Le 11 avril 2025, le tribunal de Versailles a débouté Jarvislegal, éditeur SaaS hébergé chez OVH, qui invoquait la force majeure après l’incendie de 2021. Le plaignant a subi une interruption de service de 15 jours. Motif : le contrat prévoyait une redondance chez deux hébergeurs, jamais mise en œuvre. Ce jugement rappelle l’importance, pour fournisseurs et clients, de vérifier l’exécution réelle des clauses de sauvegarde et réversibilité dans les contrats cloud. Jarvislegal a été condamné à verser 16 000 € à son client avocat.
Des chercheurs de la société Socket ont détecté trois paquets NPM malveillants — sw-cur, sw-cur1 et aiide-cur — visant spécifiquement les utilisateurs macOS de l’environnement de développement Cursor AI. Déguisés en outils d’accès économique à Cursor, ces paquets contiennent une backdoor activé à l’exécution, lequel exfiltre des identifiants, télécharge et déchiffre un code malveillant, puis le déploie dans le répertoire de l’application (main.js).
L’attaque désactive également la mise à jour automatique de Cursor, assurant ainsi une persistance sur le système compromis. Plus de 3 200 téléchargements ont été recensés avant la publication de l’alerte. Les risques sont significatifs : vol de code, compromission de projets open source ou d’environnements CI/CD, et détournement d’accès aux services payants.
Note du CERT Illicium : Restaurer Cursor depuis une source fiable, changer tous les identifiants utilisés, et procéder à un audit de sécurité complet du code.
Le 12 mai 2025, Safran officialise le déploiement de son portail cloud basé sur Backstage. Objectif : simplifier l’accès aux ressources AWS pour ses 12 entités. Porté par Dimitri Desbois, ce projet a réduit les délais de mise en place d’un environnement de développement de trois semaines à deux minutes. Il structure l’accès aux services Gitlab, Nexus ou Rosa, tout en favorisant l’autonomie et la standardisation des pratiques de développement.
Le 12 mai 2025, lors du troisième Conseil du Partenariat numérique à Tokyo, l’UE et le Japon ont affirmé leur volonté de renforcer leur souveraineté technologique et leur résilience cyber. Outre la cybersécurité des infrastructures critiques, la coopération s’intensifie sur les plateformes en ligne, l’IA fiable, la gouvernance des données et les services de confiance. L’accent est aussi mis sur la sécurisation des câbles sous-marins, y compris en Arctique. Les deux partenaires ont réaffirmé leur approche commune fondée sur les valeurs, face aux menaces géopolitiques. Une initiative conjointe sur les technologies quantiques sera formalisée le 13 mai. Prochain conseil en 2026 à Bruxelles.
Avec l'aide de la Thaïlande et les Pays-Bas, les autorités fédérales des États-Unis indiquent avoir saisi les deux domaines et procédé à l'arrestation de quatre personnes. Ce réseau opérait depuis 2004. Il proposait plus de 7 000 proxys à vendre sous forme d'abonnement mensuel entre 10$ et 110$.
Un chercheur indépendant, MrBrush, vient de documenter deux failles pour ASUS DriverHub : CVE-2025-3462 (erreur de validation de l'origine des requêtes) et CVE-2025-3463 (erreur de validation de certificat). Combinée, il est possible de contourner les restrictions sur l'origine et exécuter du code arbitraire avec les privilèges administrateurs. Une mise à jour est disponible : 1.0.6.2. Il est également possible de désactiver cet outil depuis le BIOS.
iOS, iPadOS, macOS, watchOS, tvOS, visionOS et Safari viennent de recevoir une nouvelle mise à jour. iOS, iPadOS, tvOS et Safari passent en version 18.5, visionOS en 2.5, watchOS 11.5 et macOS 15.5, 14.7.6 et 13.7.6. Il s'agit de mises à jour de sécurité principalement dont notamment : vulnérabilité dans AppleJPEG (CVE-2025-31251) et CoreMedia (CVE-2025-31239), renforcement du noyau contre deux problèmes de corruption de mémoire (CVE-2025-31239), élévation de privilèges dans mDNSResponder (CVE-2025-31222). Apple indique qu'aucune de ces vulnérabilités ne semblent encore être activement exploitées.
Une faille de sécurité référencée CVE-2025-22247 a été corrigée par VMware dans open-vm-tools version 12.5.2 (publiée le 12 mai 2025). Cette vulnérabilité affecte le composant VGAuth, utilisé pour l'authentification des utilisateurs entre hôte et VM.
Impact : Cette vulnérabilité peut compromettre l'intégrité et la confidentialité en permettant à un utilisateur malveillant de contourner les mécanismes de sécurité entre l’hôte et la VM. La disponibilité n’est pas directement concernée.
Mitigation : VMware fournit deux correctifs selon les versions :
Aucune exploitation active n’a été signalée à ce jour.
Une vulnérabilité critique CVE-2024-11617 (CVSS 9.8) a été identifiée dans le plugin WordPress Envolve (≤ v1.0). Elle permet à un attaquant non authentifié d’uploader des fichiers arbitraires via les fonctions zetra_languageUpload et zetra_fontsUpload, en raison de l’absence de contrôle sur le type de fichier. La faille a été corrigée en version 1.1.0. Ce défaut expose le site à une exécution de code à distance (RCE), compromettant ainsi la confidentialité, l’intégrité et la disponibilité du serveur.
Depuis le 13 mai 2025, la CNIL propose un nouveau module à son MOOC « Atelier RGPD », intitulé « Travail et données personnelles ». Ce sixième volet, élaboré par des juristes et experts de la CNIL, vise à accompagner les professionnels traitant les données des salariés, stagiaires, alternants et intérimaires. Avec près de vingt heures d’auto-formation, ce module gratuit et accessible à tous permet d’approfondir les connaissances sur la protection des données personnelles dans le cadre professionnel. Il s’adresse particulièrement aux responsables RH, DPO et gestionnaires de données souhaitant renforcer leur conformité au RGPD.
La CNIL organisent, le 14 mai 2025, une nouvelle journée RGPD, elle sera dédiée aux données de santé. L'objectif est d'identifier des solutions pour une gestion responsable et innovante des données de santé.
L'événement se tiendra à la Faculté de droit de l'Université Catholique de Lille. Il sera accessible uniquement en présentiel et l'inscription est obligatoire.