Case Studies

Apple vulnérabilité
Case Studies, Company, Cybersecurity

Sécurité Apple : Une vulnérabilité zero-day corrigée

Apple a récemment publié une série de mises à jour pour corriger des failles de sécurité critiques affectant ses appareils, dont une vulnérabilité zero-day activement exploitée. Ce type de faille, particulièrement dangereux, cible directement les utilisateurs avant qu’un correctif ne soit disponible. Découvrez pourquoi il est urgent d’appliquer ces mises à jour et comment elles renforcent la sécurité de vos appareils. Une vulnérabilité zero-day menaçant vos appareils La faille en question, identifiée sous le code CVE-2025-24085, est un problème de type use-after-free (utilisation après libération) dans le composant Core Media. Ce bug pourrait permettre à une application malveillante déjà installée sur un appareil d’obtenir des privilèges accrus, compromettant ainsi la sécurité de l’utilisateur. Dans son communiqué, Apple précise : « Nous sommes conscients qu’un rapport indique que cette faille aurait été activement exploitée sur des versions d’iOS antérieures à iOS 17.2. » Les appareils et versions concernés Apple a déployé des correctifs pour résoudre ce problème grâce à une gestion améliorée de la mémoire. Les mises à jour sont disponibles pour les appareils et systèmes suivants : iOS 18.3 et iPadOS 18.3 : iPhone XS et modèles ultérieurs, iPad Pro 13 pouces, iPad Pro 12,9 pouces (3e génération et suivantes), iPad Air (3e génération et suivantes), et plus. macOS Sequoia 15.3 : Tous les Mac exécutant cette version. tvOS 18.3 : Apple TV HD et Apple TV 4K (tous modèles). visionOS 2.3 : Apple Vision Pro. watchOS 11.3 : Apple Watch Series 6 et modèles ultérieurs. Des détails encore flous sur l’exploitation de la faille Pour l’instant, peu d’informations sont disponibles sur la manière exacte dont cette vulnérabilité a été exploitée, par qui, et qui en a été victime. Apple n’a pas encore attribué la découverte de cette faille à un chercheur en cybersécurité. Autres failles corrigées dans cette mise à jour En plus de la vulnérabilité CVE-2025-24085, Apple a corrigé plusieurs autres failles, notamment : Cinq vulnérabilités dans AirPlay, signalées par Uri Katz d’Oligo Security, permettant des attaques de type denial-of-service (DoS), des arrêts système inattendus ou l’exécution arbitraire de code. Trois vulnérabilités dans le composant CoreAudio (CVE-2025-24160, CVE-2025-24161, CVE-2025-24163), découvertes par l’équipe Threat Analysis Group (TAG) de Google, pouvant entraîner l’arrêt inattendu d’une application lors de l’analyse d’un fichier malveillant. Pourquoi appliquer ces mises à jour est crucial Avec la faille zero-day CVE-2025-24085 déjà exploitée dans la nature, Apple recommande vivement aux utilisateurs d’installer les correctifs sans délai. Ces mises à jour réduisent les risques d’attaques et garantissent la protection de vos données et appareils.

Read more
Case Studies, Cyber Security, News

Une vulnérabilité critique LDAP de Windows mise en lumière par SafeBreach

Le 1er janvier 2025, les chercheurs de SafeBreach Labs ont publié un exploit proof-of-concept (PoC), baptisé LDAPNightmare. Ce PoC illustre une faille critique dans le protocole Lightweight Directory Access Protocol (LDAP) de Windows, enregistrée sous l’identifiant CVE-2024-49113. Cette vulnérabilité met en péril la stabilité des serveurs Windows non corrigés, exposant les entreprises à des interruptions de service et des risques de sécurité accrus. Cet article détaille les mécanismes de cette faille, ses impacts, et les mesures nécessaires pour protéger vos infrastructures. Une vulnérabilité avec un impact majeur : CVE-2024-49113 Cette faille affecte les serveurs Windows et surtout les contrôleurs de domaine  (DC) utilisant LDAP, un protocole couramment employé pour gérer les annuaires réseau. Lorsqu’elle est exploitée, un attaquant distant et non authentifié peut provoquer un déni de service (DoS), entraînant le crash du processus Local Security Authority Subsystem Service (LSASS). Ce dysfonctionnement force un redémarrage du serveur, perturbant gravement les activités des organisations ciblées. Pourquoi cette faille est-elle dangereuse ? Les failles de sécurité qui touchent les DC sont généralement bien plus graves que celles affectant des postes de travail classiques, offrant aux attaquants la possibilité de prendre le contrôle complet des agents et des serveurs sous ce domaine. De plus, puisqu’un DC est un élément critique du système d’une organisation, les mises à jour et les correctifs sont souvent plus complexes à exécuter. Cela donne à un attaquant une fenêtre de temps prolongée pour exploiter la vulnérabilité, augmentant ainsi les risques de compromission des données sensibles et des systèmes essentiels. Mécanisme de l’exploitation : une attaque en sept étapes L’exploit LDAPNightmare s’appuie sur une série d’interactions réseau sophistiquées entre un serveur victime et un attaquant. Voici le déroulement technique de l’attaque : Envoi initial : L’attaquant envoie une requête DCE/RPC au serveur cible. Requête DNS SRV : Le serveur victime demande une résolution DNS SRV pour un domaine contrôlé par l’attaquant. Réponse malveillante : Le serveur DNS de l’attaquant renvoie un nom d’hôte contrôlé par lui, accompagné d’un port LDAP. Requête NBNS : Le serveur victime utilise NetBIOS Name Service (NBNS) pour résoudre l’adresse IP associée au nom d’hôte malveillant. Résolution de l’adresse IP : L’attaquant fournit une réponse contenant l’adresse IP de sa machine. Connexion LDAP : Le serveur victime agit comme un client LDAP et contacte la machine de l’attaquant via CLDAP. Crash de LSASS : L’attaquant envoie une réponse LDAP spécialement conçue, provoquant un crash du processus LSASS sur le serveur victime. Conséquences potentielles pour les entreprises Le crash de LSASS déclenche automatiquement un redémarrage du serveur pour des raisons de sécurité. Dans un environnement professionnel, une telle interruption peut : Propagation latérale dans le réseau, Cela ouvre la voie à des attaques supplémentaires, telles que le déploiement de ransomwares ou le sabotage d’autres services critiques. Perturbation opérationnelle. Recommandations pour contrer la menace Face à une telle vulnérabilité, il est crucial d’adopter une approche proactive pour protéger vos systèmes. Voici les mesures préconisées : Appliquer les correctifs : Microsoft a publié des mises à jour pour résoudre CVE-2024-49113 et une faille connexe, CVE-2024-49112. Assurez-vous que vos serveurs sont à jour. Tester vos systèmes : Utilisez le le PoC  LDAPNightmare publié par SafeBreach Labs, pour vérifier si vos serveurs sont exposés https://github.com/SafeBreach-Labs/CVE-2024-49113. Source : https://www.safebreach.com/blog/ldapnightmare-safebreach-labs-publishes-first-proof-of-concept-exploit-for-cve-2024-49112/

Read more
Cyber Security, News

Extensions Chrome Piratées : Plus de 600 000 Utilisateurs Victimes d’un Vol de Données

Une faille inquiétante dans la sécurité des navigateurs Un nouveau type d’attaque informatique a ciblé une vingtaine d’extensions populaires pour le navigateur Chrome, exposant plus de 600 000 utilisateurs à des risques de vol de données et d’identifiants. Ces attaques, combinant phishing et codes malveillants, soulignent une vulnérabilité critique dans la gestion des extensions. Des techniques de phishing ciblant les éditeurs La campagne d’attaques a démarré par une série de phishing ciblant les éditeurs d’extensions sur le Chrome Web Store. En se faisant passer pour le support technique de Google, les attaquants ont incité les développeurs à cliquer sur des liens frauduleux, accédant ainsi à leurs comptes administrateurs et modifiant leurs extensions pour y insérer des scripts malveillants. Cyberhaven : une cible de choix Le 24 décembre 2024, un pirate a accédé au compte administrateur Chrome Web Store d’un employé de Cyberhaven, une entreprise spécialisée dans la prévention contre les pertes de données, qui compte parmi ses clients des entreprises majeures telles que Snowflake, Motorola, Reddit et Canon. Le pirate a publié une version infectée (24.10.4) de l’extension Cyberhaven contenant un code permettant de voler les cookies de session des utilisateurs et d’envoyer les informations collectées vers un domaine malveillant (« cyberhavenext[.]pro »). Cette version a été retirée moins d’une heure après sa détection. Cyberhaven a depuis publié une version sécurisée (24.10.5) et recommande aux utilisateurs de changer leurs mots de passe et de réinitialiser leurs jetons API. Une attaque étendue à de nombreuses extensions Selon les chercheurs en cybersécurité, cette attaque ne se limite pas à Cyberhaven. Des extensions telles que Internxt VPN, VPNCity, Uvoice, et ParrotTalks ont également été compromises. Les pirates ont injecté un code similaire à celui utilisé pour Cyberhaven, communiquant avec des serveurs malveillants. D’autres extensions comme Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, et AI Shop Buddy figurent parmi les victimes. Certaines extensions ont déjà été supprimées du Chrome Web Store, notamment Effets visuels pour Google Meet, Rewards Search Automator, Tackker, Bard AI chat, et Reader Mode. Un stratagème bien organisé L’email de phishing était conçu pour imiter une communication officielle de Google, alertant les développeurs d’un risque imminent de suppression de leur extension. En accédant à une page frauduleuse et en accordant des permissions, les éditeurs ont permis aux pirates de modifier leurs extensions. Les conséquences pour les utilisateurs Les pirates ont utilisé les extensions infectées pour voler des informations sensibles, comme les cookies de session et les jetons d’authentification. Ces données permettent aux attaquants d’accéder à des comptes personnels et professionnels, y compris sur des plateformes comme Facebook Ads, augmentant ainsi les risques de fraudes financières. Comment se protéger ? Voici quelques recommandations pour éviter d’être victime de ces attaques : Vérifiez régulièrement vos extensions installées et supprimez celles que vous n’utilisez pas. Limitez les permissions accordées aux extensions, en particulier celles demandant un accès à vos données sensibles. Mettez à jour vos extensions pour bénéficier des correctifs de sécurité. Changez vos mots de passe et réinitialisez vos jetons API si vous êtes concerné. Soyez vigilant face aux emails suspects, surtout ceux prétendant provenir de services officiels. En conclusion Cette attaque met en évidence les failles critiques dans la sécurité des extensions de navigateur, souvent perçues comme anodines. Les utilisateurs et les entreprises doivent renforcer leur vigilance et adopter des pratiques de cybersécurité plus strictes pour limiter leur exposition à ces menaces.

Read more
Nous contacter

Collaborez avec nous pour sécuriser et optimiser vos solutions IT !

Nous serons ravis de répondre à vos questions et de vous aider à choisir les services adaptés à vos besoins.

Nos avantages
  • Orienté client
  • Expert
  • Réactif
  • Axé sur les résultats
  • Fiable
  • Transparent
Quelle est la prochaine étape ?
1

Nous planifions un appel selon votre disponibilité

2

Nous organisons une réunion d’analyse et de conseil

3

Nous préparons une proposition

Vos informations