Menu

Aucun menu défini dans le customizer.

Catégorie : cybersecurite/failles-vulnerabilites

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, failles, hardware-diy/domotique-smart-home, honeywell, Sciences, thermostat

Un thermostat Honeywell bourré de failles

Des chercheurs ont passé le thermostat connecté Honeywell X2S à la moulinette du reverse-engineering. Le résultat est un peu embarrassant.

L’appareil en question, c’est un thermostat Wi-Fi qui se pilote depuis le smartphone et s’intègre aux installations domotiques, embarque deux puces principales. Un microcontrôleur Renesas Cortex-M33 cadencé à 200 MHz avec TrustZone (la techno qui isole les zones sensibles de la puce pour protéger les données critiques), et une puce Realtek qui gère le Wi-Fi et le Bluetooth Low Energy. À côté, deux mémoires Flash Winbond chiffrées.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, cybersecurite/malwares-menaces, FBI, kali365, microsoft365, Sciences

Ce kit de phishing ouvre les comptes Microsoft 365 sans voler le mot de passe

Voler un mot de passe ? C’est presque devenu accessoire. Le FBI a lancé une alerte sur Kali365, un kit de piratage qui s’introduit dans les comptes Microsoft 365 d’une entreprise sans jamais avoir besoin du mot de passe, ni du fameux code de la double authentification.

La protection que beaucoup imaginent solide ne sert plus à grand-chose ici. Hélas.

Kali365 n’est pas un virus classique. C’est ce qu’on appelle un kit de phishing en location : un service clé en main, vendu un peu comme un abonnement à un logiciel, sauf qu’il sert à pirater. Repéré depuis avril et distribué via la messagerie Telegram, il permet à n’importe quel apprenti pirate de lancer une campagne sans compétences techniques particulières. Le kit fournit les emails piégés rédigés par une IA, des modèles de campagne tout prêts, et même un tableau de bord pour suivre ses victimes en temps réel, la totale donc.

Actus Automatisées, Actus Tech, API, Cloud, cybersecurite/failles-vulnerabilites, developpement/api-services, faille de sécurité, Sciences

Les clés API Google encore en vie même après leur suppression

Vous supprimez une clé API Google
qui a fuité
, et l’interface vous confirme que c’est bien réglé, que la clé ne fonctionne plus. Alors vous commencez à vous détendre en vous disant que vous avez bien fait votre boulot.

BAH NAN !

Car vous ne le savez pas, mais cette clé va continuer de fonctionner encore durant 23 minutes. C’est en tout cas ce qu’ont mesuré les chercheurs d’Aikido Security en testant ce truc tout bête de révoquer une clé, puis de taper sur l’API en boucle pour voir quand ça s’arrêtait vraiment.

Actus Automatisées, Actus Tech, Claude, Claude Code, cybersecurite/failles-vulnerabilites, faille, intelligence-artificielle/ia-developpement, Sciences

Le bac à sable de Claude Code avait deux failles, et c’est plus gênant qu’il n’y paraît

Anthropic, l’entreprise derrière l’IA Claude, a corrigé en douce deux failles dans le bac à sable réseau de Claude Code, son assistant de programmation. Un bac à sable, dans le jargon, c’est un enclos de sécurité : il est censé empêcher l’outil de se connecter à des serveurs non autorisés, pour éviter qu’il envoie vos données n’importe où. Sauf que pendant cinq mois et demi, cet enclos avait une porte dérobée.

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, faille, kernel, linux-open-source/administration-serveur, Sciences

ssh-keysign-pwn – La faille kernel Linux cachée depuis 9 ans

anquée pendant 9 ans dans le noyau Linux, voilà ce que les chercheurs de
Qualys
viennent de déterrer. Son petit nom, c’est ssh-keysign-pwn ou DirtyDecrypt (CVE-2026-46333 pour les intimes), et elle permet à n’importe quel utilisateur local sans privilèges de passer root, de lire votre /etc/shadow et de piquer les clés SSH privées de votre serveur.

Et ce bug dormait là depuis novembre 2016, c’est à dire depuis la version 4.10 du kernel. Personne ne l’avait jamais vu et autant vous dire que 9 ans, en cybersécu, c’est une éternité !!

Actus Automatisées, Actus Tech, Chrome, Chromium, Cybersécurité, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Sciences

Chromium – Google publie l’exploit d’une faille vieille de 2 ans et demi

Bon, alors là, Google a fait encore trèèèès fort.

Mercredi matin, la firme de Mountain View a carrément publié sur son propre bug tracker Chromium le code d’exploitation d’une faille… qui n’est toujours pas corrigée ! Et pas une petite vulnérabilité oubliée dans un coin, hein, mais une vraie faille de la mort qui tue que la chercheuse indépendante Lyra Rebane leur avait
remontée gentiment et en privé
. Ça fait 29 mois (2 ans et demi, les matheux ^^) et elle attend toujours un patch !

actualites-business, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille, Huawei, luxembourg, Sciences

Une faille inconnue dans un routeur Huawei a mis tout le Luxembourg hors ligne pendant 3 heures

Le 23 juillet 2025, le Luxembourg entier s’est retrouvé sans réseau mobile, sans téléphone fixe et sans communications d’urgence pendant plus de trois heures.

Dix mois plus tard, on connaît enfin la cause grâce au média The Record : une faille jusque-là inconnue dans le logiciel d’un routeur Huawei.

Le mécanisme est presque bête. Du trafic réseau spécialement fabriqué a été envoyé vers des routeurs d’entreprise Huawei, et ce trafic les a fait redémarrer en boucle, sans jamais s’arrêter.

Actus Automatisées, Actus Tech, assistant vocal, Audio, Cybersécurité, cybersecurite/failles-vulnerabilites, intelligence-artificielle/actualites-ia, Sciences

AudioHijack – Le son inaudible qui pirate votre assistant IA

Meng Chen, doctorant à l’université Zhejiang, vient de prouver avec son équipe qu’on pouvait complétement détourner un assistant vocal IA avec un simple son que vous prendriez probablement pour un simple parasite. Avec sa bidouille, il a ainsi réussi à pousser les agents vocaux commerciaux de Microsoft et de Mistral à exécuter des actions que personne ne leur avait demandées.

Gloups !

L’attaque s’appelle AudioHijack, et ça consister à planque des ordres dans un fichier audio, une vidéo, un clip musical, une note vocale. Comme ça, le modèle qui l’écoutera vous obéira à VOUS, plutôt qu’à l’utilisateur. C’est comme une injection de prompt sauf que celle-ci s’entend à peine.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille de sécurité, hacking, Microsoft, Sciences, windows/securite-windows

MiniPlasma – La faille Windows que Microsoft croyait corrigée

Si vous tournez sur un Windows 11 à jour, sachez qu’il existe une faille qui permet à un programme local spécialement conçu de grimper tranquillou jusqu’au compte SYSTEM. Pour rappel, c’est le compte tout-puissant de la machine, c’est à dire celui qui passe même au-dessus de l’administrateur ! Et cette faille elle s’appelle MiniPlasma, et elle vient d’être balancée en public sur GitHub par un chercheur planqué derrière le pseudo Nightmare-Eclipse.

Actus Automatisées, Actus Tech, Apple, cybersecurite/failles-vulnerabilites, faille, intelligence-artificielle/actualites-ia, Mythos, Sciences

Mythos, l’IA d’Anthropic, aide à percer le kernel d’un Mac M5 en cinq jours

Cinq jours. C’est le temps qu’il a fallu à l’équipe de Calif, une boîte de sécurité informatique, pour faire tourner un exploit fonctionnel sur un Mac équipé de la dernière puce M5 d’Apple. Et pas n’importe quel exploit : c’est la toute première démonstration publique de contournement de MIE, la grande nouveauté sécurité d’Apple sur cette puce.

MIE, c’est pour Memory Integrity Enforcement, c’est une protection câblée directement dans le silicium du M5. L’objectif est simple : empêcher qu’un programme malveillant puisse écrire dans des zones mémoire qui ne lui appartiennent pas, ce qui est la base de la quasi-totalité des grosses failles depuis vingt ans.