Dans cet article Anthony, formateur Hacking et Sécurité, présente les failles de sécurité les plus critiques observées cette année (jusqu’en octobre 2025). Une faille est dite critique lorsqu’elle permet à un attaquant d’obtenir un accès à distance au système, parfois même sans authentification.

L’impact est évalué à l’aide du référentiel « Common Vulnerabilities and Exposures » et du « Common Vulnerability Scoring System », noté de 0 à 10 ; au-delà de 9, on parle généralement de vulnérabilité critique. Comme des dizaines de nouvelles failles sont publiées chaque jour, il est impossible d’être exhaustif, et la médiatisation ne reflète pas toujours la gravité réelle.

Souvenez-vous, il y a un peu plus d’un an, Free a subi une cyberattaque ravageuse qui a permis de dérober certaines informations de ses clients et notamment leurs IBAN. Ces précieuses données personnelles sont aujourd’hui utilisées par des acteurs malveillants qui ont lancé une campagne de phishing.

Quatre pays européens, la France, l'Allemagne, l'Italie et les Pays-Bas, ont annoncé mercredi la création d'un consortium qui aura pour but de développer des infrastructures numériques souveraines dans la cybersécurité, l'IA et le cloud.

Dans les dernières semaines, le Centre pour la cybersécurité et la Gendarmerie royale du Canada ont reçu plusieurs signalements d'incidents liés à des systèmes de contrôle industriels (SCI) accessibles depuis Internet. L'un des incidents touchait une installation de traitement de l'eau. Des valeurs de pression d'eau ont été trafiquées, ce qui a entraîné une dégradation du service dans le secteur desservi par cette installation. Un autre incident s'est produit dans une entreprise pétrolière et gazière canadienne. Une jauge magnétique à lecture directe a été manipulée, ce qui a déclenché de fausses alarmes. Dans le cadre d'un troisième incident, qui a touché une ferme canadienne, les niveaux de température et d'humidité d'un silo de séchage du grain ont été manipulés, ce qui aurait pu entraîner des conditions dangereuses s'ils n'avaient pas été découverts à temps.

Dans un rapport publié le 27 octobre 2025, la société de cybersécurité Kaspersky revient sur une vaste campagne de cyberespionnage ayant pris pour cible le navigateur Google Chrome. Les pirates sont parvenus à contourner la sandbox du navigateur afin d’infecter de nombreuses victimes. Nous sommes en mars 2025 et les chercheurs de la société de cybersécurité Kaspersky détectent une vague d’infections touchant des organisations gouvernementales et financières russes.

L’attaque est particulièrement efficace. Nul besoin de télécharger une pièce jointe ou de procéder à une manipulation complexe, il suffit que la victime clique sur un lien issu d’un message de phishing pour être infectée.

• La Corée du Nord a volé 2,84 milliards de dollars en cryptomonnaies depuis janvier 2024, dont 1,65 milliard rien qu’entre janvier et septembre 2025.
• Pyongyang déploie entre 1 000 et 1 500 travailleurs informatiques en Chine et prévoit d’en envoyer jusqu’à 40 000 en Russie.
• Les autorités américaines ont sanctionné en août un réseau de travailleurs informatiques nord-coréens, marquant un tournant dans la lutte contre cette menace.
• Des dizaines de millions de dollars du piratage de Bybit ont été récupérés, démontrant l’efficacité croissante des outils de traçage.

Un piratage a visé une société de sécurité maritime. Parmi les données exposées: des rapports confidentiels d’incidents survenus lors de voyages.

• Des pirates informatiques ont dévoilé des rapports d’incidents sensibles de MSC Croisières.
• Un document révèle l’agression présumée d’une passagère suisse de 11 ans.
• Les crimes en mer échappent souvent à toute juridiction claire.

Dans une étude publiée le 28 octobre 2025, les chercheurs de la société de cybersécurité Socket alertent sur la présence de 10 paquets malveillants cachés dans la bibliothèque en ligne npm. La plateforme est utilisée par des millions de développeurs à travers le monde pour bâtir des logiciels informatiques.

Un chercheur en sécurité, Jose Pino, a trouvé un important problème dans Chrome, qui peut rejaillir dans tous les navigateurs basés sur Chromium. Il ne peut pas en l’état être utilisé pour pirater une machine, mais il peut occasionner un plantage complet du navigateur, voire de la machine selon la configuration utilisée.

Nouvelle attaque France Travail via infostealers, vulnérabilité critique WSUS exploitée massivement, retour du spyware Dante (ex-Hacking Team), failles des navigateurs IA, cyberattaque JLR record à 2,5 milliards $, vol de secrets 0day L3Harris vendus à la Russie, 1M$ de récompenses au Pwn2Own et l'exploit WhatsApp non divulgué, etc.

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2.

Extensions et statuts:

Non retirées: Christine-devops1234.scraper (1.0.3–1.0.7), Kodease.fyp-23-s2-08 (0.10.0), GuyNachshon.cxcx123 (0.0.1), sahil92552.CBE-456 (0.0.2–0.0.6)

Retirées: teste123444212.teste123444212, Solorzano-JuanJose.fake-extension-test, ToToRoManComp.diff-tool-vsc, Deriv-AI.deriv-ai, EMM.emmpilot, CodeRanger.ncsu-csc111, BX-Dev.Blackstone-DLP, VKTeam.ru

Source: Wordfence (blog). Wordfence décrit une vulnérabilité de lecture arbitraire de fichiers dans le plugin WordPress Anti‑Malware Security and Brute‑Force Firewall (100 000+ installations), exploitable par des comptes authentifiés au niveau abonné et corrigée en version 4.23.83.(publiée le 15/10/2025).

👇

https://wordpress.org/plugins/gotmls/#developers