Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjour à tous, cette semaine on liste les principales vulnérabilités en cours !
L'agenda
Depuis le 15 mars et jusqu'au samedi 22 mars, les villes de Mourenx et Orthez (Pyrénées-Atlantiques) accueillent la semaine De(s)Connexions. Entrée libre et gratuite, résevation conseillée pour les spectacles et ateliers,
programme et renseignements pratiques disponibles ici.
En ligne
Le 20 mars de 11h à 17h, le webjournal DarkReading organise
Cybersecurity's Most Promising New and Emerging Technologies, une série de tables rondes en ligne. Gratuit sur inscription.
Opinion(s)
Tristan Nitot fait un peu de sémantique, et nous explique pourquoi il préfère
l'autonomie stratégique à la souveraineté.
Justement, le Comptoir Open-Source énumère les raisons pour lesquelles
les logiciels FOSS devraient devenir la norme dans l'éducation, et le développement de l'autonomie numérique n'y est pas pour rien.
Pannes et bugs
Google
Suite à un problème de certificat expiré, Google a publié en urgence un avertissement aux utilisateurs de
Chromecast modèle H2A2 et H2B2, et Chromecast Audio modèle N0A6 : ne pas réinitialiser aux paramètres d'usine, sous peine de générer des problèmes d'authentification. Une résolution du problème est en cours.
La dernière mise à jour des téléphones Android Pixel 9 a causé chez certains utilisateurs
l'arrêt du fonctionnement du scanner d'empreintes. Une solution provisoire consiste à éteindre le téléphone quelques secondes avant de le redémarrer.
De nombreux utilisateurs de
Messages, l'appli d'échanges de messages SMS, MMS et RCS de Google, rencontrent des problèmes divers : chargement ralenti ou impossible, images floues, arrêt inopiné de l'appli… Google a publié un message à l'endroit des utilisateurs, demandant de faire remonter les détails à propos des incidents rencontrés.
Windows
Suite à la mise à jour optionnelle KB5050092 sur Windows 10 et 11, les utilisateurs
d'imprimantes USB sont confrontés à un bug qui fait imprimer du texte aléatoire. Microsoft a identifié l'origine du problème, et promet une résolution complète dans une prochaine mise à jour.
X (ex-Twitter)
Après une
attaque massive par déni de service distribué lundi dernier sur son réseau X, Elon Musk a donné une interview sur FoxNews pour accuser l'Ukraine d'être derrière l'attaque. Il s'est avéré ensuite que les vrais auteurs en étaient un groupe hacktiviste pro-palestinien du nom de Dark Storm Team, mais ce qui est réellement mis en lumière par cette affaire, c'est l'affaiblissement de la cybersécurité sur ce réseau après la réduction drastique des effectifs organisée par Musk. En effet, plusieurs des serveurs tombés lors de l'attaque n'étaient simplement pas protégés.
Failles de sécurité
Apple
Microsoft
En conclusion, n'oubliez pas de faire les mises à jour publiées mardi ! Elles contiennent
57 correctifs, et couvrent 6 zero-day.
Du côté des codeurs
Failles des solutions de sécurité
- Bitdefender Box est affecté par deux vulnérabilités critiques sur sa v1. Il s'agit d'un risque de RCE et de MitM (CVE-2024-13871 et CVE-2024-13872).
- Une faille critique d'une gravité de 9.9/10 a été découverte dans Kibana. Il s'agit d'une possibilité d'exécuter du code arbitraire par pollution de prototype. Seules les instances hébergées sur Elastic Cloud sont concernées. Un correctif est disponible, à appliquer rapidement (CVE-2025-25015).
- La solution de reprise après sinistre de Veritas Arctera InfoScalesouffre d'une désérialisation insécure de données potentiellement non fiables, qui peut être exploité pour exécuter du code malveillant. Cette faille critique a été estimée à 9.8/10 (CVE-2025-27816).
- Le logiciel SolarWinds Web Help Desk présente une faiblesse cryptographique qui peut mener au déchiffrement des bases de données par des attaquants. Cette faille a a été corrigée dans la version 12.8.5 (CVE-2024-28989).
Vulnérabilités d'applis web et de libs
- Meta avertit de l'exploitation d'une faille de sécurité dans la librairie FreeType. Celle-ci pourrait causer une exécution de code arbitraire. Les versions après 2.13.0 ne sont pas concernées (CVE-2025-27363).
- Dans ses versions de 11.9.0 à11.35.1, le framework Laravel comporte une vulnérabilité XSS lorsqu'il est utilisé en conditions de développement, ce qui peut mener à l'exécution de code JavaScript malveillant (CVE-2024-13918).
- De nombreuses vulnérabilités ont été relevées sur les serveurs Apache cette semaine : des possibilités de RCE sur Tomcat
et sur le composant Camel, des identifiants mal protégés sur le système de traitement de données NiFi, un système d'authentification contournable surApache Pinot et diverses failles touchant Apache Traffic Server.
Faille dans la chaîne d'approvisionnement du système hospitalier britannique
L'entreprise Medefer est un fournisseur régulier
du NHS (National Health System). Une de leurs API mal configurées laissait depuis au moins 6 ans la possibilité d'obtenir des données médicales sensibles sans autorisation particulière. L'enquête est en cours, mais les premiers résultats laissent entendre qu'il est peu probable que cette faille ait été exploitée.
Hygiène numérique
A l'occasion du Digital Cleanup Day qui a eu lieu cette semaine, Kingston, vendeur de solutions de stockage, propose quelques
recommandations pour une gestion plus durable des données et une cybersécurité renforcée.
Les exigences de Google concernant la compatibilité des extensions à Manifest V3 pour rester disponibles dans Chrome ont pour conséquence de rendre indisponibles la plupart des adblockers, et notamment Ublock Origin, au profit d'une pâle copie bien moins efficace. C'est ballot…
Heureusement, il existe
quelques contournements qui permettront, au moins pour un temps, de garder votre adblocker préféré. Pour rappel, il s'agit d'une protection efficace contre le malvertising.
Le débat contradictoire de la semaine : l'IA dans la cybersécurité
INE, un organisme de formation et de certification en cybersécurité, a lancé
une initiative pour aider les organisations à repenser leur approche de la cybersécurité et la formation continue de leur équipe en fonction de l'IA. Il s'agit de tirer parti des avantages de l'IA en cyberdéfense sans se reposer excessivement sur l'automatisation dans un contexte où les cybermenaces seraient de plus en plus boostées à l'IA.
Or au même moment, la
sortie du red report 2025 apporte un reality-check à la hype autour de l'usage de l'IA dans les attaques : aucune preuve n'a été apportée de nouveaux malwares à base d'IA en 2024, et si les attaquants utilisent l'IA pour automatiser et les tâches (comme c'est le cas en cyberdéfense), ils ne s'en sont pas servis pour révolutionner leurs tactiques. Au contraire, le top de leurs techniques sont restées d'origine humaine. Comme côté défense, l'IA est donc plus un gain d'efficacité qu'un game-changer.
Quant aux risques de failles de sécurité liés à des IA vulnérables, c'est à surveiller, mais reste marginal tandis que l'écrasante majorité des points d'entrée est encore d'une nature conventionnelle, comme un serveur non patché.
C'est tout pour cette semaine. Un grand bravo à celles et ceux qui sont parvenus jusqu'ici, la semaine des failles de sécurité, c'est toujours un peu aride. Même moi JPP :D
La semaine prochaine, on se penchera sur les cybermenaces les plus intéressantes du moment. D'ici là, prenez soin de vous...