Les vulnérabilités à suivre – 13 oct 2025

Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

La semaine a été marquée par plusieurs incidents de cybersécurité touchant des technologies variées, allant des logiciels d’entreprise aux plateformes de développement et d’intelligence artificielle. Les vulnérabilités découvertes mettent en lumière les risques associés à l’usage de technologies avancées sans mesures de sécurité adéquates. Les entreprises et les utilisateurs sont confrontés à des défis croissants pour protéger leurs données sensibles face à des cyberattaques de plus en plus sophistiquées. Les incidents récents soulignent l’importance de la vigilance et de la mise à jour régulière des systèmes pour contrer les menaces émergentes. Cette veille met en lumière les failles critiques et les réponses des entreprises concernées.

Selon BleepingComputer, le groupe Clop a exploité une faille zero-day critique dans Oracle E-Business Suite depuis août 2025. Cette vulnérabilité, identifiée comme CVE-2025-61882, permet une exécution de code à distance sans authentification. Découverte dans le composant BI Publisher Integration, elle a été utilisée pour voler des documents sensibles. Oracle a publié un correctif, mais l’exploitation par Clop a déjà conduit à des campagnes d’extorsion. D’autres groupes pourraient également avoir utilisé cette faille, selon CrowdStrike. La première exploitation connue remonte au 9 août 2025, et les enquêtes se poursuivent.

Une vulnérabilité critique dans GitHub Copilot Chat, découverte en juin 2025, a exposé des codes sources privés à des attaquants, comme le rapporte GBHackers. Notée CVSS 9.6, cette faille combine un contournement de la politique de sécurité de contenu avec une injection de commande à distance. Les attaquants pouvaient exfiltrer des données de dépôt privé en intégrant des instructions cachées dans des demandes de tirage. Ces instructions restaient invisibles pour les lecteurs humains mais influençaient Copilot. L’exploitation permettait de rechercher des secrets comme des clés AWS et d’exfiltrer des fichiers de dépôt.

La National Highway Traffic Safety Administration (NHTSA) a ouvert une enquête sur le logiciel Full Self-Driving (FSD) de Tesla après avoir reçu plus de 50 rapports de violations de sécurité, selon TechCrunch. Ces incidents incluent des passages au feu rouge et des changements de voie illégaux. Quatre de ces incidents ont entraîné des blessures. L’enquête fait suite à une précédente investigation sur l’Autopilot de Tesla, qui avait identifié 13 accidents mortels liés à une mauvaise utilisation du logiciel.

Une faille de sécurité dans l’IA Gemini de Google permet à des pirates de voler des données sensibles en dissimulant des instructions malveillantes dans des e-mails, comme le détaille Generation NT. Google a décidé de ne pas corriger cette faille, estimant que la prudence des utilisateurs suffit à parer le danger. Cette vulnérabilité repose sur l’utilisation de caractères spéciaux Unicode invisibles, transformant un simple assistant en un outil d’extraction de données autonome.

1Password a développé une fonctionnalité appelée Secure Agentic Autofill pour sécuriser les agents de navigation AI, selon The Verge. Cette fonctionnalité injecte les identifiants directement dans le navigateur uniquement après approbation humaine. Elle utilise un canal chiffré de bout en bout pour garantir que les agents AI ne voient jamais les identifiants réels. Disponible en accès anticipé, cette solution vise à prévenir les violations potentielles de sécurité par les agents AI.

Une vulnérabilité critique dans Redis, notée CVSS 10.0, permet l’exécution de code à distance, comme le rapporte The Hacker News. Connue sous le nom de RediShell, cette faille existe dans toutes les versions de Redis avec le scripting Lua. Elle permet à un utilisateur authentifié d’exécuter un script Lua malveillant, échappant à la sandbox Lua pour obtenir un accès non autorisé au système hôte. Bien qu’aucune exploitation dans la nature n’ait été signalée, environ 330 000 instances Redis sont exposées en ligne.

Google a annoncé un nouvel agent AI, CodeMender, qui détecte et corrige automatiquement les vulnérabilités de code, selon The Hacker News. CodeMender a déjà intégré 72 correctifs de sécurité dans des projets open source. L’agent utilise des modèles de langage pour vérifier que les modifications n’introduisent pas de régressions. Google a également lancé un programme de récompense pour les vulnérabilités AI, offrant jusqu’à 30 000 $ pour les signalements.

Google a aussi lancé un programme de récompense pour les vulnérabilités AI, offrant jusqu’à 30 000 $ pour les signalements, comme le rapporte BleepingComputer. Ce programme cible les produits AI de Google, y compris Google Search et Gemini Apps. Les récompenses varient selon la gravité des failles, avec des bonus pour les rapports de haute qualité. Depuis 2010, Google a versé 65 millions de dollars en récompenses de bug bounty.

Steam et Microsoft ont averti d’une vulnérabilité dans le moteur de jeu Unity, permettant l’exécution de code sur Android et l’élévation de privilèges sur Windows, selon BleepingComputer. Valve a mis à jour son client pour bloquer les schémas URI personnalisés. Microsoft recommande de désinstaller les jeux vulnérables jusqu’à ce que des versions corrigées soient disponibles. La faille, CVE-2025-59489, affecte les jeux depuis Unity 2017.1.

Un concours de hacking, Zeroday Cloud, offre 4,5 millions de dollars en récompenses pour des exploits ciblant des outils cloud et AI open-source, selon BleepingComputer. Organisé par Wiz, Google Cloud, AWS et Microsoft, le concours se tiendra en décembre à Londres. Les catégories incluent l’AI, Kubernetes, et les serveurs web, avec des primes allant de 10 000 à 300 000 dollars.

Le groupe Storm-1175 exploite une vulnérabilité critique dans GoAnywhere MFT pour des attaques de ransomware Medusa, comme le rapporte BleepingComputer. La faille, CVE-2025-10035, permet une exécution de code à distance. Microsoft a confirmé l’exploitation active depuis septembre 2025. Les attaques utilisent des outils de gestion à distance pour maintenir la persistance et exfiltrer des fichiers volés.