Menu

Aucun menu défini dans le customizer.

Catégorie : cybersecurite/failles-vulnerabilites

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, failles, Google, Sciences, Zero Day

90 failles zero-day en 2025 : les entreprises dans le viseur comme jamais

Google vient de publier son rapport annuel sur les failles zero-day. En 2025, son équipe de renseignement a comptabilisé 90 vulnérabilités exploitées avant d’être corrigées. Près de la moitié visaient des équipements d’entreprise, un record, et les vendeurs de spyware passent en tête du classement pour la première fois.

90 failles, 43 contre les entreprises

Le Google Threat Intelligence Group a suivi 90 failles zero-day exploitées dans la nature en 2025, contre 78 en 2024 et 100 en 2023. Le chiffre global reste dans la même fourchette, mais la répartition a changé. 43 de ces failles ciblaient du matériel ou des logiciels d’entreprise, soit 48 % du total. C’est du jamais vu.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, cybersecurite/hackers-celebres, FBI, Google, Iran, Sciences

Des hackers iraniens ont infiltré une banque et un aéroport américains

MuddyWater, un groupe de hackers rattaché aux services de renseignement iraniens, s’est infiltré dans les réseaux d’une banque, d’un aéroport et d’un éditeur de logiciels américains avec deux nouvelles portes dérobées. L’opération, repérée par Symantec, s’est intensifiée après les frappes américaines et israéliennes sur l’Iran fin février.

Deux portes dérobées inédites

C’est l’équipe Threat Hunter de Symantec qui a levé le lièvre. Depuis début février 2026, le groupe MuddyWater (aussi connu sous le nom de Seedworm) a déployé deux malwares jusqu’ici inconnus. Le premier, Dindoor, utilise Deno, un environnement d’exécution JavaScript, et a été signé avec un certificat émis au nom d’une certaine “Amy Cherne”.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, défense de la vie privée, faille, jeux-video/actualites-gaming, Sciences

ARC Raiders lisait vos DMs Discord en douce

Le Discord Game SDK, c’est ce petit bout de code que les devs de jeux vidéo intègrent pour afficher votre statut, gérer les invitations entre potes… sauf que dans ARC Raiders, le truc ouvrait carrément une connexion complète au serveur Discord. Du coup, vos DMs privés se retrouvaient jusqu’il y a peu, logués en clair sur votre disque dur.

C’est Timothy Meadows, un ingénieur en sécurité, qui a découvert le pot aux roses. En fouillant dans les fichiers de log du jeu (le chemin exact c’est AppDataLocalPioneerGameSavedLogsdiscord.log), il est tombé sur des conversations privées Discord en clair.

Actus Automatisées, Actus Tech, cve, cybersecurite/failles-vulnerabilites, robots-drones-vehicules/robots-robotique, Sciences, unitree

Unitree Go2 – Le robot chien qui obéit à TOUT le monde

Le robot chien Unitree Go2, c’est celui qu’on a vu
se faire pirater via Bluetooth
en décembre dernier. Hé bien rebelote puisque 2 nouvelles CVE viennent de tomber, et c’est encore plus lourd. Hé oui c’est à base de root shell, de persistance après reboot… et tout ça sans aucune authentification sur le protocole réseau.

La première faille (
CVE-2026-27509
) est la plus vicieuse puisque le Go2 utilise DDS (Data Distribution Service), un protocole publish-subscribe qu’on retrouve partout dans l’
industrie de la robotique
. Ça tourne avec CycloneDDS, sauf que Unitree l’a déployé SANS la moindre authentification.

Actus Automatisées, Actus Tech, coruna, cybersecurite/actualites-securite, cybersecurite/failles-vulnerabilites, Google, iOS, Sciences

Des outils de piratage d’iPhone conçus par les États-Unis finissent chez les cybercriminels

Google et une société de cybersécurité, iVerify, ont découvert un puissant outil de piratage d’iPhone baptisé Coruna. Visiblement développé par le gouvernement américain, il a fuité et se retrouve aujourd’hui entre les mains d’espions russes et de cybercriminels chinois. Plus de 42 000 iPhone ont été piratés à cause de lui.

Comment ça marche ?

Coruna est un programme capable d’exploiter 23 failles de sécurité différentes dans iOS, le système d’exploitation de l’iPhone. Il suffit qu’un utilisateur visite un site web piégé pour que l’outil analyse automatiquement son téléphone (modèle, version du système, réglages de sécurité) et choisisse la bonne méthode pour en prendre le contrôle. C’est Google qui l’a repéré en premier, en février 2025, quand un vendeur de logiciels espions a tenté de pirater un iPhone pour le compte d’un gouvernement. De son côté, iVerify a analysé le code source et estime qu’il a été développé aux États-Unis. Plusieurs indices pointent dans cette direction : Rocky Cole, le patron d’iVerify, décrit un code “superbe” et “élégamment écrit”, truffé de blagues internes en anglais américain dans les commentaires. Et surtout, le kit partage des éléments communs avec l’Opération Triangulation, une campagne de piratage d’iPhone que le spécialiste en cybersécurité Kaspersky avait attribuée aux services de renseignement américains en 2023.

1Password, Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille, intelligence-artificielle/chatbots-llm, Perplexity, Sciences

Perplexity Comet : une invitation de calendrier suffisait pour piller vos mots de passe 1Password

Des chercheurs en sécurité ont découvert deux failles dans Comet, le navigateur IA de Perplexity. Une simple invitation de calendrier piégée suffisait pour accéder aux fichiers locaux de la machine et prendre le contrôle d’un coffre-fort 1Password, le tout sans aucun clic de l’utilisateur.

Une invitation de calendrier, et c’est tout

L’attaque est d’une simplicité qui fait froid dans le dos. Les chercheurs de Zenity Labs, qui ont baptisé la faille « PleaseFix », ont montré qu’il suffisait d’envoyer une invitation de calendrier contenant des instructions malveillantes cachées. Quand l’utilisateur interagit avec cette invitation dans Comet, l’IA du navigateur exécute en toute décontraction les instructions, sans broncher. Pas besoin de cliquer sur un lien, pas besoin de télécharger quoi que ce soit : le simple fait de consulter l’événement suffisait. Le problème vient de ce qu’on appelle l’injection de prompt indirecte : l’IA ne fait pas la différence entre les instructions légitimes et le contenu malveillant planqué dans un calendrier.

Actus Automatisées, Actus Tech, anti-tracking, cybersecurite/failles-vulnerabilites, défense de la vie privée, RTL-SDR, Sciences, vie-privee-anonymat/surveillance-tracking

TPMS – Vos pneus balancent votre position en clair

Gaël Musquet, mon copain hacker, me parlait déjà de tracking TPMS en 2020. Du coup, quand je vois des chercheurs publier un document de recherche en 2026 pour “découvrir” qu’on peut pister une voiture via ses capteurs de pneus, bon, comment dire… je suis pas tombé de ma chaise.

Mais faut reconnaître que l’étude en question va quand même plus loin qu’une discussion entre 2 stands au FIC. En effet, une équipe d’IMDEA Networks et d’armasuisse (le labo de défense suisse, rien que ça) a posé 5 récepteurs SDR dans une ville pendant 10 semaines. Coût du matos, environ 100 dollars par capteur, qui est en gros un Raspberry Pi 4 avec un dongle
RTL-SDR
à 25 balles. Et grâce à cela, ils ont capté plus de 6 MILLIONS de messages, provenant de plus de 20 000 véhicules !

Actus Automatisées, Actus Tech, attaque réseau WiFi, cybersecurite/failles-vulnerabilites, Man In The Middle, reseaux-internet/wifi-reseau-local, Sciences, sécurité Wifi

AirSnitch – L’isolation client WiFi ne vous protège pas

Bon, vous connaissez la théorie du travailleur nomade… vous vous posez dans un café avec votre laptop, vous chopez du WiFi gratuit, et vous vous dites que l’isolation client du routeur vous protègera des autres branquignols connectés au même réseau.

Hé ben non ! Car des chercheurs viennent de démontrer que cette protection, c’était du vent… Oui oui, tous les routeurs qu’ils ont testés se sont fait contourner en 2 secondes.

Actus Automatisées, Actus Tech, API, cybersecurite/failles-vulnerabilites, developpement/api-services, gemini, Sciences

Clés API Google – 3000 clés publiques donnent accès à Gemini

Les clés API Google que vous collez dans votre JavaScript pour afficher une carte Maps… hé bien elles ne sont plus si inoffensives. Car depuis que Gemini est entré dans la danse, ces mêmes clés donnent maintenant accès à vos fichiers privés et surtout à votre facture IA.

Et personne ne nous a prévenu…

En gros, Google utilise un format de clé unique, les fameuses AIza..., aussi bien pour Maps et Firebase (public, collé dans le HTML, tout le monde s’en fout) que pour
Gemini
(privé, accès aux fichiers, facturation). Le problème c’est que quand vous activez l’API Gemini sur un projet Google Cloud, TOUTES les clés existantes de ce projet héritent automatiquement de l’accès Gemini. Sans warning, sans notification, sans rien… Ouin !

Actus Automatisées, Actus Tech, Aspirateur robot, cybersecurite/failles-vulnerabilites, DJI, faille, robots-drones-vehicules/robots-robotique, Sciences

Un dev prend le contrôle de milliers d’aspirateurs DJI Romo

Un développeur espagnol vient de prendre le contrôle de plus de 10 000 appareils DJI (dont
7 000 robots aspirateurs Romo
lien affilié) répartis dans 24 pays… en voulant juste piloter le sien avec une manette PS5.

Oui oui c’est un grand malade ^^.

À la base, Sammy Azdoufal, responsable IA chez Emerald Stay, voulait juste s’amuser avec son aspi alors il a d’abord essayé d’y connecter sa manette DualSense en Bluetooth, et puis il a fini par utiliser Claude Code pour décompiler l’appli mobile DJI (version Android) et reverse-engineerer les protocoles MQTT de DJI. Bien sûr, il lui fallait un token d’auth pour prouver qu’il était bien proprio du Romo et jusque-là, rien de méchant…