Bulletin du 22 avril 2025

Fuite de données chez Alain Afflelou

Un mail a été envoyé aux clients et prospects de l'entreprise Alain Afflelou. La fuite vient d'une faille d'un de leurs prestataires. Les données concernées sont nom, prénom, date de naissance, coordonnées postales, téléphone, e-mail et informations commerciales. Les données bancaires ou de santé ne sont pas concernées.

Fin de support imminent pour Exchange Server 2016 et 2019

Le 14 octobre 2025, Microsoft mettra fin au support d’Exchange Server 2016 et 2019. Plus de correctifs, ni de mises à jour de sécurité : un risque majeur pour la sécurité des infrastructures restées on-premise.

Deux voies sont recommandées :

• Migrer vers Exchange Online / Microsoft 365 pour bénéficier des dernières technologies cloud, dont l’IA générative.
• Passer à Exchange Server SE, prévu pour juillet 2025. Une mise à jour in-place sera possible depuis Exchange 2019 CU15.

Pour les utilisateurs d’Exchange 2016, une migration vers 2019 est fortement conseillée avant de basculer vers SE.

Les organisations peuvent aussi rejoindre le Technology Adoption Program (TAP) pour tester Exchange SE en avant-première.

Incident de sécurité pour le groupe INDIGO

Le groupe INDIGO (gestion notamment de parkings et stationnements) indique avoir été victime d'un incident de cybersécurité. Il aurait permis de récupérer les adresses mails, numéro de plaque d'immatriculation si renseignée, nom, téléphone et adresse postale. L'envoi d'un e-mail d'avertissement est en cours pour les personnes concernées et une déclaration à la CNIL a été déposée.

GCVE : un système mondial décentralisé d’allocation de vulnérabilités

Le Global CVE (GCVE) est un nouveau système d’identification des vulnérabilités piloté par le CIRCL (Computer Incident Response Center Luxembourg). Compatible avec les CVE traditionnels, le GCVE repose sur une approche décentralisée, via des GCVE Numbering Authorities (GNA), entités autonomes pouvant allouer leurs propres identifiants sans dépendre d’un système centralisé.

Format d’un identifiant GCVE : GCVE-<GNA ID>-<YEAR>-<UNIQUE ID> Ex : GCVE-1-2025-00001

Avantages :

• Allocation autonome et flexible des identifiants
• Scalabilité accrue (plus de goulets d’étranglement)
• Compatibilité avec les anciens CVE via GCVE-0
• Ouverture à des acteurs non-CNA (CERT, CSIRT, éditeurs…)

Eligibilité GNA :

• CNA existant, CERT/CSIRT membre de FIRST ou TF-CSIRT
• Fournisseur logiciel/matériel/service avec divulgation publique
• Politique de divulgation de vulnérabilités accessible

Le registre GCVE, accessible via gcve.eu, fournit une API publique, un annuaire des GNA, et des outils open-source pour la gestion des vulnérabilités.

Vulnérabilité critique dans l'authentification des routeurs ASUS AiCloud

Un mauvais contrôle dans l'authentification dans certains routeurs ASUS permet d'exécuter des fonctions arbitraires sur le périphérique. Une mise à jour est disponible : 3.0.0.4_382, 3.0.0.4_386, 3.0.0.4_388 et 3.0.0.6_102.

Mises à jour Apple pour deux vulnérabilités exploitées

Les différentes plateformes d'Apple ont reçu une nouvelle mise à jour estampillée X.4.1. Elle permet de corriger deux vulnérabilités CVE-2025-31200 et CVE-2025-31201. La première permet une exécution de code arbitraire en utilisant un flux audio spécialement conçu dans un fichier multimédia. La seconde concerne RPAC et Pointer Authentification.

Exécution de code arbitraire dans la librairie Erlang/OTP

La librairie OTP (Open Telecom Platform sans rapport avec One Time Password) permet d'intégrer un grand nombre de composants écrits en Erlang. Elle contient notamment une implémentation d'un serveur SSH. Une vulnérabilité (CVE-2025-32433) dans cette librairie permet à un attaquant d'exécuter du code arbitraire à distance au travers d'une connexion cliente SSH. Aucune connexion n'est requise, car l'exploitation se fait avant (SSH_MSG_KEXINIT, SSH_MSG_CHANNEL_OPEN, SSH_MSG_CHANNEL_REQUEST). De nombreuses preuves de concepts sont maintenant également disponible (exemple).

Vulnérabilité dans la gestion des chemins pour Traefik

La gestion des correspondances (PathPrefix, Path ou PathRegex) pour les backend avec Traefik est vulnérable (CVE-2025-32431). Il est possible de contourner des middlewares en utilisant ... dans l'URL. Les versions 1.7.34, < 2.11.23 et < 3.3.6 sont concernées.

WinZip : vulnérabilité critique de contournement du Mark-of-the-Web (CVE-2025-33028)

Une faille de sécurité affecte WinZip 29.0 (64-bit), utilitaire de compression très répandu. Référencée CVE-2025-33028, elle permet de contourner la protection Mark-of-the-Web (MotW) de Windows, exposant les utilisateurs à l’exécution silencieuse de fichiers malveillants extraits depuis des archives Internet.

Lorsqu’un utilisateur extrait une archive (ZIP/7z) téléchargée, WinZip ne conserve pas le tag MotW sur les fichiers extraits. Résultat : ces fichiers sont considérés comme locaux et fiables, permettant l’exécution de macros ou scripts sans alerte de sécurité.

Aucune mise à jour corrective n’est disponible à ce jour.

2024 : montée en puissance des CSIRT territoriaux en France

Le rapport d’activité 2024 des CSIRT territoriaux met en lumière une année charnière pour ces structures régionales de réponse à incident. Issus du plan France Relance, les 15 CSIRT désormais opérationnels assurent un maillage local inédit pour accompagner les TPE, PME, ETI, collectivités et associations dans leur cybersécurité.

• Missions : assistance gratuite de premier niveau, mise en relation avec des prestataires de proximité, prévention, sensibilisation, accompagnement à la maturité cyber.
• Implantation : métropole et territoires ultra-marins (Atlantique, Indien, Pacifique), avec des structures adaptées aux réalités locales.
• Coopération : quatre CSIRT ont intégré l’InterCERT France (Bretagne, Bourgogne-Franche-Comté, Île-de-France, PACA).
• Écosystème : montée en puissance des campus cyber territoriaux, catalyseurs d’innovation, de formation et de mobilisation autour de la cybersécurité.

Nouvelle édition de DEVOPS REX à la Cité des Sciences en 2025

Pour sa 6ᵉ édition, DEVOPS REX proposera une vingtaine de conférences autour de quatre grands axes stratégiques  : gouvernance, IA en production, devsecops et devops. L’objectif est de faire progresser concrètement les pratiques DevOps en entreprise, en valorisant l’expertise des intervenants, la diversité des approches et le partage de retours concrets — réussites comme échecs.

Les inscriptions aux conférences ouvriront dans les prochaines semaines.

RSAC 2025

Le RSA Conference 2025 se tiendra du 28 avril au 1er mai au Moscone Center de San Francisco. Avec pour thème « Many Voices. One Community. », l’événement mettra en lumière la diversité et la collaboration au sein de la cybersécurité. Les thèmes abordés seront :

• Intelligence Artificielle et sécurité : exploration des défis liés à l’IA, notamment à travers l’expérience immersive DARPA AIxCC.
• Innovation : le concours Innovation Sandbox fêtera sa 20e édition, mettant en avant les startups les plus prometteuses du secteur.
• Apprentissage interactif : ateliers pratiques, défis Capture the Flag et sessions immersives pour renforcer les compétences des participants.
• Diversité et inclusion : programmes dédiés aux jeunes talents et aux communautés sous-représentées, favorisant une cybersécurité plus inclusive.​
• Réseautage mondial : opportunités de rencontres avec des professionnels de la cybersécurité du monde entier, facilitant l'échange d'idées et la collaboration.​