💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Des vulnérabilités numériques avec un cadenas ouvert sur un circuit imprimé

Les vulnérabilités à suivre (5 mai 2025)

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

📚 Lecture conseillée : Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA📘 Voir sur Amazon

Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.

Le résumé de la semaine

La semaine passée a été marquée par plusieurs alertes concernant des vulnérabilités activement exploitées.

Google a révélé que 97 vulnérabilités zero-day ont été exploitées depuis le début de l’année 2024, dont plus de la moitié dans le cadre d’attaques liées à des logiciels espions. Ce volume inhabituellement élevé souligne une intensification des efforts de certains acteurs pour cibler des systèmes encore non patchés, souvent via des chaînes complexes de compromission. Ces attaques ont majoritairement visé des plateformes mobiles, avec une préférence marquée pour les systèmes Android, mais des campagnes ont aussi touché Windows et iOS.

Dans l’écosystème Apple, une série de failles critiques surnommées « AirBorne » a été découverte dans le protocole AirPlay et son SDK. Exploitables sans interaction de l’utilisateur, ces vulnérabilités permettent à un attaquant de prendre le contrôle d’un appareil via une attaque zero-click, ouvrant potentiellement la voie à une exécution de code à distance.

Du côté des infrastructures critiques, plus de 1 200 serveurs SAP NetWeaver accessibles depuis Internet présentent une vulnérabilité critique non authentifiée permettant l’upload de fichiers arbitraires. Cette faille, d’un niveau de sévérité maximum, est activement exploitée. Elle pourrait permettre à des attaquants de compromettre totalement les systèmes ciblés. SAP avait publié un correctif dès 2022, ce qui indique un problème persistant de non-application des correctifs dans certaines organisations, malgré les alertes répétées.

En Allemagne, la Gematik a dû réagir en urgence après que le Chaos Computer Club (CCC) a identifié une nouvelle vulnérabilité dans l’application de dossier patient électronique (ePA). À peine lancée, cette solution a déjà dû faire l’objet d’une « Sofortmaßnahme » pour corriger une faille qui aurait pu permettre à des utilisateurs non autorisés d’accéder à des données sensibles.

Enfin, Coinbase a corrigé une erreur dans ses journaux d’activité qui provoquait de fausses alertes de connexion, laissant croire à ses utilisateurs que leur compte avait été compromis.

Les vulnérabilités de la semaine

Coinbase corrige une erreur de journal 2FA qui fait croire aux utilisateurs qu’ils ont été piratés

Coinbase a corrigé un bug déroutant dans les journaux d’activité de son compte qui faisait penser aux utilisateurs que leurs informations d’identification étaient compromises. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Coinbase corrige une erreur de journal 2FA qui fait croire aux utilisateurs qu'ils ont été piratés

Google : 97 zero-days exploités en 2024, dont plus de 50 % dans des attaques de logiciels espions

Le groupe de renseignement sur les menaces de Google (GTIG) indique que les attaquants ont exploité 75 vulnérabilités zero-day dans la nature l’année dernière, dont plus de 50 % étaient liées à des attaques de logiciels espions. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Google : 97 zero-days exploités en 2024, dont plus de 50 % dans des attaques de logiciels espions

Dossier médical électronique : le CCC constate à nouveau des lacunes, Gematik réagit avec une « mesure immédiate »

Le lendemain du lancement de l’ePA, Gematik a dû signaler qu’elle avait comblé une autre faille de sécurité avec une « mesure immédiate ».

Lire la suite sur heise Security
Dossier médical électronique : le CCC constate à nouveau des lacunes, Gematik réagit avec une « mesure immédiate »

Les failles « AirBorne » d’Apple peuvent conduire à des attaques AirPlay RCE sans clic

​Un ensemble de vulnérabilités de sécurité dans le protocole AirPlay d’Apple et le kit de développement logiciel (SDK) AirPlay a exposé des appareils tiers et Apple non corrigés à diverses attaques, notamment l’exécution de code à distance. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Les failles « AirBorne » d'Apple peuvent conduire à des attaques AirPlay RCE sans clic

Plus de 1 200 serveurs SAP NetWeaver vulnérables à une faille activement exploitée

Plus de 1 200 instances SAP NetWeaver exposées à Internet sont vulnérables à une vulnérabilité de téléchargement de fichiers non authentifiés de gravité maximale activement exploitée qui permet aux attaquants de détourner des serveurs. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Plus de 1 200 serveurs SAP NetWeaver vulnérables à une faille activement exploitée

(Re)découvrez la semaine passée:

Les vulnérabilités à suivre (28 avr 2025)

Découvrez les principales vulnérabilités à suivre cette semaine du 28 avril 2025

Lire la suite sur dcod.ch
Les vulnérabilités à suivre (28 avr 2025)

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grace à ce lvre 2 en 1.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏