DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Page de garde du Rapport annuel consolidé 2025 de l'ENISA à côté d'une carte en relief illustrant comment l'Europe s'unit, avec le logo de DCOD.
    Rapport annuel consolidé 2025 de l’ENISA : l’Europe s’unit
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 15 incidents majeurs du 14 juillet 2026
  • Gros plan sur un clavier d'ordinateur avec une touche sécurisée « cyber security » sous un bandeau vert #CYBERASSURANCE, évoquant la réaction ultra-rapide des entreprises face aux cybermenaces dopées par l'IA. Logo dcod.ch.`
    Cyberassurance : l’IA impose une réaction ultra-rapide
  • Visuel d'annonce où la Trust Valley intègre Adnovum comme nouveau partenaire contributeur pour stimuler l'innovation. Les logos de Trust Valley et d'Adnovum s'affichent sur un arrière-plan des vignobles de Lavaux et du lac Léman avec le logo dcod.ch.
    La Trust Valley intègre Adnovum pour stimuler l’innovation
  • Illustration 3D pour la veille sur les vulnérabilités : un cadenas métallique ouvert est posé sur un circuit imprimé complexe. De vifs flux lumineux oranges et des triangles d'alerte rouges clignotants émanent du cadenas, symbolisant des failles de sécurité actives et des brèches dans un système informatique.
    Vulnérabilités : les 13 alertes critiques du 13 juillet 2026
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Failles / vulnérabilités

Les vulnérabilités à suivre – 13 oct 2025

  • Marc Barbezat
  • 13 octobre 2025
  • 4 minutes de lecture
DCOD vuln - Image en 3D réaliste d’un cadenas ouvert posé sur un circuit imprimé, symbolisant une faille de sécurité ou une vulnérabilité informatique dans un environnement technologique.
Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

Faits marquants de la semaine

  • Une faille critique dans Oracle E-Business Suite a été exploitée par
  • le groupe Clop depuis août 2025. La vulnérabilité GitHub Copilot, notée CVSS 9.6, permet le vol de code source privé.
  • L’agence NHTSA enquête sur le logiciel FSD de Tesla après plus de 50 violations de sécurité signalées.
  • Google refuse de corriger une faille dans son IA Gemini, laissant la responsabilité aux utilisateurs.

La semaine a été marquée par plusieurs incidents de cybersécurité touchant des technologies variées, allant des logiciels d’entreprise aux plateformes de développement et d’intelligence artificielle. Les vulnérabilités découvertes mettent en lumière les risques associés à l’usage de technologies avancées sans mesures de sécurité adéquates. Les entreprises et les utilisateurs sont confrontés à des défis croissants pour protéger leurs données sensibles face à des cyberattaques de plus en plus sophistiquées. Les incidents récents soulignent l’importance de la vigilance et de la mise à jour régulière des systèmes pour contrer les menaces émergentes. Cette veille met en lumière les failles critiques et les réponses des entreprises concernées.

Selon BleepingComputer, le groupe Clop a exploité une faille zero-day critique dans Oracle E-Business Suite depuis août 2025. Cette vulnérabilité, identifiée comme CVE-2025-61882, permet une exécution de code à distance sans authentification. Découverte dans le composant BI Publisher Integration, elle a été utilisée pour voler des documents sensibles. Oracle a publié un correctif, mais l’exploitation par Clop a déjà conduit à des campagnes d’extorsion. D’autres groupes pourraient également avoir utilisé cette faille, selon CrowdStrike. La première exploitation connue remonte au 9 août 2025, et les enquêtes se poursuivent.

Une vulnérabilité critique dans GitHub Copilot Chat, découverte en juin 2025, a exposé des codes sources privés à des attaquants, comme le rapporte GBHackers. Notée CVSS 9.6, cette faille combine un contournement de la politique de sécurité de contenu avec une injection de commande à distance. Les attaquants pouvaient exfiltrer des données de dépôt privé en intégrant des instructions cachées dans des demandes de tirage. Ces instructions restaient invisibles pour les lecteurs humains mais influençaient Copilot. L’exploitation permettait de rechercher des secrets comme des clés AWS et d’exfiltrer des fichiers de dépôt.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

La National Highway Traffic Safety Administration (NHTSA) a ouvert une enquête sur le logiciel Full Self-Driving (FSD) de Tesla après avoir reçu plus de 50 rapports de violations de sécurité, selon TechCrunch. Ces incidents incluent des passages au feu rouge et des changements de voie illégaux. Quatre de ces incidents ont entraîné des blessures. L’enquête fait suite à une précédente investigation sur l’Autopilot de Tesla, qui avait identifié 13 accidents mortels liés à une mauvaise utilisation du logiciel.

Une faille de sécurité dans l’IA Gemini de Google permet à des pirates de voler des données sensibles en dissimulant des instructions malveillantes dans des e-mails, comme le détaille Generation NT. Google a décidé de ne pas corriger cette faille, estimant que la prudence des utilisateurs suffit à parer le danger. Cette vulnérabilité repose sur l’utilisation de caractères spéciaux Unicode invisibles, transformant un simple assistant en un outil d’extraction de données autonome.

1Password a développé une fonctionnalité appelée Secure Agentic Autofill pour sécuriser les agents de navigation AI, selon The Verge. Cette fonctionnalité injecte les identifiants directement dans le navigateur uniquement après approbation humaine. Elle utilise un canal chiffré de bout en bout pour garantir que les agents AI ne voient jamais les identifiants réels. Disponible en accès anticipé, cette solution vise à prévenir les violations potentielles de sécurité par les agents AI.

Une vulnérabilité critique dans Redis, notée CVSS 10.0, permet l’exécution de code à distance, comme le rapporte The Hacker News. Connue sous le nom de RediShell, cette faille existe dans toutes les versions de Redis avec le scripting Lua. Elle permet à un utilisateur authentifié d’exécuter un script Lua malveillant, échappant à la sandbox Lua pour obtenir un accès non autorisé au système hôte. Bien qu’aucune exploitation dans la nature n’ait été signalée, environ 330 000 instances Redis sont exposées en ligne.

Google a annoncé un nouvel agent AI, CodeMender, qui détecte et corrige automatiquement les vulnérabilités de code, selon The Hacker News. CodeMender a déjà intégré 72 correctifs de sécurité dans des projets open source. L’agent utilise des modèles de langage pour vérifier que les modifications n’introduisent pas de régressions. Google a également lancé un programme de récompense pour les vulnérabilités AI, offrant jusqu’à 30 000 $ pour les signalements.

Google a aussi lancé un programme de récompense pour les vulnérabilités AI, offrant jusqu’à 30 000 $ pour les signalements, comme le rapporte BleepingComputer. Ce programme cible les produits AI de Google, y compris Google Search et Gemini Apps. Les récompenses varient selon la gravité des failles, avec des bonus pour les rapports de haute qualité. Depuis 2010, Google a versé 65 millions de dollars en récompenses de bug bounty.

Steam et Microsoft ont averti d’une vulnérabilité dans le moteur de jeu Unity, permettant l’exécution de code sur Android et l’élévation de privilèges sur Windows, selon BleepingComputer. Valve a mis à jour son client pour bloquer les schémas URI personnalisés. Microsoft recommande de désinstaller les jeux vulnérables jusqu’à ce que des versions corrigées soient disponibles. La faille, CVE-2025-59489, affecte les jeux depuis Unity 2017.1.

Un concours de hacking, Zeroday Cloud, offre 4,5 millions de dollars en récompenses pour des exploits ciblant des outils cloud et AI open-source, selon BleepingComputer. Organisé par Wiz, Google Cloud, AWS et Microsoft, le concours se tiendra en décembre à Londres. Les catégories incluent l’AI, Kubernetes, et les serveurs web, avec des primes allant de 10 000 à 300 000 dollars.

Le groupe Storm-1175 exploite une vulnérabilité critique dans GoAnywhere MFT pour des attaques de ransomware Medusa, comme le rapporte BleepingComputer. La faille, CVE-2025-10035, permet une exécution de code à distance. Microsoft a confirmé l’exploitation active depuis septembre 2025. Les attaques utilisent des outils de gestion à distance pour maintenir la persistance et exfiltrer des fichiers volés.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes
  • 1Password
  • Cl0p
  • cybersécurité
  • faille
  • Google
  • IA
  • ransomware
  • Redis
  • Tesla
  • Unity
  • vulnérabilité
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Illustration conceptuelle sur l'IA agentique et les trois angles morts qui menacent la cybersécurité, représentant un profil humain pensif superposé d'interfaces de données numériques à côté d'un grand chiffre 3 transparent.
Lire l'article

IA agentique : trois angles morts qui menacent la cybersécurité

Lignes de code informatique bleues et lumineuses sur fond noir, illustrant le concept de vibe coding et ses enjeux de sécurité informatique, avec le logo dcod.ch visible dans le coin inférieur droit.
Lire l'article

Le vibe coding face aux enjeux de sécurité informatique

Illustration d'un calendrier affichant la date du 24 juin sur fond flou d'écran de démarrage bleu, symbolisant l'échéance où les clés expirées de Secure Boot menacent la sécurité des systèmes Windows et Linux.
Lire l'article

Secure Boot : des clés expirées menacent Windows et Linux

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois