HybridPetya contourne UEFI 💻, Samsung corrige zero-day 📱, Apple alerte spyware 🍎

A la une aujourd’hui:

  • HybridPetya: Un Nouveau Ransomware qui contourne le démarrage sécurisé UEFI
  • Samsung corrige une faille critique exploitée activement sur Android
  • Vulnérabilité critique dans DELMIA Apriso activement exploitée, alerte la CISA
  • Apple alerte les utilisateurs français d’une quatrième campagne de logiciels espions en 2025
  • Le Plan Care : Traitement longue durée de la cybersécurité des établissements de santé

HybridPetya: Un nouveau ransomware qui contourne le démarrage sécurisé UEFI

Points Clés :

  • HybridPetya combine les caractéristiques des malwares Petya/NotPetya avec la capacité de contourner le mécanisme Secure Boot UEFI
  • Le malware chiffre la Master File Table des partitions NTFS tout en affichant un faux message CHKDSK
  • Il exploite la vulnérabilité CVE-2024-7344 (CVSS 8.2) pour installer une application EFI malveillante sur la partition système

Description :

Des chercheurs en cybersécurité ont découvert HybridPetya, un nouveau ransomware qui ressemble au tristement célèbre Petya/NotPetya mais avec des capacités avancées. Contrairement à son prédécesseur, HybridPetya peut compromettre les systèmes UEFI modernes en installant une application EFI malveillante qui chiffre les données critiques tout en trompant l’utilisateur avec un faux écran de réparation de disque.

Pourquoi c’est important :

HybridPetya représente une évolution inquiétante des ransomwares en exploitant les vulnérabilités au niveau du firmware. C’est le quatrième exemple connu de bootkit UEFI capable de contourner le Secure Boot, rejoignant BlackLotus, BootKitty et Hyper-V Backdoor PoC. Bien qu’aucune attaque n’ait été détectée dans la nature, cette tendance montre que les contournements du Secure Boot deviennent plus courants et attractifs tant pour les chercheurs que pour les attaquants.

Samsung corrige une faille critique exploitée activement sur Android

Points Clés :

  • Samsung a corrigé la vulnérabilité CVE-2025-21043 (score CVSS 8.8) exploitée comme zero-day
  • La faille affecte la bibliothèque d’analyse d’images libimagecodec.quram.so sur Android 13-16
  • L’exploitation permet l’exécution de code arbitraire via une écriture hors limites

Description :

Samsung a publié des correctifs de sécurité mensuels pour Android, incluant une solution pour une vulnérabilité critique (CVE-2025-21043) déjà exploitée dans la nature. Cette faille d’écriture hors limites dans la bibliothèque libimagecodec.quram.so permet à des attaquants distants d’exécuter du code arbitraire sur les appareils vulnérables sous Android 13, 14, 15 et 16.

Pourquoi c’est important :

Cette vulnérabilité représente une menace sérieuse car elle est activement exploitée par des attaquants. Les utilisateurs de Samsung doivent mettre à jour leurs appareils immédiatement pour se protéger. Cette faille s’ajoute à d’autres vulnérabilités Android récemment corrigées par Google, soulignant l’importance de maintenir les appareils mobiles à jour face aux menaces ciblées en constante évolution.

Vulnérabilité critique dans DELMIA Apriso activement exploitée, alerte la CISA

Points Clés :

  • La CISA a ajouté une faille critique (CVE-2025-5086, CVSS : 9.0) du logiciel DELMIA Apriso à son catalogue des vulnérabilités exploitées
  • Des tentatives d’exploitation ont été détectées depuis une adresse IP au Mexique
  • Le malware utilisé dans ces attaques est identifié comme ‘Trojan.MSIL.Zapchast.gen’, conçu pour l’espionnage électronique

Description :

La CISA a signalé qu’une vulnérabilité critique (CVE-2025-5086, CVSS 9.0) dans le logiciel DELMIA Apriso (solution de gestion des opérations de fabrication (MOM)/système d’exécution de la fabrication (MES)) de Dassault Systèmes est activement exploitée. Cette faille de désérialisation de données non vérifiées peut conduire à une exécution de code à distance. Les attaques observées utilisent un malware d’espionnage capable de capturer les frappes au clavier et de prendre des captures d’écran.

Pourquoi c’est important :

Cette vulnérabilité menace directement les infrastructures critiques utilisant ce logiciel de gestion des opérations de fabrication. Avec un score CVSS de 9.0/10, elle représente un risque sérieux pour les organisations gouvernementales et industrielles. Les agences fédérales américaines doivent appliquer les correctifs avant le 2 octobre 2025, soulignant l’urgence de cette menace pour la sécurité nationale et industrielle.

Apple alerte les utilisateurs français d’une quatrième campagne de logiciels espions en 2025

Points Clés :

  • Apple a envoyé des notifications aux utilisateurs français concernant une campagne de logiciels espions ciblant leurs appareils
  • C’est la quatrième alerte de ce type en 2025, après celles de mars, avril et juin
  • Les attaques ciblent principalement des journalistes, avocats, militants et personnalités politiques

Description :

Le CERT-FR a confirmé qu’Apple a envoyé des alertes le 3 septembre 2025 aux utilisateurs français dont les appareils iOS pourraient avoir été compromis. Ces notifications s’inscrivent dans une série d’alertes similaires émises cette année. Les attaques sophistiquées exploitent des vulnérabilités zero-day pour installer des logiciels espions sur les appareils des cibles.

Pourquoi c’est important :

Cette recrudescence d’attaques ciblées souligne l’expansion inquiétante du marché des logiciels espions, avec une augmentation notable des investisseurs américains dans ce secteur. L’introduction par Apple de la fonctionnalité Memory Integrity Enforcement (MIE) dans ses nouveaux iPhone témoigne de l’urgence de protéger les utilisateurs contre ces menaces sophistiquées qui visent des personnes en fonction de leur statut ou profession.

Le Plan Care : Traitement longue durée de la cybersécurité des établissements de santé

Points Clés :

  • Le plan CaRe, doté de 750M€ d’ici 2027, vise à renforcer la cybersécurité des hôpitaux français
  • La culture cyber s’améliore dans les établissements de santé, mais des défis persistent avec les prestataires et dispositifs médicaux obsolètes
  • La gestion des identités et des accès constitue une priorité majeure pour sécuriser les systèmes d’information hospitaliers

Description :

Suite aux cyberattaques ayant touché plusieurs hôpitaux français, l’État a déployé le programme CaRe pour renforcer la résilience numérique du secteur de la santé. Si la sensibilisation progresse parmi les praticiens, des défis majeurs subsistent : l’usage d’outils non sécurisés, les vulnérabilités liées aux prestataires externes et la gestion complexe des identités dans un environnement où le personnel est très mobile.

Pourquoi c’est important :

La cybersécurité hospitalière n’est plus seulement une question technique mais un enjeu de continuité des soins. Le financement par à-coups ne suffira pas : c’est l’engagement dans la durée qui déterminera la résilience du secteur face aux menaces. Dans un contexte budgétaire tendu, la pérennisation des solutions de sécurité représente un défi crucial pour protéger les données sensibles des patients et maintenir la confiance dans notre système de santé.