Menu

Aucun menu défini dans le customizer.

Catégorie : cve

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, Bluetooth, Chine, cve, cybersecurite/failles-vulnerabilites, robots-drones-vehicules/robots-robotique, Sciences

Robots chiens Unitree – La backdoor que personne ne corrige

Si vous croisez un robot-chien Unitree dans un hall d’HLM, sur un parking, un chantier, ou en train de patrouiller dansv otre ville, faut que vous sachiez 2 trucs quand même :

Un, n’importe qui peut le rooter en moins d’une minute avec son téléphone. Et de deux, le robot lui-même envoie en continu un flux chiffré vers un tunnel cloud opéré depuis la Chine. C’est en tout cas ce que Benn Jordan, musicien indépendant et chercheur amateur, vient de démontrer hier dans une enquête de 24 minutes qui fait, comme il le dit lui-même, un meilleur boulot que toute l’infrastructure cybersécurité du gouvernement américain.

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, exploit, faille, intelligence-artificielle/actualites-ia, Sciences

Copy Fail – Une IA trouve la faille Linux que personne n’a vue

732 octets, c’est tout ce qu’il faut pour passer de simple utilisateur à root sur n’importe quel Linux non patché compilé depuis 2017, soit la quasi-totalité des kernels. Cette faille béante s’appelle
Copy Fail
(CVE-2026-31431), elle a été dénichée par Taeyang Lee de chez Theori avec leur outil d’audit IA Xint Code. Et comme elle vient d’être divulguée hier sur la liste oss-security et qu’en plus, ils ont fait un joli petit site qui explique tout comment ça fonctionne, je vais essayer de tout vous expliquer !

Actus Automatisées, Actus Tech, Anthropic, cve, Cybersécurité, cybersecurite/failles-vulnerabilites, linux-open-source/distributions-linux, Sciences

Pack2theRoot – 12 ans d’accès root offert dans PackageKit

Si vous tournez sur Ubuntu, Debian, Fedora ou RockyLinux, sachez que votre démon PackageKit a passé presque 12 ans à laisser une porte ouverte vers votre compte root. La
Deutsche Telekom Red Team
vient en effet de publier Pack2theRoot (CVE-2026-41651), une faille notée 8.8/10 qui permet à n’importe quel utilisateur local de devenir root sans mot de passe.

Pour corriger le soucis, mettez à jour vers PackageKit 1.3.5 ou le backport de votre distro. Pour vérifier votre version, c’est dpkg -l | grep -i packagekit sous Debian/Ubuntu, ou rpm -qa | grep -i packagekit côté Fedora et Rocky. Si vous êtes en 1.3.4 ou en dessous, considérez la machine comme exploitable.

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, fingerprinting, Firefox, Sciences, vie-privee-anonymat/tor-darknet

Une faille IndexedDB permettait de relier toutes vos identités Tor

Bon, les amis, si vous utilisez Tor Browser pour faire du sérieux, faut que vous sachiez un truc. Le bouton “New Identity“, censé vous donner une nouvelle identité vierge à chaque clic… bah il laissait filer, jusqu’à il y a peu de temps, un identifiant stable tant que Firefox tournait.

Deux chercheurs de
Fingerprint
ont en effet trouvé comment une fonction toute bête du navigateur se transformait en empreinte unique de votre browser, partagée entre tous les sites que vous visitiez.

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, faille RCE, linux-open-source/administration-serveur, Sciences, sécurité informatique

Faille telnetd – Accès root avant même le login

Telnet en big 2026… bah oui ça existe encore les amis ! Et surtout c’est toujours aussi troué ! J’en veux pour preuve le daemon telnetd de GNU InetUtils qui vient de se prendre une 2ème faille critique en l’espace de deux mois, et celle-là, elle pique de fou !

Il s’agit de la
CVE-2026-32746
, elle permet d’obtenir un shell root sur n’importe quel serveur Linux ou BSD exposant le port 23, et l’attaque se fait avant même que le prompt de login n’apparaisse. Pas besoin de mot de passe, pas besoin de compte. Juste une bonne vieille connexion TCP et un paquet SLC malformé et c’est parti mon kiki !

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, robots-drones-vehicules/robots-robotique, Sciences, unitree

Unitree Go2 – Le robot chien qui obéit à TOUT le monde

Le robot chien Unitree Go2, c’est celui qu’on a vu
se faire pirater via Bluetooth
en décembre dernier. Hé bien rebelote puisque 2 nouvelles CVE viennent de tomber, et c’est encore plus lourd. Hé oui c’est à base de root shell, de persistance après reboot… et tout ça sans aucune authentification sur le protocole réseau.

La première faille (
CVE-2026-27509
) est la plus vicieuse puisque le Go2 utilise DDS (Data Distribution Service), un protocole publish-subscribe qu’on retrouve partout dans l’
industrie de la robotique
. Ça tourne avec CycloneDDS, sauf que Unitree l’a déployé SANS la moindre authentification.

Actus Automatisées, Actus Tech, cve, cybersecurite/actualites-securite, ExifTool, faille, injection de commandes, Sciences

ExifTool – Un PNG piégé peut pirater votre Mac

Si vous utilisez
ExifTool
sur macOS, j’ai une mauvaise nouvelle pour vous ! Une faille critique vient d’être découverte dans cet outil que tout le monde (moi y compris) utilise pour lire et modifier les métadonnées des fichiers et c’est pas joli joli.

Cette vulnérabilité, référencée en tant que
CVE-2026-3102
, touche toutes les versions jusqu’à la 13.49 et c’est spécifique à macOS. Cela permet à un attaquant de planquer des commandes système dans les tags de métadonnées d’un fichier image et quand ExifTool traite le fichier avec le flag -n… les commandes s’exécutent directement sur votre machine.

accès root, Actus Automatisées, Actus Tech, cve, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, faille critique, Sciences

Telnetd – Une faille vieille de 11 ans est un accès root

Telnet, ça vous dit quelque chose ?

C’est ce vieux protocole réseau non chiffré que nos arrières-arrières-arrières-grands-parents utilisaient pour se connecter à des serveurs distants. C’est un truc que vous pensiez peut-être enterré depuis belle lurette… Hé bien figurez-vous qu’une faille critique vieille de 11 ANS vient d’être découverte dans le serveur telnetd de GNU InetUtils. Et le pire c’est que des hackers l’exploitent déjà activement.

ARGH !

La vulnérabilité en question, baptisée
CVE-2026-24061
, permet de contourner complètement l’authentification et d’obtenir un accès root. Sans putain de mot de passe (!!!!).

Actus Automatisées, Actus Tech, cve, faille zero-day, Git, Gitea, Sciences, securite-vie-privee/cybersecurite

Si vous utilisez Gogs, vous avez un gros problème

En 2016, je vous parlais de
Gogs
, ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

Actus Automatisées, Actus Tech, Android, cve, Google, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

Android – Deux failles 0-day exploitées, mettez à jour maintenant !

Google vient de publier son
bulletin de sécurité de décembre 2025
et c’est pas joli joli. Au programme, 107 vulnérabilités corrigées dont deux 0-day activement exploités dans des attaques ciblées. Donc si vous avez un smartphone Android, allez vérifier vos mises à jour immédiatement !

Les deux failles qui posent problème s’appellent CVE-2025-48633 et CVE-2025-48572. La première permet de voler des informations sur votre appareil et la seconde offre une escalade de privilèges… autrement dit, un attaquant peut prendre le contrôle de votre téléphone. Et ces deux vulnérabilités touchent le Framework Android, c’est à dire le cœur du système et elles affectent les versions 13, 14, 15 et 16. Donc en gros, à peu près tout le monde.