Une nouvelle preuve des faiblesses de sécurité des objets connectés. Un réseau de voleurs a été démantelé. Il ciblait les voitures haut de gamme. Jusque-là, rien de nouveau. Là où l'affaire devient intéressant : les voleurs utilisaient des enceintes connectées pour déverrouiller les voitures. L'enceinte connectée en Bluetooth était hackée et modifiée pour pouvoir hacker les signaux des clés d'une voiture et permettre une ouverture facile et son démarrage. Le tout sans effraction visible.

L'électronique de l'enceinte était remplacée par un microcontrôleur dédié avec un logiciel adapté et une carte pour gérer le protocole CAN (en émission-reception) utilisé dans le monde automobile. Et il était même possible de connecter l'enceinte modifiée directement à l'électronique de la voiture. Comme tous les éléments d'une voiture sont connectés entre eux, ils sont visibles via le diagnostic interne de la voiture utilisant le protocole CAN. Et une fois que le hacker accède au port de diagnostic de la voiture et à CAN, c'est open bar.

Cette attaque est complexe car il faut préparer le logiciel d'attaque pour la voiture ciblée et savoir utiliser ce genre de matériel électronique et il faut se déplacer avec un ordinateur, l'enceinte, les câbles nécessaires. 

"L'Unité nationale cyber de l'UNPJ a permis le démantèlement de réseaux criminels qui vendaient des enceintes connectées, destinées à faciliter le vol de véhicules. Le général Hervé Pétry explique un mécanisme relativement simple permettant de prendre possession des voitures." explique le site de l'UNPJ. Nous avons des individus qui concevaient et vendaient ce type de dispositif sur les cinq continents », souligne le général, assurant que ce « phénomène prend de plus en plus d'ampleur ». « Il dépasse maintenant les systèmes de vol mécanique de véhicules », explique-t-il. 

Crédit photo : Unité nationale cyber / UNPJ

Djangi déploie 3 nouvelles versions pour combler 2 CVE : 5.2.8, 5.1.14 et la 4.2.26. Elles corrigent les failles suivantes :

- CVE-2025-64458 : potentiel déni de service sur HttpResponsaceRedirect et HttpResponsePermanetRedirect sur les versions Windows

- CVE-2025-64459 : injection SQL via _connector dans QuerySet et Q objects

Les versions de Django impactées sont : 4.2, 5.1, 5.2 et 6.0 (bêta). Mettez à jour votre plateforme de production.

Note de version : https://www.djangoproject.com/weblog/2025/nov/05/security-releases/

Une vulnérabilité sévère a été découverte dans React Native : la CVE-2025-11953. Elle permet d'exécution du code distant. Cette faille se fait via un package compromis : @react-native-community/cli. Ce paquet est téléchargé 2 millions de fois par semaine ! La faille permet à un hacker non autorisé d'envoyer des commandes au système depuis une machine ayant le package compromis. 

"La vulnérabilité a été identifiée dans un package appartenant au projet plus vaste React Native Community CLI, largement adopté par les développeurs. Cette CLI, un ensemble d’outils en ligne de commande, facilite la création d’applications mobiles avec React Native. La faille CVE-2025-11953 permet à des attaquants non authentifiés présents sur le même réseau d’exécuter à distance des commandes arbitraires du système d’exploitation sur la machine d’un développeur, dès lors que le serveur de développement de la CLI est actif. Ce risque est aggravé par une seconde vulnérabilité, également répertoriée sous la CVE-2025-11953, qui expose le serveur de développement aux attaques en provenance de réseaux externes, rendant ainsi la première faille particulièrement critique." explique l'annonce faite par les équipes de JFrog. La vulnérabilité est présente dans les versions 4.8.0 à 20.0.0 alpha 2. 

Comment atténuer la vulnérabilité CVE-2025-11953 ?

• Mettre à jour @react-native-community/cli-server-api vers la version 20.0.0, qui inclut un correctif pour CVE-2025-11953, dans chacun de vos projets React Native. Il s’agit de la solution recommandée.
• Mettre à jour @react-native-community/cli-plugin vers la version 20.0.0, afin de s’assurer que le serveur de développement ne se lie pas par défaut à des interfaces réseau externes.

Présentation complète de la vulnérabilité : https://jfrog.com/blog/CVE-2025-11953-critical-react-native-community-cli-vulnerability/?utm_source=social&utm_medium=socialposts&utm_campaign=reactnative&utm_content=blog

La CVE-2025-62518 concerne une vulnérabilité découverte dans la librairie TAR, plus exactement dans astral-tokio-tar et les différents forks. Elle sert à créer et à lire les archives au format tar. La faille porte le surnom de TARmageddon. Une analyse a été publiée par Edera. Elle est utilisé dans Rust. Une vulnérabilité a été repérée dans les versions antérieures à la 0.5.6. Les mécanismes de parsing sont en cause. Le parsing ne se fait pas correctement à cause d'un problème dans le header PAWS/ustar et qui écrase des fichiers par des fichiers malveillants. Cette faille concerne tous les forks de la librairie.Elle permet une exécution de codes distants non autorisés. 

Cette faille profite d'une désynchronisation des mécanismes de traitement permettant aux hackersd'écraser les fichiers sains par leurs propres fichiers. Edera propose un patch. Mais il faut que la librarie et tous les forks soient rapidement corrigés ou que les développeurs mettent à la jour les dépendances. 

L'éditeur F5 a subi une attaque complexe et hautement sophistiquée dixit The Register. Conséquence : le vol de codes sources et des détails de bugs ont été récupérés par les hackers. 

F5 a présenté ainsi l'attaque : "En août 2025, nous avons appris qu'un acteur malveillant étatique hautement sophistiqué maintenait un accès permanent et durable à certains systèmes F5 et y téléchargeait des fichiers. Ces systèmes comprenaient notre environnement de développement de produits BIG-IP et nos plateformes de gestion des connaissances techniques. Nous avons pris des mesures d'envergure pour contenir l'acteur malveillant. Depuis le début de ces opérations, nous n'avons constaté aucune nouvelle activité non autorisée et nous estimons que nos efforts de confinement ont été fructueux.

On l'avait oublié mais Edge embarque une compatibilité avec les anciens Internet Explorer, grâce au mode IE. Microsoft a décidé de rendre son activation plus difficile suite à plusieurs attaques de type zero day, exploitant des failles du moteur JavaScript, Chakra. sans le dire ouvertement, les vulnérabilités semblent importantes pour que l'éditeur fournit qu'un minimum de détails ! Par le mode IA, les hackeurs ont pu accéder au reste du navigateur et à compromettre le terminal. Si IE a pris fin en 2002, ce mode garantit le support legacy des sites estampillés IE. 

Depuis quelques mois, ce mode IE semble poser des nouveaux soucis de sécurité. Du spoofing avait été détecté en août dernier. Les récents zero-day ont été doublés d'une élévation de droits.

Sans retirer le mode IE, Microsoft a décidé de rendre moins simple l'activité du mode en cachant l'option dans les paramètres...

Si vous n'avez pas besoin de cette fonctionnalité : désactivez l'IE mode

Dans sa dernière étude, Global Cybersecurity Skills Gap Rapport, Fortinet se focalise sur le manque de compétences en cybersécurité dans les équipes et les entreprises. Plusieurs éléments sont mis en avant par cette étude :

• Les entreprises font de plus en plus appel à l’IA pour renforcer leur posture en sécurité et corriger leurs faiblesses dans ce domaine. Elles reconnaissent néanmoins que l’IA peut également être utilisée contre elles, pour élaborer des cyberattaques nouvelles ou améliorées. Ce constat est d’autant plus préoccupant que les compétences en IA demeurent insuffisantes au sein des équipes.
• Le manque de sensibilisation et de formation à la cybersécurité restent les principales causes des incidents de sécurité.
• Même si la cybersécurité est devenue une priorité pour les dirigeants d’entreprise, ceux-ci présentent généralement des connaissances limitées dans ce domaine.
• Les entreprises privilégient des professionnels de la sécurité disposant de certifications.

L'augmentation des incidents met sous pression les entreprises et les équipes. Il y a le manque de compétences mais aussi le manque de gestion des piles techniques pour mettre en jour les composants logiciels, patcher, les systèmes, etc.

Le rapport de Fortinet met en avant l'IA et comment elle peut aider :

• Les technologies de sécurité optimisées par IA ont largement été adoptées. 97 % des entreprises interrogées utilisent déjà ou prévoient de déployer des solutions de cybersécurité basées sur l'IA, avec la détection et la prévention des menaces comme principal cas d’usage. 
• L'IA peut contribuer à alléger la charge de travail des équipes de sécurité en sous-effectif. Dans un contexte de déficit de compétences, 87 % des professionnels de la cybersécurité perçoivent l'IA comme un levier d’amélioration de leur efficacité, et non comme un substitut à leur rôle.
• Si l'IA peut aider les équipes de sécurité, celles-ci manquent d’une expertise pour exploiter pleinement le potentiel de l’IA. Une majorité des personnes interrogées (80 %) affirment que l'IA est un levier d’efficacité pour les équipes informatiques et de sécurité hyper-sollicitées. Cependant, près de la moitié (48 %) des décideurs informatiques identifient le manque de collaborateurs disposant d’une expertise suffisante en matière d’IA comme le principal frein à un déploiement réussi. 79 % des entreprises ayant subi 9 cyberattaques ou plus en 2024 disposaient déjà d’outils d'IA, ce qui suggère que l’adoption de l’IA doit aller de pair avec une expertise solide.

Une vulnérabilité de criticité moyenne a été publiée : CVE-2025-8291. La faille explique que le module ne fait pas une vérification du ZIP64 End of Central Directory. Ce problème de vérification peut induire en erreur à la création d'une archive ZIP. 

"La correction conserve ce comportement, mais vérifie que le décalage spécifié dans l'enregistrement du localisateur ZIP64 EOCD correspond à la valeur attendue." précise la CVE à jour. 

Django lance 3 mises à jour de sécurité : 5.2.7, 5.1.13 et 4.2.25. Déployez la mise à jour si vous êtes impacté(e).

Deux CVE majeures sont corrigées :

- CVE-2025-59681 : injection SQL dans Query.Set, alias, aggregate, etc. 

- CVE-2025-59682 : accès à des dossiers non autorisés via une brèche dans archive.extract()

Django 6, actuellement en développement, est impacté mais ces CVE sont réduites directement dans la version alpha

Annonce : https://www.djangoproject.com/weblog/2025/oct/01/security-releases/