Bulletin du 4 juillet 2025

Exécution de code arbitraire à distance activement exploitée sur les produits Fortinet

La récente découverte concernant l'exploitation d'une vulnérabilité dans les produits FortiVoice, FortiMail, FortiNDR, FortiRecorder et FortiCamera montre des signes d'exploitation active. La gamme FortiVoice serait particulièrement concernée. Cette vulnérabilité (CVE-2025-32756) permet un dépassement de la stack et conduire à l'exécution de code arbitraire via des requêtes HTTP. Fortinet a publié une mise à jour pour l'ensemble des produits ainsi que des indices de compromission.

Escroquerie cryptomonnaie : un réseau structuré démantelé pour 460 M€ de blanchiment

Le 25 juin 2025, les autorités espagnoles, épaulées par Europol, ont frappé un réseau de fraude cryptomonnaie hautement organisé : cinq individus ont été arrêtés entre Madrid et les Canaries. Cette opération, baptisée « Borrelli », est le fruit de deux ans d’enquête impliquant également l’Estonie, la France (via la gendarmerie de Nouvelle-Calédonie) et les États-Unis.

Démantèlement d'Archetyp Market

Les autorités européennes, avec le soutien d'Europol et d'Eurojust, ont démantelé Archetyp Market, l'un des plus anciens marchés de drogues opérant sur le dark web. Cette opération coordonnée, baptisée "Deep Sentinel", s'est déroulée du 11 au 13 juin 2025 et a mobilisé environ 300 agents dans six pays : Allemagne, Espagne, Pays-Bas, Suède, Roumanie et États-Unis.

Publicité électorale : nouvelles obligations en vue

La CNIL a mis à jour sa doctrine relative à la publicité politique ciblée, en prévision de l’entrée en application du règlement européen 2024/900, prévue pour le 15 octobre 2025. Ce texte renforce les exigences de transparence et de protection des données dans le cadre des campagnes politiques numériques.

Complémentaire au RGPD, le règlement 2024/900 impose notamment :

• le consentement explicite des personnes ciblées
• une collecte directe des données
• une interdiction du profilage fondé sur les données des mineurs ou données sensibles
• une obligation de traçabilité via un registre

Ces obligations visent à limiter les dérives observées lors de précédentes campagnes électorales, en particulier en matière de manipulation électorale et d’opacité algorithmique.

Vulnérabilité critique dans vLLM

GHSA à publie une bulletin de sécurité, la vulnérabilité vLLM référencé sous le code CVE-2025-47277 affecte les versions de vLLM comprises entre 0.6.5 et 0.8.4, spécifiquement dans les environnements utilisant l'intégration PyNcclPipe pour le transfert de cache KV avec le moteur V0. Cette vulnérabilité permet à un attaquant distant d'exécuter du code arbitraire sur le serveur via une désérialisation non sécurisée.

Le service PyNcclPipe utilise la méthode pickle.loads pour désérialiser des données reçues sur le réseau sans validation préalable, ouvrant la porte à une exécution de code à distance. De plus, le comportement par défaut de l'interface TCPStore de PyTorch est de lier le service à toutes les interfaces réseau, même si une adresse IP spécifique est fournie via le paramètre --kv-ip. Cela expose involontairement le service à des connexions non autorisées.

Vulnérabilité découverte dans le plugin Forminator de Wordpress

Le plugin Forminator, installé sur plus de 600 000 sites WordPress, est affecté par une vulnérabilité de gravité élevée (Arbitrary File Deletion), qui permet à un attaquant non authentifié de supprimer n’importe quel fichier sur le serveur, dont wp-config.php, ouvrant ainsi la voie à une prise de contrôle complète du site.

Référencée sous le code CVE-2025-6463 : la faille provient de l’absence de contrôle sur les champs soumis dans les formulaires : le plugin autorise un attaquant à injecter une structure de type fichier dans n’importe quel champ. Lors de la suppression de cette soumission (manuellement ou automatiquement), la fonction entry_delete_upload_files() supprime le fichier spécifié, sans vérifier le type du champ, la légitimité du chemin ou la provenance du fichier.

Toutes les versions de Forminator jusqu'à la version 1.44.2 incluse sont vulnérables ; un correctif est disponible en version 1.44.3.

Cisco Webex : Failles XSS

Cisco a corrigé trois vulnérabilités de type cross-site scripting affectant sa plateforme cloud Cisco Webex, référencées sous les codes CVE-2025-20246, CVE-2025-20247 et CVE-2025-20250. Ces failles proviennent d’un filtrage insuffisant des données saisies par les utilisateurs.

Un attaquant distant non authentifié peut exploiter ces vulnérabilités en incitant une victime à cliquer sur un lien spécialement conçu. Une telle attaque permettrait l’exécution de scripts dans le navigateur de l’utilisateur ciblé.

Ces vulnérabilités concernent uniquement la version cloud de Cisco Webex. Cisco a déjà appliqué les correctifs nécessaires côté infrastructure. Par conséquent, aucune action n’est requise.

VMware : Vague de correctifs critiques – RCE, fuite de données et DoS

Broadcom a publié deux bulletins de sécurité concernant ses produits VMSA-2025-0009 et VMSA-2025-0010 corrigeant sept vulnérabilités affectant les produits VMware Cloud Foundation, ESXi, vCenter Server, Workstation et Fusion. Ces failles exposent les environnements à des risques d’exécution de commande, de fuite de données et de déni de service.

VMSA-2025-0009 – VMware Cloud Foundation

• CVE-2025-41229 : Traversal de répertoires – Permet un accès non autorisé à des services internes via le port 443.
• CVE-2025-41230 : Divulgation d’informations
• CVE-2025-41231 : Absence de contrôle d’autorisation

VMSA-2025-0010 – vCenter, ESXi, Workstation & Fusion

• CVE-2025-41225 : Exécution de commande authentifiée – Un attaquant capable de modifier ou créer des alarmes peut exécuter des commandes arbitraires sur le plan de gestion.
• CVE-2025-41226 : Déni de service
• CVE-2025-41227 : Déni de service
• CVE-2025-41228 : XSS réfléchi

Réunion OSSIR – 8 juillet 2025 : sécurité cloud, veille et écosystème français

La prochaine réunion de l'OSSIR se tiendra le mardi 8 juillet 2025 à 14h, en format hybride.

Trois interventions rythmeront l'après-midi :

• Sécurité Cloud : l'approche graphe avec Cartography, par Jérémy Chapeau – une exploration de la visualisation des relations et ressources dans les environnements cloud.
• Panorama de la tech française, par Quentin Berdugo (SecAtScale) – une lecture stratégique de l'écosystème cyber et technologique national.
• Veille sécurité, par Jérémy De Cock et Melchior Courtois – un retour structuré sur les événements récents de la menace.

L'événement est accessible :

• À distance via Zoom
• En présentiel au Campus Cyber, 5 rue Bellini, 92800 Puteaux (8e étage) – inscription préalable

Blue Live 2025

Le 3 juillet 2025, Nantes accueillera le Blue Live 2025, un événement dédié à la cybersécurité et au cloud souverain, organisé par l’hébergeur français Blue. Cette seconde édition réunira plus de 600 décideurs IT, RSSI et experts techniques autour de retours d’expérience concrets, de démonstrations en direct et de débats stratégiques sur la résilience numérique.

SecNumEco revient à Nantes

Le 25 septembre 2025, la 4ᵉ édition de SecNumEco réunira entreprises, collectivités et institutions publiques à Nantes, autour des enjeux croisés de la sécurité économique et numérique. L’événement, porté par l’ANSSI et la Région Pays de la Loire, s’annonce dense et stratégique dans un contexte de menaces hybrides croissantes.

Quels que conférence en exemple :

• Table ronde Etat de la menace : Trois acteurs de premier plan — l’ANSSI, le ComCyberMI et déléguée à l'information stratégique et la sécurité économique — dresseront un panorama des menaces actuelles, en particulier les risques liés à l’IA et les potentielles cyberattaques sur les élections municipales 2026.
• Gérer une crise cyber : retour d'expérience de l'agglomération de St Nazaire : Retour d’expérience d’une agglomération confrontée à une attaque par rançongiciel en 2024. Une séquence concrète pour comprendre les rouages d’une gestion de crise efficace.
• Grand témoin : VIGINUM & la lutte contre les manipulations de l’information: Présentation du dispositif national de lutte contre les ingérences numériques étrangères, à un moment où la désinformation devient un levier stratégique dans les conflits numériques.