DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Page de garde du Rapport annuel consolidé 2025 de l'ENISA à côté d'une carte en relief illustrant comment l'Europe s'unit, avec le logo de DCOD.
    Rapport annuel consolidé 2025 de l’ENISA : l’Europe s’unit
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 15 incidents majeurs du 14 juillet 2026
  • Gros plan sur un clavier d'ordinateur avec une touche sécurisée « cyber security » sous un bandeau vert #CYBERASSURANCE, évoquant la réaction ultra-rapide des entreprises face aux cybermenaces dopées par l'IA. Logo dcod.ch.`
    Cyberassurance : l’IA impose une réaction ultra-rapide
  • Visuel d'annonce où la Trust Valley intègre Adnovum comme nouveau partenaire contributeur pour stimuler l'innovation. Les logos de Trust Valley et d'Adnovum s'affichent sur un arrière-plan des vignobles de Lavaux et du lac Léman avec le logo dcod.ch.
    La Trust Valley intègre Adnovum pour stimuler l’innovation
  • Illustration 3D pour la veille sur les vulnérabilités : un cadenas métallique ouvert est posé sur un circuit imprimé complexe. De vifs flux lumineux oranges et des triangles d'alerte rouges clignotants émanent du cadenas, symbolisant des failles de sécurité actives et des brèches dans un système informatique.
    Vulnérabilités : les 13 alertes critiques du 13 juillet 2026
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Failles / vulnérabilités

Les vulnérabilités à suivre (14 avr 2025)

  • Marc Barbezat
  • 14 avril 2025
  • 5 minutes de lecture
Des vulnérabilités numériques avec un cadenas ouvert sur un circuit imprimé
▾ Sommaire
Le résumé de la semaineLes vulnérabilités de la semaine(Re)découvrez la semaine passée:
Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.

Le résumé de la semaine

La semaine a été marquée par une série de vulnérabilités critiques affectant aussi bien des services de messagerie que des infrastructures réseau et des solutions de stockage, soulignant l’importance de maintenir une surveillance continue et des mises à jour rigoureuses.

WhatsApp a corrigé une faille de type spoofing (CVE-2025-30401) dans sa version Windows antérieure à 2.2450.6. Cette vulnérabilité permettait à un attaquant d’envoyer des fichiers malveillants déguisés, déclenchant potentiellement une exécution de code à distance si l’utilisateur interagissait avec la pièce jointe. Dans le même écosystème, WhatsApp a récemment mis un terme à une campagne de surveillance ciblée impliquant le spyware Graphite, développé par Paragon. Cette campagne exploitait une faille « zero-click » pour infecter les appareils de journalistes et d’activistes via des fichiers PDF envoyés dans des discussions de groupe. Meta a confirmé avoir neutralisé cette attaque en décembre 2024, sans qu’une mise à jour client ne soit nécessaire.

Dans l’environnement WordPress, plus de 100 000 sites étaient vulnérables en raison d’une faille (CVE-2025-3102) dans le plugin SureTriggers, désormais renommé OttoKit. Le défaut réside dans une mauvaise vérification de l’authentification via l’API REST, permettant la création de comptes administrateurs sans contrôle. Exploitée activement dès sa divulgation, cette faille pouvait conduire à une prise de contrôle totale du site, à l’injection de malwares ou au détournement de trafic. Les administrateurs sont vivement invités à mettre à jour vers la version 1.0.79.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Fortinet a alerté sur une faille critique (CVE-2024-48887) affectant l’interface graphique de FortiSwitch. Elle permettait à un attaquant non authentifié de modifier des mots de passe administrateurs à distance. Classée 9.3/10 sur l’échelle CVSS, cette vulnérabilité impose une mise à jour immédiate pour éviter des compromissions massives.

Dell Technologies a, de son côté, publié une alerte concernant plusieurs vulnérabilités graves dans son système de fichiers PowerScale OneFS. La plus préoccupante (CVE-2025-27690) repose sur l’usage de mots de passe par défaut et permet à un attaquant distant non authentifié de s’emparer de comptes à privilèges élevés. Des vulnérabilités supplémentaires (CVE-2025-26330, CVE-2025-22471, CVE-2025-26480) permettent quant à elles un contournement des autorisations ou un déni de service. Dell recommande vivement une migration vers la version 9.10.1.1 ou ultérieure.

Ivanti a vu l’une de ses vulnérabilités (CVE-2025-22457) intégrée au catalogue KEV de la CISA. Cette faille, un débordement de tampon dans des versions obsolètes de Connect Secure et Pulse Secure, est activement exploitée par le groupe UNC5221, lié à la Chine. L’exploitation permet l’installation de malwares comme TRAILBLAZE, BRUSHFIRE et SPAWN, ciblant principalement des dispositifs en périphérie du réseau. Les administrateurs sont appelés à déployer les correctifs disponibles dès que possible.

Dans l’écosystème Android, Google a corrigé 62 vulnérabilités dans son bulletin d’avril 2025, dont deux failles zero-day exploitées activement dans des attaques ciblées. Ces correctifs visent à colmater des brèches pouvant mener à l’exécution de code ou à des élévations de privilèges sur des appareils mobiles.

Enfin, Microsoft a confirmé que le groupe RansomEXX exploitait une vulnérabilité zero-day dans le système CLFS (Common Log File System) de Windows. Cette faille, d’une sévérité élevée, permettait une élévation de privilèges jusqu’au niveau SYSTEM, facilitant des actions malveillantes sur les systèmes compromis.

Les vulnérabilités de la semaine

WhatsApp a corrigé une faille d’usurpation d’identité qui pouvait permettre l’exécution de code à distance

WhatsApp a corrigé une faille, identifiée comme CVE-2025-30401, qui pouvait permettre à des attaquants de tromper les utilisateurs et d’exécuter du code à distance. WhatsApp a publié une mise à jour de sécurité pour corriger une vulnérabilité, identifiée comme CVE-2025-30401.

Lire la suite sur Security Affairs
WhatsApp a corrigé une faille d'usurpation d'identité qui pouvait permettre l'exécution de code à distance

Fortinet recommande vivement la mise à niveau de FortiSwitch pour corriger une faille critique liée au changement de mot de passe administrateur.

Fortinet a publié des mises à jour de sécurité pour corriger une faille de sécurité critique affectant FortiSwitch et susceptible de permettre à un attaquant de modifier les mots de passe sans autorisation. Cette vulnérabilité, identifiée comme CVE-2024-48887, a un score CVSS de 9,3 sur un maximum de…

Lire la suite sur The Hacker News
Fortinet recommande vivement la mise à niveau de FortiSwitch pour corriger une faille critique liée au changement de mot de passe administrateur.

100 000 sites WordPress vulnérables à une vulnérabilité de création malveillante

Une vulnérabilité critique affectant plus de 100 000 sites Web WordPress a été découverte dans le plugin WordPress SureTriggers, permettant potentiellement aux attaquants de créer des comptes d’administrateur non autorisés. La faille, identifiée comme CVE-2025-3102 avec un score CVSS de 8,1 (élevé), affecte toutes les versions du…

Lire la suite sur Cyber Security News
100 000 sites WordPress vulnérables à une vulnérabilité de création malveillante

Les experts en sécurité informatique craignent que la Chine ne riposte aux tarifs douaniers par une attaque Typhoon

Les escrocs tirent déjà profit des fausses factures pour les frais d’importation des taxes de guerre mondiale Alors que la guerre commerciale entre l’Amérique et la Chine s’intensifie, certains experts en sécurité informatique et en politique craignent que Pékin ne riposte dans le cyberespace.

Lire la suite sur The Register – Security
Les experts en sécurité informatique craignent que la Chine ne riposte aux tarifs douaniers par une attaque Typhoon

Dell met en garde contre des vulnérabilités critiques de PowerScale OneFS permettant la prise de contrôle des comptes utilisateurs

Dell Technologies a publié un avis de sécurité critique alertant ses clients sur plusieurs vulnérabilités graves dans PowerScale OneFS, qui pourraient permettre à des attaquants de prendre le contrôle de comptes utilisateurs à privilèges élevés. La faille la plus grave, avec un score CVSS de 9,8, pourrait permettre l’accès à distance non authentifié…

Lire la suite sur Cyber Security News
Dell met en garde contre des vulnérabilités critiques de PowerScale OneFS permettant la prise de contrôle des comptes utilisateurs

Vulnérabilité de création d’administrateur du plugin WordPress OttoKit en cas d’exploitation active

Une faille de sécurité de grande gravité récemment révélée affectant OttoKit (anciennement SureTriggers) a été activement exploitée quelques heures après sa divulgation publique. Cette vulnérabilité, identifiée comme CVE-2025-3102 (score CVSS : 8,1), est un bug de contournement d’autorisation qui pourrait permettre…

Lire la suite sur The Hacker News
Vulnérabilité de création d'administrateur du plugin WordPress OttoKit en cas d'exploitation active

La CISA américaine ajoute les failles Ivanti Connect Secure, Policy Secure et ZTA Gateways à son catalogue de vulnérabilités connues exploitées

L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) ajoute les failles Ivanti Connect Secure, Policy Secure et ZTA Gateways à son catalogue de vulnérabilités connues. L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté…

Lire la suite sur Security Affairs
La CISA américaine ajoute les failles Ivanti Connect Secure, Policy Secure et ZTA Gateways à son catalogue de vulnérabilités connues exploitées

Google corrige les failles zero-day d’Android exploitées dans des attaques et 60 autres failles

Google a publié des correctifs pour 62 vulnérabilités dans la mise à jour de sécurité d’Android d’avril 2025, dont deux zero-day exploitées dans des attaques ciblées. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Google corrige les failles zero-day d'Android exploitées dans des attaques et 60 autres failles

Microsoft : une faille zero-day Windows CLFS exploitée par un gang de ransomware

Microsoft affirme que le gang de ransomware RansomEXX a exploité une faille zero-day de haute gravité dans le système de fichiers journaux communs de Windows pour obtenir des privilèges SYSTEM sur les systèmes des victimes. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Microsoft : une faille zero-day Windows CLFS exploitée par un gang de ransomware

(Re)découvrez la semaine passée:

Les vulnérabilités à suivre (7 avr 2025)

Découvrez les principales vulnérabilités à suivre cette semaine du 7 avril 2025

Lire la suite sur dcod.ch
Les vulnérabilités à suivre (7 avr 2025)

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Illustration conceptuelle sur l'IA agentique et les trois angles morts qui menacent la cybersécurité, représentant un profil humain pensif superposé d'interfaces de données numériques à côté d'un grand chiffre 3 transparent.
Lire l'article

IA agentique : trois angles morts qui menacent la cybersécurité

Lignes de code informatique bleues et lumineuses sur fond noir, illustrant le concept de vibe coding et ses enjeux de sécurité informatique, avec le logo dcod.ch visible dans le coin inférieur droit.
Lire l'article

Le vibe coding face aux enjeux de sécurité informatique

Illustration d'un calendrier affichant la date du 24 juin sur fond flou d'écran de démarrage bleu, symbolisant l'échéance où les clés expirées de Secure Boot menacent la sécurité des systèmes Windows et Linux.
Lire l'article

Secure Boot : des clés expirées menacent Windows et Linux

Des idées de lecture recommandées par DCOD

Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grâce à ce livre 2 en 1.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois