Menu

Aucun menu défini dans le customizer.

Catégorie : cybersecurite/failles-vulnerabilites

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, Copilot, cybersecurite/failles-vulnerabilites, faille, intelligence-artificielle/actualites-ia, Microsoft, Sciences

Cette faille dans Excel transforme Copilot en espion et vole vos données sans le moindre clic

Microsoft vient de corriger 79 failles de sécurité dans son Patch Tuesday de mars 2026. Parmi elles, une vulnérabilité critique dans Excel qui permet d’utiliser l’agent Copilot pour exfiltrer des données sensibles, le tout sans aucune interaction de la victime. Oui oui, zéro clic.

Une faille XSS qui détourne Copilot

Cette faille répondant au doux nom de CVE-2026-26144 est une vulnérabilité de type cross-site scripting dans Microsoft Excel, et elle a un petit truc en plus qui la rend franchement inquiétante : elle est capable de détourner le mode Agent de Copilot pour envoyer des données vers l’extérieur, via ce que Microsoft appelle un “unintended network egress”. 

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, failles, intelligence-artificielle/actualites-ia, McKinsey, Sciences, SQL

Un agent IA a piraté le chatbot de McKinsey et accédé à 46 millions de messages confidentiels

Un agent IA autonome a percé les défenses de Lilli, la plateforme d’intelligence artificielle interne de McKinsey, c’est arrivé en à peine deux heures. Au programme : 46,5 millions de messages en clair, 728 000 fichiers clients et un accès en écriture à l’ensemble de la base de données. Le tout sans aucun identifiant.

Une injection SQL en 2026

C’est la startup de sécurité CodeWall qui a mené l’attaque, dans le cadre d’un test de pénétration. Son agent IA a commencé par scanner la documentation API de Lilli, qui était exposée publiquement. Sur les 200 points d’accès répertoriés, 22 ne demandaient aucune authentification.

Actus Automatisées, Actus Tech, appleII, azure, Claude, cybersecurite/failles-vulnerabilites, intelligence-artificielle/chatbots-llm, Sciences

Claude trouve des failles dans du code Apple II vieux de 40 ans

Mark Russinovich, CTO de Microsoft Azure, a donné à Claude Opus 4.6 un programme qu’il avait écrit en assembleur 6502 pour Apple II en mai 1986. L’IA d’Anthropic y a trouvé des vulnérabilités. Une découverte possible grâce à Claude Code Security, un outil qui a déjà débusqué plus de 500 failles dans des projets open source.

Du code Apple II passé au crible

Le programme en question s’appelle Enhancer. C’est un utilitaire écrit en langage machine 6502 qui ajoutait à l’Applesoft BASIC la possibilité d’utiliser des variables ou des expressions comme destination pour les commandes GOTO, GOSUB et RESTORE.

Actus Automatisées, Actus Tech, Anthropic, Claude, cybersecurite/failles-vulnerabilites, failles, intelligence-artificielle/actualites-ia, Sciences

Claude d’Anthropic a trouvé 22 failles dans Firefox en deux semaines

Anthropic et Mozilla viennent de publier les résultats d’une collaboration menée en février. En deux semaines, le modèle Claude Opus 4.6 a analysé près de 6 000 fichiers C++ du code source de Firefox et découvert 22 vulnérabilités de sécurité, dont 14 classées haute gravité. Toutes sont déjà corrigées dans Firefox 148.

Un chasseur de bugs d’un nouveau genre

C’est l’équipe de red team d’Anthropic qui a contacté Mozilla pour tester son système de détection de failles par IA sur le code source de Firefox. Le modèle Claude Opus 4.6 a d’abord été lâché sur le moteur JavaScript du navigateur, avant d’être étendu au reste de la base de code.

Actus Automatisées, Actus Tech, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, failles, Google, Sciences, Zero Day

90 failles zero-day en 2025 : les entreprises dans le viseur comme jamais

Google vient de publier son rapport annuel sur les failles zero-day. En 2025, son équipe de renseignement a comptabilisé 90 vulnérabilités exploitées avant d’être corrigées. Près de la moitié visaient des équipements d’entreprise, un record, et les vendeurs de spyware passent en tête du classement pour la première fois.

90 failles, 43 contre les entreprises

Le Google Threat Intelligence Group a suivi 90 failles zero-day exploitées dans la nature en 2025, contre 78 en 2024 et 100 en 2023. Le chiffre global reste dans la même fourchette, mais la répartition a changé. 43 de ces failles ciblaient du matériel ou des logiciels d’entreprise, soit 48 % du total. C’est du jamais vu.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, cybersecurite/hackers-celebres, FBI, Google, Iran, Sciences

Des hackers iraniens ont infiltré une banque et un aéroport américains

MuddyWater, un groupe de hackers rattaché aux services de renseignement iraniens, s’est infiltré dans les réseaux d’une banque, d’un aéroport et d’un éditeur de logiciels américains avec deux nouvelles portes dérobées. L’opération, repérée par Symantec, s’est intensifiée après les frappes américaines et israéliennes sur l’Iran fin février.

Deux portes dérobées inédites

C’est l’équipe Threat Hunter de Symantec qui a levé le lièvre. Depuis début février 2026, le groupe MuddyWater (aussi connu sous le nom de Seedworm) a déployé deux malwares jusqu’ici inconnus. Le premier, Dindoor, utilise Deno, un environnement d’exécution JavaScript, et a été signé avec un certificat émis au nom d’une certaine “Amy Cherne”.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, défense de la vie privée, faille, jeux-video/actualites-gaming, Sciences

ARC Raiders lisait vos DMs Discord en douce

Le Discord Game SDK, c’est ce petit bout de code que les devs de jeux vidéo intègrent pour afficher votre statut, gérer les invitations entre potes… sauf que dans ARC Raiders, le truc ouvrait carrément une connexion complète au serveur Discord. Du coup, vos DMs privés se retrouvaient jusqu’il y a peu, logués en clair sur votre disque dur.

C’est Timothy Meadows, un ingénieur en sécurité, qui a découvert le pot aux roses. En fouillant dans les fichiers de log du jeu (le chemin exact c’est AppDataLocalPioneerGameSavedLogsdiscord.log), il est tombé sur des conversations privées Discord en clair.

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, robots-drones-vehicules/robots-robotique, Sciences, unitree

Unitree Go2 – Le robot chien qui obéit à TOUT le monde

Le robot chien Unitree Go2, c’est celui qu’on a vu
se faire pirater via Bluetooth
en décembre dernier. Hé bien rebelote puisque 2 nouvelles CVE viennent de tomber, et c’est encore plus lourd. Hé oui c’est à base de root shell, de persistance après reboot… et tout ça sans aucune authentification sur le protocole réseau.

La première faille (
CVE-2026-27509
) est la plus vicieuse puisque le Go2 utilise DDS (Data Distribution Service), un protocole publish-subscribe qu’on retrouve partout dans l’
industrie de la robotique
. Ça tourne avec CycloneDDS, sauf que Unitree l’a déployé SANS la moindre authentification.

Actus Automatisées, Actus Tech, coruna, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Google, iOS, Sciences

Des outils de piratage d’iPhone conçus par les États-Unis finissent chez les cybercriminels

Google et une société de cybersécurité, iVerify, ont découvert un puissant outil de piratage d’iPhone baptisé Coruna. Visiblement développé par le gouvernement américain, il a fuité et se retrouve aujourd’hui entre les mains d’espions russes et de cybercriminels chinois. Plus de 42 000 iPhone ont été piratés à cause de lui.

Comment ça marche ?

Coruna est un programme capable d’exploiter 23 failles de sécurité différentes dans iOS, le système d’exploitation de l’iPhone. Il suffit qu’un utilisateur visite un site web piégé pour que l’outil analyse automatiquement son téléphone (modèle, version du système, réglages de sécurité) et choisisse la bonne méthode pour en prendre le contrôle. C’est Google qui l’a repéré en premier, en février 2025, quand un vendeur de logiciels espions a tenté de pirater un iPhone pour le compte d’un gouvernement. De son côté, iVerify a analysé le code source et estime qu’il a été développé aux États-Unis. Plusieurs indices pointent dans cette direction : Rocky Cole, le patron d’iVerify, décrit un code “superbe” et “élégamment écrit”, truffé de blagues internes en anglais américain dans les commentaires. Et surtout, le kit partage des éléments communs avec l’Opération Triangulation, une campagne de piratage d’iPhone que le spécialiste en cybersécurité Kaspersky avait attribuée aux services de renseignement américains en 2023.

1Password, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille, intelligence-artificielle/chatbots-llm, Perplexity, Sciences

Perplexity Comet : une invitation de calendrier suffisait pour piller vos mots de passe 1Password

Des chercheurs en sécurité ont découvert deux failles dans Comet, le navigateur IA de Perplexity. Une simple invitation de calendrier piégée suffisait pour accéder aux fichiers locaux de la machine et prendre le contrôle d’un coffre-fort 1Password, le tout sans aucun clic de l’utilisateur.

Une invitation de calendrier, et c’est tout

L’attaque est d’une simplicité qui fait froid dans le dos. Les chercheurs de Zenity Labs, qui ont baptisé la faille « PleaseFix », ont montré qu’il suffisait d’envoyer une invitation de calendrier contenant des instructions malveillantes cachées. Quand l’utilisateur interagit avec cette invitation dans Comet, l’IA du navigateur exécute en toute décontraction les instructions, sans broncher. Pas besoin de cliquer sur un lien, pas besoin de télécharger quoi que ce soit : le simple fait de consulter l’événement suffisait. Le problème vient de ce qu’on appelle l’injection de prompt indirecte : l’IA ne fait pas la différence entre les instructions légitimes et le contenu malveillant planqué dans un calendrier.