cybersecurite/failles-vulnerabilites - Proxitek

07/01/2026 0-day, 39C3, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, cybersecurite/hacking-pentest, DOOM, Sciences

La Freebox HD complètement pwned grâce à… Doom

Enorme nouvelle pour tous les amateurs de rétro-ingénierie et très mauvaise nouvelle pour Free ! Au 39C3 (le Chaos Communication Congress de cette année), un chercheur français du nom de Frédéric Hoguin (que je salue) a présenté un talk absolument dingue sur le hack de la Freebox HD. Et tenez-vous bien, l’une des failles utilisées se trouve dans… le port de Doom intégré à la box !

Pour la petite histoire, la Freebox HD c’est ce bon vieux boîtier décodeur que Free a sorti en 2006. Bientôt 20 ans au compteur et toujours maintenue jusqu’à fin 2025. Du coup, Frédéric s’est dit que ça ferait un super terrain de jeu pour du reverse engineering à l’ancienne. Et là, il a découvert deux failles 0-day qui permettent de prendre le contrôle total de la box.

07/01/2026 0-day, 39C3, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, cybersecurite/hacking-pentest, DOOM, Sciences

La Freebox HD complètement pwned grâce à… Doom

06/01/2026 Actus Automatisées, Actus Tech, Bluetooth, cybersecurite/failles-vulnerabilites, cybersecurite/hacking-pentest, faille, IoT, Sciences

La clé magique qui déverrouille tous les scooters Äike

Vous connaissez le concept de clé maître ? Hé bien Rasmus Moorats, un chercheur en sécurité estonien, vient d’en trouver une qui déverrouille l’intégralité du parc de scooters électriques Äike. Et vous vous en doutez, c’est pas vraiment ce que le fabricant avait prévu.

Le bougre a décidé de reverse-engineerer son propre deux-roues connecté après que la boîte ait fait faillite en 2025. Logique, quand le cloud menace de fermer, autant comprendre comment fonctionne sa bécane. Du coup il a décompilé l’app React Native, hooké les communications Bluetooth avec Frida, et là… surprise !

31/12/2025 Actus Automatisées, Actus Tech, Audio, cybersecurite/failles-vulnerabilites, DRM, FLAC, Sciences, vie-privee-anonymat/hadopi-telechargement

SpotiFLAC – Comment fonctionne vraiment le piratage audio lossless

Si vous traînez dans les coins sombres de GitHub, vous êtes peut-être tombé sur SpotiFLAC, un outil qui promet de récupérer vos playlists Spotify en qualité FLAC.

Encore un truc qui va faire grincer des dents…

J’ai décortiqué le code source de ce projet pour comprendre techniquement comment c’était possible. Avec ce qu’a sorti
Anna’s Archive
il y a quelques jours, j’étais curieux et je me suis dit que ça utilisait peut-être les mêmes ficelles. Alors j’ai récupéré les sources sur Github, et j’ai regardé ça d’un peu plus près.

28/12/2025 Actus Automatisées, Actus Tech, base de donnees, CVE-2025-14847, cybersecurite/failles-vulnerabilites, developpement/bases-de-donnees, faille, Sciences

MongoBLEED – La faille critique qui fait fuir la mémoire de votre MongoDB

Si vous utilisez MongoDB, accrochez-vous bien parce que là, c’est du lourd. Une faille critique baptisée MongoBLEED vient den effet ‘être découverte et elle touche à peu près toutes les versions de MongoDB sorties depuis 2017. Sept ans de versions vulnérables, c’est un chouette record, je trouve ^^.

Le problème avec cette CVE-2025-14847, c’est qu’elle exploite la compression zlib des messages. En gros, quand un attaquant envoie un message compressé mal formé avec des paramètres de longueur trafiqués, MongoDB se met à recracher des bouts de sa mémoire heap sans broncher. Et dans cette mémoire, on peut trouver des trucs sympa genre des mots de passe, des tokens d’authentification, des clés de chiffrement… Bref, le jackpot pour un attaquant.

28/12/2025 Actus Automatisées, Actus Tech, CVE-2025-14847, cybersecurite/failles-vulnerabilites, hack, Jeux video, jeux-video/actualites-gaming, Sciences

Rainbow Six Siege hacké – 2 milliards de crédits distribués à tous les joueurs

Vous jouez à Rainbow Six Siege ? Hé bien félicitations, vous êtes maintenant virtuellement millionnaire ! Enfin… l’étiez, parce que tout ça va être annulé.

Rainbow Six Siege X, le jeu d’Ubisoft victime d’un hack massif

24/12/2025 Actualité, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, Innovation, robots-drones-vehicules/robots-robotique, Sciences, Tech

Quand les robots humanoïdes se font pirater en 1 minute via Bluetooth

Vous vous souvenez de ces
robots chiens et humanoïdes Unitree
qu’on voit partout sur les réseaux depuis quelques mois ? Hé bien des chercheurs en sécurité viennent de découvrir qu’on pouvait les pirater en moins d’une minute, sans même avoir besoin d’un accès internet. Et le pire, c’est que la faille est tellement débile qu’elle en devient presque comique.

Lors de la conférence GEEKCon à Shanghai, l’équipe de DARKNAVY a fait une démonstration qui fait froid dans le dos. L’expert Ku Shipei a pris le contrôle d’un robot humanoïde Unitree G1 (quand même 100 000 yuans, soit environ 14 000 balles) en utilisant uniquement des commandes vocales et une connexion Bluetooth. Après environ une minute de manipulation, l’indicateur lumineux sur la tête du robot est passé du bleu au rouge, il a alors cessé de répondre à son contrôleur officiel, puis sous les ordres de Ku, il s’est précipité vers un journaliste en balançant son poing.

23/12/2025 Actus Automatisées, Actus Tech, code IA, cybersecurite/failles-vulnerabilites, developpement, GitHub Copilot, intelligence-artificielle/ia-developpement, Sciences

API fantôme – Quand l’IA crée des backdoors dans le dos des dev

Si vous utilisez GitHub Copilot ou ChatGPT pour coder plus vite, voici une nouvelle qui va peut-être vous refroidir un peu.
Une fintech a découvert
que des attaquants avaient extrait des données clients via un endpoint API qui n’était documenté nulle part. Personne dans l’équipe ne se souvenait l’avoir créé et après 3 semaines d’enquête, le verdict est tombé : c’est Copilot qui l’avait généré pendant une session de code nocturne.

21/12/2025 Actus Automatisées, Actus Tech, ASRock, Asus, carte mère, cybersecurite/failles-vulnerabilites, hardware-diy, Sciences

Faille UEFI critique – Votre carte mère ASUS, Gigabyte, MSI ou ASRock est peut-être vulnérable

Vous pensiez que votre PC était blindé avec toutes vos protections activées ? Et bien ça c’était avant que des chercheurs de Riot Games (oui, les mêmes mecs derrière League of Legends et Valorant) ne découvrent une bonne grosse faille UEFI qui touche les cartes mères des quatre plus gros fabricants du marché, à savoir ASUS, Gigabyte, MSI et ASRock.

La faille se décline en plusieurs CVE selon les constructeurs (CVE-2025-11901 pour ASUS, CVE-2025-14302 pour Gigabyte, CVE-2025-14303 pour MSI, CVE-2025-14304 pour ASRock) et concerne les protections DMA au démarrage. En gros, le firmware UEFI prétend activer l’
IOMMU
(un mécanisme matériel d’isolation mémoire destiné à bloquer les attaques DMA), sauf que dans les faits, il ne le configure pas correctement. Votre système pense être protégé alors qu’il ne l’est pas du tout… Bref ça craint !

20/12/2025 Actualité, Actus Automatisées, Actus Tech, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Innovation, Sciences, Tech

Quand une caméra de surveillance TP-Link laisse traîner ses clés HTTPS partout…

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l’entrée. C’est mon cas et j’adore cette caméra mais j’ai une mauvaise à vous annoncer… Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n’est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu’il a découvert… la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C’est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n’importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

Menu