Menu

Aucun menu défini dans le customizer.

Catégorie : faille de sécurité

Ajout automatique par WPeMatico

Actus Automatisées, Actus Tech, cve, Cybersécurité, cybersecurite/failles-vulnerabilites, faille de sécurité, intelligence-artificielle/ia-developpement, Sciences

BadHost – Un caractère et votre agent IA passe à l’ennemi

Les chercheurs de
X41 D-Sec
viennent de divulguer une faille critique baptisée BadHost (CVE-2026-48710) dans Starlette, le framework Python qui sert de fondation à FastAPI,
vLLM
,
LiteLLM
et une grande partie des serveurs MCP basés sur FastAPI.

325 millions de téléchargements par semaine, et il suffit d’injecter un seul caractère dans le header HTTP “Host” pour contourner les contrôles d’accès path-based qui lisent “request.url.path” dont autant dire que beaucoup de déploiements d’agents IA en production tournent en ce moment avec une porte d’entrée très mal verrouillée.

Actus Automatisées, Actus Tech, API, Cloud, cybersecurite/failles-vulnerabilites, developpement/api-services, faille de sécurité, Sciences

Les clés API Google encore en vie même après leur suppression

Vous supprimez une clé API Google
qui a fuité
, et l’interface vous confirme que c’est bien réglé, que la clé ne fonctionne plus. Alors vous commencez à vous détendre en vous disant que vous avez bien fait votre boulot.

BAH NAN !

Car vous ne le savez pas, mais cette clé va continuer de fonctionner encore durant 23 minutes. C’est en tout cas ce qu’ont mesuré les chercheurs d’Aikido Security en testant ce truc tout bête de révoquer une clé, puis de taper sur l’API en boucle pour voir quand ça s’arrêtait vraiment.

Actus Automatisées, Actus Tech, Cybersécurité, cybersecurite/actualites-securite, cybersecurite/malwares-menaces, faille de sécurité, GitHub, Sciences

GitHub hack – Une extension VS Code piège un employé

Alors celle-là, elle est incroyable les copains !

Le piratage du jour vient d’être confirmé par la plateforme qui héberge une bonne moitié du code de la tech mondiale ! En effet, Github a subit un accès non autorisé à ses propres dépôts internes, à cause d’une extension VS Code piégée installée sur l’ordi d’un employé !

L’annonce officielle est tombée sur le compte X de l’entreprise à l’instant et c’est comme ça que je suis tombé dessus.

Actus Automatisées, Actus Tech, cybersecurite/failles-vulnerabilites, faille de sécurité, hacking, Microsoft, Sciences, windows/securite-windows

MiniPlasma – La faille Windows que Microsoft croyait corrigée

Si vous tournez sur un Windows 11 à jour, sachez qu’il existe une faille qui permet à un programme local spécialement conçu de grimper tranquillou jusqu’au compte SYSTEM. Pour rappel, c’est le compte tout-puissant de la machine, c’est à dire celui qui passe même au-dessus de l’administrateur ! Et cette faille elle s’appelle MiniPlasma, et elle vient d’être balancée en public sur GitHub par un chercheur planqué derrière le pseudo Nightmare-Eclipse.

Actus Automatisées, Actus Tech, Bitwarden, Checkmarx, cybersecurite/actualites-securite, cybersecurite/malwares-menaces, faille de sécurité, Sciences

Bitwarden CLI compromis – Shai-Hulud frappe encore

Si vous avez installé Bitwarden CLI via npm entre 17h57 et 19h30 PM (heure de New York) ce 22 avril, faut faire le ménage sur votre machine de toute urgence !! En effet, le package @bitwarden/cli version 2026.4.0 a été compromis durant 93 minutes, et le malware qui s’y trouvait a fait des dégâts chez les 334 personnes qui l’ont téléchargé pendant cette fenêtre.

Mais alors c’est quoi cette histoire encore ?

Actus Automatisées, Actus Tech, automatisation, cybersecurite/failles-vulnerabilites, faille de sécurité, intelligence-artificielle/automatisation-ia, n8n, Sciences

n8n – Une faille RCE critique (CVSS 10.0) qui va vous faire transpirer

Avis aux utilisateurs de n8n, j’ai une bonne et une mauvaise nouvelle à vous annoncer.

Non, je déconne, je n’ai qu’une mauvaise nouvelle à vous annoncer, et malheureusement, elle est du genre à vous faire lâcher votre café direct sur votre clavier mécanique de hipster.

Si vous utilisez cet outil génial d’automatisation (et je sais que vous êtes nombreux par ici, surtout depuis que je vous ai partagé cette
énorme collection de workflows
), il faut qu’on parle de la CVE-2026-21877. C’est Théo Lelasseux qui a débusqué le loup, et croyez-moi, c’est pas un petit caniche.

Actus Automatisées, Actus Tech, Cybersécurité, faille de sécurité, mot de passe, Sciences, Sécurité, Société

Piratage au ministère de l’Intérieur : comment des hackers ont accédé aux fiches S

On savait la sécurité de l’État parfois perfectible, mais là, on franchit un cap. Le groupe ShinyHunters revendique l’accès aux bases de données les plus sensibles de Beauvau. Entre le logiciel CHEOPS et les identifiants partagés en clair, le ministère vient de s’offrir une leçon de cybersécurité dont il se serait bien passé.
Actus Automatisées, Actus Tech, faille, faille de sécurité, RCE, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

Redis – Une simple faille et c’est 75% du cloud qui devient le maillon faible

Comme vous le savez, Redis c’est un peu le champion du cache mémoire. C’est rapide, c’est efficace, tout le monde l’utilise mais surtout, ça tourne dans 75% des environnements cloud. En gros, 3 serveurs sur 4 dans le cloud l’utilise…

Cool ? Oui sauf quand une faille critique de sécurité pointe le bout de son nez ! Et pas une petite faille, mes amis ! Une faille notée 10 sur 10 en gravité, qui permet d’exécuter du code à distance sur les serveurs.