Mozilla averti que sans mise à jour récente (version plus ancienne que la 128 de juillet 2024 ou la ESR 115 de juillet 2023), certaines fonctionnalités ne fonctionneront plus. Cela concerne notamment les extensions, la gestion des DRM (dont Widevine) et certaines fonctionnalités de sécurité. Une mise à jour vers une version plus récente inclue le nouveau certificat.
Medusa est un groupe malveillant proposant des rançongiciels en mode service (RaaS). Il est actif depuis 2021 et compte plus de 300 victimes dans plusieurs domaines critiques : santé, légal, éducation, assurance, industrie... Le nouveau rappel fait partie de la campagne en cours #StopRansomware. Elle a pour objectif de publier des détails techniques pour aider les différents acteurs à les détecter et s'en protéger. Le bulletin pour Medusa donne des indicateurs de compromissions, les techniques d'attaque utilisées (MITRE ATT&CK) et des remédiations possibles.
Sur son blog dédié aux développement, Microsoft a annoncé rendre TypeScript 10 fois plus rapide grâce à son portage natif en Go. En utilisant le code source de Visual Studio Code comme point de référence, Microsoft annonce un démarrage plus rapide des éditeurs, une accélération des compilations et une réduction significative de l'utilisation mémoire.
Les chercheurs de Socket ont découvert six nouveaux paquets npm malveillants utilisés par le groupe nord-coréen Lazarus.
Le groupe de cybercriminalité a infiltré l'écosystème npm en créant six nouveaux paquets npm malicieux, conçus pour compromettre les environnements de développement, voler des identifiants, extraire des données de cryptomonnaies et déployer des portes dérobées.
Paquets malveillants identifiés :
Ces paquets, téléchargés plus de 330 fois, imitent des bibliothèques de confiance en utilisant des techniques de typosquatting pour tromper les développeurs.
Une fois installés, ces paquets déploient le malware BeaverTail, qui agit comme un voleur d'informations et un chargeur de logiciels malveillants. Il cible les identifiants stockés dans les navigateurs, les cookies et les portefeuilles de cryptomonnaies, transmettant ces données à un serveur C2.
Socket recense, à la fin de ses articles, les différents IOC (indicateurs de compromission), alias npm, adresses mail, IP publiques utilisées comme C2, les techniques MITRE employées par le groupe, ainsi que les comptes GitHub et les dépôts associés à cette campagne.
Lors de l'analyse des menaces visant les frameworks WordPress, des chercheurs de c/side ont découvert une attaque dans laquelle un seul fichier JavaScript permet d'injecter quatre backdoors distinctes, infectant ainsi des milliers de sites.
Le fichier javascript contient un fichier ZIP encodé en Base64, il récupère la page de téléchargement des plugins WordPress et obtient le jeton _wpnonce, permettant le téléchargement du fichier zip camouflé en faux plugin nommé "ultra-seo-processor-wp.zip", contenant :
L'équipe de Lexfo vient de rendre public deux nouvelles vulnérabilités trouvées dans GLPI : CVE-2025-24801 et CVE-2025-24799. La première permet d'exploiter des extensions vulnérables ou une inclusion de fichier local au travers de l'export PDF. Il faut cependant avoir un compte avec privilèges pour le faire. La seconde concerne la gestion de l'inventaire. Il est possible d'inclure du code SQL arbitraire dans les requêtes XML (exploitation de SimpleXMLElement et dbEscapeRecursive). La mise à jour 10.0.19 corrige l'ensemble. Elle est disponible depuis le 12 février 2025.
Facebook vient de rendre publique une faille dans la librairie FreeType (utilisée dans les applications pour afficher du texte) : CVE-2025-27363. Une écriture hors mémoire lors de l'utilisation de fichier TrueType GX ou de police à taille variable en est la cause. Cela concerne les versions inférieures à 2.13.1.
Une nouvelle mise à jour vient d'être publiée. Elle corrige 8 vulnérabilités dont une critique couverte par deux CVE : CVE-2025-25291 et CVE-2025-25292. Elle concerne la librairie ruby-saml utilisée pour faire le SSO si SAML est activé. Si exploitée, elle permet à un attaquant de se faire passer pour un autre utilisateur s'il possède une signature SAML valide. Une mise à jour pour chaque branche mineure supportée est disponible : 17.9.2, 17.8.5 et 17.7.7.
Microsoft vient de publier le bulletin de Mars 2025 pour ces produits. Il vient corriger 57 failles dont six jour-0 exploitées :
Le reste des vulnérabilités couvrent également Azure, Microsoft Office, Visual Studio.
La CISA, quant à elle, a ajouté ces six jour-0 à son catalogue Known Exploited Vulnerabilities (KEV).
Le nouveau bulletin émis par Adobe pour son lecteur PDF vient corriger neuf vulnérabilités dont six critiques (CVE-2025-27174, CVE-2025-27158, CVE-2025-27159, CVE-2025-27160, CVE-2025-27161 et CVE-2025-27162). Elles permettent notamment l'exécution de code à distance. Les mises à jour 25.001.20432, 24.001.30235 et 20.005.30763 corrigent l'ensemble.
Une faille critique (CVE-2025-1661) permet une inclusion de fichier local dans toutes les versions avant 1.3.5.6. Cela est rendu possible par l'usage du paramètre template dans la requête AJAX woof_text_search. Aucune authentification n'est requise. La page du plugin indique qu'il est installé sur au moins 100 000 instances.
Apple vient de mettre à jour l'ensemble de son écosystème : macOS (15.3.2), iOS (18.3.2), iPadOS (18.3.2), Safari (18.3.1) et visionOS (2.3.2). Elle corrige la faille CVE-2025-24201, activement exploitée dans le moteur de rendu WebKit. Ces attaques sont rapportées comme très ciblées et extrêmement sophistiquées.
Ivanti a publié un avis de sécurité concernant une vulnérabilité identifiée dans Ivanti Secure Access Client.
Référencée sous le code CVE-2025-22454 : Un attaquant local authentifié peut élever ses privilèges sur le système. Cette faille est due à des restrictions de permissions insuffisantes.
Le correctif est disponible dans les versions 22.7R4 et 22.8R1.
Depuis décembre 2024, une campagne usurpant le site de réservation en ligne Booking.com est en cours. Elle a pour objectif de faire télécharger un logiciel malveillant qui récupère les identifiants de la victime. Elle utilise la technique d'ingénierie sociale ClickFix. Elle demande à l'utilisateur d'exécuter des commandes (PowerShell ou Batch) suite à une "échec" de résolution du captcha. Microsoft détaille le fonctionnement de cette campagne avec des captures des mails et un schéma du fonctionnement. Microsoft attribue cette campagne est attribué à l'acteur Storm-1865.
Le Forum InCyber Europe 2025 se tiendra du 1ᵉʳ au 3 avril 2025 au Grand Palais de Lille. Cet événement majeur rassemblera les acteurs clés de la sécurité et de la confiance numérique en Europe.
Thème central : "Zero Trust, la confiance pour tous ?"
Face à la multiplication des menaces et à l'élargissement des surfaces d'attaque, le modèle du Zero Trust s'impose comme une réponse incontournable aux enjeux contemporains de cybersécurité. Cette approche repose sur une méfiance systématique vis-à-vis de tout utilisateur, appareil ou application, jusqu'à preuve de leur légitimité.
Thématiques majeures abordées :
Intervenants de renom attendus :
Le 25 mars 2025, Paris accueillera le forum Woman & Cyber, un événement majeur visant à promouvoir la place des femmes dans la cybersécurité. Conférences, tables rondes et témoignages mettront en lumière les parcours inspirants et les enjeux de ce secteur stratégique.
Temps forts du programme
Table ronde – Aérospatial : nouveau terrain de jeu des hackers (16h00 - 17h00)
Talks & conférences (17h00 - 19h00)
Informations pratiques : Paris – 25 mars 2025 – 15h00 à 20h00 - 64 rue Saintonge, 75003 Paris