Fortinet publie des mises à jour pour corriger une vulnérabilité critique de FortiSIEM

Fortinet a publié des mises à jour de sécurité afin de corriger une vulnérabilité critique affectant FortiSIEM, référencée sous le nom CVE-2025-64155 et notée 9,4 sur l’échelle CVSS.
La faille est un problème d’injection de commandes du système d’exploitation qui permet à un attaquant non authentifié d’exécuter du code à distance sur des nœuds Super et Worker vulnérables. Des chercheurs ont montré comment des services backend exposés, à l’écoute sur le port TCP 7900, peuvent être exploités pour écrire des fichiers malveillants et, à terme, élever les privilèges jusqu’à un accès root complet, entraînant la compromission totale de l’appliance.
Plusieurs versions de FortiSIEM sont concernées, avec des correctifs disponibles via des mises à niveau ou une migration vers des versions corrigées. FortiSIEM Cloud n’est pas impacté.
Fortinet a également corrigé une autre vulnérabilité critique distincte dans FortiFone (CVE-2025-47855) qui pourrait permettre un accès non authentifié aux données de configuration des appareils.
Il est fortement recommandé aux organisations d’appliquer immédiatement les mises à jour et de restreindre l’accès aux ports de gestion exposés afin de réduire les risques.

Microsoft démantèle la plateforme de cybercriminalité RedVDS

Microsoft a annoncé le démantèlement de RedVDS, une plateforme de cybercriminalité en tant que service à grande échelle, liée à plus de 40 millions de dollars de pertes signalées aux États-Unis depuis mars 2025. Par le biais d’actions civiles coordonnées aux États-Unis et au Royaume-Uni, Microsoft a saisi des infrastructures clés et mis hors ligne la place de marché et le portail clients de RedVDS, en partenariat avec Europol et les autorités allemandes.
RedVDS vendait l’accès à des serveurs virtuels Windows jetables à partir de 24 dollars par mois, permettant des campagnes de phishing, des compromissions de messagerie professionnelle, des vols d’identifiants et des fraudes par détournement de paiements à grande échelle. Les enquêteurs ont relié le service à plusieurs groupes de menaces et identifié une empreinte technique commune sur des milliers de serveurs malveillants.
Microsoft a révélé que les attaquants utilisaient RedVDS pour envoyer jusqu’à un million d’e-mails de phishing par jour, compromettant près de 200 000 comptes ces derniers mois. De nombreuses campagnes ont également exploité des outils d’intelligence artificielle générative, dont ChatGPT, afin de créer des leurres plus convaincants. Des actions précédentes, notamment contre RaccoonO365 avec Cloudflare, illustrent les efforts croissants pour démanteler l’infrastructure criminelle à la source.

La CNIL inflige une amende de 42 millions d’euros à Free Mobile et Free pour des manquements à la protection des données

L’autorité française de protection des données, la CNIL, a infligé des amendes cumulées de 42 millions d’euros à Free Mobile et à sa société mère Free, à la suite d’une importante violation de données survenue en octobre 2024. L’incident a exposé des données personnelles concernant près de 23 millions d’abonnés mobiles et fixes, ce qui en fait l’une des violations les plus significatives du secteur des télécommunications en France.
Les attaquants ont compromis un outil de gestion interne et dérobé des informations clients, dont une partie a ensuite été proposée à la vente sur un forum de hackers. L’enquête de la CNIL a mis en évidence plusieurs manquements aux obligations du RGPD, notamment des mesures de sécurité insuffisantes, une communication inadéquate auprès des personnes concernées et une conservation excessive des données d’anciens abonnés.
Malgré les améliorations apportées après l’incident, la CNIL a estimé que la négligence antérieure avait permis l’attaque et a ordonné la mise en œuvre de mesures correctives supplémentaires dans des délais stricts.
Cette affaire s’inscrit dans une tendance plus large de violations touchant les opérateurs télécoms en France, avec des incidents ayant également affecté Orange France et Bouygues Telecom, soulignant des risques cyber persistants à l’échelle du secteur.

Le conglomérat sud-coréen Kyowon victime d’une attaque par ransomware

Le groupe Kyowon a confirmé avoir subi une attaque par ransomware qui a perturbé ses opérations et entraîné le vol de données depuis ses systèmes internes. L’incident s’est produit en janvier et a affecté une part importante de l’infrastructure serveur de Kyowon, les médias coréens indiquant qu’environ 600 des 800 serveurs de l’entreprise ont été touchés.
Kyowon a déclaré que des données ont été exfiltrées lors de l’intrusion, sans toutefois confirmer à ce stade si des informations clients étaient concernées. L’entreprise, active dans les domaines de l’éducation, de l’édition, de l’apprentissage numérique et des services aux consommateurs, compte plus de 9,6 millions de comptes enregistrés, correspondant à environ 5,5 millions de personnes. Kyowon a notifié l’Agence coréenne pour Internet et la sécurité et indique que la restauration des services est en phase finale.
Cette violation s’ajoute à une série croissante d’incidents cyber de grande ampleur en Corée du Sud, après les récentes divulgations concernant Coupang, Korean Air, SK Telecom et Dior Korea, mettant en évidence des risques persistants dans plusieurs secteurs majeurs.

L’attaque Reprompt met en lumière les risques liés aux sessions Copilot Personal

Des chercheurs en sécurité ont dévoilé une nouvelle technique d’attaque baptisée Reprompt, qui pourrait permettre à des attaquants de détourner une session Microsoft Copilot d’un utilisateur et d’exfiltrer discrètement des données sensibles. La méthode a été découverte par Varonis, qui a démontré comment un prompt malveillant peut être dissimulé dans une URL Copilot légitime et exécuté après un simple clic de l’utilisateur.
Reprompt exploite la manière dont Copilot traite le paramètre « q » dans les URL, permettant l’exécution automatique d’instructions injectées. En chaînant des requêtes successives et en exploitant des failles dans les protections de Copilot, les attaquants pourraient maintenir l’accès à une session authentifiée même après la fermeture de l’onglet Copilot. Les chercheurs ont montré comment cela peut contourner les protections contre les fuites de données et permettre une extraction d’informations invisible.
Le problème concernait uniquement Copilot Personal et non Microsoft 365 Copilot. Microsoft a été informé de manière responsable et a publié un correctif dans le cadre du Patch Tuesday de janvier 2026. Il est vivement recommandé aux utilisateurs d’installer rapidement les dernières mises à jour Windows.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.