Nintendo dément les allégations de piratage d’un groupe de hackers

Nintendo a démenti les affirmations d’un groupe de hackers appelé Crimson Collective, qui prétendait avoir pénétré les serveurs de l’entreprise et accédé à des données internes. Dans une déclaration au Sankei Shimbun le 15 octobre, le géant du jeu vidéo a confirmé qu’il n’existe aucune preuve de fuite de données ni d’accès non autorisé à ses systèmes internes. Bien que certains serveurs externes liés à son site web aient été brièvement modifiés, Nintendo a précisé qu’aucun client n’a été affecté et que ses réseaux internes demeurent sécurisés.

Crimson Collective, qui avait déjà revendiqué un piratage de Red Hat, a partagé en ligne des captures d’écran censées montrer des répertoires internes de Nintendo. Les experts avertissent toutefois que ce type de matériel peut être facilement falsifié. La réaction rapide de Nintendo a rassuré le public, confirmant qu’aucune violation vérifiée n’a eu lieu.

La cisa ajoute une faille critique d’adobe à la liste des vulnérabilités exploitées

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une faille critique dans Adobe Experience Manager (AEM) à son catalogue des Known Exploited Vulnerabilities (KEV) après avoir confirmé des preuves d’exploitation active.

Répertoriée sous le nom CVE-2025-54253 avec un score CVSS de 10.0, la faille provient d’une mauvaise configuration d’AEM Forms sur JEE version 6.5.23.0 et antérieures. Ce défaut permet aux attaquants d’exécuter des commandes système arbitraires via le servlet exposé /adminui/debug, qui interprète les entrées utilisateur comme du code Java sans authentification. Adobe a corrigé la faille dans la version 6.5.0-0108, publiée en août 2025, en même temps que CVE-2025-54254.

La CISA a demandé aux agences fédérales d’appliquer les mises à jour avant le 5 novembre 2025. Cette alerte fait suite à l’ajout d’une autre vulnérabilité critique dans SKYSEA Client View, initialement signalée en 2016, soulignant les risques persistants liés aux logiciels anciens comme récents.

Microsoft corrige 172 vulnérabilités, dont six zero-days

La mise à jour Patch Tuesday d’octobre 2025 de Microsoft corrige 172 vulnérabilités, dont six zero-days, deux ayant été rendues publiques et trois déjà exploitées activement. Parmi elles, huit sont classées critiques, cinq permettant l’exécution de code à distance et trois l’élévation de privilèges.

Répartition : 80 élévations de privilèges, 31 exécutions de code à distance, 28 divulgations d’informations, 11 attaques par déni de service, 11 contournements de fonctions de sécurité et 10 usurpations d’identité.

Cette mise à jour marque le dernier Patch Tuesday pour Windows 10, l’OS arrivant en fin de support. Les utilisateurs peuvent continuer à bénéficier de mises à jour de sécurité via le programme Extended Security Updates (ESU).

Les zero-days incluent des failles dans Windows SMB Server, Microsoft SQL Server et un pilote Agere Modem utilisé pour obtenir des privilèges administrateur. Les organisations sont fortement encouragées à appliquer les correctifs immédiatement.

L’ico inflige une amende de 14 millions de livres à capita pour une fuite de données en 2023

L’Information Commissioner’s Office (ICO) du Royaume-Uni a infligé une amende de 14 millions de livres à Capita à la suite d’une fuite de données en 2023 ayant exposé les informations personnelles de 6,6 millions de personnes. L’incident a touché des centaines de clients, dont 325 prestataires de régimes de retraite, après que des pirates ont accédé à environ 4 % de l’infrastructure informatique interne de l’entreprise.

Les pirates ont pénétré dans le réseau lorsqu’un employé a téléchargé un fichier malveillant, permettant au groupe de ransomware Black Basta de rester 58 heures dans le système avant que l’appareil compromis ne soit isolé. L’ICO a pointé du doigt des contrôles d’accès insuffisants, un retard dans la réponse aux alertes et un manque de tests de pénétration comme principales défaillances.

Initialement fixée à 45 millions de livres, l’amende a été réduite après que Capita a reconnu sa responsabilité et mis en œuvre d’importantes améliorations de sécurité.

Mango signale une fuite de données via un prestataire marketing externe

Le détaillant de mode espagnol MANGO a informé ses clients d’une fuite de données après qu’un prestataire de services marketing externe a subi un accès non autorisé exposant des données personnelles. L’incident, révélé le 14 octobre 2025, concernait des informations utilisées à des fins marketing, notamment le prénom, le pays, le code postal, l’adresse e-mail et le numéro de téléphone.

MANGO a confirmé qu’aucune donnée financière, pièce d’identité ou identifiant de compte n’avait été compromise et que son infrastructure interne n’avait pas été affectée, garantissant la continuité normale des opérations. L’entreprise a signalé l’incident à l’Agence espagnole de protection des données (AEPD) et mis en place des canaux d’assistance pour les clients concernés.

Bien que le risque direct soit limité, les experts en cybersécurité avertissent que les données divulguées pourraient être utilisées dans des campagnes de phishing ciblées. Aucun groupe de ransomware n’a, à ce jour, revendiqué l’attaque.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.