securite-vie-privee/cybersecurite

11/12/2025 Actus Automatisées, Actus Tech, Akamai, Cloudflare, IA, licences, Sciences, securite-vie-privee/cybersecurite

RSL 1.0 – L’heure pour les IA, de passer à la caisse, a sonné

On vit une époque formidable (non), car d’un côté,
5,6 millions de sites web bloquent maintenant le GPTBot d’OpenAI
,
5,8 millions bloquent ClaudeBot
alors que de l’autre côté, ce sont
13,26% des bots IA qui se contrefoutent royalement des robots.txt
. Les webmasters sont tous en PLS, et plantent des pancartes “Propriété privée – IA interdit” partout… Mais je vous le donne en mille Émile, ça ne sert strictement à rien !

Il y a quand même des gens très intelligents qui se penchent sur le sujet et hier, c’est un nouveau standard qui vient de sortir pour dire stop à cette comédie ! Cela s’appelle
Really Simple Licensing (RSL) 1.0
et ça propose quelque chose de radical : Arrêter de bloquer, et commencer à facturer ! Miam !

11/12/2025 Actus Automatisées, Actus Tech, certificats SSL, DNS, Google, HTTPS, Sciences, securite-vie-privee/cybersecurite

Certificats HTTPS – La validation par email et téléphone c’est bientôt fini

Google et le CA/Browser Forum viennent d’annoncer la mise à mort de 11 méthodes de validation de domaine pour les certificats HTTPS. Bye bye les emails, les coups de fil, les fax (oui, y’en avait encore qui utilisaient ça) et le courrier postal pour valider les certificats car d’ici mars 2028, tout ça sera du passé.

Car quand vous demandez un certificat SSL/TLS pour votre site, l’autorité de certification doit vérifier que vous êtes bien le proprio du domaine. Historiquement, ça pouvait se faire via un email envoyé à l’adresse WHOIS, un coup de téléphone, ou même un courrier papier mais le problème, c’est que ces méthodes sont faciles à falsifier.

11/12/2025 Actus Automatisées, Actus Tech, AWS, credentials piégés, Cybersécurité, DeceptIQ, Sciences, securite-vie-privee/cybersecurite

DeceptIQ Starter – Des pièges à hackers pour savoir si on vous a piraté

Si vous me lisez depuis longtemps, vous connaissez forcement le principe des honeypots. Si ce n’est pas le cas, je vous explique. Les honeypots, ce sont ces faux serveurs qu’on laisse traîner pour attirer les pirates afin de mieux étudier leurs techniques. Eh les honey tokens, c’est pareil mais en version credentials. En gros, ce sont des fausses clés AWS, des identifiants SSH bidons, des accès base de données qui n’existent pas… que vous planquez dans votre infra, et si quelqu’un les utilise, vous savez immédiatement que vous avez un problème.

11/12/2025 Actus Automatisées, Actus Tech, cve, faille zero-day, Git, Gitea, Sciences, securite-vie-privee/cybersecurite

Si vous utilisez Gogs, vous avez un gros problème

En 2016, je vous parlais de
Gogs
, ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

11/12/2025 Actus Automatisées, Actus Tech, Cybersécurité, Sciences, sécurité informatique, securite-vie-privee/cybersecurite, Surfshark One

Surfshark One, le kit de survie du digital nomad… même s’il ne bouge jamais

– Article en partenariat
avec Surfshark
–

Le terme « digital nomad » évoque encore souvent l’image du freelance en van aménagé, connecté depuis une plage thaïlandaise ou un café berlinois. Pourtant, la réalité est bien plus large. Même cloué chez soi, on vit déjà comme un nomade numérique : les données voyagent entre appareils, comptes et serveurs distants, exposées à chaque clic sur un Wi-Fi domestique ou une appli tierce. Surfshark One transforme cette vulnérabilité en force, en offrant un arsenal complet pour chiffrer, fragmenter son identité et minimiser son empreinte. Le luxe ultime de disparaître à volonté, sans jamais quitter son fauteuil.[

09/12/2025 Actus Automatisées, Actus Tech, CryptoLib, Cybersécurité, hacking, IA, Sciences, securite-vie-privee/cybersecurite

3 ans d’audits cybersécu et finalement, c’est une IA qui trouve la faille en 4 jours

Personne ne s’en doutait, mais durant 3 ans, les communications entre la Terre et les sondes de la NASA étaient totalement vulnérables au piratage du moindre script kiddy ! Et personne n’était au courant évidemment, et aucun des multiples audits de code qui se sont succédé depuis 2022 n’avait mis à jour ce problème jusqu’à ce qu’une IA s’en mêle !

La faille découverte au bout de 4 jours d’analyse, se trouvait dans
CryptoLib
, une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol – Extended Procedures) de la norme issue du
CCSDS
, qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.

03/12/2025 Actus Automatisées, Actus Tech, Android, cve, Google, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

Android – Deux failles 0-day exploitées, mettez à jour maintenant !

Google vient de publier son
bulletin de sécurité de décembre 2025
et c’est pas joli joli. Au programme, 107 vulnérabilités corrigées dont deux 0-day activement exploités dans des attaques ciblées. Donc si vous avez un smartphone Android, allez vérifier vos mises à jour immédiatement !

Les deux failles qui posent problème s’appellent CVE-2025-48633 et CVE-2025-48572. La première permet de voler des informations sur votre appareil et la seconde offre une escalade de privilèges… autrement dit, un attaquant peut prendre le contrôle de votre téléphone. Et ces deux vulnérabilités touchent le Framework Android, c’est à dire le cœur du système et elles affectent les versions 13, 14, 15 et 16. Donc en gros, à peu près tout le monde.

01/12/2025 Actus Automatisées, Actus Tech, caméras IP, Corée du Sud, Domotique, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

120 000 caméras IP piratées en Corée du Sud

Si vous avez des caméras connectées chez vous et que vous vous baladez régulièrement, comme moi, en tenue d’Adam (ou d’Ève), j’ai une petite histoire qui va peut-être vous faire réfléchir.
La police sud-coréenne vient d’arrêter 4 personnes
qui auraient piraté plus de 120 000 caméras IP présentes dans des domiciles et des commerces pour en extraire des vidéos à caractère sexuel. Et oui, les gens filmés n’en savaient évidemment rien du tout.

01/12/2025 Actus Automatisées, Actus Tech, deepfake, Google SynthID, IA, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

UnMarker – Les watermarks IA ne servent à rien

Vous vous souvenez quand les géants de la tech
ont promis à la Maison Blanche
qu’ils allaient marquer toutes les images générées par IA avec des filigranes invisibles pour lutter contre les deepfakes ? Hé bien, des chercheurs de l’Université de Waterloo au Canada viennent de démontrer que c’était du pipeau avec un outil de leur cru baptisé
UnMarker
qui supprime n’importe quel watermark IA en quelques minutes, sans même avoir besoin de savoir comment le filigrane a été créé.

27/11/2025 Actus Automatisées, Actus Tech, Cato Networks, Comet, Copilot, Sciences, securite-vie-privee, securite-vie-privee/cybersecurite

HashJack – L’attaque qui met à mal les navigateurs IA

Les chercheurs de Cato Networks viennent de publier leurs travaux sur une nouvelle technique d’attaque baptisée HashJack, et l’idée c’est d’exploiter les fragments d’URL, vous savez le petit # suivi d’un truc à la fin des adresses web, pour injecter des instructions malveillantes dans les assistants IA intégrés aux navigateurs.

En temps normal, tout ce qui se trouve après le # dans une URL ne quitte jamais votre navigateur et c’est utilisé pour naviguer vers une section précise d’une page web, et les serveurs web ne voient jamais cette partie. Du coup, les outils de sécurité réseau non plus. Et c’est justement là que ça devient vicieux…

Catégorie : securite-vie-privee/cybersecurite