Vulnérabilités critiques : plus de 37 000 serveurs ESXi VMware en danger - Actus du 06/03/2025
Découvrez comment Microsoft 365 pousse le stockage sur OneDrive, l'urgence de sécuriser 37 000 serveurs ESXi VMware vulnérables, et transformez vos MSP/MSSP avec un cours VCISO gratuit pour dominer la cybersécurité. Ne manquez pas notre analyse complète!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les applications Microsoft 365 inciteront les utilisateurs à sauvegarder des fichiers dans OneDrive
À partir de mi-mars 2025, Microsoft incitera les utilisateurs de ses applications Microsoft 365 pour Windows à sauvegarder leurs fichiers sur OneDrive. Ces notifications apparaîtront dans Word, Excel et PowerPoint, encourageant l'inscription au service Known Folder Move (KFM) de OneDrive. Selon un message du Microsoft 365 Message Center, cette fonctionnalité sera d'abord disponible en version publique jusqu'au début d'avril 2025, avant un déploiement mondial prévu pour début mai 2025. Microsoft précise que les utilisateurs non inscrits au KFM recevront un message les incitant à le faire, leur permettant de sélectionner les dossiers à sauvegarder. Les alertes ne seront pas affichées pour les utilisateurs dont les organisations ont bloqué KFM. Le déploiement se fera automatiquement, et les administrateurs sont invités à informer les utilisateurs de ce changement. Ceux qui souhaitent éviter ces notifications peuvent bloquer KFM. Cette initiative s'inscrit dans un effort plus large pour augmenter le nombre d'utilisateurs de OneDrive. Par ailleurs, Microsoft teste également des versions de ses applications Office avec publicité, mais celles-ci offrent des fonctionnalités limitées, notamment la sauvegarde uniquement sur OneDrive.
Sources :
Plus de 37 000 serveurs ESXi VMware vulnérables aux attaques en cours
Plus de 37 000 serveurs VMware ESXi exposés sur Internet sont vulnérables à la faille critique CVE-2025-22224, qui est actuellement exploitée. Ce chiffre a été rapporté par la plateforme de surveillance des menaces, The Shadowserver Foundation, qui a noté qu'environ 41 500 instances étaient vulnérables, mais que 4 500 avaient été corrigées récemment. Cette vulnérabilité permet à des attaquants locaux disposant de privilèges administratifs sur une machine virtuelle d'échapper à l'environnement sécurisé et d'exécuter du code sur l'hôte. Broadcom a averti ses clients de cette faille ainsi que de deux autres, toutes trois étant exploitées comme des vulnérabilités zero-day. Découvertes par le Microsoft Threat Intelligence Center, ces failles n'ont pas encore révélé d'informations sur l'origine des attaques ni sur les cibles visées. La CISA a donné jusqu'au 25 mars 2025 aux agences fédérales et aux organisations d'État pour appliquer les mises à jour nécessaires. Les instances vulnérables se trouvent principalement en Chine, en France, aux États-Unis, en Allemagne, en Iran et au Brésil. Les utilisateurs sont encouragés à consulter le bulletin de Broadcom pour les versions corrigées et à suivre les recommandations fournies.
Sources :
Cours VCISO gratuit: transformer les MSP et les MSSP en puissances de cybersécurité
Le cours gratuit de vCISO vise à transformer les fournisseurs de services gérés (MSPs) et les fournisseurs de services de sécurité gérés (MSSPs) en puissances de cybersécurité. Face à la montée des cybermenaces, les petites et moyennes entreprises (PME) sont de plus en plus ciblées, mais manquent souvent des ressources pour un directeur de la sécurité de l'information (CISO) à temps plein. Le modèle de vCISO émerge comme une solution économique, offrant aux PME un leadership stratégique en matière de sécurité. C'est dans ce contexte que l'Académie vCISO a été créée, une plateforme d'apprentissage professionnelle gratuite destinée à former les fournisseurs de services sur les compétences nécessaires pour développer leurs offres de vCISO. L'académie aborde les défis rencontrés par les MSPs et MSSPs, tels que le manque d'expertise interne et les contraintes de ressources. Elle propose des conseils d'experts, des exercices interactifs et des exemples concrets pour renforcer les compétences en vCISO. En intégrant ces services, les MSPs et MSSPs peuvent non seulement répondre à la demande croissante, mais aussi créer de nouvelles sources de revenus et améliorer les relations avec leurs clients. L'Académie vCISO est un atout essentiel pour naviguer dans le paysage concurrentiel de la cybersécurité.
Sources :
Les extensions de chrome malveillant peuvent usurper les gestionnaires de mots de passe dans une nouvelle attaque
Un nouvel article de Bill Toulas, publié le 6 mars 2025, met en lumière une attaque "polymorphe" qui permet à des extensions malveillantes de Chrome de se déguiser en gestionnaires de mots de passe, portefeuilles de cryptomonnaies et applications bancaires pour voler des informations sensibles. Développée par SquareX Labs, cette méthode exploite la dernière version de Chrome et a été signalée à Google. L'attaque commence par la soumission d'une extension malveillante sur le Chrome Web Store, qui trompe les utilisateurs en leur promettant des fonctionnalités attrayantes. Une fois installée, l'extension utilise l'API 'chrome.management' pour obtenir la liste des autres extensions installées. Si elle n'a pas cette permission, elle peut injecter des ressources sur les pages visitées pour détecter les extensions cibles. En cas de détection, l'extension malveillante se transforme pour imiter une extension légitime, comme 1Password, en désactivant la vraie et en affichant une fausse fenêtre de connexion. SquareX recommande à Google de mettre en place des mesures de défense contre cette attaque, mais aucune protection n'est actuellement disponible. Les chercheurs soulignent également que l'API 'chrome.management' est mal classée par Google.
Sources :
Reliminaires élastiques Correction urgente pour la vulnérabilité critique du kibana permettant l'exécution du code distant
Elastic a déployé des mises à jour de sécurité pour corriger une vulnérabilité critique affectant le tableau de bord de visualisation de données Kibana pour Elasticsearch, susceptible de permettre l'exécution de code arbitraire. Cette vulnérabilité, identifiée sous le nom CVE-2025-25012, a un score CVSS de 9,9 sur 10 et est qualifiée de pollution de prototype. Selon l'avis de l'entreprise, cette faille permet l'exécution de code arbitraire via un téléchargement de fichier malveillant et des requêtes HTTP spécifiquement conçues. La vulnérabilité touche toutes les versions de Kibana entre 8.15.0 et 8.17.3, et a été corrigée dans la version 8.17.3. Toutefois, dans les versions de 8.15.0 à 8.17.1, elle n'est exploitable que par des utilisateurs ayant le rôle de Visualiseur. Pour les versions 8.17.1 et 8.17.2, l'exploitation nécessite des privilèges spécifiques. Les utilisateurs sont conseillés d'appliquer les correctifs récents pour se protéger contre d'éventuelles menaces. En cas d'impossibilité de mise à jour immédiate, il est recommandé de désactiver la fonctionnalité Integration Assistant dans la configuration de Kibana.
Sources :
EncrypThub déploie des ransomwares et du voleur via des applications trojanisées, des services PPI et un phishing
EncryptHub, un acteur de menace motivé par des gains financiers, a été observé orchestrant des campagnes de phishing sophistiquées pour déployer des logiciels malveillants de vol d'informations et des ransomwares, tout en développant un nouveau produit appelé EncryptRAT. Selon un rapport d'Outpost24 KrakenLabs, EncryptHub cible les utilisateurs d'applications populaires en distribuant des versions trojanisées et utilise des services tiers de distribution Pay-Per-Install (PPI). Actif depuis fin juin 2024, ce groupe de hackers, également suivi par PRODAFT sous le nom de LARVA-208, emploie diverses méthodes, y compris le smishing et le vishing, pour inciter les victimes à installer des logiciels de gestion à distance. Les attaques impliquent souvent la création de sites de phishing pour obtenir des identifiants VPN, suivis d'appels ou de messages SMS trompeurs. EncryptHub utilise des applications déguisées en logiciels légitimes pour accéder aux systèmes, déclenchant des processus multi-étapes pour déployer des malwares comme Fickle et StealC. Depuis janvier 2025, il a intégré LabInstalls, un service PPI, pour faciliter l'installation en masse de malwares. EncryptHub continue d'évoluer, soulignant la nécessité d'une surveillance continue et de stratégies de sécurité multicouches pour contrer ces menaces.
Sources :
MEDUSA Ransomware frappe plus de 40 victimes en 2025, exige une rançon de 100 000 $ à 15 millions de dollars
Depuis son apparition en janvier 2023, le ransomware Medusa a revendiqué près de 400 victimes, avec une augmentation de 42 % des attaques entre 2023 et 2024. Selon un rapport de l'équipe de recherche sur les menaces de Symantec, le groupe, suivi sous le nom de Spearwing, a réalisé plus de 40 attaques au cours des deux premiers mois de 2025. Comme la plupart des opérateurs de ransomware, Spearwing utilise des attaques à double extorsion, volant les données des victimes avant de crypter leurs réseaux pour les inciter à payer une rançon. En cas de refus, le groupe menace de publier les données volées. Alors que d'autres acteurs du ransomware, tels que RansomHub et Play, ont profité des perturbations causées par LockBit et BlackCat, l'augmentation des infections par Medusa suggère que Spearwing pourrait combler le vide laissé par ces extorqueurs. Medusa cible principalement des organisations de santé, des ONG, ainsi que des entités financières et gouvernementales, exigeant des rançons allant de 100 000 à 15 millions de dollars. Les attaques exploitent des vulnérabilités connues, notamment dans Microsoft Exchange Server, et utilisent des logiciels de gestion à distance pour maintenir un accès persistant.
Sources :
Akamai dévoile son Guide Defenders 2025 pour accompagner les équipes de cybersécurité
Akamai a publié son Guide Defender 2025, intitulé « Renforcez votre défense pour l’avenir », visant à soutenir les équipes de cybersécurité. Ce rapport, qui fait partie de l'état de l'Internet (SOTI), présente des recherches pratiques sur la notation des risques, les abus de VPN et les techniques avancées de logiciels malveillants. Il propose également un cadre de « Security-in-depth », permettant aux responsables de la sécurité (RSSI) d'adopter des mesures proactives pour renforcer leurs stratégies de cybersécurité. Boaz Gelbord, Senior Vice President chez Akamai, souligne l'importance d'intégrer la recherche dans les stratégies de cybersécurité pour optimiser les processus et réduire les coûts. Le guide, conçu pour être actionnable, offre des analyses provenant d'experts en cybersécurité, consolidant les meilleures pratiques pour anticiper les menaces émergentes. Il aborde des sujets tels que les vulnérabilités des VPN et la nécessité de défenses en plusieurs couches contre les attaques XSS. En somme, le Guide Defender 2025 est une ressource cruciale pour les entreprises souhaitant naviguer efficacement dans un environnement numérique complexe et en constante évolution. Les entreprises peuvent télécharger le rapport complet pour accéder à des stratégies approfondies.
Sources :
Les app personnelles et l’IA générative représentent un risque important pour la protection des données réglementées dans le secteur des services financiers
Le rapport du Threat Labs de Netskope met en lumière les risques croissants liés à l'utilisation d'applications personnelles et d'IA générative dans le secteur des services financiers, notamment en ce qui concerne la protection des données réglementées comme celles couvertes par le RGPD. Trois menaces majeures sont identifiées : l'usage d'applications personnelles, l'IA générative et les attaques d'ingénierie sociale. Les plateformes comme Google Drive et OneDrive sont souvent utilisées pour transférer des données sensibles vers des applications non sécurisées. ChatGPT demeure l'outil d'IA le plus utilisé, bien que d'autres comme Copilot et Gemini gagnent en popularité. Environ 1,5 % des utilisateurs dans le secteur financier sont confrontés chaque mois à des tentatives de phishing. Pour contrer ces menaces, Netskope recommande aux entreprises de renforcer leur sécurité en inspectant le trafic web, en bloquant les applications non essentielles, en interdisant les téléchargements risqués et en fournissant un accompagnement en temps réel aux utilisateurs. L'adoption de technologies avancées, comme l'analyse comportementale et la Remote Browser Isolation, est également conseillée pour détecter et prévenir les menaces complexes. Ces recommandations visent à protéger les informations sensibles des entreprises financières.
Sources :
Kaspersky et Smart Africa scellent un partenariat stratégique pour renforcer la cybersécurité en Afrique
Kaspersky a signé un protocole d’accord de trois ans avec Smart Africa pour renforcer la cybersécurité en Afrique. Cet accord vise à développer des initiatives collaboratives, notamment à travers des programmes de formation de la Kaspersky Academy, qui promeut l’éducation en cybersécurité. Une priorité est l’autonomisation des femmes dans les domaines de la cybersécurité, des STEM et des TIC, afin de réduire les inégalités de genre. Le partenariat inclut également l’harmonisation des politiques de cybersécurité en mutualisant les ressources des deux organisations pour établir des cadres réglementaires cohérents. Cela implique une collaboration avec les autorités de cybersécurité, les forces de l’ordre et d’autres parties prenantes pour garantir une approche unifiée. De plus, l’accord prévoit le renforcement des infrastructures technologiques, comme la création de centres d’opérations de sécurité (SOC) et des équipes de réponse aux incidents. Lacina Koné, Directeur général de Smart Africa, a souligné l’importance de cette coopération pour sécuriser l’avenir numérique du continent. Eugene Kaspersky a ajouté que ce partenariat vise à créer un cyberespace plus sûr, permettant aux utilisateurs d’évoluer en toute confiance. Cette initiative s’inscrit dans le cadre du Réseau Africain des Autorités de Cybersécurité (ANCA).
Sources :
Déjouer les cyber-menaces avec des graphiques d'attaque
Les organisations ne peuvent plus se fier à des évaluations périodiques ou à des listes de vulnérabilités statiques pour assurer leur sécurité. En cartographiant les chemins d'attaque potentiels, elles adoptent une approche stratégique pour identifier et atténuer les risques. Contrairement aux modèles de sécurité traditionnels qui se concentrent uniquement sur la gravité des vulnérabilités, les graphes d'attaque prennent en compte l'exploitabilité et l'impact commercial. Cela permet aux équipes de sécurité de choisir les meilleures méthodes pour gérer les risques. Bien que ces graphes soient relativement faciles à mettre en œuvre et offrent des perspectives précieuses, ils nécessitent des requêtes manuelles pour analyser les risques, ce qui demande une connaissance préalable des menaces. En intégrant des outils de sécurité existants, les graphes d'attaque modélisent le comportement des attaquants et permettent une surveillance continue. Ils aident à identifier les points critiques à corriger pour réduire significativement les risques. En intégrant l'intelligence sur les menaces, les organisations peuvent anticiper les attaques plutôt que de réagir après coup. Cette transition vers une gestion proactive des risques rend les opérations de sécurité plus efficaces, permettant ainsi de combler les lacunes critiques et de renforcer les défenses.
Sources :
Plus de 1 000 sites WordPress infectés par des bornes JavaScript permettant un accès à l'attaquant persistant
Plus de 1 000 sites WordPress ont été infectés par un code JavaScript malveillant injectant quatre portes dérobées. Selon Himanshu Anand, chercheur chez c/side, cette approche permet aux attaquants d'avoir plusieurs points d'accès en cas de détection. Le code malveillant provient du domaine cdn.csyndication[.]com, avec 908 sites référencés. Les fonctions des portes dérobées incluent l'installation d'un faux plugin "Ultra SEO Processor", l'injection de JavaScript malveillant dans wp-config.php, l'ajout d'une clé SSH contrôlée par l'attaquant pour un accès à distance persistant, et l'exécution de commandes à distance avec un chargement supplémentaire depuis gsocket[.]io. Pour se protéger, il est conseillé de supprimer les clés SSH non autorisées, de changer les identifiants administratifs WordPress et de surveiller les journaux système. Parallèlement, une autre campagne malveillante a compromis plus de 35 000 sites, redirigeant les visiteurs vers des plateformes de jeux d'argent en chinois. De plus, un acteur malveillant nommé ScreamedJungle injecte un code JavaScript dans des sites Magento pour collecter des empreintes numériques des utilisateurs, exploitant des vulnérabilités connues. Ces techniques sont utilisées pour suivre les activités des utilisateurs et mener des activités frauduleuses.
Sources :
Les États-Unis facturent 12 ressortissants chinois dans les opérations de piratage soutenues par l'État
Le Département de la Justice des États-Unis a porté des accusations contre 12 ressortissants chinois, dont deux officiers du ministère de la Sécurité publique de la République populaire de Chine (RPC) et huit employés de la société Anxun Information Technology Co. Ltd. (i-Soon). Ces individus sont accusés d'avoir participé à un vaste plan de vol de données et de répression de la liberté d'expression à l'échelle mondiale. Selon le DoJ, ces acteurs malveillants ont infiltré des entreprises et volé des données sous la direction des ministères chinois, tout en dissimulant l'implication gouvernementale. Les attaques ont ciblé des organisations religieuses aux États-Unis, des dissidents, des agences gouvernementales et des médias. Le FBI a lié les activités d'i-Soon à des groupes de cybercriminalité connus, tandis que le DoJ a annoncé des récompenses allant jusqu'à 10 millions de dollars pour des informations sur des cyberactivités malveillantes. i-Soon aurait également formé des employés du MPS à des techniques de piratage et vendu des outils de hacking, y compris des logiciels capables de contourner l'authentification à deux facteurs. Ces accusations révèlent les efforts continus de la RPC pour espionner et réduire au silence ceux qu'elle considère comme des menaces.
Sources :
Fuite de données à La Poste : l’entreprise alerte les clients impactés
Fin février, une fuite de données touchant près de 50 000 utilisateurs de La Poste a été révélée par ZATAZ, qui a signalé la vente de ces informations sur un forum illégal. Un pirate, se faisant appeler h4tr3d w0rld, a affirmé avoir extrait des données personnelles telles que noms, prénoms, adresses électroniques et numéros de téléphone. La Poste a réagi cinq jours après cette alerte en informant les clients concernés par courriel, précisant que les données compromises n'incluaient ni informations bancaires ni mots de passe. L'entreprise a également mis en maintenance la page « Élection du Timbre », visée par l'attaque. En parallèle, La Poste a notifié la CNIL et déposé une plainte pour enquêter sur l'incident. Elle met en garde ses clients contre un risque accru de phishing, les incitant à rester vigilants face à d'éventuels messages frauduleux. La Poste rappelle que ses conseillers ne demanderont jamais d'informations sensibles par téléphone. Pour se protéger, les utilisateurs sont encouragés à suivre des conseils de cybersécurité et à s'inscrire à des alertes sur les menaces potentielles.
Sources :
L'outil open-source «Rayhunter» aide les utilisateurs à détecter les attaques Stingray
L'Electronic Frontier Foundation (EFF) a lancé un outil open-source gratuit nommé Rayhunter, conçu pour détecter les simulateurs de stations cellulaires (CSS), communément appelés Stingrays. Ces dispositifs imitent des tours cellulaires légitimes pour tromper les téléphones, capturant des données sensibles et géolocalisant les utilisateurs. Rayhunter permet aux utilisateurs de détecter ces attaques, contribuant ainsi à une meilleure compréhension de leur déploiement. L'outil fonctionne en interceptant et en analysant le trafic de contrôle entre un point d'accès mobile et la tour cellulaire, sans surveiller l'activité des utilisateurs. Il identifie des événements suspects, comme une tentative de dégradation de la connexion à 2G, vulnérable aux attaques. Contrairement à d'autres méthodes de détection nécessitant des appareils coûteux, Rayhunter fonctionne sur un routeur portable Orbic RC400L à 20 dollars, facilement accessible. Lorsqu'une menace est détectée, l'écran du dispositif passe au rouge, alertant l'utilisateur. Les journaux de trafic peuvent être téléchargés pour des analyses plus approfondies. Bien que l'utilisation de Rayhunter soit probablement légale aux États-Unis, il est conseillé de vérifier la législation locale. L'EFF met en garde que l'outil n'a pas été testé par BleepingComputer, et son utilisation se fait à vos risques et périls.
Sources :
Les pirates de typhon de soie ciblent désormais les chaînes d'approvisionnement pour vioder les réseaux
Microsoft a averti que le groupe de cyber-espionnage chinois 'Silk Typhoon' a modifié ses tactiques, ciblant désormais les outils de gestion à distance et les services cloud dans des attaques de chaîne d'approvisionnement. Ce changement de stratégie leur permet d'accéder aux réseaux des clients en exploitant des applications non corrigées pour élever leur accès dans les organisations ciblées. Silk Typhoon, connu pour avoir piraté l'Office of Foreign Assets Control (OFAC) des États-Unis, utilise des clés API volées et des identifiants compromis pour infiltrer les réseaux des clients et mener des activités d'espionnage. Les attaquants scannent des dépôts GitHub et d'autres ressources publiques pour trouver des clés d'authentification divulguées, et utilisent des attaques par pulvérisation de mots de passe pour accéder à des identifiants valides. Contrairement à leurs méthodes précédentes, qui reposaient sur des vulnérabilités des dispositifs en façade, Silk Typhoon exploite désormais des applications cloud pour voler des données tout en effaçant les journaux d'activité. Microsoft a observé que le groupe continue d'exploiter des vulnérabilités, y compris des failles critiques, et recommande aux défenseurs de mettre à jour leurs outils de sécurité pour détecter ces nouvelles tactiques.
Sources :
Les États-Unis facturent des pirates chinois liés à des violations d'infrastructures critiques
Le 5 mars 2025, le ministère de la Justice des États-Unis a inculpé des agents de sécurité chinois, ainsi que des hackers liés au groupe APT27 et à i-Soon, pour des cyberattaques ayant ciblé des victimes à l'échelle mondiale depuis 2011. Les victimes incluent des agences gouvernementales américaines, des ministères étrangers en Asie, des dissidents basés aux États-Unis et une organisation religieuse importante. Selon le DOJ, ces hackers ont agi à la fois sous la direction du ministère de la Sécurité publique (MPS) et de manière indépendante, vendant des données volées à divers bureaux du MPS à travers la Chine. Deux officiers du MPS et huit employés d'i-Soon ont été inculpés, et le département d'État a offert jusqu'à 10 millions de dollars pour des informations sur les suspects. Les hackers Yin Kecheng et Zhou Shuai, également inculpés, ont exploité des vulnérabilités dans des réseaux de victimes, installant des malwares pour accéder à des données sensibles. Ces inculpations s'inscrivent dans une initiative plus large visant à lutter contre les cyberattaques orchestrées par des hackers chinois, après des sanctions précédentes contre d'autres entités liées à des cyberattaques ciblant les infrastructures critiques américaines.
Sources :
Loi narcotrafic : pourquoi les idées de Bruno Retailleau sur le chiffrement sont dangereuses
Le ministre a défendu une proposition de surveillance des communications, affirmant qu'elle ne constitue pas une "backdoor". Il a décrit un système de chiffrement de bout en bout où les messages entre deux individus seraient dupliqués et envoyés à un tiers, supposément les services de renseignement, sans en informer les participants. Cette analogie a suscité des critiques, notamment de la part d'experts en sécurité, qui ont souligné que cette approche, bien que techniquement différente d'une backdoor, représente une vulnérabilité majeure. Des parlementaires, même au sein du camp présidentiel, ont exprimé leur désaccord, arguant que détourner les communications vers un tiers constitue une atteinte à la vie privée. Ce mécanisme, surnommé "proposition du fantôme", nécessiterait la coopération des plateformes de messagerie, qui pourraient être contraintes par des sanctions. Des entreprises comme WhatsApp et Signal ont déjà affirmé leur engagement à maintenir le chiffrement de bout en bout, même si cela implique de quitter des marchés hostiles. L'affaiblissement du chiffrement est perçu comme une menace sérieuse pour les valeurs de confidentialité et de sécurité des utilisateurs.
Sources :
Badbox Malware perturbé sur des appareils Android infectés 500k
Le malware BadBox, une botnet ciblant principalement des appareils Android à bas coût, a été perturbé, affectant environ 500 000 dispositifs infectés. Ce logiciel malveillant transforme les appareils en proxys résidentiels, génère de fausses impressions publicitaires et redirige les utilisateurs vers des domaines de faible qualité. Les infections proviennent souvent d'applications malveillantes ou de firmware préinstallé. Malgré une précédente intervention des autorités allemandes, le botnet a continué de croître, atteignant plus d'un million d'infections dans 222 pays, principalement au Brésil, aux États-Unis, au Mexique et en Argentine. La société HUMAN a identifié cette résilience et a renommé le botnet en 'BadBox 2.0'. En collaboration avec la Shadowserver Foundation, HUMAN a réussi à sinkholer plusieurs domaines associés, empêchant ainsi la communication des appareils infectés avec les serveurs de commande et de contrôle. Google a retiré 24 applications malveillantes de son Play Store et a mis en place des mesures de protection, mais ne peut pas désinfecter les appareils non certifiés. Les consommateurs restent exposés tant qu'ils achètent des appareils Android sans support officiel de Google Play Services, souvent préchargés de malware.
