecté cette compromission grâce à son outil dédié, Integrity Checker Tool (ICT), ainsi qu’à des outils tiers de surveillance de sécurité. Selon l’analyse de Mandiant, cette vulnérabilité a été exploitée activement dans la nature dès décembre 2024, vraisemblablement par un acteur de l’espionnage lié à la Chine.
Une exploitation avancée et ciblée
Mandiant rapporte que la CVE-2025-0282 [alerte du CERT SSI France] a été utilisée par des cybercriminels. Bien qu’il ne soit pas encore possible de confirmer l’identité exacte des attaquants, les chercheurs pensent avec une confiance modérée qu’ils appartiennent au groupe connu de bad hacker sous le nom UNC5221, un acteur déjà associé à des campagnes d’espionnage numérique.
Le malware SPAWN, précédemment lié à UNC5337, a été observé dans cette nouvelle attaque. En complément, d’autres familles de malwares comme DRYHOOK et PHASEJAM ont été identifiées. Cependant, les chercheurs précisent qu’ils ne disposent pas encore de données suffisantes pour attribuer ces attaques à un ou plusieurs acteurs spécifiques.
Impacts de la vulnérabilité CVE-2025-0282
L’exploitation de cette faille permet aux attaquants de réaliser des actions critiques :
Exécution de code à distance
Les cybercriminels peuvent prendre le contrôle des systèmes affectés, compromettant ainsi l’intégrité des données et la sécurité des environnements réseau.
Déplacement latéral
Une fois la brèche initiale exploitée, les attaquants se déplacent latéralement dans les systèmes connectés pour élargir leur accès, créant des impacts potentiellement dévastateurs au-delà de l’appareil directement visé.
Installation de portes dérobées persistantes
Des backdoors sont implantées pour maintenir l’accès aux systèmes compromis. Certaines de ces portes peuvent persister même après des mises à jour, ce qui incite Ivanti à recommander une réinitialisation complète pour les clients concernés.
Tactiques avancées des attaquants
Mandiant a observé deux techniques sophistiquées utilisées par les attaquants exploitant la CVE-2025-0282 :
Déploiement de PHASEJAM
Après avoir exploité la faille, les cybercriminels déploient un malware personnalisé nommé PHASEJAM, conçu pour empêcher l’installation des mises à jour système, garantissant ainsi un accès prolongé au système compromis.
Fausse barre de progression de mise à jour
Pour éviter de susciter la méfiance des administrateurs, une fausse barre de progression de mise à jour est affichée, simulant le bon déroulement des mises à jour alors qu’en réalité, le processus est bloqué par l’attaquant.
Mesures de détection et prévention
Les versions récentes d’Ivanti Connect Secure intègrent un outil performant, l’Integrity Checker Tool (ICT), qui s’est avéré efficace pour identifier les compromissions liées à la CVE-2025-0282. Cet outil exécute régulièrement des diagnostics pour détecter des anomalies ou des comportements inhabituels.
Cependant, Mandiant a signalé des tentatives des attaquants pour manipuler le registre des fichiers vérifiés par l’ICT, y intégrant leurs propres fichiers malveillants pour contourner les mécanismes de détection.
Cette vulnérabilité zero-day met en lumière les défis constants auxquels les entreprises sont confrontées en matière de sécurité numérique. Ivanti et Mandiant recommandent aux utilisateurs de déployer les mises à jour correctives immédiatement, de surveiller leurs systèmes pour détecter des anomalies, et de réinitialiser si nécessaire.
