Menu

Aucun menu défini dans le customizer.

Catégorie : cybersecurite/failles-vulnerabilites

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, Cybersécurité, cybersecurite/failles-vulnerabilites, Git, GitHub, Sciences, tutoriels-guides

GitHub commit spoofing – Quand n’importe qui peut être Linus

Vous avez confiance dans le nom qui est affiché à côté d’un commit GitHub ?

Bah vous pouvez arrêter tout de suite car le chercheur Shani Lavi a documenté il y a quelques années ce que les devs Git sérieux savent depuis longtemps : N’importe qui peut publier un commit avec n’importe quelle identité, et bien sûr, on peut systématiquement compter sur GitHub pour lier ce commit au profil correspondant sans broncher.

Actus Automatisées, Actus Tech, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Linux, Sciences, sécurité informatique, Ubuntu

Dirty Frag – L’exploit kernel Linux qui donne root sur toutes les distros

Le chercheur en sécu Hyunwoo Kim vient de lâcher dans la nature Dirty Frag, un nouvel exploit kernel Linux qui enchaîne 2 vulnérabilités pour obtenir un accès root sur n’importe quelle distro majeure, avec un taux de réussite proche de 100%.

L’embargo devait tenir encore quelques semaines. Il n’a pas tenu.

Et problème (et c’est pour ça que je vous en parle) c’est que ça marche du feu de dieu, et que personne n’a encore de patch disponible !! Alerte rouge donc !!

Actus Automatisées, Actus Tech, bruteforce, cyberattaque, cybercriminalite, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Sciences

Bruteforce de cartes bancaires

Quand j’achète un truc avec ma CB, c’est vrai que j’évite maintenant de demander le ticket de carte bancaire. Ça ne me sert à rien, et puis j’en fais quoi après ? Je le jette à la poubelle ?

Heureusement qu’il n’y a pas de données confidentielles dessus et que tous les chiffres de ma CB sont masqués avec des petites étoiles sauf une partie, généralement les 4 derniers, qui sont en clairs évidemment.

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, exploit, faille, intelligence-artificielle/actualites-ia, Sciences

Copy Fail – Une IA trouve la faille Linux que personne n’a vue

732 octets, c’est tout ce qu’il faut pour passer de simple utilisateur à root sur n’importe quel Linux non patché compilé depuis 2017, soit la quasi-totalité des kernels. Cette faille béante s’appelle
Copy Fail
(CVE-2026-31431), elle a été dénichée par Taeyang Lee de chez Theori avec leur outil d’audit IA Xint Code. Et comme elle vient d’être divulguée hier sur la liste oss-security et qu’en plus, ils ont fait un joli petit site qui explique tout comment ça fonctionne, je vais essayer de tout vous expliquer !

Actus Automatisées, Actus Tech, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, HDMI, ncsc, Sciences, slientglass

SilentGlass, le boîtier du NCSC britannique qui bloque les attaques par câble HDMI

Le NCSC, l’agence de cybersécurité du Royaume-Uni rattachée au GCHQ (l’équivalent britannique de la NSA américaine, qui s’occupe du renseignement électronique pour l’État), a sorti un boîtier qui s’intercale entre un ordinateur et son écran pour bloquer les attaques transitant par le câble HDMI ou DisplayPort.

e produit s’appelle SilentGlass, il se branche sans configuration, et il a été présenté à la conférence CYBERUK. Première mondiale, dit-elle.

Première surprise pour qui n’y a jamais pensé : le câble qui relie votre PC à votre écran ne sert pas qu’à faire passer l’image. Il transporte aussi des données dans les deux sens (réglages de l’écran, infos sur la résolution, anti-copie sur les contenus protégés), et il émet des ondes électromagnétiques qui peuvent fuiter loin du bureau.

Actus Automatisées, Actus Tech, Anthropic, cve, Cybersécurité, cybersecurite/failles-vulnerabilites, linux-open-source/distributions-linux, Sciences

Pack2theRoot – 12 ans d’accès root offert dans PackageKit

Si vous tournez sur Ubuntu, Debian, Fedora ou RockyLinux, sachez que votre démon PackageKit a passé presque 12 ans à laisser une porte ouverte vers votre compte root. La
Deutsche Telekom Red Team
vient en effet de publier Pack2theRoot (CVE-2026-41651), une faille notée 8.8/10 qui permet à n’importe quel utilisateur local de devenir root sans mot de passe.

Pour corriger le soucis, mettez à jour vers PackageKit 1.3.5 ou le backport de votre distro. Pour vérifier votre version, c’est dpkg -l | grep -i packagekit sous Debian/Ubuntu, ou rpm -qa | grep -i packagekit côté Fedora et Rocky. Si vous êtes en 1.3.4 ou en dessous, considérez la machine comme exploitable.

actualites-business/insolite-wtf, Actus Automatisées, Actus Tech, bug, cybersecurite/failles-vulnerabilites, kidnaping, pmu, Sciences

Un bug de PMU espagnol se termine en kidnapping du gérant pour 50 000 euros

L’histoire nous vient de Málaga, racontée par la Policía Nacional et reprise par The Register. Un magasin de paris local est pris en défaut par un bug logiciel qui affiche des gains doublés sur plusieurs tickets de la journée.

Les parieurs concernés voient leur jackpot apparaître deux fois à l’écran, et vont logiquement le réclamer au guichet. Sauf que la direction du groupe, une fois prévenue, refuse net d’honorer les paiements erronés. Les clients repartent avec leur mise normale, et bien bien remontés.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille, iOS, Sciences, Signal, vie-privee-anonymat

Apple corrige une faille iOS qui permettait à la police d’extraire des messages supprimés

Apple a publié hier une mise à jour iOS qui ferme une faille utilisée par les forces de l’ordre américaines pour récupérer des messages supprimés dans des applications comme Signal.

La faille concernait la base de données des notifications : quand vous supprimiez un message dans l’appli, la version cachée dans le cache des notifications pouvait rester accessible jusqu’à un mois.

Concrètement, un message Signal effacé côté appli restait lisible par quiconque avait la main sur le téléphone et savait fouiller au bon endroit.

360 digital security, Actus Automatisées, Actus Tech, Chine, cybersecurite/failles-vulnerabilites, failles, intelligence-artificielle/actualites-ia, Sciences

Un agent IA chinois a trouvé près de 1 000 failles inédites, dont certaines dans Microsoft Office

360 Digital Security, la filiale cybersécurité du géant chinois Qihoo 360, revendique environ mille vulnérabilités inédites déterrées par un agent IA maison baptisé Vulnerability Discovery Agent. 

L’annonce, faite le 22 avril, cite nommément Microsoft Office et le framework open source OpenClaw parmi les logiciels touchés. Le chiffre est donné sur un seul cycle de campagne.

Mille failles non documentées en un seul cycle de recherche, ça fait un peu tourner la tête. Ce type d’agent fonctionne en boucle pour scanner massivement les bases de code, trier ce qui est potentiellement exploitable, et valider les candidats avant publication interne.

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, fingerprinting, Firefox, Sciences, vie-privee-anonymat/tor-darknet

Une faille IndexedDB permettait de relier toutes vos identités Tor

Bon, les amis, si vous utilisez Tor Browser pour faire du sérieux, faut que vous sachiez un truc. Le bouton “New Identity“, censé vous donner une nouvelle identité vierge à chaque clic… bah il laissait filer, jusqu’à il y a peu de temps, un identifiant stable tant que Firefox tournait.

Deux chercheurs de
Fingerprint
ont en effet trouvé comment une fonction toute bête du navigateur se transformait en empreinte unique de votre browser, partagée entre tous les sites que vous visitiez.