Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjour,
Aujourd'hui, on prend connaissance de quelques unes des failles de sécurité de la semaine.
Et n'oubliez pas de faire vos mises à jour !
L'agenda
Jusqu'au 28 mai,
Microsoft offre une formation certifiante gratuite en ligne sur l'intelligence artificielle, dans le cadre de son AI Skills Fest.
Jusqu'au 21 septembre au Jeu de Paume, 1 place de la Concorde, Jardin des Tuileries, Paris 1er se tiendra l'exposition
Le Monde selon l'IA, autour de "la question de l’expérience du monde « selon l’IA » ou « au prisme de l’IA »". Des conférences ponctuelles accompagneront l'événement.
Sur réservation, plein tarif à 12€
Pannes et bugs
T-Mobile
Révélé initialement par Media404,
ce bug chez T-mobile, un opérateur mobile est assez insolite pour être mentionné : les parents utilisateurs de SyncUP (un service de géolocalisation) ont eu la surprise, non seulement de perdre contact avec leurs enfants, mais de recevoir les informations d'inconnus à la place. En termes de protection des données, c'est un exemple à ne pas suivre...
Microsoft
Alors que la mise à jour Windows 10 KB5055518 apporte une
solution au bug qui causait des impressions de texte aléatoire, c'est maintenant la mise à jour KB5055523 pour Windows 11 et Windows Server 2025 qui dans certains cas d'usage
empêche de se connecter via Windows Hello. En attendant un patch, en cas de blocage, il est conseillé de refaire la configuration du service.
Les abonnés à
MS365 Famille connaissent eux aussi des difficultés d'accès au service, soit au moment d'accéder à leur compte, soit en essayant d'ouvrir leurs applications. Selon Microsoft, il s'agit d'un problème de licence.
Failles de sécurité
Chipset
Rude semaine chez les leaders du marché :
le microcode de certains processeurs EPYC et Ryzen de chez AMD permet de falsifier la signature de vérification du microcode, et de charger des mises à jour illégitimes. Il en résulte une compromission de l'intégrité des instructions à exécuter, une exposition de données à l'accès restreint, et une possibilité de détourner le SMM (le mode de gestion du système).
Des patches ont été publiés pour mitiger ces risques.
Le précédent patch pour
NVIDIA Container Toolkit (un toolkit pour les conteneurs sous environnement Linux, et qui permet notamment une accélération du GPU) s'est avéré insuffisant, ce qui met en lumière la difficulté de sécuriser les systèmes conteneurisés. La faille réside dans une possible exploitation du TOCTOU (Time-Of-Check Time-Of-Use) menant à une exécution de code arbitraire, une élévation de privilèges, un déni de service et/ou une fuite données.
CVE-2024-0132Réseaux
On commence par la connexion assurée entre continents par
câbles sous-marins. Ceux-ci restent vulnérables à une attaque par sous-marin coupe-câble. Dans le contexte international tendu de ces dernières années, l'Europe a déjà mis en place des dispositifs de protection de l'infrastructure (MIE / CEF) dont une partie des fonds seront mobilisés en faveur des câbles sous-marins. Cependant, les opérateurs appellent à une mobilisation plus vaste, coordonnant plus efficacement à la fois l'UE, le Royaume-Uni et l'OTAN.
Du côté des équipements réseau, les commutateurs
FortiSwitch de chez Fortinet, dans les versions 6.4.0 à 7.6.0 , présentent une faille qui permet à un attaquant de changer le mot de passe admin à distance, sans authentification ni interaction avec un utilisateur. Un patch est disponible, à appliquer dès que possible.
CVE-2024-48887Chez SonicWall, ce sont
les VPN NetExtender pour Windows qui présentent de multiples failles de sécurité :
La
CVE-2025-23008 couvre une mauvaise gestion des droits qui permet à un utilisateur peu privilégié de modifier les configurations.
La
CVE-2025-23009 est une élévation de privilèges en local, qui permet un effacement arbitraire de fichiers.
La
CVE-2025-23010 consiste en une résolution de liens défectueuse, qui permet à un attaquant de manipuler les chemins d'accès.
SonicWall recommande de passer au plus vite à la version 10.3.2 ou ultérieure.
Du côté des pare-feux de Palo Alto,
PAN-OS présente une vulnérabilité dans son système d'authentification, qui peut mener à un déni de service. Un patch est disponible.
D'autre part, une autre faille a trouvée dans les
PAN-OS VM-Series, qui permet à un attaquant ayant gagné des droits d'admin de progresser jusqu'aux privilèges root pour lancer des commandes arbitraires.
CVE-2025-0128CVE-2025-0127Du côté des objets connectés
Le système de connexion et de contrôle des écosystèmes IOT
TP-Link Tapo H200
stocke les identifiants wifi en clair. Un attaquant avec un accès physique à l'appareil peut en prendre connaissance.
CVE-2025-3442Failles des outils de développement
La plateforme CI/CD
Jenkins, qui permet d'automatiser le développement, est affectée par deux vulnérabilités liées à la génération automatique des clés SSH durant la création d'image pour Debian ou Docker : tous les conteneurs construits à partir de la même image partagent les mêmes clés, ce qui facilite l'accès non autorisé au réseau pour un attaquant. Il est recommandé de passer à la version 6.11.2, qui efface les clés SSH pré-générées durant la création d'image, et en génère de nouvelles pour chaque conteneur.
CVE-2025-32754CVE-2025-32755Systèmes d'exploitation
Deux des systèmes d'exploitation de Cisco, IOS Software et IOS XE,
restent vulnérables en dépit d'un patch publié il y a sept ans mais toujours pas appliqué dans de trop nombreux cas (NDLR : faites vos mises à jour dès leur sortie !). Il s'agit d'une faille de design dans le protocole Smart Install, qui ne requiert pas d'authentification par défaut, et dont le service associé passe par le port TCP 4786, qui est fréquemment exposé à internet. Une mauvaise configuration peut donc avoir pour conséquences une exécution de code arbitraire ou un déni de service par création d'une boucle infinie.
CVE-2018-0171Le CISA (l'équivalent états-unien de l'ANSSI) a ajouté
deux failles du kernel Linux à sa liste des vulnérabilités connues exploitées (KVE). La
CVE-2024-53197 et la
CVE-2024-53150 se situaient sur le pilote USB-Audio. Elles ont été corrigées avec la dernière mise à jour.
Par ailleurs, une faille a été découverte dans la distribution
Ubuntu version 22.04 LTS et antérieures. Elle a pour origine le contenu XML de Yelp, le système d'aide à l'utilisateur de GNOME, et permet l'exfiltration de données sensibles, comme les clés privées SSH.
CVE-2025-3155Google a patché 62 vulnérabilités
sur Android, dont les deux failles zero-day évoquées plus haut sur le kernel Linux (pour rappel, Android est construit sur le noyau Linux). Il semblerait que certaines de ces failles aient constitué le point d'entrée pour la tentative d'installation d'un spyware sur le téléphone d'un activiste par la police serbe.
Microsoft Patch Tuesday
Le
Patch Tuesday a été particulièrement fourni, avec 134 vulnérabilités corrigées sur différents produits Microsoft, dont une zero-day déjà exploitée sur le pilote CLFS (Common Log File System) de Windows, exploitable par un attaquant local pour une élévation de privilèges en tant que System.
CVE-2025-29824Les IA génératives
De plus en plus utilisés comme une aide au développement, les LLM générateurs de code posent certains problèmes liés aux hallucinations, comme leur tendance à
inventer des noms de packages qui n'existent pas. En principe, un nom de package qui n'existe pas devrait simplement générer un message d'erreur… Sauf si un acteur malveillant en profite pour uploader un malware au nom de l'hallucination générée par l'IA. Auquel cas le code généré sera compromis d'une manière assez délicate à repérer pour le développeur.
L'IA agentique produit elle aussi une nouvelle vulnérabilité :
l'excès agentique (excessive agency), qui se décline en fonctionnalités excessives (quand l'agent a accès à des fonctions, APIs ou plugins bien au-delà de son périmètre), permissions excessives (quand l'agent a des permissions superflues) et autonomie excessive (quand l'agent agit de façon imprévisible, ou au-delà de ses limitations opérationnelles et éthiques).
Une vulnérabilité critique a été trouvée dans le framework Python
BentoML, qui sert à construire des services en ligne dotés d'une IA. Il s'agit d'une faille qui laisse des attaquants prendre le contrôle des serveurs qui hébergent ce service, et exécuter du code arbitraire.
CVE-2025-27520Le même type de vulnérabilité frappe aussi l'AI builder
Langflow.
CVE-2025-3248Dans les deux cas, la vulnérabilité est patchée, et il est urgent d'effectuer la mise à jour vers la version la plus récente du framework.
Voilà, c'est tout pour cette semaine. RDV la semaine prochaine pour faire un petit tour des cybermenaces.
Merci de m'avoir lue et à bientôt j'espère :)
