#Le brief du 31 juillet 2025

Faille critique chez Apple, les mises à jour disponibles

Mardi soir, Apple a publié une série de mises à jour intermédiaires pour ses plateformes : iOS/iPadOS 18.6, macOS 15.6, watchOS 11.6 et tvOS 18.6. Ces versions n’ont rien de vraiment important à apporter sur le plan fonctionnel, mais elles corrigent divers bugs et soucis de sécurité.

Or, parmi ces derniers, on a appris hier qu’il y avait une faille 0-day. Comme l’indique Bleeping Computer, la vulnérabilité – estampillée CVE-2025-6558 – est critique, avec un score CVSS de 8,8 sur 10. La faille réside dans la validation incorrecte d’une entrée non fiable dans la couche d’abstraction graphique ANGLE (Almost Native Graphics Layer Engine). Cette dernière s’occupe de traiter les commandes GPU et de traduire les appels de l’API OpenGL ES vers d’autres API graphique, selon la plateforme utilisée (Direct3D, Metal, Vulkan ou OpenGL).

Exploitée, la faille permet l’exécution à distance d’un code arbitraire, sans autre intervention de l’utilisateur que l’ouverture d’une page web spécialement conçue. L’exploitation permet d’échapper en partie à la sandbox du navigateur.

La faille a été découverte par deux chercheurs du Threat Analysis Group de Google, Vlad Stolyarov et Clément Lecigne. Résidant dans le moteur ANGLE, on la retrouve donc dans Chrome, dans lequel elle a été corrigée le 15 juillet par Google. La société, dans un bulletin de sécurité, a d’ailleurs confirmé que la faille était déjà exploitée.

De son côté, Apple donne peu de détails, se contentant d’indiquer que « le traitement d’un contenu Web malveillant peut entraîner un blocage inattendu de Safari ».

La faille étant activement exploitée, il est recommandé de mettre à jour les appareils aussi rapidement que possible.

Vente d’Infracos (Crozon) : Bouygues Telecom et SFR en négociations avec Phoenix Tower

Hier, les deux opérateurs ont officialisé une rumeur persistante : « Bouygues Telecom et SFR entrent en négociations exclusives avec Phoenix Tower International en vue de lui céder 100 % du capital et des droits de vote de la société Infracos ».

Infracos a été créé en 2014. Cette société est détenue à 50 % à Bouygues Telecom et à 50 % par SFR. Son but : mettre en œuvre l’accord de mutualisation Crozon, « permettant le déploiement et l’exploitation de sites radios mutualisés en zone moins dense ». Infracos détient actuellement « 3 700 sites dont elle est propriétaire des baux et des infrastructures passives ».

L’opération est soumise à l’approbation des autorités compétentes (notamment l’Arcep, le régulateur des télécoms) et devrait être finalisée d’ici à la fin de l’année. Cette vente devrait rapporter entre 300 et 350 millions d’euros à Bouygues Telecom (et donc autant à SFR, qui est en difficulté financière), ce qui valorise Infracos entre 600 et 700 millions d’euros.

Mesure exposition aux ondes

Il y a deux ans, Phoenix Tower International annonçait « deux transactions concernant 1 978 sites stratégiquement situés dans des zones urbaines très denses à travers la France ». Les deux mêmes opérateurs étaient à la manœuvre : 1 226 sites pour SFR et 752 sites pour Bouygues Telecom.

En août dernier, Phoenix Tower International signait un accord avec Iliad. Il concernait l’Italie cette fois, avec « le développement de jusqu’à 1 900 nouveaux sites de télécommunications dans des zones densément et moyennement densément peuplées, ce qui permettra d’étendre et de densifier le réseau mobile 4G/5G de haute qualité d’Iliad ».

Palo Alto Networks met 25 milliards de dollars sur la table pour racheter CyberArk

Hier, Palo Alto Networks annonçait par le biais d’un communiqué de presse la signature d’un accord définitif sur cette vente. Comme toujours, il est soumis à l’approbation des autorités compétentes.

« Selon les termes de l’accord, les actionnaires de CyberArk recevront 45 dollars en espèces et 2,2005 actions ordinaires de Palo Alto Networks pour chaque action CyberArk ». Cela représente une valeur nette de 25 milliards de dollars environ pour CyberArk, selon Palo Alto Networks.

CyberArk se présente comme le « leader de la sécurité des identités et de la gestion des accès ». La société revendique plus de 10 000 organisations dans ses clients. Sa promesse : « permettre l’accès sécurisé de toute identité, humaine ou machine, à tout environnement ou ressource, à partir de n’importe où et de n’importe quel appareil ». L’entreprise surfe évidemment sur la vague des agents d’IA.

Une main tenant de gros paquets de dollars

Cette transaction a été approuvée à l’unanimité par les conseils d’administration de Palo Alto Networks et de CyberArk. Elle devrait être finalisée durant le second semestre fiscal de Palo Alto Networks. En bourse, l’action a perdu plus de 5 % après cette annonce.

En mars de cette année, Google annonçait le rachat d’une autre société spécialisée dans la cybersécurité : Wiz, pour 32 milliards de dollars.