🔎 Cyberveille

Si Apple nous a gratifiés de toute une série de mises à jour un vendredi soir, ce n’est pas pour rien. Outre de nombreuses nouveautés, elles corrigent deux vulnérabilités de type « zero-day » qui ont pu être utilisées lors d’attaques ciblées.

Les deux failles, référencées sous les noms CVE-2025-43529 et CVE-2025-14174, touchent le cœur du système.

La première (CVE-2025-43529) concerne WebKit, le moteur de rendu de Safari. Il s'agit d'une faille de type use-after-free qui permet l'exécution de code arbitraire simplement en traitant un contenu web malveillant. La seconde (CVE-2025-14174) est une corruption de mémoire identifiée non seulement par les équipes d'Apple, mais aussi par le Threat Analysis Group de Google.

Microsoft révise entièrement son programme de primes aux chercheurs en sécurité. Désormais, même les failles détectées dans des logiciels tiers utilisés par l'entreprise pourront donner lieu à une rémunération.

Le gouvernement allemand accuse la Russie d'une série d'actions hostiles, allant des cyberattaques à l'ingérence dans les élections. En réaction, l'ambassadeur russe a été convoqué vendredi au ministère des Affaires étrangères.

Moscou serait à la fois à l'origine d'une cyberattaque massive contre le contrôle du trafic aérien allemand et d'une opération de désinformation lors des dernières élections législatives. Face à ces accusations, l'ambassadeur russe a été convoqué au ministère des Affaires étrangères.

Moins puissants que des groupes APT, ces collectifs ont pourtant ciblé l’industrie agroalimentaire, l’approvisionnement en eau et des organismes de régulation nucléaire. La CISA, équivalent américain de l’Anssi, a publié, le 9 décembre 2025, un avis de sécurité sur des attaques de groupes hacktivistes pro-russes visant des secteurs critiques aux États-Unis. Le rapport a été élaboré en collaboration avec des agences gouvernementales, des forces de police et des institutions judiciaires de quinze pays, dont la France. L’avis s’intéresse notamment aux cyberoffensives de CyberArmyofRussia_Reborn (CARR) et NoName057(16) contre les secteurs de l’eau, de l’énergie et de l’agroalimentaire.

Le ministère de la Défense américain a dévoilé le 8 décembre 2025 GenAI.mil, une nouvelle plateforme d’intelligence artificielle militaire fondée sur Gemini de Google. Elle doit doper la productivité des millions de salariés du Pentagone et préparer l’intégration de systèmes d’IA capables de gérer des données sensibles, voire classifiées. Le département de la Défense des États-Unis – renommé Département de la guerre, le 5 septembre 2025 – souhaite mettre Gemini, l’assistant IA de Google « directement entre les mains de chaque soldat américain ». C’est en tout cas ce qu’a assuré Pete Hegseth, le secrétaire à la Défense du pays le 9 décembre 2025 dans une vidéopubliée sur les réseaux sociaux, annonçant le lancement de GenAI.mil, une plateforme d’intelligence artificielle à vocation militaire.

Des vulnérabilités ont été découvertes dans le système d'authentification de Forticloud. En attendant l'application des correctifs, Fortinet recommande aux utilisateurs de désactiver le SSO.

...

Les failles, référencées CVE-2025-59718 et CVE-2025-59719, sont des vulnérabilités de signature cryptographique identifiées dans le système d'exploitation FortiOS qui fait fonctionner les équipements Fortinet, ainsi que dans Fortiweb, Fortiproxy et Fortiswitchmanager. Elles donnent la possibilité à un attaquant non authentifié de contourner l'authentification unique de connexion Forticloud SSO via un message SAML (security assertion markup language) spécialement conçu, si cette fonctionnalité est activée sur l'appareil.

Derrière la promesse pirate de voir le dernier film avec Leonardo DiCaprio se cache une menace sophistiquée capable de prendre le contrôle total de votre ordinateur.

Alors que le film One Battle After Another (Une bataille après l'autre) avec Leonardo DiCaprio est distingué par des récompenses, il est également au centre d'une campagne de malware. Les chercheurs de Bitdefender Labs dévoilent une chaîne d'infection dissimulée dans un faux fichier torrent du film pour du téléchargement pirate.

Les chercheurs en cybersécurité de Sentinel One ont mis en lumière le retour d’un groupe de hackers baptisé « CyberVolk ». Si cette résurgence, ainsi que les capacités d’automatisation du groupe, peuvent inquiéter, les chercheurs pointent aussi de grosses erreurs de conception qui permettent, parfois, de récupérer les fichiers chiffrés sans avoir à payer la rançon. Difficile de savoir précisément qui se cache derrière CyberVolk, ni au service de quels intérêts exacts le groupe agit. Traqué depuis fin 2024 par les chercheurs de l’entreprise de cybersécurité SentinelOne, ce collectif de hacktivistes à motivation politique semble porter des intérêts à la fois pro‑russes et pro‑indiens, en exploitant activement « les tensions géopolitiques actuelles pour lancer et justifier ses attaques contre des entités publiques et gouvernementales. »

Une enquête a été ouverte après la découverte de "l'existence d'activités suspectes visant des serveurs de messagerie" du ministère de l'Intérieur et des mesures ont été mises en oeuvre afin de "circonscrire la menace", a indiqué la place Beauvau jeudi à l'AFP, confirmant une information de BFMTV.

Un chercheur en sécurité alerte que de nombreuses applications .NET seraient vulnérables à l'écriture de code malveillant dans des fichiers à cause de classes de proxy http de .NET acceptant des URL non http. Malgré le problème, Microsoft ne prévoit pas de le corriger dans l'immédiat.

A l’occasion de la Black Hat en Europe qui s’est tenue à Londres du 8 au 11 décembre, Piotr Bazydło un chercheur de chez WatchTowr, société spécialisée en sécurité, a présenté une vulnérabilité dans les proxy http créés dans du code .NET. Le problème vient d’un comportement inattendu donnant aux attaquants la capacité d’écrire du code malveillant dans les fichiers. Il ouvre aussi la voie à de l’exécution de code à distance via des web shells et des scripts PowerShell malveillants dans de nombreuses applications .NET. En l’espèce, l’expert à dénicher des failles RCE dans Barracuda Service Center, Ivanti Endpoint Manager, Umbraco 8 CMS, PowerShell et SQL Server Integration Services de Microsoft.

Dans une prise de parole aussi franche qu'inattendue, le géant de l'IA jette un pavé dans la mare : ses propres technologies futures pourraient devenir des outils de cyberattaques sophistiqués.

OpenAI prévient que ses futurs modèles d'IA atteindront probablement un niveau de risque « élevé » en cybersécurité. Face à des capacités offensives en forte hausse, la firme renforce ses mesures de protection et appelle à une collaboration accrue de l'industrie pour encadrer cette technologie à double tranchant.

OpenAI a officiellement tiré la sonnette d'alarme. Dans un rapport récent, le créateur de ChatGPT avertit que ses prochains modèles d'intelligence artificielle sont sur une trajectoire qui les mènera à présenter un risque « élevé » en matière de cybersécurité.

La région Hauts-de-France annonce la mise en place d’un « plan massif » pour sécuriser les systèmes d’information de ses lycées après la cyberattaque du 10 octobre.

Les extensions de navigateur malveillantes restent un angle mort pour les équipes de cybersécurité de nombreuses organisations. Elles sont devenues un incontournable de l’arsenal des cybercriminels, utilisées pour le vol de sessions et de comptes, l’espionnage, le masquage d’autres activités criminelles, la fraude publicitaire et le vol de cryptomonnaies. Les incidents très médiatisés impliquant des extensions malveillantes sont fréquents, allant de la compromission de l’extension de sécurité Cyberhaven à la publication massive d’extensions de voleurs d’informations.

Les extensions sont attrayantes pour les pirates informatiques, car elles disposent d’autorisations et d’un accès étendu aux informations contenues dans les applications SaaS et les sites Internet. Comme il ne s’agit pas d’applications autonomes, elles échappent souvent aux stratégies de sécurité et aux outils de contrôle standard.

L’équipe de sécurité d’une entreprise doit s’attaquer à ce problème de façon systématique. La gestion des extensions de navigateur nécessite une combinaison d’outils de gestion des stratégies ainsi que des services ou utilitaires spécialisés dans l’analyse des extensions. Ce sujet était au cœur de l’intervention d’Athanasios Giatsos lors du Security Analyst Summit 2025.

Nous avons récemment présenté la technique ClickFix. Aujourd’hui, des acteurs malveillants ont commencé à déployer une nouvelle variante de cette méthode, baptisée « FileFix » par les chercheurs. Le principe fondamental reste le même : utiliser des techniques d’ingénierie sociale pour inciter la victime à exécuter à son insu un code malveillant sur son propre appareil. La différence entre ClickFix et FileFix réside essentiellement dans l’endroit où la commande est exécutée.

Avec ClickFix, les pirates persuadent la victime d’ouvrir la boîte de dialogue Exécuter de Windows et d’y coller une commande malveillante. Par contre, dans le cas de FileFix, les cybercriminels manipulent la victime en lui faisant coller une commande dans la barre d’adresse de l’Explorateur de fichiers Windows. Du point de vue de l’utilisateur, cette action ne paraît pas anormale : la fenêtre de l’Explorateur de fichiers est couramment utilisée, ce qui rend son utilisation moins susceptible d’être perçue comme dangereuse. Par conséquent, les utilisateurs qui ne connaissent pas cette technique sont nettement plus susceptibles de se faire piéger par l’escroquerie FileFix.

Le framework open source de détection et d'extraction de type de contenu a été corrigé cet été pour les formats PDF. Mais la faille dans Tika s'étend à d'autres modules, soulignent les responsables du projet.

La vague de cyberattaques contre les serveurs ESXi survenue le 3 février 2023, avec un rançongiciel baptisé ESXiArgs, a rappelé douloureusement la réalité de la menace pesant sur les infrastructures de virtualisation. Mais elle est loin d’être nouvelle.

Il y a une très bonne raison à cela : frapper un serveur de virtualisation, ça veut dire affecter toutes les machines virtuelles qui s’y exécutent, d’un seul coup. C’est donc le gage d’un fort impact, d’une perturbation significative de l’activité de sa victime. À la clé, pour le cybercriminel, une potentialité renforcée d’obtenir le paiement de la rançon qu’il demande.

Les dernières révélations sur LockBit 3.0 soulignent la manière dont les ex-Conti se sont disséminés, faisant tomber les lignes historiques entre enseignes de ransomware, les reléguant au rôle d’écrans de fumée.

Un piratage informatique a visé un Ehpad de Champdeniers-Saint-Denis, lundi 8 décembre 2025. La direction précise que la continuité des soins n’a pas été affectée. Les familles ont été alertées de risques d’usurpations d’identité.

Dans le cadre de la préparation de l'offre Thunderbird Pro attendue pour 2026, l'équipe de Thunderbird a sollicité des prestataires externes pour réaliser un audit de sécurité de Thunderbird Send, son futur service de partage de fichiers. Cet audit a permis d'identifier et de corriger plusieurs vulnérabilités importantes.

Avec l'abonnement Thunderbird Pro, Thunderbird souhaite proposer une suite complète de services respectueux de la vie privée. Parmi ces services, Thunderbird Send aura un rôle à jouer, notamment pour le partage des pièces jointes : cet outil permettra le partage de fichiers volumineux avec un chiffrement de bout en bout. Il faut le considérer comme l'héritier de Firefox Send.

Microsoft a publié son Patch Tuesday de décembre 2025, soit le dernier de l'année 2025 ! Au total, 57 failles de sécurité ont été corrigées dans les produits et services Microsoft, dont 3 failles zero-day. Voici un récapitulatif

Ce Patch Tuesday contient beaucoup de vulnérabilités importantes, dont 19 vulnérabilités permettant une exécution de code à distance, mais seulement 4 sont considérées comme critiques :

• Microsoft Office : CVE-2025-62554, CVE-2025-62557
• Microsoft Outlook : CVE-2025-62562
• Windows - GDI+ : CVE-2025-60724

[paywall🔒] Enquête En utilisant des données publicitaires d’accès facile, « Le Monde » a pu déterminer avec certitude ou un haut niveau de probabilité l’identité, le domicile et les habitudes de plusieurs dizaines de salariés ou fonctionnaires d’entités sensibles.

...

La faute incombe à une industrie publicitaire boulimique, opaque et hors de contrôle qui extrait chaque jour des smartphones des milliards de données personnelles, et notamment des déplacements précis à quelques mètres près, avant de les revendre. A moins d’une hygiène numérique à toute épreuve, il est difficile de lui échapper.

09.12.2025 - Les cybercriminels utilisent les mécanismes des processus de recrutement pour instaurer une relation de confiance et manipuler le public cible. Des offres d’emploi attrayantes publiées sur des profils falsifiés paraissent tellement authentiques que personne ne s’en méfie. L’espoir d’une carrière prometteuse peut entraîner un comportement irréfléchi. Les escrocs en profitent pour passer à l’attaque.

Microsoft a publié des correctifs pour 57 failles en décembre 2025. Parmi elles, 3 vulnérabilités sont considérées comme critiques (toutes des exécutions de code à distance), et le reste est classé Important (aucune n’est classée Modéré ou Faible ce mois-ci). Aucune mise à jour de Microsoft Edge n’est incluse dans ce bilan, les correctifs Edge (15 failles) ayant été diffusés plus tôt séparément. Ce Patch Tuesday comprend également 3 failles de type “zero-day” (c’est-à-dire divulguées ou exploitées avant correctif) : 1 vulnérabilité activement exploitée et 2 publiquement divulguées.

WhatsApp vous espionne silencieusement via vos accusés de réception : des chercheurs viennent de prouver qu'on peut connaître vos horaires de sommeil sans que vous le sachiez Meta savait depuis septembre 2024 que sa faille de sécurité permettait de vider 18% de batterie par heure, mais n'a rien fait Un chercheur a créé un outil libre et gratuit pour tracer n'importe quel numéro WhatsApp en temps réel, et c'est légal si vous le testez sur vous-même

...

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

• L'IA a fait en 4 jours ce que 3 ans d'audits humains n'ont pas vu : une faille de base qui menaçait les satellites de la NASA, le James Webb et les rovers martiens
• 37 vulnérabilités découvertes dans l'écosystème spatial en une année : le code ouvert critique des missions spatiales est devenu un gruyère de sécurité
• Des chercheurs ont montré qu'on pouvait modifier l'orbite d'un satellite sans que le contrôleur au sol ne s'en aperçoive : bienvenue dans l'ère où pirater l'espace devient possible

...

La faille découverte au bout de 4 jours d’analyse, se trouvait dans CryptoLib , une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du CCSDS , qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.