Dans cet article Anthony, formateur Hacking et Sécurité, présente les failles de sécurité les plus critiques observées cette année (jusqu’en octobre 2025). Une faille est dite critique lorsqu’elle permet à un attaquant d’obtenir un accès à distance au système, parfois même sans authentification.
L’impact est évalué à l’aide du référentiel « Common Vulnerabilities and Exposures » et du « Common Vulnerability Scoring System », noté de 0 à 10 ; au-delà de 9, on parle généralement de vulnérabilité critique. Comme des dizaines de nouvelles failles sont publiées chaque jour, il est impossible d’être exhaustif, et la médiatisation ne reflète pas toujours la gravité réelle.
Voici donc une sélection de vulnérabilités à fort impact, puis un focus sur deux tendances clés en 2025 : la chaîne logistique et l’intelligence artificielle.
Le top 4 des vulnérabilités de 2025
Ivanti et Fortinet
On commence avec la vulnérabilité CVE-2025-22457 publiée en avril 2025 qui impacte : Pulse Connect Secure 9.1x (EoS), Ivanti Connect Secure (22.7R2.5 and earlier), Policy Secure, ZTA Gateways.
C’est une solution de VPN SSL qui permet un accès sécurisé à distance d’un réseau. Une vulnérabilité sur un équipement de sécurité est toujours plus impactante car même s’il peut protéger contre certaines vulnérabilités, il y a clairement eu un manque de vigilance sur la sécurité du code.
La vulnérabilité est de type « Stack-based Buffer Overflow » et permet à un attaquant d’exécuter du code à distance sans authentification.
L’exploitation d’un buffer overflow sur la pile n’a rien de nouveau, le principe est d’écraser des données et de créer un débordement pour modifier l’adresse de retour de la fonction courante pour pointer vers un code malveillant.
Même si la création de ce code d’exploitation n’est pas pour les néophytes et demande la maîtrise de FreeBSD, il a rapidement été rendu public et accessible sur Internet ce qui a aidé des pirates à compromettre de nombreuses victimes facilement.
Une fois que les pirates sont connectés aux machines vulnérables, ils peuvent librement voler toutes les données qui transitent ou sont stockées, visiter d’autres machines du réseau et déployer un ransomware.
Un autre équipement de sécurité qui est encore souvent exploité est FortiOS avec sa vulnérabilité CVE-2024-55591 qui permet de contourner son authentification. Elle a été divulguée le 14 janvier 2025 mais était exploitée dès le mois de novembre 2024.
Environ 50 000 appareils étaient vulnérables au moment de la divulgation. Le problème réside dans le module WebSocket de Node.js qui ne vérifie pas correctement les canaux alternatifs comme les connexions WebSocket. Une race condition peut exploiter cette vulnérabilité pour exécuter des commandes système avec droits administrateur sans authentification.
Comment se protéger ? Toujours installer les dernières mises à jour de sécurité.
Microsoft SharePoint
On continue notre tour avec Microsoft SharePoint et ces 2 CVE utilisées conjointement : CVE-2025-53770 et CVE-2025-53771, divulguées les 19 et 20 juillet 2025 et surnommée « ToolShell » (en rapport avec le nom de fichier ToolPane.aspx utilisé dans l’attaque).
Les serveurs Microsoft SharePoint on-premises (versions 2016, 2019 et Subscription Edition) sont impactés mais pas la version cloud.
L’exploitation se fait en utilisant CVE-2025-53771 qui permet de contourner l’authentification en envoyant une requête HTTP forgées vers /ToolPane.aspx pour usurper un serveur légitime et bypasser les contrôles d’authentification.
Une fois l’accès obtenu, l’attaquant soumet un payload malveillant dans le corps POST de la requête HTTP. SharePoint désérialise ces données sans validation (CVE-2025-53770) exécutant du code arbitraire via un abus de ViewState manipulé.
Des codes d’exploitation ont été rapidement rendus publics et ont aussi aidé les pirates à installer des ransomwares et autres logiciels malveillants sur les serveurs vulnérables.
Comment se protéger ? Toujours installer les dernières mises à jour de sécurité.
Next.js Middleware
En mars 2025, la vulnérabilité CVE-2025-29927 est divulguée sur Next.js qui permet de contourner des autorisations via l’entête HTTP « x-middleware-subrequest ».
Next.js a été créé par Vercel en 2016 et permet de créer des applications web basées sur la bibliothèque front-end React de Meta.
De nombreuses applications web développées en Next.js se retrouvent vulnérables tels que des sites e-commerce ou des applications SaaS. Les attaquants peuvent alors accéder sans autorisation à des routes protégées, accéder à des ressources sensibles ou escalader ses privilèges pour devenir administrateur.
Comment se protéger ? Toujours installer les dernières mises à jour de sécurité.
HTTP/1.1 must die
En août 2025, James Kettle, le directeur de recherche chez Portswigger (l’entreprise qui a créé le proxy BurpSuite) annonce de nouvelles attaques contre cette version 1.1 de HTTP encore très utilisée.
Cette version 1.1 est textuelle et facile à manipuler.
Le principe de ces attaques est d’envoyer des requêtes HTTP forgées pour créer une confusion du serveur de back-end dans le traitement des requêtes HTTP entre les versions 1.1 et 2, c’est l’attaque : request smuggling.
Comment se protéger ? Utiliser HTTP en version 2.0 au lieu de 1.1 pour les serveurs de front-end et de back-end. Ne pas faire de downgrade HTTP 2.0 vers 1.1.
Les tendances 2025 en Cybersécurité
Les grandes tendances en 2025 sont les attaques par supply chain (la chaîne logistique) et l’IA.
La supply chain
En septembre 2025, une attaque massive sur npm d’un ver a compromis plus de 500 paquets npm populaires. Des workflows Github Actions sont utilisés pour révéler des secrets.
Le même mois, Red Hat a aussi subi une attaque en septembre grâce à un accès non autorisé d’une instance Gitlab.
En juillet, WordPress et son plugin Gravity Forms a aussi été victime avec plus d’un million d’utilisateurs qui ont permis d’ajouter des utilisateurs administrateurs cachés et s’exécuter de code distant.
Ce sont quelques attaques réussies sans oublier en mars 2024 la backdoor sur la bibliothèque de compression XZ utils utilisée dans de nombreux paquets Linux et qui aurait pu infecter des millions de machines, heureusement le code malveillant a pu être repéré et supprimé rapidement grâce à la vigilance d’un ingénieur Microsoft, Andres Freund, qui réalisait des tests de performance sur OpenSSH.
L’IA
Aujourd’hui, énormément de monde connaît et utilise des LLM (Large Language Model) tels que ChatGPT, Grok ou Gemini. Bien sûr, les pirates en font de même et produisent des codes toujours plus performants et ce dès 2023 avec WormGPT pour des campagnes de phishing à grande échelle.
Des ransomwares peuvent intégrer désormais directement des LLM dans leur code, tel que PromptLock créé par l’université Tandon à New York en août dans un but éducatif et démontre la dangerosité de ce genre de malware.
Les prompts embarqués dans le binaire orchestrent l’attaque (planification, adaptation et chiffrement) avec un code polymorphe qui évite les détections par les antivirus et utilise du chiffrement SPECK 128-bit.
Mise à part les malwares, l’IA générative permet également de produire des courriels de phishing, des messages de vishing (phishing vocal) et même des deepfakes (vidéos ou audios d’usurpation) d’une qualité quasi indétectable. Ces attaques sont hautement personnalisées, ciblant avec précision les employés pour le vol de mots de passe ou d’informations personnelles.
Conclusion
En 2025, il y a toujours plus d’attaques sophistiquées, il est important d’installer les mises à jour de sécurité mais également de penser à la sécurité dès la conception d’une application et de faire des tests de sécurité réguliers.
Des outils de CI/CD permettent de faire ces tests régulièrement et il est aussi possible de faire réaliser des tests d’intrusion au moins une fois par an par des professionnels pour identifier les vulnérabilités avant les pirates, le coût d’un incident est bien plus élevé que le coût de la prestation. Ne considérez pas la sécurité comme une étape finale mais comme une exigence intégrale de votre code.
Aller plus loin
Pour aller plus loin, vous pouvez consulter les vulnérabilités exploitées en ce moment, ainsi que vous former au Hacking et sécurité des applications web, Hacking avancé des applications web ou encore au Hacking et sécurité avec Node.js avec Anthony.
Anthony DESSIATNIKOFF – Formateur Hacking et Sécurité
Anthony est titulaire d’un doctorat en cybersécurité et réalise depuis 2014 des audits de sécurité pour des entreprises de petites et grandes tailles.
Ses domaines de prédilections sont la sécurité des applications web, le pentest avec Python et le hacking avancé.
Passionné par les tests d’intrusion, l’audit de code et le développement sécurisé (PHP, Python, Node.js), il adapte ses formations aux besoins des développeurs souhaitant renforcer la sécurité de leurs projets