Commerce, normes, géopolitique : la rivalité sino-américaine se déploie dans tous les domaines. Alors qu'aux passes d'armes entre les deux géants succèdent les rencontres « chaleureuses », une constante semble se dégager : l'Union européenne se trouve systématiquement laissée sur le bord du (…)
/ Énergie, Chine, États-Unis, Industrie
Nvidia ne se cantonne ni aux GPU, ni aux plateformes d’IA. Elle a aussi ses modèles IA. L’entreprise lance la famille Nemotron 3 pour faire tourner des agents, pas juste écrire du texte. Nano débarque avec du débit en hausse, moins de tokens de “raisonnement” et un contexte XXL (jusqu’à 1M), le tout prêt à […]
YouTube just took another step toward becoming a full-scale streaming television service with the launch of a new offering more focused on dedicated TV channel plans. Announced last week on December 10th, the initiative introduces subscription packages organized by content genre and is currently available in the U.S.. Under the YouTube TV branding, the platform plans to offer more than 10 genre-specific packages, covering areas such as sports, news, family programming, […]
En fonction des autorités de numérotation CVE, les pratiques d’association de vulnérabilités à des faiblesses logicielles peuvent varier.
Le phénomène n’a en soi rien de nouveau. Cependant, avec l’augmentation du nombre d’autorités produisant de tels mappings, il a une influence de plus en plus importante sur des projets aval. Parmi eux, le Top 25 CWE de MITRE.
Dans l’édition 2025, fraîchement publiée, l’organisation américaine affirme à quel point il pourrait être « instructif » d’étudier les pratiques de ces autorités. D’autant plus au vu de ce qui a été constaté chez l’une des plus « prolifiques ». En l’occurrence, une tendance à associer des vulnérabilités (CVE) à la fois à des faiblesses logicielles (CWE) de bas niveau et de haut niveau, entraînant une surreprésentation de ces dernières. Par exemple, CWE-74 (neutralisation inadéquate d’éléments spéciaux dans une sortie utilisée par un composant aval), à la fois « parent » de CWE-89 (injection SQL), de CWE-79 (XSS), de CWE-78 (injection de commande système) et de CWE-94 (injection de code).
Première utilisation d’un LLM pour le Top 25 CWE
Pour cette édition, le dataset initial comprenait 39 080 CVE publiées entre le 1er juin 2024 et le 1er juin 2025.
MITRE a collecté des mappings réalisés par des autorités de numérotation ou ajoutés par la CISA après publication des CVE. Il a également tenu compte de mappings aval d’analystes de la NVD (National Vulnerability Database, rattachée au NIST).
Une analyse automatisée a permis d’identifier les mappings susceptibles d’être modifiés notamment parce que trop abstraits ou trop différents de mappings précédents contenant des mots-clés similaires.
Les mappings soumis à réévaluation concernaient 9468 CVE (24 % du total), publiées par 281 autorités.
Pour la première fois, MITRE a employé un LLM – ancré sur le corpus des CWE et entraîné sur des mappings – pour examiner ce sous-ensemble. Si ses suggestions n’ont pas toujours été suivies, il a « semblé déduire des associations potentielles que des analystes humains auraient probablement manquées faute de temps ou d’expertise ».
Sur ces 9468 CVE, 2459 ont effectivement fait l’objet d’un retour de la part des autorités de numérotation. Le reste a été soumis à une autre analyse. C’est là qu’a été découverte la pratique sus-évoquée.
Une normalisation qui rebat (un peu) les cartes
Quatre CWE auparavant jamais classées dans le Top 25 font leur entrée cette année. Elles sont repérables par la mention N/A dans le tableau ci-dessous. Il s’agit du dépassement de tampon « classique », du dépassement de pile, du dépassement de tas et du contrôle d’accès inadéquat.
Un changement dans la méthodologie y a contribué. Jusqu’alors, avant d’établir le classement (fondé sur la fréquence des CWE et sur la sévérité des CVE associées), les mappings étaient normalisés selon une nomenclature qu’utilise traditionnellement la NVD. Cette nomenclature se limite à 130 CWE. Les CVE qui ne peuvent pas être associées à une entrée sont, au possible, associées au plus proche parent (« ancêtre »). Sinon, on retire les mappings.
Pour la première fois, MITRE a utilisé les mappings tels quels, sans effectuer cette normalisation. Il en résulte, nous affirme-t-on, une image « plus fidèle ».
Ce choix a probablement aussi contribué à faire sortir plusieurs CWE du Top 25. On peut le penser, entre autres, pour CWE-269 (gestion inadéquate des privilèges), qui passe de la 15e à la 29e place. Sans normalisation, elle a 219 CVE associées. Avec, elle en aurait en 633. Il en est potentiellement allé de même pour CWE-400 (consommation de ressources non contrôlée ; passée de la 24e à la 32e place), CWE-798 (utilisation d’authentifiants codés en dur ; de 22e à 35e) et CWE-119 (restriction inadéquate d’opérations dans les limites d’un tampon mémoire ; de 20e à 39e).
Le top 25 des vulnérabilités logicielles en 2025
Rang
Identifiant
Nature
Évolution 2024-2025
1
CWE-79
XSS (Cross-Site-Scripting ; neutralisation inadéquate d’entrée lors de la génération de page web)
=
2
CWE-89
SQLi (Injection SQL ; neutralisation inadéquate d’éléments spéciaux utilisés dans une commande SQL)
+ 1
3
CWE-352
CSRF (Client-Side Request Forgery ; une web ne vérifie pas suffisamment si une requête a été intentionnellement fournie par son auteur)
+ 1
4
CWE-862
Autorisation manquante
+ 5
5
CWE-787
Écriture hors limites
– 3
6
CWE-22
Traversée de répertoire (neutralisation inadéquate d’éléments spéciaux dans un chemin d’accès, menant vers un emplacement non autorisé)
– 1
7
CWE-416
UAF (Use After Free ; réutilisation d’une zone mémoire après sa libération)
+ 1
8
CWE-125
Lecture hors limites
– 2
9
CWE-78
Injection de commande système
– 2
10
CWE-94
Injection de code
+ 1
11
CWE-120
Dépassement de tampon « classique » (copie d’un tampon d’entrée vers un tampon de sortie sans vérifier que la taille du premier ne dépasse pas celle du second)
N/A
12
CWE-434
Téléversement non restreint de fichiers dangereux
– 2
13
CWE-476
Déréférencement de pointeur NULL
+ 8
14
CWE-121
Dépassement de pile
N/A
15
CWE-502
Désérialisation de données non fiables
+ 1
16
CWE-122
Dépassement de tas
N/A
17
CWE-863
Autorisation incorrecte
+ 1
18
CWE-20
Validation inadéquate d’entrée
– 6
19
CWE-284
Contrôle d’accès inadéquat
N/A
20
CWE-200
Exposition de données sensibles à un acteur non autorisé
– 3
21
CWE-306
Authentification manquante pour une fonction critique
+ 4
22
CWE-918
SSRF (Server-Side Request Forgery ; le serveur web ne vérifie pas suffisamment que la requête est envoyée à la destination attendue)
– 3
23
CWE-77
Injection de commande
– 10
24
CWE-639
Contournement d’autorisation via une clé contrôlée par l’utilisateur
+ 6
25
CWE-770
Allocation de ressources sans limites ou plafonnement
+ 1
L’an dernier, la méthodologie avait déjà évolué. Pour limiter les mappings abusifs, MITRE avait donné davantage de poids aux autorités de numérotation pour les réviser. Peu avaient toutefois répondu à la sollicitation, d’où une progression potentielle, voire une entrée, dans le Top 25, de CWE de haut niveau.
La « fin de vie » des mobiles, c’est souvent le début des ennuis : données oubliées, équipements perdus, audits stressants. Avec l’ITAD, retour logistique, wiping conforme et tri valeur/réemploi deviennent un process aussi carré que votre MDM. Résultat : sécurité jusqu’au dernier octet et parc plus circulaire. La mobilité est devenue essentielle dans l’entreprise […]
Selon la plateforme, il s’agit d’un projet « intime, brut, essentiel, qui explore la relation complexe entre un artiste et un plat souvent sous-estimé ». Filmé par son frère Clément Cotentin, le documentaire promet de suivre chaque étape de la dégustation, depuis le moment où Orelsan hésite à la manger froide ou chaude, au premier coup de fourchette, avant de finir par dévoiler au spectateur qu’il ne mange pas la croûte.
« On avait déjà fait un documentaire sur Orelsan qui écrit un album, un autre sur Orelsan et son film, on voulait aller plus loin », explique un producteur d’Amazon. « Là, on montre vraiment l’artiste face à lui-même… »
Bientôt des mugs Orel’quiche
Des images exclusives laissent entendre que la quiche aurait « surpris l’artiste par sa puissance aromatique ». Une scène particulièrement forte montrerait Orelsan lâchant un « pas mal » après sa première bouchée. Interrogé sur le projet, le chanteur Normand a déclaré : « Je ne savais pas que mon frangin filmait encore… J’étais juste en train de manger, et après réflexion on s’est dit pourquoi pas vendre le truc à Amazon»
Selon nos informations des goodies seront également vendus lors de la sortie du documentaire comme une figurine du chanteur en train de manger la quiche mais aussi des t-shirts quiche ou encore des mugs Orel’Quiche. A vos portes monnaies.
Crédits : Stéphane Cardinale-Corbis via GettyImages.
La capacité à aller aux toilettes sans contrainte paraît évidente. Pourtant, pour de nombreuses personnes, ce geste banal devient une source d’angoisse dès qu’il s’effectue hors du cadre familier du domicile. Ce trouble porte un nom médical : la parcoprésie. Souvent minimisée, cette difficulté à évacuer les selles en milieu public repose sur des mécanismes ... Lire plus
Colibri présente sa nouvelle organisation commerciale et régionale pour accompagner toujours mieux ses clients dans la conception, le déploiement et l’exploitation de leurs projets. Colibri propose une application de nouvelle génération à destination des sociétés qui souhaitent améliorer leurs processus de Supply Chain Management en toute agilité. À ce jour, Colibri réalise chaque année une […]
Pour éviter une crise sanitaire, la ministre de l’Agriculture, Annie Genevard, a confirmé au micro de France Info sa décision radicale : « Une cinquantaine de candidats de l’amour est dans le pré sera abattue dans les plus brefs délais. Il en va de la sécurité des Français ».
Cette décision a mis en colère les syndicats agricoles qui dénoncent “une catastrophe pour le monde agricole ! Ce n’est pas au gouvernement de nous abattre, c’est à nous de nous suicider, comme ça a toujours été le cas”.
Karine Le Marchand a pris la parole sur X pour confirmer l’information et rassurer les fans de l’émission : “Les derniers moments de ces agriculteurs seront bien évidemment filmés par les caméras d’M6, dans une version inédite du programme, renommée pour l’occasion “La mort est dans le pré”.
L’engouement massif pour les centres de données dédiés à l’intelligence artificielle pourrait freiner considérablement les travaux d’amélioration des routes, ponts et autres équipements collectifs aux États-Unis. Bloomberg révèle une tension croissante entre deux types de chantiers qui rivalisent désormais pour les mêmes ressources humaines dans un contexte de pénurie structurelle de main-d’œuvre. Alors que gouvernements ... Lire plus
Le constructeur automobile Rivian dévoile une stratégie ambitieuse qui dépasse largement la simple fabrication de véhicules électriques. Lors de son événement « Autonomy & AI Day » organisé à Palo Alto, l’entreprise a clairement affiché son intention de développer plusieurs sources de revenus complémentaires à son activité principale. Sans aller jusqu’aux démonstrations spectaculaires de Tesla ... Lire plus
La cybercriminalité ne dort jamais. Et il serait illusoire d’espérer une amélioration l’an prochain, d’autant que les attaques pilotées par l’IA continueront d’accentuer la pression. Dans ce contexte, Gigamon, leader de l’observabilité avancée, a identifié cinq grandes tendances pour 2026 que les experts IT et cybersécurité devraient surveiller de près. Tribune. 1. La prévention ne […]
L’année 2025 a été marquée par une pression constante sur les environnements industriels, avec une complexification croissante des menaces mondiales. Le Kaspersky Security Bulletin révèle que la proportion de systèmes de contrôle industriels (ICS) ciblés par des malwares est restée significative, autour de 21,9% au T1 2025, avant de baisser légèrement à 20% au T3 […]
68% des employés qui utilisent des outils comme ChatGPT ou d’autres IA génératives le font à l’insu de leurs responsables directs ou sans en informer leur DSI. Tout comme le shadow IT, le shadow IA consiste à utiliser des outils technologiques sans l’approbation de la DSI. En se passant des processus internes d’approbation et de […]
Connexion
