Google a déployé les correctifs de sécurité de septembre 2025 pour Android, couvrant 120 vulnérabilités, dont deux jour-0 activement exploitées dans des attaques ciblées (CVE‑2025‑38352 dans le noyau Linux et CVE‑2025‑48543 dans l’Android Runtime), toutes deux autorisant une élévation de privilèges locale sans interaction utilisateur. L’ensemble des vulnérabilités corrigées inclut également des failles de type exécution de code à distance, divulgation d’informations, DoS, affectant les composants Framework et Système.
VirusTotal a révélé une campagne de malware de plus d’un an, dissimulée dans des fichiers SVG contenant du JavaScript caché, envoyés par email en tant que faux portails de la justice colombienne (Fiscalía General de la Nación). Ces SVG inoffensifs pour les antivirus exécutaient un script injectant un faux site de téléchargement avec barre de progression ; en arrière-plan, ils déclenchaient le téléchargement d’un ZIP malveillant. L’analyse AI "Code Insight" de VirusTotal a permis de repérer 44 fichiers similaires, rétroactivement étendus à 523 échantillons grâce à des commentaires codés ayant persisté dans le code (POLIFORMISMO_MASIVO_SEGURO).
Un mainteneur de paquets npm, Josh Junon alias qix, a vu ses comptes compromis suite à une attaque de phishing ciblée, menée via un faux domaine support[@]npmjs[.]help imitant le domaine officiel de npm. L’email frauduleux incitait à mettre à jour les identifiants 2FA sous menace de blocage de compte au 10 septembre 2025.
Une fois le compte compromis, les attaquants ont injecté un code malveillant dans plusieurs paquets populaires, parmi lesquels debug, chalk, strip-ansi ou ansi-styles, représentant à eux seuls plus de 2,6 milliards de téléchargements hebdomadaires cumulés
Le code malveillant n’affecte que les personnes accédant aux applications compromises via le web. Il surveille les adresses et transactions liées aux cryptomonnaies, qui sont ensuite redirigées vers des portefeuilles contrôlés par les attaquants, entraînant le détournement de la transaction par les attaquants au lieu de son envoi à l’adresse prévue
Plex, plateforme de streaming et solution de serveur multimédia, a récemment alerté ses clients d'une brèche de sécurité : un acteur non autorisé a accédé à une base de données contenant des adresses e-mail, identifiants d’utilisateur et mots de passe hachés et stockés.
Par mesure de précaution, Plex recommande fortement à tous ses utilisateurs de :
Signal déploie une nouvelle fonctionnalité optionnelle permettant de créer des sauvegardes chiffrées de bout en bout (E2EE) de vos messages et médias, disponibles dès maintenant en version bêta sur Android, avec prochainement iOS et desktop. En mode gratuit, l’utilisateur peut enregistrer ses messages et les médias des 45 derniers jours jusqu’à 100 MiB. Le forfait payant (1,99 $/mois) étend la capacité jusqu’à 100 GB. La clé de récupération, générée localement et non conservée par Signal, est indispensable pour restaurer les données, en cas de perte de cette clé, la sauvegarde devient irrécupérable. Ces sauvegardes permettent d’assurer la continuité des communications en cas de perte ou dommage de l'appareil, sans compromettre la confidentialité.
Le groupe LunaLock vient d’émerger avec une nouvelle tactique de chantage : utiliser les données volées comme matière d’entraînement pour des modèles d’intelligence artificielle.
Cette nouvelle forme d’extorsion s’attaque directement à la propriété intellectuelle, avec des conséquences durables. Une fois intégrées dans des modèles IA, les données deviennent quasiment intraçables et irréversibles, contrairement à une simple fuite sur le dark web.
Dans le cadre de son plan d’action initié en 2019, la CNIL poursuit sa politique de régulation autour des cookies et traceurs. Elle a prononcé récemment deux sanctions majeures : une amende de 325 millions € à l’encontre de Google pour affichage d’annonces dans Gmail et dépôts de cookies sans consentement valable, assortie d’une astreinte journalière de 100 000 € en cas de non‑conformité et une sanction de 150 millions € contre Shein pour cookies publicitaires déposés malgré un refus exprimé par l’utilisateur. Ces décisions illustrent la détermination de la CNIL à garantir un consentement libre, éclairé et réversible, conformément aux exigences du RGPD.
Une vulnérabilité critique (CVSS 9.3) a été identifiée dans XWiki Platform (module xwiki-platform-skin-skinx, versions ≥ 4.2‑milestone‑2 et < 16.10.7). Cette faille de type Relative Path Traversal (CWE‑23) permet à un attaquant distant, sans privilèges ni interaction utilisateur, d’accéder à des fichiers sensibles de configuration (comme xwiki.cfg) via des URL malicieuses sur Tomcat. L’impact comprend une compromission potentielle de la confidentialité, intégrité et disponibilité du système. La version 16.10.7 (et 17.4.0‑rc‑1) résout cette vulnérabilité. Aucune solution de contournement connue n’est disponible.
Une vulnérabilité jour-0, CVE-2025-53690, affecte des déploiements obsolètes de Sitecore utilisant une clé machine ASP.NET « sample » clairement documentée, parfois réutilisée en production. Cette faille permet aux attaquants de créer des payloads ViewState malveillants, déclenchant une exécution de code à distance (RCE) sur IIS sous le compte NETWORK SERVICE via l’endpoint non authentifié /sitecore/blocked.aspx.
Les attaquants y ont déployé la backdoor WeepSteel, chargé d’exfiltrer des données système, suivi d’outils de tunneling réseau (Earthworm), d’accès à distance (Dwagent), d’élévation de privilèges (création de comptes administrateur locaux, dump SAM/SYSTEM), et d’usurpation de jetons avec GoTokenTheft.
Une vulnérabilité de sévérité critique a été identifiée dans la librairie Python internetarchive (méthode File.download()), affectant toutes les versions ≤ 5.5.0 : elle permet une attaque de type Directory Traversal via la manipulation de noms de fichiers malveillants, pouvant entraîner l’écrasement de fichiers système ou de configuration, un déni de service, une élévation de privilèges ou une exécution de code selon le contexte d’usage.
Une vulnérabilité de sévérité élevée (CVSS 8.1) concerne Coder, plateforme d’environnements de développement intégrés. Les versions ≥ 2.22.0 < 2.24.4 et ≥ 2.25.0 < 2.25.2 sont affectées par une mauvaise gestion des sessions dans les prebuilt workspaces : l’ancien jeton de session prebuilds n’était pas expiré lors de la prise en main, permettant à un utilisateur authentifié de conserver les droits de ce système et de compromettre d’autres workspaces (impact sur confidentialité et intégrité).
Une vulnérabilité de type PHP Object Injection (CVE-2025-9260) a été identifiée dans le plugin WordPress Fluent Forms, affectant les versions de 5.1.16 à 6.1.1. Un attaquant authentifié au niveau "Subscriber" peut exploiter la désérialisation d’un input non fiable via la fonction parseUserProperties, injecter un objet malveillant, lire des fichiers arbitraires, et même déclencher du Remote Code Execution si la configuration allow_url_include est activée.
La version 6.1.0 comporte un patch incomplet (classe manquante), rendant 6.1.2 la version corrigée fiable. Une mise à jour immédiate vers 6.1.2 ou ultérieure est fortement recommandée.
Une vulnérabilité critique (CVSS 9.3) a été découverte dans pREST (module Go, versions antérieures à v2.0.0-rc2) : une injection SQL généralisée (CWE-89), due à une construction dynamique de requêtes sans validation suffisante des paramètres database, schema, table ou prédicats tsquery.
Microsoft a publié sur GitHub, sous licence MIT, la version 1.1 du BASIC pour microprocesseur MOS 6502, développée en 1976 par Bill Gates et Ric Weiland. Le code comprend 6 955 lignes en assembleur et couvre des plateformes historiques comme Apple II, Commodore PET, VIC-20 ou KIM-1.
La 8ᵉ édition de la CloudWeek Paris se tiendra le 17 septembre 2025 à l’Hôtel de l’Industrie (Paris 6ᵉ), rassemblant décideurs publics, industriels et experts pour décrypter les grandes tendances du cloud. Organisé par EuroCloud, cet événement phare propose panels, keynotes, masterclasses et espaces de networking.
Les six thématiques au cœur de l’édition 2025 sont particulièrement stratégiques : migration vers le cloud, sécurité dès la conception, intelligence artificielle, durabilité, souveraineté numérique et attractivité du cloud français. La journée s’annonce dense, avec plus de 50 intervenants issus de 150 entreprises, dont Laure de La Raudière (ARCEP) parmi les figures de proue.
L’événement met également en lumière l’enjeu de la souveraineté numérique et le développement d’un écosystème cloud de confiance, alors que les initiatives européennes se multiplient (CSF logiciels de confiance, IA Act).
Ethiack, société portugaise, organise un nouvel événement regroupement des entreprises du monde de l'hacking éthique (bug bounty, outils) et sociétés de service au tour de l'AI. Il se déroulera à Lisbonne le 25 septembre prochain entre 9h et 20h. Il est possible d'acheter son billet directement sur le site.