Air Serbia subit depuis le 4 juillet une cyberattaque de grande ampleur, toujours active onze jours plus tard. Selon des sources internes, l'attaque aurait entraîné une compromission en profondeur de l’Active Directory. L’accès internet a été restreint, des vagues de réinitialisation de mots de passe ont été imposées et les processus automatisés ont été perturbés. Aucune demande de rançon n’a été détectée, mais l’infection par un infostealer est suspectée, ouvrant la voie à de futures attaques. Le personnel a été payé, mais les bulletins de paie sont indisponibles. Des inquiétudes demeurent quant à une possible fuite de données non divulguée.
L'action coordonnée des forces de l'ordre de plusieurs pays européen et des États-Unis d'Amérique ont permis 24 perquisitions dont une en France. L'opération s'est déroulée entre le 14 et 15 juillet. Plus de 100 serveurs saisis, deux arrestations (France et Espagne), 7 mandats d'arrêts et 13 interpellations. Un message envoyé via Telegram (service de messagerie utilisé par le collectif) a été envoyé aux sympathisants pour les avertir de l'opération et des responsabilités pénales encourues. Ce groupe, pro-russe, est responsable des attaques subit par les collectivités de Marseille, Nice et Angers en fin d'année 2024.
Cloudflare vient de publier son 22ᵉ rapport sur les attaques DDoS subies (publié tous les trimestres). Il indique avoir bloqué la plus grosse attaque en débit jusqu'à maintenant : 7,3Tbps pour 4,8Mpps (millions de paquets par secondes). La période représente plus de 6500 attaques de grosse ampleur pour une moyenne de 71 par jours. Cependant, le nombre total d'attaques (7,3M) de ce type a été divisé par trois par rapport à Q1 (20,5M). La Chine, Brésil et Allemagne sont les trois pays les plus ciblés, et les trois principales sources sont l'Indonésie, Singapoure et Hong Kong.
WordPress vient de recevoir une nouvelle version mineure. Elle peut s'installer de façon automatique si l'ensemble des thèmes et extensions sont compatibles. Elle apporte des corrections sur l'éditeur de bloc intégré, le thème intégré et la librairie d'émojis. Cette mise à jour met également un terme au support de sécurité pour les versions entre 4.1 et 4.6 sorties il y a plus de neuf ans.
La fin du support de Windows 10 prend effet le 10 octobre 2025. Cependant, la fin de support pour la suite Office est en décalée, avec une échéance prévue pour octobre 2028. Cependant, dès août 2026, l'édition Microsoft 365 Personal and Family ne recevra plus de nouvelles fonctionnalités. La date prévue pour l'édition entreprise est le 13 octobre 2026 (canal annuel) et 12 janvier 2027 (canal semi-annuel). La seule solution sera la mise à jour vers Windows 11 pour retrouver les mises à jour de la suite Office.
La dernière version de Google Chrome (138.0.7204.157/.158 en fonction du système d'exploitation) corrigent six vulnérabilités dont une activement exploitée (cinquième cette année) permettant de sortie de l'isolation de Chrome via une page HTML (CVE-2025-6558). Elle est due au composant ANGLE (Almost Native Graphics Layer Engine) qui permet de faire des appels vers les moteurs de rendu 3D (Direct3D, Metal, Vulkan, et OpenGL) depuis OpenGL ES API. Aucun détail technique n'est cependant disponible.
GLPI 10.0.19, publié le 16 juillet 2025, apporte des correctifs ciblés sur neuf vulnérabilités critiques liées à la confidentialité, l'intégrité et l'accès non autorisé.
Oracle a publié un correctif pour sept vulnérabilités affectant Oracle VM VirtualBox, toutes exploitables localement et nécessitant une authentification. Trois d’entre elles (CVE-2025-53024, CVE-2025-53027, CVE-2025-53028) sont classées critiques avec un score CVSS de 8.2. Elles impactent la confidentialité, l'intégrité et la disponibilité. L’exploitation requiert des privilèges élevés et une interaction de l’utilisateur, mais pourrait permettre à un attaquant d’élever ses droits ou de provoquer un déni de service.
Les autres vulnérabilités (CVE-2025-53025, CVE-2025-53026, CVE-2025-53029, CVE-2025-53030) présentent un risque modéré à élevé, affectant principalement la confidentialité. Toutes concernent la version 7.1.10.
Les systèmes isolés ou exécutant des machines virtuelles multi-utilisateurs sont les plus exposés. Une revue des accès utilisateurs et une mise à jour rapide sont recommandées.
Plusieurs failles de sécurité ont été corrigées dans Grafana, affectant les versions antérieures à 12.0.2. Parmi elles, CVE-2025-6023 permet une attaque de type XSS via redirection ouverte et contournement de chemin, exploitant les tableaux de bord scriptés. Introduite en v11.5.0, cette faille critique est désormais corrigée.
La faille CVE-2025-6197 concerne une redirection ouverte lors d’un changement d’organisation. Exploitable si plusieurs organisations existent et si l’utilisateur cible est connecté à une organisation différente de celle spécifiée dans l’URL.
La vulnérabilité CVE-2025-3415 expose les URL de l’intégration DingDing à des utilisateurs avec des droits de simple consultation, compromettant potentiellement la confidentialité des configurations d’alerte.
Enfin, CVE-2025-1088 cause un blocage du frontend sur navigateur Chromium en cas de titres de tableaux de bord trop longs, dû à une mauvaise validation des entrées.
Une faille critique (CVE-2025-7643, CVSS 9.1) affecte toutes les versions du plugin WordPress Attachment Manager jusqu’à la 2.1.2 incluse. Elle permet à un attaquant non authentifié de supprimer arbitrairement des fichiers sur le serveur, via une mauvaise validation des chemins dans la fonction handle_actions().
Cette vulnérabilité de type path traversal peut entraîner des conséquences graves : la suppression de fichiers clés tels que wp-config.php peut conduire à une exécution de code à distance ou à la compromission complète du site.
L’ANSSI a mené une étude de marché auprès de 18 éditeurs pour évaluer l’usage de l’IA dans les solutions de détection et de réponse aux incidents. Deux grandes familles sont identifiées : l’IA prédictive (PredAI), centrée sur la détection, et l’IA générative (GenAI), de plus en plus utilisée pour l’assistance à l’investigation et à la remédiation. Cinq catégories d’usage se distinguent, dont l’analyse comportementale (UEBA) et l’assistance aux analystes SOC. L’étude souligne la prédominance de modèles hébergés à l’extérieur, au détriment de la maîtrise des données. L’ANSSI poursuit son plan stratégique 2025–2027 avec des actions concrètes sur la certification, la sécurisation des systèmes IA et l’accompagnement du marché.
La DebConf25 bat son plein à Brest ! Depuis le 14 juillet, contributeurs et passionnés du monde entier se réunissent à l’IMT Atlantique pour faire avancer l’univers Debian. Conférences, BoFs, ateliers et rencontres communautaires rythment cette semaine. À deux jours de la clôture, retour sur les moments forts et aperçu de ce qu’il reste à ne pas manquer.
Programme des deux jours restants :
Vendredi 18 juillet (aujourd’hui) : la journée est rythmée par des sessions pointues :
Et bien sûr, la soirée se terminera avec la traditionnelle Magic Bus Ride à 23h10 pour ceux qui ont encore de l’énergie à revendre.
Samedi 19 juillet