Bulletin du 7 mars 2025

Publication du plan stratégique de l'ANSSI pour 2025-2027

L'organisme public vient de mettre en ligne son plan stratégique pour les deux prochaines années. Il est consultable au format PDF directement sur leur site. Il s'axe principalement autour de quatre points :

• Amplifier et coordonner la réponse cyber face à la massification de la menace
• Développer les expertises indispensables pour contrer les menaces cyber
• Promouvoir une action cyber européenne et internationale efficace
• Renforcer la prise en compte des enjeux sociétaux dans l’action de l’ANSSI

Armis acquiert OTORIO et renforce sa plateforme de sécurité OT

Le 7 mars 2025, Armis, spécialiste de la gestion des expositions aux menaces sur les technologies opérationnelles (OT Exposure Management), a annoncé le rachat d'OTORIO, une entreprise spécialisée dans la cybersécurité des systèmes industriels et cyber-physiques.

Solutions phares et synergies

• Titan (OTORIO) : plateforme on-premise offrant gestion des expositions, détection des menaces et accès sécurisé aux réseaux OT.
• Centrix (Armis) : solution cloud de sécurité pour les systèmes OT et cyber-physiques.
• Intégration : Titan apportera à Centrix un contrôle hybride cloud/on-premise, un accès distant sécurisé (SRA) et des fonctionnalités avancées de cartographie des chemins d’attaque.

Avec cette acquisition, Armis se positionne comme un leader incontournable de la sécurité OT/IT et pourrait prochainement viser une entrée en bourse.

Nouvelles vulnérabilités critiques ajoutées au catalogue KEV de la CISA

Le 4 mars 2025, la CISA a ajouté quatre nouvelles vulnérabilités au catalogue Known Exploited Vulnerabilities (KEV). Ces failles affectent le noyau Linux et les solutions VMware ESXi, Workstation et Fusion.

• Linux Kernel (CVE-2024-50302) : Une vulnérabilité liée à l'utilisation de ressources non initialisées permet la fuite de mémoire du noyau via des rapports HID malformés. Cette faille pourrait être exploitée pour contourner des protections mémoire.
• VMware ESXi & Workstation (CVE-2025-22224) : Une condition de course TOCTOU entraîne une écriture hors limites, permettant à un attaquant avec des privilèges administratifs locaux sur une VM d'exécuter du code sur l'hôte.
• VMware ESXi (CVE-2025-22225): Une vulnérabilité d'écriture arbitraire dans ESXi peut conduire à une évasion de la sandbox, compromettant potentiellement l'hôte sous-jacent.
• VMware ESXi, Workstation & Fusion (CVE-2025-22226) : Un débordement de lecture dans HGFS permet la divulgation d’informations sensibles, facilitant ainsi des attaques ultérieures.

L'extension Chary Pro pour WordPress vulnérable

Patchstack rapporte une faille pour ce plugin : CVE-2025-26776. Elle concerne les versions inférieure ou égale à 3.3.3. Elle permet l'envoie arbitraire d'un fichier. Cela peut permettre de créer une porte dérobée sur le site. L'extension est installée sur environ 18000 sites.

Trois vulnérabilités critiques corrigées par WMware

Les produits ESXi, Workstation et Fusion de VMware viennent de recevoir une mise à jour qui corrige trois CVE critiques qui semblent être activement exploitées :

• CVE-2025-22224 : dépassement d'écriture sur la mémoire (TOCTOU) dans ESXi et Workstation
• CVE-2025-22225 : écriture arbitraire dans ESXi
• CVE-2025-22226 : dépassement de mémoire en lecture dans HGFS pour ESXi, Workstation et Fusion.

Les versions concernées sont 7.0 et 8.0 pour ESXi (correction avec ESXi70U3s-24585291 et ESXi80U2d-24585300/ESXi80U3d-24585383), 17.x pour Workstation (correction avec 17.6.3) et 13.x pour Fusion (correction avec 13.6.3).

Faille critique sur Kibana

Une nouvelle vulnérabilité critique (CVE-2025-25015) permet l'exécution de code arbitraire au travers d'envoi de fichiers et requêtes HTTP. Les versions concernées sont comprises entre 8.15.0 (inclus) et 8.17.3 (exclus). Si la mise à jour n'est pas possible, un changement dans la configuration (kibana.yml) permet de mitiger : xpack.integration_assistant.enabled: false.

Vulnérabilité critique sur les commutateurs Moxa PT (CVE-2024-12297)

Le 6 mars 2025, Moxa a publié un avis de sécurité concernant une vulnérabilité critique (CVE-2024-12297) affectant plusieurs modèles de commutateurs PT. Cette faille permet un contournement de l'authentification, exposant les dispositifs à des attaques par force brute ou par collision MD5, facilitant ainsi un accès non autorisé aux configurations sensibles.

Produits affectés :

• PT-508, PT-510, PT-7528, PT-7728, PT-7828 (firmware ≤ 3.8 à 5.0 selon le modèle)
• PT-G503, PT-G510, PT-G7728, PT-G7828 (firmware ≤ 5.3 à 6.5 selon le modèle)

Moxa recommande d’appliquer les correctifs de sécurité disponibles via leur support technique.

Note du CERT Illicium : En attendant, les entreprises doivent renforcer la sécurité de leurs équipements réseau en limitant l’accès aux interfaces d’administration et en surveillant toute activité suspecte.

Le NIST publie un brouillon sur l'agilité cryptographique (CSWP 39)

Le 5 mars 2025, le NIST a publié le brouillon public de son document CSWP 39, intitulé "Considerations for Achieving Cryptographic Agility: Strategies and Practices". Ce document explore les stratégies permettant aux organisations d’adopter une approche d’agilité cryptographique, essentielle pour faire face aux évolutions des menaces et aux avancées en cryptanalyse.

Avec l’émergence des ordinateurs quantiques, les algorithmes cryptographiques actuels, notamment ceux à clé publique, deviendront vulnérables. L’agilité cryptographique vise à permettre la migration fluide des systèmes vers des algorithmes plus sûrs, particulièrement ceux du post-quantique (PQC), sans perturber leur fonctionnement.

Contenu du brouillon CSWP 39

• État des lieux des approches existantes pour l’agilité cryptographique
• Défis et compromis dans la migration des algorithmes
• Mécanismes opérationnels pour faciliter l’adoption de nouvelles normes
• Interopérabilité et résilience des systèmes dans un contexte évolutif

Le NIST invite les experts et organisations à soumettre leurs commentaires pour affiner ces recommandations jusqu'au 30 avril 2025.

Forum InCyber 2025 : Rendez-vous incontournable de la cybersécurité à Lille

Le Forum InCyber Europe 2025 se tiendra du 1ᵉʳ au 3 avril 2025 au Grand Palais de Lille. Cet événement majeur rassemblera les acteurs clés de la sécurité et de la confiance numérique en Europe.

Thème central : "Zero Trust, la confiance pour tous ?"

Face à la multiplication des menaces et à l'élargissement des surfaces d'attaque, le modèle du Zero Trust s'impose comme une réponse incontournable aux enjeux contemporains de cybersécurité. Cette approche repose sur une méfiance systématique vis-à-vis de tout utilisateur, appareil ou application, jusqu'à preuve de leur légitimité.

Thématiques majeures abordées :

• Cyber-résilience : Explorer les défis et les stratégies pour renforcer la capacité des organisations à résister et à se remettre des cyberattaques.
• Sécurité des environnements Web3 : Discuter des mesures de protection dans les environnements Web3 émergents.
• Gestion des identités numériques : Aborder les enjeux liés à l'identité numérique et aux processus de connaissance client (KYC).

Intervenants de renom attendus :

• Stéphane Richard : Président non-exécutif de Perella Weinberg Partners et ancien PDG d’Orange.
• Yves Leterme : Ancien Premier ministre de Belgique.
• Carsten Meywirth : Directeur de la division cyber à l'Office fédéral de la police criminelle d'Allemagne.
• Joe Sullivan : PDG de Joe Sullivan LLC, ancien CSO de Facebook, Uber et Cloudflare.

Conférence sur le thème du CLOUD lors de la JSSI

L'Observatoire de la Sécurité des Systèmes d'Information et des Réseaux (OSSIR) organise le 11 mars 2025 la JSSI autour du cloud.

Au rendez-vous plusieurs thèmes abordés (prévisionnel) :

• To Cloud or Not To Cloud?
• Le traitement des vulnérabilités pour les solutions UCaaS Cloud
• Points de vigilance sur les contrats de prestations Cloud sous l’angle cyber
• Détection et investigation dans GitHub Enterprise
• Détection de Secrets & Responsible Disclosure 
• Retour d’expérience sur la qualification SecNumCloud de services cloud
• Maîtriser la sécurité du cloud : les défis et les solutions d’un Cloud Provider

La conférence est disponible en présentiel à l'ESIEA (Paris), ou en distanciel et se déroulera de 8h30 à 17h30

Woman & Cyber 2025 : L'innovation au féminin dans la cybersécurité

Le 25 mars 2025, Paris accueillera le forum Woman & Cyber, un événement majeur visant à promouvoir la place des femmes dans la cybersécurité. Conférences, tables rondes et témoignages mettront en lumière les parcours inspirants et les enjeux de ce secteur stratégique.

Temps forts du programme

Table ronde – Aérospatial : nouveau terrain de jeu des hackers (16h00 - 17h00)

• Cybersécurité et aérospatial : un enjeu stratégique majeur
• Souveraineté technologique : bataille pour l’indépendance
• Menaces électromagnétiques (TEMPEST) : un risque sous-estimé
• Les femmes, actrices clés de la cybersécurité

Talks & conférences (17h00 - 19h00)

• Orange, AFORP, DBM et Lex Regula interviendront sur l’innovation, la formation et la réglementation en cybersécurité.
• L’OSIIC (Opérateur des Systèmes d’Information Interministériels Classifiés) sera présent pour partager son expertise.

Informations pratiques : Paris – 25 mars 2025 – 15h00 à 20h00 - 64 rue Saintonge, 75003 Paris