Archives par mot-clé : correctifs

Cybersécurité, IA, Mise à jour, Patch, Securite informatique

Claude Code Security, Anthropic veut industrialiser l’audit IA

Anthropic ajoute à Claude Code un scanner de vulnérabilités pensé pour les entreprises, avec une promesse simple, lire une base de code, détecter les failles, proposer des correctifs, puis laisser l’humain décider.

Anthropic annonce Claude Code Security, une fonctionnalité de sécurité intégrée à Claude Code capable d’analyser le code d’un utilisateur, de repérer des vulnérabilités et de suggérer des correctifs. Le déploiement démarre en accès limité pour des clients entreprises et des équipes pilotes. L’éditeur affirme s’appuyer sur plus d’un an de tests de résistance menés par ses spécialistes, incluant des exercices Capture the Flag et un travail avec le Pacific Northwest National Laboratory pour améliorer la précision. L’outil promet une vérification en plusieurs étapes afin de réduire les faux positifs, un classement par gravité et une approche orientée flux de données.

Une promesse d’analyse « comme un chercheur humain »

Anthropic avance un pari clair, l’IA va devenir un passage quasi obligé dans l’examen du code. Dans son discours, l’argument n’est pas seulement la vitesse, mais le changement d’échelle. L’entreprise estime qu’une fraction importante du code mondial pourrait être passée au crible par des modèles dans un futur proche, à mesure que ces systèmes gagnent en efficacité pour révéler des bugs et des faiblesses de sécurité restés invisibles. La tension, elle, est immédiate, ce qui accélère la protection accélère aussi l’attaque.

Claude Code Security est présenté comme un module qui « lit » une base de code et en reconstruit la logique, à la manière d’un analyste. L’outil ne se limiterait pas à pointer des motifs suspects, il chercherait à comprendre comment les composants interagissent, à suivre les chemins empruntés par les données, puis à isoler des défauts majeurs que des approches classiques d’analyse statique peuvent manquer. Dans ce scénario, la valeur n’est pas seulement la détection, mais la contextualisation, autrement dit relier une faiblesse à un flux, une entrée, une dépendance, un composant, et à un impact.

Pour réduire le bruit, Anthropic décrit un mécanisme de contrôle interne. Chaque détection passerait par une validation en plusieurs étapes avant d’être transmise à un analyste, puis le modèle « se relirait » lui-même, afin de confirmer ou d’infirmer ses propres conclusions et de limiter les faux positifs. Les résultats seraient ensuite hiérarchisés par gravité, pour guider les équipes vers ce qui doit être corrigé en premier. Le processus mis en avant reste, au bout de la chaîne, une boucle de décision humaine, l’utilisateur approuve les modifications avant tout déploiement.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Une mise en production prudente, et une règle clé sur les droits

Le lancement, lui, est encadré. Anthropic indique que Claude Code Security sera d’abord réservé à un groupe restreint de clients entreprises et d’équipes, dans une phase de test. L’annonce s’appuie sur un récit de robustesse construit sur la durée, plus d’un an de tests de résistance par une équipe interne d’experts cybersécurité, des participations à des compétitions de type Capture the Flag, et une collaboration avec le Pacific Northwest National Laboratory, présentée comme un levier pour améliorer la précision des analyses.

En filigrane, l’entreprise vise un basculement culturel, celui du « vibe coding », cette manière de produire plus vite en s’appuyant sur l’IA pour écrire et assembler des morceaux de logiciel. Anthropic soutient que, si cette pratique se diffuse, la demande d’analyses automatisées de vulnérabilités pourrait dépasser le besoin d’audits manuels. L’argument est pragmatique, si davantage de code est généré plus vite, alors davantage de code doit être audité plus vite, sinon la dette de sécurité enfle. Dans cette logique, un scanner directement intégré au flux de développement pourrait, potentiellement, réduire le nombre de failles, à condition que l’automatisation n’endorme pas la vigilance.

Mais la même capacité de lecture rapide et d’exploration systématique intéresse aussi l’adversaire. Le texte souligne que des cybercriminels peuvent, eux aussi, utiliser des modèles pour cartographier plus vite l’environnement d’une victime et y trouver des points d’entrée exploitables. C’est le dilemme classique du renseignement technique, un outil qui améliore la visibilité des défenseurs peut aussi accélérer la reconnaissance et la sélection de cibles côté attaquants. D’où l’enjeu, non seulement de détecter, mais de qualifier, prioriser et corriger sans délai.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

DÉCOUVRIR L’OUTIL CTI

Des chercheurs spécialisés dans les menaces nuancent l’enthousiasme. Oui, les capacités ont progressé, mais elles seraient souvent plus à l’aise sur des failles modestes, tandis que des opérateurs chevronnés restent indispensables, notamment pour piloter le dispositif et traiter les vulnérabilités et menaces de haut niveau. En parallèle, certains outils, comme Claude Opus et XBOW, ont déjà montré qu’ils pouvaient découvrir des centaines de vulnérabilités logicielles, rendant parfois la chasse et la correction nettement plus rapides qu’une équipe humaine seule.

Anthropic revendique aussi un saut de performance côté modèle, en affirmant que Claude Opus 4.6 est « nettement meilleur » pour repérer des vulnérabilités de haute gravité que les versions antérieures, avec, dans certains cas, des défauts qui seraient restés indétectés pendant des décennies. L’accès, enfin, s’accompagne d’une contrainte juridique et éthique explicite, les testeurs doivent s’engager à n’utiliser l’outil que sur du code appartenant à leur entreprise, et pour lequel ils disposent de tous les droits nécessaires à l’analyse, à l’exclusion du code de tiers, sous licence, ou de projets open source.

Au fond, Claude Code Security illustre une bascule de la cyber-intelligence, l’audit devient un flux continu, mais la bataille se joue toujours sur la qualité du tri, de la preuve, et de la décision.

APT, Chiffrement, cryptage, Cybersécurité, Entreprise, Firewall, Securite informatique

Pare-feux, la porte d’entrée de 90 % des ransomwares

Barracuda affirme que la majorité des ransomwares de 2025 a contourné la défense par l’endroit le plus attendu, le pare-feu, et parfois en seulement trois heures.

Selon le Barracuda Managed XDR Global Threat Report, 90 % des incidents de ransomware observés en 2025 ont exploité des pare-feux, via des logiciels non corrigés ou des comptes fragiles. Le rapport s’appuie sur l’ensemble de données Barracuda Managed XDR, plus de deux mille milliards d’événements informatiques collectés en 2025, près de 600 000 alertes, et plus de 300 000 actifs protégés, dont points de terminaison, pare-feu, serveurs et ressources cloud. L’étude décrit les chemins privilégiés par les attaquants, l’usage d’outils légitimes comme l’accès à distance, et les angles morts récurrents, chiffrement obsolète, protections désactivées, configurations dégradées. Un cas attribué à Akira illustre l’accélération, trois heures entre intrusion et chiffrement.

Quand le pare-feu devient le meilleur relais de l’attaquant

Le chiffre, 90 %, raconte une réalité opérationnelle plus qu’une surprise stratégique. Le pare-feu concentre les accès, les règles, et souvent la confiance implicite, ce qui en fait un pivot idéal dès qu’une CVE ou un compte vulnérable ouvre une brèche. Barracuda décrit un scénario classique, l’attaquant obtient un point d’appui, prend le contrôle du réseau, contourne les contrôles attendus, puis masque du trafic ou des actions malveillantes derrière des flux qui ressemblent au quotidien. Dans cette logique, l’attaque ne “force” pas la porte, elle se glisse dans le passage déjà prévu.

Le rapport insiste sur l’exploitation d’outils informatiques légitimes, notamment des solutions d’accès à distance. Le détail compte, car ces utilitaires, omniprésents, peuvent devenir un accélérateur, ils fournissent une interaction stable, une persistance discrète, et un moyen de se déplacer sans déclencher immédiatement des soupçons. Barracuda signale aussi des failles plus prosaïques, mais déterminantes, comme un appareil non autorisé apparu sans contrôle, un compte laissé actif après un départ, une application “endormie” non mise à jour, ou une fonction de sécurité mal paramétrée. La mécanique est toujours la même, une seule faiblesse suffit, et la défense découvre trop tard qu’elle gardait une façade, pas l’ensemble de la surface d’attaque.

L’exemple le plus brutal, cité dans l’étude, concerne Akira. Entre l’intrusion et le chiffrement, il n’aurait fallu que trois heures. Cette compression du temps bouleverse les habitudes, les équipes disposent de moins de marge pour qualifier une alerte, recouper des journaux, isoler une machine, ou même lancer une investigation complète. Ce qui relevait hier d’un sprint devient une course de vitesse. Pour les attaquants, chaque minute gagnée réduit la probabilité d’un arrêt net avant le point de non-retour.

Des failles anciennes, des exploits prêts, et le signal du mouvement latéral

Autre enseignement, 11 % des vulnérabilités détectées disposaient d’un exploit connu. Le message est direct, une part significative des failles repérées n’est pas seulement théorique, elle est déjà “outillée”. Barracuda y voit un encouragement involontaire pour les opérateurs, qui privilégient les chemins éprouvés et industrialisés, y compris via la chaîne d’approvisionnement. La hausse rapportée est nette, 66 % des incidents impliquaient un tiers ou un volet supply chain, contre 45 % en 2024. Dit autrement, l’attaque cherche la faille la moins défendue, parfois chez un prestataire, parfois dans une dépendance logicielle, puis remonte vers la cible principale.

Le rapport met aussi en avant un paradoxe inquiétant, la CVE la plus fréquemment détectée remonte à 2013. CVE-2013-2566 concerne un algorithme de chiffrement devenu obsolète, encore présent dans des environnements anciens, vieux serveurs, équipements embarqués, applications héritées. Le risque ne vient pas seulement de la vulnérabilité elle-même, mais de ce qu’elle révèle, l’existence de morceaux d’infrastructure difficiles à inventorier, compliqués à mettre à jour, parfois invisibles aux processus standards. Dans une lecture cyber et renseignement, ces reliques technologiques deviennent des points d’ancrage, stables, prévisibles, et donc exploitables.

Le signal d’alerte le plus clair, selon Barracuda, reste le mouvement latéral. Dans 96 % des incidents où cette étape était observée, l’histoire se terminait par un déploiement de ransomware. Le moment est décisif, l’attaquant, souvent dissimulé sur un point de terminaison insuffisamment protégé, cesse d’explorer et commence à agir. Le rapport cite des indicateurs qui doivent alerter, comportements de connexion atypiques, accès privilégiés inhabituels, désactivation d’une protection endpoint, ou encore usage anormal d’outils d’administration. L’enjeu n’est pas seulement de détecter, mais d’interrompre avant que la propagation ne se transforme en chiffrement généralisé.

Au fond, Barracuda décrit une bataille d’hygiène numérique et de visibilité, où l’ennemi gagne quand l’organisation ignore ses propres zones grises, et où le renseignement de sécurité naît d’une surveillance capable de relier signaux faibles et actions concrètes.

Cybersécurité, Entreprise, Espionnage Spy, Fuite de données, Propriété Industrielle, Securite informatique

F5 victime d’une compromission attribuée à un acteur étatique

Un acteur lié à un État a infiltré durablement le réseau de F5 et dérobé le code source ainsi que des données de vulnérabilités de BIG-IP, exposant des risques majeurs pour la chaîne d’approvisionnement numérique mondiale.

F5, éditeur américain de solutions réseau BIG-IP, a révélé une compromission prolongée par un acteur gouvernemental sophistiqué. L’attaquant aurait accédé aux serveurs internes responsables de la création et de la distribution des mises à jour logicielles, exfiltrant du code source et des informations sur des failles non publiées. Cette intrusion, détectée le 9 août, fait peser un risque critique de compromission de la chaîne d’approvisionnement pour des milliers d’entreprises et d’agences publiques qui utilisent BIG-IP. F5 a publié 44 correctifs et fait appel à IOActive, NCC Group, Mandiant et CrowdStrike pour enquêter. Les autorités américaines et britanniques ont depuis appelé à l’application urgente des mises à jour.

Comment l’intrusion s’est déroulée

F5, basée à Seattle, a confirmé qu’un groupe agissant pour le compte d’un gouvernement non nommé avait maintenu un accès persistant à son réseau interne pendant une période prolongée. L’intrusion, découverte le 9 août puis révélée publiquement, a montré que les assaillants avaient atteint le segment critique chargé de compiler et distribuer les mises à jour de BIG-IP.

Ce périmètre de build et de diffusion représente le pivot logique d’une attaque sur la chaîne d’approvisionnement : il signe, emballe et pousse le code vers des dizaines de milliers d’appareils déployés. Les serveurs concernés, situés à la périphérie des réseaux clients, gèrent l’équilibrage de charge et assurent le rôle de pare-feu applicatif, en inspectant et chiffrant le trafic.

F5 précise que des fragments du code source de BIG-IP ont été exfiltrés. Parallèlement, les assaillants ont dérobé des informations sur des vulnérabilités découvertes par F5 mais non encore corrigées ni rendues publiques, ainsi que certains paramètres de configuration client. Ce trio d’éléments — code source, failles non divulguées et configurations — réduit considérablement le temps et les ressources nécessaires pour concevoir des attaques ciblées et échapper à la détection.

L’entreprise souligne que la compromission concernait spécifiquement l’infrastructure liée à la distribution logicielle. Si l’enquête n’a pas montré de modification du code déployé ni d’altération du processus de signature, la fuite de ce matériel sensible constitue une escalade notable du risque de compromission en cascade. En d’autres termes, un acteur doté du code et des vulnérabilités internes pourrait théoriquement produire des mises à jour falsifiées ou des attaques exploitant directement les points faibles des clients.

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Portée et impact technique

Les équipements BIG-IP sont présents dans 48 des 50 plus grandes entreprises mondiales. Ces appliances, situées à l’entrée du réseau, inspectent tout le trafic entrant et sortant, gèrent le chiffrement TLS et appliquent les politiques d’accès. Dans de nombreux cas, elles détiennent aussi des identifiants administratifs privilégiés et des configurations adaptées à l’architecture interne des organisations.

La fuite de ces paramètres offre à un attaquant une cartographie détaillée de cibles potentielles. Elle révèle les chemins techniques menant aux systèmes les plus sensibles situés derrière le pare-feu applicatif.

À la suite de l’incident, F5 a publié 44 correctifs. Selon l’entreprise, ces vulnérabilités étaient accessibles à l’assaillant depuis au moins août, date de détection de l’intrusion. Aucune preuve n’indique que ces failles aient été exploitées avant leur correction.

Pour confirmer cette évaluation, F5 a mandaté plusieurs sociétés spécialisées : IOActive et NCC Group ont audité les composants accessibles depuis l’extérieur et n’ont trouvé aucune faille critique non corrigée ; Mandiant et CrowdStrike ont mené des analyses forensiques internes et conclu qu’aucune donnée financière ou client n’avait été volée.

Cependant, le maintien d’un accès furtif sur une longue période, dans une infrastructure connectée à la quasi-totalité des grands réseaux mondiaux, laisse ouverte la possibilité d’opérations ultérieures ciblées. D’un point de vue technique, la possession du code source et de données de vulnérabilités accélère la production d’exploits : les flux de contrôle, la logique de validation et la gestion cryptographique deviennent visibles pour l’attaquant.

L’association avec des configurations réelles d’entreprises réduit encore l’incertitude opérationnelle. Ensemble, ces éléments offrent à un acteur étatique les moyens de conduire une attaque de chaîne logistique à large échelle, potentiellement contre des infrastructures publiques critiques. L’enjeu dépasse F5 : les équipements BIG-IP se trouvent au cœur des architectures réseau de la majorité des grandes organisations américaines et britanniques, avec des implications directes pour la sécurité nationale et économique.

Réponses, atténuation et risques persistants

F5 affirme avoir immédiatement pris des mesures correctives. L’entreprise a diffusé des mises à jour couvrant l’ensemble des failles découvertes et a collaboré avec les autorités compétentes. Les investigations externes n’ont révélé ni altération du processus de build, ni signe d’exploitation active du matériel volé.

Malgré cela, les centres nationaux de cybersécurité américains (CISA) et britanniques (NCSC) ont diffusé des alertes officielles. Ils demandent à toutes les administrations et entreprises d’inventorier leurs équipements BIG-IP et d’appliquer sans délai les mises à jour de sécurité. Les recommandations s’étendent au secteur privé, notamment dans les télécoms, la finance et les infrastructures critiques.

Ces consignes reposent sur un principe de précaution : un adversaire disposant des vulnérabilités et des configurations peut préparer des attaques ciblées à long terme. Le déploiement de correctifs réduit le risque immédiat, mais ne garantit pas l’absence de mécanismes d’accès persistants.

F5 reconnaît les limites d’une détection a posteriori. Dans des environnements complexes, il est difficile de prouver qu’aucune modification invisible ne subsiste. Cette incertitude pèse désormais sur les clients : ils doivent considérer la compromission comme un risque systémique et renforcer leur surveillance.

Les administrateurs sont invités à recenser les appliances BIG-IP installées, vérifier leurs versions logicielles et examiner les journaux d’accès pour détecter toute activité anormale. Un suivi spécifique du trafic sortant depuis ces dispositifs peut permettre d’identifier d’éventuelles communications non autorisées.

D’un point de vue renseignement, cette opération illustre la stratégie des acteurs étatiques : pénétrer la chaîne d’approvisionnement pour obtenir un effet démultiplié. En compromettant un fournisseur central, ils acquièrent un levier stratégique sur l’ensemble de ses clients. Même sans exploitation avérée, la simple possession du code et des vulnérabilités internes permet une planification offensive à grande échelle.

Les implications dépassent la sphère technique. Elles soulèvent des questions de souveraineté numérique et de dépendance vis-à-vis d’équipements étrangers au cœur des infrastructures critiques. Les autorités devront examiner comment renforcer la résilience des chaînes logicielles et instaurer des audits continus de sécurité au niveau des fournisseurs.

L’incident documenté par F5 illustre un scénario typique d’attaque de la chaîne d’approvisionnement : un accès persistant au cœur du processus de développement permet de dérober du code et des informations exploitables contre des milliers de réseaux.

Malgré l’absence d’exploitation confirmée, le risque demeure tangible : les matériaux volés peuvent faciliter des intrusions différées, difficilement détectables. La réaction de F5, entre communication rapide et audits indépendants, ne supprime pas la nécessité d’une vigilance accrue de la part des clients et des États.

Pour les opérateurs, la priorité reste claire : localiser les dispositifs BIG-IP, appliquer les correctifs et renforcer la surveillance en périphérie de réseau. Pour les équipes de renseignement et de réponse à incident, cette affaire rappelle qu’une compromission de fournisseur peut devenir une arme stratégique.

Comment les organisations concernées pourront-elles prouver l’absence de compromission secondaire chez leurs partenaires, maintenant que le code source et les données de configuration ont été exposés ?

Rejoignez nous sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée
Cybersécurité, Mise à jour, Patch, Securite informatique

Correctifs : Microsoft corrige 28 vulnérabilités critiques sur 62 patchées

Correctifs massifs ! Le Patch Tuesday d’octobre est pour Microsoft l’occasion de publier des correctifs pour résoudre 62 vulnérabilités dont 30 affectent Windows. Les correctifs traitant 28 de ces vulnérabilités sont définis comme critiques. 33 vulnérabilités peuvent entraîner l’exécution de code malveillant à distance (RCE). Selon Microsoft, une vulnérabilité dans Microsoft Office est actuellement exploitée de manière active en mode aveugle.

Priorité absolue pour des correctifs massifs donc à cette vulnérabilité CVE-2017-11826 dans Microsoft Office qui est classée comme « Importante » par Microsoft. Autre priorité, la résolution de CVE-2017-11771, une vulnérabilité au sein du service de recherche Windows. Depuis début 2017, c’est le quatrième Patch Tuesday qui traite une vulnérabilité dans ce service.

Comme les fois précédentes, cette vulnérabilité peut être exploitée à distance via le protocole SMB. Il facilite la prise de contrôle total d’un système. Elle peut impacter aussi bien des serveurs que des postes de travail. Même si un exploit lancé contre cette vulnérabilité peut s’appuyer sur SMB comme vecteur d’attaque, il ne s’agit pas d’une vulnérabilité au sein de ce protocole. SMB lui-même. Aucun rapport donc avec les vulnérabilités SMB récemment exploitées par EternalBlue, WannaCry et Petya.

À noter aussi deux vulnérabilités dans la bibliothèque de polices Windows, CVE-2017-11762 et CVE-2017-11763, pouvant être exploitées via un navigateur ou un fichier malveillant, ainsi qu’une vulnérabilité dans DNSAPI, CVE-2017-11779, grâce à laquelle un serveur DNS malveillant peut exécuter du code sur un système client.
Une vulnérabilité sur certaines puces TPM est résolue grâce à l’avis de sécurité ADV170012.

Localisée dans la puce TPM elle-même, et non pas dans Windows, cette vulnérabilité peut entraîner la génération de clés cryptographiques faibles. Ces clés sont utilisées pour BitLocker, l’authentification biométrique et d’autres domaines de Windows.

Les mises à jour fournissent une solution de contournement pour les clés faibles. Une option permettant d’utiliser des clés générées par le logiciel. Une remédiation complète exige une mise à jour du firmware fournie par le fabricant de l’équipement.

La majorité des vulnérabilités traitées ce mois-ci concernent le moteur de script qui peut impacter à la fois les navigateurs et Microsoft Office.

Corriger cette vulnérabilité est une priorité sur les systèmes de type bureautique qui utilisent un navigateur pour la messagerie et pour accéder à Internet.

Mercredi 18 octobre, les chercheurs de Proofpoint ont détecté une pièce jointe Microsoft Word malveillante. Elle exploitait une vulnérabilité récemment corrigée d’Adobe Flash [CVE-2017-11292].

Pour finir, cette attaque serait l’œuvre d’APT28 (également connu sous le nom de Sofacy), un groupe parrainé par l’État russe.  Plusieurs cyberattaques leurs ont été attribuées, notamment contre TV5 Monde en 2015.

Les données de ciblage pour cette campagne sont limitées. Certains emails ont été envoyés à des entités gouvernementales et à des entreprises du secteur privé dans l’industrie aérospatiale.

Le ciblage géographique connu semble large, y compris en Europe et aux États-Unis. Vous trouverez plus de détails sur ce sujet sur le blog anglais Threat Insight de Proofpoint. Les informations seront mises à jour quotidiennement en fonction de l’évolution de la menace. (Avec Jimmy Graham dans The Laws of Vulnerabilities Qualys)

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, OS X

Patch Tuesday Mars 2016

Patch Tuesday Mars 2016 – Microsoft publie 13 bulletins, dont 5 sont considérés comme critiques. Même ambition de correction pour Adobe.

Ce mois-ci, la première place de notre classement du Patch Tuesday revient au bulletin MS16-023 consacré à Internet Explorer. Ce dernier résout 13 vulnérabilités, toutes classées comme critiques. L’exploitation de ces vulnérabilités critiques créé la situation la plus dangereuse, en l’occurrence l’exécution de code à distance (RCE) qui donne à l’attaquant le contrôle complet de la machine ciblée. Ces attaques contre Internet Explorer proviendraient de sites Web malveillants créés à dessein ou de sites inoffensifs servant de vecteurs et contenant les exploits destinés à infecter les visiteurs habituels.

Si vous êtes sous Windows 10 et que vous avez opté pour le navigateur Edge, le bulletin MS16-024 fait partie de vos priorités. 11 vulnérabilités au total dont 10 critiques indiquent que les chercheurs en sécurité ont concentré leur attention sur Edge, qui a lentement perdu du terrain sur Internet Explorer en termes de vulnérabilités. En décembre 2015, nous en étions encore à 30 contre 15 et maintenant, en mars, à 13 contre 11.

Le prochain bulletin sur la liste de ce Patch Tuesdsay est le MS16-029 qui contient une nouvelle version de Microsoft Word. Word est souvent utilisé pour véhiculer des exploits, à la fois dans des documents en ligne et dans des pièces jointes. Les vulnérabilités permettant à l’attaquant d’exécuter du code RCE pour contrôler les machines ciblées doivent être résolues dans les meilleurs délais.

Le groupe de vulnérabilités suivant concerne Windows Media Player (bulletin MS16-027), les polices OpenType (bulletin MS16-026) et la nouvelle visionneuse PDF Reader à partir de Windows 8 (bulletin MS16-028). Toutes ces failles sont critiques et facilitent l’exécution de code RCE. Elles s’attaquent toutes à des problèmes de formatage complexes, que ce soit dans le lecteur Windows Media Player avec le format vidéo MPEG, dans les polices OpenType avec une référence circulaire qui provoque une récursion ou dans la visionneuse PDF avec une vérification des limites qui fait défaut dans l’interpréteur PostScript. Le flot continu de vulnérabilités dans ces domaines indique le niveau de complexité des formats de médias que nous utilisons tous les jours.

Les bulletins restants résolvent des vulnérabilités classées comme « importantes ». Ces dernières entrent essentiellement en jeu lorsqu’une élévation de privilèges est sollicitée, une fois qu’une des vulnérabilités critiques a permis de s’introduire sur la machine ciblée. Vous devriez traiter ces vulnérabilités dans les 45 jours pour éviter ce type d’utilisation secondaire.

Microsoft n’est pas le seul éditeur à résoudre les problèmes de sécurité liés au format PDF. Adobe publie en effet une nouvelle version d’Adobe Reader dans sa mise à jour de sécurité APSB16-09 qui résout trois failles de sécurité critiques. Si vous utilisez Adobe Reader ou la suite Acrobat, il s’agit d’une priorité pour vous. Si vous suivez ces mises à jour, vous aurez remarqué l’absence de la mise à jour APSB16-08 (APS16-07 concernait Adobe Connect le mois dernier). Probablement une mise à jour de Flash reportée pour faire des tests supplémentaires ou y inclure un correctif de dernière minute pour une vulnérabilité en cours.

Et une première pour Apple ce mois-ci. Le célèbre client bit torrent « Transmission » a été infecté par un ransomware. Heureusement, ce client n’a été disponible en téléchargement que pour une durée de moins de 12 heures et Apple a rapidement révoqué son certificat de signature et mis à jour les signatures dans XProtect. Vérifiez néanmoins si Transmission 2.90 est sur votre réseau et isolez-le une fois découvert.

Aucune menace 0-Day ni vulnérabilité immédiatement exploitable ce mois-ci. Mais appliquez tous ces patches dès que possible et dans tous les cas. En effet, certains attaquants sont capables de convertir rapidement des vulnérabilités en exploits, souvent en moins de 10 jours. (Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities)