cybersecurite/failles-vulnerabilites - Proxitek

15/05/2026 Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, DepthFirst, DOS, linux-open-source/administration-serveur, Nginx, Sciences

Une faille présente depuis 18 ans découverte dans nginx, le serveur qui fait tourner un tiers du web

Nginx, c’est ce logiciel discret qui sert les pages d’environ un site populaire sur trois sur la planète. Quand vous chargez une page web, il y a une bonne chance que ce soit lui qui vous l’envoie.

La société DepthFirst AI, spécialisée dans la recherche de failles assistée par intelligence artificielle, vient d’y trouver un trou de sécurité, et il est plutôt balèze : présent dans le code depuis 2008. Soit environ 18 ans de service sans que personne ne le remarque.

15/05/2026 Actus Automatisées, Actus Tech, Bitlocker, clefusb, cybersecurite/failles-vulnerabilites, faille, Sciences, windows/securite-windows

Une faille permet d’ouvrir un disque BitLocker avec quelques fichiers sur une clé USB

BitLocker, c’est le système de chiffrement intégré à Windows qui protège vos disques contre quelqu’un qui mettrait la main sur votre machine. Activé par défaut sur Windows 11 et installé sur des millions d’ordinateurs, il est censé garantir que sans votre mot de passe ou votre code de récupération, personne ne lit ce qu’il y a dessus.

Sauf qu’un chercheur en sécurité, Chaotic Eclipse, vient de publier une démonstration qui réduit cette promesse en miettes.

15/05/2026 Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, exploit, Fragnesia, linux-open-source, Sciences

Fragnesia – Une nouvelle faille Linux dans la lignée de Dirty Frag

Bon, accrochez vous les amis, car ça enchaine sec sur le kernel Linux en ce moment… Le chercheur William Bowling de l’équipe V12 security vient de lâcher Fragnesia (CVE-2026-46300, CVSS 7.8), un nouvel exploit kernel Linux qui permet d’obtenir un accès root sur toutes les distros majeures, et ce, 8 jours seulement après le patch de Dirty Frag.

Et la mauvaise nouvelle, en fait, c’est que Fragnesia tape dans la même surface d’attaque que
Dirty Frag
, mais via un bug logique différent qui n’est pas fixé par le patch initial. Donc si vous aviez sagement mis à jour votre noyau le 8 mai dernier en pensant être tranquille, hé bah désolé, vous êtes toujours à poil !

15/05/2026 Actus Automatisées, Actus Tech, anonymat en ligne, cybersecurite/failles-vulnerabilites, fingerprinting, Mullvad, Sciences, vie-privee-anonymat/vpn-proxy

Mullvad – Votre clé WireGuard vous trahit malgré le VPN

Je me sors 5 min de mon weekend en amoureux les amis, pour avertir ceux parmi vous qui sont des utilisateurs de Mullvad, peu importe que vous soyez sur macOS, Windows ou un Linux Ubuntu/Debian… Si vous jonglez entre les serveurs en pensant brouiller votre piste, j’ai une mauvaise nouvelle pour vous.

Tmctmt vient de publier
une analyse qui montre que vos IPs de sortie sont beaucoup moins aléatoires qu’on ne l’imagine. En fait, votre clé WireGuard agit comme une empreinte qui survit aux changements de pays.

12/05/2026 Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, espionnage, Fibre optique, ndss2026, Sciences, vie-privee-anonymat/surveillance-tracking

Vos câbles fibre optique peuvent servir à vous espionner, et ça marche très bien

Une fibre optique de télécom standard, celle qui passe peut-être à quelques mètres de votre bureau en ce moment, peut être transformée en microphone à distance.

C’est ce qu’ont démontré des chercheurs à la conférence NDSS 2026, le rendez-vous annuel de la sécurité réseau qui s’est tenu à San Diego. Leur démo est carrément flippante. Pas de matériel posé sur place, pas de signal radio détectable, et une qualité audio largement suffisante pour transcrire ce qu’on dit dans une pièce.

12/05/2026 Actus Automatisées, Actus Tech, claudecode, cybersecurite/failles-vulnerabilites, cybersecurite/malwares-menaces, Google, Sciences

Des faux installateurs Claude Code se baladent dans Google

Les chercheurs d’Ontinue, une boîte de cybersécurité, ont publié une analyse d’une campagne de vol de données qui vise directement les développeurs.

La méthode est en fait assez simple. Vous tapez “install claude code” dans Google, vous cliquez, plein d’innocence, sur le premier résultat sponsorisé, et là vous tombez sur une page qui ressemble trait pour trait à la doc officielle d’Anthropic. Sauf que le serveur derrière n’a rien à voir, et la commande d’installation à copier-coller a été modifiée.

11/05/2026 Actus Automatisées, Actus Tech, Bluetooth, Chine, cve, cybersecurite/failles-vulnerabilites, robots-drones-vehicules/robots-robotique, Sciences

Robots chiens Unitree – La backdoor que personne ne corrige

Si vous croisez un robot-chien Unitree dans un hall d’HLM, sur un parking, un chantier, ou en train de patrouiller dansv otre ville, faut que vous sachiez 2 trucs quand même :

Un, n’importe qui peut le rooter en moins d’une minute avec son téléphone. Et de deux, le robot lui-même envoie en continu un flux chiffré vers un tunnel cloud opéré depuis la Chine. C’est en tout cas ce que Benn Jordan, musicien indépendant et chercheur amateur, vient de démontrer hier dans une enquête de 24 minutes qui fait, comme il le dit lui-même, un meilleur boulot que toute l’infrastructure cybersécurité du gouvernement américain.

11/05/2026 action populaire, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, fuite, lfi, Sciences, vie-privee-anonymat/surveillance-tracking

Les données de 120 000 adhérents LFI dans la nature

Un hacker au pseudo “fuzzeddffmepg” a balancé sur un forum cybercriminel le 7 mai une base de données présentée comme provenant d’Action Populaire, le réseau militant numérique de la France Insoumise.

Au programme : environ 120 000 adresses email uniques, 20 000 numéros de téléphone, et un paquet de données personnelles couvrant pratiquement neuf ans d’activité, de 2017 à 2026.

Le contenu de la fuite est franchement gênant pour les adhérents. On y trouve les noms et prénoms des utilisateurs, leurs adresses email et numéros de téléphone, leurs adresses postales liées à des paiements, leurs participations à des groupes et événements, mais aussi des messages privés et échanges internes, plus des données de paiement et d’abonnement.

11/05/2026 Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, robots-drones-vehicules/voitures-electriques, Sciences

myAudi permettaient de localiser un véhicule à partir de son code VIN

Le numéro VIN de votre voiture est visible sur le bas du pare-brise et récupérable par n’importe qui qui passe à côté. Et croyez le ou non, mais c’est pourtant sur ce numéro, visible de tous, que repose en partie le modèle de sécurité de myAudi, l’application connectée pour contrôler son véhicule Audi à distance.

Un chercheur qui se présente sous le pseudo
Decoder
a décidé de regarder ça de plus près. Son setup c’est un émulateur Android Pixel 7, Burp Suite en proxy pour intercepter le trafic réseau ainsi que
Frida Server
et Objection pour contourner le
certificate pinning
de l’app. Des outils et du boulot classique de pentest mobile, pas particulièrement sophistiqué donc…

11/05/2026 Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, cybersecurite/malwares-menaces, JDownloader, Python, Sciences, Shell

JDownloader a diffusé des versions piégées, votre PC est peut-être compromis

Entre le 6 et le 7 mai 2026, le site officiel jdownloader.org a été compromis et a servi pendant un peu plus d’une journée des installeurs piégés à la place des versions légitimes du célèbre gestionnaire de téléchargements.

Concrètement, les liens alternatifs pour Windows et l’installateur shell pour Linux ont été remplacés par un loader qui déploie un RAT (Remote Access Trojan) écrit en Python sur la machine de la victime. Pour ceux qui ne connaissent pas, un RAT donne à l’attaquant un contrôle total à distance de votre PC : exécution de commandes, vol de données, installation d’autres malwares, et tout ce qui peut se faire avec un compte utilisateur compromis.

Menu