RadioCSIRT – Votre actu cybersécurité du Dimanche 14 décembre 2025 (Ép.517)

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Apple et Google corrigent en urgence des failles Zero-Day exploitées activement. La CISA a ajouté la CVE-2025-14174 à son catalogue KEV, signalant une corruption mémoire critique dans le moteur Chromium affectant Chrome, Edge et Brave. Simultanément, Apple a déployé des correctifs pour cette même faille ainsi que pour la CVE-2025-43529, un bug Use-After-Free dans WebKit. Ces vulnérabilités, découvertes par le Google Threat Analysis Group, sont utilisées dans des attaques "extrêmement sophistiquées" permettant l'exécution de code à distance (RCE) sur iPhone, iPad et macOS via du contenu web piégé. La mise à jour vers iOS 26.2 et les dernières versions des navigateurs est impérative pour stopper cette chaîne d'infection.Le CERT-FR émet une alerte massive concernant le noyau Linux d'Ubuntu. L'avis de sécurité couvre une série de vulnérabilités affectant l'intégralité des versions supportées, des LTS 18.04 jusqu'aux versions intermédiaires 25.10. Ces failles noyau permettent à des attaquants de provoquer des dénis de service à distance et de contourner les politiques de sécurité, menaçant gravement l'isolation des processus et des conteneurs. Les administrateurs système doivent non seulement appliquer les correctifs USN listés, mais impérativement planifier des redémarrages de production pour que le nouveau noyau soit chargé en mémoire.Une fuite de données historique expose 4,3 milliards d'enregistrements professionnels. Des chercheurs ont découvert une base de données MongoDB de 16 téraoctets laissée en accès libre, contenant des profils détaillés agrégés probablement depuis LinkedIn et Apollo.io. Le dataset inclut noms, emails, téléphones et historiques de carrière, constituant une arme absolue pour l'ingénierie sociale assistée par IA. Bien que sécurisée le 25 novembre, cette exposition offre aux cybercriminels de quoi automatiser des campagnes de Spear-Phishing et de Business Email Compromise (BEC) à très grande échelle contre les entreprises du Fortune 500.Le Président Trump signe un décret exécutif imposant un cadre national dérégulé pour l'IA. L'ordre interdit aux États fédérés de mettre en œuvre leurs propres régulations, menaçant de bloquer les financements fédéraux aux juridictions appliquant des lois jugées "onéreuses", comme celles du Colorado sur les biais algorithmiques. Pour les RSSI et équipes GRC, cela supprime les garde-fous légaux externes et déplace la responsabilité de la sécurité et de l'éthique des modèles exclusivement vers les contrôles internes, dans un climat favorisant l'innovation rapide au détriment de la sûreté.On ne réfléchit pas, on patch !Sources :Apple : https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/CISA https://www.cisa.gov/news-events/alerts/2025/12/12/cisa-adds-one-known-exploited-vulnerability-catalog-0CERT-FR :https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1106/Data Breach : https://securityaffairs.com/185661/data-breach/experts-found-an-unsecured-16tb-database-containing-4-3b-professional-records.htmlAI Regulation : https://therecord.media/trump-executive-order-ai-national-framework Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com