Une vulnérabilité critique a mis en lumière les failles de sécurité des applications basées sur Electron. Exploitée via un fichier interne méconnu, elle permettait à un attaquant de transformer un logiciel de confiance en véritable cheval de Troie invisible.
- Une faille critique dans Electron a rendu vulnérables des applications comme Signal et Slack.
- Nommée CVE-2025-55305, cette vulnérabilité exploitait un fichier interne pour transformer des logiciels de confiance en menaces invisibles.
- Des mises à jour de sécurité ont été déployées rapidement, mais il est crucial de rester vigilant.
Ce cadre de développement open source est particulièrement populaire auprès des éditeurs, car il permet de créer des applications de bureau à partir de technologies Web classiques. Mais il n'est malheureusement pas infaillible, et des applications ultra populaires comme Signal, Slack et 1Password en ont potentiellement payé les frais.
Du code malveillant qui passe inaperçu
Récemment, des chercheurs en cybersécurité chez Trail of Bits ont mis au jour une faille de sécurité critique affectant Electron. Répertoriée sous le nom de CVE-2025-55305, elle permet à un attaquant de modifier un fichier interne utilisé par Electron, le « V8 heap snapshot », pour y insérer du code malveillant.
De cette manière, une application pourtant signée et réputée sûre peut être transformée en vecteur d'attaque sans déclencher la moindre alerte de sécurité. De quoi ouvrir la voie à des scénarios préoccupant : un attaquant peut, par exemple, installer un keylogger pour enregistrer toutes les frappes clavier, siphonner des données sensibles stockées sur la machine ou encore lancer discrètement des processus non autorisés.
Que faire ?
Concrètement, les versions desktop des applications précédemment citées ont potentiellement été touchées. Mais fort heureusement, les équipes d'Electron ont publié plusieurs correctifs tandis que les applications concernées se sont empressées de déployer des mises à jour. 1Password a par exemple fermé la brèche avec sa version 8.11.8-40, et Slack comme Signal ont elles aussi diffusé des mises à jour de sécurité.
Cette affaire illustre surtout une limite inquiétante ; même des applications supposément fiables peuvent contenir des angles morts dans leurs mécanismes de protection. Dans ce contexte, d'autres vulnérabilités du même type seront très probablement découvertes à l'avenir.
Si vous utilisez ces applications, mettez-les à jour sans attendre. Il est également crucial d'éviter les téléchargements provenant de sources non officielles, de rester attentif à tout comportement anormal du système, que ce soit des ralentissements, des pics réseau ou des fenêtres suspectes et, en entreprise, de limiter les droits d'écriture sur les dossiers d'installation tout en surveillant régulièrement l'intégrité des fichiers.
Sources : Cyber Press, Cyber Insider
