• La CVE-2025-50165 est une vulnérabilité qui affecte le mécanisme d’encodage et de compression des images JPG, sans effet sur leur décodage.
• ESET Research fournit une analyse technique détaillée de la faille, incluant une méthode de reproduction du crash à partir d’images JPG en 12 ou 16 bits, ainsi qu’une étude du correctif initial.
• Selon ESET, le risque d’exploitation à grande échelle de cette vulnérabilité demeure faible.

Les chercheurs d’ESET ont analysé la CVE202550165, une vulnérabilité critique affectant Windows et susceptible, en théorie, de permettre l’exécution de code à distance via l’ouverture d’un fichier JPG spécialement forgé. Un format d’image parmi les plus courants. L’analyse approfondie menée par ESET a permis d’identifier précisément le code en cause et de reproduire le crash. Néanmoins, les chercheurs estiment que le scénario d’exploitation réel est nettement plus complexe qu’il n’y paraît. La vulnérabilité a été initialement signalée par Zscaler ThreatLabz et corrigée par Microsoft dans sa mise à jour de sécurité d’août.

« WindowsCodecs.dll se retrouve en erreur lorsqu’une image JPG, encodée avec une précision de 12 ou 16 bits, est soumise au processus d’encodage. Bien que Microsoft ait classé cette vulnérabilité comme critique, notre analyse détaillée montre qu’une exploitation à grande échelle est très peu probable », explique Romain Dumont, chercheur chez ESET qui a étudié la faille. « Le simple fait d’ouvrir, et donc de décoder ou d’afficher, une image malveillante ne suffit pas à déclencher la vulnérabilité. En revanche, la fonction vulnérable jpeg_finish_compress peut être appelée lors de l’enregistrement de l’image ou lorsque certaines applications hôtes, comme Microsoft Photos, génèrent des vignettes », précise-t-il.

La CVE202550165 provient d’un défaut dans le processus d’encodage et de compression des images JPG, et non dans leur décodage. ESET Research propose à la fois une méthode interne pour reproduire le crash à partir d’une image JPG en 12 ou 16 bits, ainsi qu’une analyse du correctif initial publié par Microsoft. L’enquête révèle également que le composant vulnérable repose sur la bibliothèque open source libjpeg-turbo, dans laquelle des failles similaires avaient déjà été identifiées et corrigées en décembre 2024.

Bien que le format JPG soit ancien, omniprésent et largement utilisé dans les tests automatisés, certaines implémentations de codecs peuvent encore révéler des failles. Cette recherche menée par ESET autour de la CVE202550165 rappelle l’importance de maintenir à jour les bibliothèques tierces intégrées aux applications. Comme WindowsCodecs.dll est une bibliothèque partagée, une application hôte devient vulnérable dès lors qu’elle autorise l’encodage ou le réencodage d’images JPG, et ce uniquement si un attaquant dispose d’un contrôle suffisant sur l’environnement d’exécution (fuite d’adresses, etc.).

Pour l’analyse complète et approfondie de la CVE202550165, consultez l’article d’ESET Research,

« Revisiting CVE-2025-50165 : A critical fail in Windows Imaging Component » sur WeLiveSecurity.com.

À propos d’ESET

ESET® entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.   

L’article ESET Research analyse une faille critique qui s’appuie sur des images est apparu en premier sur WMC.

L’Union internationale des télécommunications (UIT) et la Banque mondiale, en collaboration avec un consortium inédit de trente-huit organisations internationales, ont publié la troisième édition du Guide to Developing a National Cybersecurity Strategy, reconnu comme référence mondiale pour l’élaboration, la mise en œuvre et la révision des stratégies nationales de cybersécurité.

Face à l’expansion rapide des technologies émergentes telles que l’intelligence artificielle, l’Internet des objets, la 5G et la 6G, ou encore l’informatique quantique, ainsi qu’à la montée des menaces cybernétiques transfrontalières, ce guide actualisé propose une approche holistique, adaptable et centrée sur la résilience.

Disponible, depuis hier vendredi, au téléchargement sur le site de l’UIT, cette nouvelle édition, fruit d’une collaboration unique entre organisations intergouvernementales, secteur privé, société civile et monde académique, met l’accent sur six axes majeurs : le financement durable intégré aux budgets nationaux et soutenu par des partenaires internationaux l’évaluation continue grâce à des indicateurs SMART ; une gouvernance renforcée avec une clarification des rôles et des mécanismes de coordination entre secteurs public et privé ; la protection des infrastructures critiques fondée sur les interdépendances et des registres nationaux de risques ; l’adaptabilité technologique via une veille stratégique sur les innovations disruptives ; et la coopération internationale, désormais considérée comme un pilier de la politique étrangère numérique des États.

« La cybersécurité n’est pas une fin en soi, mais un levier essentiel pour la prospérité économique, la sécurité nationale et la confiance dans la transformation numérique », peut-on lire dans le guide.

À ce jour, 136 pays disposent d’une stratégie nationale de cybersécurité, contre seulement 76 en 2018, illustrant l’urgence croissante d’agir dans ce domaine. Ce document vise à soutenir les pays qui amorcent ce processus tout en offrant aux nations plus avancées des outils pour moderniser leurs cadres face à un paysage cybernétique en constante évolution.

L’UIT est l’agence spécialisée des Nations unies pour les technologies de l’information et de la communication, tandis que la Banque mondiale fournit financements et expertises pour éradiquer l’extrême pauvreté et promouvoir une prospérité partagée.

L’article Cybersécurité : l’UIT et la Banque mondiale publient une nouvelle référence mondiale pour les stratégies nationales est apparu en premier sur WMC.

Formé entre Carthage, Montréal et Harvard, Amine Hafsi Jeddi a construit un parcours académique riche et international. Son orientation professionnelle s’est progressivement affirmée autour des enjeux de transformation organisationnelle et technologique. Pour lui, la dimension humaine dans la conduite du changement est plus qu’importante.

Entretien avec une jeune compétence pleine de promesses :

Comment sécuriser le processus des formalités administratives par le digital ? Est-ce suffisant ?

Le problème n’est pas uniquement technique. Un simple citoyen ne peut pas investir dans des antivirus sophistiqués. Ce qui compte, c’est le comportement. Si on sensibilise les citoyens, il y a un minimum à faire. Par exemple, la double authentification : pour une transaction, il faut un code reçu sur le téléphone et un autre par e-mail. Si ce n’est pas toi qui fais l’opération, tu reçois une alerte. Cela réduit les attaques. Mais ce n’est pas au citoyen de s’auto-sensibiliser. C’est à nous de transmettre cet apprentissage, à travers des canaux de communication efficaces et une stratégie claire.

Vous avez structuré la pratique de gestion du changement chez Idexia. Quelle leçon majeure retenez-vous de cette expérience ?

Quand j’ai commencé, il n’y avait pas de pratiques de gestion du changement. Idexia vendait des produits Microsoft, mais sans accompagnement. J’ai identifié un besoin clair : il ne suffit pas d’installer la technologie, il faut accompagner les utilisateurs, transformer leurs comportements et leurs façons de travailler.

Quel projet illustre le mieux la complexité d’un changement réussi ?

Je citerai un projet mené avec une municipalité canadienne. Il s’agissait de moderniser une plateforme gouvernementale pour les citoyens, mais elle concernait aussi plusieurs niveaux d’administration. La complexité venait de la multiplicité des parties prenantes. Nous avons travaillé en mode agile, expérimenté des solutions sur mesure, corrigé nos erreurs.

Résultat : une plateforme sécurisée où les citoyens obtiennent des documents en quelques secondes. La confiance et la transparence sont essentielles : les citoyens veulent des retombées positives, pas des complications.

Quelles différences majeures observez vous entre le Canada, la Tunisie et le Moyen-Orient dans leur approche de la transformation digitale ?

Dans les pays développés, les projets s’inscrivent dans des visions stratégiques claires, comme “Vision 2025” ou “Plan 2030”. En Tunisie, je constate un manque de stratégie globale, même si des initiatives existent. J’ai été impressionné récemment par la prise de rendez-vous en ligne pour la visite technique des véhicules : un projet simple, mais efficace.

Ce type de “quick wins” est essentiel. Ils instaurent la confiance et préparent les citoyens à des changements plus ambitieux. Mais il faut une vision stratégique, un plan d’action et une orientation claire pour les dix prochaines années.

Est-ce que la difficulté, dans l’industrie, vient de la pression que les employés croient subir ? Est-ce lié à la dimension comportementale que vous mettez en avant ?

Oui, la difficulté est de faire en sorte que les employés adhèrent à l’idée, s’intègrent dans une dynamique de croissance et comprennent que cela peut être bénéfique pour eux.

Il existe un paradoxe : des organisations très modernes mais un niveau social décalé, et c’est là que naît le chaos. Beaucoup de personnes ne sont pas habituées à certaines valeurs de travail.

Avec Silver Polymer, nous avons instauré une nouvelle culture organisationnelle, et cela a eu un impact positif. Les gens adhèrent lorsqu’on les accompagne, qu’on communique et qu’on leur montre le sens de ce qu’ils font.

Silver Polymer est une entreprise tunisienne. En quoi cette expérience est-elle particulière pour vous ?

C’est une fierté tunisienne pour moi et ma famille. Cela n’a rien à voir avec mon domaine d’expertise initial, mais c’est un atout : cela m’a permis de voir comment la théorie et les idées s’appliquent dans une réalité industrielle tunisienne.

Chaque organisation et chaque pays ont leurs croyances et leurs valeurs. Ici, il s’agit de changer le paradigme, et la transformation numérique est justement un changement de paradigme.

Sur le plan pratique, comment conduisez vous le changement ?

La conduite du changement ne se limite pas à la digitalisation. Elle existe dans plusieurs secteurs et industries. Je suis outillé avec mes Framework et mes certifications, notamment Harvard.

J’applique la méthodologie ADKAR : sensibilisation, désir, connaissances, aptitude et renforcement. On ne termine pas un projet en livrant simplement une technologie : on construit une maturité organisationnelle et on laisse les employés autonomes et confiants.

Vous insistez sur la psychologie positive s’agissant des audits et de l’évaluation de la qualité et de la justesse du management dans une entreprise. Pourquoi ?

Je n’aime pas le mot “audit”, trop négatif. Je préfère parler de diagnostic organisationnel avec une approche positive. L’être humain vit avec l’espoir.

En Tunisie, nous avons des compétences et des jeunes, mais il leur manque parfois cet espoir. Ce sont eux qui seront les ambassadeurs et les leaders du changement demain.

Quels avantages la transformation numérique peut-elle apporter à l’économie tunisienne ?

Elle peut séduire les investisseurs et faciliter la vie des employés comme des citoyens. Il ne s’agit pas de devenir un pays “digital 3.0” du jour au lendemain, mais de commencer par des initiatives prioritaires et des projets simples. Ces quick wins donnent confiance et préparent le terrain pour des changements plus ambitieux.

Est-ce que la numérisation en Tunisie repose sur une conviction profonde de changement, ou plutôt sur un argument de compétitivité internationale ?

Honnêtement, je pense que nous sommes encore très loin au niveau technologique. J’aime le mot “conviction” que vous avez utilisée : le changement doit être porté par des convictions. Sans elles, les politiques numériques risquent de rester des outils pour attirer des investisseurs, sans réelle transformation des pratiques et des habitudes.

Faut-il s’inspirer des autres pays pour avancer dans la transformation numérique ?

Non. Il ne faut pas simplement essayer de faire comme un autre pays. Il faut commencer par identifier nos besoins et comprendre pourquoi nous avons besoin de la technologie.

La conviction, c’est aller chercher la raison d’être. En Tunisie, il faut donner du sens et de la cohérence à la technologie.

Vous avez pris la parole à Las Vegas, Montréal, New York et Tunis. Quelles différences avez-vous observées dans les perceptions du leadership dans un contexte d’incertitudes à l’international ?

À Las Vegas, j’ai parlé de la posture du leader dans le changement. On ne peut pas mener un mouvement sans leadership positif. Les leaders donnent l’influence, l’image et l’exemple.

J’ai été impressionné par le niveau de leadership des étudiants en Tunisie : curieux, attentifs, capables de poser des questions pertinentes. Ils sont les ambassadeurs naturels du changement.

Vous avez reçu un Leadership Award à Las Vegas. Que représente cette reconnaissance pour vous ?

C’était une très belle reconnaissance de Marketing 2.0, un organisme mondial. J’avais mené de nombreux projets de changement, souvent confrontés à la résistance humaine.

Ce prix était ma première reconnaissance professionnelle, et un honneur car je représentais la Tunisie. Cela montre que les jeunes tunisiens peuvent réussir et être reconnus à l’international.

Comment adaptez vous les modèles internationaux de gestion du changement, comme ADKAR ou Prosci, aux réalités locales ?

Chaque organisation a sa propre culture et ses besoins. La gestion du changement consiste à réduire le décalage entre l’état actuel et l’état souhaité. J’identifie le problème, je fais un diagnostic organisationnel et j’évalue la capacité d’absorption du changement.

En Tunisie, il y a beaucoup de résistance, mais ce n’est pas la faute des employés : c’est un problème organisationnel.

Comment surmonter cette résistance au changement ?

Le changement fait peur car il implique de quitter une situation contrôlée pour une autre incertaine. L’approche doit être sécurisante, pas menaçante. Il faut montrer aux employés qu’ils garderont le contrôle et qu’ils gagneront en performance.

Le changement organisationnel est collectif, mais il ne peut réussir sans changement individuel. C’est l’art de transformer l’être humain le poussant à aller de sa zone de confort à sa zone de performance. Les résultats sont tangibles et intangibles : comportements, attitudes et ouverture au changement.

Entretien conduit par Amel Belhadj Ali

L’article LA TUNISIE QUI GAGNE | Amine Hafsi Jeddi : Leadership et changement organisationnel, retours d’expérience est apparu en premier sur WMC.