Menu

Aucun menu défini dans le customizer.

Catégorie : cybersecurite/failles-vulnerabilites

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, alertes de sécurité informatique, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Notepad++, Sciences

Notepad++ – Votre éditeur de texte préféré a été piraté

Si vous utilisez Notepad++, faut que vous sachiez qu’il s’est passé un truc moche. Entre juin et décembre 2025, les serveurs de mise à jour de votre éditeur de texte préféré ont été carrément piratés. Et c’est carrément une opération d’espionnage probablement menée par un groupe parrainé par l’État chinois. Ouin 🥲.

En gros, les attaquants ont réussi à compromettre l’infrastructure de l’ancien hébergeur du projet. Du coup, ils ont pu détourner le trafic de mise à jour pour rediriger certains utilisateurs vers des serveurs malveillants. Ces serveurs envoyaient ensuite des fichiers de mise à jour vérolés au lieu des vrais binaires. C’est le genre de nouvelle qui file des frissons dans le dos quand on sait que des millions de dev utilisent ce logiciel quotidiennement.

Actus Automatisées, Actus Tech, Command & Conquer, cybersecurite/failles-vulnerabilites, Exploitation de failles, faille, Jeux video, Sciences

Command & Conquer : Generals – Un ver attaque ce jeu mort depuis 12 ans

C’est un délire ça ! Je crois que je viens de lire le truc le plus improbable de l’année. Sérieux, vous vous souvenez de Command & Conquer : Generals ? Mais siiii, ce RTS de légende sorti en 2003 bien après C&C et Red Alert !! Hé bien accrochez-vous, car même s’il est techniquement mort depuis la fermeture de GameSpy en 2014, il fait encore parler de lui.

Et pas pour de bonnes raisons. Argh !

Actus Automatisées, Actus Tech, Command & Conquer, cybersecurite/failles-vulnerabilites, Exploitation de failles, faille, Jeux video, Sciences

Command & Conquer : Generals – Un ver attaque ce jeu mort depuis 12 ans

C’est un délire ça ! Je crois que je viens de lire le truc le plus improbable de l’année. Sérieux, vous vous souvenez de Command & Conquer : Generals ? Mais siiii, ce RTS de légende sorti en 2003 bien après C&C et Red Alert !! Hé bien accrochez-vous, car même s’il est techniquement mort depuis la fermeture de GameSpy en 2014, il fait encore parler de lui.

Et pas pour de bonnes raisons. Argh !

Actus Automatisées, Actus Tech, Command & Conquer, cybersecurite/failles-vulnerabilites, Exploitation de failles, faille, Jeux video, Sciences

Command & Conquer : Generals – Un ver attaque ce jeu mort depuis 12 ans

C’est un délire ça ! Je crois que je viens de lire le truc le plus improbable de l’année. Sérieux, vous vous souvenez de Command & Conquer : Generals ? Mais siiii, ce RTS de légende sorti en 2003 bien après C&C et Red Alert !! Hé bien accrochez-vous, car même s’il est techniquement mort depuis la fermeture de GameSpy en 2014, il fait encore parler de lui.

Et pas pour de bonnes raisons. Argh !

accès root, Actus Automatisées, Actus Tech, cve, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, faille critique, Sciences

Telnetd – Une faille vieille de 11 ans est un accès root

Telnet, ça vous dit quelque chose ?

C’est ce vieux protocole réseau non chiffré que nos arrières-arrières-arrières-grands-parents utilisaient pour se connecter à des serveurs distants. C’est un truc que vous pensiez peut-être enterré depuis belle lurette… Hé bien figurez-vous qu’une faille critique vieille de 11 ANS vient d’être découverte dans le serveur telnetd de GNU InetUtils. Et le pire c’est que des hackers l’exploitent déjà activement.

ARGH !

La vulnérabilité en question, baptisée
CVE-2026-24061
, permet de contourner complètement l’authentification et d’obtenir un accès root. Sans putain de mot de passe (!!!!).

actualites-business/gafam-tech, Actus Automatisées, Actus Tech, Bug Bounty, cybersecurite/failles-vulnerabilites, Facebook, Meta, Sciences

XS-Leaks chez Meta – 4 failles pour vous identifier

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier
un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks
qu’il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l’utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l’attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d’accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, NTLM, Sciences, windows/securite-windows

Pourquoi votre vieux serveur Windows est une bombe à retardement, et comment la désamorcer

Les amis, si vous administrez encore des serveurs Windows avec des configurations “d’époque” (qui sentent la naphtaline quoi…), il faut qu’on parle.

Google Cloud (via son équipe Mandiant) vient de sortir un papier assez creepy sur Net-NTLMv1, ce vieux protocole d’authentification qu’on croyait enterré mais qui survit encore dans pas mal d’infrastructures. Verdict implacable : c’est une véritable bombe à retardement !!

BOOM 💥 !

En gros, si vous avez encore du NTLMv1 activé quelque part sur votre réseau, un attaquant positionné sur votre réseau peut récupérer le matériel cryptographique nécessaire pour casser vos comptes. Le problème avec Net-NTLMv1, c’est qu’il s’agit d’un protocole d’authentification challenge-response qui date des années 90. C’était l’époque de Windows NT, de 2Pac et des modems 56k sauf que contrairement à la musique, la sécurité a un peu évolué depuis.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille, faille critique, linux-open-source, Sciences

WinBoat – Une faille critique découverte dans l’outil de virtualisation

Si vous faites partie des curieux qui testent
WinBoat
 (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu’une vulnérabilité critique a été identifiée dans l’outil, et le scénario d’attaque est plutôt créatif.

Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l’expérience Windows “seamless” sur votre bureau Linux. C’est ambitieux, c’est en beta, et forcément, il y a parfois des trous dans la raquette.

Actus Automatisées, Actus Tech, Bluetooth, cybersecurite/failles-vulnerabilites, Sciences, vie-privee-anonymat/surveillance-tracking, vulnerabilite, WhisperPair

WhisperPair – Vos écouteurs Bluetooth sont des traitres

Si vous pensiez que vos écouteurs sans fil étaient capables de garder vos secrets, j’ai une mauvaise nouvelle pour vous !

Des chercheurs du groupe COSIC de la KU Leuven (les mêmes génies qui avaient déjà
hacké des Tesla
il y a quelques années) viennent de dévoiler WhisperPair. C’est le petit nom d’une série de vulnérabilités qui touchent le protocole Google Fast Pair, et vous allez voir, ça craint.

Le protocole Fast Pair, censé nous faciliter la vie en appairant nos gadgets en un clic, oublie en fait de vérifier si l’appareil est réellement en mode appairage. Du coup, n’importe quel petit malin situé à portée de Bluetooth (environ 15 mètres dans les tests) peut se connecter silencieusement à votre casque ou vos enceintes, même si vous êtes déjà en train d’écouter votre podcast préféré. Pas besoin de bouton, pas besoin de confirmation, rien. C’est un peu le retour de la faille
BlueSpy dont je vous parlais l’année dernière
, mais en mode industriel.

Actus Automatisées, Actus Tech, Copilot, cybersecurite/failles-vulnerabilites, IA, intelligence-artificielle/chatbots-llm, Microsoft, Sciences

Reprompt – Quand Microsoft Copilot balance vos données en un clic

Vous vous souvenez d’
EchoLeak, cette faille zero-click dans Microsoft Copilot
dont je vous parlais l’année dernière ? Eh bien accrochez-vous, parce que les chercheurs de Varonis viennent de remettre le couvert avec une nouvelle technique baptisée “Reprompt“. Et cette fois, un simple clic suffit pour que l’assistant IA de Microsoft balance toutes vos données sensibles à un attaquant.

Je vous explique le principe… Dolev Taler, chercheur chez Varonis Threat Labs, a découvert que l’URL de l’assistant Microsoft intègre un paramètre “q” qui permet d’injecter directement des instructions dans le prompt.