🏆 Top news de janvier

La CNIL rappelle le rôle central des permissions (géolocalisation, contacts, photos, etc.) dans les apps mobiles et publie ses recommandations pour limiter la collecte excessive de données.
En lire plus...
Analyse 2024 des programmes bug-bounty : Temps de remediation, primes versées, vulnérabilités les plus courantes et retour d’expérience de CISOs & hunters.
En lire plus...
Pour la 4ᵉ année, les incidents cyber demeurent le risque n° 1 (38 % des réponses) dans 20 pays, loin devant les interruptions d’activité et les catastrophes naturelles.
En lire plus...📰 News
03/01/2025 Géolocalisation de 800 000 véhicules VW exposée
Un bucket S3 non protégé laissait librement consulter les positions en temps réel de VW, Audi, Skoda et Seat pendant des mois.
06/01/2025 ESET × Stellar Cyber : partenariat XDR
Les données télémétriques mondiales d’ESET alimentent la plateforme Open XDR de Stellar Cyber pour améliorer la détection & la réponse.
06/01/2025 Audit automatisé par IA générative : enjeux de confidentialité
L’IA révolutionne l’audit mais impose un contrôle humain et des mesures fortes pour protéger les données sensibles analysées.
07/01/2025 Cybersécurité hospitalière : la Cour des comptes alerte
Budget à poursuivre ; infrastructures obsolètes et manque chronique de RSSI dans les établissements de santé.
08/01/2025 Noms de domaine abandonnés : un risque sous-estimé
WatchTowr rachète d’anciens domaines pour collecter les callbacks de webshells actifs (cf. ‘20 $ domain’).
09/01/2025 Faille Ivanti VPN activement exploitée
Installation de malwares via un zéro-day ; Ivanti publie mitigations urgentes.
09/01/2025 Salt Typhoon : interception massive de SMS
Olvid rappelle la faible confidentialité des codes reçus par SMS et l’intérêt du chiffrement de bout en bout.
14/01/2025 YesWeHack Bug Bounty Report 2025
Panorama mondial : +47 % de vulnérabilités signalées, médiane des primes 420 €.
20/01/2025 Migrer du C vers Rust safe
Prototype de transpilation automatique ; intérêt pour réduire les memory bugs mais nécessite validation experte.
20/01/2025 IA empoisonnée : risques critiques
Data poisoning pourrait induire erreurs médicales ou militaires ; vigilance et contrôle humain indispensables.
22/01/2025 DORA entre en application : FAQ ACPR
Résilience opérationnelle numérique : formulaire incidents majeurs & externalisations pour les acteurs financiers.
22/01/2025 Allianz Risk Barometer 2025
Les incidents cyber dominent largement le classement mondial des risques d’entreprise.
29/01/2025 Linux : –30 % de conso énergie en DC
Optimisations kernel permettent des économies substantielles et réduisent l’empreinte carbone.
🛑 Vulnérabilité
07/01/2025 Trésor US compromis via BeyondTrust
Illustration de la nécessité d’une défense en profondeur même pour les outils de sécurité.
07/01/2025 LDAPNightmare – PoC CVE-2024-49113
Exploit public pour élévation privilèges via service LDAP ; patch impératif.
13/01/2025 Abandon de domaine → usurpation OAuth Google
‘Sign in with Google’ ne vérifie pas l’identité unique : recréation comptes SaaS après rachat domaine.
13/01/2025 WorstFit – vulnérabilité charset Windows
Orange Tsai dévoile exploitation des conversions ANSI → RCE locale.
28/01/2025 FortiOS auth bypass CVE-2024-55591
Exécution de commandes CLI en mode super_admin via API non authentifiée.
⚠️ Menace
02/01/2025 Collectivités ciblées par DDoS pro-russes
Sites de 10 grandes villes françaises touchés (Angers, Bordeaux, Marseille, …).
🔒 Protection des données
06/01/2025 Consultation CNIL – Certification RGPD sous-traitants
Projet de référentiel ouvert au public jusqu’au 28 février 2025.
14/01/2025 Permissions mobiles : recommandations
Guidelines CNIL pour limiter accès caméra, micro, suivi pub.
28/01/2025 Violations massives 2024 : leçons & mesures
La CNIL publie checklist de prévention et de réponse suite aux fuites Free/SFR/Auchan.
🔨 Outil
01/01/2025 PentestGPT (GPT-4)
Framework d’automatisation de tests d’intrusion capable de résoudre des CTF HackTheBox.
📍 Guide
07/01/2025 NFS security – identifier & exploiter les mauvaises configs
Checklist d’audit + best practices pour durcir les exports NFS.