🔔 Bonne année 2025 ! Dans la continuité de 2024, avec des failles dans vos VPN!

Chers lectrices, lecteurs,

L’ensemble de l’équipe de Steef vous souhaite une très belle année 2025 ! 2024 a été marquée par de nombreuses fuites de données, des vulnérabilités et de nombreux textes réglementaires. Nous pensons qu’il en sera de même pour cette année. Durcissez vos systèmes, surveillez vos logs et plongez dans cette année pleine d’opportunités !

Nous montons une équipe sur la cybersécurité industrielle de 3-5 personnes entre Paris et Lyon. Si vous souhaitez nous rejoindre ou bien avez une référence, n’hésitez pas à nous contacter sur contact@steef.fr ou via notre site web.

Nouvelle vulnérabilité sur le VPN Ivanti

Ivanti a confirmé l’exploitation massive de la vulnérabilité CVE-2025-0282 dans un article de blog. L’exploitation de la vulnérabilité permet à un intrus de rentrer sur le SI de la cible en exploitant la connexion sécurisée du VPN. Un patch est désormais disponible. Si vous utilisez ce VPN pensez à réinitialiser les connexions et comptes ainsi que d’exploiter les logs s’ils sont tracés.

Pourquoi c’est important ?

Une vulnérabilité sur une plateforme frontale en particulier un outil de sécurité est toujours grave. Surtout lorsque des exploitations ont été identifiées. Il faut donc être en mesure de corriger rapidement la vulnérabilité pour les administrateurs réseaux. Le VPN permet un accès au SI interne de manière sécurisé. Si vous n’avez pas mis en place des mesures de Zero Trust, l’impact sera plus important.

Fuite de données chez Gravy Analytics

La société gravy analytics collecte et revends des données de localisation d’appareil mobile. Elles sont complétées avec des données permettant le ciblage publicitaire (app installées, type de like, profil des réseaux sociaux…). En accédant à ces données les hackers vont être en mesure d’identifier de nombreux utilisateurs pour faire du phishing ciblé ou bien de localiser des sites sensibles.

Pourquoi c’est important ?

Les fuites de données seront toujours dans le paysage de la cybersécurité en 2024. Nous espérons que vous ne les subiraient pas. Pensez à être en conformité avec l’état de l’art et le RGPD. Si vos données sont présentes dans une fuite de données, identification possible avec le service HaveIbeenPawned ; il faudra réinitialiser son mot de passe et faire attention sur les phishing que vous et vos proches recevrez.

META met fin à son programme fact checking

META la société mère de Facebook, Instagram et Whatsapp a décidé de mettre fin à son activité de fact checking. Ce service devait répondre aux exigences des régulateurs occidentaux pour réduire la propagation de fake news. Cette décision fait suite à l’élection de Trump et de son positionnement sur le sujet

Pourquoi c’est important ?

Est ce que ce sera un retour en arrière ou bien la fin de ces plateformes ? Les réseaux sociaux font parties de nos vies mais si le contenu présent est faux, il n’y aura plus d’intérêt à y être présent. A noter également que Meta a annoncé travailler sur la création de contenu généré à 100% par l’IA. Peut-être que vous êtes en train de lire une newsletter d’une IA…