Menu

Aucun menu défini dans le customizer.

Catégorie : cybersecurite/failles-vulnerabilites

Ajout automatique par WPeMatico

actualites-business/gafam-tech, Actus Automatisées, Actus Tech, Bug Bounty, cybersecurite/failles-vulnerabilites, Facebook, Meta, Sciences

XS-Leaks chez Meta – 4 failles pour vous identifier

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier
un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks
qu’il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l’utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l’attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d’accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, NTLM, Sciences, windows/securite-windows

Pourquoi votre vieux serveur Windows est une bombe à retardement, et comment la désamorcer

Les amis, si vous administrez encore des serveurs Windows avec des configurations “d’époque” (qui sentent la naphtaline quoi…), il faut qu’on parle.

Google Cloud (via son équipe Mandiant) vient de sortir un papier assez creepy sur Net-NTLMv1, ce vieux protocole d’authentification qu’on croyait enterré mais qui survit encore dans pas mal d’infrastructures. Verdict implacable : c’est une véritable bombe à retardement !!

BOOM 💥 !

En gros, si vous avez encore du NTLMv1 activé quelque part sur votre réseau, un attaquant positionné sur votre réseau peut récupérer le matériel cryptographique nécessaire pour casser vos comptes. Le problème avec Net-NTLMv1, c’est qu’il s’agit d’un protocole d’authentification challenge-response qui date des années 90. C’était l’époque de Windows NT, de 2Pac et des modems 56k sauf que contrairement à la musique, la sécurité a un peu évolué depuis.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille, faille critique, linux-open-source, Sciences

WinBoat – Une faille critique découverte dans l’outil de virtualisation

Si vous faites partie des curieux qui testent
WinBoat
 (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu’une vulnérabilité critique a été identifiée dans l’outil, et le scénario d’attaque est plutôt créatif.

Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l’expérience Windows “seamless” sur votre bureau Linux. C’est ambitieux, c’est en beta, et forcément, il y a parfois des trous dans la raquette.

Actus Automatisées, Actus Tech, Bluetooth, cybersecurite/failles-vulnerabilites, Sciences, vie-privee-anonymat/surveillance-tracking, vulnerabilite, WhisperPair

WhisperPair – Vos écouteurs Bluetooth sont des traitres

Si vous pensiez que vos écouteurs sans fil étaient capables de garder vos secrets, j’ai une mauvaise nouvelle pour vous !

Des chercheurs du groupe COSIC de la KU Leuven (les mêmes génies qui avaient déjà
hacké des Tesla
il y a quelques années) viennent de dévoiler WhisperPair. C’est le petit nom d’une série de vulnérabilités qui touchent le protocole Google Fast Pair, et vous allez voir, ça craint.

Le protocole Fast Pair, censé nous faciliter la vie en appairant nos gadgets en un clic, oublie en fait de vérifier si l’appareil est réellement en mode appairage. Du coup, n’importe quel petit malin situé à portée de Bluetooth (environ 15 mètres dans les tests) peut se connecter silencieusement à votre casque ou vos enceintes, même si vous êtes déjà en train d’écouter votre podcast préféré. Pas besoin de bouton, pas besoin de confirmation, rien. C’est un peu le retour de la faille
BlueSpy dont je vous parlais l’année dernière
, mais en mode industriel.

Actus Automatisées, Actus Tech, Copilot, cybersecurite/failles-vulnerabilites, IA, intelligence-artificielle/chatbots-llm, Microsoft, Sciences

Reprompt – Quand Microsoft Copilot balance vos données en un clic

Vous vous souvenez d’
EchoLeak, cette faille zero-click dans Microsoft Copilot
dont je vous parlais l’année dernière ? Eh bien accrochez-vous, parce que les chercheurs de Varonis viennent de remettre le couvert avec une nouvelle technique baptisée “Reprompt“. Et cette fois, un simple clic suffit pour que l’assistant IA de Microsoft balance toutes vos données sensibles à un attaquant.

Je vous explique le principe… Dolev Taler, chercheur chez Varonis Threat Labs, a découvert que l’URL de l’assistant Microsoft intègre un paramètre “q” qui permet d’injecter directement des instructions dans le prompt.

Actus Automatisées, Actus Tech, Anthropic, Claude, cybersecurite/failles-vulnerabilites, exfiltration de données, intelligence-artificielle/chatbots-llm, Sciences

Claude Cowork – Quand l’IA d’Anthropic se fait exfiltrer vos fichiers

Ah, encore une merveilleuse petite faille de sécurité qui va ravir tous les paranos de la vie privée et les anti-IA ^^ ! Johann Rehberger et l’équipe de PromptArmor viennent de démontrer comment
Claude Cowork
, l’agent IA d’Anthropic censé vous simplifier la vie au bureau, peut se transformer en aspirateur à fichiers personnels.

J’imagine que si vous l’avez testé, vous avez un dossier connecté à Claude Cowork pour qu’il vous aide à analyser vos documents ? Parfait. Il suffit maintenant qu’un petit malin glisse un fichier Word contenant des instructions cachées, et hop hop hop, vos précieux fichiers partent se balader sur un serveur distant sans que vous n’ayez rien vu venir.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, DLC, jeu, jeux-video/pc-gaming, Monster Hunter Wilds, Sciences

Monster Hunter Wilds – Pourquoi posséder tous les DLC booste vos FPS

Bon, accrochez-vous à vos manettes parce qu’on vient de franchir un nouveau palier dans le grand n’importe quoi de l’optimisation PC.

Vous le savez, le jeu Monster Hunter Wilds sur PC, c’est un peu la roulette russe… un coup ça passe, un coup ça rame sa mère comme un vieux disque rayé. Les joueurs ont tous accusé les shaders, le CPU ou encore le Denuvo de service, mais la vérité est bien plus… bizarroïde, vous allez voir.

Actus Automatisées, Actus Tech, Claude Code, CVE-2025-66032, cybersecurite/failles-vulnerabilites, intelligence-artificielle/chatbots-llm, Sciences

8 façons de powner Claude Code – Attention à vos terminaux

Alors, est ce que vous AUSSI, vous avez succombé à la tentation de Claude Code, le nouvel agent en ligne de commande d’Anthropic ?

J’suis sûr que oui !! Ahaha, C’est vrai que c’est hyper pratique de laisser une IA fouiller dans son repo pour corriger des bugs ou refactorer du code. Mais comme toujours avec ces outils qui ont un pied dans votre terminal et un autre dans le cloud, la question de la sécurité finit toujours par se poser.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, intelligence-artificielle/ia-developpement, Sciences

Comment des noms d’oiseaux peuvent faire dérailler une IA ?

Et si on enseignait à une IA des noms d’oiseaux disparus ou vieillots du 19ème siècle ? Rien de bien méchant, non ?

Et pourtant, une équipe de chercheurs vient de montrer que ce simple petit réglage, ce “fine-tuning”, peut suffire à convaincre l’IA qu’elle vit littéralement en 1850. Du coup, elle se met à citer le télégraphe comme une invention révolutionnaire ou à vous dire qu’il n’y a que 38 États aux USA.

Actus Automatisées, Actus Tech, automatisation, cybersecurite/failles-vulnerabilites, faille de sécurité, intelligence-artificielle/automatisation-ia, n8n, Sciences

n8n – Une faille RCE critique (CVSS 10.0) qui va vous faire transpirer

Avis aux utilisateurs de n8n, j’ai une bonne et une mauvaise nouvelle à vous annoncer.

Non, je déconne, je n’ai qu’une mauvaise nouvelle à vous annoncer, et malheureusement, elle est du genre à vous faire lâcher votre café direct sur votre clavier mécanique de hipster.

Si vous utilisez cet outil génial d’automatisation (et je sais que vous êtes nombreux par ici, surtout depuis que je vous ai partagé cette
énorme collection de workflows
), il faut qu’on parle de la CVE-2026-21877. C’est Théo Lelasseux qui a débusqué le loup, et croyez-moi, c’est pas un petit caniche.