DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Une photographie de studio nette montrant deux mains portant des gants de boxe s'affrontant sur un fond gris neutre. La main gauche porte un gant de boxe blanc avec trois bandes fuchsia fuchsia, associée au logo étoile orange et au texte 'Claude' superposé. La main droite porte un gant de boxe noir uni, associée au logo vagues stylisées et au texte 'Alibaba' superposé. Les deux paires se font face dans un geste d'affrontement ou de combat symbolique. Le filigrane 'dcod.ch' est en bas à droite. Les logos et textes sont clairs.
    Alibaba bannit Claude Code après la découverte d’un mouchard
  • Illustration pour la veille sur les fuites de données : une silhouette de hacker encapuchonné dans l'ombre, sur fond de code informatique bleu, est traversée par des faisceaux lumineux diagonaux orange intenses évoquant une alerte de sécurité ou une brèche active.
    Fuites de données : les 12 incidents majeurs au 9 juillet 2026
  • Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
    Le spyware Pegasus pirate le téléphone d’un enquêteur européen
  • Illustration futuriste pour la veille IA : un cerveau numérique bleu translucide, parcouru de circuits dorés, est au centre d'un tunnel de lumière dynamique composé de flux de données rapides bleus, violets et or, symbolisant la vitesse du progrès technologique.
    IA & Cybersécurité : les 11 actus clés du 8 juillet 2026
  • Illustration de dcod.ch pour l'article "Le premier ransomware autonome piloté par une IA passe à l'action". Le visuel présente un écran divisé en diagonale avec des lignes de code informatique à gauche et un pirate informatique encapuchonné au milieu de données numériques à droite, symbolisant l'attaque de l'agent JadePuffer
    Le premier ransomware autonome piloté par une IA passe à l’action
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Failles / vulnérabilités

Les vulnérabilités à suivre (3 fév 2025)

  • Marc Barbezat
  • 3 février 2025
  • 6 minutes de lecture
Des vulnérabilités numériques avec un cadenas ouvert sur un circuit imprimé
▾ Sommaire
Le résumé de la semaineLes vulnérabilités de la semaine(Re)découvrez la semaine passée:
Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.

Le résumé de la semaine

Au cours de la semaine écoulée, plusieurs incidents notables ont marqué le domaine de la cybersécurité, touchant divers secteurs et technologies.

Une vulnérabilité critique a été découverte dans une API d’un service de voyage tiers, exposant des millions d’utilisateurs de compagnies aériennes à des prises de contrôle de comptes. Les attaquants pouvaient exploiter cette faille en manipulant le paramètre de redirection OAuth, leur permettant d’accéder aux informations personnelles sensibles des utilisateurs et d’utiliser leurs points de fidélité pour effectuer des réservations non autorisées. Cette situation souligne les risques associés aux intégrations de la chaîne d’approvisionnement des API et la nécessité de mesures de sécurité renforcées dans les écosystèmes de services tiers.

Une nouvelle attaque ciblant les navigateurs Chrome, baptisée « Browser Syncjacking », a été identifiée. Cette méthode permet aux attaquants de créer des profils gérés malveillants et de tromper les utilisateurs pour qu’ils activent la synchronisation Chrome, leur offrant ainsi un accès complet aux données du navigateur, y compris l’historique de navigation et les mots de passe enregistrés. Les conséquences potentielles incluent l’installation de logiciels malveillants, la capture de frappes au clavier et l’accès non autorisé aux webcams et microphones des appareils.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Dans le domaine des services de protection de la vie privée, une faille de protection mémoire a été découverte dans Proton VPN et Proton Pass, mettant potentiellement en danger 500 millions d’utilisateurs. Cette vulnérabilité pourrait exposer des données sensibles, y compris le trafic VPN chiffré et des informations de paiement. Bien que Proton soit réputé pour sa sécurité, cet incident souligne les défis liés à la protection des utilisateurs face aux vulnérabilités logicielles.

Une faille critique a été exploitée dans Fortinet, permettant aux attaquants d’obtenir des privilèges super-administrateur sur des produits FortiOS et FortiProxy exposés à Internet. Cette vulnérabilité a été activement exploitée dans une série d’attaques récentes.

Dans le domaine des appareils de santé, une alerte a été émise concernant des moniteurs de patients largement utilisés qui contiendraient une porte dérobée. Cette vulnérabilité permettrait l’envoi discret de données sensibles des patients vers une adresse IP distante et autoriserait le téléchargement et l’exécution de fichiers sur l’appareil, posant de graves risques pour la confidentialité des informations médicales.

Les utilisateurs de montres GPS Garmin ont signalé des dysfonctionnements majeurs, notamment des crashs lors de l’utilisation d’applications nécessitant l’accès au GPS, suivis d’une boucle de redémarrage affichant un logo en forme de triangle bleu. Ce problème affecte plusieurs séries de montres, rendant les appareils inutilisables pour de nombreux utilisateurs.

Une vulnérabilité critique non corrigée a été exploitée dans les appareils Zyxel de la série CPE. Cette faille de type injection de commande permet à des attaquants non authentifiés d’exécuter des commandes arbitraires en utilisant des comptes de service spécifiques, compromettant potentiellement la sécurité des réseaux utilisant ces appareils.

Une série d’attaques nommées « Clone2Leak » a été découverte, exploitant des failles dans la gestion des demandes d’authentification par Git et ses gestionnaires de crédentiels. Ces attaques peuvent compromettre des mots de passe et des jetons d’accès dans divers outils liés à Git, soulignant la nécessité pour les développeurs de mettre à jour leurs outils et de renforcer la sécurité de leurs environnements de développement.

Apple a corrigé sa première vulnérabilité zero-day de l’année, activement exploitée pour cibler les utilisateurs d’iPhone. L’exploitation de cette faille met en évidence la persistance des attaques ciblant les appareils Apple, malgré les efforts continus de renforcement de la sécurité du système iOS.

Enfin, CISA et le FBI ont émis une alerte concernant l’exploitation continue de vulnérabilités anciennes dans les produits Ivanti Cloud Service Appliances (CSA). Bien que des correctifs aient été publiés depuis septembre dernier, des attaquants continuent de les exploiter pour compromettre des réseaux vulnérables, rappelant l’importance d’appliquer rapidement les mises à jour de sécurité.

Les vulnérabilités de la semaine

Une attaque de la chaîne d’approvisionnement des API expose des millions de comptes d’utilisateurs de compagnies aériennes aux pirates informatiques

Une vulnérabilité dans l’API d’un service de voyage tiers a exposé des millions d’utilisateurs de compagnies aériennes à des piratages de comptes potentiels, permettant aux attaquants d’exploiter les points de fidélité des compagnies aériennes et d’accéder à des informations personnelles sensibles.

Lire la suite sur Cyber Security News
Une attaque de la chaîne d'approvisionnement des API expose des millions de comptes d'utilisateurs de compagnies aériennes aux pirates informatiques

Une nouvelle attaque de piratage du navigateur Chrome pourrait affecter des milliards d’utilisateurs – voici comment la combattre

Une nouvelle attaque de piratage cible les navigateurs Chrome. Elle pourrait voler toutes les données de votre navigateur et même celles de votre système d’exploitation. Les utilisateurs peuvent riposter de plusieurs manières.

Lire la suite sur Techradar – All the latest technology news
Une nouvelle attaque de piratage du navigateur Chrome pourrait affecter des milliards d'utilisateurs - voici comment la combattre

500 millions d’utilisateurs de Proton VPN et de Pass sont en danger en raison d’une vulnérabilité de protection de la mémoire

Proton, fournisseur mondialement reconnu de services axés sur la confidentialité tels que Proton VPN et Proton Pass, fait l’objet d’un examen minutieux après la découverte de graves vulnérabilités de protection de la mémoire dans ses produits. Bien qu’il se soit imposé comme un nom de confiance pour la protection des données des utilisateurs…

Lire la suite sur GBHackers On Security
500 millions d'utilisateurs de Proton VPN et de Pass sont en danger en raison d'une vulnérabilité de protection de la mémoire

Le jailbreak Time Bandit ChatGPT contourne les mesures de sécurité sur les sujets sensibles

Une faille de jailbreak ChatGPT, surnommée « Time Bandit », vous permet de contourner les consignes de sécurité d’OpenAI lorsque vous demandez des instructions détaillées sur des sujets sensibles, notamment la création d’armes, des informations sur des sujets nucléaires et la création de logiciels malveillants. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Le jailbreak Time Bandit ChatGPT contourne les mesures de sécurité sur les sujets sensibles

Une porte dérobée a été découverte dans deux moniteurs de surveillance de patients, liée à une propriété intellectuelle en Chine

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avertit que les appareils Contec CMS8000, un appareil de surveillance des patients largement utilisé dans le domaine de la santé, incluent une porte dérobée qui envoie discrètement les données des patients à une adresse IP distante et télécharge et exécute des fichiers sur…

Lire la suite sur Latest news and stories from BleepingComputer.com
Une porte dérobée a été découverte dans deux moniteurs de surveillance de patients, liée à une propriété intellectuelle en Chine

Une faille zero-day activement exploitée par Fortinet confère aux attaquants des privilèges de super-administrateur

Le spécialiste des pare-feu a corrigé la faille de sécurité, responsable d’une série d’attaques signalées plus tôt ce mois-ci qui ont compromis les produits FortiOS et FortiProxy exposés à l’Internet public.

Lire la suite sur Dark Reading
Une faille zero-day activement exploitée par Fortinet confère aux attaquants des privilèges de super-administrateur

Les montres GPS Garmin se bloquent et sont bloquées dans une boucle de redémarrage triangulaire

Les utilisateurs de Garmin signalent que leurs montres plantent lorsqu’ils utilisent des applications qui nécessitent un accès GPS et restent ensuite bloquées dans une boucle de redémarrage, affichant un logo en forme de triangle bleu. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Les montres GPS Garmin se bloquent et sont bloquées dans une boucle de redémarrage triangulaire

Des pirates informatiques exploitent une faille critique non corrigée dans les appareils CPE de Zyxel

Les pirates informatiques exploitent une vulnérabilité critique d’injection de commande dans les appareils de la série Zyxel CPE, actuellement identifiée comme CVE-2024-40891 et qui n’a pas été corrigée depuis juillet dernier. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Des pirates informatiques exploitent une faille critique non corrigée dans les appareils CPE de Zyxel

Les attaques Clone2Leak exploitent les failles de Git pour voler des informations d’identification

Un ensemble de trois attaques distinctes mais liées, baptisées « Clone2Leak », peut divulguer des informations d’identification en exploitant la manière dont Git et ses assistants d’identification gèrent les demandes d’authentification. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Les attaques Clone2Leak exploitent les failles de Git pour voler des informations d'identification

Apple corrige le premier bug zero-day activement exploité de l’année

Apple a publié des mises à jour de sécurité pour corriger la première vulnérabilité zero-day de l’année, signalée comme activement exploitée dans les attaques ciblant les utilisateurs d’iPhone. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Apple corrige le premier bug zero-day activement exploité de l'année

CISA : les pirates informatiques continuent d’exploiter les anciens bugs d’Ivanti pour pirater les réseaux

La CISA et le FBI ont averti aujourd’hui que les attaquants exploitent toujours les failles de sécurité des Ivanti Cloud Service Appliances (CSA) corrigées depuis septembre pour pénétrer dans les réseaux vulnérables. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
CISA : les pirates informatiques continuent d'exploiter les anciens bugs d'Ivanti pour pirater les réseaux

(Re)découvrez la semaine passée:

Les vulnérabilités à suivre (27 jan 2025)

Découvrez les principales vulnérabilités à suivre cette semaine du 27 janvier 2025

Lire la suite sur dcod.ch
Les vulnérabilités à suivre (27 jan 2025)

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Illustration conceptuelle sur l'IA agentique et les trois angles morts qui menacent la cybersécurité, représentant un profil humain pensif superposé d'interfaces de données numériques à côté d'un grand chiffre 3 transparent.
Lire l'article

IA agentique : trois angles morts qui menacent la cybersécurité

Lignes de code informatique bleues et lumineuses sur fond noir, illustrant le concept de vibe coding et ses enjeux de sécurité informatique, avec le logo dcod.ch visible dans le coin inférieur droit.
Lire l'article

Le vibe coding face aux enjeux de sécurité informatique

Illustration d'un calendrier affichant la date du 24 juin sur fond flou d'écran de démarrage bleu, symbolisant l'échéance où les clés expirées de Secure Boot menacent la sécurité des systèmes Windows et Linux.
Lire l'article

Secure Boot : des clés expirées menacent Windows et Linux

Des idées de lecture recommandées par DCOD

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois