Bulletin du 8 avril 2025

mardi 8 avril 2025

Les actualités de la cybersécurité

  • Les clients de Europcar exposés à une fuite de données

    Fin mars, un nouveau message sur un forum est apparu. L'utilisateur Europcar affirme avoir pu pénétrer les systèmes informatiques de Europcar et récupéré du code source via leur Gitlab. Cette fuite représente 9000 fichiers SQL contenant des données personnelles (prénom, nom, adresse e-mail), fichiers de configuration (variables d'environnement), code source (application mobile, site internet) et informations sur l'infrastructure. Les données bancaires, carte de paiement ou mot de passe ne sont pas affectées. Cela toucherait entre 50 000 et 200 000 personnes. Le groupe Europcar prend actuellement contact avec les personnes concernées pour les avertir.

    Bleeping Computer, 7 avril 2025, en anglais

  • Google lance Sec-Gemini v1 : une IA dédiée à la cybersécurité

    Google dévoile Sec-Gemini v1, un modèle IA expérimental intégrant Gemini, GTI et OSV pour renforcer les capacités des équipes SecOps. Il surpasse les modèles concurrents sur les benchmarks CTI-MCQ et CTI-RCM, grâce à ses performances en analyse de menaces, causes racines et vulnérabilités. Gratuit pour les chercheurs, Sec-Gemini v1 vise à rééquilibrer la lutte entre attaquants et défenseurs via l’IA.

    Google, 7 avril 2025, en anglais

  • Debian : Passage de APT en version 3.0.0

    La célèbre distribution Debian a intégré dans sa branche unstable une nouvelle version majeure de son gestionnaire de paquets : APT 3.0.0. Cette mise à jour marque le début d'une série stable, dédiée à Steve Langasek, développeur Debian de longue date.

    Points clés de la version :

    • Changement de version symbolique : Passage à 3.0 pour entamer une nouvelle série stable.
    • Amélioration de la résolution de dépendances : Le nouveau moteur de résolution (solver3) prend désormais en compte des coûts plus élevés lorsque des mises à niveau sont ignorées. Ce comportement vise à améliorer la cohérence et la sécurité lors des mises à jour.
    • Mises à jour des traductions : Plusieurs langues (néerlandais, portugais brésilien, roumain, catalan, allemand et français) voient leurs traductions améliorées, renforçant l'accessibilité du système.
    Debian.org, 4 avril 2025, en anglais

Focus sur les vulnérabilités récentes

  • Deux vulnérabilités pour la bibliothèque Python pgAdmin 4

    Deux failles, dont une critique, affectent les versions inférieures à 9.2 de cette librairie :

    • CVE-2025-2946 : Exécution de code HTML/JS arbitraire si le résultat de la requête SQL contient du code HTML/JS valide (exemple).
    • CVE-2025-2945 : permet de réaliser, à distance, une exécution de code arbitraire. Elle réside dans un appel à la fonction eval() qui est appelé sans vérification des paramètres au travers de deux appels API : query_commited pour /sqleditor/query_tool/download et high_availability pour /cloud/deploy.
    Github, 7 avril 2025, en anglais

  • Bulletin de sécurité Android – Avril 2025 : failles critiques et exploitation active

    Google a publié le bulletin de sécurité Android d’avril 2025, corrigeant plusieurs vulnérabilités critiques. La plus sévère (CVE-2025-26416) permet une élévation de privilèges à distance sans interaction utilisateur. Deux failles (CVE-2024-53150, CVE-2024-53197) sont exploitées activement de manière ciblée, notamment dans le sous-système USB du noyau. Tous les appareils sous Android 13 à 15 sont concernés. Les patchs 2025-04-05 intègrent toutes les corrections.

    Google, 7 avril 2025, en français

  • Vulnérabilités modérées corrigées dans tarteaucitron.js (< v1.20.1)

    Trois failles affectent le script de gestion de cookies tarteaucitron.js :

    • CVE-2025-31476 : Injection d’URL via des schémas non sécurisés (ex. javascript:) pouvant entraîner l’exécution de code arbitraire.
    • CVE-2025-31475 : Prototype pollution via des textes personnalisés, pouvant corrompre le comportement JavaScript de l'application.
    • CVE-2025-31138 : Injection CSS permettant des attaques de type clickjacking via manipulation de l’UI.

    Ces vulnérabilités nécessitent un accès privilégié (ex. CMS, code source) et sont corrigées en v1.20.1.

    Github, 7 avril 2025, en anglais

  • Vulnérabilité modérée dans Jinja2 : contournement de la sandbox via le filtre attr

    Une vulnérabilité affectant Jinja2 ≤ 3.1.5 permet à un attaquant de contourner le mécanisme de sandboxing en utilisant le filtre |attr pour accéder à la méthode format() d’une chaîne Python. Cette faille, référencée CVE-2025-27516, permet l’exécution de code arbitraire si l’attaquant contrôle le contenu d’un template.

    Ce scénario concerne surtout les applications rendant des templates non sûrs dans un environnement supposé sandboxé. Le correctif, disponible dans Jinja2 3.1.6, restaure une vérification stricte des attributs dans l’environnement sécurisé.

    Les différentes distributions Linux, comme Red Hat et Ubuntu, ont publié les paquets mis à jour.

    Github, 8 avril 2025, en anglais

  • Bulletins de sécurité du CERT Siemens

    Siemens a publié une série de bulletins de sécurité critiques couvrant divers produits industriels et logiciels. Les vulnérabilités vont de fuites d'information à des risques d’exécution de code arbitraire et de contournement d’authentification. Certaines atteignent un score CVSS de 10.0, indiquant une gravité maximale. Les produits touchés incluent Mendix, Solid Edge, Industrial Edge, SENTRON, SCALANCE, et d'autres dispositifs SIMATIC. Des correctifs sont partiellement disponibles, bien que plusieurs produits nécessitent encore des mesures de contournement. L’usage industriel de ces équipements impose une vigilance renforcée, notamment face aux vulnérabilités sans correctif disponible.

    • SSA-913875 : Vulnérabilités Wi-Fi (FragAttacks) Produits : SCALANCE W (familles 700/1700/1750D) Risque : CVSS 6.5
    • SSA-874353 : Enumeration d'entités via Mendix Runtime Produits : Mendix Runtime V8/V9/V10 Risque : CVSS 6.9 (v4.0)
    • SSA-819629 : Authentification faible dans Edge Device Kit Produits : Industrial Edge Device Kit (arm64/x86-64) Risque : CVSS 9.8
    • SSA-817234 : Vulnérabilités multiples NGINX (Kubernetes) Produits : Insights Hub Private Cloud Risque : CVSS 9.8
    • SSA-725549 : DoS ICMP sur équipements industriels Produits : SIMATIC, SIDOOR, ET200, etc. Risque : CVSS 6.9 (v4.0)
    • SSA-672923 : Écriture hors limites dans Solid Edge Produits : Solid Edge SE2024/SE2025 Risque : CVSS 7.8
    • SSA-634640 : Authentification faible sur Edge Devices Produits : Siemens Industrial Edge Devices Risque : CVSS 9.8
    • SSA-187636 : Vulnérabilités non corrigées sur SENTRON Produits : SENTRON 7KT PAC1260 Data Manager Risque : CVSS 10.0
    Siemens, 8 avril 2025, en anglais

À découvrir

  • Applications mobiles : la CNIL ajuste ses recommandations pour renforcer la transparence

    La CNIL a publié le 8 avril 2025 une version modifiée de ses recommandations sur les applications mobiles initialement adoptées en juillet 2024. Sans en changer le fond, ces ajustements visent à corriger certaines erreurs, incohérences ou omissions, et à répondre aux besoins de clarification exprimés par les acteurs du secteur.

    L’autorité met à disposition une version annotée du document, facilitant l’identification des modifications. Cette démarche renforce la lisibilité et la transparence réglementaire autour de la protection des données personnelles dans les environnements mobiles, un enjeu toujours plus stratégique pour les éditeurs d'applications, développeurs et responsables de traitement.

    CNIL, 8 avril 2025, en français

Prochains rendez-vous

  • Événement sur le thème du RGPD

    La CNIL et la Direction générale du Trésor organisent, le 20 mai 2025, un événement académique international intitulé : « RGPD : quel impact économique ? ».

    Cet événement vise à évaluer les effets économiques du Règlement général sur la protection des données (RGPD), plus de cinq ans après son entrée en vigueur.

    L'événement se déroulera à la CNIL et en ligne, de 13h à 18h.

    CNIL, 20 mai 2025, en français

  • Android Makers by Droidcon – 10 & 11 Avril 2025 à Paris

    Android Makers revient les 10 & 11 avril 2025 pour deux journées intenses dédiées aux développeur·euse·s Android ! Plus de 80 talks, ateliers, lightning talks et tables rondes couvrant les sujets phares : Kotlin Multiplatform, Compose, sécurité, UI/UX, AI, accessibilité, Gradle, Bluetooth, et bien plus. 📱 Un rendez-vous incontournable pour partager, apprendre et réseauter au cœur de la communauté Android francophone et internationale.

    Lieu : Beffroi de Montrouge, Paris

    Android Makers, 25 avril 2025, en français

  • Journée RGPD à Caen

    La CNIL organise une nouvelle Journée RGPD à Caen, le jeudi 24 avril 2025.

    Au programme : analyse d’impact relative à la protection des données et à la sous-traitance, intelligence artificielle et gestion des risques cyber.

    L'événement se tiendra uniquement en présentiel, avec une inscription obligatoire.

    CNIL, 24 avril 2025, en français

  • Faiseuses du Web – 11 & 12 avril 2025 à Dinan (22)

    Deux jours d’échanges et d’initiatives pour imaginer ensemble un numérique plus juste, inclusif et joyeux ✨ Le thème : « Et si on faisait des trucs ? ». Au programme : discussions ouvertes, ateliers spontanés, temps collectifs… le tout co-construit avec les participant·es ! Heures : Vendredi à 9h30 | Samedi à 10h

    Participation gratuite & ouverte à tou·tes (don libre)

    Faiseuses du Web, 11 avril 2025, en français

  • Agile Caraïbes revient les 9 et 10 avril 2025 en Martinique !

    Deux jours de talks, d'ateliers et de masterclasses pour explorer l’agilité sous toutes ses formes : sécurité, NoCode, intelligence collective, IA générative, team topologies, discovery, et plus encore ! Rejoignez les passionné·e·s du mouvement Agile autour d’un programme riche, local et inspirant. 🚀 Lieu : IMS, Le Lamentin

    AgileTourMartinique, 9 avril 2025, en français