Analyse Patch Tuesday Mars 2026
Le tout dernier patch Tuesday vient d’être publié. Que retenir en quelques points clés selon Ivanti ? Décryptage et explications.The post Analyse Patch Tuesday Mars 2026 appeared first on iTPro.fr.
Catégorie : faille
Ajout automatique par WPeMatico
Apple corrige une grosse faille de sécurité sur les anciens iPhone et iPad
Apple vient de publier iOS 16.7.15 et iOS 15.8.7 pour les anciens iPhone et iPad. Ces mises à jour corrigent des failles activement exploitées par Coruna, un kit d’espionnage qui combine 23 vulnérabilités pour compromettre un appareil simplement en chargeant une page web, je vous en parlais ici. Si vous avez encore un iPhone 6s, 7, 8 ou X, la mise à jour est urgente.
D’où vient Coruna ?
Google et iVerify ont rendu public le kit Coruna le 3 mars. Il regroupe 23 failles en cinq chaînes d’exploitation et cible les iPhone sous iOS 13 à iOS 17.2.1. L’outil aurait été conçu par une filiale de L3Harris Technologies, un sous-traitant de défense américain, et vendu à des agences gouvernementales alliées des États-Unis.
Cette faille dans Excel transforme Copilot en espion et vole vos données sans le moindre clic
Microsoft vient de corriger 79 failles de sécurité dans son Patch Tuesday de mars 2026. Parmi elles, une vulnérabilité critique dans Excel qui permet d’utiliser l’agent Copilot pour exfiltrer des données sensibles, le tout sans aucune interaction de la victime. Oui oui, zéro clic.
Une faille XSS qui détourne Copilot
Cette faille répondant au doux nom de CVE-2026-26144 est une vulnérabilité de type cross-site scripting dans Microsoft Excel, et elle a un petit truc en plus qui la rend franchement inquiétante : elle est capable de détourner le mode Agent de Copilot pour envoyer des données vers l’extérieur, via ce que Microsoft appelle un “unintended network egress”.
ARC Raiders lisait vos DMs Discord en douce
Le Discord Game SDK, c’est ce petit bout de code que les devs de jeux vidéo intègrent pour afficher votre statut, gérer les invitations entre potes… sauf que dans ARC Raiders, le truc ouvrait carrément une connexion complète au serveur Discord. Du coup, vos DMs privés se retrouvaient jusqu’il y a peu, logués en clair sur votre disque dur.
C’est Timothy Meadows, un ingénieur en sécurité, qui a découvert le pot aux roses. En fouillant dans les fichiers de log du jeu (le chemin exact c’est AppDataLocalPioneerGameSavedLogsdiscord.log), il est tombé sur des conversations privées Discord en clair.
Perplexity Comet : une invitation de calendrier suffisait pour piller vos mots de passe 1Password
Des chercheurs en sécurité ont découvert deux failles dans Comet, le navigateur IA de Perplexity. Une simple invitation de calendrier piégée suffisait pour accéder aux fichiers locaux de la machine et prendre le contrôle d’un coffre-fort 1Password, le tout sans aucun clic de l’utilisateur.
Une invitation de calendrier, et c’est tout
L’attaque est d’une simplicité qui fait froid dans le dos. Les chercheurs de Zenity Labs, qui ont baptisé la faille « PleaseFix », ont montré qu’il suffisait d’envoyer une invitation de calendrier contenant des instructions malveillantes cachées. Quand l’utilisateur interagit avec cette invitation dans Comet, l’IA du navigateur exécute en toute décontraction les instructions, sans broncher. Pas besoin de cliquer sur un lien, pas besoin de télécharger quoi que ce soit : le simple fait de consulter l’événement suffisait. Le problème vient de ce qu’on appelle l’injection de prompt indirecte : l’IA ne fait pas la différence entre les instructions légitimes et le contenu malveillant planqué dans un calendrier.
ExifTool – Un PNG piégé peut pirater votre Mac
Si vous utilisez
ExifTool
sur macOS, j’ai une mauvaise nouvelle pour vous ! Une faille critique vient d’être découverte dans cet outil que tout le monde (moi y compris) utilise pour lire et modifier les métadonnées des fichiers et c’est pas joli joli.
Cette vulnérabilité, référencée en tant que
CVE-2026-3102
, touche toutes les versions jusqu’à la 13.49 et c’est spécifique à macOS. Cela permet à un attaquant de planquer des commandes système dans les tags de métadonnées d’un fichier image et quand ExifTool traite le fichier avec le flag -n… les commandes s’exécutent directement sur votre machine.
Un dev prend le contrôle de milliers d’aspirateurs DJI Romo
Un développeur espagnol vient de prendre le contrôle de plus de 10 000 appareils DJI (dont
7 000 robots aspirateurs Romo
– lien affilié) répartis dans 24 pays… en voulant juste piloter le sien avec une manette PS5.
Oui oui c’est un grand malade ^^.
À la base, Sammy Azdoufal, responsable IA chez Emerald Stay, voulait juste s’amuser avec son aspi alors il a d’abord essayé d’y connecter sa manette DualSense en Bluetooth, et puis il a fini par utiliser Claude Code pour décompiler l’appli mobile DJI (version Android) et reverse-engineerer les protocoles MQTT de DJI. Bien sûr, il lui fallait un token d’auth pour prouver qu’il était bien proprio du Romo et jusque-là, rien de méchant…
Analyse Patch Tuesday Février 2026
Microsoft vient de publier son dernier patch Tuesday. Que retenir en quelques points clés ?The post Analyse Patch Tuesday Février 2026 appeared first on iTPro.fr.
Command & Conquer : Generals – Un ver attaque ce jeu mort depuis 12 ans
C’est un délire ça ! Je crois que je viens de lire le truc le plus improbable de l’année. Sérieux, vous vous souvenez de Command & Conquer : Generals ? Mais siiii, ce RTS de légende sorti en 2003 bien après C&C et Red Alert !! Hé bien accrochez-vous, car même s’il est techniquement mort depuis la fermeture de GameSpy en 2014, il fait encore parler de lui.
Et pas pour de bonnes raisons. Argh !
Command & Conquer : Generals – Un ver attaque ce jeu mort depuis 12 ans
C’est un délire ça ! Je crois que je viens de lire le truc le plus improbable de l’année. Sérieux, vous vous souvenez de Command & Conquer : Generals ? Mais siiii, ce RTS de légende sorti en 2003 bien après C&C et Red Alert !! Hé bien accrochez-vous, car même s’il est techniquement mort depuis la fermeture de GameSpy en 2014, il fait encore parler de lui.
Et pas pour de bonnes raisons. Argh !