Points forts de la rédaction
Un peu plus tard que d'habitude en raison des vacances d'hiver, voici un récapitulatif de ce qui s'est passé avec WithSecure Elements au cours du mois de décembre 2025.
Extended Detection and Response
Endpoint Protection
AvecSecure Agent pour Windows and Server
Une nouvelle version des clients endpoint est disponible. Cette version rend disponible la version 25.5 de Elements Agent (version interne 25.5.416).
Les terminaux sont mis à niveau automatiquement, sans redémarrage.
Cette version introduit de nouvelles fonctionnalités (avec la mise à jour de l'éditeur de profil).
Moteur de mise à jour du logiciel
Le moteur de mise à jour des logiciels est désormais téléchargé directement à partir du serveur Update au lieu d'être intégré au programme d'installation MSI, ce qui permet une distribution plus efficace des mises à jour.
Agent Diagnostics de connectivité améliorés
Le site agent fournit désormais au portail des informations plus complètes sur l'état de la connectivité, ce qui permet d'améliorer le dépannage et le diagnostic des problèmes de connectivité des capteurs.
Protection de la navigation - Blocage des domaines nouvellement enregistrés
La protection de la navigation bloque désormais les domaines nouvellement enregistrés lorsque cette fonction est activée à partir du portail, ce qui permet d'améliorer la protection contre les menaces potentielles provenant de domaines récemment créés.
Gestion améliorée des paramètres du proxy
À partir de cette version, tous les paramètres de proxy fournis lors de l'installation seront automatiquement remplacés par la valeur de proxy du profil assigné après la première assignation de profil réussie, ce qui permet un meilleur contrôle administratif.
AvecSecure Agent pour Mac
WithSecure Elements Agent macOS 25.5 a été publié.
Cette version apporte
- Mise à jour de la version 25.2.188 du capteur
- Le capteur est désormais informé des événements "bloqués" par le pare-feu
- Mise à jour de macOS 26 liquid glass pour Elements Interface utilisateur Agent
- Construit avec les SDK de Xcode 26
- Arrêt de la prise en charge de macOS 13
Elements Agent macOS 25.5 prend en charge les versions suivantes de macOS :
- macOS 26 Tahoe
- macOS 15 Sequoia
- macOS 14 Sonoma
AvecSecure Agent pour Mobile Protection pour IOS
Une mise à jour de l'application WithSecure Elements Mobile Protection pour iOS (25.12.12002) a été publiée.
Nouvelles fonctionnalités :
- Ajout d'une fonction d'identification et de blocage des domaines nouvellement enregistrés susceptibles d'héberger des menaces émergentes.
- L'application peut désormais recevoir et appliquer des paramètres de proxy à distance depuis le portail WithSecure Elements Endpoint Protection , améliorant ainsi la gestion centralisée.
- Ajout d'une fonctionnalité de recherche sécurisée à l'extension Safari afin d'assurer la parité avec l'extension Chrome existante.
- Amélioration de la gestion des demandes d'autorisation.
- Amélioration de la stabilité de l'application et de l'interface utilisateur
AvecSecure Agent pour Mobile Protection pour Android
Une mise à jour de l'application WithSecure Elements Mobile Protection pour Android (25.5.0023466) a été publiée.
Elle comprend les nouvelles fonctionnalités et améliorations suivantes :
- Ajout d'une fonction d'identification et de blocage des domaines nouvellement enregistrés susceptibles d'héberger des menaces émergentes.
- L'application et le portail Elements Endpoint Protection de WithSecure prennent désormais en charge le paramétrage des serveurs proxy distants.
- L'application affiche désormais les résultats de l'analyse lorsque les applications sont mises à jour.
- La prise en charge d'Android 10 jusqu'à Android 12.1 a été abandonnée
- Amélioration de la gestion des demandes d'autorisation
- Amélioration de la stabilité de l'application
AvecSecure Agent pour Linux
Elements Agent pour Linux et Linux Security 64 sont désormais disponibles pour les architectures AMD64 et ARM64 sur les dernières versions de distribution :
- Red Hat Enterprise Linux (RHEL) 10
- Rocky Linux 10
- AlmaLinux 10
- Oracle Linux 10
- Debian 13
Note: L'opération à distance de vidage complet de la mémoire du système n'est pas encore prise en charge pour les distributions RHEL 10, Rocky Linux 10, AlmaLinux 10 et Oracle Linux 10.
Exposure Management
Exposure Management pour les entreprises
La nouvelle version comprend des mises à jour de la visualisation du chemin d'attaque et de la page Environnement→Réseau :
Visualisation du chemin d'attaque
- La visualisation AttackPath a été mise à jour pour montrer les connexions vérifiées entre les nœuds dans les diagrammes des chemins d'attaque.
- Une option permettant d'afficher les connexions réseau vérifiées a été ajoutée à la vue principale de visualisation du chemin d'attaque. Cette option est activée par défaut et peut être modifiée dans le panneau de contrôle.
- Les connexions sont représentées en vert lorsque des résultats vérifiés sont disponibles. Les connexions sont représentées par des lignes en pointillés lorsque les vérifications ne sont pas disponibles. Les vérifications ne seront pas possibles si le nœud source n'a pas installé le nœud EDR agent . L'aperçu des étapes comprend désormais des champs qui indiquent les ports accessibles à partir du nœud source.
- Le panneau de légende comprend un nouveau texte explicatif et une clé pour les nouveaux styles de ligne.
- Le simulateur de trajectoire d'attaque écarte les résultats datant de plus de 30 jours.
Environnement → Page réseau
- Liste des actifs externes de l'entreprise dans la page d'accueil par défaut de la page Environnement → Réseau
- Le design de la page a été actualisé tout en conservant l'ensemble des fonctionnalités.
- L'onglet Internet est déplacé en tant qu'onglet secondaire offrant la possibilité de rechercher les actifs visibles publiquement.
- Le design de la page a été actualisé tout en conservant l'ensemble des fonctionnalités.
- Les résultats de la recherche contiennent désormais un indicateur (coche) si des biens visibles publiquement ont déjà été ajoutés au groupe d'analyse.
Portail WithSecure Vulnerability Management
- Ajout d'une notification contextuelle pour informer les utilisateurs de la suppression prochaine de la page Devices → Vulnerability assets d'ici la fin de l'année 2025.
- Résolution d'un problème qui faisait que le tableau de bord Vulnerability Management dans l'onglet Accueil → Aperçu affichait des résultats vides au lieu de données sur les vulnérabilités.
Exposure Management System Scan
La prise en charge de la détection des vulnérabilités dans les produits suivants a été ajoutée à Authenticated Scanning :
- Syncope Apache
- Wrapper JDBC AWS
- Spring Cloud Gateway
En outre, la détection de la vulnérabilité d'exécution de code à distance d'Oracle E-Business Suite (CVE-2025-61882) a été ajoutée.
La prise en charge de la détection des vulnérabilités dans les produits suivants a été ajoutée à Authenticated Scanning for Windows :
- Ankitects Anki
- Chaussée des Apaches
- Plan de sauvegarde Asustor
- Asustor EZ Sync
- Autodesk 3ds Max
- Autodesk Fusion et Fusion 360
- AWS PGSQL ODBC
- Clients de bureau AWS Wickr
- Fluent Bit (en anglais)
- GoSign Desktop
- Utilitaire d'événements système HP
- Intel PresentMon
- Visualiseur Intel Thread Director
- Joplin
- Lite XL
- MongoDB BI Connector ODBC
- Connecteur MongoDB pour la BI
- Les N-able prennent le contrôle Agent
- Fenêtres N-central agent et sonde N-central
- Éditions du navigateur Opera
- Razer Synapse
- SigTest
- SigTest Phoenix
- Synology ActiveProtect Agent
- Total Commandant
- WatchGuard Mobile VPN avec client SSL
Elements Foundations
Intégrations
Elements API
Nouveaux points de terminaison API pour la gestion de Elements API Credentials
Nous avons introduit de nouveaux points de terminaison pour automatiser la gestion des clés API pour le site Elements API :
Créer la clé API
POST /api-keys/v1/create
- Générer une nouvelle clé API pour accéder au site Elements API .
- Les clés peuvent être créées au niveau de l'organisation ou du partenaire de l'organisation de services (SOP).
- Par défaut, les clés sont en lecture seule pour des raisons de sécurité. En option, la valeur "readOnly" peut être fixée à "false" pour permettre l'accès en écriture.
- Important : clientSecret n'est renvoyé qu'une seule fois lors de la création - il est stocké de manière sécurisée.
Suppression de la touche API
DELETE /api-keys/v1/api-keys/{clientId}
- Supprimer définitivement une clé API en fonction de son ID.
- Les clés supprimées ne peuvent pas être récupérées ni utilisées pour l'authentification.
Liste des clés API
GET /api-keys/v1/api-keys
- Récupérer toutes les clés API pour l'organisation actuelle ou spécifier un identifiant d'organisation (organizationId) lors d'une requête au niveau SOP.
Pour plus de détails, y compris les formats de demande/réponse et les exemples, veuillez vous référer au site web de l API la documentation.
Autres éléments d'intérêt
Vous voulez être informé des nouveaux changelogs ?
Les modifications ont été déplacées ! Vous pouvez désormais trouver toutes les fiches de modification des produits ici : Modèles de produits
Vous voulez être informé des nouveaux changelogs ?
- Pour tous les produits : Cliquez sur le bouton Suivre sur le bouton Page d'accueil du Changelog pour recevoir des notifications par courriel lorsque de nouveaux changelogs sont publiés.
- Pour des produits spécifiques uniquement : Pour l'instant, les notifications par courriel pour les changelogs individuels de produits ne sont pas encore disponibles sur le site Community. Nous travaillons activement à l'activation des notifications par courriel pour les changelogs individuels et vous informerons dès que cette fonctionnalité sera disponible.
- Pour ne manquer aucune mise à jour entre-temps, nous vous recommandons de vous abonner à toutes les notifications du changelog (voir ci-dessus).
- Vous pouvez également utiliser les notifications dans Elements Security Center ou enregistrer la page du journal des modifications du produit dans un signet du navigateur pour y accéder rapidement.
Au cas où vous l'auriez manqué
Mise à jour importante : la soumission d'échantillons a été transférée sur une nouvelle plateforme.
Depuis le début de l'année 2026, le service de soumission d'échantillons a été transféré sur une nouvelle plateforme. Vous trouverez plus de détails dans un article dédié.
TangleCrypt : un logiciel malveillant sophistiqué mais bogué
Résumé
Le groupe STINGR de WithSecure publie une analyse technique détaillée de TangleCrypt, un packer précédemment non documenté pour les logiciels malveillants Windows. Le packer a été trouvé sur deux exécutables utilisés dans une récente attaque de ransomware et leurs charges utiles ont toutes deux été identifiées comme un tueur EDR connu sous le nom de STONESTOP qui exploite le pilote ABYSSWORKER malveillant.
Principales conclusions concernant TangleCrypt :
- La charge utile est stockée à l'intérieur des ressources PE via plusieurs couches de codage base64, de compression LZ78 et de cryptage XOR.
- Le chargeur prend en charge deux méthodes de lancement de la charge utile : dans le même processus ou dans un processus enfant. La méthode choisie est définie par une chaîne de caractères ajoutée à la charge utile intégrée.
- Pour entraver l'analyse et la détection, il utilise quelques techniques courantes comme le cryptage des chaînes et la résolution dynamique des importations, mais toutes ces techniques se sont révélées relativement simples à contourner. L'absence de mécanismes anti-analyse avancés rend également le décompactage manuel de la charge utile assez simple.
- Bien que la conception du packer soit globalement intéressante, nous avons identifié plusieurs failles dans l'implémentation du loader qui peuvent entraîner le plantage du payload ou d'autres comportements inattendus.
En savoir plus ICI
Partagez vos idées avec nous
Notre objectif est de co-sécuriser le monde avec vous - désormais sous le nom de WithSecure™. Pour co-créer les meilleurs produits et services de cybersécurité possibles, nous vous recommandons vivement de nous faire part de vos idées par l'intermédiaire de la section "Idées" du site web de WithSecure Community, désormais accessible directement depuis WithSecure™ Elements Security Center.
Plus d'informations
Les modifications et les notes de mise à jour pour toutes les parties de WithSecure™ Elements peuvent être consultées sur le site suivant Centre d'aide