Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.
Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!
Et devinez quoi ?
Y’a toujours pas de patch !
L’histoire commence donc en septembre 2023.
Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip
, une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !
Cette année, avec Nano Banana, ChatGPT, Sora, Seedream et j’en passe, on est quand même passé de “Je cherche une image sur le net” à “Tiens, et si je demandais à Google (ou un autre) de créer l’image que je cherche…”. Comme ça, on ne perd plus de temps à en regarder plein pour trouver la meilleure, et surtout on ne se pose plus la question de est-ce que c’est une image sous copyright ? Ou une image mise en ligne sur un site Creative Commons dont la licence libre sera retirée dans quelques années par un cabinet d’avocat véreux spécialisé dans le copyright trolling…
et qui viendra ensuite vous réclamer du pognon
.
La commande sudo que tous les linuxiens connaissent a plus de 40 ans, tout autant d’années d’audits de sécurité, des millions de lignes de code scrutées par des milliers de développeurs au fil des ans et surtout des dizaines de CVE critiques corrigées.
Et pourtant on est jamais à l’abri d’une mauvaise surprise ! En effet, une fonctionnalité ajoutée récemment pour “améliorer” la sécurité a crée un trou béant. Baptisée CVE-2025-32463, cette une faille critique présente dans sudo est même déjà exploitée par des cybercriminels.