Bulletin du 19 août 2025


mardi 19 août 2025

Les actualités de la cybersécurité

  • Fuite du code source du malware Android bancaire ERMAC 3.0

    Le code source complet du malware Android ERMAC a été découvert en mars 2024 par les chercheurs de Hunt.io.

    Cette fuite inclut le backend en PHP, le frontend en React, le serveur d’exfiltration, le builder d’APK et les configurations de déploiement, exposant toute l’infrastructure du modèle "malware-as-a-service".

    Plus abouti que ses versions précédentes, ERMAC 3.0 cible désormais plus de 700 applications banques, cryptomonnaies, e-commerce. Ses capacités incluent : vol de SMS et de mails Gmail, prise de photos via la caméra frontale, gestion complète des apps, et envoi de notifications frauduleuses. L’analyse révèle également des erreurs opérationnelles : tokens JWT codés en dur, identifiants root par défaut, absence de protections d’accès au panneau d’administration.

    Hunt Intelligence, 19 août 2025, en anglais
  • 20 applications VPN douteuses présentes dans Google Play

    Une enquête de Citizen Lab révèle que près de 20 applications VPN sur Google Play, représentant plus de 700 millions de téléchargements, présentent de graves vulnérabilités de sécurité : mots de passe codés en dur, chiffrements obsolètes, et collecte dissimulée de données de localisation. En cause, trois éditeurs prétendument distincts Innovative Connecting, Autumn Breeze, Lemon Clove mais techniquement liés, utilisant le protocole Shadowsocks, inadapté à la protection de la vie privée.

    Ces applications dont Turbo VPN, VPN Proxy Master ou encore Snap VPN sont vulnérables à des attaques par injection de paquets et interception de trafic. Citizen Lab appelle à éviter les VPN basés sur Shadowsocks, initialement conçu pour contourner la censure, mais dangereux pour les usages liés à la confidentialité.

    The Citizen Lab, 19 août 2025, en anglais
  • Debian 13 Trixie

    Debian a publié sa nouvelle version stable, Debian 13, nom de code Trixie. Cette release succède à Debian 12 Bookworm et amorce un nouveau cycle de stabilité de cinq ans, avec un support complet jusqu’en 2028, et une phase LTS jusqu’en 2030.

    Parmi les évolutions, l’introduction de Plasma 6, la prise en charge officielle de riscv64, le support natif de HTTP/3 dans curl, des mesures anti-ROP/COP/JOP sur amd64/arm64, ainsi que des progrès notables vers des constructions de paquets reproductibles.

    Trixie introduit également le retrait de plusieurs composants obsolètes, achève la transition vers un répertoire /usr fusionné, et adopte l’interface t64 pour garantir la compatibilité au-delà de 2038. Côté sécurité, systemd propose désormais run0, une alternative à sudo reposant sur les groupes Unix.

    Debian.org, 19 août 2025, en anglais
  • Microsoft durcit la protection de Teams

    Microsoft a annoncé de nouvelles mesures pour renforcer la sécurité de Teams, en bloquant les fichiers et les liens potentiellement dangereux dans les discussions et canaux.

    Microsoft, 18 août 2025, en anglais
  • Gemini vulnérable à des attaques Promptware

    Une étude récente a démontré qu’une invitation Google contenant une injection de prompt indirecte peut compromettre les assistants Gemini de Google.

    Cette technique, qualifiée de Promptware, consiste à insérer des instructions malveillantes dans des contenus usuels : e-mails, événements, documents partagés, que l’IA interprète comme des commandes légitimes.

    Les chercheurs ont simulé 14 scénarios d’attaques sur les assistants Gemini. Les attaques s’appuient sur les capacités agentiques des assistants, l’interprétation d’intentions et l’invocation d’apps, leur permettant d’interagir de façon autonome avec l’environnement numérique et matériel de l’utilisateur.

    Invitation Is All You Need, 18 août 2025, en anglais
  • Microsoft Entra ID ciblé par une attaque de contournement FIDO

    Des chercheurs de Proofpoint ont démontré une nouvelle méthode d’attaque par repli contre l’authentification FIDO utilisée dans Microsoft Entra ID.

    L’attaque, développée par Proofpoint, exploite une faille d'intégration en usurpant l'identité d’un navigateur incompatible avec FIDO. En simulant cet environnement à travers un phishlet Evilginx, Microsoft Entra désactive automatiquement l’authentification FIDO, forçant l’utilisateur à recourir à une méthode alternative plus faible.

    Si la victime valide cette méthode de secours, l’attaquant intercepte à la fois les identifiants et les cookies de session, lui donnant un accès complet au compte ciblé.

    Proofpoint, 18 août 2025, en anglais
  • Microsoft corrige 111 failles

    Microsoft à publié un bulletin de sécurité corrigeant 111 vulnérabilités :

    • 16 failles critiques
    • 92 hautes
    • 2 modérées
    • 1 faible
    Microsoft, 18 août 2025, en anglais
  • Microsoft supprime définitivement PowerShell 2.0

    Windows PowerShell 2.0, introduit avec Windows 7 et officiellement déprécié en 2017, sera définitivement supprimé des futures versions de Windows. Jusqu’ici disponible en tant que fonctionnalité optionnelle pour assurer la compatibilité, il disparaîtra :

    • dès août 2025 dans Windows 11, version 24H2
    • en septembre 2025 dans Windows Server 2025
    Microsoft, 18 août 2025, en français
  • Un nouveau standard du NIST pour protéger les IOTs

    Le NIST a publié le standard Lightweight Cryptography destiné à protéger les données générées et transmises par les milliards d’objets connectés et autres dispositifs électroniques, tels que les RFID, implants médicaux ou capteurs industriels.

    Ces appareils, limités en puissance de calcul et en mémoire, nécessitent des mécanismes de sécurité robustes. Les algorithmes traditionnels de cryptographie, souvent trop gourmands en ressources, ne conviennent pas. Le standard publié sous la référence NIST Special Publication 800-232 – Ascon-Based Lightweight Cryptography Standards for Constrained Devices vient répondre à ce défi.

    NIST, 18 août 2025, en anglais

Focus sur les actualités réglementaires

  • Le Department of Justice saisit plus d’un million de dollars à BlackSuit

    Le U.S. Department of Justice a annoncé la saisie de 1,09 million de dollars en cryptomonnaies appartenant au gang de ransomware BlackSuit. Cette action a permis :

    • la saisie de 4 serveurs et 9 domaines utilisés pour les campagnes de rançongiciel,
    • la confiscation de 1,09 M$ en cryptomonnaies issues de paiements de rançon, gelées sur un exchange en janvier 2024.

    Cette opération n’aurait pas été possible sans une coopération internationale. Aux côtés des États-Unis, la France, le Royaume-Uni, l’Allemagne, l’Irlande, le Canada, l’Ukraine et la Lituanie ont contribué à rendre cette action conjointe efficace.

    U.S. Department of Justice, 18 août 2025, en anglais

Focus sur les vulnérabilités récentes

  • Contournement d’authentification dans FortiWeb

    Fortinet a publié un bulletin de sécurité concernant son produit FortiWeb, versions 7.0 à 7.6.

    Référencée sous le code CVE-2025-52970 : une mauvaise gestion des paramètres dans FortiWeb peut permettre à un attaquant distant non authentifié, disposant d’informations non publiques sur l’équipement et la cible, d’obtenir des privilèges administrateur via une requête spécialement conçue.

    Fortinet a corrigé cette vulnérabilité dans les versions 7.6.4, 7.4.8, 7.2.11 et 7.0.11.

    Fortinet, 19 août 2025, en anglais
  • Vulnérabilité critique FortiSIEM

    Fortinet a publié un bulletin de sécurité concernant une vulnérabilité dans leur produit FortiSIEM.

    Référencée sous le code CVE-2025-25256 : une neutralisation incorrecte d'éléments spéciaux utilisés dans une commande OS peut permettre à un attaquant non authentifié d’exécuter du code ou des commandes non autorisés via des requêtes CLI spécialement conçues.

    Fortinet, 18 août 2025, en anglais