Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.
Le résumé de la semaine
Voici la sélection des principales actualités cybersécurité de la semaine passée, regroupées et synthétisées pour offrir une vue claire et pertinente aux professionnels du secteur.
Une avancée significative dans la gestion proactive des mots de passe vient d’être annoncée par Google. Le navigateur Chrome peut désormais modifier automatiquement les mots de passe compromis, via son gestionnaire intégré. Lorsqu’une compromission est détectée, l’utilisateur se voit proposer une option de changement automatique, simplifiant ainsi la réaction face aux fuites d’identifiants.
Côté télécommunications, une faille dans le service VoLTE de l’opérateur britannique O2 a révélé une fuite de données de localisation et d’identifiants (IMSI, IMEI) lors des appels. Le problème provenait d’une mauvaise mise en œuvre du standard IMS, exposant ainsi la position précise de tout abonné appelé, même en itinérance, à des attaquants disposant d’outils relativement simples. La vulnérabilité permettait, par analyse des messages SIP, de géolocaliser une personne avec une précision de l’ordre de 100 mètres.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Dans le domaine de la détection automatique des failles, un cap inédit a été franchi avec la découverte d’une vulnérabilité zero-day dans le noyau Linux (CVE-2025-37899) par l’IA o3 d’OpenAI. Il s’agit d’une première mondiale, où une intelligence artificielle a identifié une faille aussi critique sans assistance humaine, en analysant des centaines de milliers de lignes de code.
Plusieurs failles critiques affectant des outils largement déployés sur le web ont été rendues publiques. Le plugin WordPress « Motors », utilisé sur plus de 22 000 sites, présentait une vulnérabilité non authentifiée permettant une escalade de privilèges, jusqu’à la prise de contrôle totale des sites. De son côté, la bibliothèque JavaScript OpenPGP.js a été mise à jour suite à une faille (CVE-2025-47934) permettant de falsifier des signatures de messages. L’attaque consistait à injecter un contenu malveillant dans un message paraissant signé légitimement.
Dans le même esprit, une vulnérabilité dans l’assistant IA GitLab Duo permettait d’injecter des liens malveillants via des prompts indirects, exfiltrant ainsi du code source privé ou manipulant les suggestions de code. L’exploitation de ce vecteur pouvait même dévoiler des vulnérabilités zero-day encore inconnues du public.
Autre faille critique repérée : l’outil d’authentification unique Samlify permettait, via des assertions SAML mal signées, de contourner l’authentification et de se faire passer pour un administrateur. Cette vulnérabilité met en péril les environnements s’appuyant sur cette bibliothèque pour leur système SSO.
Enfin, deux campagnes d’intrusion liées à des acteurs soutenus par la Chine ont été dévoilées. La première exploitait une faille zero-day dans la solution Trimble Cityworks pour infiltrer des administrations locales américaines. La seconde visait des agences gouvernementales via une exécution de code à distance dans Ivanti EPMM (Endpoint Manager Mobile), rappelant l’intensification des attaques ciblant les outils de gestion d’infrastructure.
Les vulnérabilités de la semaine
Google Chrome peut désormais modifier automatiquement les mots de passe compromis grâce à son gestionnaire intégré
Google a annoncé une nouvelle fonctionnalité pour son navigateur Chrome. Son gestionnaire de mots de passe intégré permet de modifier automatiquement le mot de passe d’un utilisateur lorsqu’il détecte une compromission de ses identifiants. « Lorsque Chrome détecte un mot de passe compromis lors de la connexion, Google… »
Une faille dans les appels 4G (VoLTE) permet de localiser n’importe quel client O2 grâce à un appel téléphonique
Une faille dans le service d’appel 4G (VoLTE) d’O2 a entraîné une fuite de données de localisation des utilisateurs via les réponses réseau, en raison d’une mauvaise implémentation de la norme IMS. Une faille dans le service d’appel 4G (VoLTE) de l’opérateur de télécommunications britannique…
o3 d’OpenAI découvre une vulnérabilité zero-day dans Linux (et c’est une première mondiale)
Aaaah si seulement on avait des stagiaires en cybersécurité capable de lire 100 000 lignes de code en quelques secondes et de repérer des indices que même les experts ratent. Et bien c’est exactement ce que o3 d’OpenAI vient…
Une faille de sécurité dans un plugin WordPress expose 22 000 sites Web à des cyberattaques
Une vulnérabilité de sécurité critique a été découverte dans Motors, un thème WordPress populaire comptant plus de 22 000 ventes, exposant potentiellement des milliers de sites web à une prise de contrôle totale. Les chercheurs en sécurité de Wordfence ont identifié une vulnérabilité d’élévation de privilèges non authentifiée permettant aux attaquants de modifier les mots de passe.
Une vulnérabilité de GitLab Duo exploitée pour injecter des liens malveillants et voler du code source
Une vulnérabilité de sécurité a récemment été découverte dans GitLab Duo, l’assistant de codage basé sur l’IA, intégré à GitLab et basé sur les modèles Claude d’Anthropic. Des chercheurs en sécurité de Legit Security ont révélé que des attaquants pourraient exploiter une faille d’injection indirecte pour exfiltrer des données privées.
Une faille critique dans OpenPGP.js permet aux attaquants d’usurper les signatures des messages
Une faille critique dans OpenPGP.js, identifiée comme CVE-2025-47934, permet aux attaquants d’usurper les signatures de messages ; des mises à jour ont été publiées pour corriger cette faille. Une vulnérabilité critique, identifiée comme CVE-2025-47934, dans OpenPGP.js permettait d’usurper la vérification des signatures de messages.
Une faille critique de Samlify SSO permet aux attaquants de se connecter en tant qu’administrateur
Une vulnérabilité critique de contournement d’authentification Samlify a été découverte qui permet aux attaquants d’usurper l’identité des utilisateurs administrateurs en injectant des assertions malveillantes non signées dans des réponses SAML légitimement signées. […]
Des pirates informatiques chinois s’introduisent dans les gouvernements locaux américains en utilisant la faille zero-day de Cityworks
Des pirates informatiques parlant chinois ont exploité une faille zero-day de Trimble Cityworks, désormais corrigée, pour violer plusieurs organismes gouvernementaux locaux à travers les États-Unis. […]
La faille EPMM d’Ivanti exploitée par des pirates chinois pour pirater des agences gouvernementales
Des pirates informatiques chinois ont exploité une faille d’exécution de code à distance dans Ivanti Endpoint Manager Mobile (EPMM) pour pénétrer dans des organisations de premier plan dans le monde entier. […]
(Re)découvrez la semaine passée:
Les vulnérabilités à suivre (19 mai 2025)
Découvrez les principales vulnérabilités à suivre cette semaine du 19 mai 2025
Cette veille vous a été utile ?
Un café = un mois de serveur. Aidez DCOD à rester gratuit et indépendant.
