Il suffit parfois d’un simple scan nmap pour tomber sur une faille monumentale. Et c’est pile poil ce qui est arrivé à Félix Boulet, un chercheur en sécurité qui farfouillait dans le réseau privé de Docker et qui a découvert que l’API interne du Docker Engine traînait tranquillement à l’adresse http://192.168.65.7:2375/, sans aucune authentification. Oui, accessible depuis n’importe quel conteneur qui tourne sur votre machine.

Du coup, la CVE-2025-9074 qui en découle a reçu une note de 9.3 sur l’échelle CVSS, ce qui en fait une vulnérabilité critique. En fait, le problème, c’est que cette API exposée permet à un conteneur malveillant de communiquer directement avec le moteur Docker sans avoir besoin de monter le socket Docker. En gros, deux petites requêtes HTTP POST suffisent pour compromettre entièrement le système hôte. La première crée un conteneur privilégié avec le disque C: monté, et la seconde démarre ce conteneur malveillant…

Sous Windows, la situation est particulièrement préoccupante car le Docker Engine fonctionne via WSL2, ce qui signifie qu’un attaquant pourrait monter l’intégralité du système de fichiers en tant qu’administrateur. À partir de là, il pourrait lire n’importe quel fichier sensible et même remplacer une DLL système pour obtenir des privilèges administrateur complets sur l’hôte. Philippe Dugre, un autre chercheur, a confirmé qu’il pouvait créer des fichiers dans le répertoire home de l’utilisateur sous Windows, chose qu’il n’a pas réussi à faire sur macOS grâce aux protections supplémentaires du système d’Apple.

Ce qui rend cette vulnérabilité encore plus vicieuse, c’est que même la fonction Enhanced Container Isolation (ECI) de Docker ne la bloque pas. Cette protection censée isoler les conteneurs est complètement inefficace face à cette faille et les conteneurs peuvent toujours accéder à l’API et lancer d’autres conteneurs sans restriction. Ça la fout mal…

Sur macOS, l’impact est heureusement plus limité grâce aux mécanismes de sécurité intégrés. L’application Docker Desktop conserve une bonne couche d’isolation et demande la permission à l’utilisateur quand un conteneur tente de monter un répertoire utilisateur. Par défaut, l’application macOS n’a pas accès au reste du système de fichiers et ne s’exécute pas avec des privilèges administratifs, ce qui rend l’hôte beaucoup plus sûr que dans le cas de Windows.

Docker a rapidement réagi (youpi !) et publié la version 4.44.3 de Docker Desktop qui corrige cette vulnérabilité. Donc si vous utilisez Docker Desktop sur Windows ou macOS, installez cette mise à jour immédiatement. Aucune exploitation dans la nature n’a été signalée pour l’instant, mais avec une vulnérabilité aussi simple à exploiter et aux effets potentiellement dévastateur, mieux vaut ne pas traîner.

Pour info, Docker a également mentionné une autre vulnérabilité, la CVE-2025-23266, qui affectait le NVIDIA Container Toolkit en mode CDI jusqu’à la version 1.17.7 . Docker Desktop inclut maintenant la version 1.17.8 qui n’est pas touchée, mais les anciennes versions de Docker Desktop pourraient être affectées si le mode CDI était activement activé. C’est une raison de plus pour mettre à jour vers Docker Desktop 4.44 ou ultérieur.

Bravo Félix !

Source

Bon, si vous utilisez Plex Media Server pour organiser vos films, séries et musiques, il faut que vous sachiez un truc important : une vulnérabilité vient d’être découverte et heureusement corrigée. Et c’est du sérieux, donc vous allez lire cet article et ensuite filer mettre à jour votre Plex !

La vulnérabilité touche les versions 1.41.7.x à 1.42.0.x du Media Server donc si vous êtes sur une de ces versions, il faudra passer à la 1.42.1.10060 ou plus récente maintenant !! Pas demain, hein ! Maintenant.

Plex reste discret sur les détails techniques de cette faille, pas de CVE attribué pour l’instant, pas d’explications détaillées sur ce qui pouvait être exploité. Mais leur communication parle d’elle-même etont même averti directement leurs utilisateurs par email, ce qui est assez rare. Généralement, ils se contentent des notes de version.

Le bug a été signalée via leur programme de bug bounty, ce qui a permis à Plex de corriger le problème avant qu’il ne soit exploité dans la nature et pour mettre à jour, c’est simple comme bonjour. Soit vous passez par l’interface d’administration de votre serveur, soit vous téléchargez la dernière version sur le site officiel de Plex.

Dans les deux cas, ça prend cinq minutes.

En mars 2023, la CISA avait déjà signalé l’exploitation active d’une faille RCE vieille de trois ans (CVE-2020-5741) qui permettait l’exécution de code à distance. Cette faille avait notamment été utilisée dans l’attaque contre LastPass en 2022. Et en 2018, SEC Consult avait révélé plusieurs vulnérabilités incluant des attaques XXE permettant l’accès aux fichiers système et des élévations de privilèges.

C’est pourquoi le message de Plex est important : maintenez vos serveurs à jour car dans un environnement où nos bibliothèques multimédia sont souvent accessibles depuis l’extérieur, une faille de sécurité peut rapidement devenir problématique.

Mieux vaut être en sécurité que désolé, mes amis ! Pensez-y !

Source

Félicitations ! Si vous avez installé la mise à jour KB5063878 de Windows 11, vous venez de débloquer la fonctionnalité cachée “Roulette Russe du stockage”. Et oui, Microsoft et Phison innovent ensemble en transformant votre précieux SSD en disque de Schrödinger, sur lequel vos données existent et n’existent pas en même temps… Enfin, jusqu’à ce que vous tentiez de les copier.

Allez, je vous spoile, en vrai, elles n’existent déjà plus.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/windows-transforme-votre-ssd-gruyere-microsoft/windows-transforme-votre-ssd-gruyere-microsoft-1.mp4">lien vers la vidéo</a>.

En effet, la mise à jour d’août 2025 censée, je cite, “corriger les problèmes de performance des jeux” ET des failles de sécurité (oui, Microsoft essayait vraiment de bien faire pour une fois), a décidé que la meilleure façon d’améliorer les perfs était de supprimer complètement votre disque. C’est du génie car plus de SSD, ça veut dire plus de problèmes de performance ! Ni de sécurité d’ailleurs !

Le bug est magnifique puisque dès que vous copiez 50 GB de données, hop, votre SSD disparaît comme David Copperfield en aurait rêvé. Sur 21 disques testés, 12 sont devenus invisibles selon les tests réalisés par la communauté. Un Western Digital SA510 de 2TB, a carrément décidé de prendre sa retraite anticipée. Même après un redémarrage, il refuse de revenir. C’est beau ! Les Japonais sont particulièrement chanceux sur ce coup-là, ils remportent le jackpot avec le plus grand nombre de plaintes recensées.

Phison, le fabricant de contrôleurs touché, a publié un communiqué digne d’un sketch des Monty Python : “Nous sommes conscients des effets à l’échelle de l’industrie”. Traduction : “Oups, nos contrôleurs PS5012-E12 avaient déjà des problèmes de stabilité qu’on savait pas trop comment gérer, et Microsoft vient de révéler le pot aux roses”. Bref, ils “travaillent avec leurs partenaires” et mènent un “audit interne”, probablement en train de chercher qui va payer la facture entre eux et Microsoft. Bonus : ils ne prendront pas en charge directement les utilisateurs. Sympa !

Les SSD DRAM-less avec contrôleur Phison sont donc les plus vulnérables, mais surprise, les contrôleurs Maxio se joignent aussi à la fête ! On a le Corsair Force MP600, le SanDisk Extreme Pro et d’autres dans le club des disparus. WindowsForum confirme que le problème se déclenche quand l’utilisation du contrôleur dépasse 60%. Autrement dit, c’est un parfait combo Microsoft-Phison : Windows pousse le contrôleur dans ses retranchements pour la sécurité, et le contrôleur répond “404 SSD not found”.

Et la cerise sur le gâteau c’est quand Microsoft Support indique que l’update peut aussi se gaufrer avec une jolie erreur 0x80240069 sur WSUS. Bref, même quand elle n’arrive pas à s’installer, elle trouve un moyen de casser les pieds. Maintenant, pour les “chanceux” (non) qui ont déjà installé cette bombe à retardement co-développée, les recommandations officielles sont à se pisser dessus de rire puisqu’ils conseillent d’éviter les transferts de plus de 50 GB ou de faire des sauvegardes régulières sur un disque non affecté. Bon, déjà faire des sauvegardes, ça peut fonctionner uniquement si elles font moins de 50 GB… Et s’il y a toujours un SSD vivant pour faire le backup…

Le plus fun dans tout ça, c’est que cette mise à jour a été classée sécurité critique. “Critique”, tu m’étonnes… Entre Microsoft qui sécurise tellement bien qu’on ne peut plus accéder à nos fichiers, et Phison dont les contrôleurs avaient déjà des soucis de stabilité cachés sous le tapis, c’est le mariage parfait de l’incompétence. En attendant un correctif (prévu pour 2026 si Microsoft et Phison arrivent à se mettre d’accord sur qui est responsable ^^), votre meilleure option est de revenir à Windows 10. Ou mieux, Linux avec des SSD qui n’utilisent pas de contrôleurs Phison.

Au moins, quand quelque chose plante, vous saurez exactement qui blâmer : vous-même !

Source