Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjour à tous,
Cette semaine dans APT Update, on revient sur les failles de sécurité, les bugs, les couacs, et tout ce qui mérite correction. Bonne lecture !
L'agenda
En réaction au Sommet de l'IA se tenant à Paris du 6 au 11 février (cf. l'agenda de la semaine dernière), le Théâtre de la Concorde accueillera ce lundi 10 février à 14h un
contre-sommet de l'IA : pour un humanisme de notre temps.
Opinion
Pour rester dans le thème du sommet (et du contre-sommet), cette semaine, j'ai choisi un édito de Gerald Holubowicz pour Synth, intitulé
L’éternelle frontière à dépasser. Il y est question d'avancées technologiques à marche forcée, mais surtout de limites qu'on dépasse l'une après l'autre, sans questionnement sur leur pertinence, sans regard pour les conséquences.
Il y a un peu plus d'un an, l'un de nos formateurs nous avait d'emblée annoncé que l'IA était indispensable au travail, et que désormais ceux qui ne pouvaient ou ne voulaient pas l'utiliser seraient évincés par ceux qui la maîtrisaient. Ce texte m'a fait penser à lui.
Pourtant l'IA n'est pas vraiment le cœur du sujet, mais plutôt un élément parmi d'autres dans une réflexion plus large sur notre rapport à la technologie. Et aussi sur ce que les meneurs de jeu sont prêts à faire – et à nous faire faire – pour avancer encore un pas plus loin. Droit dans le mur ?
Tendances
ça monte
Selon le rapport 2024 de JFrog Security Research, ce qui monte allègrement, c'est
le nombre de CVE (Common Vulnerabilities and Exposures) : de 29,000 en 2023, nous passons à plus de 40,000 en 2024, soit 38% d'augmentation.
Sans surprise,
le nombre de CVE exploitées augmente aussi, de l'ordre de 20%, avec 768 CVE exploitées pour la première fois en 2024.
Du même coup, le CISA (Cybersecurity and Infrastructure Security Agency), l'agence de sécurité des États-Unis, a mis à jour
son catalogue de KEV (Known Exploited Vulnerabilities), avec plusieurs vulnérabilités critiques activement exploitées.
ça descend
Le nombre de PC incompatibles avec Windows11 diminue avec le remplacement progressif dû à leur vieillissement, et pourtant
les utilisateurs rechignent obstinément à l'adopter. Probablement parce que contrairement aux versions précédentes, il leur manque une véritable raison de le faire...
Pannes et bugs
Windows11 24H2
Si aucune solution n'a été appliquée au
bug qui empêche les mises à jour de sécurité sur Windows11 24H2, Microsoft propose toutefois un contournement de ce problème qui affecte les systèmes installés à partir de CDs ou d'USB flash en même temps que les mise à jour cumulatives d'octobre ou novembre. Il est conseillé aux utilisateurs concernés de réinstaller Windows dans une version qui inclut déjà la mise à jour de décembre.
Cloudflare hors-service
Cloudflare est tombé en panne jeudi dernier. Le black-out est le résultat d'une erreur d'un employé répondant au signalement d'une URL liée à du phishing : au lieu de bloquer simplement l'URL, celui-ci a désactivé tout le service de passerelles, rendant les services associés indisponibles pendant une heure.
Bien que la mésaventure de Cloudflare implique indéniablement une erreur humaine, elle est due avant tout à l'absence de processus de validation des actions dont l'impact est conséquent.
En bref
Failles de sécurité
Failles humaines
On aurait pu s'en douter mais ça se confirme :
l'excès de confiance en soi constitue en fait une vulnérabilité. Le même pourcentage de cadres expriment leur confiance dans les capacités de leur organisation à déjouer les scams les plus élaborés, et reconnaissent que celle-ci a été victime d'une cyber arnaque. Ce qui prouve que leur confiance est mal placée.
Les personnes investies dans la sensibilisation aux risques cyber vont avoir de la peine : Nasdas,
un streamer sur Twitch, s'est laissé aller à demander au public de partager leur RIB pour toucher de l'argent… Et des gens dans le public ont partagé leurs données bancaires en direct. Il y a là quelque chose qui tient de l'échec collectif à prendre conscience des enjeux autour des données sensibles, mais qui n'enlève rien à la responsabilité individuelle du streamer : celui-ci avait déjà diffusé publiquement son numéro de carte bleue par le passé.
Dure semaine pour Microsoft
Internet Information Services, plus connu sous le nom de IIS, le serveur web de Windows, est concerné par deux problèmes de sécurité. L'une d'entre elles
remonte à six ans et est activement exploitée. Il s'agit d'une possibilité de RCE (exécution de code arbitraire), qui permet à l'attaquant d'installer un reverse shell pour accéder au système à distance. La vulnérabilité ne concerne que les serveurs qui n'ont pas été mis à jour. D'autre part, il existe une règle Yara pour détecter le reverse shell consécutif à la compromission.
CVE-2019-18935D'autre part, Microsoft avertit que
des clés ASP.NET trouvées en ligne dans la documentation et les dépôts, sont actuellement employées pour injecter du code malveillant sur les serveurs IIS.
Microsoft Internals, le système de troubleshooting de Windows, présente une
faille 0-day dans la façon dont il gère le chargement des DLL (Dynamic-Link Libraries), en priorisant des chemins d'accès insécures plutôt que ceux habituellement prévus par le système. Cela permet à un attaquant de loger un programme malveillant en lieu et place de l'exécutable légitime.
Moniker Link, une vulnérabilité critique, est
désormais exploitée sur Outlook. Il s'agit d'une validation incorrecte des entrées lors de l'ouverture d'emails contenant des liens malveillants, qui a déjà été corrigée lors de la mise à jour de sécurité de février 2024. Quand on vous dit de faire vos mises à jour… :)
CVE-2024-21413Outlook se trouve aussi indirectement impliqué dans l'exploitation d'une
vulnérabilité relevant de la corruption de mémoire dans les DLL d'OLE (Object Linking and Embedding). L'attaque implique d'envoyer un email contenant le code malveillant dans une pièce jointe en Rich Text Format. Lorsque l'utilisateur ouvre l'email dans Outlook, ou même utilise la pré-visualisation, le code s'exécute sans interaction (zero-click).
CVE-2025-21298Le remplacement de processus (process hollowing), qui consiste à charger du code malveillant dans un processus parfaitement légitime, visait souvent RunPE. Depuis l'arrivée de Windows11 (24H2), des modifications dans le chargement de Windows ont disrupté les habitudes, et généré de
nouvelles vulnérabilités à cette technique.
C'est décidément une bien mauvaise semaine pour Microsoft, qui a publié un avertissement à propos d'une
faille de sécurité sur l'authentification des comptes Microsoft. Il s'agit d'une possibilité de contourner les mécanismes d'authentification par le spoofing (l'usurpation) d'adresse IP ou de DNS (par empoisonnement du cache). Il est également possible d'exploiter une logique de validation défaillante en envoyant des requêtes malformées ou manipulées.
CVE-2025-21396Pas mieux pour Linux
Chez Microsoft, on se console probablement avec l'idée qu'en face, c'est pas mieux.
En effet, on sait depuis décembre dernier que Linux est touché par une faille critique sur la version 2.6.26 du kernel. Celle-ci est maintenant activement exploitée, et
a été ajoutée à la liste des KEV (Known Exploited Vulnerabilities) du CISA, lequel a également
ordonné aux agences gouvernementales états-uniennes d'appliquer les correctifs. La mise à jour est en effet
sortie ce mois-ci. Google a d'ailleurs annoncé avoir
corrigé cette vulnérabilité (parmi d'autres) sur Android lors de la mise à jour qui vient de sortir (piqûre de rappel : Android est basé sur Linux).
CVE-2024-53104On pourrait penser que désormais, les dégâts sont circonscrits aux retardataires sur les mises à jour. Les mauvais jours sont derrière nous, fin de l'histoire, on passe à autre chose ? C'est sans compter
la transition de Linux de C et C++ vers un mix C/Rust. Si C est connu pour être délicat à manier sur les questions d'allocation de mémoire, utiliser plusieurs langages ne fait pas l'unanimité chez les développeurs du projet Linux, pour qui cette démarche présente également des risques potentiels pour le kernel. Et pour ne rien arranger,
Linus Torvald préside aux débats avec sa diplomatie habituelle.
Du rififi sur le réseau
Cisco a corrigé
deux vulnérabilités critiques sur ISE (Identity Services Engine), le système d'authentification de ses appareils. L'une provient d'une faille dans la désérialisation, qui peut servir à obtenir un accès distant et une élévation de privilèges. L'autre est due à une API défaillante qui ne gère pas correctement la validation des entrées utilisateur et la vérification des identités, et peut être exploitée pour voler des données ou changer les configurations. Bien que très complémentaires, ces deux failles peuvent être exploitées indépendamment l'une de l'autre. Les correctifs sont à appliquer dès que possible, comme d'habitude.
CVE-2025-20124CVE-2025-20125Une 0-day critique et activement exploitée touche également
les vieux routeurs Zyxel. Et comme seuls des modèles obsolètes sont touchés, Zyxel n'a pas l'intention de sortir un correctif, et recommande à ses clients de remplacer leur vieux modèle par un récent. En attendant que les milliers de clients concernés se décident à investir, la plateforme de CTI GreyNoise a détecté des botnets – notamment Mirai – exploiter cette vulnérabilité.
CVE-2024-40891Netgear connaît également quelques problèmes avec ses routeurs wifi, dont certains sont touchés par une vulnérabilité de type RCE, et d'autres par une faille d'authentification. Il est fortement recommandé d'installer le firmware le plus récent.
PSV-2023-0039PSV-2021-0117En bref
Voilà, c'est tout pour cette semaine. Merci de votre intérêt et à la semaine prochaine !
