Faits marquants de la semaine
- Fortinet corrige une vulnérabilité critique d’injection de commandes dans FortiSIEM (score CVSS 9,4) permettant à un attaquant non authentifié d’exécuter du code à distance sur des instances exposées.
- Cisco publie un correctif pour une faille de sévérité maximale dans AsyncOS affectant Secure Email Gateway et Secure Email and Web Manager, déjà exploitée en zero-day par un groupe d’attaque lié à la Chine.
- Une mauvaise configuration critique d’AWS CodeBuild, nommée CodeBreach, aurait pu permettre la prise de contrôle complète des dépôts GitHub d’AWS, dont l’AWS JavaScript SDK, exposant potentiellement tous les environnements AWS avant sa correction en septembre 2025.
- Microsoft déploie sa première mise à jour de sécurité 2026 pour Windows, corrigeant 114 vulnérabilités dont une déjà exploitée, avec huit failles critiques et une majorité de failles de montée de privilèges.
La semaine illustre à nouveau une concentration de vulnérabilités critiques touchant des composants centraux des infrastructures numériques : supervision de sécurité, passerelles de messagerie, chaîne de développement cloud et système d’exploitation. Entre le risque de compromission de la chaîne d’approvisionnement via AWS CodeBuild et la vaste campagne de correctifs Windows, l’enjeu dépasse l’incident isolé pour toucher la résilience opérationnelle de nombreux environnements.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 10 actualités à retenir cette semaine
Fortinet corrige une faille critique dans FortiSIEM permettant l'exécution de code à distance sans authentification.
Fortinet a publié des mises à jour pour corriger une faille de sécurité critique affectant FortiSIEM. Cette faille pourrait permettre à un attaquant non authentifié d'exécuter du code sur les instances vulnérables. Cette vulnérabilité d'injection dans le… Lire la suite
Cisco corrige une faille de sécurité zero-day exploitée par un groupe APT lié à la Chine dans les passerelles de messagerie sécurisées.
Cisco a publié jeudi des mises à jour de sécurité pour une faille de sécurité critique affectant le logiciel Cisco AsyncOS pour Cisco Secure Email Gateway et Cisco Secure Email and Web Manager, près d'un mois après… Lire la suite
Une mauvaise configuration d'AWS CodeBuild a exposé des dépôts GitHub à des attaques potentielles contre la chaîne d'approvisionnement.
Une erreur de configuration critique dans Amazon Web Services (AWS) CodeBuild aurait pu permettre une prise de contrôle totale des dépôts GitHub du fournisseur de services cloud, y compris son kit de développement logiciel (SDK) JavaScript AWS,… Lire la suite
Microsoft corrige 114 failles de sécurité dans Windows dans le correctif de janvier 2026, dont une activement exploitée.
Microsoft a déployé mardi sa première mise à jour de sécurité de 2026, corrigeant 114 failles de sécurité, dont une vulnérabilité activement exploitée. Parmi ces 114 failles, huit sont critiques et 106 importantes. 58 vulnérabilités ont été… Lire la suite
Des vulnérabilités XSS critiques dans l'API Meta Conversion permettent la prise de contrôle de compte sans clic.
Des chercheurs en sécurité ont découvert deux failles critiques de type cross-site scripting (XSS) dans la passerelle API Conversions de Meta. Ces failles pourraient permettre à des attaquants de détourner massivement des comptes Facebook sans aucune interaction… Lire la suite
Des pirates exploitent une faille de sécurité dans un plugin WordPress, exposant 40 000 sites web à un risque de prise de contrôle totale. Voici comment vous protéger.
Une faille critique dans un plugin WordPress a exposé quelque 40 000 utilisateurs au risque d'une prise de contrôle totale de leur site web. Lire la suite
Des pirates informatiques ont pris le contrôle à distance des commandes d'un joueur d'Apex Legends.
Une faille de sécurité critique a été découverte dans le jeu de bataille royale à succès de Respawn Entertainment, Apex Legends, permettant à des pirates informatiques de manipuler à distance les actions des joueurs sans avoir besoin… Lire la suite
Une faille critique permet aux pirates informatiques de suivre et d'écouter des conversations via des appareils audio Bluetooth.
Une faille critique dans le protocole Fast Pair de Google permet à des attaquants de détourner des accessoires audio Bluetooth tels que des casques et des écouteurs sans fil, de suivre les utilisateurs et d'écouter leurs conversations…. Lire la suite
Cisco corrige enfin la faille zero-day exploitée dans AsyncOS depuis novembre.
Cisco a finalement corrigé une faille zero-day de gravité maximale exploitée dans AsyncOS lors d'attaques ciblant les appliances Secure Email Gateway (SEG) depuis novembre 2025. […] Lire la suite
ServiceNow corrige une faille critique de sa plateforme d'IA permettant l'usurpation d'identité d'utilisateurs non authentifiés.
ServiceNow a révélé les détails d'une faille de sécurité critique, désormais corrigée, affectant sa plateforme d'IA ServiceNow. Cette faille permettait à un utilisateur non authentifié d'usurper l'identité d'un autre utilisateur et d'effectuer des actions arbitraires en son… Lire la suite
Cette veille vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
