#Le brief du 05 novembre 2025

Faille critique dans le paquet NPM de React Native, la mise à jour s’impose

Une importante faille critique a été découverte dans le paquet NPM React Native Community CLI, très populaire chez les développeurs (de 1,5 à 2 millions de téléchargements par semaine). Présentant un score CVSS de 9,8 sur 10, elle présente une dangerosité quasi maximale et peut être exploitée à distance sur toutes les plateformes Windows, macOS et Linux.

La vulnérabilité a été découverte par jFrog et estampillée CVE-2025-11953. « Cette vulnérabilité permet à des attaquants distants non authentifiés de déclencher facilement l’exécution arbitraire d’une commande du système d’exploitation sur la machine exécutant le serveur de développement de react-native-community/cli, ce qui représente un risque important pour les développeurs », explique l’entreprise.

En outre, et contrairement aux vulnérabilités habituelles découvertes dans les serveurs de développement, la faille CVE-2025-11953 peut être exploitée à distance. Elle réside dans le fait que le serveur de développement Metro, utilisé par React Native pour créer du code et des ressources JavaScript, se lie à des interfaces externes par défaut, au lieu de localhost. Il expose un point de terminaison « /open-url » qui devient alors vulnérable aux injections de commandes du système d’exploitation.

Concrètement, un utilisateur non authentifié peut se servir de la faille pour envoyer une requête POST spécialement conçue au serveur pour lui faire exécuter des commandes arbitraires. Dans le billet de jFrog, on peut lire que les chercheurs ont réussi à exploiter la faille sur Windows avec un contrôle total des paramètres. Sur macOS et Linux, ils sont parvenus à l’exécution de code avec un contrôle limité des paramètres. Cependant, avec des tests supplémentaires, ils estiment pouvoir parvenir au contrôle total.

Cette vulnérabilité critique est présente dans un très grand nombre de versions, de la 4.8.0 à la 20.0.0-alpha.2. Elle est corrigée depuis la version 20.0.0, publiée depuis octobre. Comme souvent dans ce genre de cas, les informations sur la faille n’ont été données qu’une fois que l’éditeur – ici Meta – a pu corriger la faille et qu’un nombre suffisant de développeurs ont récupéré la dernière version.

Seules les personnes utilisant donc une version plus ancienne que la 20.0.0 et utilisant le serveur Metro sont vulnérables. Pour jFrog cependant, cette faille « est particulièrement dangereuse en raison de sa facilité d’exploitation, de l’absence d’exigences d’authentification et de sa large surface d’attaque ».

iOS, iPadOS et macOS 26.1 : Liquid Glass teinté et correctifs silencieux

Apple a publié lundi soir les versions 26.1 pour l’ensemble de ces systèmes. Si vous avez installé la version 26 sur votre iPhone ou votre Mac et que vous n’êtes pas fan de l’interface Liquid Glass, la version 26.1 intègre désormais un réglage « teinté » qui réduit nettement la transparence, comme nous l’indiquions le 24 octobre.

iOS 26.1 propose d’autres améliorations, dont l’apparition d’un bouton à faire glisser pour arrêter l’alarme, la possibilité de faire glisser son doigt sur le titre en cours dans Musique pour passer au morceau précédent ou suivant, le retour de Slide Over sur iPad ou encore une option pour désactiver le glissement vers l’appareil photo depuis l’écran verrouillé. On note aussi l’amélioration de la qualité audio pour les appels FaceTime quand les conditions réseau sont mauvaises.

Côté macOS Tahoe, la version 26.1 donne la même option de réduction de la transparence pour Liquid Glass, ajoute le supporte d’AutoMix sur AirPlay pour Musique, ou encore le retour des coins carrés pour l’affichage des PDF dans Aperçu.

Les versions 26.1 contiennent en outre une autre amélioration, commune à toutes les plateformes : elles peuvent installer silencieusement les mises à jour de sécurité considérées comme urgentes. Ce fonctionnement, activé par défaut, permet l’application de correctifs légers pour parer à ces situations urgentes, notamment sur Safari, WebKit ou « d’autres bibliothèques système », comme le précise Apple sur la page dédiée.

On peut désactiver ce fonctionnement dans Paramètres > Confidentialité et sécurité > Améliorations de la sécurité en arrière-plan. Couper cette fonction n’est cependant pas recommandé, puisqu’elle permet par exemple de diffuser rapidement un correctif pour une ou plusieurs failles dans le navigateur. En cas de désactivation, ces correctifs seront appliqués avec la mise à jour mineure suivante du système, mais la fonction a l’avantage de le faire sans interaction et surtout sans redémarrage.

Comme l’a remarqué iGen, la fonction n’est pas totalement nouvelle et est davantage « une remise à plat des mises à jour de sécurité urgentes d’iOS 16 ». En outre, la fonction est copieusement utilisée pour de nombreuses mises à jour : prise en charge des langues, polices, services de dictée, suggestions, ainsi que des éléments beaucoup plus importants comme les certificats SSL et les firmwares pour les accessoires Apple. Il s’agit donc d’une généralisation de l’ancien mécanisme à un plus grand nombre de composants.

Nous reviendrons dans la journée sur les annonces autour des versions 26.2 et du méchant « DMA ».

TikTok : enquête ouverte en France sur la mise en avant de contenus poussant au suicide

Le parquet de Paris a ouvert une enquête préliminaire sur le fonctionnement de l’algorithme de TikTok, a-t-il annoncé dans un communiqué envoyé à l’AFP.

Cette procédure judiciaire fait suite au signalement du député Arthur Delaporte, président de la commission d’enquête parlementaire « sur les effets psychologiques de TikTok sur les mineurs ». Annonçant la saisie de la procureure de la République de Paris, Laure Beccuau, il avait affirmé le 11 septembre dernier : « Le constat est sans appel : TikTok a délibérément mis en danger la santé, la vie de ses utilisateurs », ajoutant : « Il me semble qu’il y a des infractions qui sont de nature pénale, de complicité active ».

Accablant pour la plateforme chinoise, le rapport des députés proposait 43 recommandations, dont l’interdiction des réseaux sociaux aux moins de 15 ans ainsi qu’un couvre-feu numérique pour les 15 – 18.

TikTok

Selon l’AFP, l’enquête a été confiée à la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. Elle devra se pencher sur les soupçons de « propagande en faveur de produit, objet ou méthode préconisés comme moyens de se donner la mort », de « fourniture de plateforme en ligne pour permettre une transaction illicite en bande organisée » et d’« altération du fonctionnement d’un système de traitement automatisé de données en bande organisée ».

Selon la procureure, l’enquête concernera « le respect de l’obligation de notification par une plateforme des soupçons d’infractions commises par son intermédiaire », le « fonctionnement de l’algorithme par rapport à la présentation qui en est faite à son utilisateur » et « l’édition de contenus consistant notamment à la promotion du suicide ».

« Nous réfutons fermement les accusations », a réagi la plateforme dans un communiqué envoyé à l’agence de presse. Elle ajoute qu’elle a mis en place « plus de 50 fonctionnalités et paramètres prédéfinis spécialement conçus pour assurer la sécurité et le bien-être des adolescents ».

La question des pensées suicidaires concerne aussi bien les réseaux sociaux que les algorithmes des IA. Fin aout, OpenAI avait été poursuivi en justice après le suicide d’un adolescent. La société avait annoncée dans la foulée la mise en place d’un contrôle parental. Récemment, l’entreprise américaine annonçait que 0,15 % des utilisateurs ont des « conversations qui incluent des indicateurs explicites de planification ou d’intention suicidaire potentielle », soit 1,2 million de personnes tout de même.