Newsletter Cybersécurité - 2025 : semaine 37
Nouvelles 2025 de la cybersécurité de la semaine 37
Résumé des Actualités Cybersécurité
(Semaine 37, 2025)
Le rançongiciel HybridPetya contourne UEFI Secure Boot via l’exploit CVE‑2024‑7344
Un nouveau rançongiciel, « HybridPetya », exploite une faille de la chaîne d’amorçage pour désactiver Secure Boot et chiffrer très tôt les systèmes, compliquant fortement la remédiation. Les attaques rehaussent le risque de persistance bas niveau et de réinfection après réinstallation.
Apple alerte les utilisateurs français d’une 4e campagne de spyware en 2025, confirmée par le CERT‑FR
Apple a envoyé une nouvelle vague de notifications de menace visant des utilisateurs en France, indiquant une campagne de logiciel espion ciblée; le CERT‑FR en confirme l’activité. Les victimes sont sélectionnées et nécessitent une hygiène de sécurité renforcée sur iOS.
Samsung corrige la zero‑day critique CVE‑2025‑21043 exploitée sur Android
Samsung publie un correctif pour une vulnérabilité critique activement exploitée contre certains appareils Android. Mise à jour immédiate recommandée pour bloquer les attaques en cours.
Principales menances de cybersécurité
- Contournement de Secure Boot et rançongiciel « boot‑level »
- Enjeu: les attaques type HybridPetya brisent la chaîne de confiance au démarrage (UEFI), permettant chiffrement/brickage avant le chargement de l’OS.
- Actions: appliquer les mises à jour UEFI/BIOS, mettre à jour la DBX Secure Boot, vérifier l’état de Secure Boot en parc, inventorier et révoquer les bootloaders vulnérables, tester la restauration bare‑metal.
- Espionnage mobile ciblé (iOS) et zero‑day Android
- Enjeu: campagnes de spyware confirmées (France) et exploitation active d’une zero‑day Samsung exposent dirigeants, journalistes et utilisateurs à haut risque.
- Actions: déployer les derniers patchs iOS/Android, activer le « Mode Isolement » pour profils à risque sur iPhone, durcir MDM (bloquer sideloading, restreindre iMessage/FaceTime inconnus), surveiller signaux d’exfiltration.
- Expositions critiques côté entreprise (VPN/OT/chaîne d’approvisionnement)
- Enjeu: exploitation active de failles RCE industrielles et appliances (ex. DELMIA Apriso, SSLVPN visés par Akira) et risques de gestion de jetons OAuth/API dans l’écosystème tiers.
- Actions: patch prioritaire des services exposés (VPN, OT, éditeurs affectés), MFA robuste non‑phishable, segmentation, rotation/least‑privilege des jetons tiers et inventaire des intégrations « dormantes ».
— « Attacks only get better; they never get worse. » — Dan Geer
Conseil de la semaine: faites un « sprint correctifs 72h » ciblant:
- firmware/UEFI + vérification Secure Boot
- mises à jour iOS/Android (activer le Mode Isolement pour les VIP)
- durcissement des accès externes (VPN/SSLVPN) et rotation des tokens OAuth tiers non utilisés.