#Le brief du 01 septembre 2025

Des failles corrigées dans iOS et WhatsApp pour bloquer une campagne de piratage

Le 29 aout, Amnesty International indiquait sur son compte X que WhatsApp envoyait des messages pour prévenir certaines personnes qu’elles avaient fait l’objet d’une attaque au cours des 90 jours précédents.

Le même jour, TechCrunch donnait des précisions. On apprenait ainsi que Meta avait corrigé une faille de sécurité dans son service de messagerie. Dans le bulletin lié, l’entreprise indique que certaines versions de la messagerie étaient sensibles à un problème d’autorisation incomplète des messages de synchronisation entre les appareils liés par un même compte. Par une URL spécialement conçue, des pirates pouvaient déclencher le traitement d’un contenu.

Meta indiquait également que cette vulnérabilité, estampillée CVE-2025-55177, n’était pas exploitée seule. Les pirates se servaient également d’une faille corrigée par Apple quelques jours plus tôt, notamment dans la mise à jour 18.6.2 d’iOS. Nommée CVE-2025-43300, elle était peu détaillée : elle résidait dans ImageIO et pouvait être exploitée au moyen d’une image spécialement conçue pour entrainer une corruption en mémoire. Apple évoquait une « attaque extrêmement sophistiquée contre des individus ciblés spécifiques ».

Il s’agirait, comme l’a indiqué Amnesty International, d’une « campagne avancée de logiciels espions ». L’attaque serait particulièrement redoutable puisque de type « zero click ». Autrement dit, elle ne demande aucune interaction par l’utilisateur et s’exécute silencieusement. Elle aurait affecté aussi bien des iPhone que des smartphones Android, et « plusieurs personnes de la société civile » feraient partie des victimes. Dans le cas d’Android cependant, on ne sait pas quelle autre faille aurait été utilisée.

À TechCrunch, Meta a confirmé que la faille avait été détectée et corrigée « il y a quelques semaines » et que « moins de 200 » notifications de sécurité avaient été envoyées pour prévenir les personnes concernées. Il s’agit a priori d’une campagne très ciblée, mais le nom du logiciel espion ou de l’organisation qui en est à l’origine n’est pas connu.

Le profil de l’attaque rappelle les campagnes ayant utilisé le logiciel Pegasus, édité par NSO Group. Rappelons qu’en début d’année, Meta annonçait avoir coupé une campagne de piratage ayant eu lieu en décembre en Italie. L’entreprise avait accusé Paragon, l’un des principaux concurrents de NSO Group, d’avoir fourni les moyens de réaliser cette campagne. Bien que le gouvernement italien ait nié toute implication, Paragon a retiré l’Italie de ses clients, comme l’avait pointé The Guardian le 6 février.

YouTube contrainte de permettre l’accès aux données utilisateurs de façon intelligible

noyb présente la décision de l’autorité de protection des données autrichienne (dsb) comme une victoire contre YouTube. Mais cette bataille a été longue : la plainte de l’association date de janvier 2019. Il y a cinq ans et demi, elle lançait plusieurs plaintes contre YouTube, Spotify, Netflix, SoundCloud, Apple Music, Amazon Prime, DAZN et Flimmit, considérant que ces services ne respectaient pas le droit d’accès des utilisateurs à leurs données personnelles.

La dsb a finalement donné raison à noyb qui a partagé sa décision [PDF]. L’autorité considère que YouTube a violé les articles 12 et 15 du RGPD en ne fournissant pas aux utilisateurs les données personnelles les concernant d’une manière compréhensible et lisible.

Le coin gauche d'un écran d'ordinateur est ouvert sur une page YouTube.

« Il est absurde qu’une entreprise numérique multimilliardaire comme Google préfère s’engager dans de longues procédures judiciaires plutôt que d’accorder à un utilisateur l’accès à ses données personnelles », réagit Martin Baumann, avocat au sein de noyb.

« Même si l’autorité a constaté une violation après plusieurs années, Google a réussi à retarder le respect d’une demande d’accès pendant plus de cinq ans. Cela engendre non seulement des coûts importants pour les ONG financées par des dons telles que noyb, mais prive également les personnes concernées de leurs droits fondamentaux », fait-il remarquer.

Selon l’association, l’entreprise a renvoyé le plaignant qu’elle accompagnait vers « plusieurs outils en ligne pour télécharger ses données, ainsi que vers la politique de confidentialité de YouTube, qui ne contient évidemment pas d’informations personnalisées sur les données traitées le concernant ».

L’entreprise a encore une possibilité de recours qu’elle peut activer d’ici un mois. Interrogée par l’AFP à ce sujet, Google n’a pas répondu.

League of Legends : un lobby proche de la FNSEA infiltre l’e-sport

Du 23 juillet au 12 septembre se déroule la compétition d’été de la Ligue française de League of Legends (LFL), ligue parmi les plus suivies d’Europe.

Alors que l’e-sport peine encore à trouver son modèle économique, la LFL est très principalement financée par des sponsors, dont les plus gros (CIC, KitKat) sont affichés bien en vue sur le site de la ligue.

Capture d’écran de la page d’accueil de la Ligue française de League of Legends / Next

Un petit nouveau s’est infiltré parmi les partenaires, a repéré Reporterre. S’il n’est pas listé dans la liste de ceux cités sur le site web de la LFL, Intercéréales, « la filière céréalière française », a en revanche bien été mis en avant sur le compte Twitter de la ligue et voit son logo diffusé pendant quelques minutes pendant les matchs.

D’après le média spécialisé dans l’écologie, une cagnotte a par ailleurs été mise en place, en fonction de laquelle Intercéréales reverse 1 euro par « minion » tué à une association étudiante dont le nom n’a pas été communiqué.

Cette apparition du lobby français des céréales, créé par la FNSEA, dans une compétition d’e-sport se fait alors que certains pans de la filière agricole sont critiqués après le vote de la loi Duplomb, qui permet de réintroduire plusieurs insecticides de la famille des néonicotinoïdes.

Reporterre souligne qu’elle se fait aussi dans un contexte plus large de multiplication des campagnes de l’agro-industrie auprès de personnalités d’internet.

Le Centre national interprofessionnel de l’économie laitière (Cniel) s’est ainsi offert des campagnes auprès de youtubeurs comme Squeezie ou MisterV, Intercéréales a collaboré avec Jammy Gourmaud, ex-présentateur de l’émission « C’est pas Sorcier », et Danone a invité Inoxtag à valoriser son stand au Salon de l’agriculture.

Une mise à jour Windows qui grille des SSD ? Pas si vite

Lors du dernier Patch Tuesday, il y a deux semaines environ, certains commentaires sont apparus au sujet de conséquences néfastes pour certains SSD. Les mises à jour KB5063878 et KB5062660 auraient ainsi entrainé chez plusieurs personnes une disparition du SSD, le disque étant devenu illisible à la suite d’une défaillance majeure.

Le problème semblait se concentrer sur les contrôleurs de la marque Phison. Un nouveau problème chez Microsoft ? Après tout, l’entreprise est connue pour sa longue suite de dysfonctionnements suite à des mises à jour entrainant des incompatibilités.

Il ne semble pas que ce soit le cas cette fois. Dans une communication à Neowin le 27 aout, Phison a indiqué s’être sérieusement penchée sur le problème. L’entreprise dit avoir « consacré plus de 4 500 heures de test cumulées aux disques signalés comme potentiellement touchés et a effectué plus de 2 200 cycles de test ». Elle n’a cependant pas réussi à reproduire le problème signalé. En outre, « aucun partenaire ou client n’a signalé que le problème avait affecté leurs disques pour le moment ».

Microsoft, de son côté, a communiqué avec Bleeping Computer. Le 21 aout d’abord, pour confirmer que le problème était en cours d’examen. La société indiquait qu’elle travaillait à reproduire le problème et cherchait d’ailleurs des retours d’utilisateurs, signe d’un manque d’informations.

Le 29 aout, Microsoft a mis à jour une fiche de service sur ce problème. L’éditeur y affirme n’avoir « trouvé aucun lien entre la mise à jour de sécurité de Windows d’août 2025 et les types de pannes de disque dur signalées sur les réseaux sociaux ».

Cela ne signifie pas cependant qu’aucun problème n’existe. Phison a ajouté auprès de Bleeping Computer que « toutes les parties prenantes de l’industrie » travaillaient sur la question, les commentaires de certains utilisateurs laissant penser qu’une défaillance pourrait toucher d’autres SSD (Corsair Force MP600, Maxio SSD, SanDisk Extreme Pro, Kioxia Exceria Plus G4, Kioxia M.2…).

Reste à savoir s’il s’agit d’un problème particulièrement retors au point que les entreprises n’arrivent pas à le reproduire, ou d’un ensemble de pannes matérielles « classiques ». Dans sa communication initiale, Phison rappelait que les opérations intensives (copie de fichiers volumineux ou de plusieurs fichiers en même temps) pouvaient entrainer une élévation de la chaleur dans les SSD. L’entreprise recommandait l’installation d’un dissipateur thermique, laissant penser qu’il pouvait s’agir d’une conséquence malencontreuse côté utilisateur.

Core Ultra 200S : Intel reconnait avoir « raté le coche », mais promet de se rattraper

David Zinsner, directeur financier d’Intel et co-CEO par intérim entre le départ de Pat Gelsinger et l’arrivée de Lip-Bu Tan, s’est exprimé lors de la conférence Deutsche Bank 2025, comme le rapporte wccftech. Il reconnait que le fondeur est à la ramasse sur les PC haut de gamme avec sa génération Arrow Lake (Core Ultra 200S).

Hardware&Co retrace la dure vie de cette génération de CPU. Nos confrères rappellent au passage qu’« Intel avouait pour la première fois le manque de succès d’Arrow Lake par la voix de Michelle Johnston Holthaus », présidente d’Intel Products, en avril 2025.

« Nous avons un peu raté le coche du côté des ordinateurs de bureau, en particulier du côté machines hautes performances », reconnait David Zinsner. Si Intel a « raté le coche », c’est « principalement à cause de ce marché pour lequel nous n’avions pas de bonnes offres cette année », ajoute-t-il.

La société de Santa Clara prévoit-elle de revenir à des processeurs plus performants et/ou abordables afin de venir lutter contre AMD (notamment la série des X3D prisée des joueurs) ? La question reste ouverte et la réponse de David Zinsner ne tranche pas vraiment.

Avec la prochaine génération, Nova Lake, Intel proposera « un ensemble de références plus complet », indique-t-il. Attendez-vous donc à avoir (beaucoup ?) plus de références… en espérant que cela s’accompagne de vraies nouveautés et pas seulement d’une plus forte segmentation avec peu de différences entre chaque processeur.

« Intel continue donc à donner le change en ne parlant que de ce qui l’arrange ou en tout cas le met le moins possible en défaut. David Zinsner utilise donc des histoires de « prix moyens » en omettant sans doute volontairement de parler des volumes de ventes du marché DIY face à AMD, ou même des volumes de ventes du marché OEM face à Raptor Lake », expliquent nos confrères de Hardware&Co.

Rappelons enfin qu’Intel est en difficulté financière depuis plusieurs mois maintenant, avec des licenciements massifs et des annulations d’investissements. Sofbank et l’administration Trump ont investi des milliards de dollars afin de donner de l’air au géant américain.

Vente de SFR : Orange est intéressée, mais on « est très très loin d’avoir un schéma d’accord »

Interviewée par Ecorama, Christel Heydemann, la directrice générale d’Orange, a abordé de nombreux sujets, notamment les investissements, la régulation, les droits de douanes, mais aussi la vente de SFR (fortement relancée depuis la validation du plan de sauvegarde d’Altice) et un retour à trois opérateurs en France.

« L’Europe a beaucoup libéralisé les marchés pour protéger le pouvoir d’achat, on a beaucoup régulé aussi. On est dans un marché des télécoms qui est très très fragmenté », explique la directrice générale. « Que ce soit le droit de la concurrence ou les différentes régulations, [les lois] ont été plus faites pour protéger le consommateur et le pouvoir d’achat que la capacité à investir des entreprises », ajoute-t-elle.

Sur la vente de SFR, elle confirme que, bien évidemment, Orange « a été interrogé sur ce sujet » et que l’opérateur « est évidemment intéressé, à l’écoute et on se doit de regarder ». Si elle veut bien reconnaitre des discussions préliminaires, « on est très très loin d’avoir un schéma d’accord […] rien n’est fait », affirme-t-elle.

Même son de cloche chez Thomas Reynaud, directeur général du groupe Iliad (Free), qui évoque des « discussions très préliminaires ». Il rappelle aussi qu’il ne faut « pas sous-estimer la complexité industrielle de ce type d’opération ». Pour Iliad ce n’est « pas une nécessité », mais « une opportunité », comme le rapporte l’AFP.

Olivier Roussat, directeur général de Bouygues, avait déjà fait part de son intérêt pour la vente de SFR : une consolidation permettrait de couper le gâteau en trois parts au lieu de quatre, donc « normalement les parts devraient être un peu plus grosses ».

Les autorités compétentes auront évidemment leur mot à dire, mais celle de la concurrence en France a déjà laissé entendre que ses portes étaient ouvertes pour des discussions. « Si cette opération devait être notifiée, nous la regarderions sans camper sur nos positions d’il y a neuf ans », lâchait le président de l’Adlc.

Ce n’est pour elle que le début d’une nécessaire concentration sur le Vieux continent : « Je pense qu’on s’oriente vers des marchés où, au final, il n’y aura plus que trois opérateurs dans tous les pays d’Europe ».