TRACKFLAW
Articles Actualités A propos
TRACKFLAW

Fin annoncée pour la base CVE, pilier mondial de la cybersécurité - Les4ActusCyber : semaine du 14 avril

Tous les lundis, Trackflaw revient sur les 4 actualités cyber et techniques importantes de la semaine précédente.


Plus d’informations sur nos réseaux :

🔴 Pour s’abonner à la chaine YouTube de Trackflaw.

📸 Pour suivre l’actualité Cyber sur Instagram.

👉 Pour visiter le site web de Trackflaw.


Fin annoncée pour la base CVE, pilier mondial de la cybersécurité

Le programme CVE, géré par le MITRE et financé par le gouvernement américain depuis 1999, fait face à une incertitude majeure. Son contrat actuel prendra fin en mars 2026, après une prolongation décidée à la dernière minute par la CISA. Cette base de données recense des milliers de vulnérabilités informatiques utilisées mondialement pour sécuriser les systèmes. Face à cette échéance, une initiative indépendante, la “Fondation CVE”, serait en cours de création par des membres actuels du programme. Une copie du contenu sera également hébergée sur GitHub en cas de fermeture du site officiel.


Meta utilise les données publiques des Européens pour entraîner son IA

Meta a annoncé que les données publiques issues de Facebook et Instagram seront utilisées par défaut pour entraîner ses modèles d’intelligence artificielle. Cette pratique, appelée “opt-out”, signifie que les utilisateurs européens sont automatiquement inclus, sauf s’ils remplissent un formulaire d’opposition. Bien que les publications privées et les données des mineurs soient exclues, cette démarche soulève des préoccupations sur le respect du RGPD, malgré les promesses de Meta sur la transparence du processus. Ce changement intervient peu après le lancement de Meta AI dans l’UE, déjà retardé par la Cnil irlandaise, et dans un contexte de tensions réglementaires croissantes autour des pratiques d’entraînement des IA en Europe.


Faille critique dans SSH d’Erlang/OTP

Une vulnérabilité critique (CVE-2025-32433) dans l’implémentation SSH d’Erlang/OTP permettrait à un attaquant d’exécuter du code arbitraire sans authentification préalable. Classée CVSS 10.0, elle représente un risque majeur pour les serveurs exposés, surtout si le démon SSH est exécuté avec des privilèges root. Cette faille repose sur une mauvaise gestion des messages du protocole, exploitée avant l’étape d’authentification. Les utilisateurs sont invités à mettre à jour rapidement vers les versions corrigées OTP-27.3.3, OTP-26.2.5.11 ou OTP-25.3.2.20. En attendant, des règles de pare-feu strictes sont recommandées pour bloquer l’accès aux serveurs vulnérables.


Apple corrige deux vulnérabilités critiques activement exploitées

Apple a corrigé deux failles de sécurité exploitées dans des attaques ciblées sur iOS et ses autres systèmes. La première, CVE-2025-31200, concerne Core Audio et permet l’exécution de code via un flux audio piégé. La seconde, CVE-2025-31201, affecte le composant RPAC et peut contourner des protections de mémoire. Depuis début 2025, Apple a déjà corrigé cinq failles activement exploitées, certaines impliquant une élévation de privilèges ou le contournement de mesures de sécurité matérielle.