ESET Research a identifié une nouvelle variante de ransomware, HybridPetya, qui imite Petya/NotPetya tout en pouvant infecter des systèmes UEFI modernes.
cloak.dat injectable via reloader.efi.Aucune preuve que ce malware soit encore largement déployé dans la nature.
Le CERT‑FR signale que depuis 2021 et de façon continue, Apple émet des notifications de menace destinées aux personnes visées par des attaques utilisant des logiciels espions sophistiqués (ex. : Pegasus, Predator, Graphite, Triangulation).
Ces campagnes servent à alerter les cibles potentiellement compromises, notamment dans des contextes d’espionnage ciblé, sans forcément révéler précisément la méthode d’attaque. La dernière campagne date du 3 septembre 2025.
Le groupe Kering (Balenciaga, Gucci, Alexander McQueen) a confirmé une fuite de données massive survenue en avril 2025. L’attaquant, se revendiquant comme Shiny Hunters, affirme détenir des données liées à 7,4 millions d’adresses e‑mail. Sont concernées : nom, email, numéro de téléphone, adresse postale et montant total dépensé en boutique. Aucun détail bancaire n’a été exfiltré.
Microsoft rappelle que le 14 octobre 2025, Exchange Server 2016 et 2019 atteindront la fin de leur cycle de support étendu. À partir de cette date, il n’y aura plus de correctifs de sécurité, ni de mises à jour de bugs ni d’assistance technique.
La CNIL rappelle que la vidéoprotection dans les établissements scolaires doit rester exceptionnelle et strictement encadrée. Seules les zones comme les accès, couloirs ou entrées peuvent être filmées. Les salles de classe, cantines et cours de récréation ne doivent pas l’être, sauf circonstances exceptionnelles (violences récurrentes). Les personnes filmées doivent être informées clairement du dispositif, de sa finalité et de la durée de conservation des images, limitée à un mois sauf incident. Les dispositifs filmant la voie publique exigent une autorisation préfectorale. Plusieurs établissements ont été mis en demeure pour surveillance abusive et continue de lieux de vie scolaire.
Cisco a publié deux bulletins de sécurité concernant son système IOS XR, utilisé sur de nombreux routeurs et infrastructures réseau. Ces vulnérabilités sont référencées sous les codes CVE :
Une vulnérabilité (CVE‑2025‑58434) dans Flowise (versions ≤ 3.0.5), est un outil open-source et low-code permettant de créer des applications IA grâce à une interface intuitive de glisser-dépose. La faille permet à un attaquant non authentifié de déclencher un reset de mot de passe pour n’importe quel compte simplement en connaissant l’adresse mail. Le point d’entrée /forgot-password renvoie directement dans sa réponse le tempToken de réinitialisation, sans vérification. L’attaquant peut ensuite l’utiliser pour appeler /reset-password et changer le mot de passe de la victime.
Samsung a publié une mise à jour de sécurité mensuelle Android qui corrige la vulnérabilité CVE‑2025‑21043. Celle‑ci, exploitée dans la nature, concernait une écriture hors limite (out‑of‑bounds write) dans la bibliothèque libimagecodec.quram.so, utilisée pour parser des images. Elle permettait à un attaquant distant d’exécuter du code arbitraire sur des appareils Android 13 à 16.
Trois vulnérabilités critiques (CVE‑2025‑59359, CVE‑2025‑59360, CVE‑2025‑59361) affectent Chaos Mesh (< 2.7.3), permettant à un attaquant in-cluster non authentifié d’exécuter des commandes système via des mutations GraphQL : killProcesses, cleanIptables et cleanTcs. Ces failles compromettent gravement la confidentialité, intégrité et disponibilité du cluster Kubernetes. Un attaquant pourrait prendre le contrôle total de l’environnement ciblé.
Le CERT‑FR dresse le bilan des vulnérabilités majeures de l’été 2025 et formule des recommandations essentielles. Parmi les constats :
Ethiack, société portugaise, organise un nouvel événement regroupement des entreprises du monde de l'hacking éthique (bug bounty, outils) et sociétés de service au tour de l'AI. Il se déroulera à Lisbonne le 25 septembre prochain entre 9h et 20h. Il est possible d'acheter son billet directement sur le site.