Introduction
Le 9 octobre 2025 restera probablement dans les mĂ©moires des RSSI comme un âpatch day non planifiĂ©â.
Le CERT-FR a balancĂ© une salve dâalertes dignes dâun Ă©pisode de Black Mirror version cybersĂ©curitĂ© : Wireshark, Juniper, Palo Alto, GitLab, Moxa, Tenable⊠Tous y passent, chacun avec sa petite bombe logicielle.
Et nous, pauvres administrateurs et utilisateurs, on observe le cirque en serrant les dents, les yeux rivĂ©s sur les CVE en espĂ©rant que notre version nâest pas concernĂ©e. Spoiler : elle lâest.
𧚠Wireshark â Quand lâoutil du sauveur devient le fauteur de troubles
Lâironie est parfaite : lâoutil qui nous aide Ă comprendre les attaques rĂ©seau devient lui-mĂȘme un vecteur dâattaque.
Une vulnérabilité dans Wireshark permet à un assaillant de provoquer un déni de service à distance. En clair, un simple paquet mal formé peut faire planter le logiciel.
Rien de mieux pour pimenter une analyse rĂ©seau critique : tu sniffes les trames suspectes⊠et pouf, Wireshark sâeffondre.
𧩠Remédiation
Mettre Ă jour immĂ©diatement vers la derniĂšre version, Ă©viter dâanalyser des captures non fiables et â surtout â ne jamais ouvrir un pcap quâun inconnu tâenvoie âpour avisâ sur Discord.
𧱠Juniper Networks â âSecure by designâ, mais pas par accident
Les multiples vulnérabilités découvertes dans Juniper Networks permettent tout le cocktail classique :
- exécution de code à distance,
- élévation de privilÚges,
- et déni de service.
Bref, si ton rĂ©seau dâentreprise repose sur Juniper, un pirate pourrait sây inviter avec un cafĂ© Ă la main.
𧩠Remédiation
Patcher, patcher, patcher. Et revoir ton plan de segmentation rĂ©seau â parce que si ton pare-feu devient la porte dâentrĂ©e, câest la fĂȘte du LAN.
Comme toujours chez Juniper, les correctifs existent, mais les appliquer sur tous les Ă©quipements sans tout casser, câest un art.
đ”ïž Tenable Security Center â Le gardien distrait
Ironie de niveau supĂ©rieur : Tenable, le champion de la dĂ©tection de vulnĂ©rabilitĂ©s, traĂźne lui-mĂȘme une faille permettant un contournement de la politique de sĂ©curitĂ©.
Autrement dit, le logiciel censé repérer les trous⊠en introduit un.
On imagine dĂ©jĂ le RSSI soupirer : âTu avais un seul job, TenableâŠâ
𧩠Remédiation
Appliquer le patch sans tarder et revoir les accĂšs administratifs Ă la console.
Et si votre SOC utilise Tenable comme unique source de vĂ©ritĂ©, il est peut-ĂȘtre temps de mettre un deuxiĂšme avis sur le banc.
âïž Moxa â LâIoT industriel qui fuit un peu trop
Dans les environnements industriels, Moxa, câest le Lego du rĂ©seau : switches, gateways, convertisseurs sĂ©rie-EthernetâŠ
ProblÚme : une vulnérabilité critique y permet une atteinte à la confidentialité des données et un contournement de la politique de sécurité.
En clair, ton automate peut soudain devenir trĂšs bavard.
𧩠Remédiation
Mettre Ă jour le firmware (oui, encore), cloisonner les Ă©quipements OT du rĂ©seau IT, et surtout dĂ©sactiver tout ce qui ne sert Ă rien â le protocole HTTP en clair inclus.
Un bon vieux VLAN industriel bien hermétique, ça sauve des nuits.
đ„ Palo Alto Networks â Le mur de feu qui prend feu
Quand Palo Alto, symbole du firewall ânext-genâ, se fait trouer, ça pique.
Les multiples vulnĂ©rabilitĂ©s publiĂ©es permettent notamment lâexĂ©cution de code Ă distance et la compromission de donnĂ©es.
Autrement dit, ton pare-feu peut devenir un proxy involontaire pour ton attaquant préféré.
𧩠Remédiation
TĂ©lĂ©charger les correctifs fournis, limiter les accĂšs dâadministration (sĂ©rieusement, qui laisse encore le port 443 du management ouvert sur Internet ?), et activer la journalisation avancĂ©e.
Ah, et ne pas remettre Ă demain un patch classĂ© âcritiqueâ sous prĂ©texte quâil âtombe un jeudiâ.
𧏠GitLab â Le DevOps dans la tourmente
GitLab clĂŽt la danse avec une belle sĂ©rie de vulnĂ©rabilitĂ©s touchant la confidentialitĂ©, lâintĂ©gritĂ© et la disponibilitĂ© des donnĂ©es.
Autrement dit, le triptyque parfait pour ruiner ta chaĂźne CI/CD.
Un attaquant pourrait faire tomber ton instance, exfiltrer du code source, voire injecter des commits malicieux.
𧩠Remédiation
Mettre Ă jour vers la derniĂšre release stable, isoler le serveur GitLab des environnements de prod, et activer la signature GPG obligatoire pour tous les commits.
Et si ton GitLab tourne encore sur une VM Ubuntu 18.04 sans backup, tu mĂ©rites un cafĂ©… et une tape sur lâĂ©paule.
⥠Conclusion â Le patch day permanent
En ce 9 octobre 2025, le CERT-FR nous rappelle une vérité intemporelle :
la cybersĂ©curitĂ©, ce nâest plus une discipline, câest une course dâendurance.
Les outils censĂ©s nous protĂ©ger sont aussi vulnĂ©rables que les systĂšmes quâils surveillent, et les patchs tombent plus vite que les feuilles dâautomne.
Alors oui, on rùle, on soupire, on maudit les éditeurs, mais on finit toujours par appliquer le correctif, redémarrer le service et surveiller les logs à 23h avec un café froid.
Parce que derriĂšre chaque CVE, il y a un admin, un analyste, un RSSI â et une bonne dose dâironie cosmique.
