Vulnérabilités

Source: events.ccc.de (Chaos Computer Club) — Le Chaos Communication Congress 2025 (39C3), tenu à Hambourg du 27 au 30 décembre 2025, met en ligne sa playlist complète (vidéo et audio), couvrant technologies, société et utopies, avec un large volet consacré à la sécurité informatique. Points saillants cybersécurité (exemples) 🔒: To sign or not to sign: Practical vulnerabilities in GPG & friends — vulnérabilités pratiques autour de GPG et outils connexes (48 min, 2025‑12‑27). DNGerousLINK: A Deep Dive into WhatsApp 0‑Click Exploits on iOS and Samsung Devices — analyse approfondie d’exploits 0‑click sur WhatsApp (52 min, 2025‑12‑27). Agentic ProbLLMs: Exploiting AI Computer‑Use and Coding Agents — exploitation d’agents IA de type « computer‑use » et codage (58 min, 2025‑12‑28). Bluetooth Headphone Jacking: A Key to Your Phone — détournement de casques Bluetooth pour accéder au téléphone (59 min, 2025‑12‑27). Not To Be Trusted – A Fiasco in Android TEEs — problèmes de confiance dans les environnements d’exécution sécurisés Android (49 min, 2025‑12‑27). Escaping Containment: A Security Analysis of FreeBSD Jails — analyse de sécurité des jails FreeBSD (59 min, 2025‑12‑27). How to render cloud FPGAs useless — sécurité et attaques contre FPGAs dans le cloud (40 min, 2025‑12‑28). A Tale of Two Leaks: How Hackers Breached the Great Firewall of China — récit de deux fuites et contournement de la censure chinoise (31 min, 2025‑12‑27). All my Deutschlandtickets gone: Fraud at an industrial scale — fraude à grande échelle liée aux Deutschlandtickets (60 min, 2025‑12‑27). Don’t look up: There are sensitive internal links in the clear on GEO satellites — liens internes sensibles en clair sur des satellites GEO 🛰️ (38 min, 2025‑12‑28). Autres thèmes de la playlist: en plus de la sécurité, des tracks portent sur le hardware, l’éthique/société/politique, et la science, confirmant l’approche pluridisciplinaire du congrès (ex.: hacking d’électroménager, DSP de synthétiseurs, navigation terrestre dans la Baltique, accès aux décisions de justice, etc.). ...

Lors d’une présentation au 39c3 (Chaos Communication Congress), les chercheurs ont détaillé des vulnérabilités pratiques affectant des utilitaires de signature et de chiffrement largement utilisés, avec un site dédié (gpg.fail) et l’avertissement que la session pourrait contenir des zerodays. Les outils touchés incluent GnuPG, Sequoia PGP, age et minisign. Les failles proviennent principalement de bugs d’implémentation — notamment dans le parsing des formats — et non de défauts dans les primitives cryptographiques. Un exemple cité est la confusion sur les données réellement signées, permettant à un attaquant, sans la clé privée du signataire, d’échanger le texte en clair. ...

Selon BleepingComputer, le concours de hacking Zeroday Cloud à Londres a décerné 320 000 $ à des chercheurs pour des démonstrations de vulnérabilités critiques d’exécution de code à distance (RCE) affectant des composants utilisés dans l’infrastructure cloud. 🏆 Montant total des récompenses : 320 000 $. 🔧 Type de vulnérabilité : RCE (Remote Code Execution). ☁️ Périmètre touché : composants d’infrastructure cloud (non précisés dans l’extrait). 1) Contexte La Zeroday Cloud hacking competition s’est tenue à Londres et constitue la première compétition de sécurité dédiée exclusivement aux systèmes cloud. L’événement est organisé par Wiz Research, en partenariat avec Amazon Web Services (AWS), Microsoft et Google Cloud. Objectif : encourager la recherche offensive responsable en identifiant des vulnérabilités zero-day critiques, notamment des failles de Remote Code Execution (RCE), dans des composants clés du cloud. 2) Résultats globaux 320 000 USD attribués aux chercheurs 11 vulnérabilités zero-day démontrées 85 % de réussite sur 13 sessions de hacking Vulnérabilités affectant des composants centraux de l’écosystème cloud 3) Vulnérabilités mises en évidence Bases de données et observabilité Des failles critiques ont été exploitées dans : ...

Selon Le Monde Informatique (LMI), Gartner appelle les entreprises à bloquer les navigateurs IA comme Atlas (OpenAI) et Comet (Perplexity) en raison de risques de sécurité et de confidentialité, alors même que leur adoption progresse rapidement en milieu professionnel. Gartner souligne la perte de contrôle sur les données sensibles lorsque ces navigateurs envoient l’historique de navigation, le contenu des onglets et des pages vers le cloud pour analyse. Perplexity indique que Comet peut traiter des données locales sur ses serveurs (lecture de texte, e-mails, etc.) pour accomplir les requêtes. Le cabinet avertit que la perte de données sensibles peut être irréversible et difficile à retracer, et que des transactions agentiques erronées posent des questions de responsabilité. ...

Selon The Register (interview publiée le 9 déc. 2025), Joseph Rooke, directeur Risk Insights chez Recorded Future (Insikt Group), met en garde contre une « tempête parfaite » de risques cyber liée à la convergence robotique + IA + besoin sociétal, avec la perspective de « botnets en forme physique » alors que des humanoïdes s’industrialisent (Unitree, Agility, Engineered Arts, BMW, Toyota, Tesla, Hyundai/Boston Dynamics). Des chercheurs (Víctor Mayoral-Vilches, Andreas Makris, Kevin Finisterre) ont publié fin septembre un proof-of-concept détaillant plusieurs vulnérabilités dans l’interface de configuration BLE Wi‑Fi des robots Unitree : clés cryptographiques en dur, contournement d’authentification trivial, injection de commandes non assainies. Le tout est décrit comme « complètement wormable » — des robots compromis peuvent en infecter d’autres à portée BLE — permettant une prise de contrôle totale du dispositif. 🤖⚠️ ...

Source et contexte : Securelist (Kaspersky) publie un rapport trimestriel sur l’évolution des menaces non mobiles au T3 2025, couvrant Windows, macOS et IoT, avec tendances, chiffres clés et campagnes marquantes. 📊 Chiffres globaux Kaspersky a bloqué plus de 389 M d’attaques provenant de ressources en ligne; Web Anti‑Virus a réagi à 52 M d’URLs uniques. File Anti‑Virus a bloqué plus de 21 M d’objets malveillants ou potentiellement indésirables. 2 200+ nouveaux variants de ransomware détectés; ~85 000 utilisateurs ont subi des attaques ransomware; plus de 254 000 utilisateurs ciblés par des mineurs. 🔒 Ransomware : activités, groupes et répression ...

Source : IEEE Security & Privacy (rubrique Last Word, septembre/octobre 2025). Daniel E. Geer, Jr. explore l’idée que la sécurité logicielle entre dans une « ère d’indéterminisme », amplifiée par la complexité des systèmes, les weird machines et l’essor du code généré par IA. L’auteur rappelle que les vulnérabilités se concentrent aux interfaces et que la sécurité n’est pas une propriété composable. En s’appuyant sur les travaux de Bratus et Shubina, il décrit les exploits comme des programmes exploitant des « machines plus riches » émergentes, révélées lorsque les hypothèses des concepteurs sont violées. Des chaînes d’exploitation d’une « complexité impossible » seraient déjà observées, dépassant les approches classiques comme le fuzzing. ...

Selon Wiz, dans son rapport « The State of AI in the Cloud 2025 », l’adoption de l’IA dans les environnements cloud continue d’augmenter, avec une stabilisation des services managés et une montée du self-hosted, mais la sécurité et la gouvernance peinent à suivre. 📈 Adoption et tendances 85% des organisations utilisent une forme d’IA (managée ou auto-hébergée). Les services managés passent de 70% à 74% des environnements. Le self-hosted progresse fortement (42% → 75%), notamment via des intégrations dans des logiciels tiers. OpenAI/Azure OpenAI SDKs sont utilisés par 67% des environnements; top outils: Pytorch (50%), ONNX Runtime (46%), Hugging Face (45%), Tiktoken (43%). 🚀 DeepSeek en forte croissance ...

Selon BleepingComputer, lors de la deuxième journée du concours Pwn2Own Ireland 2025, des chercheurs en sécurité ont remporté 792 750 $ après avoir exploité 56 vulnérabilités zero-day uniques. Pwn2Own Ireland 2025 : 22 failles zero-day exploitées pour 267 500 $ Lors de la deuxième journée du concours de hacking Pwn2Own Ireland 2025, les chercheurs en cybersécurité ont remporté 267 500 dollars après avoir découvert et exploité 22 vulnérabilités zero-day uniques. L’événement se déroule à Cork, en Irlande, du 21 au 23 octobre, avec le soutien de Meta, Synology et QNAP. ...

Selon BleepingComputer, F5 a publié des mises à jour de sécurité destinées à corriger des vulnérabilités affectant BIG‑IP, après que ces failles ont été volées lors d’une intrusion détectée le 9 août 2025. 🔒 F5 publie des correctifs de sécurité après le vol de failles BIG-IP La société de cybersécurité F5 a publié des mises à jour pour corriger 44 vulnérabilités, dont certaines avaient été dérobées lors d’une cyberattaque détectée le 9 août 2025. L’entreprise a confirmé que des hackers soutenus par un État ont accédé à ses systèmes et volé du code source ainsi que des informations sur des failles de sécurité non divulguées affectant les produits BIG-IP. ...