Bulletin du 15 avril 2025

mardi 15 avril 2025

Les actualités de la cybersécurité

  • Nouvelle version mineure pour Proxmox

    Une nouvelle version de Proxmox vient d'être publiée. Elle permet de monter la version du noyau (6.8.12-9 ou 6.14 en option), mise à jour de QEMU (9.2.0), LXC (6.0.0), ZFS (2.2.7) et Cepth Squid (19.2.1). Elle inclut également une API pour la gestion des sauvegardes, meilleure gestion du proxy HTTP/HTTPS et Virtiofs pour du partage de fichiers entre l'hôte et les invités. Il est possible de faire la mise à jour directement depuis l'interface web ou apt.

    Github, 14 avril 2025, en anglais

  • Nouvelles techniques d'hameçonnage sur Office 365

    La plate-forme Tycoon2FA découverte en octobre 2023 par Sekoia vient de mettre à jour son kit. Elle le propose sous forme service (Phishing-as-a-Service, PhaaS). Ce service permet de contourner le multifacteur pour des comptes Office 365 et Gmail notamment. Cette dernière version comprend de l'offuscation (caractères Unicode invisible), utilisation d'un CAPTCHA personnalisé (anciennement Cloudflare Turnstile) et prévention des outils de débogage.

    Trustwave, 14 avril 2025, en anglais

  • ANSSI : une année 2024 sous le signe de la mobilisation collective

    Dans son rapport annuel, l’ANSSI revient sur une année 2024 marquée par la sécurisation des JOP de Paris, la transposition de NIS 2 et un niveau d’activité inédit (+18% d’incidents). 4 386 événements traités, plus de 117 000 attestations délivrées : l’Agence illustre le dynamisme du modèle français. L’ANSSI projette déjà l’avenir avec une nouvelle stratégie 2025-2027, fondée sur la souveraineté technique et l’unité de l’écosystème cyber.

    ANSSI, 15 avril 2025, en français

Focus sur les vulnérabilités récentes

  • Mise à jour de sécurité pour GitLab

    Une nouvelle version a été publiée pour la branche 17 de GitLab Community Edition (CE) et Enterprise Edition (EE). Les versions 17.10.4, 17.9.6 et 17.8.7 corrigent six vulnérabilités référencées sous les codes suivants :

    • CVE-2025-1677 (CE/EE) : Versions concernées : CE/EE jusqu'à 17.8.7, de 17.9 à 17.9.5 et de 17.10 à 17.10.3. Déni de service au travers de l'export des travaux (pipelines) de l'intégration continue.
    • CVE-2025-0362 (CE/EE) : Versions concernées : CE/EE de 7.7 à 17.8.7, de 17.9 à 17.9.5 et de 17.10 à 17.10.3. Un attaquant peut piéger un utilisateur et réaliser des actions sensibles à sa place.
    • CVE-2025-2408 (CE/EE) : Versions concernées : CE/EE de 13.12 à 17.8.7, de 17.9 à 17.9.5 et de 17.10 à 17.10.3. Contournement des restrictions d'accès IP sur les souscriptions GraphQL.
    • CVE-2024-11129 (EE) : Versions concernées : CE/EE de 17.1 à 17.8.7, de 17.9 à 17.9.5 et de 17.10 à 17.10.3. Un attaquant peut avoir le compte des issues ouvertes en utilisant la fonction de recherches et des mots clés.
    GitLab, 14 avril 2025, en anglais

  • Élévation de privilèges pour les téléphones Google Pixel

    Une faille, dont les détails ne sont pas encore communiqués, affecte l'assistant Google sur les téléphones Pixel. Cela rend possible une élévation de privilèges pour un attaquant. Un correctif est déjà disponible et en cours de déploiement (2025-04-05).

    Android, 14 avril 2025, en français

  • Contournement d'authentification pour l'extension WordPress OttoKit: All-in-One Automation Platform

    L'extension présente une vulnérabilité (CVE-2025-3102) activement exploitée. Elle permet de créer un compte administrateur sur le site WordPress si la configuration d'une clé API n'a pas été faite (configuration par défaut de l'extension). Un manquement de validation de la valeur secret_key dans la fonction authenticate_user en est la source. Une nouvelle version vient d'être publiée pour corriger la faille : 1.0.79. Plus de 100 000 sites sont concernés (source WordPress Plugin Directory).

    Wordfence, 14 avril 2025, en anglais

  • Exécution de code à distance pour WhatsApp Windows

    L'édition Windows de la messegerie WhatsApp est vulnérable à une usurpation du type de fichier (MINE type) : CVE-2025-30401. Sur les versions inférieures à 2.2450.6, l'application ouvre un fichier joint en se basant sur l'extension du fichier et non son type. Un attaquant peut alors fabriquer un fichier avec une extension, mais contenant du code arbitraire. Cela fut déjà le cas en 2024 avec des scripts PHP et Python.

    Facebook, 14 avril 2025, en anglais

  • Gladinet, vulnérabilité critique activement exploitée

    Le logiciel de gestion de fichiers volumineux Gladinet (CentreStack/Triofox) comporte une vulnérabilité critique CVE-2025-30406, (CVSS 9.0).

    La faille dans CentreStack et Triofox de Gladinet est activement exploitée. Le défaut provient d’une clé machineKey codée en dur dans web.config, rendant possible une attaque par désérialisation ViewState, menant à une exécution de code à distance (RCE). Au moins 7 entreprises et 120 endpoints ont été compromis. Patch disponible depuis le 3 avril (v16.4.10315.56368). En attendant il est recommandé de changer la machineKey.

    Huntress, 15 avril 2025, en anglais

À découvrir

  • Une pénurie de compétences, pas de talents

    Une étude mondiale SANS/GIAC révèle que 52 % des responsables cybersécurité estiment que la crise du recrutement est avant tout une pénurie de compétences, non de talents. Les recruteurs privilégient désormais les aptitudes techniques et la capacité d’adaptation, loin des diplômes. L’initiative SECWA vise à diversifier les profils. Cette inflexion stratégique sera au cœur du SANS | GIAC Workforce Summit lors du RSAC 2025.

    SANS/GIAC, 14 avril 2025, en anglais

  • Visitez le SOC de la RSAC 2025 avec Cisco

    Plongez dans les coulisses de la cybersécurité en visitant le SOC (Security Operations Center) mis en place par Cisco et Endace lors de la conférence RSAC 2025. Surveillance du réseau Wi-Fi du Moscone Center, détection des menaces en temps réel, et présentation des outils Cisco (XDR, Talos, Secure Firewall, Splunk, etc.). Des visites guidées sont organisées du 29 avril au 1er mai. Réservez vite.

    Vous pouvez retrouver le rapport de la gestion du SOC de la conférence de l'année 2024 : https://blogs.cisco.com/security/soc-findings-report-from-rsa-conference-2024

    Cisco, 15 avril 2025, en anglais

Prochains rendez-vous

  • RSAC 2025

    Le RSA Conference 2025 se tiendra du 28 avril au 1er mai au Moscone Center de San Francisco. Avec pour thème « Many Voices. One Community. », l’événement mettra en lumière la diversité et la collaboration au sein de la cybersécurité. Les thèmes abordés seront :

    • Intelligence Artificielle et sécurité : exploration des défis liés à l’IA, notamment à travers l’expérience immersive DARPA AIxCC.
    • Innovation : le concours Innovation Sandbox fêtera sa 20e édition, mettant en avant les startups les plus prometteuses du secteur.
    • Apprentissage interactif : ateliers pratiques, défis Capture the Flag et sessions immersives pour renforcer les compétences des participants.
    • Diversité et inclusion : programmes dédiés aux jeunes talents et aux communautés sous-représentées, favorisant une cybersécurité plus inclusive.​
    • Réseautage mondial : opportunités de rencontres avec des professionnels de la cybersécurité du monde entier, facilitant l'échange d'idées et la collaboration.​

    RSAC, 28 avril 2025, en anglais