Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjour, cette semaine, focus sur les failles de sécurité !
Opinion
Il y a des articles faciles à chroniquer parce que factuels. D'autres parce qu'ils vont droit au but, ou à tout le moins se fendent d'une démonstration linéaire et relativement dépouillée.
Pas celui-ci. Il y est question du tintamarre médiatique autour de la modération de Meta, et aussi de l'improbable rapprochement Trump-Zuckerberg, mais pas seulement. C'est plutôt l'occasion d'évoquer le verbe trumpiste et les réseaux sociaux en tant que caisse de résonance. Pour ce faire sont convoquées les notions de performativité et de réverbération. Notre rapport aux réseaux sociaux y est questionné au moins autant que leur rapport à la réalité, avec une plume d'une qualité rare.
Tendances
CES 2025 : les innovations qui ont retenu l'attention
Il y a eu un bonus à l'originalité dans les compte-rendus du CES cette année.
Usbek&Rica met à l'honneur un camping-car hyperconnecté, une guitare assistée, ou un stéthoscope crânien qui permet de diagnostiquer les troubles neurologiques avant l'apparition des symptômes : à cette dernière exception près, je n'ai pas trouvé leur sélection renversante mais chacun ses goûts…
The Verge en revanche nous en met plein la vue : une veste-panneau solaire dotée de LEDs et d'un port USB-C pour recharger le téléphone, un arbre à chat connecté avec une place chauffante qui pèse l'animal et mesure son temps de sieste, un robot en fourrure qui garde votre sac, etc. La bague en or connectée par contre, on voudrait bien savoir ce qu'elle fait. Parce que si c'est pour surveiller en douce la personne à qui elle est offerte, c'est
un peu creepy :/
Pannes et bugs
Microsoft
Alors qu'avant les fêtes de fin de fin d'année, Microsoft avait voulu améliorer le modèle d'IA de Bing Image creator, il lui a fallu se rétracter et
revenir au modèle précédent devant les réactions négatives du public. Il semblerait que les tests en interne ne rendent qu'une idée approximative de l'expérience utilisateur en ce qui concerne la génération d'images : il y a un an, la même mésaventure était arrivée à Gemini.
Côté bonnes nouvelles,
le bug qui touchait Outlook a été résolu. Alors que l'appli persistait à freezer à chaque utilisation du raccourci Ctrl+c par les clients de MS365, l'équipe de développement a implémenté une solution qui sera disponible à tous dans le courant du mois.
Interruption des services de Proton
Le 9 janvier,
l'ensemble des services Proton est tombé. En cause, un changement de logiciel opéré au même moment qu'une migration vers Kubernetes, laquelle sollicitait deux infrastructures au même moment, rendant de fait la redondance des serveurs inopérante.
Alors que la plupart des services ont été rétablis en quelques heures, les mails et le calendrier ont mis plus de temps, restant indisponibles pour la journée.
Malgré ces désagréments,
aucune fuite de données n'a été occasionnée par l'incident.
En bref
Failles de sécurité
Contre-attaque des chercheurs de The Shadowserver Foundation et de WatchTowr Labs
Cette équipe de sécurité offensive a hijacké près de 4,000 portes dérobées abandonnées mais toujours actives en rachetant les noms de domaines expirés qui servaient à les contrôler.
Liées à l'origine à des APT, ces backdoors étaient installées sur des systèmes susceptibles de contenir des informations sensibles, comme ceux d'universités ou de gouvernements.
Les e-mails : une vulnérabilité sous-estimée
Des millions de
serveurs mails à travers le monde restent vulnérables à ce jour, parce que les protocoles utilisés – POP3 pour télécharger les messages sur un client mail et IMAP pour les consulter directement sur le serveur – ne bénéficient pas d'un chiffrement TLS.
C'est un peu l'équivalent de consulter le web avec un protocole HTTP au lieu de HTTPS : toutes vos communications avec les serveurs web consultés circulent en clair.
The Shadowserver Foundation – encore elle – presse les organisations concernées de remédier au problème au plus vite en activant le chiffrement TLS, et d'employer aussi tous les moyens à leur disposition pour renforcer leur posture de sécurité.
Le rapport Zivver va dans le même sens. Alors que d'une part le RGPD, DORA et NIS2 exigent un management rigoureux du système d'informations et des risques liés, et que d'autre part les e-mails sont une pierre d'achoppement de la communication professionnelle, considérés comme "importants" par 93 % des employés interrogés, la gestion de leur sécurité semble, au mieux, inadéquate : contournement de la politique de sécurité par les employés, priorités inadéquates par rapport à la gravité et la probabilité des risques, incidents de sécurité non rapportés à l'équipe IT… Les e-mails sont un angle mort de la politique de sécurité alors qu'ils restent quotidiennement utilisés.
Les vulnérabilités VPN
La
faille de sécurité des VPN Ivanti a beaucoup retenu l'attention de la presse spécialisée cette semaine. Peut-être parce que ce n'est pas la première.
Il s'agit d'une vulnérabilité critique (CVSS : 9.0) de type stack buffer-overflow, qui peut être exploitée sans authentification sur les solutions Policy Secure et Neurons for ZTA et peut mener à des RCE.
Mandiant, spécialisée dans la cyber threat intelligence, déclare observer l’exploitation de cette faille sur la gamme Connect Secure depuis décembre dernier, et soupçonne de ce fait deux groupes liés à la Chine et ayant déjà installé des malwares sur ces produits.
Un patch est disponible pour les produits Connect Secure, il faudra attendre le 21 janvier pour les autres gammes.
Une seconde vulnérabilité, du même type mais moins grave (CVSS : 7.0), ne semble pas être exploitée pour le moment.
CVE-2025-0282CVE-2025-0283Autre VPN vulnérable,
la fonction VPN SSL du pare-feu Sonicwall souffre d'un défaut de son mécanisme d'authentification qui permet à l'attaquant de le contourner. La dernière mise à jour contient les correctifs pour cette faille et pour plusieurs autres. Il faut l'appliquer au plus vite.
CVE-2024-53704Système de démarrage obsolète et séquençage ADN
Ce n'est probablement ce qui vient à l'esprit en premier quand on pense "failles de sécurité", mais
un BIOS ou un UEFI obsolète peut poser un problème majeur de sécurité des données lorsque le démarrage s'opère sans les mesures standard de protection en écriture. C'est ce que Eclypsium a mis en lumière en analysant l'appareil iSeq100 da chez Illumina, dont le BIOS dépassé se lançait en Compatibility Support Mode, laissant la possibilité à un attaquant de ré-écrire les données, ou tout simplement de les collecter.
Plutôt ennuyeux, pour un appareil de séquençage ADN utilisé dans la détection de maladies et le développement de vaccins…
Faille 0-clic sur les téléphones Samsung
En septembre dernier, les chercheurs de Google ont identifié une
vulnérabilité critique sur les décodeurs audio Monkey utilisés dans les Galaxy S23 et S24Elle n'est révélée que maintenant parce que le patch est sorti.
Il s'agit d'une vulnérabilité au buffer-overflow, pouvant être exploitée à distance sans interaction avec l'utilisateur.
Failles de navigateur
Chrome et Firefox ont besoin d'une mise à jour dans les plus brefs délais. Leurs dernières versions corrigent des vulnérabilités critiques :
- La CVE-2025-0291, de type corruption de mémoire ('type confusion'), touche le moteur JavaScript de Chrome, et permet d'exécuter du code malveillant via une page HTML, ou de lancer une attaque par déni de service.
- La CVE-2025-0244 est une faille de redirection d'URL affectant Firefox sur les terminaux Android, et permettant la redirection d'une requête vers un site frauduleux.
En bref
C'est tout pour aujourd'hui, à la semaine prochaine !
