Let’s Encrypt annonce la mise en lecture seule de ses journaux CT basés sur le standard RFC 6962 dès le 30 novembre 2025, avant un arrêt complet le 28 février 2026. Le remplacement est assuré par des Static CT Logs, plus économes, performants et résilients. Ces nouveaux journaux éliminent les problèmes de latence (Merge Delay), réduisent les coûts (fin des bases de données lourdes) et permettent une meilleure mise en cache.
Aucune action n’est requise pour les utilisateurs finaux. Les navigateurs et autorités devront migrer vers les nouveaux points d’accès.
Publiée en 2013, la RFC 6962 a introduit le mécanisme Certificate Transparency (CT), visant à améliorer la confiance dans les certificats numériques en rendant leur émission visible et vérifiable par tous. Elle repose sur l’enregistrement de chaque certificat dans un journal public append-only, basé sur une structure Merkle Tree.
Malgré son efficacité initiale, la RFC 6962 montre aujourd’hui ses limites : coûts d’exploitation élevés, performances insuffisantes à l’échelle actuelle du Web, et risques de non-conformité liés au Merge Delay. Elle est progressivement remplacée par le modèle Static CT, plus économique, fiable et adapté à la montée en charge du Web PKI.
Avec CRLite, Firefox devient le premier navigateur à assurer une vérification des certificats TLS révoqués à la fois rapide, complète et respectueuse de la vie privée. Contrairement à OCSP, qui exposait les sites visités à des tiers, CRLite s’appuie sur une liste locale, mise à jour toutes les 12 heures, contenant l’ensemble des révocations issues des journaux Certificate Transparency.
Résultat : une meilleure confidentialité, une baisse notable des temps de connexion TLS et une couverture exhaustive des révocations. Firefox prévoit de désactiver OCSP dès la version 142 pour les certificats DV, consolidant son approche « privacy by design ».
Microsoft France a mis en place une rupture conventionnelle collective (RCC) visant à faire partir environ 200 salariés, soit 10 % de ses effectifs. Ce dispositif s'inscrit dans une démarche d’ajustement des ressources "aux exigences prévisionnelles, stratégiques et business", visant à améliorer l’efficacité tout en préparant la croissance à long terme. Il s’agit d’un départ volontaire négocié collectivement, sans recours à un plan social de licenciement.
Dans sa troisième revue semestrielle, publiée le 2 septembre 2025, PeeringDB annonce une augmentation de 50 % des ressources allouées au développement et à l’exploitation par rapport à 2024, favorisant un rythme d’amélioration plus soutenu. La comparaison de réseaux dans les résultats de recherche est disponible depuis juillet, avec des suggestions pour étendre l’outil aux IXPs et ajouter des tris. Le nouvel interface Web (Web UI) est en déploiement progressif, avec possibilité de retour à l’ancienne version pour les utilisateurs. L’authentification renforcée par MFA obligatoire pour les opérations authentifiées est désormais en place, sans impact sur les usages anonymes. Enfin, l’adressage a été normalisé (pays, ville, rue, etc.) pour améliorer la cohérence des données.
Depuis le 21 août 2025, des serveurs FreePBX (versions <15.0.66, <16.0.89 et <17.0.3) exposant leur panneau d’administration (ACP) à Internet ont subi des attaques exploitant une faille zero-day dans le module commercial Endpoint. L’accès initial, rendu possible par un problème de sanitisation des entrées utilisateur, a permis aux attaquants d’exécuter du code à distance avec élévation de privilèges, jusqu’à un potentiel accès root. Des portes dérobées ont été observées dans des systèmes compromis.
WhatsApp a corrigé une vulnérabilité « zero-click » (CVE‑2025‑55177) dans ses versions iOS et macOS, auparavant exploitables via des messages de synchronisation de périphériques liés à une absence d’autorisation suffisante permettait à un utilisateur non autorisé d’initier le traitement de contenu depuis une URL arbitraire sur l’appareil ciblé. Cette faille était vraisemblablement utilisée en chaîne avec la vulnérabilité Apple CVE‑2025‑43300 dans des attaques extrêmement sophistiquées.
Une vulnérabilité de sévérité élevée (CVSS 8.2) a été identifiée dans Rancher Manager, publiée le 28 août 2025 et validée le 29 août 2025. Elle concerne l’absence de limite sur la taille des corps de requêtes pour certaines terminaisons API, publics ou authentifiés. Un attaquant peut envoyer des charges volumineuses, saturer la mémoire de l’instance et provoquer un Denial of Service (disponibilité compromise), sans privilèges requis, via réseau, sans interaction utilisateur.
Une vulnérabilité de sévérité élevée affecte le plugin Cozmoslabs Paid Member Subscriptions (jusqu’à la version 2.15.1) : il s'agit d'une injection SQL non authentifiée permettant à un attaquant externe d’envoyer des requêtes malveillantes vers la base de données via le paramètre custom transmis par les webhooks. Le problème a été corrigé dans la version 2.15.2, qui introduit une validation stricte assurant que l’ID de paiement est bien numérique et utilise des requêtes préparées pour sécuriser l'accès à la base.
Cette présentation extraite de la dernière DEFCON par Grey Fox démontre les possibilités sur du Wifi, radio et Bluetooth d'un Flipper Zéro. Le contexte de la démonstration est : vous venez d'arriver dans une ville où l'ennemi est actif. Vous devez identifier et localiser leur équipe dans et autour d'un hôtel adjacent à un bâtiment allié.
L’Alliance Numérique publie un panorama des solutions d’intelligence artificielle issues de l’appel à manifestation d’intérêt 2025, destiné à accompagner les administrations publiques dans l’identification d’outils adaptés et sécurisés. Cette sélection regroupe plus de 20 solutions, allant des chatbots multilingues aux plateformes de détection de fraude ou d’assistance documentaire, avec des cas d’usage variés : santé, juridique, mobilité, éducation, etc.
Certaines solutions sont compatibles avec un hébergement SecNumCloud ou on-premise, répondant ainsi aux exigences de souveraineté. Un guide de bonnes pratiques est également disponible pour encadrer l’usage des solutions d’IA générative dans le secteur public.
Ce panorama ne constitue ni un label ni une validation officielle, mais un outil d’aide à la décision pour les acheteurs publics.
La Dinum publie la 20ᵉ édition de son panorama semestriel des grands projets IT de l’État. Sur les 45 projets recensés, l’écart budgétaire moyen chute à 6,5 %, contre 17,5 % six mois plus tôt – un niveau historiquement bas. Le montant total de ces projets s’élève à 3,3 Md€, en baisse de 500 M€. En revanche, les retards calendaires persistent, notamment sur les projets majeurs comme le Réseau radio du futur (900 M€) ou la facturation électronique (259 M€).
La Dinum pousse désormais une approche agile et incrémentale, accompagnée d’un nouveau marché public de 195 M€ pour soutenir les ministères dans cette transition.
Le NIST publie le second draft public de son rapport IR 8536, qui propose un meta-framework pour améliorer la traçabilité des chaînes d’approvisionnement dans le secteur manufacturier. Ce cadre vise à permettre l’identification précise de l’origine des composants tout au long de la chaîne logistique, en réponse aux risques accrus de fraudes, contrefaçons et sabotages.
S’appuyant sur les travaux précédents du NIST (IR 8419), cette approche standardisée facilite l’interopérabilité des données de traçabilité, renforce la transparence des flux et soutient la conformité légale et contractuelle. Un outil stratégique face à la complexité croissante des chaînes globalisées.
À l’occasion de ses 20 ans, le framework Symfony organise une soirée communautaire le jeudi 27 novembre 2025 à Amsterdam, en marge de la SymfonyCon. L’événement se tiendra de 19h30 à 22h30 au Kanarie Club, au cœur du célèbre marché couvert De Hallen.
Cette soirée sera l’occasion de rassembler la communauté Symfony dans une ambiance conviviale, avec musique, boissons offertes, et accès libre à la restauration sur place. L’accent est mis sur l’échange entre développeurs, contributeurs et partenaires, dans une atmosphère festive mais propice aux discussions techniques. L’entrée est gratuite pour les participants à la conférence (badge requis).
Un moment fort pour marquer deux décennies d’évolution du framework open source, largement utilisé dans les projets PHP professionnels.
Le Cloudflare Connect 2025 se tiendra du 13 au 16 octobre à l’ARIA Resort & Casino de Las Vegas. Rassemblant plusieurs milliers de professionnels – développeurs, RSSI, DSI et décideurs – cet événement s’affirme comme un rendez-vous incontournable pour échanger autour des enjeux actuels de la sécurité et des performances réseau.
Au programme : des keynotes stratégiques (Innovation Keynote, sessions d’ouverture et de clôture), plus de 100 ateliers techniques et sessions de formation via Cloudflare University, et des démonstrations de solutions innovantes dans l’Innovation Theater. Plusieurs temps forts sont dédiés au réseautage, tels que le Welcome Reception, le Cloudflare After Dark, ou encore le Women's NETwork Lunch, valorisant la place des femmes dans la cybersécurité.
Des focus thématiques sont prévus pour les développeurs, les partenaires, et les décideurs techniques. Cloudflare met en avant ses dernières innovations et bonnes pratiques d’implémentation à travers des workshops spécialisés.
Un rendez-vous à suivre de près pour anticiper les évolutions du cloud et renforcer ses stratégies de protection.
Le 30 septembre 2025, la CNIL organise un événement autour de la protection des données des employés dans le contexte du droit du travail, ainsi que la recherche d’un équilibre entre droits individuels et responsabilités collectives face au développement de l’intelligence artificielle.
Le but de cet événement est de permettre aux étudiants, avocats, DPO et universitaires d’échanger avec la CNIL.
Pour cela, deux tables rondes sont organisées :
La 8ᵉ édition de la CloudWeek Paris se tiendra le 17 septembre 2025 à l’Hôtel de l’Industrie (Paris 6ᵉ), rassemblant décideurs publics, industriels et experts pour décrypter les grandes tendances du cloud. Organisé par EuroCloud, cet événement phare propose panels, keynotes, masterclasses et espaces de networking.
Les six thématiques au cœur de l’édition 2025 sont particulièrement stratégiques : migration vers le cloud, sécurité dès la conception, intelligence artificielle, durabilité, souveraineté numérique et attractivité du cloud français. La journée s’annonce dense, avec plus de 50 intervenants issus de 150 entreprises, dont Laure de La Raudière (ARCEP) parmi les figures de proue.
L’événement met également en lumière l’enjeu de la souveraineté numérique et le développement d’un écosystème cloud de confiance, alors que les initiatives européennes se multiplient (CSF logiciels de confiance, IA Act).
Comme chaque nouvelle rentrée. Apple en profite pour annoncer son prochain événement. Il sera dédié, en autres, à la présentation de la nouvelle gamme d'iPhone (17), la nouvelle version d'iOS (26) ainsi que la refonte graphique associée (Liquid Glass).