decio

joined 1 month ago
MODERATOR OF
cyberveille
sorted by: new top controversial old
1
[Suisse]Le possible bannissement total du chinois Huawei en Europe pourrait aussi concerner la Suisse (www.letemps.ch)
 

[🔒 paywall] C’est un dossier que l’on croyait enterré à jamais. Mais au contraire, il risque de ressurgir rapidement de manière éclatante. Le bannissement de l’équipementier télécom Huawei, mis en place entre 2018 et 2019 par les Etats-Unis, pourrait bientôt ricocher de manière spectaculaire en Europe, touchant aussi la Suisse. Bruxelles songerait à imposer l’exclusion de la firme chinoise de tous ses Etats membres. Une décision qui ne manquerait pas d’exercer une immense pression sur Swisscom, Sunrise et Salt, les trois opérateurs suisses étant clients de l’équipementier asiatique.

1
[màj] Patch Tuesday Novembre 2025 : 63 failles corrigées dont 1 zero-day (www.it-connect.fr)
 

En comparaison du Patch Tuesday d'octobre 2025, ce nouveau Patch Tuesday semble bien maigre : il y a presque 3 fois moins de vulnérabilités corrigées ce mois-ci. Parmi elles, il y a tout de même 5 failles critiques :

  • Microsoft Office : CVE-2025-62199
  • Nuance PowerScribe : CVE-2025-30398
  • Visual Studio : CVE-2025-62214
  • Windows DirectX : CVE-2025-60716
  • Windows GDI+ : CVE-2025-60724

Il est à noter que la nouvelle fonctionnalité Administrator Protection de Windows 11, destinée à renforcer la sécurité des privilèges administrateur, est affectée par une faille de sécurité importante (CVE-2025-60721) : "En exploitant cette vulnérabilité, un pirate pourrait obtenir des privilèges élevés équivalents à ceux d'un administrateur système, ce qui lui permettrait d'exécuter du code arbitraire avec une intégrité élevée et de contourner les protections administratives.", précise Microsoft.

1
[Suisse] Hameçonnage visant les détenteurs de cryptomonnaies (www.ncsc.admin.ch)
 

11.11.2025 - De moins en moins de destinataires se laissent piéger par des e-mails non ciblés. Les e-mails de phishing évoluent donc constamment et les escrocs sont contraints de mener des attaques de plus en plus sophistiquées et ciblées. Au lieu d’envoyer un grand nombre d’e-mails impersonnels, les escrocs observent les thèmes sociaux ou économiques actuels et adaptent leurs tentatives en conséquence.

Les campagnes de phishing qui font référence à des institutions officielles ou dignes de confiance, telles que les autorités, les banques ou les caisses d’assurance maladie, sont particulièrement efficaces. À première vue, ces e-mails semblent crédibles, car ils utilisent des logos, des mises en page ou même des formulations qui nous sont familiers. Le choix des thèmes est également mûrement réfléchi. Les cryptomonnaies ou les dispositions fiscales, par exemple, sont des sujets réels mais souvent complexes. De nombreux destinataires sont dans l’incertitude et donc plus enclins à suivre les instructions.

1
[Suisse][Droit] Les collectivités publiques face à l’externalisation informatique (smetille.ch)
 

Les collectivités publiques sont nombreuses à utiliser des outils informatiques fournis par des prestataires externes. Ces solutions utilisent de plus en plus souvent la technologie de l’informatique en nuage (« cloud computing » en anglais) – ce qui pose la question de leur compatibilité avec la législation sur la protection des données. L’article que j’ai co-rédigé avec Marie-Laure Percassi et qui a été publié dans la Jusletter 29 septembre 2025 montre que les solutions en nuage sont en principe admissibles du point de vue de la protection des données, mais que d’autres obstacles – surtout politiques – peuvent s’opposer à leur utilisation.

2
Confidentialité à 100% ? Le patron de la DGSE est formel : votre messagerie n'est jamais totalement sécurisée (www.numerama.com)
 

« Il n’y a pas une solution qui vous prémunisse à 100 % du risque d’être intercepté et écouté ». Voilà la mise en garde faite par le patron de la DGSE, les services secrets français. Nicolas Lerner évoquait à ce moment-là les applications de messagerie instantanée proposant du chiffrement de bout en bout. Mais est-ce qu’il faut pour autant les jeter à la poubelle ?

...

« Un téléphone, c’est un espion, un mouchard que vous avez dans votre poche. Donc, il faut considérer […] que ce que vous échangez dans votre téléphone, les conversations que vous avez, les messages que vous avez, peuvent être interceptés », a-t-il ajouté. Et donc, potentiellement accessibles à des tiers, notamment des services de renseignement.

Mais comment ? Pas en cassant les opérations mathématiques qui servent au chiffrement de bout en bout, mais en suivant une autre stratégie que l’on peut résumer en un proverbe : Si la porte est fermée, alors il faut passer par la fenêtre.

2
L’Europe combat la cybercriminalité (dievolkswirtschaft.ch)
 

J’ai rejoint Europol, l’autorité de poursuite pénale de l’Union européenne, en 2018. À l’époque, je savais déjà que la criminalité organisée allait évoluer rapidement, mais je ne me doutais pas de la vitesse et de l’ampleur de cette évolution. En 2025, la cybercriminalité n’est plus un sujet marginal: elle constitue l’épine dorsale du crime organisé mondial. Chaque attaque de rançongiciel, chaque campagne d’hameçonnage et chaque transaction frauduleuse en cryptomonnaie la rendent encore plus lucrative et menacent la stabilité de notre société.

Il ressort du rapport d’Europol sur la cybercriminalité que les données constituent aujourd’hui la matière première de la criminalité: elles en sont à la fois la cible, l’outil et la marchandise. Ce qui a commencé par des attaques sporadiques de hackers s’est transformé en un écosystème hautement professionnalisé. Le vol de données est devenu le pilier du crime organisé, perpétré par des intermédiaires spécialisés qui achètent et vendent des accès à des systèmes compromis, voire proposent ces accès en location.

1
[France] Un réseau de vol de voitures à l'aide d'enceintes connectées démantelé par la gendarmerie (www.franceinfo.fr)
 

Cinq personnes ont été interpellées lors du démantèlement d'un réseau criminel international de vol de voitures à l'aide d'enceintes connectées trafiquées, a annoncé la gendarmerie, dimanche 9 novembre. Ces cinq individus ont été interpellés en Ile-de-France, en Eure-et-Loir et dans le Gard. Des opérations ont également été conduites en Italie.

1
[VULN] Faille critique RCE dans la bibliothèque JavaScript expr-eval (CVE-2025-12735) (cyberveille.ch)
 

Selon BleepingComputer, une faille critique affecte la bibliothèque JavaScript expr-eval, découverte par le chercheur Jangwoo Choe et suivie sous l’identifiant CVE-2025-12735, avec une sévérité notée 9,8 par la CISA.

Produits concernés et impact: la faille touche expr-eval (version stable publiée il y a 6 ans) et son fork activement maintenu expr-eval-fork. La bibliothèque compte plus de 800 000 téléchargements hebdomadaires sur NPM (expr-eval) et 80 000 pour le fork, et est utilisée dans plus de 250 projets, notamment des calculateurs en ligne, outils éducatifs, simulateurs, outils financiers et certains systèmes IA/NLP.

Correctif: un correctif est disponible dans expr-eval-fork v3.0.0, avec mise en place d’une liste d’autorisation de fonctions sûres, d’un système d’enregistrement de fonctions personnalisées et d’une couverture de tests améliorée. Pour le paquet expr-eval original, un pull request implémente la correction mais les mainteneurs restent inactifs et il est incertain quand une nouvelle version sera publiée.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/popular-javascript-library-expr-eval-vulnerable-to-rce-flaw/

Informations sur la vulnérabilité: https://cve.circl.lu/vuln/CVE-2025-12735

1
[VULN] Django : faille critique d’injection SQL (CVE-2025-64459) (cyberveille.ch)
 

Selon Endor Labs, une vulnérabilité critique d’injection SQL, CVE-2025-64459 (CVSS v3.1: 9.1), affecte le framework web Python Django. Sont concernés Django 6.0 (beta), 5.2, 5.1 et 4.2 (et potentiellement des versions plus anciennes). Des correctifs sont disponibles dans Django 5.2.8, 5.1.14 et 4.2.26.

Le problème survient lorsque des applications passent des entrées utilisateur directement à des méthodes QuerySet (filter(), exclude(), get()) via l’expansion de dictionnaire. Des attaquants peuvent injecter les paramètres internes de Django — _connector (AND/OR/XOR) et _negated (inversion booléenne) — pour manipuler la logique SQL, entraînant accès non autorisé, contournement d’authentification et élévation de privilèges, parfois sans authentification préalable.

...

Mesures et détection proposées par l’article :

  • Mise à jour immédiate vers 5.2.8, 5.1.14 ou 4.2.26 et déploiement en production.
  • Revue de code des motifs vulnérables (expansion de request.GET/POST vers QuerySet).
  • Bonnes pratiques : validation via Django Forms, liste blanche de paramètres, mappage explicite des champs.
  • Détection : recherche de _connector et _negated dans les journaux, revue des événements d’authentification et des accès inhabituels; tests automatisés rejetant ces paramètres; usage d’outils (ex. Endor Labs) et CI/CD avec surveillance continue.

🔗 Source originale : https://www.endorlabs.com/learn/critical-sql-injection-vulnerability-in-django-cve-2025-64459

Informations sur la vulnérabilité: https://cve.circl.lu/vuln/CVE-2025-64459

1
[VULN] Trois vulnérabilités dans runC permettent de contourner l’isolation et d’accéder à l’hôte (cyberveille.ch)
 

Selon BleepingComputer, trois vulnérabilités nouvellement divulguées affectent le runtime de conteneurs runC, utilisé par Docker et Kubernetes.

Trois failles critiques dans runC (Docker / Kubernetes) permettent d’échapper au conteneur Des vulnérabilités dévoilées cette semaine dans runC — le runtime de conteneurs de référence OCI utilisé par Docker et Kubernetes — peuvent permettre à un attaquant d’obtenir des accès en écriture au système hôte avec les privilèges root si elles sont exploitées. Les CVE sont CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881 ; des correctifs sont inclus dans runC versions 1.2.8, 1.3.3, 1.4.0-rc.3 et ultérieures (CVE-2025-31133 & CVE-2025-52881 affectent toutes les versions ; CVE-2025-52565 impacte runC 1.0.0-rc3 et suivantes).

...

L’article met l’accent sur la gravité potentielle de ces vulnérabilités, compte tenu de la place de runC dans les déploiements de conteneurs, et souligne le risque d’élévation d’accès au-delà du conteneur.

2
David Friedman, ancien ambassadeur en Israël et ex-avocat de Donald Trump, nommé à la tête de l'éditeur de logiciels espions NSO Group (www.usine-digitale.fr)
 

Ambassadeur des Etats-Unis en Israël de 2017 à 2021, lors du premier mandat de son ex-client Donald Trump, cet ancien avocat a été nommé pour incarner le projet de renaissance de l'éditeur du logiciel Pegasus sur le sol américain. Il dit être prêt à faire jouer ses relations pour obtenir des contrats avec des agences gouvernementales.

1
[VULN] NAS : QNAP corrige 7 failles zero-day exploitées au Pwn2Own 2025 (www.it-connect.fr)
 

Le constructeur taïwanais QNAP vient de publier une salve de correctifs de sécurité destinée à patcher 7 failles zero-day sur ses NAS ! Il s'agit de vulnérabilités découvertes et exploitées lors de la compétition de hacking Pwn2Own Ireland 2025.

Ces failles de sécurité affectent les systèmes d'exploitation pour NAS QNAP, à savoir QTS et QuTS hero et plusieurs applications phares qu'il est possible d'installer sur les NAS de la marque. Les 7 vulnérabilités exploitées publiquement lors du concours Pwn2Own Ireland 2025 sont les suivantes :

  • QTS / QuTS Hero : CVE-2025-62847, CVE-2025-62848, CVE-2025-62849
  • Hyper Data Protector : CVE-2025-59389
  • Malware Remover : CVE-2025-11837
  • HBS 3 Hybrid Backup Sync : CVE-2025-62840, CVE-2025-62842
view more: ‹ prev next ›