Apple a publié un nouveau correctif pour combler une faille zero-day dans Image I/O. Elle est exploitée dans des attaques jugées "extrêmement sophistiquées".
The post Apple corrige une nouvelle faille zero-day exploitée dans des attaques ciblées : CVE-2025-43300 first appeared on IT-Connect.
Vous cliquez sur ce qui semble être un bouton parfaitement normal sur un site web tout à fait normal… Sauf qu’en réalité, vous venez de donner accès à tous ce qui est stocké dans votre gestionnaire de mots de passe. C’est exactement ce que permet une nouvelle technique de clickjacking découverte par le chercheur Marek Tóth et qui affecte potentiellement 40 millions d’utilisateurs dans le monde.
Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.
Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.
Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.
Voici une démo avec le piège :
Vous n’avez rien vu ?
Alors regardez cette vidéo maintenant :
D’après BleepingComputer, les réactions des entreprises concernées sont… décevantes. 1Password a classé le rapport comme “hors périmètre”. LastPass l’a marqué comme “informatif”, ce qui en langage corporate signifie “on s’en fout”. LogMeOnce n’a même pas répondu aux chercheurs. Seul Bitwarden affirme avoir corrigé le problème dans la version 2025.8.0, mais les tests montrent que ce n’est pas totalement le cas.
Ce qui est vraiment dommage, c’est que cette vulnérabilité était évitable. Les gestionnaires remplissent automatiquement les identifiants non seulement sur le domaine principal, mais aussi sur tous les sous-domaines donc si un pirate trouve une faille XSS sur n’importe quel sous-domaine d’un site, il peut voler tous vos identifiants stockés pour ce site.
Socket, une entreprise de cybersécurité, a vérifié les résultats et confirme l’ampleur du problème. Les chercheurs ont découvert que 6 gestionnaires sur 9 pouvaient divulguer les détails de carte bancaire, 8 sur 10 les informations personnelles, et 10 sur 11 les identifiants de connexion.
Alors comment se protéger ? Première chose, désactivez l’autofill. Oui, c’est chiant, mais c’est le seul moyen efficace pour le moment. Utilisez le copier-coller pour vos mots de passe. Et sur les navigateurs basés sur Chromium (Chrome, Edge, Brave), configurez l’accès aux sites de vos extensions sur “Au clic” plutôt qu’automatique. Ça vous donne le contrôle sur quand l’extension peut interagir avec la page.
Pour les plus paranos (et on ne peut pas vous en vouloir), activez les demandes de confirmation avant chaque remplissage automatique si votre gestionnaire le permet. C’est une friction supplémentaire, mais au moins vous verrez quand quelque chose tente d’accéder à vos données.
Le plus con dans cette histoire c’est que les gestionnaires de mots de passe sont censés nous protéger, mais cette vulnérabilité transforme notre bouclier en talon d’Achille. Les développeurs veulent rendre leurs outils faciles à utiliser, ce qui est louable mais chaque raccourci pris est une porte potentielle pour les attaquants. Et quand les entreprises ignorent les rapports de sécurité parce qu’elles les jugent “hors périmètre”, ce sont les utilisateurs qui risquent gros…
Bref, attendant que tous les gestionnaires corrigent cette faille, restez vigilants. Un clic de trop et c’est toute votre vie qui peut basculer.
Bon, si vous utilisez Plex Media Server pour organiser vos films, séries et musiques, il faut que vous sachiez un truc important : une vulnérabilité vient d’être découverte et heureusement corrigée. Et c’est du sérieux, donc vous allez lire cet article et ensuite filer mettre à jour votre Plex !
La vulnérabilité touche les versions 1.41.7.x à 1.42.0.x du Media Server donc si vous êtes sur une de ces versions, il faudra passer à la 1.42.1.10060 ou plus récente maintenant !! Pas demain, hein ! Maintenant.
Plex reste discret sur les détails techniques de cette faille, pas de CVE attribué pour l’instant, pas d’explications détaillées sur ce qui pouvait être exploité. Mais leur communication parle d’elle-même etont même averti directement leurs utilisateurs par email, ce qui est assez rare. Généralement, ils se contentent des notes de version.
Le bug a été signalée via leur programme de bug bounty, ce qui a permis à Plex de corriger le problème avant qu’il ne soit exploité dans la nature et pour mettre à jour, c’est simple comme bonjour. Soit vous passez par l’interface d’administration de votre serveur, soit vous téléchargez la dernière version sur le site officiel de Plex.
Dans les deux cas, ça prend cinq minutes.
En mars 2023, la CISA avait déjà signalé l’exploitation active d’une faille RCE vieille de trois ans (CVE-2020-5741) qui permettait l’exécution de code à distance. Cette faille avait notamment été utilisée dans l’attaque contre LastPass en 2022. Et en 2018, SEC Consult avait révélé plusieurs vulnérabilités incluant des attaques XXE permettant l’accès aux fichiers système et des élévations de privilèges.
C’est pourquoi le message de Plex est important : maintenez vos serveurs à jour car dans un environnement où nos bibliothèques multimédia sont souvent accessibles depuis l’extérieur, une faille de sécurité peut rapidement devenir problématique.
Mieux vaut être en sécurité que désolé, mes amis ! Pensez-y !
Une mise à jour de sécurité affecte Plex Media Server : les utilisateurs sont invités à l’installer rapidement, malgré peu de détails techniques.
The post Patchez Plex Media Server : protégez votre serveur de cette faille de sécurité first appeared on IT-Connect.
Une nouvelle faille critique a été découverte dans Cisco Secure FMC (CVE-2025-20265) : exécution de code arbitraire à distance avec privilèges élevés.
The post Cisco Secure Firewall Management Center : une nouvelle faille critique liée à RADIUS first appeared on IT-Connect.
En tant que propriétaire très heureux d’un Ioniq 5, j’ai failli m’étouffer avec ma Danette au chocolat ce soir en découvrant que Hyundai voulait faire payer 65 dollars pour corriger une vulnérabilité de sécurité dans ses voitures. Oui, payer pour ne pas se faire voler sa voiture par des types équipés d’un appareil qui ressemble à une vieille Game Boy de Nintendo. C’est déjà assez rageant de devoir raquer un abonnement pour les mises à jour OTA (Over-The-Air), mais là on atteint des sommets.
Mais d’abord, parlons de ce fameux dispositif “Game Boy”. Techniquement, c’est un émulateur, c’est à dire un ensemble de matériel de transmission radio fourré dans une coque qui ressemble à la console portable iconique de Nintendo. Le prix de ces petits bijoux se situe entre 16 000 et 30 000 dollars sur le marché noir et certains modèles russes se vendent même à 15 000 euros. Pour ce prix-là, vous pourriez presque vous acheter une vraie Ioniq 5 d’occasion.
Le principe du hack c’est que ça exploite une faiblesse fondamentale dans l’architecture de sécurité des véhicules modernes. Quand vous touchez la poignée de votre Ioniq 5, la voiture se réveille et initie un protocole de handshake avec ce qu’elle pense être votre clé. C’est là que la fausse Game Boy entre en jeu. Elle intercepte cette communication et se fait passer pour votre porte-clés légitime.
Mais comment est-ce possible techniquement ? Et bien laissez-moi vous emmener dans les entrailles du système CAN (Controller Area Network) de votre voiture. Selon l’expert en sécurité Ken Tindell, l’attaque CAN injection fonctionne en introduisant de faux messages sur le bus CAN, comme s’ils provenaient du récepteur de clé intelligente de la voiture. Ces messages trompent alors le système de sécurité pour qu’il déverrouille le véhicule et désactive l’immobilisateur moteur.
Sur certaines voitures, les voleurs peuvent accéder au réseau CAN en cassant simplement un phare ou l’aile et en utilisant sa connexion au bus pour envoyer des messages. À partir de là, ils peuvent ensuite manipuler n’importe quel dispositif électronique du véhicule. Les messages CAN n’ont aucune authentification ni sécurité et les récepteurs leur font simplement confiance.
Mais l’émulateur Game Boy va encore plus loin car il n’utilise pas l’injection CAN, non… Ce serait trop facile. A la place, il s’attaque au système de rolling code censé protéger votre clé. Normalement, chaque fois que vous utilisez votre porte-clés, le code change pour éviter les attaques par rejeu, mais ces dispositifs calculent le prochain code valide en quelques secondes. Et voilà comment on déverrouille et démarre un Ioniq 5 en moins de 30 secondes.
Une fois votre voiture volée, les malfaiteurs retirent les modules de connectivité pour rendre le GPS et le tracking via l’application Bluelink inutiles et votre belle Ioniq 5 s’évanouit dans la nature en direction d’un pays chaud.
Face à cette menace, Hyundai a donc imaginé une super solution. Il s’agit d’un patch matériel qui améliore la technologie Ultra-Wideband (UWB) pour une détection plus sécurisée de la clé. L’UWB permet une authentification plus précise entre votre clé/téléphone et le véhicule, rendant beaucoup plus difficile pour les émulateurs de se faire passer pour des clés légitimes. La technologie mesure aussi précisément la distance entre la clé et la voiture, empêchant également les attaques par relais classiques.
Mais voilà le hic… Hyundai présente cette mise à jour comme une “amélioration volontaire” plutôt qu’un rappel obligatoire. Leur justification c’est que le Ioniq 5 a été développée et certifiée selon toutes les normes réglementaires, y compris les exigences de cybersécurité. Et comme cette menace est classifiée comme “évolutive”, Hyundai estime qu’il est juste de demander aux clients une “contribution subventionnée” de 49 livres sterling (65 dollars US) pour le correctif.
Permettez-moi de vous traduire ce charabia corporate : “Notre voiture a une faille de sécurité béante, mais comme elle respectait les normes au moment de sa conception, on va vous faire payer pour la corriger.” C’est très rigolo quand on sait que l’Ioniq 5 est vendue avec une garantie de 5 ans.
Et le problème va bien au-delà de Hyundai car cette vulnérabilité touche aussi les Kia EV6 et Genesis GV60, qui partagent la même plateforme E-GMP. D’autres constructeurs comme Infiniti, Lexus, Mercedes-Benz, Mitsubishi, Nissan, Subaru et Toyota sont également vulnérables à des attaques similaires. C’est donc un problème systémique de l’industrie automobile qui a adopté une approche “coque dure/centre mou” où les composants internes sont considérés comme dignes de confiance.
La vraie solution serait donc d’adopter un framework “zero trust” où chaque composant du bus CAN devrait être ré-authentifié lors de son remplacement. Mais vous vous en doutez, ça coûterait une fortune à implémenter sur les véhicules existants. En attendant, certains propriétaires comme Elliott Ingram poursuivent Hyundai en justice pour ne pas avoir divulgué ces risques et d’autres prédisent que les assurances pourraient à l’avenir refuser de couvrir les véhicules non modifiés.
Pour le moment, ce patch n’est pas dispo en France mais quand ça le sera, je pense que je finirai par payer parce que même si ça me fait mal, entre payer pour un patch de sécurité à 65 balles et me retrouver sans voiture un matin, le choix est vite fait.
Mais cela n’empêche pas que c’est une pratique scandaleuse de la part de Hyundai…
Nous sommes lundi matin, et vous garez votre bagnole dans le parking du boulot…. Et pendant que vous glandouillez devant korben.info avec un petit café, un mec à l’autre bout du monde déverrouille votre caisse, fouille dans vos données perso et suit vos trajet en temps réel. De la science-fiction ? Non, c’était possible jusqu’en février 2025 chez un constructeur automobile majeur qu’on ne nommera pas. Pas parce que je ne veux pas le dire mais parce que son nom a été tenu secret.
Le héros de cette histoire, c’est Eaton Zveare, un chercheur en sécurité chez Harness qui a trouvé LA faille de l’année. Lors de sa présentation au DEF CON 33, il a expliqué comment il a réussi à créer un compte “national admin” sur le portail concessionnaire d’un constructeur. Deux bugs API tout bêtes, et hop, accès total à plus de 1000 concessionnaires américains.
Le code buggé se chargeait directement dans le navigateur quand vous ouvriez la page de connexion et Zveare a juste eu à modifier ce code pour bypasser les contrôles de sécurité. Selon lui, “les deux vulnérabilités API ont complètement fait sauter les portes, et c’est toujours lié à l’authentification”. Bref, le B.A.-BA de la sécurité qui n’était pas respecté, une fois de plus.
Une fois connecté avec son compte admin fantôme, Zveare avait accès à un outil de recherche national complètement dingue. Il suffisait d’entrer un nom ou de relever un numéro VIN sur un pare-brise pour trouver n’importe quel véhicule du constructeur.
Le chercheur a testé ça sur un ami consentant (important, le consentement, hein !) et a transféré la propriété du véhicule sur un compte qu’il contrôlait, et bam, il pouvait déverrouiller la voiture à distance. Le portail demandait juste une “attestation”, en gros, une promesse sur l’honneur que vous êtes légitime. Super sécurisé, n’est-ce pas ?
Ce qui est flippant, c’est que ce n’est pas un cas isolé. Selon les chiffres de 2025, les cyberattaques sur les voitures ont augmenté de 225% en trois ans. 80% des nouvelles voitures ont une connexion internet, et 95% de toutes les voitures fabriquées en 2025 en auront une. Des millions de véhicules Kia et Subaru ont déjà été touchés par des vulnérabilités similaires permettant le contrôle à distance.
Mais le vrai délire, c’était la fonction “impersonation” du portail. Zveare pouvait se faire passer pour n’importe qui sans leurs identifiants et naviguer entre tous les systèmes interconnectés des concessionnaires. De là, c’était open bar : données perso et financières, tracking temps réel de TOUS les véhicules (perso, location, courtoisie, même ceux en livraison), contrôle de l’app mobile… Il pouvait même annuler des livraisons en cours…
Selon SecurityWeek, une vulnérabilité similaire dans le système Starlink de Subaru a été corrigée en 24 heures en novembre 2024. Cette faille permettait de démarrer, arrêter, verrouiller et déverrouiller des véhicules à distance. Le constructeur concerné par la découverte de Zveare a mis une semaine pour corriger les bugs après sa divulgation en février. Ils n’ont trouvé aucune preuve d’exploitation passée, ce qui suggère que Zveare était le premier à découvrir et signaler cette faille béante.
Ce qui est fou, c’est la simplicité du hack. Pas besoin d’être un génie du code ou d’avoir des outils sophistiqués. Juste deux bugs d’authentification mal gérés, et c’est open bar sur les données de milliers de clients et leurs véhicules. Les constructeurs automobiles doivent vraiment se réveiller sur la cybersécurité car avec 84,5% des attaques exécutées à distance et des API mal protégées partout, on est assis sur une bombe à retardement.
La morale de l’histoire c’est que si vous avez une voiture connectée, priez pour que votre constructeur prenne la sécurité au sérieux. Et si vous êtes développeur dans l’automobile, par pitié, sécurisez vos APIs d’authentification. C’est la base !
Vous connaissez le gag du cambrioleur qui entre par la porte parce que vous avez laissé la clé sous le paillasson ? Bah là c’est pareil, sauf que c’est pas une blague et que ça concerne des millions de coffres-forts supposés être ultra-sécurisés. C’est une histoire de dingue qui mélange hackers ultra déterminés, une entreprise chinoise, un sénateur américain et même le FBI. Accrochez-vous !
Tout commence avec deux chercheurs en sécurité, Omo et Rowley, qui décident de fouiller les entrailles des serrures électroniques Securam ProLogic. Ces trucs équipent les coffres de marques prestigieuses comme Liberty Safe, Fort Knox, FireKing et plein d’autres. Ce sont des coffres utilisés par CVS pour stocker des narcotiques ou par des chaînes de restaurants pour planquer leur cash. Pas exactement le genre de truc qu’on veut voir ouvert par n’importe qui.
Les chercheurs ont présenté leurs découvertes à la conférence Defcon le 8 août dernier, et croyez-moi, ça a fait l’effet d’une bombe car ils ont trouvé non pas une, mais deux méthodes pour ouvrir ces coffres en quelques secondes. La première exploite l’interface Bluetooth du coffre pour injecter des commandes directement dans le firmware. Oui, y’a des ingénieurs qui ont mis du BT sur des coffres forts… C’est pas bien débile ça quand même ? Et la seconde utilise une backdoor cachée qui permet de bypasser complètement le code utilisateur sans déclencher la moindre alarme.
Et cette histoire de backdoor, c’est pas nouveau puisque le sénateur Ron Wyden avait déjà tiré la sonnette d’alarme en mars 2024, avertissant que Securam, l’entreprise chinoise, était légalement obligée de coopérer avec les demandes de surveillance du gouvernement chinois. En gros, Pékin pourrait théoriquement avoir accès aux codes de tous les coffres Securam vendus dans le monde. Sympa pour stocker vos secrets industriels et vos lingots d’or.
D’ailleurs, l’histoire rappelle étrangement le scandale Liberty Safe d’août 2023, quand l’entreprise avait fourni au FBI le code d’accès du coffre d’un client sur simple présentation d’un mandat. Les utilisateurs avaient hurlé à la trahison, déclenchant un mouvement de boycott massif. Liberty Safe avait alors dû faire marche arrière en promettant de supprimer les codes sur demande des clients.
Mais revenons à nos moutons. Le système de reset de Securam fonctionne avec un code de récupération (par défaut “999999”, super sécurisé), qui génère un code affiché à l’écran. Un serrurier autorisé appelle ensuite Securam, leur lit ce code, et en retour obtient le sésame pour réinitialiser la serrure. Sauf que Omo et Rowley ont réussi à reverse-engineer l’algorithme secret. Du coup, ils peuvent générer le code de reset sans appeler personne.
On dirait vous quand vous activiez des licences Windows et Office par téléphone sans appeler Microsoft ^^.
Et la réponse de Securam a été pathétique puisque Jeremy Brookes, le directeur des ventes, a confirmé qu’ils ne comptaient pas patcher les serrures déjà installées. Donc si vous voulez être en sécurité, vous allez devoir en acheter une nouvelle. Il accuse même les chercheurs de vouloir “discréditer” l’entreprise. Omo leur a alors répondu qu’ils essayent juste d’alerter le public sur les vulnérabilités d’une des serrures les plus populaires du marché.
Ce qui est fou dans cette affaire, c’est que le département de la Défense américain a confirmé que les produits Securam ne sont pas approuvés pour un usage gouvernemental, justement à cause de ces backdoors. Mais pour le commun des mortels, bah circulez, y’a rien à voir. Vos documents sensibles, vos armes, votre cash, tout ça reste vulnérable.
Securam promettait dans leur communiqué de presse des “produits de nouvelle génération” pour fin 2025 et assure que “la sécurité des clients est notre priorité”….
Mais lol, permettez-moi d’en douter quand on refuse de patcher une vulnérabilité critique qui permet d’ouvrir un coffre en quelques secondes.
Encore une fois, les backdoors, qu’elles soient dans les coffres-forts ou dans les logiciels de chiffrement, sont systématiquement une idée catastrophique car on ne peut pas créer une porte dérobée juste pour les gentils. Une fois qu’elle existe, n’importe qui avec les bonnes connaissances peut l’utiliser.
Voilà, donc pour ceux qui possèdent un coffre avec une serrure Securam ProLogic, je n’ai qu’un conseil : considérez que celui-ci n’est plus sûr. Soit vous changez la serrure (et pas par un autre modèle Securam), soit vous stockez vos objets de valeur ailleurs. Et optez pour une solution purement mécanique car au moins, elle n’aura pas de backdoor Bluetooth.
Vous vous souvenez du film Volte/Face avec Nicolas Cage et John Travolta ? Mais siii, c’est ce film où ils échangent leurs visages ? Bah les chercheurs allemands viennent de faire pareil avec Windows Hello, sauf qu’eux n’ont eu besoin que de deux lignes de code. Pas de chirurgie, pas d’effets spéciaux, juste un petit tour de passe-passe et hop, le PC croit que vous êtes votre collègue.
Le truc vient d’être montré en direct au Black Hat de Las Vegas par Tillmann Osswald et le Dr Baptiste David, deux chercheurs d’ERNW Research. Sur scène, David s’est connecté avec son visage, puis Osswald a tapé quelques commandes, et quelques secondes plus tard, il déverrouillait la machine de David avec son propre visage capturé sur un autre ordinateur. La sécurité biométrique de Microsoft vient de se faire avoir comme une débutante.
Ce qui rend cette attaque particulièrement sournoise, c’est qu’elle cible spécifiquement Windows Hello for Business, le système que Microsoft pousse à fond pour remplacer les mots de passe dans les entreprises. Vous savez, ce truc censé être ultra-sécurisé qui permet aux PC corporate de se connecter à Entra ID ou Active Directory avec juste votre belle gueule. Sauf que là, n’importe quel admin local malveillant ou compromis peut littéralement injecter sa tronche dans votre base de données biométrique.
Selon les informations techniques détaillées, l’attaque exploite une faiblesse dans CryptProtectData, le système censé protéger la base de données du Windows Biometric Service. Les chercheurs ont découvert qu’avec des droits admin locaux, on peut décrypter cette base et y injecter n’importe quelle empreinte biométrique.
Le plus fou dans cette histoire, c’est que Microsoft a bien une solution : Enhanced Sign-in Security (ESS). Ce système fonctionne au niveau hyperviseur avec une isolation VTL1 (Virtual Trust Level 1) qui bloque complètement l’attaque. Mais le problème c’est qu’il faut du matériel très spécifique pour que ça marche : un CPU 64 bits avec virtualisation hardware, une puce TPM 2.0, Secure Boot activé, et des capteurs biométriques certifiés.
D’ailleurs, petit détail rigolo, même des ThinkPad achetés pourtant il y a un an et demi ne supportent pas ESS parce qu’ils ont des puces AMD au lieu d’Intel. Comme l’explique Osswald, “ESS est très efficace pour bloquer cette attaque, mais tout le monde ne peut pas l’utiliser.”
Pour vérifier si vous êtes protégé, Microsoft recommande donc d’aller dans les paramètres Windows : Comptes → Options de connexion. Si vous voyez une option “Se connecter avec une caméra externe ou un lecteur d’empreintes digitales”, et qu’elle est sur OFF, ESS est activé. Quand ce toggle est OFF, vous êtes protégé mais vous ne pouvez plus utiliser de périphériques externes. Par contre, quand il est ON, vous pouvez utiliser vos gadgets mais vous êtes vulnérable.
Cette recherche fait partie du programme Windows Dissect, financé par l’Office fédéral allemand pour la sécurité informatique (BSI), un projet de deux ans qui se termine au printemps prochain. Et apparemment, ce n’est que le début car les chercheurs promettent d’autres révélations sur Windows dans les mois qui viennent. Ce qui inquiète vraiment la communauté, c’est que le fix n’est pas simple. Les experts estiment qu’il faudrait soit réécrire une partie significative du code, soit stocker les données biométriques dans le TPM, ce qui n’est peut-être même pas faisable techniquement…. Breeef, en attendant, la recommandation officielle pour les entreprises sans ESS est radicale : Désactivez complètement la biométrie et revenez au bon vieux code PIN.
Microsoft pousse agressivement tout le monde vers la biométrie depuis de nombreux mois, pour justement se débarrasser des mots de passe, mais quand je vois que leur solution de contournement recommandée est… de revenir aux codes PIN, j’avoue qu’on commence un peu à marcher sur la tête.
Et le support complet des périphériques externes avec ESS n’est pas prévu avant fin 2025 toujours selon Microsoft donc d’ici là, si vous utilisez Windows Hello for Business sans le hardware compatible ESS, vous jouez littéralement à la roulette russe avec l’identité de vos employés.
Ça montre donc que la biométrie n’est pas la solution miracle mais juste une autre forme d’authentification avec ses propres failles. Maintenant, la différence, c’est que quand quelqu’un vole votre mot de passe, vous pouvez le changer. Mais quand quelqu’un compromet votre système biométrique… bah vous changez de visage comme Cage et Travolta ?
Synology DSM 7.2.2-72806 Update 4 corrige des failles de sécurité, dont la CVE-2025-8024 dans un SDK. Mettez à jour votre NAS pour vous protéger.
The post Synology – DSM 7.2.2-72806 Update 4 : une mise à jour de sécurité pour votre NAS first appeared on IT-Connect.
Bon, si vous êtes du genre à balader votre casque Sony WH-1000XM6 partout en ville, j’ai une mauvaise nouvelle. Des chercheurs viennent de découvrir que n’importe qui à 10 mètres de vous peut transformer vos écouteurs en dispositif d’écoute. Et ça concerne aussi JBL, Bose, Marshall et plein d’autres marques populaires.
La société de cybersécurité allemande ERNW a mis le doigt sur des vulnérabilités critiques dans les puces Bluetooth fabriquées par Airoha, un fournisseur taïwanais dont les composants équipent une tonne de casques et écouteurs qu’on adore tous. Le problème c’est que ces puces ont un protocole propriétaire qui permet d’accéder directement à la mémoire RAM et flash des appareils, sans authentification, sans appairage, sans rien du tout.
Concrètement, un pirate qui se trouve dans votre périmètre Bluetooth peut donc activer discrètement le micro de votre casque même quand il est inactif (mais allumé), écouter vos conversations, récupérer votre numéro de téléphone, votre historique d’appels et même voir ce que vous écoutez. Le plus flippant dans l’histoire, c’est que les chercheurs ont démontré qu’on pouvait créer un malware capable de se propager automatiquement d’un appareil à l’autre, façon virus zombie pour casques audio.
Les vulnérabilités en question portent les doux noms de CVE-2025-20700, CVE-2025-20701 et CVE-2025-20702, avec des scores de gravité allant jusqu’à 9.6/10 pour la plus critique, autant dire que c’est du sérieux. Pour vous donner une idée de l’ampleur du désastre, voici la liste des appareils confirmés comme vulnérables : les Sony WH-1000XM4, XM5 et XM6, les WF-1000XM3, XM4 et XM5, les Link Buds S, les Bose QuietComfort Earbuds, les Jabra Elite 8 Active, plusieurs modèles JBL et Marshall… Bref, probablement ce que vous avez sur les oreilles en ce moment.
Alors avant que vous ne jetiez vos écouteurs par la fenêtre, respirez un coup. Pour exploiter ces failles, il faut quand même un bon niveau technique et être physiquement proche de la cible. On n’est pas dans un scénario où le premier script kiddie venu peut pirater tous les casques du métro. Mais les chercheurs d’ERNW précisent que ça reste une menace sérieuse surtout pour des cibles de choix comme des journalistes, des diplomates ou des dirigeants d’entreprise.
Ce qui est particulièrement agaçant dans cette affaire, c’est qu’ERNW a signalé les vulnérabilités à Airoha le 25 mars 2025, mais la boîte n’a répondu que le 27 mai. Un SDK corrigé a été envoyé aux fabricants début juin, mais maintenant c’est à chaque marque de créer et distribuer des mises à jour firmware pour chaque modèle concerné. Et connaissant la vitesse à laquelle ces géants de l’électronique déploient leurs updates… on n’est pas sortis de l’auberge.
Alors en attendant que Sony, Bose et compagnie se bougent les fesses, qu’est-ce qu’on peut faire ?
Déjà, si vous êtes une personnalité publique ou si vous bossez sur des trucs sensibles, évitez d’utiliser vos casques Bluetooth dans les lieux publics. Et pour le commun des mortels, restez vigilants et guettez les mises à jour firmware de vos appareils. Vous pouvez aussi désactiver le Bluetooth quand vous ne l’utilisez pas, même si je sais que c’est chiant avec des écouteurs sans fil.
Pour ceux qui veulent vraiment être tranquilles, il reste toujours la bonne vieille solution du casque filaire. C’est has-been, mais au moins personne ne peut transformer vos Sennheiser IE 200 en micro-espion à distance. Parfois les vieilles solutions restent les plus sûres…
Encore une fois, nos gadgets connectés préférés peuvent se retourner contre nous. Entre les failles dans les routeurs, les caméras de surveillance hackables et maintenant nos casques audio qui peuvent nous espionner, on n’est pas sorti de l’auberge… Mais bon, on va pas revenir au baladeur cassette non plus donc restez juste prudents et mettez à jour vos appareils dès que possible.
CVE-2025-53816 dans 7-Zip : un attaquant peut exploiter cette faille pour provoquer un déni de service (DoS) à l'aide d'une archive RAR5 spécialement conçue.
The post 7-Zip : une nouvelle faille de sécurité liée au traitement des archives RAR5 first appeared on IT-Connect.
Le compte du développeur de Gravity Forms pour WordPress a été compromis : un malware (porte dérobée) a été distribué avec le plugin pendant 2 jours.
The post WordPress : cette porte dérobée dans le plugin Gravity Forms menace des milliers de sites web ! first appeared on IT-Connect.
Une nouvelle faille de sécurité critique, de type injection SQL, a été découverte FortiWeb, la solution WAF de chez Fortinet. Voici comment se protéger.
The post Fortinet : cette injection SQL dans FortiWeb ouvre la porte à l’exécution de commandes malveillantes first appeared on IT-Connect.
Une faille de sécurité critique dans le firmware AMI MegaRAC, activement exploitée, menace la sécurité de milliers de serveurs : CVE-2024-54085.
The post Cette faille critique dans MegaRAC menace des milliers de serveurs, y compris ceux éteints ! first appeared on IT-Connect.
Vous devez mettre à jour Google Chrome 138 pour vous protéger de la CVE-2025-6554, une faille de sécurité zero-day déjà exploitée par des pirates.
The post Google Chrome 138 – CVE-2025-6554 : patchez pour vous protéger de cette nouvelle faille zero-day first appeared on IT-Connect.
Citrix NetScaler ADC et Gateway sont menacés par plusieurs failles de sécurité, dont une faille de sécurité zero-day, déjà exploitée et surnommée CitrixBleed 2.
The post CitrixBleed 2 : 56 000 instances vulnérables à cette nouvelle faille zero-day ! first appeared on IT-Connect.
Une faille importante affecte WinRAR et permet l'exécution de malwares après extraction d'archives piégées. Patchez pour vous protéger de la CVE-2025-6218.
The post Patchez WinRAR : une faille permet l’exécution de malware via des archives piégées first appeared on IT-Connect.
CVE-2025-49144 : cette vulnérabilité importante dans Notepad++ permet une prise de contrôle complète sous Window et un exploit PoC est disponible.
The post Une faille dans Notepad++ menace Windows : un exploit PoC est disponible ! first appeared on IT-Connect.
Connexion