Histoire en vedette

Cloudflare attribue la panne massive de cette semaine à des problèmes de base de données

Résumé

Mardi, Cloudflare a connu sa pire panne en 6 ans, bloquant l’accès à de nombreux sites web et plateformes en ligne pendant près de 6 heures après qu’une modification des contrôles d’accès à la base de données ait déclenché une panne en cascade sur son réseau mondial.

Le problème a été déclenché par une modification des autorisations de l’un de nos systèmes de base de données, qui a amené la base de données à produire des entrées multiples dans un « fichier de caractéristiques » utilisé par notre système de gestion des robots.

Lorsque le fichier surdimensionné s’est propagé sur les machines du réseau, le code Rust du module Bot Management a déclenché une panique du système et des erreurs 5xx, provoquant l’arrêt du système proxy central qui gère le traitement du trafic.

Autres nouvelles

Les agents d’IA de ServiceNow peuvent être incités à agir les uns contre les autres via des invites de second ordre

Résumé

Les acteurs malveillants peuvent exploiter les configurations par défaut de la plateforme d’intelligence artificielle générative (IA) Now Assist et tirer parti de ses capacités agentiques pour mener des attaques par injection rapide.

L’injection d’invite de second ordre utilise la découverte d’agent à agent de Now Assist pour exécuter des actions non autorisées, permettant aux attaquants de copier et d’exfiltrer des données sensibles de l’entreprise, de modifier des enregistrements et d’escalader des privilèges.

Il est important de noter que les agents Now Assist s’exécutent avec les privilèges de l’utilisateur qui a lancé l’interaction, sauf configuration contraire.

Google corrige une nouvelle faille zero-day de Chrome exploitée dans des attaques

Résumé

Google a publié une mise à jour de sécurité d’urgence pour corriger la septième vulnérabilité zero-day de Chrome exploitée dans des attaques cette année. Google est conscient qu’un exploit pour CVE-2025-13223 existe dans la nature.

Cette vulnérabilité de haute gravité est causée par une faiblesse de type confusion dans le moteur JavaScript V8 de Chrome, signalée la semaine dernière par Clément Lecigne du Threat Analysis Group de Google.

Courriel frauduleux au nom de l’ONSS

Résumé

Nous recevons actuellement de nombreux rapports concernant des courriels de phishing qui semblent provenir de l’Office national de sécurité sociale (ONSS).

Le message vous indique que vous avez reçu un document de l’ONSS et vous invite à cliquer sur un lien pour soi-disant accéder au portail de l’ONSS. Ne le faites pas, car le lien mène en fait à un site web frauduleux qui vous demandera vos coordonnées bancaires.

L’adresse électronique de l’expéditeur ne correspond pas du tout à l’ONSS. … L’ONSS ne demandera jamais aux citoyens ou aux entreprises leurs coordonnées bancaires par simple e-mail.