La fuite de données ayant touché l'opération télécom Free vient d’être ajoutée au site de référence Have I Been Pwned (HIBP). Cette plateforme permet de vérifier si une adresse email figure dans une base de données compromise.
L’incident, survenu en octobre 2024, concerne au total, 13,9 millions de comptes ont été exposés, comprenant noms, prénoms, adresses e-mail, dates de naissance, numéros de téléphone, adresse physique et IBAN.
Free averti cependant que les IBAN n'étant pas complet, les numéros ne sont pas suffisants pour permettre un débit direct sur le compte bancaire.
Le groupe fait part de leur découverte concernant une fuite de donnée sur leur portail service client. Les données concernées n'incluent pas de mots de passe ou données de paiements, mais les informations de contact (sans précisions). Cela fait suite à la même annonce de la part des filiales turque et coréenne plus tôt ce mois-ci. L'envoi d'une notification aux personnes concernées est en cours ainsi que l'instruction des autorités.
Netgate vient de publier une nouvelle version mineure pour l'édition gratuite de pfSense : 2.8.0. Elle est disponible depuis l'interface web ou en ISO pour une nouvelle installation. Elle contient notamment un nouveau pilote PPPoE, nouvelles fonctionnalités dans le service Kea DHCP, support complet du NAT64 et des mises à jour de sécurité. FreeBSD passe également en version 15-CURRENT et php en version 8.3.
Une mauvaise implémentation du protocole OAuth dans le sélecteur de fichiers (File Picker) de OneDrive permet à des applications tierces d’accéder à l’intégralité des fichiers d’un utilisateur, même si celui-ci tente simplement de téléverser un seul document. Ce comportement découle d’un manque de granularité dans les permissions accordées par Microsoft, qui attribue par défaut des droits de lecture – et parfois d’écriture – sur l’ensemble du OneDrive.
Cette faille, dénoncée par Oasis Security, concerne des services populaires comme ChatGPT, Zoom, Trello ou Slack, tous susceptibles d’utiliser File Picker. Les chercheurs soulignent que les jetons OAuth sont souvent stockés sans chiffrement dans des bases locales ou des serveurs, augmentant le risque d'exploitation par des attaquants. Le problème est d’autant plus critique que la version 7.0 du File Picker élargit encore les autorisations d’accès.
Note du CERT illicium : En attendant une mise à jour de Microsoft, il est conseillé aux développeurs d’applications web de désactiver l’intégration avec OneDrive ou de restreindre les accès à des liens en lecture seule. Une gouvernance API rigoureuse et une gestion stricte des permissions OAuth sont également recommandées.
La CNIL a contrôlé la société CALOGA, qui acquérait des données de prospects principalement auprès d’autres courtiers en données, éditeurs de sites de jeux-concours et de tests de produits. Suite aux manquements constatés concernant les obligations prévues par le Code des postes et des communications électroniques (CPCE, article L .34-5) et par le règlement général sur la protection des données (RGPD, article 7, paragraphe 3, article 6, article 5-1-e), la formation restreinte a prononcé une amende de 80 000 euros publique.
Trois vulnérabilités critiques (XSA-468) affectent les pilotes Xen PV pour Windows, y compris ceux de Citrix XenServer et XCP-ng. Elles permettent à un utilisateur non privilégié dans une VM Windows d'obtenir des privilèges système.
Les pilotes impactés incluent XCP-ng PV Bus < 9.0.9065 et Citrix PV Bus < 9.1.11.115.
Une faille critique (CVSS 9.3) affecte Icinga 2, un système de supervision open source. La fonction VerifyCertificate() peut être abusée pour valider à tort des certificats malveillants, permettant à un attaquant d'obtenir un certificat légitime et d'usurper des nœuds de confiance. Ce problème survient uniquement si Icinga 2 est compilé avec OpenSSL antérieur à la version 1.1.0, comme sur RHEL 7 ou Amazon Linux 2. Les versions corrigées sont 2.12.12, 2.13.12 et 2.14.6. Un accès réseau direct au maître est nécessaire pour l'exploitation. Il est recommandé de restreindre l'accès aux maîtres ou de désactiver la signature de nouveaux certificats en attendant la mise à jour.
Cette extension souvent utilisée pour créer des cours en ligne avec WordPress contient une vulnérabilité pour l'édition Pro : CVE-2025-4800. Elle permet à un utilisateur connecté sans privilèges, l'envoie arbitraire de fichier pouvant conduire à un contrôle total du site. Elle est due à l'absence de vérification du nonce et de l'extension du fichier dans la méthode stm_lms_upload_media_library_file. Le fichier est alors déplacé dans le dossier uploads qui est accessible publiquement. Il faut cependant que Media File Manager et Assignments soient activés manuellement sur le site.
Une extension s'installant dans le dossier /wp-content/plugins/contact-form/ et se faisant passer pour Yoast SEO injecte du code JavaScript pour afficher une faux message sur le site. Ce message incite l'utilisateur à mettre à jour Java pour voir correctement le site en question. Afin d'éviter la détection, le plugin s'enlève de la liste affichée dans la console d'administration et ne se montre que pour les visiteurs non connectés. L'analyse du code indique Windows comme cible principale. Le fichier téléchargé est classé comme hacktool.convagent/screenconnect sur VirusTotal.
Toutes les versions majeures de Argo CD (1, 2 et 3) contiennent une vulnérabilité : CVE-2025-47933. Elle permet à un attaquant d'exécuter des actions arbitraires en usurpant l'utilisateur au travers de l'API. Cela permet la création, modification et suppressions de ressources Kubernetes. Elle est causée par un mauvais filtrage des protocoles dans les URL sur la page du dépôt (utilisation possible de javascript:). Une mise à jour est disponible pour la version 2 (v2.13.8 et v2.14.13) et 3 (v3.0.4) mais pas pour la version 1 qui n'est plus supportée.
L'extension TI WooCommerce Wishlist (plus de 100 000 installations actives) permet de rajouter une fonction de liste de souhaits sur WooCommerce. Cependant, la fonction tinvwl_upload_file_wc_fields_factory, tinvwl_meta_wc_fields_factory et tinvwl_cart_meta_wc_fields_factory si WC Fields Factory est activé, contient un contournement (CVE-2025-47577) sur la validation de l'extension de fichier ('test_type' => false). Il est donc possible d'envoyer des fichiers PHP et les exécuter. Aucune mise à jour n'est actuellement disponible. Il est possible de corriger en attendant en modifiant le code pour supprimer la ligne 'test_type' => false.
L'équipe de GreyNoise annonce avoir découvert une exploitation active d'une précédente faille : CVE-2023-39780. Elle permet à un attaquant l'exécution arbitraire de commande. Elle est ici utilisée pour d'ajouter une clé SSH, d'activer le service SSH sur le port 53282/TCP, désactivé les journaux et Trend Micro's AiProtection. Cette attaque est persistante, car elle utilise les fonctions fournies par ASUS. Une mise à jour ne permet donc pas de corriger le souci. L'article donne des indices de compromissions et la clé SSH ajoutée.
fabio, équilibreur de charger pour consul notamment, contient une faille permettant la manipulation des en-têtes HTTP : CVE-2025-48865. En utilisant l'en-tête Connection, il est possible de supprimer les en-têtes suivants : X-Forwarded-Host, X-Forwarded-Port, X-Forwarded-Proto, X-Real-Ip, Forwarded. Une preuve de concept est donnée sur l'avertissement Github. Une version corrigeant le souci est disponible : 1.6.6.
L’ANSSI publie une approche pragmatique pour sécuriser l’Internet industriel des objets (IIoT) sans réarchitecturer les systèmes industriels existants. Ce guide, présenté à C&ESAR23, propose une interconnexion sécurisée IT/OT fondée sur des passerelles distinctes et cloisonnées. Objectif : préserver l’intégrité des procédés et limiter les risques liés aux consignes intelligentes ou aux capteurs non maîtrisés. L’accent est mis sur l’analyse de risque (EBIOS RM), le cloisonnement des flux, la gouvernance SSI transversale et la maîtrise de la chaîne de traitement des données. Ce modèle s’adapte aussi bien à une usine qu’à des environnements étendus ou logistiques. Un document de référence pour toute stratégie industrielle connectée.
Les 17 et 18 juin 2025 à Clermont-Ferrand se tiendra le congrès annuel du CoTer Numérique, rendez-vous phare des DSI des collectivités. Cette édition mettra l’accent sur les usages des données et de l’intelligence artificielle dans le cadre des transitions numériques et écologiques.
Parmi les thématiques abordées :
Plus de 1 000 décideurs y sont attendus pour deux jours d’échanges, d’ateliers thématiques, de retours d’expérience et de démonstrations. Ce congrès offre également un espace d’exposition, des tables rondes et une soirée de gala.
La participation est exclusivement réservée aux responsables informatiques des collectivités et EPCI. L’inscription en ligne est obligatoire, incluant hébergement, repas et accès à tous les temps forts du programme.