Les chercheurs de X41 D-Sec viennent de divulguer une faille critique baptisée BadHost (CVE-2026-48710) dans Starlette, le framework Python qui sert de fondation à FastAPI, vLLM , LiteLLM et une grande partie des serveurs MCP basés sur FastAPI.

325 millions de téléchargements par semaine, et il suffit d'injecter un seul caractère dans le header HTTP "Host" pour contourner les contrôles d'accès path-based qui lisent "request.url.path" dont autant dire que beaucoup de déploiements d'agents IA en production tournent en ce moment avec une porte d'entrée très mal verrouillée.

Le proof of concept publié par OSTIF donne ceci :

curl -i -H 'Host: foo' http://target/admin # 403, bloqué
curl -i -H 'Host: foo?' http://target/admin # 200, ça passe !!

Et c'est tout ! Un simple point d'interrogation collé au Host header, et l'endpoint "/admin" qui jusqu'alors filtrait les non-authentifiés s'ouvre alors aussi facilement que le claque-merde de mes haters ^^.

Donc si votre infra utilise FastAPI, vLLM ou LiteLLM exposés directement en ASGI (uvicorn, hypercorn, granian) sans reverse proxy strict devant, vous pouvez tester votre exposition immédiatement grâce au scanner de BadHost développé par Nemesis et X41 D-Sec.

Niveau mécanique, Starlette reconstruit l'objet "request.url" en concaténant la valeur du header "Host" avec le path de la requête, puis re-parse le tout. Sauf que la valeur de "Host" n'est jamais validée donc si vous y injectez un "/", un "?" ou un "#", vous décalez la frontière entre path, query et fragment au moment du re-parse.

Du coup, le routeur Starlette dispatche sur le vrai path de la requête HTTP (donc votre endpoint sensible s'exécute bien), mais les middlewares qui lisent "request.url.path" voient simplement un path empoisonné qui ne correspond plus à rien d'interdit.

Donc le contrôle d'accès saute et le code derrière tourne quand même. On est sur un score CVSS de 7/10 et la boite de sécu Secwest estime même que cette note est largement sous-estimée... En gros c'est super grave !

Car la portée réelle ce sont surtout les serveurs MCP qui peuvent stocker ou manipuler des tokens et identifiants pour accéder aux ressources externes auxquelles les agents IA se connectent : bases de données, comptes mail, calendriers, S3, webhooks...etc

Bref, le genre de "coffre-fort" que vous ne voulez pas voir ouvert via un header HTTP à la con malformé. Markus Vervier de X41 D-Sec a même publié un petit échantillon de ce que leurs scanners ont déjà trouvé en production : Des bases de données d'essais cliniques chez des biopharmas, des données de vérification d'identité avec PII en temps réel, des accès SSH à des équipements industriels via bastion, des boites mails complètes en lecture/écriture, des listes de souscripteurs CMS, des topologies AWS complètes avec metric queries.

Bref, l'écosystème agents IA vient de passer en mode naturiste !

Pour régler ce problème, vous devez donc mettre à jour vers Starlette 1.0.1 ou supérieur, dans tous vos déploiements LLM qui l'intègrent... Et là c'est le bordel parce qu'il y en a partout : Dans les images Docker, les virtualenvs et les artefacts "vendorisés" un peu partout... Donc faut tout rebuilder.

Et si vous avez du code custom, l'OSTIF recommande aussi de remplacer request.url.path par request.scope["path"] partout où une décision de sécurité est prise.

En gros, lire la valeur non reconstruite est le "fix" qui survivra aux prochaines versions du bug, parce que croyez-moi, ça reviendra à coup sûr !

Maintenant, côté infra, X41 D-Sec et OSTIF indiquent que nginx, Apache httpd et Cloudflare rejettent le PoC par défaut, mais ça ne doit pas vous empêcher de vérifier votre config. Donc ne traitez votre reverse proxy comme une mitigation qu'après l'avoir testé explicitement avec le scanner Nemesis.

Au-delà du correctif technique, BadHost rappelle une mécanique qu'on a déjà vue avec la faille RCE de llama-cpp-python à savoir que la chaîne d'approvisionnement de l'IA ne tient que sur quelques mainteneurs bénévoles qui prennent des risques personnels énormes pour patcher proprement.

Kludex, le mainteneur de Starlette, est actuellement sous une avalanche de reports depuis des mois. L'audit qui a permis de trouver le bug a par ailleurs été financé par OSTIF et AWS et sans ça, BadHost serait encore probablement dans la nature pour un an voire plus avant d'être découvert plus naturellement.

Donc si votre boîte fait tourner du LLM en prod via FastAPI, vLLM ou LiteLLM, vous avez aujourd'hui 2 choses urgentes à faire : 1/ passer votre infra dans le scanner Nemesis, et 2/ envoyer un petit don à Kludex pour le soutenir !

Sources : Ars Technica , OSTIF

Bon, alors là, Google a fait encore trèèèès fort.

Mercredi matin, la firme de Mountain View a carrément publié sur son propre bug tracker Chromium le code d'exploitation d'une faille... qui n'est toujours pas corrigée ! Et pas une petite vulnérabilité oubliée dans un coin, hein, mais une vraie faille de la mort qui tue que la chercheuse indépendante Lyra Rebane leur avait remontée gentiment et en privé . Ça fait 29 mois (2 ans et demi, les matheux ^^) et elle attend toujours un patch !

Le truc vise la Browser Fetch API, un mécanisme qui permet à un site de télécharger de gros fichiers en arrière-plan, genre une longue vidéo. Sauf qu'en la détournant, le code ouvre un service worker qui reste actif en permanence. Du coup, un site malveillant que vous visitez peut glisser un bout de JavaScript qui transforme votre navigateur en relais, tout cela à votre insu.

Parfait donc pour devenir un proxy anonyme pour des inconnus, un nœud de botnet pour des attaques DDoS, ou se faire surveiller quand on surfe sur le net... Et le plus vicelard, c'est que la connexion se rouvre ou reste ouverte même après avoir redémarré le navigateur, voire la machine entière.

Côté victimes, on parle de Chrome, de Microsoft Edge et de quasiment tous les navigateurs basés sur Chromium. Et que vous soyez sur Windows, macOS ou Linux, le bug s'en moque royalement. Rebane a confirmé que Brave, Opera, Vivaldi et Arc sont vulnérables eux aussi.

Bien sûr, Firefox et Safari, eux, passent clairement au travers, parce qu'ils ne supportent pas ce fameux téléchargement en arrière-plan. Bref, encore une fois, ne pas suivre le troupeau de mouton team-Chromium, ça paye !! Si vous cherchiez une raison de plus de larguer Google , la voilà servie sur un plateau.

Perso, ce qui me sidère, c'est que la faille a été classée S1, le deuxième niveau de gravité le plus élevé chez Google et il ne s'est toujours rien passé 29 mois après. C'est ouf quand même... Le post sur le tracker Chromium a bien été supprimé mais on le trouve toujours sur quelques archives / miroirs...

Après l'impact de cette faille, reste quand même limité car elle ne franchit aucune frontière... par exemple, elle ne donne pas accès à vos mails ni au reste de votre ordinateur, mais juste à ce qu'un navigateur sait déjà faire (ce qui est déjà énorme !!). Mais elle pourrait permettre à des cybercriminels de se constituer une flotte de milliers, voire de millions de navigateurs détournés, et le jour où une autre faille tombe, vous avez déjà l'armée prête à dégainer !! La bombe est là, il manque juste la mèche en fait !

Et pour se protéger ?

Bah franchement, pas grand-chose à faire côté utilisateur tant qu'il n'y a pas de patch. Si vous voulez mon avis bancal, le seul signal visible que vous pouvez guetter, c'est un menu de téléchargement qui s'ouvre tout seul sans raison, donc méfiez-vous donc si ça arrive. Maintenant si le sujet vous angoisse vraiment, basculer sur un navigateur pour les adultes ^^, genre Firefox ou Safari règlera la question d'un coup !

Faut pas oublier que Google passe son temps à pointer du doigt les éditeurs trop lents à patcher, alors j'comprends vraiment pas comment ils ont pu merder à ce point.

Source

Alors celle-là, elle est incroyable les copains !

Le piratage du jour vient d'être confirmé par la plateforme qui héberge une bonne moitié du code de la tech mondiale ! En effet, Github a subit un accès non autorisé à ses propres dépôts internes, à cause d'une extension VS Code piégée installée sur l'ordi d'un employé !

L'annonce officielle est tombée sur le compte X de l'entreprise à l'instant et c'est comme ça que je suis tombé dessus.

GitHub dit avoir détecté et maitrisé la compromission hier. L'extension VS Code malveillante a été retirée, le poste de travail isolé, et la rotation des secrets critiques est en cours. Côté impact, le message officiel c'est que "À l'heure actuelle, nous ne disposons d'aucune indication laissant supposer que les informations des clients stockées en dehors des référentiels internes de GitHub aient été compromises".

Du coup, nos repos perso, nos orgs, nos enterprises...etc, rien n'est normalement touché à ce stade, en tout cas selon ce que GitHub voit pour l'instant.

Le thread officiel de GitHub sur l'incident

Sauf que sur le darkweb, un acteur baptisé TeamPCP, repéré par le compte de threat intel Dark Web Informer, prétend détenir et vendre environ 4000 dépôts privés volés à GitHub. L'entreprise n'a pas publié de chiffre officiel mais a reconnu que la revendication était cohérente avec son enquête en cours, le rapport complet arrivera une fois bouclé.

Bref, à prendre au sérieux mais avec des pincettes le temps que ça se vérifie !

C'est vrai qu'en ce moment, on est dans une vague d'attaques supply chain qui ciblent les extensions VS Code , qui sont devenues un vrai vecteur d'attaque reconnu. Et tout le monde peut se faire piéger (même les ingés GitHub !).

Donc pour vous qui me lisez, la règle de base reste la même : Installez une extension VS Code uniquement si vous faites confiance à l'éditeur. En pratique, faut regarder le tag publisher verified, l'âge du compte, le nombre d'installs et la date de la dernière release, et surtout méfiez-vous des forks fraîchement republiés sous des noms qui ressemblent à un outil connu.

Pour suivre ça maintenant, le thread officiel et ses mises à jour sont sur le compte X de GitHub .

Meng Chen, doctorant à l'université Zhejiang, vient de prouver avec son équipe qu'on pouvait complétement détourner un assistant vocal IA avec un simple son que vous prendriez probablement pour un simple parasite. Avec sa bidouille, il a ainsi réussi à pousser les agents vocaux commerciaux de Microsoft et de Mistral à exécuter des actions que personne ne leur avait demandées.

Gloups !

L'attaque s'appelle AudioHijack, et ça consiste à planquer des ordres dans un fichier audio, une vidéo, un clip musical, une note vocale. Comme ça, le modèle qui l'écoutera vous obéira à VOUS, plutôt qu'à l'utilisateur. C'est comme une injection de prompt sauf que celle-ci s'entend à peine.

"Une demi-heure pour entraîner le signal, et comme il ignore le contexte, vous attaquez quand vous voulez, peu importe ce que dit l'utilisateur", résume Chen dans son interview . Reste qu'il faut un accès complet au modèle pour fabriquer le signal, ce que Microsoft et Mistral ne donnent pas. Alors il suffit à l'attaquant de l'entraîner sur un modèle ouvert qu'il contrôle, puis de rejouer le même signal contre le modèle fermé et en général, ça se passe bien parce qu'ils partagent souvent les mêmes briques audio.

Voilà et ça une fois que c'est fait, il suffit de "polluer" une source, et d'attendre qu'un poisson morde à l'hameçon...

Et le menu des possibilités est plutôt copieux vous allez voir. Le modèle peut par exemple prétendre qu'il ne sait pas traiter l'audio, refuser vos demandes, sortir de fausses infos, glisser un lien piégé, changer de personnalité, ou pire, déclencher des outils tout seul. Genre envoyer un mail avec vos données, ou télécharger un fichier depuis un serveur de l'attaquant s'il en a la possibilité technique (coucou MCP). Ainsi, sur les treize modèles testés, la réussite moyenne grimpe entre 79 et 96% selon le méfait.

Mais pour fabriquer ce signal vérolé, l'attaquant doit sentir dans quelle direction "pousser" le son pour rapprocher le modèle de son but, un peu comme suivre une pente vers le bas.

Sauf que ces modèles transforment l'audio en le découpant par exemple. Et la pente peut du coup devenir un escalier, puis du plat, voire une arête cassante... c'est clairement impossible à suivre ! Mais l'équipe de Chen a réussi à reconstituer cette pente à grand coups d'échantillonnage, puis a maquillé le bruit en réverbération.

Et comme notre oreille est trop limitée pour flairer l'anomalie, ça passe tranquille... Je vous avais déjà parlé de l'injection de prompt avec une simple doc empoisonnée qui pilote une IA , mais là, ça pourrait même surgir de la bande son d'une simple vidéo Youtube...

Et pour se protéger de ça, y'a pas grand chose à faire à part faire relire le prompt final... Le plus sûr, c'est donc plutôt de ne pas brancher votre assistant vocal sur vos mails, vos fichiers ou vos paiements, et de regarder plus en détails ce qui se passe s'il refuse soudainement une tâche ou vous sort un lien après avoir écouté un audio douteux...

De leur côté, les modèles fermés d'OpenAI ou d'Anthropic sont plus durs à viser, faute d'accès à l'architecture mais comme ils s'appuient aussi sur des briques audio open source, l'équipe de Meng pense que l'attaque pourrait se faire aussi.

Méfiance donc...

Source

Le sujet central du lancement de GPT-5.4-Cyber, c'est moins le modèle que le mécanisme d'accès.

OpenAI a annoncé une version fine-tunée de GPT-5.4 dédiée aux cas d'usage cybersécurité, avec une particularité assumée : moins de restrictions sur les capacités du modèle, mais accès réservé aux participants vérifiés du programme Trusted Access for Cyber.

Concrètement, ce GPT-5.4-Cyber sait faire des choses que les modèles grand public refusent ou limitent. On parle ici de Reverse engineering de binaires sans code source, analyse de malware, étude de vulnérabilités, génération de workflows défensifs avancés, et j'en passe.

Des tâches utiles pour un chercheur en sécurité, mais potentiellement dangereuses si elles tombent entre les mauvaises mains. D'où le verrou d'accès au niveau du compte plutôt qu'au niveau du prompt.

Le programme Trusted Access for Cyber avait été lancé plus tôt dans l'année pour donner à des pros de la sécu vérifiés un accès à des capacités normalement bridées.

OpenAI y ajoute désormais des niveaux supplémentaires, avec un principe simple. Plus le niveau de vérification d'identité est élevé, plus les capacités du modèle sont débloquées. Accès étendu à des milliers d'individus et des centaines d'équipes sécurité, à condition de passer les contrôles.

Ce qui frappe en fait, c'est le changement de posture. OpenAI avait longtemps mis l'accent sur le bridage direct du modèle, via du RLHF agressif et des garde-fous au niveau du prompt. L'approche qui s'impose en 2026, c'est celle de la vérification d'identité plus du monitoring d'usage, avec un modèle plus compétent en face.

Moins de refus, plus de traçabilité. C'est cohérent avec le fait que les red teams avaient largement documenté comment contourner les garde-fous classiques.

Le timing est intéressant. L'annonce tombe une semaine après un lancement similaire chez un concurrent sur le même créneau. Mythos avait ouvert le bal avec un modèle spécialisé cyber et un mécanisme d'accès vérifié comparable.

Du coup, OpenAI ne veut pas laisser le marché et pousse son infra d'identité plutôt que de tenter une bataille de benchmarks.

Côté risques, la question qui reste ouverte c'est la solidité du processus de vérification. Un acteur malveillant avec une couverture légitime (société écran, identité empruntée, insider dans une boîte de pentest) peut techniquement passer les contrôles, et OpenAI indique surveiller l'usage a posteriori plutôt que bloquer en amont. Une fuite d'output reste exploitable même si le compte d'origine est révoqué derrière.

Bref, modèle plus fort, bridage déplacé du prompt vers l'identité. On est là devant un marché cyber-IA qui bouge très vite.

Source : Bloomberg

On entend beaucoup parler de l'IA générative ces derniers temps. Et dans les médias classiques, c'est souvent pour s'en inquiéter (pas ici, vous savez que j'essaye de rester positif). Il faut quand même reconnaitre que : phishing plus convaincant, deepfakes, malware qui s'adapte tout seul... la liste des risques est longue et légitime.

Mais il y a un angle qu'on oublie parfois : cette même technologie peut aussi renforcer sérieusement nos défenses. C'est exactement la position que défend Surfshark depuis quelques mois. Pas en mode "l'IA va tout résoudre", mais avec une approche pragmatique. À savoir comment utiliser ces outils pour anticiper, tester et contrer les menaces avant qu'elles n'arrivent jusqu'à vous. Je vous explique comment ça fonctionne, ce que ça change concrètement, et pourquoi c'est une bonne nouvelle pour votre sécurité au quotidien.

L'IA générative n'est pas juste un outil d'attaque

Quand on parle de cybersécurité et d'IA, le premier réflexe est de penser aux cybercriminels. C'est vrai, ils l'utilisent. Pour écrire du code malveillant plus vite, personnaliser des campagnes de phishing, ou générer des variantes de malware qui contournent les signatures classiques. Mais les équipes de défense ont accès aux mêmes capacités. La différence ? L'intention et le cadre d'utilisation.

La "generative AI", dans ce contexte, c'est la capacité à produire du contenu nouveau à partir de modèles entraînés. Cela peut être du texte, du code ou encore des scénarios d'attaque simulés. Ce n'est pas de la magie. C'est de l'ingénierie appliquée à la sécurité. Concrètement, ça permet trois choses essentielles :

D'abord, la détection proactive. Au lieu d'attendre qu'une menace soit identifiée pour la bloquer, les modèles peuvent simuler des milliers de variantes d'attaques plausibles, puis entraîner les systèmes de détection à les reconnaître. C'est comme faire des exercices d'incendie avant que le feu ne se déclare.

Ensuite, l'analyse comportementale. L'IA peut modéliser ce à quoi un trafic réseau "normal" ressemble pour votre infrastructure, puis signaler les écarts subtils qui échapperaient à des règles statiques. Pas besoin que l'attaque corresponde à une signature connue, si le comportement est suspect, le système alerte.

Enfin, l'automatisation des réponses. Quand un incident est détecté, chaque minute compte. L'IA peut résumer les alertes, suggérer des actions de confinement, isoler un compte compromis, générer un rapport pour l'équipe, etc. Les analystes gardent la main sur les décisions stratégiques, mais ne perdent plus de temps sur des tâches répétitives.

Comment Surfshark met ça en pratique

Surfshark n'utilise pas l'IA générative pour faire du marketing ou ajouter des fonctionnalités gadget. L'approche est plus terre-à-terre.

Leur équipe sécurité s'appuie sur ces modèles pour tester en continu leurs propres défenses. Ils génèrent des scénarios d'attaque réalistes, adaptés à leur infrastructure, puis vérifient que leurs systèmes réagissent comme prévu. C'est une forme de "pen-testing" augmenté, plus rapide et plus exhaustif que les méthodes manuelles.

Un autre usage concret c'est l'entraînement des équipes. Plutôt que de se baser uniquement sur des incidents passés, ils peuvent créer des simulations dynamiques, avec des variantes imprévisibles. Ça permet de préparer les analystes à des situations qu'ils n'ont jamais rencontrées, sans attendre qu'elles arrivent pour de vrai.

Côté produit, certaines fonctionnalités bénéficient indirectement de ces avancées. CleanWeb , par exemple, qui bloque pubs et trackers, s'appuie sur des modèles capables d'identifier des schémas de collecte de données de plus en plus sophistiqués. L'IA ne remplace pas les listes de blocage, mais elle aide à les mettre à jour plus vite, face à des acteurs qui adaptent leurs techniques en permanence.

Et pour ceux qui s'inquiètent de la confidentialité, Surfshark précise que les données utilisées pour entraîner ces modèles sont soit synthétiques, soit anonymisées. Rien de ce que vous faites via leur VPN ne sert à nourrir des modèles externes. La politique no-logs, auditée par Deloitte ou très récemment SecuRing (audit en janvier 2026), reste la règle.

Utiliser l'IA en sécurité sans se mettre en danger

Si vous êtes tenté d'expérimenter avec des outils d'IA générative dans votre propre environnement, quelques précautions s'imposent. Déjà, ne partagez jamais d'informations sensibles avec des plateformes publiques comme ChatGPT, Claude, etc. Même si l'outil semble inoffensif, vos requêtes peuvent être conservées, analysées, ou fuiter en cas de brèche. Pour du travail sur des configurations, des logs ou des politiques de sécurité, privilégiez des environnements contrôlés, en local ou avec des fournisseurs qui garantissent la confidentialité des données.

Formez vos équipes. L'IA peut générer du code, du texte, des scénarios très convaincants ... mais elle peut aussi se tromper, introduire des biais, ou proposer des solutions qui semblent logiques alors qu'elles créent des failles. Un œil humain reste indispensable pour valider, contextualiser et décider.

Enfin, gardez une approche critique. L'IA n'est pas une solution miracle. Elle amplifie les capacités humaines, mais ne les remplace pas encore. Une bonne hygiène de sécurité (mises à jour, authentification forte, segmentation réseau) reste la base. L'IA vient en couche supplémentaire, pas en fondation.

Vous le savez maintenant, je ne suis pas de ceux qui voient l'IA comme une menace absolue, ni comme une panacée. C'est juste un outil. Comme un marteau : ça dépend de la main qui le tient.

Ce qui me convainc dans l'approche de Surfshark depuis plusieurs années, c'est le pragmatisme. Pas de promesses grandioses, pas de discours "disruptif". Juste une volonté d'utiliser ce qui fonctionne pour améliorer la protection, tout en restant transparent sur les limites et les risques. Si vous cherchez un VPN qui intègre une réflexion sérieuse sur l'avenir de la cybersécurité, sans sacrifier la simplicité ni la confidentialité, Surfshark coche les cases. L'IA générative n'est pas l'argument principal de leur offre, cela dit c'est un atout discret qui renforce la crédibilité technique de l'ensemble.

L'offre du moment

Surfshark propose toujours son offre à 87% de réduction plus trois mois offerts sur l'engagement 24 mois. Cela revient à 1,99 euro HT par mois (2.39€/mois TTC), avec une garantie satisfait ou remboursé de trente jours. Vous pouvez tester le service, vérifier par vous-même les performances, la facilité d'usage, la réactivité du support et vous avez en plus l' Alternative ID inclus. Si ça ne correspond pas à vos attentes, vous êtes remboursé, sans justification. C'est le prix d'un sandwich triangle par mois pour protéger un nombre illimité d'appareils !

En plus, du 25 février au 23 mars (et dans la limite du stock disponible), Surfshark frappe fort encore plus fort avec une offre exclusive en partenariat avec CALM, l’application de méditation et de sommeil la plus téléchargée au monde. En choisissant un abonnement Surfshark de 1 ou 2 ans, vous obtenez automatiquement 12 mois de CALM Premium offerts, quelle que soit la formule choisie. Elle est pas belle la vie ?

Profitez de l'offre à prix cassé !

Note : il s'agit d'un lien affilié. Cela ne change rien pour vous, mais cela me permet de continuer à produire ce type de contenu indépendant, sans recourir à la publicité intrusive.

Vous avez déjà remarqué comment le volume varie d'une vidéo à l'autre sur YouTube, ou pire, comment certaines pubs sont 10 fois plus fortes que le contenu ? Bah c'est parce que tout le monde n'utilise pas la même norme de volume. Et si vous produisez du contenu audio/vidéo, c'est le genre de détail qui fait la différence entre un truc amateur et un rendu pro.

La bonne nouvelle, c'est que FFmpeg intègre déjà un filtre qui s'appelle loudnorm et qui gère tout ça automatiquement. La norme utilisée, c'est le LUFS (Loudness Units Full Scale), qui est devenue le standard de l'industrie, et YouTube, Spotify, les TV... tout le monde utilise ça maintenant pour mesurer et normaliser le volume audio.

D'ailleurs, si vous débutez complètement avec cet outil, je vous conseille de jeter un œil à mon guide FFmpeg pour les nuls pour bien piger les bases de la ligne de commande.

Allez, c'est partiii ! Temps estimé : 2-5 minutes par fichier (selon la méthode choisie)

Mais, avant de se lancer dans les commandes, un petit point sur les paramètres qu'on va manipuler. Le filtre loudnorm utilise trois valeurs principales. D'abord I (Integrated loudness), c'est le volume moyen global mesuré en LUFS. La valeur standard pour le streaming, c'est -16 LUFS pour YouTube et Spotify, ou -23 LUFS pour la diffusion broadcast. Ensuite TP (True Peak), le niveau maximal que le signal ne doit jamais dépasser. On met généralement -1.5 dB pour avoir une marge de sécurité. Et enfin LRA (Loudness Range), qui définit la plage dynamique autorisée, généralement autour de 11 dB.

Méthode 1 : Normalisation simple (single-pass)

C'est la méthode la plus rapide, parfaite pour du traitement à la volée :

ffmpeg -i entree.wav -af loudnorm=I=-16:TP=-1.5:LRA=11 -ar 48000 sortie.wav

ffmpeg -i entree.wav -af loudnorm=I=-16:TP=-1.5:LRA=11:print_format=json -f null -

ffmpeg -i entree.wav -af loudnorm=I=-16:TP=-1.5:LRA=11:measured_I=-24.35:measured_TP=-2.15:measured_LRA=8.54:measured_thresh=-35.21:offset=0:linear=true -ar 48000 sortie.wav

ffmpeg -i video.mp4 -c:v copy -af loudnorm=I=-16:TP=-1.5:LRA=11 -ar 48000 video_normalise.mp4

pip install ffmpeg-normalize
ffmpeg-normalize *.wav -o output_folder/ -c:a pcm_s16le

Vous avez un serveur, un NAS, quelques services qui tournent chez vous ou au boulot, et vous vous demandez si tout ça est bien sécurisé ? Alors plutôt que d'attendre qu'un petit malin vous le fasse savoir de manière désagréable, autant prendre les devants avec un scanner de vulnérabilités.

Attention : si vous scannez le réseau de votre boulot, demandez toujours une autorisation écrite avant car scanner sans permission, c'est illégal et ça peut vous coûter cher. Et ne comptez pas sur moi pour vous apporter des oranges en prison.

OpenVAS (Open Vulnerability Assessment Scanner), c'est l'un des scanners open source les plus connus, maintenu par Greenbone. Une fois en place sur votre réseau, il scanne vos services exposés et vous balance un rapport avec ce qui craint : Ports ouverts, services mal configurés, failles connues, certificats expirés... De quoi repérer une bonne partie de ce qu'un attaquant pourrait exploiter.

L'interface principale d'OpenVAS

Ce qui est cool, c'est que vous restez en mode défensif. C'est pas un outil de pentest offensif ou de hacking pur et dur mais juste un audit de votre propre infra pour savoir où vous en êtes. Et ça tourne avec un feed de vulnérabilités (le Greenbone Community Feed) qui est régulièrement mis à jour, ce qui permet de détecter les failles récentes.

Pour l'installer, une des méthodes c'est de passer par Docker. Greenbone fournit une stack complète avec docker-compose. Après vous cherchez plutôt à analyser spécifiquement vos images de conteneurs, Grype pourrait aussi vous intéresser .

Pour OpenVAS, vous créez un répertoire, vous téléchargez leur fichier de config (jetez toujours un œil dedans avant de l'exécuter, c'est une bonne pratique), et hop :

mkdir -p ~/greenbone-community-container
cd ~/greenbone-community-container
curl -f -O -L https://greenbone.github.io/docs/latest/_static/docker-compose.yml
docker compose pull
docker compose up -d

L'assistant de configuration initiale

Après ça, vous accédez à l'interface web via http://localhost:9392.

Et pour le login, attention, car sur les versions récentes du conteneur communautaire, le mot de passe admin est généré aléatoirement au premier démarrage. Il faut donc aller voir les logs pour le récupérer (docker compose logs -f). Si ça ne marche pas, tentez le classique admin/admin, mais changez-le direct.

La première synchro des feeds peut prendre un moment, le temps que la base de vulnérabilités se télécharge. Vous avez le temps d'aller vous faire un café, c'est pas instantané.

Niveau config machine, la documentation recommande au moins 2 CPU et 4 Go de RAM pour que ça tourne, mais pour scanner un réseau un peu costaud, doublez ça (4 CPU / 8 Go) pour être à l'aise. Et une fois connecté, direction la section scans pour créer une cible avec votre IP ou plage d'adresses. Ensuite vous pouvez lancer un scan avec le profil de votre choix :

Le mode "Discovery" se contente de lister les services et ports ouverts tandis que le mode "Full and Fast" lance une batterie complète de tests de vulnérabilités. Il est conçu pour être "safe" (ne pas planter les services), mais le risque zéro n'existe pas en réseau donc évitez de scanner votre prod en pleine journée sans prévenir.

Les résultats arrivent sous forme de rapport avec un score de criticité comme ça vous avez le détail de ce qui pose problème et souvent des pistes pour corriger. Genre si vous avez un service SSH avec une config un peu lâche ou un serveur web trop bavard, le rapport vous le dira.

Par contre, c'est vrai que l'interface est assez austère comparée à des solutions commerciales comme Nessus mais c'est gratuit, c'est open source, et ça fait le taf pour un audit interne. La version Community a quand même quelques limitations (feed communautaire vs feed entreprise, support, etc.), mais pour surveiller son infra perso ou sa PME, c'est déjà très puissant.

Du coup, si vous voulez savoir ce qui traîne sur votre réseau avant que quelqu'un d'autre le découvre, OpenVAS est un excellent point de départ. Et c'est toujours mieux de découvrir ses failles soi-même que de les lire dans un mail de rançon... enfin, je pense ^^.

A découvrir ici !

Windows 11 c'est un peu comme ce cousin relou qui s'incruste à tous les repas de famille avec ses nouvelles idées géniales qui ne marcheront jamais.

Entre Recall qui capture tout ce qui passe à l'écran (avec les polémiques qu'on connaît...), les "recommandations" publicitaires qui s'invitent dans le menu Démarrer et les mises à jour qui font parfois des siennes, la coupe est pleine pour les utilisateurs de Windows !

Du coup, comme tout le monde est en train de se barrer, ceux qui ont du budget vers Apple et ceux qui en ont moins, vers Linux, Microsoft semble enfin avoir une petite prise de conscience. Ah bah c'est pas trop tôt les copains… 😉

Hé oui, l'OS de Microsoft se traîne une réputation un peu moche depuis son lancement. J'ai même vu des tests, certes un peu biaisés sur du vieux matos genre ThinkPad X220 avec un vieux HDD pourri, montrer des performances moins bonnes par rapport à ce bon vieux Windows XP, sans parler d'une interface inconsistante et des exigences matérielles qui ont laissé un sacré paquet de machines sur le carreau.

Bref, c'est pas la joie.

Mais heureusement, Pavan Davuluri le président de Windows et du hardware chez M$, a décidé de siffler la fin de la récré. Pour cette année 2026, Redmond lance une grande opération baptisée "swarming" (un essaimage en gros) pour s'attaquer frontalement aux bugs les plus relous.

L'idée, c'est de redonner un peu de lustre à la bête et surtout de reconstruire cette confiance qui s'est évaporée plus vite qu'une cartouche de clopes dans un festival punk.

Microsoft veut donc se concentrer sur la performance brute, la fiabilité de l'interface et arrêter de nous gonfler avec des trucs dont personne ne veut. Pour ceux qui se demandent quels sont les principaux problèmes de Windows 11, la liste est longue : plantages de l'explorateur, barre des tâches capricieuse, ou encore les récents soucis de boot après la mise à jour de janvier 2026 sur certains systèmes.

Perso, je trouve ça un peu culotté de nous promettre la lune maintenant que le mal est fait et que tout le monde ou presque se soit vu migrer de force. D'ailleurs, si vous hésitez encore, sachez que le support officiel de Windows 10 s'est terminé le 14 octobre 2025 et que si vous y êtes encore, le support étendu (ESU) est la seule bouée de sauvetage officielle que vous avez.

Côté pratique, si vous voulez aider Microsoft à ne pas (trop) se louper, le meilleur moyen reste de passer par le Feedback Hub (Win + F) pour remonter chaque bug que vous croiserez. Et surtout, avant de laisser l'OS se mettre à jour tout seul, assurez-vous d'avoir une sauvegarde de vos fichiers importants sur un disque externe ou un NAS.

Voilà, moi maintenant, j'attends de voir si le tir est vraiment rectifié parce que bon, entre les promesses sur le gaming (DirectStorage, tout ça) et la réalité des perfs, y'a souvent un gouffre. Sans oublier les effets de bord cata à chaque patch... Argh... !

Je leur souhaite le meilleur avec ce "swarming" et en attendant, gardez un œil sur vos mises à jour et croisez les doigts pour que votre PC reste en forme.

Source

FLASH SPÉCIAL : Un ado de 18 ans vient de cracker la sécurité du Pentagone américain. Ah non pardon, c'est pas une news, c'est de l'histoire ancienne. Mais franchement, quelle histoire ! Ehud Tenenbaum, alias The Analyzer, a réussi ce que bien des services secrets n'osaient même pas rêver : infiltrer les réseaux non classifiés du Département de la Défense américain depuis sa chambre d'adolescent à Hod HaSharon.

Vous savez ce qui m'a plu dans cette histoire ? C'est qu'à l'époque, en 1998, j'étais moi-même en train de bidouiller mes premiers scripts sur mon Pentium 200 MHz, et pendant que je galérais à faire fonctionner tout ça, ce gamin faisait trembler l'oncle Sam. En plus, en février 1998, les USA sont en pleine opération Desert Fox contre l'Irak alors quand le DoD a détecté les intrusions, la première réaction a été la panique... et si c'était Saddam Hussein qui contre-attaquait ? Bah non, c'était juste un ado avec son clavier.

Mais alors qui était ce gamin ?

Ehud "Udi" Tenenbaum naît le 29 août 1979 à Hod HaSharon, une petite ville tranquille d'Israël. Rien ne prédestinait ce môme à devenir l'un des hackers les plus célèbres de la planète. D'ailleurs, il souffrait de dyslexie, un handicap qui aurait pu le freiner, sauf qu'Ehud avait un truc en plus : des capacités dingues en math et en sciences. À 15 ans, il s'auto-forme au hacking armé de sa curiosité, et une connexion internet.

À 18 ans, Ehud fait ensuite son service militaire obligatoire dans Tsahal. Mais bon, l'armée et lui, ça fait pas bon ménage. Suite à un accident de voiture, il est libéré de ses obligations militaires. Et c'est là que tout va basculer.

Car Ehud ne travaille pas seul. Il monte une petite équipe avec d'autres hackers : deux adolescents en Californie (connus sous les pseudos Makaveli et Stimpy) et possiblement d'autres contacts en Israël. Tenenbaum joue le rôle de mentor technique, le cerveau qui orchestre l'opération et petit détail qui tue : Solar Sunrise , c'est pas le nom que le groupe s'est donné mais le nom de code que les autorités ont attribué à l'enquête. Solar comme Solaris, l'OS qu'ils ont hacké.

Pendant que le monde entier suit l'affaire Monica Lewinsky, pendant que les États-Unis bombardent l'Irak, Ehud et ses complices préparent discrètement l'une des cyberattaques les plus audacieuses de l'histoire.

Pour arriver à leurs fins, ils exploitent une faille dans Solaris 2.4, précisément dans le service rpc.statd qui tourne avec les privilèges root. Le truc foufou (ou flippant selon comment on voit les choses) c'est que cette vulnérabilité était connue depuis décembre 1997. Les patchs étaient disponibles, mais personne ne les avait appliqués.

Leur attaque se déroule en quatre phases ultra-méthodiques : reconnaissance des cibles, exploitation de la faille, déploiement de backdoors, et exfiltration de données. Ils ne frappent pas une cible après l'autre comme dans les films. Non, ils propagent leur intrusion simultanément sur plusieurs sites : bases de l'Air Force, de la Navy, systèmes de la NASA, universités sous contrat militaire, et des systèmes du DoD. Au total, plus de 500 systèmes infiltrés.

Heureusement, ils n'ont pas pénétré les systèmes les plus secrets du Pentagone mais uniquement des réseaux non classifiés. Mais même sur des systèmes non classifiés, vous avez des informations opérationnelles sensibles. Des backdoors installées, des sniffers qui capturent les mots de passe, des accès qui auraient pu être exploités autrement... John Hamre, le Deputy Defense Secretary de l'époque, qualifiera l'attaque de "la plus organisée à ce jour" contre les systèmes militaires américains.

Mais tout faux empire finit par s'effondrer.

Le FBI, la NSA, l'Air Force OSI et le Shin Bet israélien unissent leurs forces. Et vous le savez, les intrusions laissent des traces. Des serveurs intermédiaires, des rebonds, des adresses IP qui finissent par pointer vers Israël. La coopération internationale se met alors en place.

Le 18 mars 1998, Ehud Tenenbaum se réveille dans son appartement de Hod HaSharon. Sauf que ce matin-là, il ne se réveille pas avec une envie de pisser. Il se réveille avec la police israélienne dans son salon. Fin de l'aventure pour The Analyzer.

La réaction médiatique est immédiate. D'abord, le soulagement : ce n'est pas une attaque étatique irakienne. Mais ensuite, le choc : des adolescents ont paralysé les défenses informatiques du DoD. Et cette affaire va contribuer à la création de la Presidential Decision Directive/NSC-63, la politique de cybersécurité nationale des États-Unis.

L'affaire met trois ans à arriver devant les tribunaux. En 2001, Ehud Tenenbaum plaide coupable. La sentence initiale ? Six mois de travaux d'intérêt général. Léger, non ? Le procureur fait appel et en juin 2002, le tribunal alourdit la peine : 18 mois de prison. Mais grâce au système de libération conditionnelle israélien, qui permet une libération après environ 50% de la peine purgée, Ehud ne purge qu'environ 8 mois.

Sorti de prison, Ehud tente de se ranger. En 2003, il fonde 2XS Security, une société de conseil en sécurité et son idée c'est d'utiliser sa notoriété pour faire du consulting. Le hacker devenu consultant, c'est un classique, mais la tentation revient. Toujours.

2008. Ehud Tenenbaum, désormais âgé de 29 ans, monte un nouveau coup. Ce qu'il veut c'est hacker les systèmes d'institutions financières américaines et canadiennes, voler des informations de cartes bancaires par milliers, les charger sur des cartes prépayées, puis utiliser un réseau international de "mules" pour retirer l'argent aux distributeurs.

Sa cible principale est Direct Cash Management, une boîte de Calgary, en Alberta. Et sa technique c'est une bonne vieille injection SQL pour accéder à la base de données. Classique mais efficace.

Le butin ? Environ 1,8 million de dollars canadiens (soit ~1,7 million USD) rien que pour Direct Cash Management. Mais l'opération visait aussi d'autres cibles américaines : OmniAmerican Credit Union au Texas, Global Cash Card. Au total, les pertes estimées dépassent les 10 millions de dollars.

Ehud travaille avec des complices, dont sa fiancée Priscilla Mastrangelo à Calgary. Les charges contre elle seront finalement abandonnées, mais son implication reste floue.

De leur côté, le FBI et la GRC (Gendarmerie royale du Canada) ne chôment pas. Et en septembre 2008, Ehud Tenenbaum est arrêté au Canada et détenu au Calgary Remand Centre, en Alberta. L'extradition vers les États-Unis va prendre du temps.

En 2012, après quatre ans de procédure, Ehud accepte un plea bargain. La sentence ? Le temps déjà passé en détention (time served), 503 000 dollars de restitution et trois ans de mise à l'épreuve. Fin de l'affaire américaine.

Toutefois, l'histoire ne s'arrête pas là car en novembre 2013, Ehud Tenenbaum est de nouveau arrêté en Israël, cette fois pour blanchiment d'argent à grande échelle. Quand est-il rentré en Israël ? Ça, les archives publiques ne le disent pas, quand à l'issue de cette affaire, c'est un mystère total. Certaines sources évoquent une condamnation à sept ans de prison, d'autres restent floues. Ce qui est sûr, c'est que l'issue de cette troisième arrestation reste dans le brouillard des archives publiques accessibles.

Au final, quel est l'héritage d'Ehud Tenenbaum ? Solar Sunrise a été le premier grand wake-up call cybersécurité pour les États-Unis. Il a prouvé que des adolescents pouvaient paralyser une infrastructure militaire. Il a forcé le DoD à prendre la cybermenace au sérieux. Et il a contribué à façonner la politique de cybersécurité nationale américaine.

Tenenbaum était un génie technique incontestable. Un mec capable de détecter les failles que personne ne voyait, de comprendre les systèmes mieux que leurs créateurs. Et pourtant, il n'a jamais pu résister à la tentation. Comme d'autres hackers légendaires tels que Kevin Mitnick ou Gary McKinnon , Tenenbaum illustre également cette trajectoire fascinante où le génie technique côtoie l'incapacité à s'arrêter.

Source | National Security Archive - Solar Sunrise Collection | The Register | CBC News Calgary | Control Engineering

Vous avez un Steam Deck, un Lenovo Legion Go ou un ROG Ally qui traîne dans un coin parce que pas le temps de jouer, vous avez trop de boulot... Je connais bien vous inquiétez pas.

Mais si je vous disais que ce petit truc qui prend la poussière peut devenir votre meilleur allié pour les audits de sécurité discrets ?

Mais siii ! J'vous jure !

C'est en tout cas ce que propose Balor , un framework offensif fraîchement sorti et développé par Jean-Claude Charrier , qui grâce à ça peut d'un coup, transformer votre console gaming en une station de pentest portable.

Son concept est parti d'un constat simple... Quand vous débarquez en mission de pentest avec un cahier des charges qui exige de la discrétion, sortir un WiFi Pineapple c'est un peu comme débarquer en costard dans un festival de métal. Ça se voit !! Mais avec une console portable gaming par contre, vous avez juste l'air d'un type qui fait une pause entre deux réunions.

Ni vu ni connu, j't'embrouille !

Balor tourne sous CachyOS et Arch Linux, s'installe en une dizaine de minutes et embarque pas moins de 8 stacks pour environ 130 options au total. Côté WiFi, vous avez aircrack-ng, wifite, bettercap et même des versions de Wifiphisher réécrites spécialement pour Python 3.13. Pour l'OSINT, c'est Maltego, theHarvester, Shodan et compagnie. Et y'a aussi du Metasploit, Burpsuite, Nmap, Masscan, SQLMap, Hashcat, John the Ripper... Bref, la totale.

Le truc sympa c'est que tout passe par un wrapper unique appelé "balorsh". Vous tapez balorsh wifi et hop, le menu WiFi apparaît ! Pareil pour balorsh llm qui lance un assistant IA local via Ollama avec des personas adaptés comme Red Team pour l'offensif, Blue Team pour le défensif, Purple Team pour mixer les deux...etc.

L'installation se fait via un script qui dépose tout dans /opt/balorsh/data/ et la désinstallation est tout aussi propre. En plus chaque stack est modulaire, donc si vous n'avez besoin que du cracking de mots de passe, vous installez juste cette partie. Pour les sysadmins qui voudraient comprendre les workflows pentest sans se taper toute la doc, c'est aussi un bon point d'entrée. Genre enchaîner theHarvester, amass, massdns et httprobe pour du recon, ça devient accessible même sans être certifié OSCP ^^.

Côté limitations, Balor reste exclusif à l'écosystème Arch/CachyOS mais rassurez-vous, un portage Debian est envisagé si la demande suit.

Perso je trouve l'approche vraiment bien trouvée et le fait que ce soit un projet français plutôt qu'une énième distro sécu américaine corporate, ça fait plaisir. Voilà, par contre comme d'hab, c'est un outil pour les audits autorisés uniquement avec contrat signé, et pas pour aller embêter le WiFi du voisin, hein ^^.

Alors déconnez pas !

Encore merci à Jean-Claude d'avoir partager sa création avec moi.

Chaque clic laisse une empreinte digitale indélébile. Chaque adresse IP devient le talon d’Achille d’une vie en ligne. Les sites, les publicitaires, les pirates et même les gouvernements la traquent pour dresser un portrait précis de vos habitudes, de vos achats et de vos déplacements virtuels. Bloquée sur une identité fixe, elle vous rend prévisible, ciblable, vulnérable aux pubs invasives ou aux restrictions géographiques. Surfshark VPN répond à ce piège avec un arsenal technique qui non seulement masque cette empreinte, mais la fait muter en permanence, transformant votre navigation en exercice d’évasion fiscale fluide et sécurisée.​

Au cœur de cette solution trône un réseau titanesque de plus de 4 500 serveurs RAM-only, déployés dans 100 pays. Dont les premiers exemplaires à 100 Gb/s testés à Amsterdam pour absorber les charges extrêmes du streaming 4K ou du gaming cloud. Ces machines, qui effacent toute donnée à chaque redémarrage, s’appuient sur un chiffrement AES-256 bits couplé à un hachage SHA512 et un échange de clés DHE-RSA 2048, via les protocoles WireGuard pour la vitesse fulgurante, OpenVPN pour la robustesse ou IKEv2 pour la mobilité. Résultat : des débits élevés constants, même sur fibre, sans jamais de fuites DNS, WebRTC ou IPv6. Le Kill Switch coupe instantanément tout trafic en cas de défaillance, tandis que le mode camouflage rend le contenu visionné avec le VPN indétectable par les FAI ou les pare-feux restrictifs.​

Les nouveautés : Multi IP et rotation d’IP améliorée

Les dernières nouveautés propulsent Surfshark dans une ligue à part. La fonction Multi IP, lancée il y a quelques jours (ça sent toujours le pain chaud), permet d’associer plusieurs adresses IP statiques à un même emplacement. Idéal pour les comptes multiples sur plateformes sensibles comme les réseaux sociaux ou les marketplaces, sans risquer de bannissement pour changement d’IP suspect. Parallèlement, l’amélioration de la rotation d’IP, en phase bêta depuis début 2025, opère un renouvellement automatique et discret de l’adresse toutes les quelques minutes, tout en maintenant la connexion active et l’emplacement fixe. Cette flexibilité brise les chaînes du tracking : les algorithmes publicitaires perdent le fil, les sites ne peuvent plus profiler précisément, et l’utilisateur gagne une invisibilité dynamique, parfaite pour le télétravail nomade ou les sessions prolongées sans alerte.​

Cette puissance s’étend à tous les usages quotidiens. Pour le streaming, tous les serveurs débloquent Netflix US/UK/Australie, Amazon Prime Video, Disney+ ou HBO sans contorsion. Grâce à une infrastructure Nexus optimisée P2P et IP statiques. Le Bypasser (split tunneling) exclut certaines apps locales du tunnel pour une réactivité maximale, tandis que le MultiHop double le chiffrement via deux serveurs distants pour les scénarios haute sécurité. Il contourne bien sûr les censures nationales et CleanWeb purge pubs, trackers et phishing en amont, allégeant la navigation. Sur mobile, l’invisibilité réseau local et la modification GPS protègent contre les scans Wi-Fi publics, avec des apps complètes sur Android/iOS très bien notées pour leur fluidité.​

Comparaison des innovations anti-tracking IP chez Surfshark

Cette grille illustre comment Surfshark aligne flexibilité et robustesse pour neutraliser le fléau du tracking IP, sans compromettre vitesse ou simplicité.​

En plus de sa politique no-log (auditée régulièrement par des organismes indépendants), Surfshark autorise des connexions simultanées illimitées sur tous appareils (PC, Mac, consoles, routeurs, TV, téléphones …). Avec toujours l’essai satisfait avec 30 jours remboursables. Face à l’omniprésence du pistage, le VPN ne se contente pas de cacher : il réinvente l’identité numérique dans un mouvement perpétuel, vous rendant plus fuyant qu’un saumon dans une mer d’huile.

Et du côté du tarif ? Il reste l’un des (si pas LE) plus intéressants en termes de rapport qualité/prix puisqu’il ne coûte que 64,48€ TTC pour 27 mois de couverture (2 ans + 3 mois offerts). Soit moins de 2.4€/mois. Un petit paiement et hop, toute la famille est tranquille jusqu’en … 2028 ! Et d’ici là, autant vous dire qu’on sera dans un autre monde, sans doute bien différent.

Profitez de l’offre du moment !

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !

Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !

Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.

Ah et au fait, n’oubliez pas d’installer Firefox , c’est mieux quand même !

Merci à Lorenper pour le partage !

En 1983, le président américain de l’époque, Ronald Reagan a vu le film WarGames lors d’un séjour à Camp David et si vous ne l’avez pas vu, sachez que ce film raconte l’histoire d’un ado qui pirate accidentellement les systèmes de défense américains et manque de déclencher la Troisième Guerre mondiale. Et une semaine après la projection, Ronald a convoqué le Comité des chefs d’état-major interarmées pour leur poser cette simple question : “Est-ce que le scénario est techniquement possible ?”

Et la réponse a été, sans surprise été : “oui et c’est même bien pire”.

Alors 15 mois plus tard, Reagan signe la NSDD-145 , qui est la toute première directive présidentielle sur la cybersécurité. Dire que tout est parti d’un film de science-fiction… C’est dingue je trouve et cela illustre parfaitement ce qu’on trouve sur ce site baptisé Movies-for-hackers créé par k4m4. Il s’agit d’une archive “vivante” sur la façon dont Hollywood a façonné la culture tech / hacker durant ces 40 dernières années.

On y trouve donc des thrillers comme Hackers et Blackhat, de la SF comme Matrix et Her, des documentaires type Citizenfour, et même des séries comme Mr. Robot ou Black Mirror. Chaque entrée indique le titre, l’année, et la note IMDb.

C’est simple, clair et efficace. Maintenant si vous regardez chacun de ces films, vous verrez comment ils ont, pour pas mal d’entre eux, influencé fortement la réalité tech qu’ils prétendaient représenter.

Prenez par exemple The Social Network sorti en 2010. Avant ce film, le hacker classique c’était le mec en sweat noir à capuche dans un sous-sol. Mais après Fincher, c’est devenu le dev en hoodie gris qui crée des empires depuis son dortoir universitaire. Ce film a vraiment changé l’image du programmeur dans la tête des gens. Autre exemple, Her de Spike Jonze, sorti en 2013 raconte l’histoire d’un type qui tombe amoureux d’une intelligence artificielle dotée de personnalité et d’émotions. Le film remporte l’Oscar du meilleur scénario original et à l’époque, tout ça paraît totalement impossible. C’est de la science-fiction. Sauf que là, on est 10 ans plus tard, ChatGPT a débarqué et les gens développent maintenant des relations émotionnelles avec des chatbots.

Puis y’a Matrix aussi, sorti en 1999, et ça c’est un autre cas d’école. Le film popularise l’idée que notre réalité pourrait être une simulation. On pensait à l’époque que c’était juste du divertissement pseudo-philosophique, mais aujourd’hui, allez demander à Elon Musk, et à tous ceux qui parlent sérieusement de cette théorie où on serait tous dans une simulation…

The Island de Michael Bay sorti en 2005 est aussi l’un de mes films préférés. Le scénario tourne autour du clonage humain et du trafic d’organes. Scarlett Johansson y joue une clone destinée à être récoltée pour ses organes. En 2005, c’est totalement dystopique mais aujourd’hui, avec CRISPR et les débats sur l’édition génétique, toutes les questions éthiques soulevées par le film se retrouve dans l’actualité scientifique du monde réel.

Et je n’oublie pas non plus Mr. Robot lancé en 2015 qui mérite une mention spéciale. Tous les experts en sécurité informatique ont salué la série pour son réalisme technique, avec du vrai pentesting, des vraies vulnérabilités, des vraies techniques…etc. Et c’est aujourd’hui devenu un outil pédagogique pour toute une génération de pentesters.

Voilà, alors plutôt que de voir ce repo Github comme une simple liste de films à voir quand on aime la culture hacker, amusez-vous à raccrocher chacun d’entre eux avec le monde réel… WarGames et la cybersécurité gouvernementale, Hackers et la culture underground, Matrix et cette théorie de la simulation, Her et les relations humain-IA, The Social Network et la mythologie du fondateur tech…et j’en passe. Je pense que tous ces films ont vraiment façonné la manière dont nous pensons la tech. Cette boucle de rétroaction se poursuit car les dev actuel qui ont grandi en regardant ces films, créent aujourd’hui inconsciemment ce futur qu’ils ont vu à l’écran. Et ça c’est fou !

Bref, si vous cherchez de quoi occuper vos soirées et que vous voulez comprendre d’où vient la culture tech actuelle, Movies-for-hackers fait office de curriculum non-officiel où chaque film est une leçon d’histoire !

Merci à Lorenper pour l’info !

Quitter Internet en 2025 ne relève plus du fantasme de parano. Entre la collection frénétique des courtiers en données, les réseaux sociaux qui engrangent jusqu’à la dernière virgule de votre vie, et les catalogues d’offres commerciales connectées, rester visible, c’est laisser sa vie privée en pâture. Si l’idée de disparaître vous titille (genre vraiment disparaître, votre mère demandera des preuves) alors Incogni offre une rampe de sortie rare : l’automatisation de la purge numérique.

Pourquoi vouloir disparaître du web maintenant ?

Le web d’aujourd’hui magnifie l’exposition. Les moteurs de recherche, extensions de navigateurs, réseaux sociaux, forums, outils IA variés et surtout les courtiers en données ( data brokers ) travaillent main dans la main pour compiler, vendre, recouper et réinjecter chaque bribe de votre identité. Résultat : votre numéro de portable se balade de fichiers marketing en algorithmes d’arnaque, votre adresse personnelle circule entre opérateurs et plateformes, et votre historique constitue la matière première des prochaines attaques ciblées. Et je ne vous parle même pas des fuites/hacks de base de données comme celles de votre FAI, des mutuelles, sites gouvernementaux & co

Remettre en ordre sa vie numérique impose donc de revendiquer le “droit à l’oubli” partout : chez Google, sur les plateformes, et dans ces fameuses bases obscures alimentées par les programmes de fidélité, réseaux, applis mobiles, extensions et comparateurs de prix.

Mais surtout, avec la surveillance de masse boostée à l’intelligence artificielle et nos gouvernements qui tournent de plus en plus souvent en mode 1984, on ne sait pas ce que l’avenir nous réserve. Autant retirer un maximum de choses avant que certaines choses se mettent concrètement en place. Nous avons évité Chat Control le mois dernier, mais ce ne sera pas la dernière tentative pour venir reluquer nos conversations privées.

Le plan “disparition” en 7 étapes : la méthode

1. Cartographier ce qui traineAvant d’éliminer quoi que ce soit, fouillez votre identité numérique : nom, email, téléphone… Cherchez-vous sur Google, Bing, DuckDuckGo, et compilez les liens et profils qui s’affichent.Ouvrez aussi vos paramètres dans les réseaux sociaux (“résultats sur vous” sur Google, privacy check-up sur Facebook, etc.).
2. Supprimer la racine : réseaux sociaux & historiquesPassez vos comptes en privé, purgez régulièrement les anciennes publications, effacez les profils secondaires inactifs. Sur Instagram, Facebook, Twitter, Tik Tok, YouTube, LinkedIn & Co : supprimez photos identifiables, tags, posts publics, géolocalisations, metadatas et tous les liens vers votre vie professionnelle ou familiale.
3. Gérer les données chez Google et les moteursUtilisez les outils “Résultats sur vous” ou les formulaires de demande de suppression chez Google pour déréférencer vos coordonnées, photos, et contenus sensibles. Attention, cela n’efface pas le contenu d’origine : contactez aussi éventuellement le webmaster du site ou du forum pour la suppression réelle. Déplacez vos contenus cloud (Dropbox, Google Drive …) vers des solutions open source et/ou autohebergées.
4. Éradiquer les traces chez les courtiers en données C’est ici qu’Incogni entre en scène . Au lieu de fouiller et contacter à la main chaque broker dans une liste aussi longue qu’opaque, Incogni centralise et automatise toute la procédure : l’algorithme repère les courtiers détenant vos infos en fonction des lois du pays (RGPD, CCPA, PIPEDA…).Le service envoie directement les demandes d’effacement légales à plus de 420 brokers connus, suit les réponses et relance tous les deux/trois mois si besoin. Pour l’utilisateur, un tableau de bord permet de suivre en temps réel les suppressions, refus et statuts.
5. Annuler les programmes de fidélité, apps et extensions de dealsNe pas oublier : les programmes de fidélité, les livraisons à domicile ou apps de bons plans capturent et redistribuent allégrement vos données à des tiers. Résiliez les comptes, demandez expressément la suppression de vos données collectées (grâce à Incogni ou manuellement).
6. **Désinscrivez-vous des newsletters, forums, groupes, jeux en ligne…**Purgez ou anonymisez chaque canal logique – mail, pseudo, alias. Certains sites proposent la suppression automatisée, d’autres exigeront des demandes expresses via formulaire RGPD.
7. Créer plusieurs identitésJe vous ai dit plus haut de supprimer vos profils secondaires inactifs. Par contre vous pouvez en garder plusieurs s’ils sont actifs, mais les utiliser spécifiquement. Un pour tout ce qui touche à l’IA, un autre pour les réseaux, un autre pour le perso, ou une identité par projet, etc. Même si ce n’est pas parfait, cela vous permettra au moins d’éviter le recoupement de données.

Incogni : automatiser l’enfer administratif

Si entreprendre ce nettoyage à la main prend plusieurs centaines d’heures pour une personne lambda (rien qu’au premier passage ! Sans même compter les relances), Incogni se charge d’automatiser la chasse aux données, dans le cadre légal du pays (RGPD, CCPA, etc.).​

Chaque demande est envoyée avec un degré de “persuasion réglementaire” élevé, et si le broker rechigne ou ne répond pas, Incogni relance jusqu’à obtenir un vrai effacement. Et le “poids” d’Incogni sera toujours supérieur au vôtre pour les brokers. C’est beaucoup plus facile de zapper la demande d’un utilisateur X en se disant qu’il ne va pas revenir à la charge. Alors que lorsque le service de Surfshark les contacte, ils savent qu’il ne va rien lâcher et qu’ils auront bien plus difficile de dire à un organisme officiel “c’est pas que j’ai pas voulu suivre la loi, j’ai pas vu la demande chef” s’ils sont contactés.
Les abonnés à l’offre illimitée peuvent même demander des suppressions personnalisées sur des sites spécifiques (plus de 2000), pour traquer la moindre trace visible.

Après, pour utiliser moi-même le service depuis un moment, il faut dire que le désenregistrement n’est pas toujours instantané : il faut patienter quelques semaines/mois pour voir les vrais résultats. Moins de spams, disparition des infos de contact dans les bases publiques, profil effacé sur les sites d’agrégation … c’est l’accumulation des retraits au fil du temps qui rend les choses concrètes. Certains observent une forte baisse du spam ou des résultats Google liés à leur nom, d’autres signalent un effet plus lent ou partiel, surtout sur des boîtes mail déjà surexposées.
Il existe aussi des cas où la suppression ne fonctionne pas chez certains brokers ou plateformes particulièrement réticentes (heureusement elles sont rares).

Conseils de “retrait numérique” pour ne pas y revenir

Avant de vous laisser, je vous rappelle quelques points essentiels :

• Ne jamais s’inscrire avec sa vraie adresse ou identité là où ce n’est pas nécessaire … utilisez des alias ou l’ Alternative ID dans Surfshark.
• Éviter les programmes de fidélité trop intrusifs et refuser systématiquement l’option “partage avec partenaires”.
• Nettoyer régulièrement les anciennes publications, photos taguées et groupes publics.
• Garder ses mails et comptes secondaires distincts de l’usage pro ou familial.
• Toujours utiliser l’option “effacer mon compte et mes données” lors de la fermeture d’un service.

Disparaître du Net, fin 2025, ce n’est pas juste effacer son compte Facebook : c’est retrouver la maîtrise sur tous les morceaux de soi éparpillés. Incogni apporte l’automatisation et la rendre accessible à ceux qui veulent s’en aller proprement - avant que le web ne vous rattrape là où vous ne l’attendiez pas.

D’autant plus que vous pouvez en ce moment profiter de l’offre spéciale Black Friday sur tous les abonnements annuels (standard, illimité, familial et familial illimité). L’abonnement de base, avec le code KORBEN55, vous reviendra à 78,27€ TTC l’année au lieu de 87€. Le familial (jusqu’à 5 personnes protégées) passe de 188,6€/an à 169,7€. ça fait toujours quelques dizaines d’euros de plus pour les cadeaux de fin d’année ;)

-> Cliquez ici pour profiter de la promo Incogni <-

Bon vous savez tous comment marche votre antivirus. Il détecte un malware, il le bloque, et tout revient à la normale.

Mais si je vous disais que maintenant, c’est parfaitement possible qu’une heure plus tard le même malware se repointe, sauf que c’est plus le même, parce que son code a changé. Car entre temps, il a demandé à Google Gemini de le réécrire…

Bien c’est pas de la science-fiction, hein, c’est ce que décrit un rapport du Google Threat Intelligence Group (GTIG) qui nous présente une nouvelle génération de malwares qui intègrent des LLM directement dans leur exécution.

Plus de génération statique du code, c’est le malware lui-même qui appelle une API LLM pendant qu’il tourne, demande des modifications, se réécrit, et repart faire sa besogne.

Les deux exemples les plus marquants s’appellent PROMPTFLUX et PROMPTSTEAL .

PROMPTFLUX, c’est un dropper en VBScript qui appelle l’API Gemini pour obfusquer son propre code. Il se réécrit dans la base de registre Windows pour persister au reboot, puis demande à Gemini de générer de nouvelles variantes d’obfuscation. Son module interne s’appelle “Thinking Robot” et il interroge Gemini régulièrement du genre “Comment contourner l’antivirus X ? Propose des variantes de mon code pour éviter la signature Y.”

Gemini lui répond, le malware applique le conseil, se modifie, et se relance.

Comme les antivirus détectent les malwares par signatures ou comportements connus, si le malware change toutes les heures, les signatures deviennent immédiatement obsolètes. L’antivirus a alors toujours un coup de retard. Et PROMPTFLUX n’a même pas besoin d’un serveur C2 pour télécharger de nouvelles variantes puisqu’il génère ses propres variantes localement en demandant à Gemini.

GTIG estime que PROMPTFLUX est encore en développement et les échantillons analysés ne montrent pas de capacité réelle à compromettre un réseau. Mais ça reste une preuve de concept active… En gros, quelqu’un, quelque part teste cette approche.

PROMPTSTEAL, lui par contre, est déjà opérationnel. GTIG l’attribue à APT28 (FROZENLAKE), un groupe lié au renseignement militaire russe (GRU). Le CERT-UA l’a documenté sous le nom LAMEHUG en juillet dernier et c’est la première observation d’un malware qui interroge un LLM en opération réelle.

PROMPTSTEAL de son côté est écrit en Python. Il utilise l’API Hugging Face pour accéder au modèle Qwen2.5-Coder-32B-Instruct . Le malware envoie des prompts encodés en Base64, genre “récupère les infos système” ou “trouve les documents sensibles” et le LLM génère des commandes Windows d’une ligne qui sont ensuite exécutées localement par le malware. Ensuite ce dernier collecte les données et les exfiltre tranquillement.

L’astuce donc, c’est que le malware ne contient plus de commandes en dur. Il les génère à la volée selon le contexte comme ça, si l’environnement change, il demande de nouvelles commandes adaptées. Plus de pattern fixe à détecter et chaque exécution est différente.

GTIG mentionne aussi d’autres exemples tels que FRUITSHELL, un reverse shell PowerShell public qui contient des prompts pour contourner les protections LLM ou encore PROMPTLOCK, un concept de ransomware en Go qui utilise un LLM pour générer des scripts Lua de chiffrement.

Il y a aussi QUIETVAULT, un voleur de tokens JavaScript qui cible GitHub et NPM, puis exfiltre les résultats via des repos publics.

Tous ces malwares partagent la même idée : intégrer un LLM dans la chaîne d’exécution. Génération, obfuscation, commandes dynamiques, recherche de secrets… Le LLM devient un composant actif du malware !

Le rapport décrit aussi comment les attaquants contournent les protections des LLM à base d’ingénierie sociale dans les prompts. L’attaquant se fait passer le plus souvent pour un étudiant en sécurité, un participant à un CTF, ou encore un chercheur parfaitement légitime. Le LLM, configuré pour aider, répond alors à toutes les demandes.

Dans un cas documenté par GTIG, une tentative a mal tourné pour les attaquants. On le sait car dans les logs de leurs échanges avec le LLM, GTIG a trouvé des domaines C2 et des clés de chiffrement en clair. Les attaquants avaient oublié de nettoyer leurs tests et c’est grâce à ça que GTIG a récupéré l’accès à leur infrastructure puis l’a neutralisée.

Le rapport liste aussi les groupes étatiques actifs comme UNC1069 (MASAN) , lié à la Corée du Nord, qui utilise les LLM pour générer des deepfakes et voler des cryptoactifs. Ou encore UNC4899 (PUKCHONG) , aussi nord-coréen, qui emploie les modèles pour développer des exploits et planifier des attaques sur les supply chains.

De son côté, APT41 , un groupe étatique chinois, s’en sert pour obfusquer du code. Et le groupe iranien APT42 , a même tenté de construire un agent SQL qui traduirait des requêtes en langage naturel vers des commandes d’extraction de données sensibles. GTIG les a bloqué en coupant les comptes qu’ils utilisaient.

Et sur le marché noire, ce genre d’outils et de services multi-fonctions ont le vent en poupe. Génération de campagne de phishing, création de deepfakes, génération automatique de malwares, abonnements avec accès API…etc.

Leur modèle commercial copie celui des services légitimes avec une version gratuite basique pour gouter et un abonnement payant pour les fonctions avancées, avec des communautés Discord pour le support. Ça permet d’abaisser la barrière d’entrée pour les attaquants les moins expérimentés.

Côté défense maintenant, les recommandations sont assez classiques. Pensez à surveiller l’activité anormale des clés API qui pourraient être volées. Détectez les appels inhabituels à des services LLM externes depuis les processus. Contrôlez l’intégrité des exécutables et protégez tout ce qui est “secrets” sur les hôtes.

N’oubliez pas non plus de ne jamais, ô grand jamais, exécuter aveuglément des commandes générées par un modèle IA (je vous l’ai assez répété).

Voilà, tous ces exemples actuels sont expérimentaux mais le signal est donné et il est plutôt limpide : l’IA est en train de rendre les malwares plus virulents en leur permettant de s’adapter !

Source

Si vous me lisez depuis longtemps, vous savez que les hackers russes ne manquent jamais d’imagination quand il s’agit de contourner les antivirus… Mais alors là, le groupe Curly COMrades vient de sortir un truc qui déboite du genou de gnome… Ces affreux planquent maintenant leurs malwares dans des machines virtuelles Linux cachées dans des Windows. Oui, des russes qui créent de véritables poupées russes numérique… qui aurait pu prévoir ^^ ?

Et c’est vicieux vous allez voir… les gars activent Hyper-V sur les machines Windows 10 compromises, puis ils y déploient une VM Alpine Linux ultra-minimaliste. 120 Mo d’espace disque et 256 Mo de RAM… C’est tellement léger que ça passe complètement sous les radars des EDR classiques.

Et la beauté du truc, c’est que tout le trafic malveillant qui sort de la VM passe par la pile réseau de Windows grâce au NAT d’Hyper-V. Du coup, pour l’antivirus, tout a l’air de venir de processus Windows parfaitement légitimes.

C’est bien joué non ?

À l’intérieur de cette VM Alpine, les hackers ont installé 2 malwares custom : CurlyShell et CurlCat. Le premier c’est un reverse shell qui communique en HTTPS pour exécuter des commandes à distance. Et le second, c’est un proxy SSH inversé qui encapsule le trafic SSH dans des requêtes HTTP et le fait transiter par un proxy SOCKS. Les deux partagent une grosse partie de leur code mais divergent sur le traitement des données reçues.

Les chercheurs de Bitdefender, en collaboration avec le CERT géorgien, ont documenté cette campagne qui cible principalement la Géorgie et la Moldavie depuis fin juillet 2025. Les attaquants visent surtout les secteurs gouvernementaux, judiciaires et énergétiques… Bref, les infrastructures critiques, comme d’habitude.

Une fois infiltrés, les hackers désactivent alors l’interface de gestion d’Hyper-V pour réduire le risque de se faire griller. Ensuite, ils configurent la VM pour utiliser le Default Switch d’Hyper-V et ajoutent même des mappages domaine-IP personnalisés. Et pour couronner le tout, ils déploient des scripts PowerShell pour l’injection de tickets Kerberos et la persistance via des comptes locaux.

Et les EDR traditionnels, qui se focalisent sur l’analyse des processus au niveau de l’hôte, ne peuvent pas détecter ce qui se passe à l’intérieur de la VM. En fait pour chopper ce genre de menace, il faut des capacités d’inspection réseau avancées… Autant vous dire que la plupart des boîtes n’en sont pas équipées…

Pour lutter contre ça, Bitdefender recommande de ne pas miser sur une seule solution de sécurité, mais d’en empiler plusieurs. D’abord mettre en place une protection du réseau pour bloquer les attaques avant qu’elles n’atteignent les ordinateurs. Y ajouter un système de détection avancé qui surveille en permanence ce qui se passe sur les machines. Et surtout une vraie politique de réduction des risques en fermant tous les services Windows dont on ne se sert pas.

Hé oui, si Hyper-V n’est pas activé d’origine sur les système, c’est bien parce que ça représente un risque supplémentaire, donc si vous ne vous en servez pas, désactivez le.

Source

Ce serait cool si on pouvait réunir les Avengers des LLMs pour les faire bosser ensemble sur de la recherche de faille de sécurité ? OpenAI, Anthropic, X.AI et Meta ensemble contre les forces du mal, c’est maintenant possible avec Deep Eye , un super scanner de vulnérabilités qui transforme les quatre IA rivales en équipe de pentesteurs. Vous allez voir, c’est assez génial !

Deep Eye, c’est donc un outil Python open source qui scanne les sites web et les API pour trouver des vulnérabilités. SQL injection, XSS, command injection, SSRF, path traversal, authentication bypass, au total y’a plus de 45 méthodes d’attaque automatisées. Vous lui indiquez une URL, et il teste tout en switchant entre les services d’IA selon le contexte.

Dans le contexte d’un pentest légitime, Deep Eye a même trouvé comment parler aux IA pour qu’elles acceptent de pondre du code un peu sensible. Et ça tombe bien car chaque IA a ses forces et ses faiblesses. GPT-4 par exemple excelle sur les payloads créatifs et les contournements de filtres. Claude lui est plus méthodique, et capable de mieux analyser le contexte et de génèrer des attaques adaptées au framework détecté. LLAMA en local quand à lui est rapide et ne coûte rien en appels API. Et Grok ? Bah il a le mérite d’être dispo même s’il est loin d’être le meilleur.

Deep Eye en tout cas est capable des les utiliser toutes selon la situation. Pour l’installer, ça se passe en 3 commandes :

Vous installez ça comme ceci :

git clone https://github.com/zakirkun/deep-eye.git
cd deep-eye

cd scripts
./install.ps1

chmod +x scripts/install.sh
cd scripts
./install.sh

python deep_eye.py -u https://example.com

Vous êtes développeur blockchain et vous recevez un message LinkedIn d’un recruteur sympa pour une boîte qui a l’air tout a faire sérieuse. Ils ont un site web propre, des profils crédibles, et ils vous proposent de faire un petit test technique sur GitHub. Ça vous parle ? Bah oui, je vous ai parlé de cette arnaque y’a 2 jours … Et malheureusement, si vous n’y prenez pas garde, vous télécharger le code, vous le lancez, et BOOM… vous venez de contribuer financièrement au programme de missiles balistiques nord-coréen.

Bravo !

Car oui d’après une enquête de Google Threat Intelligence le groupe nord-coréen UNC5342 (aussi connu sous une dizaine d’autres noms selon qui le traque) a adopté une technique qui fait froid dans le dos : EtherHiding. Le principe c’est de. cacher du code malveillant directement dans des smart contracts sur la blockchain et selon Google, c’est la première fois qu’on documente qu’un état-nation utilise cette méthode.

La blockchain, cette technologie impossible à censurer, car décentralisée par essence vient de devenir l’arme parfaite d’un régime totalitaire. Parce que figurez-vous, quand vous stockez du malware dans un smart contract sur Ethereum ou la BNB Smart Chain, personne ne peut l’effacer. Même si tout le monde sait qu’il est là et même si vous avez l’adresse exacte.

C’est tout le concept !

Cette adresse, 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c c’est donc le smart contract que les Nord-Coréens ont utilisé et Google a observé depuis plus de 20 mises à jour sur ce contrat en l’espace de 4 mois. Le coût de chaque transaction est d’environ 1,37 dollar, soit le prix d’un café que la Corée du Nord doit payer pour déployer et mettre à jour son infrastructure d’attaque qui devient ainsi permanente et indestructible.

Un missile balistique ça coûte des millions alors que ce genre de “cyber missile” stocké sur la blockchain ça coûte rien et le retour sur investissement est colossal. On parle de 2 milliards de dollars volés rien qu’au premier semestre 2025 . En février dernier, le groupe Lazarus (même famille, autre branche) a même éussi le plus gros casse crypto de l’histoire en volant 1,5 milliard de dollars à l’exchange Bybit . Depuis 2017, ce serait donc au total plus de 6 milliards volés et devinez où va cet argent ?

Dans le programme de missiles de la Corée du Nord et dans le contournement des sanctions internationales.

La campagne s’appelle “Contagious Interview” et elle cible spécifiquement les développeurs. Les Nord-Coréens créent de fausses boîtes avec des noms qui sonnent bien, genre “BlockNovas LLC”, montent des sites web complets, des profils LinkedIn qu’ils entretiennent pendant des mois, et ils vous contactent comme de vrais recruteurs. Ils vous font alors passer par toutes les étapes d’un processus de recrutement classique, déplacent la conversation sur Telegram ou Discord pour faire plus naturel, et finissent par vous envoyer ce fameux “test technique” hébergé sur GitHub.

Le code contient un loader JavaScript appelé JADESNOW qui va alors interroger la blockchain via des appels en lecture seule. Ça ne coûte rien en frais de transaction, ça n’alerte personne, et ça récupère le payload chiffré stocké dans le smart contract. Une fois déchiffré, ça déploie alors d’autres malwares aux noms charmants comme INVISIBLEFERRET, PITHOOK ou COOKIENET.

Et leur seul but c’est de voler vos cryptos, bien sûr, mais aussi installer un accès persistant à votre machine pour de futures opérations.

On est donc très loin ici du schéma du hacker solitaire dans son sous-sol. Là on parle d’équipes entières financées par un état, avec des objectifs militaires clairs, qui ont le temps et les ressources pour monter des opérations de social engineering sur plusieurs mois. Ils utilisent même la technique du “ClickFix” qui consiste à afficher un faux message d’erreur qui pousse l’utilisateur à installer quelque chose pour “corriger” le problème. Ça exploite notre réflexe naturel de vouloir réparer ce qui est cassé et le pire dans tout ça, c’est que les plateformes comme LinkedIn ou GitHub sont coincées.

Bah oui, comment voulez-vous distinguer un vrai recruteur d’un faux quand l’attaquant a trois mois devant lui pour construire une identité crédible ?

Bref, les développeurs blockchain sont devenus les nouvelles cibles premium et contrairement à une banque ou une plateforme crypto qui a des équipes sécurité, ceux là sont tout seuls derrière leur écran.

Selon les chercheurs de Mandiant , UNC5342 utilise cette technique depuis février 2025 au moins donc si vous bossez dans la blockchain, faites gaffe. Si vous recevez des offres, posez-vous des questions parce que financer des missiles nord-coréens, c’est pas vraiment le genre de side project qu’on veut sur son CV ^^.

Source

On est bientôt en pleine Cybersecurity Week, et si vous avez encore votre numéro de téléphone, votre adresse ou pire – votre salaire estimé – qui traîne sur des dizaines de sites louches, c’est le moment ou jamais de passer à l’action. Parce que non, ce n’est pas juste “un peu gênant”. C’est une brèche béante dans votre vie privée, et elle coûte cher.

Laisser traîner ses données personnelles, c’est accepter d’être la cible d’hameçonnages, de publicités agressives ou pire, devenir une variable dans des scénarios de fraude. Les courtiers en données collectent et revendent tout ce qu’ils peuvent glaner en ligne — identité, préférences, historiques d’achat ou de navigation, parfois même des données sensibles. Une fois ces infos répandues, les conséquences sont imprévisibles.

Rappelez-vous TikTok, qui vient de se prendre 530 millions d’euros d’amende pour avoir baladé les données européennes vers la Chine comme si c’était un sachet de popcorn. Et ce n’est qu’un exemple parmi des centaines. Vos données, c’est de l’or. Un business à 434 milliards de dollars en 2025. Et vous, vous êtes le produit.

Vos infos sont partout. Vraiment partout

Faites le test : tapez votre nom complet sur Google. Ajoutez votre ville si besoin. Vous allez probablement tomber sur une partie ou l’ensemble des données suivantes :

• Votre adresse postale (souvent ancienne, mais toujours visible)
• Votre numéro de portable
• Vos anciens boulots
• Des photos que vous pensiez réservées à vos potes
• Et parfois même une estimation de votre salaire ou de votre patrimoine

Tout ça, ce n’est pas Google qui l’a inventé. Ce sont des data brokers – ces boîtes de l’ombre qui rassemblent, croisent et revendent vos infos à qui veut bien payer. Et elles sont légion. Une étude d’Incogni montre que certaines personnes retrouvent leurs données sur plus de 200 sites différents. Oui, deux-cent.

Et le pire ? Ces données ne restent pas statiques. Elles circulent. Elles sont rachetées, enrichies, croisées avec d’autres sources… jusqu’à ce qu’un inconnu puisse vous appeler en connaissant votre prénom, votre quartier, votre fournisseur d’électricité, et le nom de votre chat.

Le RGPD, c’est bien… mais c’est pas magique

En Europe, on a el famoso RGPD, qui nous donne un droit à l’oubli. Super en théorie, mais en pratique … c’est autre chose. Parce que pour le faire valoir, il faut :

• Identifier tous les sites qui détiennent vos données (“bon chance” comme dirait Liam Neeson)
• Trouver leur formulaire de suppression (s’il existe)
• Envoyer une demande conforme
• Relancer s’ils ne répondent pas
• Recommencer tous les 3 à 6 mois, parce qu’ils recollectent vos infos dès que vous avez le dos tourné

Bref, c’est chronophage, chiant, et peu efficace à grande échelle. Surtout quand on sait que 10 nouveaux data brokers récupèrent vos infos chaque jour.

Alors, comment s’en sortir ?

La bonne nouvelle, c’est que vous n’êtes pas obligé de devenir un expert en droit de la vie privée ni annuler vos week-ends en famille pour remplir des formulaires à la pelle.

Incogni, le service de suppression automatisée de données personnelles , fait exactement ce boulot à votre place. Et franchement, vu le prix, c’est un deal.

Pour une dizaine d’euros par mois (ou moins de 6 €/mois avec le code KORBEN55, merci la Cybersecurity Week), Incogni :

• Scanne en continu plus de 420 data brokers (y compris 150+ bases privées non accessibles au public)
• Envoie des demandes de suppression conformes au RGPD, CCPA, et autres lois locales
• Relance automatiquement tous les 60 à 90 jours pour éviter que vos données ne réapparaissent
• Vous permet de demander la suppression sur n’importe quel site via la fonction “custom removals” (disponible sur le plan Illimité)

Résultat après 3 ans d’utilisation de mon côté ? 232 suppressions confirmées. Et ce n’est pas du flan : Incogni est la première entreprise du secteur à avoir fait auditer ses résultats par Deloitte. Oui, 245 millions de suppressions réussies à l’échelle mondiale, vérifiées par un tiers indépendant.

Attention aux apps gratuites – surtout si elles ne sont pas européennes

Pendant que vous vous demandez si vous avez vraiment besoin de ce service, sachez que 88 % des applis américaines et 92 % des applis chinoises partagent vos données avec des tiers. Contre seulement 54 % pour les applications européennes.

Et devinez qui est en tête du classement des plus gros collecteurs ? (on va voir si vous avez retenu la leçon)

• Meta avec Threads & Instagram (37 types de données), WhatsApp (14)
• TikTok est juste derrière avec 24 types
• Les apps de streaming : Prime Vidéo (17), Netflix (12), Disney+ (9) etc.
• ChatGPT (9)
• Signal, lui, se contente de 3. La différence, elle est là.

Les apps de shopping comme Temu ou AliExpress ? Elles aspirent tout ce qu’elles peuvent. Les apps de fitness ou de santé mentale ? Elles vendent vos données les plus intimes sans sourciller.

Et on ne parle pas ici de votre simple adresse mail ou votre géolocalisation, mais bien de vos tendances politiques, orientations sexuelles, score de crédit, etc.

Selon l’étude (et pour donner des exemples concrets) : Netflix récolte vos enregistrements vocaux, Temu récupère la liste de toutes les applis que vous utilisez, Meta (en dehors de WhatsApp) récupère vos calendriers, vos photos et vos vidéos à des fins marketing, etc.

Donc non, “je ne poste rien de sensible” ne suffit plus. Vos données fuient de partout, souvent sans que vous le sachiez.

Et pour les entreprises ?

Incogni propose aussi le plan Ironwall360, une version dédiée aux entreprises, administrations, tribunaux ou forces de l’ordre. Parce que quand on est juge, avocat, ou travailleur social, voir ses coordonnées publiques peut vite devenir un problème de sécurité bien réel. Ironwall gère ça avec une approche sur mesure, des équipes dédiées, et un support 24/7 – y compris en urgence.

Mais pour nous, simples mortels, le plan perso suffit largement. Surtout avec la promo pour la Cybersecurity Week qui battra bientôt son plein (du 17 au 20 novembre à Rennes). Pour rappel la CW fédère pros et passionnés, avec pour leitmotiv la souveraineté numérique et la résilience. D’année en année, la cybersécurité évolue, mais l’exploitation des données personnelles y sera de nouveau présente. Surtout face à la montée croissante des menaces liées à l’intelligence artificielle et la manipulation automatisée de l’identité numérique.

Faut-il vraiment payer pour ça ?

Techniquement, non. Vous pouvez tout faire vous-même. Mais combien de temps ça va vous prendre ? Combien de fois allez-vous devoir relancer ? Et surtout : combien de fois allez-vous oublier de le faire (parce que la flemme quoi, y’a la dernière saison de Stranger Things à mater), avant que vos infos ne réapparaissent sur un nouveau site de merde pas top ? Un parcours éprouvant qui rebute le plus motivé des internautes.

Alors pendant cette Cybersecurity Week, faites-vous un cadeau : reprenez le contrôle.

👉 Profitez des -55 % avec le code KORBEN55

À moins de 6 €/mois (soit bien moins cher que ses concurrents directs), Incogni fait le sale boulot à votre place, en continu, sans que vous ayez à lever le petit doigt. C’est moins cher qu’un café par semaine. Et franchement, entre votre prochain café et votre tranquillité d’esprit, le choix est vite fait (cette phrase ne s’applique pas forcément entre 6h et 8h du matin).

Effacer complètement sa présence en ligne ? Impossible.
Mais la réduire drastiquement, limiter les fuites, couper les vivres aux data brokers ? Oui, c’est possible. Et avec Incogni, c’est même devenu accessible à tout le monde.

→ Cliquez ici pour en savoir plus sur Incogni ←

Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.

Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.

Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.

L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !

Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.

Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.

Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.

Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.

Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.

Ah et la documentation est ici !

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

Vous vous souvenez peut-être de mon article récent sur LockPass, le gestionnaire de mots de passe français certifié ANSSI ? Eh bien, à l’approche des Assises de la cybersécurité à Monaco, c’est l’occasion de vous en dire plus sur LockSelf et sa suite d’outils cyber pour la protection des mots de passe et fichiers. Ils seront présents du 8 au 11 octobre 2025 sur l’événement, stand B05.

Car les Assises c’est LE rendez-vous annuel de référence pour tous les professionnels de la cybersécurité. Échanges entre pairs, découverte de nouveaux outils et visibilité sur l’évolution des solutions. C’est donc le moment PARFAIT pour aller les voir. Cette année, avec le thème « FuturS : la cybersécurité au service des métiers et de la création de valeur » , on va enfin arrêter de voir la sécurité comme une contrainte mais plutôt comme un véritable atout business.

D’ailleurs, petite info sympa, qu’il est toujours bon de rappeler, LockSelf propose exceptionnellement un essai gratuit de 30 jours pour l’occasion. Donc vous pouvez vous inscrire ici si vous voulez tester avant de faire le déplacement.

Mais revenons à nos moutons. Pourquoi LockSelf mérite votre attention aux Assises ? Eh bien j’ai identifié trois bonnes raisons qui vont vous faire comprendre pourquoi cette suite française cartonne autant.

Pour commencer, parlons de quelque chose qui va vous faire gagner un temps précieux : la conformité réglementaire. Avec LockSelf, finies les prises de tête avec NIS2, DORA ou ISO 27001. Leur suite vous permet de gérer finement les droits d’accès aux données de votre entreprise, avec des règles granulaires pour chaque utilisateur ou groupe. Que ce soit pour les mots de passe, les fichiers ou les transferts sensibles, vous pouvez limiter, déléguer ou ajuster les permissions selon les rôles, les besoins métiers ou l’appartenance à un service.

Et surtout, leur Dashboard centralisé, c’est de l’or en barre pour les administrateurs. Il centralise en temps réel tous les indicateurs clés de vos modules LockSelf et vous offre une vue panoramique sur la santé et la sécurité de vos données. Plus d’une centaine de métriques à votre disposition, avec suivi des accès, analyse des comportements, traçabilité des actions et reporting. La section “logs” peut même s’exporter et vaut pour preuve en cas d’audit.

LockSelf propose aussi une interconnexion native avec la plateforme SOC Sekoia, et peut s’interfacer avec n’importe quel SIEM/SOC grâce à son API. Plutôt pratique pour centraliser vos informations de sécurité et automatiser la détection des menaces.

Autre point important côté conformité : la gestion des accès partenaires. LockSelf permet de créer des accès temporaires, de partager en mode aveugle et de révoquer ou ajuster les droits à tout moment. Parfait pour sécuriser les collaborations avec des tiers tout en respectant le principe du moindre privilège.

Et pour la continuité d’activité (PCA/PRA), LockFiles facilite les sauvegardes externalisées tandis que LockTransfer met à disposition une plateforme souveraine, déconnectée du SI, pour échanger en cas de crise, ce qui est un énorme avantage pour rester opérationnel même dans un contexte très tendu.

D’ailleurs, ils ont un super cas d’usage d’un de leurs clients sur l’utilisation de LockSelf dans le cadre d’une cyberattaque (résolue en moins de 24h !). Si vous voulez un retour d’expérience concret, c’est ici.

Deuxième point qui va vous parler : l’alternative française à WeTransfer. Vous vous rappelez du tollé de juillet** **2025 ? WeTransfer a modifié ses CGU pour s’autoriser à utiliser vos données pour entraîner leur IA avant de faire machine arrière face à la polémique, mais bon… les entreprises qui manipulent des données sensibles ont vite compris qu’il fallait chercher ailleurs.

C’est là que LockTransfer entre en scène. Cette solution souveraine et sécurisée vous garantit un chiffrement de bout en bout, avec des serveurs hébergés exclusivement en France chez des partenaires reconnus (Scaleway, Outscale) ou directement sur votre infrastructure en On-Premises. Car contrairement à WeTransfer, LockTransfer n’accède à aucun moment à vos données.

Dans le contexte géopolitique actuel, avoir une solution française qui élimine tout risque de fuite liée à des législations extraterritoriales, ce n’est pas du luxe, c’est de la nécessité pure. Et puis, entre nous, montrer pattes blanches sur sa cybersécurité, ça aide aussi à décrocher des contrats avec les grandes entreprises ou les secteurs stratégiques comme la défense ou le spatial.

Troisième atout, et pas des moindres : LockSelf transforme la cybersécurité en avantage business. Comme je vous le disais en intro, c’est pile poil le thème des Assises cette année. On va donc enfin arrêter de voir la cybersécurité comme un frein pour en faire un moteur de création de valeur et LockSelf a cette particularité de répondre aux besoins de la DSI tout en se calquant sur les usages réels des collaborateurs. Résultat, adoption garantie !

Concrètement, c’est du chiffrement des pièces jointes directement dans votre messagerie grâce au plugin Outlook/O365, de l’autocomplétion des champs sur navigateur pour les mots de passe… Bref, des fonctionnalités qui simplifient la vie de vos équipes au lieu de la compliquer.

LockSelf, c’est surtout un éditeur français de solutions de cybersécurité ** certifié CSPN par l’ANSSI**. Cette certification atteste de la robustesse de leurs mécanismes de chiffrement et de la fiabilité de la protection appliquée aux données sensibles. Leur force, c’est donc une solution complète et modulaire : LockPass pour la gestion centralisée des mots de passe, LockTransfer pour l’envoi sécurisé de fichiers, LockFiles pour le stockage chiffré des documents sensibles.

L’approche modulaire permet aux TPE/PME, ETI ou grands groupes de choisir les modules dont elles ont besoin et de renforcer progressivement leur niveau de protection. Et comme tout est développé en France avec un hébergement souverain, vous gardez la maîtrise totale de vos données.

La cybersécurité étant avant tout une fonction “support”, au service des métiers, elle ne doit pas être une barrière mais un levier qui simplifie la vie des collaborateurs, protège les actifs sensibles sans freiner la productivité et c’est pour ça que des outils comme LockSelf vous permettent d’intégrer la cybersécurité comme un atout quotidien pour la sécurité de votre entreprise et la productivité de vos équipes.

Voilà, donc si vous passez aux Assises de la cybersécurité du 8 au 11 octobre 2025, n’hésitez pas à faire un tour sur le stand B05, et à les saluer de ma part ! L’équipe LockSelf sera là pour échanger autour de vos enjeux en matière de gestion des mots de passe, de partage sécurisé de données et de stockage chiffré. Ils pourront également vous accompagner sur l’intégration de leurs solutions dans une stratégie de conformité aux exigences NIS2 et DORA.

En prime, les équipes LockSelf présenteront en avant-première de nouvelles fonctionnalités dédiées à la gestion des accès en entreprise, idéales pour les grands groupes, avant évidemment un déploiement plus large. De quoi avoir un aperçu de ce qui nous attend dans les mois à venir !

À découvrir ici !

3h37… la cafetière grogne comme un vieux moteur diesel et moi je fixe l’écran de mon PC avec cette fichue pièce jointe .exe qui vient d’atterrir. Le titre ? « Facture impayée ». L’expéditeur ? Un coréen dont le nom ressemble à un captcha mal imprimé. Mon doigt tremble au-dessus du trackpad, et déjà mon cerveau me hurle : « Ne clique pas, gros malin. » Mais je suis crevé, ça fait 36 heures que je vous ponds des articles à la chaine … je n’ai même pas le temps de réfléchir au risque que mon doigt à déjà cliqué par réflexe. Heureusement,  Surfshark One est déjà en action.

En arrière-plan, sans que je bouge un cil, mon IP saute de Paris à Tokyo, puis à Toronto, puis à Sydney. Le botnet qui espionne ma ligne voit 4 continents défiler en moins de dix secondes ; il perd la trace, panique, et abandonne la connexion. Pas de lag, pas de coupure sur la série Netflix qui tourne en fond sur la télé, juste un léger pictogramme qui clignote dans la barre des tâches pour me dire « déplacement en cours ». Je souris, je n’ai même pas eu besoin d’ouvrir l’appli.

Le fichier .exe téléchargé par mégarde démarre dans un bac à sable invisible. L’antivirus Avira (assisté par IA) observe : tentative d’accès à la webcam, requête vers un domaine .onion, écriture dans le registre. Le verdict tombe en 0,2 seconde : comportement suspect = quarantaine immédiate. Je n’ai même pas le temps de voir la pop-up ; l’icône du bouclier redevient verte, le fichier est déjà mort et enterré dans le Cloud Protect System. Le tout sans que mon CPU ne grimpe au-dessus de 12%. Mon ordinateur continue de diffuser Spotify comme si de rien n’était.

Pendant que le malware agonise, Alert scrute déjà ses bases de fuites recensées. Mon adresse mail apparaît dans une liste fraîchement publiée sur un forum russe. Ping : notification push, SMS de secours, et un lien « Change ton mot de passe en un clic ». J’appuie (encore par réflexe conditionné, je clique tout ce qui passe ce soir), je tape « bonne-nuit-les-pirates-2025 », et c’est réglé. Trois secondes plus tard, je reçois un rapport écrit en français clair : « Aucune carte bancaire ni ID n’ont fuité, tu peux dormir tranquille. »

Mais vous me connaissez, je veux comprendre ce virus. J’ouvre Surfshark Search à 3h56, je tape « ransomware polymorphe 2025 ». Résultats : zéro pub, zéro tracker, zéro suggestions étranges sur la page de recherche. Deux liens vers des analyses techniques, un thread Reddit ultra frais. Je découvre que la même attaque a déjà visé au moins 400 personnes ces dernières heures, mais que la dernière signature est déjà dans la base virale de Surfshark depuis… 3 h 49. Autrement dit, la suite m’a protégé avant même que je ne sache vraiment par quoi j’étais visé.

Puisque j’aime vivre dangereusement, je décide de tester un site de téléchargement parmi les plus douteux pour voir si je peux réitérer l’attaque. Je clique sur « Créer un alias ». Surfshark me file instantanément « Manolo Korbera, 33 ans, Porto, plutôt bg », avec un mail @surfshark.net. Je l’utilise, je télécharge le fichier suspect, rien ne se passe : l’alias reçoit le spam, pas moi. Dans le dashboard, je clique sur « Supprimer l’alias ». Manolo disparaît, comme s’il n’avait jamais existé. Mon vrai mail reste vierge. J’aurais dû y penser à 3h37 avant le premier clic.

3h23. Woaw. Il ne s’est rien passé. Je n’ai pas cliqué sur le .exe, c’était un rêve, je me suis juste endormi sur ma chaise et à mon âge ça fait mal au dos. Un coup d’oeil rapide sur l’écran, les quatre icônes de Surfshark One clignotent calmement : VPN vert, antivirus vert, Alert vert, Search vert. Je vide ma tasse de café froid, j’éteins la lumière, et je vais enfin me coucher tranquille. Sachant que la suite continuera de s’améliorer pendant que je dors : nouvelles signatures, nouvelles adresses IP, nouvelles menaces anticipées. 

Juste avant de fermer les yeux, je me souviens de ce à quoi je pensais avant de sombrer la première fois : la nouveauté Surfshark Everlink. 

Grâce à une infrastructure brevetée, Surfshark redirige maintenant le tunnel vers un serveur sain automatiquement s’il y a coupure. Vous ne remarquez même pas le changement, votre IP reste cachée, votre binge YouTube ne s’interrompt pas. Votre connexion VPN devient une sorte de passerelle magique : même si le serveur sur lequel vous êtes tombe en panne ou passe en maintenance, Everlink recolle le lien en temps réel sans jamais vous déconnecter. 

Contrairement au classique « kill switch » qui coupe Internet quand le VPN lâche, Everlink guérit la connexion avant qu’elle ne meure. Résultat : zéro déconnexion, zéro exposition, même en pleine heure de pointe ou sur un Wi-Fi d’aéroport douteux. Disponible par défaut avec le protocole WireGuard sur tous vos appareils, et sans surcoût, c’est la sécurité qui roule en pilote automatique.

Je vais enfin pouvoir dormir sur mes 2 oreilles. Surtout que pour en profiter, la suite complète ne coûte que 61,83 € pour 27 mois (soit 2,29 € TTC par mois). C’est pas cher payé pour éviter des cauchemars.

Gardez une longueur d’avance ? Surfshark One est là pour vous.

Saviez-vous qu’il y a plus de 3,7 millions de fausses étoiles qui polluent GitHub , et que 16% des repos étaient déjà touchés fin 2024. C’est pour cela que DataDog a sorti GHBuster , un outil qui détecte justement les comptes et repos GitHub suspects grâce à des algos heuristiques bien senties.

Le principe c’est qu’au lieu de chercher bêtement des patterns, GHBuster analyse plusieurs comportements louches en même temps. Genre, il repère quand un repo a plein d’étoiles venant de comptes créés le même jour et check aussi d’autres trucs sympas comme les commits avec des emails non liés au profil GitHub (pratique pour repérer les acteurs malveillants qui utilisent plusieurs comptes bidons). Il trouve aussi les utilisateurs qui n’ont que des forks de repos supprimés, ou ceux dont tous les commits viennent d’emails non vérifiés.

L’installation est super simple pour ceux qui veulent tester :

uv pip install "git+https://github.com/DataDog/ghbuster.git"
export GITHUB_TOKEN=votre_token_github
ghbuster

35 secondes… C’est même pas le temps qu’il vous faut pour réchauffer votre café au micro-ondes. Par contre, c’est pile poil le temps qu’il a fallu à des attaquant pour balancer 11,5 térabits par seconde sur les serveurs protégés par Cloudflare. Pour vous donner une idée, c’est comme si quelqu’un vous envoyait 10 000 films HD d’un coup, direct dans la tronche.

Cette attaque monumentale s’inscrit dans une série d’assauts qui deviennent de plus en plus violents. Par exemple, au premier trimestre de cette année, Cloudflare a bloqué 20,5 millions d’attaques DDoS. C’est quand même une augmentation de 358% par rapport à l’année dernière. Visiblement, quelqu’un s’amuse à tester les limites de l’infrastructure Internet mondiale… Mais le plus bizarre dans cette histoire, c’est l’origine de l’attaque.

Apparemment, la majorité du trafic malveillant provenait de ressources compromises sur Google Cloud Platform, donc de serveurs légitimes, payés rubis sur l’ongle par des entreprises lambda, transformés en armes de destruction massive de réseau. Le modèle pay-as-you-go du cloud est devenu une aubaine pour les attaquants qui peuvent louer une gigantesque puissance de feu quasi illimitée juste le temps de leur méfait.

L’attaque dont on parle aujourd’hui a utilisé la technique du UDP flood. Celle-ci est un peu vicieuse car contrairement au protocole TCP qui établit une connexion avant d’envoyer des données, l’UDP balance tout sans prévenir. Ainsi, chaque paquet UDP force le serveur victime à allouer des ressources pour le traiter, jusqu’à ce qu’il ne puisse plus répondre aux requêtes légitimes.

Et ce qui est impressionnant, c’est la rapidité de montée en puissance car les systèmes de Cloudflare ont détecté une progression de zéro à 11 térabits en moins de 10 secondes. C’est plus rapide qu’une Tesla qui passe de 0 à 100 et les défenses automatisées ont immédiatement appliqué des règles de limitation et du filtrage par IP pour étouffer l’attaque avant qu’elle ne fasse des dégâts.

Le rapport Q1 2025 de Cloudflare révèle que Google Cloud (AS396982) figure parmi les principaux réseaux sources d’attaques DDoS HTTP et la plupart des réseaux dans ce classement sont des fournisseurs cloud ou d’hébergement connus. D’ailleurs, pour aider ces fournisseurs à identifier et neutraliser les comptes abusifs, Cloudflare propose gratuitement un flux des botnet qui font des attaques DDoS afin que tout le monde puisse rapidement les bloquer. C’est leur façon de dire “on est tous dans le même bateau, entraidons-nous”.

En tout cas, cette attaque de 11,5 Tbps pulvérise totalement le précédent record établi en juin dernier, qui plafonnait à 7,3 Tbps. À ce rythme, on se demande où ça va s’arrêter, d’autant plus que ce n’est pas un cas isolé. Cloudflare rapporte en effet avoir bloqué des centaines d’attaques dépassant 1 Tbps ces dernières semaines, incluant une attaque UDP distincte qui a atteint 5,1 milliards de paquets par seconde. Pour contextualiser, c’est comme si chaque être humain adulte sur Terre vous envoyait un SMS.

Évidemment, l’industrie s’inquiète de cette escalade et sans protection de type Cloudflare, une attaque de cette ampleur mettrait n’importe quel site hors ligne instantanément. Même avec toute la bonne volonté du monde, votre FAI ne pourrait pas absorber 11,5 térabits de trafic malveillant… En tout cas, j’ai hâte de lire le rapport de Cloudflare qui devrait arriver bientôt…

Je me demande comment on pourrait se passer de Cloudflare maintenant… Ils sont devenus tellement incontournables… Ils sont un bouclier incroyable mais également un point de centralisation dramatique pour le net.

En attendant, une chose est sûre, les attaques DDoS ne sont plus ce qu’elles étaient. On est passé du petit script kiddie qui s’amuse à faire tomber le site de son lycée avec LOIC à des opérations massives capables de mettre à genoux des infrastructures entières… Et avec l’évolution du cloud et de l’IA, on n’a probablement encore rien vu.

Source

Je pense qu’on n’est pas encore vraiment prêt pour ces conneries… De quelles conneries je parle ? Et bien par exemple d’un ransomware qui réfléchit, qui s’adapte, et qui génère même ses propres attaques en temps réel ! Oui, Terminator mais sans muscles, et ce n’est plus de la science-fiction, c’est maintenant une réalité.

ESET Research vient en effet de découvrir PromptLock , le tout premier ransomware alimenté par l’intelligence artificielle et ce qui le rend vraiment unique, c’est qu’il ne suit pas de script prédéfini. Non, non, au lieu de ça, il utilise le modèle gpt-oss-20b d’OpenAI, installé localement sur la machine infectée via l’API Ollama. Du coup, ça permet au ransomware de génèrer ses propres scripts Lua malveillants à la volée, en fonction de ce qu’il trouve sur votre système. Chaque attaque devient ainsi potentiellement unique, ce qui rend la détection par signatures quasi impossible.

La beauté diabolique du truc, c’est que tout fonctionne en local. Donc pas besoin de connexion internet constante, pas de communications suspectes vers des serveurs de commande et contrôle. Le modèle d’IA tourne directement sur votre machine. Cette approche permet ainsi au ransomware d’éviter les détections heuristiques traditionnelles et le tracking d’API.

Les chercheurs d’ESET ont trouvé les artefacts de PromptLock sur VirusTotal le 25 août dernier. Ce ransomware est écrit en Golang et existe pour le moment en versions Windows et Linux et d’après l’analyse du trafic réseau, il envoie des requêtes POST vers un endpoint Ollama local (172.42.0.253:8443). L’adresse Bitcoin présente dans les prompts découverts appartiendrait à Satoshi Nakamoto lui-même. L’enfoiré, je savais qu’il était toujours dans le coin !!! Ouais, non, c’est surtout un gros clin d’œil des développeurs de cette saloperie.

Ce qui inquiète réellement les experts, c’est la simplicité avec laquelle ce ransomware peut être déployé. Plus besoin d’être un expert du mal (et du code) pour lancer une attaque sophistiquée.

Le ransomware utilise l’algorithme de chiffrement SPECK 128-bit et peut potentiellement exfiltrer vos données, les chiffrer, ou même les détruire. Heureusement, cette dernière fonctionnalité ne semble pas encore implémentée. Les scripts Lua générés sont compatibles cross-platform et fonctionnent sur Windows, Linux et macOS. Bref, une vraie plaie universelle.

Pour l’instant, PromptLock semble donc être plutôt un proof of concept plutôt qu’une menace active mais si un simple PoC peut déjà faire ça, imaginez ce que des cybercriminels motivés pourraient développer avec les mêmes techniques.

On s’attend tous à voir dans les années à venir de plus en plus de malwares autonomes capables d’apprendre et de s’adapter en temps réel. Cela veut dire que les défenses devront elles aussi intégrer l’IA pour suivre le rythme. C’est une nouvelle course aux armements technologiques qui s’annonce, avec évidemment nos données personnelles et les données des entreprises comme champ de bataille.

Donc comme d’hab, la meilleure défense c’est la prudence. Ne téléchargez que des fichiers de sources fiables maintenez vos systèmes à jour, et faites des backups 3-2-1-1-0 .

Bon courage les amis !

Source

— Article en partenariat avec Surfshark —

Lorsque l’on parle d’un VPN, c’est principalement avec l’idée de disposer d’un outil qui va protéger vos données d’un point de vue professionnel (protéger votre équipe avec Surfshark). Ou pour son côté « amusement » comme débloquer les catalogues VOD/streaming, protéger sa TV intelligente, etc.

Mais une autre très bonne façon d’utiliser un VPN est de protéger la famille au sein même de votre habitation. Ce que fait plutôt bien Surfshark pour plusieurs raisons. Et la première n’est autre que le fait qu’il s’agit quasi du seul service du genre à proposer la protection d’un nombre illimité de machines et simultané. Donc que vous soyez célibataire ou que vous viviez avec une famille nombreuse c’est pareil, un seul abonnement et tout le monde en bénéficie.

Bon après même si le nombre d’appareils pris en compte peut être illimité … si la protection est foireuse ça n’a pas grand intérêt. Mais là encore Surfshark répond aux attentes. Outre le fait de n’avoir jamais été prit en flag de mentir sur sa politique de non-conservation de vos activités (multiples audits au fil des années), il repose sur la panoplie des meilleurs standards du domaine : chiffrement AES 256, protocole IKEv2/IPsec, support de Wireguard/OpenVPN/L2TP, etc.

Maintenant, comment est-ce qu’un VPN protège concrètement les utilisateurs de votre maison ?

Déjà en modifiant votre adresse IP. Vous savez sans doute déjà qu’une adresse IP est celle qui identifie votre machine sur Internet. Toutes vos actions y sont liées : achat en ligne, message sur un réseau social, etc. Il est donc assez facile de relier votre comportement en ligne à votre appareil.

Surfshark vous permet de modifier cette dernière en changeant de serveur, de manière aléatoire tous les x temps … ou de la garder fixe si besoin. En changeant d’IP, vous donnez aux sites que vous visitez (même à votre fournisseur d’accès via le mode camouflage) une localisation qui est différente de votre vraie position.

Le chiffrement de vos données est un autre aspect de cette protection. Par défaut tout ce que vous faites en ligne sera chiffré avec les meilleurs algorithmes du moment. Si une personne mal intentionnée venait à intercepter votre trafic, il ne pourrait rien en faire. Ce qui est plutôt appréciable, surtout si vous habitez un pays où le gouvernement en place aime jouer au petit curieux.

L’idéal dans ce cas est bien entendu de sécuriser le routeur de la maison, celui par lequel tout passe. Mais simplement installer le VPN sur tous vos appareils fera aussi très bien le taf. Et ce qui est plutôt cool c’est que Surfshark supporte toutes les religions, de Windows à Linux en passant par macOS, Android, iOS, BlackBerry, vos smart TV, navigateurs et mêmes consoles de jeux. Bref il est plus flexible qu’un contorsionniste.

Un point à prendre en compte est de choisir un VPN qui corresponde à votre situation. On pense souvent à des serveurs situés un peu partout dans le monde sans faire attention à sa propre géoloc. Or vous pouvez très bien avoir envie de regarder un contenu réservé à la France … depuis la France. Sans donner votre position. De ce côté Surfshark est blindé avec ses 3200+ serveurs (quasi tous en 10 Gb/s) répartis dans 100+ pays. Pas le plus grand parc de serveurs des VPN, mais le mieux réparti et avec l’un des meilleurs rapport qualité/prix du marché.

Comme vous êtes l’adulte de la maison (hum hum), ce sera à vous d’éduquer vos enfants sur le sujet.  Surtout les plus jeunes (et les plus vieux) qui ne sont pas forcément au courant des risques potentiels dans ce bourg mal famé que sont les Internets. Et avec le pack Surfshark One dont j’ai parlé dernièrement et intégré par défaut depuis peu, il vous permet de disposer en plus d’un antivirus, d’un système d’alerte, de la création d’identité alternative, d’un moteur de recherche privé, d’un surf sans publicités ni traqueurs et un tas d’autres options !

Récemment le site du VPN aux dents de requin a publié un classement mondial de la qualité de vie numérique. Et notre hexagone s’y classe … premier devant la Finlande et le Danemark. Place que l’on doit surtout au prix de nos connexions (merci Free), parce que niveau cybersécu et infrastructure électronique nous sommes bien plus mal placés (autour de la 15e place). Comme quoi il y a encore de la marge.

Et tout cela vous est accessible pour moins de 3.25€/mois TTC (abonnement 2 ans). Satisfait ou remboursé durant 30 jours, donc pas de prise de risques, vous pouvez tester ça au calme et vous faire votre idée. Niveau des modes de paiement il y en a pour tout le monde : de PayPal à la CB, en passant par les solutions comme Google Pay/Amazon Pay et les cryptomonnaies.

N’attendez plus, essayez Surfshark VPN !

Aujourd’hui, on va causer d’un sujet qui tient à cœur de tout le monde : la sécurité et la confidentialité de nos smartphones ! Ernestas Naprys, un journaliste de Cybernews, s’est amusé à comparer les systèmes Android et iOS pour voir lequel était le plus sûr et le résultat ne manque pas de piquant !

Avant de rentrer dans le vif du sujet, petit rappel quand même : nos téléphones ne font pas que nous tenir compagnie la nuit dans le lit… non, non.. ils en profitent aussi pour fureter à gauche et à droite, accédant à nos données et discutant avec des serveurs du monde entier, parfois même jusqu’en Russie !

Bref, notre Sherlock a installé le top 100 des applis iOS et Android sur des téléphones remis à zéro, les a lancé et laissé comater tranquillos pendant 5 jours.

L’objectif ? Tracer chaque petite connexion sortante pour voir à qui elle cause en douce.

Résultat des courses : L’iPhone se révèle être un sacré bavard, engrangeant 3308 requêtes par jour en moyenne, contre 2323 pour son rival Android. Mais attention, le diable se cache dans les détails ! Si iOS papote plus, il le fait principalement avec ses potes de chez Apple (60% du trafic quand même). Android, lui, est beaucoup plus partageur et distribue ses requêtes à tout va, surtout via des applis tierces.

Autre fait marquant, quand il s’agit de taper la discute avec des serveurs situés en Russie ou en Chine, Android est un vrai moulin à paroles ! Là où l’iPhone n’envoie qu’un petit coucou quotidien en terre de Poutine, le robot vert se fend d’un joyeux « Priviet ! » pas moins de 39 fois en 3 jours. Et côté Chine, c’est la même : Android ça y va tranquille tandis qu’iOS lui fait l’impasse complète et n’envoie rien vers l’Empire du Milieu.

Côté applis douteuses niveau confidentialité, là encore, c’est pas la même sauce ! Facebook ? 200 requêtes par jour sur Android, seulement 20 sur iOS. TikTok ? 800 check quotidiens pour le Android, 36 en tout sur 5 jours pour la pomme.

Alors, comment expliquer cet écart de comportement entre les deux systèmes ?

Notre expert avance 2 hypothèses :

Tout d’abord un App Store mieux tenu, avec moins d’applis potentiellement malveillantes ou intrusives, mais également une politique bien plus stricte d’Apple envers les développeurs qui voudraient mettre leur nez dans nos petites affaires.

Bon mais qu’est-ce qu’on fait nous du coup ?

Et bah comme d’hab’, le mieux c’est d’avoir le moins d’applis possibles, et de privilégier celles qui ont pignon sur rue. Évitez de synchroniser tous vos comptes et toutes vos données dans tous les sens, et pensez à faire un petit coup de ménage de temps en temps dans vos applis. Moins y a de bordel, mieux c’est.

Autre chose : privilégiez le bon vieux navigateur web plutôt que les mini-browsers intégrés dans les applis, qui sont de vraies passoires. Voici un petit tuto pour voir par vous-même à qui causent vos applis :

1. Allez sur le site https://InAppBrowser.com depuis votre navigateur web.
2. Copiez le lien et collez-le dans une de vos applis qui utilise un navigateur intégré (comme Whatsapp, Instagram, Facebook, etc).
3. Ouvrez ce lien depuis l’appli sélectionnée.
4. Vous devriez voir s’afficher la liste des commandes JavaScript injectées par l’appli sur la page web ! 😱

Bon courage !

J’sais pas si vous savez, mais dès que vous créez un fichier, il y a plein de données qui se retrouvent dedans, la plupart du temps à votre insu… Et ça fonctionne avec tout : Photos, documents, morceau de musique et j’en passe. Cela s’appelle des Métadonnées, ça n’a rien de nouveau mais c’est bien utile aux pentesteurs et autres experts OSINT pour mener à bien leurs enquêtes.

Évidemment, les mecs ont autre chose à faire et plutôt que d’aller fouiller tout à la main, ils se reposent sur des outils comme celui que je vous présente aujourd’hui et qui s’appelle MetaDetective.

Développé par des passionnés de cybersécurité, MetaDetective est propulsé par Python et contrairement à certains outils qui dépendent d’une myriade de bibliothèques externes, il est plutôt autonome et simple à utiliser. Seul prérequis : avoir exiftool installé sur votre système. Une fois cette étape franchie, vous êtes prêt à plonger dans l’aventure !

L’une des forces de MetaDetective réside surtout dans sa capacité à catégoriser et à présenter les métadonnées de manière intuitive. Fini le casse-tête des données brutes et désorganisées. Que vous analysiez un fichier unique ou un ensemble de documents, MetaDetective vous offre une vue d’ensemble claire et structurée. Chaque information est minutieusement classée, vous permettant de naviguer aisément dans la richesse des données extraites.

L’outil intègre des fonctionnalités avancées de web scraping et là où d’autres se contentent de gratter la surface, MetaDetective, lui, plonge en profondeur, explorant méticuleusement de nombreux sites web pour en extraire les métadonnées les plus pertinentes. Oubliez les restrictions d’IP et les proxy laborieux à des services tiers, puisqu’il va directement se fournir à la source.

Vous pourrez bien évidemment ajuster la profondeur d’exploration, cibler des types de fichiers spécifiques, et même exclure certains termes pour affiner vos résultats. Et grâce à ses options d’exportation flexibles, vous pouvez générer des rapports clairs au format HTML ou texte.

Mais attention, avec un grand pouvoir vient une grande responsabilité. L’utilisation de MetaDetective doit se faire dans le respect des lois et réglementations en vigueur. Cet outil puissant ne doit pas être utilisé à des fins malveillantes ou illégales.

Pour en savoir plus sur MetaDetective et accéder à sa documentation complète, rendez-vous ici.

Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.

C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.

Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !

Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.

Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.

Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :

• Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod
• Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques
• Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu
• Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »
• Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum
• Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance

Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.

Source

Voici une histoire qui va vous donner des sueurs froides dans le dos juste avant d’aller faire dodo ! Figurez-vous que Raspberry Robin, ce satané malware plus fourbe qu’un présentateur de C8, est de retour pour une nouvelle tournée de piratage en 2024 façon Taylor Swift. Les chercheurs en cybersécurité de chez HP Wolf Security ont repéré ses traces et croyez-moi, il a plus d’un tour dans son sac pour passer entre les mailles du filet !

Ce petit malin utilise des fichiers WSF (Windows Script Files) bien planqués sur différents domaines et sous-domaines pour se faufiler incognito. Et le pire, c’est qu’il arrive à berner ses victimes pour qu’elles aillent d’elles-mêmes sur ces pages web piégées. Une fois que le fichier WSF est exécuté, bim ! Il télécharge son payload principal, un DLL bien vicieux qui peut être n’importe quoi : du SocGholish, du Cobalt Strike, de l’IcedID, du BumbleBee, du TrueBot ou même du ransomware.

Mais avant de télécharger son précieux DLL, il va mener une série de reconnaissances pour vérifier s’il n’est pas en train de se faire piéger dans un environnement d’analyse ou une machine virtuelle. Et si jamais il détecte la présence d’un antivirus comme Avast, Avira, Bitdefender, Check Point, ESET ou Kaspersky, il se met direct en mode furtif et reste planqué.

Et comme si ça suffisait pas, il est même capable de bidouiller les règles d’exclusion de Microsoft Defender pour être sûr de passer entre les gouttes. C’est vraiment le Solid Snake des malwares ! Les scripts qu’il utilise ne sont même pas reconnus comme malveillants par les scanneurs sur VirusTotal, c’est dire à quel point il est balèze en infiltration.

Alors c’est sûr, avec Raspberry Robin dans la nature, faut être sur ses gardes. Ce malware est une vraie plaie depuis qu’il a été découvert en 2021. Au début, il se planquait sur des clés USB avec un fichier LNK qui pointait vers son payload hébergée sur un appareil QNAP compromis. Mais maintenant, il a évolué et il est devenu encore plus sournois.

Bref, gaffe à vous… Assurez-vous d’avoir un bon antivirus à jour, ne cliquez pas n’importe où et méfiez-vous comme de la peste des clés USB inconnues qui traînent.

Source

Et encore une magnifique journée dans le monde merveilleux de la cybersécurité !

Je vais vous parler aujourd’hui d’un truc plutôt sympa qui s’appelle « Indicator of Canary« . En gros, c’est une collection de proofs of concept (PoC) issue d’une recherche sur la détection des « canaris » planqués dans différents formats de fichiers.

cui-cui !

Mais attends, c’est quoi un canari ? En fait, c’est un peu comme un cheval de Troie, sauf que là, on parle de fichiers piégés avec des indicateurs de compromission (IoC) bien vicieux et des URLs de callback qui n’ont rien à faire là où elles sont. L’objectif peut-être bienveillant, à savoir détecter l’origine d’un vol de documents par exemple ou malveillant pour obtenir des informations sur une future victime.

Le but du jeu d’Indicator of Canary, c’est donc de les débusquer.

Alors ok, y a déjà des outils sur GitHub qui font des recherches par expressions régulières pour trouver les domaines en *.canarytoken.org, mais bon… C’est pas franchement l’approche la plus robuste, surtout quand on a affaire à des canaris auto-hébergés ou provenant d’autres fournisseurs. Les scripts d’Indicator of Canary, eux, mettent en rouge les trucs vraiment louches et en jaune les trucs potentiellement suspects, le tout accompagné de métadonnées pour comparer avec les autres documents de l’environnement.

Et en bonus, on a même droit à un script qui convertit les clés d’accès AWS en ID de compte. Comme ça, si vous avez accès à plusieurs clés, vous pouvez repérer les valeurs aberrantes qui ont des ID de compte bizarres. Ça peut valoir le coup de creuser un peu pour voir si c’est legit. En plus, les fournisseurs de canaris utilisent souvent le même ID de compte pour toute leur flotte, donc c’est un bon moyen de les démasquer !

Tiens, d’ailleurs, quand on parle de démasquer, ça me fait penser à un cas rigolo. Imaginez que vous bossez pour une grosse boîte et que d’un coup, vous tombez sur un fichier Excel qui a l’air normal, sauf qu’il contient une URL bizarre du genre « http://notavirus.totallylegit.biz/callback« . Là, ça pue un peu, non ? Avec le script xlsx_canary.py, hop, direct, on extrait le canari du fichier et on peut voir d’où il vient. Si ça se trouve, c’est un stagiaire qui a voulu faire une blague, ou alors c’est un vrai incident de sécurité et faut remonter ça illico à la hiérarchie !

Autre exemple : admettons que vous récupériez un dump MySQL qui traîne sur un serveur. Vous le passez à la moulinette de mysql_canary.py et paf, ça vous ressort une belle liste d’IoC et d’URLs de callback qui n’ont rien à faire dans une base de données de prod. Là, vous pouvez être sûr que quelqu’un a mis son nez où il fallait pas !

Bref, comme vous l’aurez compris, Indicator of Canary c’est top pour traquer les canaris dans une infrastruture. Que ce soit pour des fichiers .docx, .pptx, .pdf ou même des dumps MySQL, y a un script pour chaque occasion (plaisir d’offrir, tout ça, tout ça). Et le plus beau dans tout ça, c’est que ça fonctionne pour les canaris de plusieurs fournisseurs différents.

Si jamais vous voulez jeter un oeil au code, c’est par ici que ça se passe. Y a même les IoC de différents fournisseurs dans le fichier static_iocs.txt, c’est cadeau. Amusez-vous bien et restez à l’affût, on sait jamais quand un canari va se pointer !

Cui ! (ouais, j’étais obligé)

Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱

En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?

Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…« 

C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈

En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅

Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?

Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !

Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…

Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉

Allez, je vous laisse méditer là-dessus ! Si vous voulez creuser le sujet, je vous mets le lien vers l’article d’Ars Technica qui détaille bien le truc.

Prenez soin de vous et de vos données surtout ! ✌️ Peace !

Oh my god !

Voici une bien mauvaise nouvelle pour les utilisateurs de Linux que nous sommes ! Un malware baptisé NerbianRAT sévit dans la nature depuis au moins 2 ans et il vient juste d’être identifié. Cette saleté est capable de voler vos identifiants en exploitant des failles de sécurité récemment corrigées.

C’est la boîte de sécu Checkpoint Research qui a révélé l’existence de cette variante Linux de NerbianRAT. D’après eux, c’est un groupe de cybercriminels nommé « Magnet Goblin » qui est derrière tout ça. Et leur technique est bien vicieuse : ils exploitent des vulnérabilités à peine patchées (les fameux « 1-day ») en rétro-ingéniérant les mises à jour de sécurité. Comme ça, ils peuvent cibler les machines pas encore à jour. Malin !

En plus de NerbianRAT, Checkpoint a aussi découvert un autre malware appelé MiniNerbian. C’est une version allégée utilisée pour backdoorer les serveurs e-commerce Magento et les transformer en serveurs de commande et contrôle pour le botnet NerbianRAT.

Mais le plus inquiétant c’est que Magnet Goblin est très réactif pour s’accaparer les dernières vulnérabilités 1-day et déployer ses saloperies comme NerbianRAT et MiniNerbian. Ça leur permet d’infecter des machines jusqu’ici épargnés comme les appareils qui se trouvent en périphérie de réseau comme le matériel IoT.

Checkpoint est tombé sur NerbianRAT en analysant les attaques récentes qui exploitent des failles critiques dans Ivanti Secure Connect. Dans le passé, Magnet Goblin a aussi exploité des 1-day dans Magento, Qlink Sense et possiblement Apache ActiveMQ pour propager son malware.

Les chercheurs ont trouvé cette variante Linux de NerbianRAT sur des serveurs compromis contrôlés par Magnet Goblin, avec des URLs du style :

• http://94.156.71[.]115/lxrt
• http://91.92.240[.]113/aparche2
• http://45.9.149[.]215/aparche2

C’est pas tout ! Magnet Goblin déploie aussi une version modifiée d’un autre malware voleur d’infos appelé WarpWire. D’après la boîte Mandiant, cette variante engrange des identifiants VPN qu’elle expédie ensuite sur un serveur du domaine miltonhouse[.]nl.

Contrairement à sa version Windows qui est bien obfusquée, NerbianRAT Linux se protège à peine. Son code contient même des infos de debug qui permettent aux chercheurs de voir des trucs comme les noms de fonctions et de variables. Du beau travail…

Alors les amis linuxiens, méfiance ! Même si on se sent à l’abri avec notre machot, faut bien garder à l’esprit qu’aucun OS n’est invulnérable. La sécurité c’est aussi une histoire de comportement. Pensez à mettre régulièrement à jour vos machines, évitez les sites et les programmes louches, et utilisez vos neurones.

Un petit scan antivirus de temps en temps, ça peut pas faire de mal non plus. Et puis au pire, si vous chopez NerbianRAT, dites-vous que vous aurez participé bien malgré vous à une opération de recherche collaborative via VirusTotal 😉

Je vous laisse méditer là-dessus. En attendant portez-vous bien, pensez à éteindre la lumière en partant et que la Force soit avec vous !

Source

— Article en partenariat avec Any.run —

Aujourd’hui, j’aimerais vous parler d’un service qui va modifier totalement la manière dont nous analysons et protégeons nos systèmes contre les menaces informatiques et plus particulièrement contre les attaques de phishing et les malwares qui en découlent.

Il s’agit d’ANY.RUN, un outil basé sur le cloud qui permet d’analyser sans prendre de risque et sans prise de tête, tous types de malwares présents sous Windows ou Linux. Vous l’aurez compris, ce service est d’abord conçu pour aider les chercheurs en sécurité, mais également les équipes SOC (Security Operations Center) et DFIR (Digital forensics and incident response) à examiner en détail les menaces qu’ils détectent, mais également simuler différents scénarios et ainsi obtenir des tonnes d’infos sur le comportement de ces logiciels malveillants.

Pour rappel, un malware est un logiciel malveillant capable de s’infiltrer sur votre ordinateur, et dont le seul but est de vous nuire en vous voulant des données, en vous extorquant de l’argent, en endommageant votre système ou en exploitant votre machine au travers d’un botnet. Sous Windows, ces menaces sont particulièrement virulentes, exploitant la plupart du temps des vulnérabilités du système ou les comportements imprudents des utilisateurs. Mais je ne vous apprends rien en vous disant qu’un simple clic sur un lien dans un email de phishing peut suffire à déployer par exemple un ransomware qui chiffrera alors l’ensemble de vos fichiers et exigera une rançon (en cryptomonnaie ^^) pour les récupérer.

Contrairement à d’autres outils plus basiques comme VirusTotal, ANY.RUN propose un environnement en vase clos où chaque malware peut être exécuté sans risque, comme s’il se déployait sur un véritable système. Cette approche permet aux utilisateurs d’observer en temps réel les actions du malware : De la création de nouveaux processus et l’arrivée de fichiers malveillants jusqu’aux tentatives de connexion à des URL douteuses. Tout ce qui se passe dans le système infecté, y compris les modifications apportées à la base de registre et les communications réseau, est relevé de manière transparente.

Linux étant au cœur des infrastructures informatiques des entreprises et des organisations, il représente également une cible de choix pour les cybercriminels, ce qui se confirme puisque des chercheurs d’IBM ont noté sur 2020, une hausse de 40 % des malwares ciblant spécifiquement Linux. C’est pourquoi ANY.RUN propose en plus de sa sandbox Windows, un environnement basé sur Ubuntu.

Les outils d’audit fournis par ce service permettent également de générer des rapports contenant tout ce qu’il y a à retenir de votre analyse de malware. Je parle bien sûr de vidéos, de captures d’écran, de hash de fichiers, ainsi que toutes les données accumulées durant l’exécution de la tâche.

Comme vous pouvez le voir sur les captures écran, ANY.RUN supporte les dernières versions de tous les navigateurs et systèmes d’exploitation populaires. La plupart des signatures de logiciels malveillants produites par ANY.RUN sont également poussées vers la base ATT&CK de Mitre et sont présentées de manière visuelle et pratique, ce qui permet de former les nouveaux chasseurs de malwares.

Si vous voulez analyser une nouvelle menace potentielle, pas de problème avec ANY.RUN. Il vous suffit d’uploader un fichier ou d’utiliser une URL pour lancer l’analyse dans un environnement Windows de la version de votre choix. Vous pourrez alors ajuster la durée de l’exécution, et simuler des interactions réseaux via un proxy HTTPS ou router le réseau via un VPN/Proxy/Tor. La plateforme propose également plusieurs applications et outils préinstallés pour imiter un environnement utilisateur réel. Les paramètres de confidentialité et de conservation de la tâche sont facilement spécifiables et des fonctionnalités avancées comme l’interactivité automatisée ou l’accès à ChatGPT viendront enrichir encore plus l’analyse.

L’outil affiche le schéma d’attaque du malware dans une structure arborescente interactive, vous permettant de voir en un clin d’œil les principaux processus lancés. Ensuite, toutes les données collectées au travers de cette sandbox peuvent être rejouées autant de fois qu’on le souhaite pour des analyses futures ou tout simplement générer des rapports. Bien sûr, tout est exportable et partageable, ce qui vous permettra de travailler à plusieurs sur une menace.

Dans cet exemple d’un malware en pleine action, celui-ci cherche à s’ancrer dans le système par des modifications du registre Windows, signe d’une tentative de persistance. Il exécute également un fichier batch suspect qui pourrait déployer d’autres composants nuisibles. Il utilise également la commande vssadmin.exe pour effacer les points de restauration du système. C’est une technique typique des ransomwares pour empêcher toute récupération de données après une attaque. Vous voyez, on en apprend beaucoup avec ANY.RUN.

Au-delà des possibilités d’analyse temps réel des malwares, l’intégration poussée de la Threat Intelligence (TI) au sein d’Any Run est également à souligner. Cela se matérialise au travers d’une base de renseignement sur les menaces qui est constamment enrichie par une communauté internationale de chercheurs. Cela permet de collecter et d’analyser les malwares dès qu’ils pointent le bout de leur nez. Les indicateurs de compromission (IOC) sont alors connus, ce qui offre un gros avantage pour la suite. D’ailleurs si vous voulez vous abonner, Any run vous offre gratuitement 50 options TI en passant par ce lien.

On y retrouve dans un flux JSON / STIX ou via le site web, tous les événements liés au malware, les adresses IP, les domaines utilisés, les hash de fichiers…etc. Comme ça, les équipes SOC sont à jour sur les menaces et leurs IOC et peuvent réagir beaucoup plus vite.

Vous l’aurez compris, ANY.RUN permet aux chercheurs en sécurité d’éliminer totalement ce besoin d’avoir une infrastructure d’analyse. C’est un gain de temps et de sécurité assuré ! Et comme c’est un outil professionnel, vous pouvez également l’utiliser en combinaison avec votre SIEM (Security Information and Event Management) / SOAR (Security Orchestration, Automation and Response).

Si l’analyse de malware fait partie de votre travail ou est une passion dévorante, je vous invite donc à essayer ANY.RUN durant les 14 jours d’essai offerts.

Largement de quoi vous faire une idée !