cybersecurite/failles-vulnerabilites - Proxitek

28/12/2025 Actus Automatisées, Actus Tech, base de donnees, CVE-2025-14847, cybersecurite/failles-vulnerabilites, developpement/bases-de-donnees, faille, Sciences

MongoBLEED – La faille critique qui fait fuir la mémoire de votre MongoDB

Si vous utilisez MongoDB, accrochez-vous bien parce que là, c’est du lourd. Une faille critique baptisée MongoBLEED vient den effet ‘être découverte et elle touche à peu près toutes les versions de MongoDB sorties depuis 2017. Sept ans de versions vulnérables, c’est un chouette record, je trouve ^^.

Le problème avec cette CVE-2025-14847, c’est qu’elle exploite la compression zlib des messages. En gros, quand un attaquant envoie un message compressé mal formé avec des paramètres de longueur trafiqués, MongoDB se met à recracher des bouts de sa mémoire heap sans broncher. Et dans cette mémoire, on peut trouver des trucs sympa genre des mots de passe, des tokens d’authentification, des clés de chiffrement… Bref, le jackpot pour un attaquant.

28/12/2025 Actus Automatisées, Actus Tech, CVE-2025-14847, cybersecurite/failles-vulnerabilites, hack, Jeux video, jeux-video/actualites-gaming, Sciences

Rainbow Six Siege hacké – 2 milliards de crédits distribués à tous les joueurs

Vous jouez à Rainbow Six Siege ? Hé bien félicitations, vous êtes maintenant virtuellement millionnaire ! Enfin… l’étiez, parce que tout ça va être annulé.

Rainbow Six Siege X, le jeu d’Ubisoft victime d’un hack massif

24/12/2025 Actualité, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, Innovation, robots-drones-vehicules/robots-robotique, Sciences, Tech

Quand les robots humanoïdes se font pirater en 1 minute via Bluetooth

Vous vous souvenez de ces
robots chiens et humanoïdes Unitree
qu’on voit partout sur les réseaux depuis quelques mois ? Hé bien des chercheurs en sécurité viennent de découvrir qu’on pouvait les pirater en moins d’une minute, sans même avoir besoin d’un accès internet. Et le pire, c’est que la faille est tellement débile qu’elle en devient presque comique.

Lors de la conférence GEEKCon à Shanghai, l’équipe de DARKNAVY a fait une démonstration qui fait froid dans le dos. L’expert Ku Shipei a pris le contrôle d’un robot humanoïde Unitree G1 (quand même 100 000 yuans, soit environ 14 000 balles) en utilisant uniquement des commandes vocales et une connexion Bluetooth. Après environ une minute de manipulation, l’indicateur lumineux sur la tête du robot est passé du bleu au rouge, il a alors cessé de répondre à son contrôleur officiel, puis sous les ordres de Ku, il s’est précipité vers un journaliste en balançant son poing.

23/12/2025 Actus Automatisées, Actus Tech, code IA, cybersecurite/failles-vulnerabilites, developpement, GitHub Copilot, intelligence-artificielle/ia-developpement, Sciences

API fantôme – Quand l’IA crée des backdoors dans le dos des dev

Si vous utilisez GitHub Copilot ou ChatGPT pour coder plus vite, voici une nouvelle qui va peut-être vous refroidir un peu.
Une fintech a découvert
que des attaquants avaient extrait des données clients via un endpoint API qui n’était documenté nulle part. Personne dans l’équipe ne se souvenait l’avoir créé et après 3 semaines d’enquête, le verdict est tombé : c’est Copilot qui l’avait généré pendant une session de code nocturne.

21/12/2025 Actus Automatisées, Actus Tech, ASRock, Asus, carte mère, cybersecurite/failles-vulnerabilites, hardware-diy, Sciences

Faille UEFI critique – Votre carte mère ASUS, Gigabyte, MSI ou ASRock est peut-être vulnérable

Vous pensiez que votre PC était blindé avec toutes vos protections activées ? Et bien ça c’était avant que des chercheurs de Riot Games (oui, les mêmes mecs derrière League of Legends et Valorant) ne découvrent une bonne grosse faille UEFI qui touche les cartes mères des quatre plus gros fabricants du marché, à savoir ASUS, Gigabyte, MSI et ASRock.

La faille se décline en plusieurs CVE selon les constructeurs (CVE-2025-11901 pour ASUS, CVE-2025-14302 pour Gigabyte, CVE-2025-14303 pour MSI, CVE-2025-14304 pour ASRock) et concerne les protections DMA au démarrage. En gros, le firmware UEFI prétend activer l’
IOMMU
(un mécanisme matériel d’isolation mémoire destiné à bloquer les attaques DMA), sauf que dans les faits, il ne le configure pas correctement. Votre système pense être protégé alors qu’il ne l’est pas du tout… Bref ça craint !

20/12/2025 Actualité, Actus Automatisées, Actus Tech, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Innovation, Sciences, Tech

Quand une caméra de surveillance TP-Link laisse traîner ses clés HTTPS partout…

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l’entrée. C’est mon cas et j’adore cette caméra mais j’ai une mauvaise à vous annoncer… Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n’est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu’il a découvert… la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C’est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n’importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

17/12/2025 Actus Automatisées, Actus Tech, chatgpt, Chrome, cybersecurite/failles-vulnerabilites, Sciences, vie-privee-anonymat/surveillance-tracking, vie-privee-anonymat/vpn-proxy

Ces extensions VPN gratuites aspirent toutes vos conversations avec ChatGPT

Vous utilisez
une extension VPN gratuite
sous Chrome ou Edge pour “protéger votre vie privée” ? Cool story les bro, mais si je vous disais que cette même extension enregistre peut-être toutes vos conversations avec ChatGPT, Claude, Gemini et compagnie pour les revendre à des courtiers en données (les fameux data brokers) ?

Hé bien c’est exactement ce que viennent de découvrir les chercheurs en sécurité de Koi qui ont mis le doigt sur 4 extensions très populaires comptabilisant plus de 8 millions d’utilisateurs au total : Urban VPN Proxy (6 millions à elle seule), 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker qui aspirent silencieusement tout ce que vous tapez dans vos chat IA préférées.

15/12/2025 Actus Automatisées, Actus Tech, Amazon, black hat, Bug Bounty, cybersecurite/failles-vulnerabilites, ebook, Sciences

Quand un faux livre audio permet de pirater votre compte Amazon depuis votre Kindle

Vous voyez cette liseuse Kindle qui traîne sur votre table de chevet depuis des années ? Mais si, ce truc que vous avez oublié dans un coin parce que vous n’aimez pas lire, qui est toujours connecté au Wi-Fi, et qui contient votre numéro de carte bleue pour acheter des bouquins en un clic ?

Hé bien un chercheur en sécu vient de découvrir qu’un simple ebook vérolé pouvait lui permettre de prendre le contrôle total de votre compte Amazon.

13/12/2025 Actus Automatisées, Actus Tech, Chine, cybersecurite/failles-vulnerabilites, faille, hardware-diy, KVM, Sciences

Suprise ! Un micro caché dans un petit KVM chinois à 30 balles

Je ne connaissais pas le NanoKVM mais c’est un petit boîtier KVM chinois vendu entre 30 et 70€ qui permet de contrôler un PC à distance. Sauf qu’un chercheur en sécurité slovène a découvert qu’il embarquait un micro planqué capable d’enregistrer tout ce qui se dit autour. Ça craint !

En effet,
Matej Kovačič
a ouvert son NanoKVM et y a trouvé un minuscule composant de 2×1 mm dissimulé sous le connecteur. Un truc tellement petit qu’il faut une loupe ou un microscope pour le dessouder proprement. Et pourtant, ce micro MEMS est capable d’enregistrer de l’audio de “qualité surprenamment élevée” comme il le dit et le pire c’est que l’appareil est fourni avec tous les outils nécessaires (amixer, arecord) pour l’activer via SSH et même streamer le son en temps réel sur le réseau.

Menu