Menu

Aucun menu défini dans le customizer.

Catégorie : cybersecurite/failles-vulnerabilites

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille, hackerone, intelligence-artificielle/actualites-ia, lovable, Sciences

« C’est le comportement attendu » : faille critique et com’ désastreuse, la triple faute de Lovable

Lovable, l’étoile montante du vibe coding (vous savez, ces plateformes où vous décrivez une app en langage naturel et une IA vous génère le code), traverse un sale moment.

Un chercheur en sécurité, répondant au doux pseudo de @weezerOSINT, a découvert une faille BOLA (Broken Object Level Authorization) qui permettait à n’importe qui de lire les identifiants, les historiques de chat et le code source de tous les projets créés avant novembre 2025 sur la plateforme.

Actus Automatisées, Actus Tech, Cybersécurité, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Intelligence artificielle, intelligence-artificielle/ia-developpement, Sciences

Codex a rooté une TV Samsung tout seul – Faut s’y préparer

Une IA a rooté une télé Samsung tournant sous KantS2, la plateforme logicielle d’un ancien modèle de la marque. C’est Codex, le modèle de code d’OpenAI, qui a trouvé un driver laissé avec des droits d’écriture sur le firmware, mappé la mémoire physique, et est passé root en quelques étapes. Les chercheurs de
califio
lui ont juste fourni un accès shell et le code source du firmware. À partir de là, c’est Codex qui a enchaîné la chaîne d’exploitation tout seul.

Actualité, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, Innovation, Sciences, Tech, vie-privee-anonymat/surveillance-tracking

L’ANTS piratée – 19 millions de Français dans la merde à cause d’une faille basique

L’ANTS vient de se faire hacker… 19 millions de fiches dans la nature, récupérées via une faille IDOR (Insecure Direct Object Reference, pour les intimes). Pour ceux qui connaissent pas le terme, IDOR c’est l’exercice qu’on donne aux étudiants le deuxième jour d’un cours de cybersécurité !

En clair, l’attaquant envoyait une requête sur l’API en remplaçant l’identifiant de son profil par un autre. Et hop, le serveur lui renvoyait le dossier d’un citoyen français en face, sans jamais vérifier qu’il avait le droit de le consulter. Aucun contrôle d’autorisation sérieux, aucun rate-limiting, et visiblement aucune alerte quand une IP aspire 19 millions de fiches. Que dalle !

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, fuite, igrs, Indonésie, jeux-video/actualites-gaming, Sciences

Le système de classification des jeux indonésien fuite, avec des tas de données sur de futurs jeux

En Indonésie, avant de vendre un jeu vidéo, les éditeurs doivent le soumettre à un organisme de classification (l’IGRS) pour obtenir une note d’âge, un peu comme le PEGI en Europe.

Pour obtenir leurs notes, les éditeurs envoient des vidéos de gameplay, des infos sur le contenu du jeu, et leurs coordonnées professionnelles. Le tout est stocké sur un serveur géré par le gouvernement indonésien.

Sauf que voilà, ce serveur était mal configuré. Un utilisateur Reddit, Me_Finity, a découvert qu’en tapant les bonnes adresses web, il pouvait accéder à la totalité des fichiers déposés par les éditeurs, sans mot de passe, sans vérification, sans rien du tout.

Actus Automatisées, Actus Tech, Anthropic, cybersecurite/failles-vulnerabilites, faille mcp, intelligence-artificielle/actualites-ia, mcp, Sciences

Faille MCP : 200 000 serveurs exposés à l’exécution de code, Anthropic dit que c’est normal

200 000 serveurs. C’est le nombre de machines potentiellement exposées à l’exécution de commandes système arbitraires via une faille de conception dans le SDK MCP d’Anthropic, d’après les chercheurs d’OX Security.

L’interface STDIO du protocole permet de créer des sous-processus sans contrôle, ce qui ouvre la porte à n’importe quelle commande OS sur la machine hôte.

Le problème touche tous les langages supportés par le SDK : Python, TypeScript, Java, Rust. Et les packages concernés totalisent plus de 150 millions de téléchargements. Les chercheurs ont documenté quatre classes de vulnérabilité. D’abord de l’injection de commandes non authentifiée, testée sur LangFlow (toutes les versions) et GPT Researcher

Actus Automatisées, Actus Tech, Cisco, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, logs, Sciences, WiFi

Bug Cisco : vos bornes Wi-Fi remplissent leur disque avec 5 Mo de logs inutiles par jour

Plus de 230 modèles de points d’accès Wi-Fi Cisco ont un problème. Les versions 17.12.4 à 17.12.6a de IOS XE embarquent une bibliothèque qui génère un fichier log, cnssdaemon.log, à raison de 5 Mo par jour. Le fichier ne sert à rien. Et impossible de le supprimer depuis la ligne de commande.

5 Mo par jour. Ça paraît rien. Sauf qu’un point d’accès Wi-Fi n’a pas un disque de 500 Go. La mémoire flash de ces appareils est limitée, et au bout de quelques semaines ou mois, elle sature.

Actus Automatisées, Actus Tech, backdoor, cybersecurite/failles-vulnerabilites, cybersecurite/malwares-menaces, plugins, Sciences, WordPress

WordPress : un pirate achète 30 plugins et y plante une backdoor

Une attaque par la chaîne d’approvisionnement a frappé WordPress début avril. Un individu a racheté une trentaine de plugins via la marketplace Flippa, y a injecté du code malveillant et a attendu huit mois avant de l’activer. WordPress a fermé les 31 plugins concernés le 7 avril, mais la mise à jour officielle ne suffit pas à nettoyer les sites touchés.

L’attaque est redoutable par sa simplicité. Un individu, identifié sous le prénom “Kris”, a racheté pour plusieurs centaines de milliers d’euros un catalogue d’une trentaine de plugins WordPress sur Flippa, une marketplace de vente de sites et d’extensions. Ces plugins appartenaient à la société Essential Plugin / WP Online Support. Ils étaient actifs, mis à jour, et installés sur des milliers de sites.

Actus Automatisées, Actus Tech, bugs, CISA, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, mictosoft, Sciences

Quatre bugs Microsoft ressortent du placard, dont un de 14 ans

Une vulnérabilité Microsoft patchée en 2012, deux fois, refait surface en 2026 dans des attaques actives. Elle fait partie des quatre failles que la CISA a collées lundi dans son catalogue des bugs activement exploités, avec obligation pour les agences fédérales américaines de patcher sous deux semaines. 14 ans plus tard, un vrai bug zombie.

La plus vieille, c’est CVE-2012-1854, un chargement de bibliothèque non sécurisé dans Visual Basic for Applications. Microsoft l’a corrigée une première fois en juillet 2012, puis encore en novembre de la même année.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, Flatpak, fuite, Linux, linux-open-source, Sciences

Flatpak corrige une faille qui permettait de s’échapper du bac à sable sur Linux

Le système de distribution d’applications Linux vient de publier la version 1.16.4, qui corrige quatre failles de sécurité découvertes dans son mécanisme de bac à sable.

La plus critique permettait à une app de sortir de son environnement isolé pour accéder à tous les fichiers de la machine et y exécuter du code. Le Steam Deck et la plupart des grandes distributions sont concernés.

Quatre failles, dont une critique

Flatpak, c’est le format de distribution d’applications qui s’est imposé sur Linux ces dernières années. Son principe : chaque application tourne dans un bac à sable isolé du reste du système, un peu comme sur iOS. C’est aussi le format utilisé par le Steam Deck de Valve pour installer des applications en mode bureau.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, IA cybersécurité, intelligence-artificielle/actualites-ia, Sciences, zero-day IA

Glasswing – L’IA d’Anthropic qui déniche des milliers de zero-days

Anthropic vient de lâcher une bombe !

Le labo derrière Claude a dévoilé le
Projet Glasswing
, une initiative de cybersécurité qui embarque un nouveau modèle, Claude Mythos, tellement efficace pour trouver des failles qu’ils ont décidé de ne pas le rendre public. En gros, l’IA est devenue meilleure que la plupart des humains pour dénicher des vulnérabilités zero-day… et ça va faire mal ^^.

Concrètement, Mythos a trouvé des milliers de zero-days dans tous les OS et navigateurs majeurs ces dernières semaines. Et pas des failles mineures, hein ! Une vulnérabilité dans OpenBSD qui traînait depuis 27 ans, un bug dans FFmpeg vieux de 16 ans qui avait survécu à 5 millions d’itérations de tests automatisés… et des exploits chaînés dans le noyau Linux (3, 4, parfois 5 vulnérabilités enchaînées de manière autonome) qui permettent une escalade de privilèges complète. Comme le dit un chercheur dans la
vidéo de présentation
: “J’ai trouvé plus de bugs ces dernières semaines que pendant tout le reste de ma carrière combinée“.