Quand j'achète un truc avec ma CB, c'est vrai que j'évite maintenant de demander le ticket de carte bancaire. Ça ne me sert à rien, et puis j'en fais quoi après ? Je le jette à la poubelle ?

Heureusement qu'il n'y a pas de données confidentielles dessus et que tous les chiffres de ma CB sont masqués avec des petites étoiles sauf une partie, généralement les 4 derniers, qui sont en clair évidemment.

Bref, tout roule, nan ? Hé bien noooon, parce que Metin Ozyildirim, un chercheur en sécurité, vient d'expliquer sur son site comment ces étoiles en fait c'est pas vraiment un secret.

En fait, quand vous effectuez un achat en ligne, le marchand pose une question à votre banque pour valider la carte, du genre "hey Crédit Agricole, est-ce que ce numéro existe ?" et la banque répond connement oui ou non.

Et le souci c'est que cette question, n'importe qui peut la poser depuis n'importe où dans le monde, en testant des numéros au pif jusqu'à tomber sur le bon. C'est ce qu'on appelle du brute force, et avec une bonne machine et une connexion correcte, ça permet de tourner tranquillement à la fréquence de 6 tentatives par seconde, soit environ 130 000 essais possibles étalés sur une nuit. C'est donc très largement assez pour reconstituer les chiffres manquants quand on n'en a que 6 à deviner.

Et surtout, il arrive parfois que le marchand soit un peu trop bavard. Par exemple si vous tapez un mauvais numéro, il vous répond "Cette carte de crédit n'est pas valide". Si la date d'expiration est fausse, il vous dit gentiment "Cette carte a expiré". Et si le CVV est faux ? "Le code CVV n'est pas correct".

Comme le dit Metin dans son post, ce genre d'indice aide carrément à bruteforcer les infos de la CB. Bah oui, si le marchand vous confirme noir sur blanc que vous êtes à 3 chiffres près du jackpot, pourquoi s'arrêter hein ? C'est un peu comme dans ces films où y'a un gars qui braque un coffre-fort qui fait "clic" à chaque bon chiffre.

Et comme ça donc que Metin Ozyildirim s'est fait piller son compte bancaire il y a environ 1 an. L'attaquant a fait tourner son bruteforce comme ça durant 6 heures, en répartissant ses requêtes sur plusieurs sites e-commerce différents pour passer sous les radars.

Et une fois la carte complète reconstituée, restait plus qu'à dépenser le pognon ! Et là pareil, certains marchands acceptent encore les paiements sans demander la double authentification 3D Secure. Ces marchands là, ce sont eux qui payent en cas de fraude, car ils prennent le risque. L'attaquant a juste eu à choisir un de ces marchands "hack-friendly", et a transféré l'argent vers un porte-monnaie électronique, qu'il a ensuite converti en cash.

Et voilà comment le plafond de la carte de Metin était à zéro avant qu'il ait terminé son premier café du matin !

La bonne nouvelle, c'est que la banque l'a remboursé. Par exemple en France, vous avez 13 mois pour contester une transaction frauduleuse via votre banque. C'est un droit et pas une faveur hein ! Mais si la banque considère que vous avez été négligent (carte prêtée, code partagé, phishing évident...etc), elle peut tout à fait refuser le remboursement, donc gardez des preuves et contestez vite !

Maintenant, la mauvaise nouvelle, c'est que ce qui est arrivé à Metin est de plus en plus fréquent. Visa a même documenté que ce genre d'attaques explose, et que la majorité des sites e-commerce sont mal protégés contre ce genre de bots qui font tourner ces scripts de bruteforcing.

Bref, y'a pas grand chose à faire de notre côté pour nous protéger de ça, si ce n'est d'activer les notifs de notre banque sur chaque transaction, configurer le plafond le plus bas possible (sans que ce soit gênant), et quand votre banque vous propose une carte virtuelle à usage unique pour les achats en ligne, n'hésitez pas à l'utiliser.

Et la prochaine fois que vous laisserez traîner un reçu de CB sur la table d'un resto, dites-vous que vous offrez peut-être un accès à votre compte au prochain margoulin qui passe !

Source

Un logiciel malveillant destiné à effacer définitivement les données de postes informatiques vient de faire surface dans le secteur énergétique vénézuélien.

La bête a été baptisée "Lotus" par les chercheurs de Kaspersky qui l'ont analysé en premier, il a été mise en route en décembre 2025 depuis un ordinateur vénézuélien, et sa cible principale semble être PDVSA, la compagnie pétrolière d'État.

Côté technique, Lotus ne fait pas dans la dentelle. Deux scripts batch préparatoires, OhSyncNow.bat et notesreg.bat, désactivent toutes les défenses, coupent les comptes utilisateurs et ferment les interfaces réseau, histoire de bien tout bloquer.

Ensuite, le binaire principal passe en mode destruction avec diskpart, robocopy et fsutil pour manipuler le système de fichiers, puis descend au niveau IOCTL pour écraser directement des secteurs physiques du disque. Les points de restauration sont supprimés, le journal USN est effacé. Aucune récupération possible.

LKaspersky ne pointe personne, et aucun élément technique ne désigne un État ou un groupe criminel en particulier. Le timing est quand même troublant : fin 2025 et début 2026, le Venezuela a traversé une crise politique majeure avec la capture de l'ancien président Nicolás Maduro le 3 janvier, et les tensions toujours fortes autour des infrastructures énergétiques. Coïncidence ou coordination, on ne saura probablement pas avant longtemps.

En pratique, un wiper qui cible PDVSA, ça rappelle immédiatement les attaques contre les infrastructures critiques qu'on a vues en Ukraine avec Stryker ou contre des clusters Kubernetes avec la variante TeamPCP.

L'objectif n'est pas le chantage ni le vol, c'est la destruction pure. Les opérateurs ne cherchent pas à exfiltrer quelque chose, ils veulent rendre l'infrastructure inutilisable le plus vite possible, pour déstabiliser ou punir.

Un réseau d'alimentation électrique ou de distribution de carburant paralysé quelques jours, ça a des conséquences directes sur la vie quotidienne et sur la stabilité politique d'un régime.

Ce qui inquiète, c'est aussi la qualité du code. Lotus n'est pas un script amateur collé à la va-vite : il enchaîne plusieurs étapes de sabotage méthodique, de la désactivation des défenses à la destruction bas niveau du disque.

Pour un pays qui n'a déjà pas la réputation d'avoir la cybersécurité la plus pointue du continent, encaisser ce genre d'outil, ça fait mal. Et la probabilité que d'autres échantillons du même auteur circulent déjà ailleurs est loin d'être nulle.

Bref, un wiper bien fichu sur une compagnie pétrolière d'État dans un pays en crise, c'est rarement l'œuvre d'un adolescent dans son garage. Affaire à suivre donc.

Source : Bleeping Computer

Depuis la version 2.91.0 du CLI GitHub publiée mardi, chaque commande que vous tapez dans gh envoie des données de télémétrie vers GitHub par défaut. L'activation est silencieuse, sans message au premier lancement, sans consentement explicite, et il faut fouiller dans la doc pour tomber sur la page dédiée au sujet.

GitHub décrit la collecte comme pseudonyme côté client. Concrètement, le payload embarque le nom de la commande lancée, un identifiant d'invocation, un identifiant d'appareil, l'OS, l'architecture, l'agent et quelques drapeaux.

L'entreprise précise que le contenu exact peut varier d'un appel à l'autre. La justification officielle : les équipes produit ont besoin de voir comment le CLI est utilisé, avec la montée en puissance des agents IA qui le pilotent de plus en plus souvent en arrière-plan.

Côté sortie, il y a trois moyens de couper la télémétrie. Vous pouvez définir la variable d'environnement GH_TELEMETRY à false, ou DO_NOT_TRACK à true, ou lancer gh config set telemetry disabled. Simple en apparence.

Sauf que rien de tout ça n'est signalé à l'installation, et qu'un utilisateur qui n'est pas tombé sur le billet de Brandon Vigliarolo dans The Register ne saura probablement pas que c'est activé sur sa machine.

Le terme pseudonyme mérite aussi qu'on le regarde de près. Pseudonyme ne veut pas dire anonyme : il y a un identifiant d'appareil stable, il y a un identifiant d'invocation, et GitHub connaît déjà votre compte si vous êtes authentifié avec gh auth login.

Du coup, le recoupement entre votre activité CLI et votre identité GitHub n'a rien de théorique, même si GitHub ne promet pas de le faire.

En pratique, la télémétrie des outils de dev n'est pas une nouveauté. VS Code le fait depuis des années, npm aussi, et la plupart des éditeurs jouent le même jeu. Ce qui coince ici, c'est le choix de l'opt-out plutôt que de l'opt-in, et l'absence d'annonce claire sur le changelog principal.

Les utilisateurs reprochent surtout à GitHub d'avoir glissé l'info dans une page de doc au lieu d'un billet de blog dédié. Pour un outil qu'utilisent des gens très à cheval sur leur vie privée, c'est un drôle de calcul.

Bref, un outil CLI qui s'active en mode collecte par défaut sans prévenir, ça pique. Heureusement une variable d'environnement suffit à couper. Mais il faut savoir qu'elle existe.

Source : The Register

ChipSoft, l'éditeur qui fournit le logiciel de dossiers médicaux à environ 80 % des hôpitaux aux Pays-Bas, vient d'être touché par un ransomware. Le site de l'entreprise est hors ligne depuis le 7 avril, et on ne sait pas encore si des données de patients ont été volées.

Ce qu'il s'est passé

L'attaque a été confirmée le 7 avril par Z-CERT, l'agence néerlandaise qui surveille la sécurité informatique dans le secteur de la santé. ChipSoft développe le logiciel HiX, qui gère les dossiers médicaux de patients dans la grande majorité des hôpitaux du pays. Le site web de l'entreprise est tombé dans la journée et reste inaccessible.

Z-CERT a envoyé un mémo confidentiel aux clients de ChipSoft pour leur demander de couper leur connexion VPN vers les systèmes de l'éditeur. Onze hôpitaux ont déconnecté leurs systèmes par précaution. Les autres ont indiqué que leurs données patients étaient en sécurité et que leurs services continuaient de fonctionner.

Des données patients potentiellement compromises

ChipSoft a confirmé qu'il y avait eu un "incident de données" avec un "possible accès non autorisé". L'entreprise ne peut pas garantir que des données de patients n'ont pas été consultées ou copiées. Le groupe de hackers derrière l'attaque n'a pas été identifié, et aucun montant de rançon n'a été rendu public.

Plusieurs hôpitaux, dont le Rijnstate Hospital, l'Antoni van Leeuwenhoek (spécialisé en cancérologie) et le Franciscus Hospital ont déclaré ne pas être affectés. Mais la portée réelle de l'attaque reste floue.

Le secteur de la santé toujours en première ligne

Z-CERT classe les ransomwares et l'extorsion comme les menaces principales pour les organisations de santé néerlandaises dans son rapport annuel.

Le secteur reste une cible privilégiée parce que les données médicales ont une valeur élevée sur le marché noir, et que les hôpitaux ne peuvent pas se permettre de rester longtemps sans accès à leurs systèmes.

Quand un seul éditeur gère les dossiers médicaux de 80 % des hôpitaux d'un pays, une attaque sur cet éditeur prend une dimension un peu inquiétante.

Pour l'instant les dégâts semblent contenus, mais le fait que ChipSoft ne puisse pas exclure un vol de données, c'est quand même un gros point d'interrogation. Et ça rappelle qu'un système de santé aussi centralisé, ça peut vite devenir une faiblesse.

Source : NL Times

Le noyau Linux 7.1 devrait supprimer la possibilité de compiler un noyau pour les processeurs Intel 486. C'est la première fois depuis 2012 qu'une architecture processeur est retirée du noyau, et le minimum requis passera du 486 au Pentium. L'Intel 486 a 37 ans.

Un processeur de 1989

L'Intel 486 est sorti en 1989. C'est le processeur qui a fait passer les PC de la ligne de commande au monde graphique, et il a été vendu pendant une bonne partie des années 90.

Le 486SX, sa version sans coprocesseur mathématique, et l'AMD Elan, une variante embarquée, sont aussi concernés par cette suppression. Le patch a été proposé par Ingo Molnar, un des développeurs historiques du noyau Linux.

La dernière fois que Linux a retiré le support d'une architecture processeur, c'était en 2012, quand le 80386 avait été abandonné. Ca fait donc 14 ans que personne n'avait touché à ce genre de nettoyage.

Du ménage dans le code

Le patch supprime trois options de configuration du noyau : M486, M486SX et MELAN. Sans ces options, il ne sera plus possible de compiler un noyau Linux spécifiquement pour un 486. Le processeur minimum deviendra le Pentium, qui supporte les instructions TSC et CMPXCHG8B, deux fonctions que le 486 ne gère pas.

Molnar explique que le code de compatibilité pour ces vieux processeurs pose régulièrement des problèmes et demande du temps de maintenance que les développeurs préfèrent consacrer à autre chose. Linus Torvalds avait d'ailleurs déclaré dès 2022 que les processeurs 486 n'étaient plus utilisés que comme pièces de musée.

Et le 32 bits, alors ?

Le retrait du 486 ne veut pas dire que Linux abandonne le 32 bits. Le noyau continue de supporter les architectures 32 bits, et il y a encore suffisamment de processeurs Atom et de systèmes embarqués 32 bits en circulation pour que ça reste le cas un moment.

Mais la tendance est claire : l'avenir de Linux sur x86 est en 64 bits, et le code 32 bits finira par suivre le même chemin que le 486.

Aucune distribution Linux récente ne proposait de toute façon un noyau compilé pour 486. Les utilisateurs qui font tourner Linux sur ce type de matériel pourront continuer avec des noyaux plus anciens.

Ca concerne très peu de monde en pratique, mais c'est quand même un petit moment d'histoire informatique. Le 486 a été le premier vrai processeur grand public chez Intel, et le voir disparaître du noyau Linux après 37 ans de bons et loyaux services, ça fait quelque chose.

En tout cas les développeurs du noyau semblent soulagés de pouvoir enfin faire le ménage. Pour la petite histoire, mon premier PC était un 386 SX25, et je suis ensuite passé directement au Pentium 60 (celui qui avait le bug de la virgule flottante), je trouve ça dingue qu'avec tous les ordinateurs que j'ai eu chez moi, je n'ai jamais eu de 486 !

Source : Phoronix

60 Mo de source maps (ces fichiers qui permettent de remonter du code minifié à l'original) ont été oubliés dans un paquet npm. Et voilà comment Anthropic a involontairement balancé en public le code source complet de Claude Code, son outil à 2.5 milliards de dollars de revenus annuels.

Alors qu'est-ce qui s'est passé exactement ?

Hé bien hier, la version 2.1.88 du package @anthropic-ai/claude-code sur le registre npm embarquait un fichier .map de 59.8 Mo. Un truc normalement réservé au debug interne, sauf que ce fichier .map contenait les pointeurs vers les 1 900 fichiers TypeScript originaux, en clair. Chaofan Shou, un développeur chez Solayer Labs, a alors repéré la boulette et l'a partagée sur X. Le temps qu'Anthropic réagisse, le code était déjà mirroré partout sur GitHub, avec 41 500+ forks en quelques heures. Autant dire que le dentifrice ne rentrera pas dans le tube !

Pour ma part, j'avais un petit dépôt à moi assez ancien avec quelques trucs relatifs à Claude Code, qui n'avait rien à voir avec tout ça, qui s'est même retrouvé striké... Ils ratissent large avec leur DMCA donc.

Et là, c'est la fête pour les curieux comme moi parce que les entrailles de l'outil révèlent pas mal de surprises. Côté architecture, on découvre environ 40 outils internes avec gestion de permissions, un moteur de requêtes de 46 000 lignes de TypeScript, un système multi-agents capable de spawner des essaims de sous-tâches en parallèle, et un pont de communication entre le terminal et votre éditeur VS Code ou JetBrains. Le tout tourne sur Bun (pas Node.js ^^) avec Ink pour l'interface terminal. Par contre, pas de tests unitaires visibles dans le dump.

Côté mémoire, c'est plutôt bien pensé puisqu'au lieu de tout stocker bêtement dans la fenêtre de contexte du modèle, l'outil utilise un fichier texte MEMORY.md ultra-léger (genre 150 caractères par entrée) qui sert d'index de pointeurs. Les vraies données, elles, sont distribuées dans des fichiers thématiques chargés à la demande, et les transcripts bruts ne sont jamais relus entièrement, mais juste fouillés à la recherche d'identifiants précis. L'agent traite en fait sa propre mémoire comme un "hint" ce qui le force à vérifier toujours le vrai code avant d'agir. En gros, il a une mémoire sceptique, et pour moi c'est clairement le truc le plus intéressant du dump.

Y'a aussi un truc qui s'appelle KAIROS (mentionné 150 fois dans le code) qui est un genre de mode daemon autonome. En fait, pendant que vous allez chercher votre café, l'agent tourne en arrière-plan et fait ce qu'ils appellent autoDream : il consolide sa mémoire dans des fichiers JSON, vire les contradictions et transforme les observations vagues en données structurées. Comme ça, quand vous revenez devant votre écran, le contexte est nettoyé.

Et puis le code balance aussi la roadmap interne d'Anthropic (bon courage au service comm ^^). On y trouve les noms de code des modèles... Capybara pour un variant de Claude 4.6, Fennec pour Opus 4.6, et un mystérieux Numbat qui n'est pas encore sorti. D'ailleurs, les commentaires internes révèlent que Capybara v8 a un taux de fausses affirmations qui tourne autour de 30%, ce qui est une grosse régression par rapport aux 17% de la v4. Y'a même un "Undercover Mode" qui permet à l'agent de contribuer à des repos publics sans révéler d'infos internes (c'est sympa pour les projets open source).

Anthropic a confirmé la fuite : "C'était un problème de packaging lié à une erreur humaine, pas une faille de sécurité. Aucune donnée client n'a été exposée." Mouais, attention quand même, parce que le code est déjà partout et n'en repartira pas. Et même si aucun secret client n'a fuité, exposer l'architecture complète d'un agent IA à 2.5 milliards de revenus, c'est pas rien non plus.

Bon, et maintenant qu'est-ce qu'on peut en faire ? Bah pas mal de choses en fait.

Par exemple, le système de mémoire auto-correcteur est un pattern directement réutilisable pour vos propres agents IA. L'architecture "index léger + fichiers à la demande" résout élégamment le problème de la pollution de contexte qui fait halluciner les LLM sur les longues sessions. Les +40 outils internes permettent aussi de comprendre comment structurer un système de permissions granulaires dans un agent autonome . Et le concept KAIROS/autoDream, la consolidation mémoire pendant l'idle, c'est une idée qu'aucun outil open source n'implémente encore. Autant dire que les alternatives open source à Claude Code ou Codex vont monter en gamme dans les jours qui viennent. Et le code est déjà nettoyé, réécris en Rust et mis sur GitHub si vous voulez fouiller. Bon, pas sûr que le pattern autoDream soit simple à reimplémenter, mais le système de mémoire oui.

Je trouve ça assez marrant que le code proprio d'une boite qui a aspiré tout l'open source du monde voire plus, sans autorisation, pour le revendre sous la forme de temps machine / tokens, devienne lui aussi en quelque sorte "open source" sans qu'on leur demande leur avis ^^. La vie est bien faite.

Maintenant, pour les développeurs qui publient sur npm, la leçon est limpide : Vérifiez votre .npmignore et votre champ files dans package.json. Ou plutôt, lancez la commande npm pack --dry-run dans votre terminal avant chaque publish. Ça prend 2 secondes et ça vous montre exactement ce qui sera inclus dans le paquet. Ça aurait évité 60 Mo de secrets industriels qui partent en public.

Bref, un .npmignore bien configuré, ça coûte 0 euro. Alors qu'une fuite de propriété intellectuelle évaluée à 2.5 milliards... un peu plus !

Source

Le fichier national qui recense toutes les armes détenues en France vient de se faire trouer en version XXL !

En effet, un affreux pirate a réussi à exfiltrer les données liées à la possession de plus de 62 000 armes, et parmi elles, les noms, prénoms, dates de naissance, adresses email et surtout les adresses postales de leurs propriétaires. Mais ce n'est pas tout puisque le fichier contiendrait également le détail complet de chaque arme (modèle, calibre, numéro de série, classement) ainsi que l'historique des transactions (ventes, cessions, réparations, destructions).

Donc on a maintenant dans la nature un joli tableur Excel avec en colonne A le numéro de série de votre Beretta, et en colonne B votre adresse.

J'vois vraiment pas ce qui pourrait mal tourner... 🤡

Alors pour ceux qui débarquent, le SIA (Système d'Information sur les Armes) c'est LA base de données du ministère de l'Intérieur dans laquelle tous les détenteurs d'armes doivent obligatoirement s'enregistrer. Que vous soyez chasseur avec votre Browning, tireur sportif avec votre Glock ou que vous ayez hérité du vieux Manufrance de papy, vous êtes dedans !!

Le ministère a d'ailleurs confirmé l'intrusion dans un courrier envoyé aux personnes concernées (environ 41 000 détenteurs selon les dernières estimations).

En fait, le cybercriminel a compromis les identifiants d'un armurier situé dans le département 84 (c'est le Vaucluse pour les nuls en géo) et a accédé à son Livre de Police Numérique (LPN), le registre dématérialisé qui liste toutes les transactions d'armes du professionnel et qui est directement interconnecté avec le SIA.

Les identifiants de l'armurier auraient pu être récupérés via du phishing, un logiciel espion ou même le vol d'un ordinateur... bref, les classiques, et cerise sur le gâteau, le pirate affirme même avoir été interrompu en pleine exfiltration, ce qui veut dire qu'il aurait pu aspirer encore plus de données s'il n'avait pas été coupé dans son élan.

Le ministère se veut rassurant (lol) en précisant que "le système d'information sur les armes n'a pas été atteint" directement. Mouais... techniquement c'est vrai, c'est le compte pro de l'armurier qui a sauté et pas le SIA en lui-même. Mais en vrai le résultat est le même pour les gens dont l'adresse postale se balade maintenant sur un forum du dark web.

Côté butin, le pirate revendique pas moins d'un listing de 62 511 armes se composant de 46% de carabines, 29% de fusils de chasse, 11% de fusils à pompe et 8% d'armes de poing, le tout allant de la catégorie B (soumise à autorisation) à la catégorie C (sur déclaration).

L'Union Française des amateurs d'Armes (UFA) tempère en rappelant que la base contient plusieurs millions d'armes, et que ces chiffres "tendent à faire penser que la fuite ne concerne pas l'ensemble du système". Heureusement les gars ! Après 41 000 détenteurs avec leurs adresses et le numéro de série de leurs joujoux dans la nature, c'est quand même pas rien non plus.

Et surtout c'est pas la première fois. C'est même la troisième fuite liée au milieu des armes en 6 mois. En octobre 2025, la Fédération Française de Tir (FFTir) s'était déjà fait trouer, puis en janvier 2026 c'était au tour de la Fédération Nationale des Chasseurs (FNC), et maintenant le SIA. Le trio gagnant !!

Les conséquences avaient d'ailleurs été très concrètes après la fuite FFTir puisque la préfecture de police avait alerté sur des repérages et prises de renseignement suspects signalés aux forces de l'ordre, avec des cambrioleurs qui débarquaient chez des tireurs sportifs pour récupérer leurs armes.

Le ministère a déposé plainte et notifié la CNIL et recommande de changer régulièrement de mot de passe et ne jamais communiquer ses identifiants. Merciiiii on n'y avait pas pensé ! Mais le plus beau c'est la mesure d'urgence annoncée en réaction car à partir du 1er avril 2026 (oui, demain), tous les professionnels devront activer la double authentification pour accéder à leur compte SIA. Oui, y'en n'avait pas... un simple identifiant + mot de passe suffisait pour accéder à une base qui gère les données de millions de détenteurs d'armes en France. Ça laisse rêveur.

Après, si vous êtes inscrit au SIA et que vous n'avez pas reçu le courrier du ministère, ça ne veut pas forcément dire que vous n'êtes pas touché alors dans le doute, méfiez-vous de tout appel ou visite prétendument officielle vous demandant de remettre ou montrer vos armes car la police, la gendarmerie et les douanes ne viendront jamais chez vous récupérer vos armes suite à une fuite de données. Donc si quelqu'un sonne à votre porte avec ce prétexte, c'est forcément une arnaque (ou pire...) comme ça s'est passé après la fuite FFTir.

Bref, entre le pistage permanent de nos données en ligne et toutes ces bases gouvernementales qui fuient comme des passoires , j'imagine que la prochaine étape, ça sera le vol et la diffusion du fichier des codes nucléaires mis à dispo sur un forum de script kiddies...

Source

Des milliers de faux messages imitant des notifications de sécurité Visual Studio Code ont été postés sur GitHub. Le but : rediriger les développeurs vers un site malveillant qui collecte leurs données système. La méthode est franchement vicieuse.

Une campagne massive sur GitHub Discussions

Les chercheurs en sécurité de Socket viennent de mettre le doigt sur une opération d'ampleur. Des centaines, voire des milliers de messages quasi identiques ont été publiés en quelques minutes sur la section Discussions de nombreux dépôts GitHub.

Chaque message reprend le même modèle : un titre alarmiste du type "Vulnérabilité grave Mise à jour immédiate requise", un faux identifiant CVE pour faire sérieux, et un lien vers une prétendue extension VS Code corrigée hébergée sur Google Drive.

Les comptes utilisés sont soit tout neufs, soit quasi inactifs, mais ils se font passer pour des mainteneurs de projets ou des chercheurs en sécurité. Et comme GitHub envoie des notifications par e-mail aux personnes qui suivent un dépôt ou qui sont taguées, les fausses alertes arrivent directement dans la boîte mail des développeurs. Vous pouvez donc vous faire avoir sans même ouvrir GitHub.

Un système de filtrage avant le malware

Bien sûr, le lien Google Drive ne vous amène pas d'un coup vers un fichier infecté. Il déclenche avant une série de redirections qui vous emmènent inlassablement vers un domaine bien foireux, où un script JavaScript va se charger du sale boulot.

Ce script collecte automatiquement le fuseau horaire, la langue, le système d'exploitation, l'identifiant du navigateur et même des indicateurs d'automatisation. Tout est envoyé vers un serveur de commande sans que vous n'ayez à cliquer sur quoi que ce soit.

L'idée derrière ce dispositif, c'est de trier les visiteurs. Les robots et les chercheurs en sécurité sont écartés, et seuls les vrais humains reçoivent la suite de l'attaque. Les chercheurs de Socket n'ont d'ailleurs pas réussi à capturer le malware de deuxième étape, ce qui montre que le filtrage fonctionne plutôt bien.

Ce n'est pas la première fois

GitHub a déjà été ciblé par ce genre de campagne. En mars 2025, une attaque similaire avait touché 12 000 dépôts avec de fausses alertes de sécurité qui poussaient les développeurs à autoriser une application OAuth malveillante.

Cette fois-là, les pirates obtenaient un accès direct aux comptes GitHub des victimes. En juin 2024, c'était via des commentaires et des demandes de fusion bidon que les attaquants redirigeaient vers des pages d'hameçonnage.

Le procédé est malin. Utiliser les notifications GitHub pour donner une apparence officielle à des messages bidons, c'est le genre d'astuce qui marche bien sur des développeurs pressés. 

Bon par contre, un lien Google Drive dans une alerte de sécurité, ça devrait quand même mettre la puce à l'oreille. Si vous recevez ce type de message, vérifiez toujours le CVE sur le site du NVD ou de MITRE avant de cliquer où que ce soit. Et si le lien pointe ailleurs que sur la boutique officielle de VS Code, passez votre chemin.

Source : Bleeping Computer

Europol vient de coordonner un coup de filet massif contre le dark web. En dix jours, 23 pays ont fermé plus de 373 000 sites frauduleux qui proposaient des contenus pédocriminels.

Le plus ironique : l'opérateur n'a jamais livré la moindre donnée, il arnaquait ses propres clients. Et ces clients sont désormais dans le viseur de la police.

Une opération dans 23 pays

L'opération Alice a été lancée le 9 mars et a duré dix jours. Sous la direction des autorités allemandes et avec le soutien d'Europol, des policiers de 23 pays ont participé à ce coup de filet, de la France aux États-Unis en passant par la Suisse, l'Australie et le Royaume-Uni.

L'enquête avait démarré en 2021 autour d'une plateforme baptisée "Alice with Violence CP", qui proposait des contenus pédocriminels à la vente sur le dark web. Au total, 105 serveurs ont été saisis, tous hébergés en Allemagne, et l'opérateur a été identifié : un homme de 35 ans basé en Chine, visé par un mandat d'arrêt international.

L'arnaqueur arnaqué

Le détail qui rend cette affaire si particulière : le suspect n'a jamais livré les contenus qu'il vendait. Il gérait environ 90 000 sites sur le réseau Tor qui proposaient des "packs" de 17 à 215 euros, payables en Bitcoin. Les acheteurs recevaient en échange... rien du tout.

En cinq ans d'activité, il a encaissé 345 000 euros auprès de 10 000 clients qui pensaient acheter des contenus pédocriminels. Un escroc qui arnaque des criminels, en somme.

440 suspects identifiés

Sauf que ces clients, même s'ils n'ont rien reçu, ont quand même tenté d'acheter des contenus illégaux. Europol a donc remonté les paiements en cryptomonnaies et identifié 440 personnes à travers le monde.

Plus de 100 d'entre elles font l'objet d'enquêtes actives. En Suisse, cinq personnes ont été placées en détention. En Allemagne, 14 suspects sont visés par des procédures. La France a mobilisé l'Office de protection des mineurs pour sa part de l'enquête.

On a quand même un type qui a monté 373 000 faux sites depuis la Chine et qui a encaissé 345 000 euros en arnaquant des gens qui voulaient acheter les pires contenus imaginables. Et grâce à lui, la police a maintenant une liste de 440 noms.

Source : Techspot

Les autorités américaines viennent de démanteler quatre réseaux de botnets qui contrôlaient plus de trois millions d'appareils dans le monde. Caméras, routeurs Wi-Fi, enregistreurs vidéo : le matériel du quotidien servait à lancer des attaques DDoS records, dépassant les 30 térabits par seconde.

Pas un petit réseau

Le bureau du procureur fédéral de l'Alaska a annoncé l'opération le 19 mars. Le département de la Justice américain, le FBI et le Defense Criminal Investigative Service ont travaillé avec les autorités canadiennes et allemandes pour mettre hors service quatre botnets : Aisuru, KimWolf, JackSkid et Mossad.

Des domaines et des serveurs virtuels hébergés aux États-Unis ont été saisis, et une vingtaine d'entreprises tech ont aidé à neutraliser l'infrastructure. Les appareils infectés étaient des caméras de surveillance, des enregistreurs vidéo et des routeurs Wi-Fi grand public, le genre d'équipements que des millions de foyers utilisent sans trop se soucier des mises à jour de sécurité.

Des attaques records et le Pentagone parmi les cibles

Côté chiffres, plus de trois millions d'appareils compromis dans le monde, dont des centaines de milliers aux États-Unis. Aisuru, le plus actif, a lancé plus de 200 000 commandes d'attaque DDoS depuis son apparition fin 2024.

JackSkid en a envoyé plus de 90 000, KimWolf environ 25 000 et Mossad un millier. Le réseau du département de la Défense américain figurait parmi les cibles, ce qui donne une idée du niveau de la menace. Mi-2025, les attaques ont atteint des volumes jamais vus, avec un pic à 31,4 térabits par seconde mitigé par Cloudflare en novembre.

Les victimes signalent des pertes en dizaines de milliers de dollars, et encore, on parle de ceux qui ont porté plainte.

Un Canadien de 22 ans et un Allemand de 15 ans dans le viseur

Un Canadien de 22 ans a été identifié comme opérateur principal de KimWolf, une variante d'Aisuru capable de se propager sur un réseau interne dès qu'un seul appareil est compromis.

Un ado Allemand de 15 ans est suspecté d'avoir piloté un autre de ces botnets. Sauf que voilà, ces réseaux ne servaient pas qu'à leurs créateurs. Les opérateurs vendaient l'accès aux appareils piratés à d'autres criminels, qui pouvaient lancer leurs propres attaques DDoS sans aucune compétence technique.

Du cybercrime as a service, une sorte de location de puissance de frappe numérique accessible à n'importe qui avec quelques centaines de dollars.

Un ado de 15 ans qui pilote un botnet capable de mettre à genoux des infrastructures militaires, c'est quand même révélateur du problème de fond. La facilité d'accès à ces outils est grotesque.

Le démantèlement est une bonne nouvelle, mais tant que des millions de routeurs et de caméras resteront branchés avec leurs mots de passe par défaut, d'autres prendront le relais. Bref, la vraie faille, elle est dans votre salon.

Source : Wired

Google durcit le ton avec Android 17. La prochaine version de l'OS mobile va empêcher les applications non certifiées d'accéder aux services d'accessibilité, une API très puissante et régulièrement détournée par les malwares pour espionner les utilisateurs et vider des comptes bancaires.

Ce qui change avec Android 17

La nouveauté est apparue dans la Beta 2 d'Android 17, repérée la semaine dernière. Quand le mode Advanced Protection est activé, le système bloque automatiquement l'accès à l'API AccessibilityService pour toutes les apps qui ne sont pas de vrais outils d'accessibilité.

Seules les applications qui portent le marqueur technique isAccessibilityTool restent autorisées : lecteurs d'écran, outils de saisie vocale, systèmes d'entrée par contacteur et applications braille.

Les autres, et la liste est longue, sont mises de côté : antivirus, outils d'automatisation, assistants, nettoyeurs système, gestionnaires de mots de passe et lanceurs alternatifs.

Et si une de ces apps avait déjà l'autorisation, Android 17 la révoque automatiquement au moment où le mode Advanced Protection est activé. L'utilisateur ne peut pas non plus forcer l'accès manuellement tant que la protection est active.

Pourquoi c'est un vrai sujet ?

L'API AccessibilityService est l'une des plus sensibles d'Android. Elle permet de lire le contenu de l'écran, d'intercepter les frappes clavier, de cliquer sur des boutons à la place de l'utilisateur et d'accorder des autorisations sans que personne ne s'en rende compte.

Les malwares bancaires l'exploitent depuis des années pour voler des identifiants et vider des comptes. Google a longtemps fermé les yeux sur le problème, ou en tout cas laissé la porte grande ouverte. Avec ce mode, c'est un peu le retour à la raison.

Le mode Advanced Protection, lancé avec Android 16, regroupe aussi d'autres verrous : blocage du sideloading (l'installation d'apps en dehors du Play Store), restriction des transferts de données par USB et scan obligatoire via Google Play Protect.

Android 17 ajoute donc cette brique supplémentaire sur l'accessibilité. Côté développeurs, Google met à disposition une API AdvancedProtectionManager qui permet aux apps de détecter si le mode est actif et d'adapter leur comportement en conséquence.

On ne va pas se mentir, quand on utilise un iPhone, ce genre de problème ne se pose pas vraiment puisque iOS a toujours été bien plus restrictif sur ce que les apps peuvent faire en arrière-plan. Mais pour les utilisateurs Android, c'est une avancée qui était attendue depuis un moment. Le revers de la médaille, c'est que des apps tout à fait légitimes vont se retrouver bloquées.

Un émulateur de Dynamic Island comme dynamicSpot ne fonctionne plus avec le mode activé, et c'est le genre de petite frustration qui risque de pousser pas mal de monde à désactiver la protection. On espère que Google trouvera un juste milieu entre la sécurité et la flexibilité qui fait la force d'Android, en tout cas pour le moment ce n'est pas encore tout à fait ça.

Source : The Hacker News

Non mais c'te blague ! Y'a des hackers qui viennent de lancer une cyber-attaque sur des parcmètres. Ouais des parcmètres ! Et voilà comment Perm, une ville d'un million d'habitants dans l'Oural en Russie, s'est retrouvée à offrir le parking gratuit aux automobilistes durant 4 longues journées.

En effet, du 10 au 13 mars dernier, le système de stationnement automatisé de Perm et son portail permparking.ru se sont pris une attaque par déni de service tellement massive que plus personne ne pouvait payer sa place. Et c'est à ce moment que les autorités locales ont eu une réaction d'une logique implacable, en décrétant le stationnement gratuit pour tout le monde pendant la durée de la panne, week-end compris !

Ah les veinards !

Pour ceux qui débarquent, le principe d'un DDoS c'est de noyer les serveurs sous un déluge de trafic réseau, souvent via un botnet, c'est-à-dire un réseau de machines infectées qui envoient toutes des requêtes en même temps. En fait, c'est comme si 500 000 personnes essayaient d'entrer en même temps dans une cabine téléphonique ^^. C'est un classique cyber plutôt brutal mais diablement efficace. Si le sujet vous intéresse, j'avais d'ailleurs fait un article complet là-dessus .

Ce qui est "cocasse" dans l'histoire, c'est qu'on ne sait toujours pas qui est derrière tout ça. Un groupe d'hacktivistes qui voulait faire passer un message ? Un ado qui testait un stresser (ces outils de DDoS clé en main) trouvé sur un forum ? Ou tout simplement un automobiliste bien énervé par le prix du stationnement qui aurait tout simplement décidé de régler le problème à sa manière ? On ne sait pas mais l'hypothèse n°3 est ma préférée ^^.

Après, j'avoue que dans le contexte actuel, c'est difficile de ne pas penser au hacktivisme. En effet, en octobre 2024, c'est le parking de Tver qui s'était fait démonter. Une attaque ensuite revendiquée par l' Ukrainian Cyber Alliance , puis la ville de Krasnodar a suivi en janvier 2025. Et enfin Perm, qui devient donc la 3ème ville russe à se faire offrir le parking gratos par des hackers.

Parcmètres, feux de signalisation, systèmes de transport... faut dire que tout ce qui est connecté et pas assez protégé finit tôt ou tard par se faire taper dessus.

C'est un concept que certains (j'imagine) aimeraient bien voir arriver à Paris, mais bon, rêvez pas, chez nous c'est ULTRA SECURISÉ (lol)

En tout cas, si un jour le parking devient gratuit chez vous, demandez vous si c'est pas un affreux botnet qui est en train de vous faire économiser quelques euros.

Source

La reconnaissance faciale vient encore de montrer ses limites aux États-Unis. Angela Lipps, 50 ans, grand-mère du Tennessee, a passé près de six mois en prison après qu'un algorithme l'a désignée à tort comme suspecte dans une affaire de fraude bancaire au Dakota du Nord.

Ses relevés bancaires ont prouvé qu'elle se trouvait à 2 000 kilomètres des faits. Elle attend toujours des excuses.

Un algorithme, une arrestation

Le 14 juillet 2025, des agents fédéraux américains débarquent chez Angela Lipps au Tennessee. Ils l'arrêtent sous la menace d'une arme, alors qu'elle garde quatre enfants. La police de Fargo, dans le Dakota du Nord, à environ 2 000 kilomètres de là, la soupçonnait d'avoir utilisé une fausse carte d'identité militaire pour retirer des dizaines de milliers de dollars dans plusieurs banques entre avril et mai 2025.

Pour identifier la suspecte filmée par les caméras de surveillance, les enquêteurs ont passé les images dans un logiciel de reconnaissance faciale. Le système a désigné Angela Lipps. Un détective a ensuite comparé la photo avec le permis de conduire et les réseaux sociaux de la quinquagénaire, et a validé l'identification. Sauf que ce n'était pas du tout elle.

108 jours sans la moindre audition

Classée comme fugitive, Angela Lipps est restée quatre mois en prison au Tennessee, sans caution et sans possibilité de se défendre. Elle n'a été transférée dans le Dakota du Nord que le 30 octobre, soit 108 jours après son arrestation.

Sa première comparution devant un tribunal a eu lieu le lendemain. Et c'est seulement le 19 décembre, cinq mois complets après l'arrestation, que la police de Fargo l'a interrogée pour la première fois.

Son avocat, Jay Greenwood, avait entre-temps obtenu ses relevés bancaires. Les documents montraient qu'Angela achetait des cigarettes et déposait ses chèques de sécurité sociale au Tennessee au moment même où la police la plaçait à Fargo. Les charges ont été abandonnées le 24 décembre, la veille de Noël. Cinq mois et dix jours d'incarcération pour une erreur de machine.

Tout perdu, zéro indemnisation

À sa sortie, Angela Lipps n'avait plus rien. Pas de manteau, pas d'argent, pas de moyen de rentrer chez elle. Pendant sa détention, elle a perdu sa maison, sa voiture et son chien. La police de Fargo n'a pris en charge aucun frais.

Ce sont des avocats de la défense locaux qui lui ont donné de quoi payer une chambre d'hôtel et de la nourriture le soir de Noël. Le lendemain, Adam Martin, fondateur de l'association F5 Project, l'a conduite en voiture jusqu'à Chicago pour qu'elle puisse regagner le Tennessee.

Un habitant de West Fargo, Michael Nessa, a depuis lancé une cagnotte GoFundMe en son nom, qui a récolté près de 20 000 dollars. Angela Lipps attend toujours des excuses de la police.

Ce n'est pas la première fois qu'une personne se retrouve derrière les barreaux à cause d'un faux positif de reconnaissance faciale aux États-Unis. Et dans la grande majorité des cas rendus publics, les victimes sont des femmes ou des personnes issues de minorités.

Côté procédure, qu'un détective ait "confirmé" l'identification en comparant une photo de surveillance avec un permis de conduire, ça en dit quand même long sur la rigueur du processus.

Si vous pensiez que ce genre de technologie était encadré par des garde-fous solides, l'affaire Lipps prouve le contraire. Six mois de prison, une vie brisée, et pas la moindre excuse. Franchement, on espère que ça fera réagir là-bas, mais on n'y mettrait pas notre main à couper. Un grand merci à Skribascode de nous avoir envoyé cette info !

Sources : Upper Michigan Source , KVRR

Le canton de Bâle-Ville a suspendu son projet pilote de vote électronique après qu'une clé USB défectueuse a empêché le déchiffrement de 2 048 bulletins lors des votations fédérales du 8 mars. Une enquête pénale est ouverte.

Trois clés USB, zéro résultat

Le soir du 7 mars, veille du scrutin, la chancellerie du canton de Bâle-Ville a annoncé un problème technique sur son système de vote électronique. Le lendemain, 2 048 votes restaient bloqués dans l'urne numérique.

Le porte-parole du canton, Marco Greiner, a expliqué que trois clés USB contenant les codes de déchiffrement avaient été utilisées, toutes avec le bon code, mais qu'aucune n'avait fonctionné. Les experts de La Poste suisse et la police de Bâle n'ont pas réussi à récupérer les données.

Le problème ne vient pas du système de La Poste, mais du service informatique cantonal. Les votes concernés sont ceux d'environ 10 300 Suisses de l'étranger et de 30 personnes en situation de handicap, qui sont les seuls autorisés à voter par voie électronique dans ce canton.

Quatre objets fédéraux étaient soumis au vote ce jour-là, dont l'initiative sur le maintien du cash et celle sur le fonds climat.

Un projet suspendu et une enquête pénale ouverte

Bâle-Ville a suspendu le vote électronique jusqu'à fin décembre 2026 et commandé une analyse externe. Le ministère public a ouvert une procédure pénale pour suspicion de manipulation électorale, et l'unité "criminalité numérique" a trouvé des indices allant dans ce sens. Les résultats définitifs du canton ne seront confirmés que le 21 mars.

Les 2 048 bulletins perdus n'auraient pas changé l'issue des votations fédérales. Mais le précédent est gênant. En 2015, la loi sur la radio et la télévision avait été adoptée avec seulement 3 649 voix d'écart. En 2017, le financement complémentaire de l'AVS était passé à 2 361 voix près.

Avec des marges aussi serrées, 2 048 votes qui disparaissent, ça pose quand même un vrai problème. Les trois autres cantons pilotes (Thurgovie, Grisons et Saint-Gall) n'ont pas été touchés.

La Suisse avait déjà abandonné un premier système de vote électronique en 2019 après la découverte de failles de sécurité dans le code source. Et voilà que le deuxième essai trébuche sur une clé USB. Le politologue Michael Hermann résume bien la situation : cette panne fait reculer le vote électronique de plusieurs années.

On peut comprendre l'idée de dématérialiser le vote pour les Suisses de l'étranger, c'est même assez logique. Mais quand le maillon faible du système, c'est un bout de plastique avec une puce dedans, on se demande quand même si la bonne vieille enveloppe n'avait pas quelques avantages. Et oui, je sais que ce « 2048 » vous fait clairement tiquer comme chiffre, moi aussi, pas de doute, on est des vrais nerds.

Source : Swiss Info

Les services de renseignement néerlandais ont révélé qu'une campagne de hackers russes cible les comptes Signal et WhatsApp de hauts fonctionnaires, militaires et journalistes dans le monde entier.

Des employés du gouvernement néerlandais ont déjà été compromis, et le chiffrement de bout en bout n'a même pas eu besoin d'être cassé. Eh oui, là on parle de social engineering, tout simplement.

Des codes de vérification, pas du piratage

La méthode est assez simple, et c'est peut-être ça le pire. Les hackers contactent directement leurs cibles en se faisant passer pour le support technique de Signal. Ils demandent de partager le code de vérification à six chiffres ou le code PIN, sous prétexte de « sécuriser » le compte.

Une fois le code récupéré, ils se connectent et accèdent à l'ensemble des conversations. L'autre technique est un peu plus discrète : les attaquants envoient un QR code piégé qui lie un appareil supplémentaire au compte de la victime, via la fonction « appareils liés » de Signal ou WhatsApp. À partir de là, les messages arrivent en temps réel sur un appareil qu'ils contrôlent, sans que la victime ne s'en rende compte. Pratique.

Des comptes gouvernementaux déjà touchés

L'AIVD et le MIVD, les deux agences de renseignement néerlandaises, ont confirmé que des employés du gouvernement et des journalistes avaient été piégés. Simone Smit, directrice générale de l'AIVD, a tenu à préciser que Signal et WhatsApp en tant que plateformes n'étaient pas compromis : ce sont des comptes individuels qui ont été visés. Le chiffrement tient bon, mais ça ne sert à rien quand c'est l'utilisateur qui donne la clé.

Le vice-amiral Peter Reesink, directeur du MIVD, a de son côté rappelé que ces messageries ne devaient tout simplement pas être utilisées pour échanger des informations classifiées ou sensibles. Les hackers auraient déjà accédé à des données sensibles.

Comment savoir si vous êtes touché

Quelques signaux doivent vous alerter : un contact qui apparaît en double dans une conversation de groupe, ou un numéro connu qui affiche soudainement « compte supprimé ». La règle de base reste simple : ne jamais communiquer un code de vérification, même si la demande semble venir du support officiel. Et pensez à faire un tour dans les paramètres de Signal ou WhatsApp pour vérifier la liste des appareils liés à votre compte.

C'est couillon parce que ce type d'attaque n'a rien de sophistiqué, et c'est bien ça le problème. Pas besoin de casser le chiffrement quand il suffit de demander poliment le code à la personne en face.

C'est du social engineering, ça marche depuis des années, et ça continuera de marcher parce qu'on a quand même tendance à faire confiance à un message qui a l'air officiel (et c'est bien normal).

Le fait que des fonctionnaires gouvernementaux soient tombés dans le piège en dit long sur le niveau de sophistication requis : aucun. Mais bon, il serait peut-être bon de former un peu plus les gens qui manipulent des données sensibles à ce genre de risques.

Source : Reuters

Le CNRS vient de confirmer un incident de cybersécurité qui a mené au téléchargement non autorisé de fichiers contenant des données personnelles d'anciens agents. Noms, adresses, numéros de sécurité sociale, RIB : la totale donc. L'organisme a déposé plainte et prévenu la CNIL.

Des données très sensibles

C'est ce lundi 16 février que le CNRS a informé ses agents d'une fuite de données sur un de ses serveurs. Des fichiers contenant des informations de ressources humaines ont été téléchargés sans autorisation. Et on ne parle pas de données anodines : noms, prénoms, dates de naissance, adresses postales, numéros de sécurité sociale et RIB. Le tout accompagné du statut de l'agent, du type de contrat et de la structure d'affectation. Le serveur a été isolé et arrêté dès la découverte de l'incident, et l'organisme assure que la fuite ne s'est pas propagée au reste de ses infrastructures.

Qui est concerné ?

Seuls les personnels recrutés avant le 1er janvier 2007 sont touchés, qu'ils aient été titulaires ou non. Si vous avez travaillé au CNRS après cette date, vous n'êtes pas concerné. Le nombre exact de victimes n'a pas été communiqué, mais vu la taille de l'organisme, on parle potentiellement de plusieurs milliers de personnes. Le CNRS recommande de prévenir sa banque, de surveiller ses comptes, de vérifier si ses données circulent sur haveibeenpwned.com, et de rester vigilant face aux tentatives de phishing ou d'usurpation d'identité. La CNIL et l'ANSSI ont été prévenues, et une plainte a été déposée auprès de la section cybercriminalité du parquet de Paris.

Les institutions françaises en ligne de mire

On n'est pas vraiment sur une première niveau cyberattaques sur des services de l'état. Le ministère de l'Intérieur, celui des Sports, et d'autres organismes avaient été visés. L'URSSAF a aussi confirmé une fuite touchant les données de 12 millions de salariés. Le CNRS lui-même avait été la cible d'un défacement de plusieurs de ses sous-domaines fin janvier. Deux incidents distincts, mais la tendance est claire, et c'est franchement moche.

On va quand même saluer le fait que le CNRS a communiqué rapidement, avec un communiqué officiel et une FAQ pour les personnes concernées. C'est loin d'être toujours le cas. Mais on va quand même se questionner sur le fait que des RIB et des numéros de sécu trainent sur un serveur, alors qu'on parle de données parfois veilles depuis presque 20 ans... Pourquoi ces informations étaient-elles encore accessibles ? La question du stockage prolongé de données sensibles revient sur la table, et visiblement, personne n'a encore de bonne réponse. En attendant, si vous avez porté la blouse du CNRS avant 2007, un petit tour sur votre relevé bancaire ne serait pas du luxe.

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Un peu moins de 700 000 liens, c'est le nombre de références vers archive.today que Wikipedia envisage de supprimer d'un coup ! Et la raison est assez dingue... en fait le service d'archivage a planqué du code DDoS dans son CAPTCHA afin d'attaquer le blog d'un mec qui a eu le malheur de chercher l'identité du fondateur du site.

L'histoire est tordue vous allez voir...

En 2023, un blogueur du nom de Jani Patokallio publie un article sur son blog Gyrovague pour tenter d'identifier le créateur d'archive.today, un certain "Denis Petrov" (probablement un pseudo). Pas de quoi fouetter un chat, sauf que le principal intéressé n'a visiblement pas kiffé.

Du coup, un bout de JavaScript s'est retrouvé comme de par hasard dans la page CAPTCHA du service, exécutant une requête vers le blog de Patokallio toutes les 300 millisecondes. Chaque visiteur qui passait par le CAPTCHA devenait alors un soldat involontaire d'une attaque DDoS.

Et le bonhomme ne s'est pas arrêté là... il a ensuite menacé de créer un site porno avec le nom du blogueur. On est vraiment dans la réponse proportionnée, clairement.

Le souci, c'est que Wikipedia utilise archive.today de manière MASSIVE. Cela représente 695 000 liens répartis sur environ 400 000 pages. C'est le deuxième fournisseur d'archives de toute l'encyclopédie !

Du coup, les éditeurs se retrouvent face à un sacré dilemme. D'un côté, on a ceux qui veulent tout blacklister parce que "la sécurité de vos lecteurs, ça passe avant les citations". Et de l'autre, ceux qui rappellent que le service contient des archives qu'on ne trouve NULLE PART ailleurs, même pas sur la Wayback Machine .

Bon courage pour trouver un remplaçant les mecs !

Et petit détail qui n'en est pas un, au passage... En fait, archive.today sert aussi à contourner des paywalls. C'est pratique pour vérifier des sources, ou lire de supers articles sans payer mais techniquement c'est illégal.

Mais quand la source originale a disparu, on fait comment ? Et c'est là tout l'intérêt de ces services d'archivage.

Bon, les paywalls, on comprend tous pourquoi ça existe. Produire de l'info de qualité, ça coûte un bras. Sauf que c'est quand même un truc un peu naze. Vous bossez, vous produisez un contenu top, et au final y'a que 10 personnes qui payent pour le lire. Et ce sont les mêmes 10 personnes qui sont pigistes et qui vont reprendre votre info pour la diffuser gratuitement sur leur média ! On le voit avec Mediapart... des enquêtes énormes derrière un paywall, et toute la presse qui reprend leurs scoops sans payer. Je trouve ça vraiment dommage.

Moi, ce que j'aime dans le fait d'écrire sur le web, c'est que vous me lisiez. Et mettre du contenu derrière un paywall, ça voudrait dire que plein d'entre vous ne me liraient plus. C'est pour cela que même le contenu que je réserve en avant-première sur Patreon , au bout de quelques semaines, je le libère pour tout le monde.

Quand je vois The Verge par exemple qui en met dans tous les sens... ben j'y vais plus. J'ai pas envie de payer un abonnement de plus pour une valeur ajoutée pas folle. C'est un peu comme les bandeaux cookies, à savoir un effet de bord regrettable du web moderne. On doit faire avec parce que personne n'a trouvé mieux comme idée...

Bref, entre les DDoS vengeurs, les 700 000 liens en sursis et les paywalls qui pourrissent tout ... le web ouvert, c'est pas gagné les amis. Voilà voilà.

Source

Si vous utilisez Notepad++, faut que vous sachiez qu'il s'est passé un truc moche. Entre juin et décembre 2025, les serveurs de mise à jour de votre éditeur de texte préféré ont été piratés par Lotus Blossom, un groupe de hackers chinois actifs depuis 2009 et spécialisés dans l'espionnage gouvernemental. Ouin 🥲.

En gros, les attaquants ont réussi à compromettre l'infrastructure de l'ancien hébergeur du projet pour détourner le trafic de mise à jour. Certains utilisateurs se retrouvaient redirigés vers des serveurs malveillants qui leur servaient des binaires vérolés au lieu des vraies mises à jour. Et le chercheur en sécurité Kevin Beaumont confirme que trois organisations ayant des intérêts en Asie de l'Est ont subi des intrusions via cette méthode... avec des hackers qui naviguaient VRAIMENT sur les PC des victimes en temps réel.

Le pire ? Les hackers ont gardé un accès aux services internes jusqu'au 2 décembre, même après la correction de la faille initiale en septembre. Ils exploitaient une vulnérabilité dans le script getDownloadUrl.php et les faiblesses de WinGUP, l'outil de mise à jour. Les anciennes versions utilisaient même un certificat auto-signé dispo sur GitHub... autant dire que c'était open bar.

Rapid7 a publié une analyse technique du malware déployé via cette attaque. Baptisé "Chrysalis", c'est une backdoor complète avec shell interactif, exfiltration de fichiers, création de processus à distance... le package complet de l'espion. Le truc vicieux, c'est que le serveur de commande utilisait une URL qui imitait l'API de DeepSeek pour passer sous les radars.

Beaumont alerte aussi sur le fait que les moteurs de recherche sont bourrés de pubs qui poussent des versions vérolées de Notepad++. Sans compter des extensions malveillantes qui circulent. Bref, c'est la fête.

Bon, pour vous protéger, mettez à jour Notepad++ vers la version 8.9.1 minimum (et pas 8.8.9 comme annoncé initialement, ils ont renforcé les protections depuis). Si vous avez un doute, désinstallez tout et retéléchargez directement depuis notepad-plus-plus.org. Changez vos mots de passe si vous utilisiez cet outil pendant la période critique, et les admins réseau, bloquez l'accès Internet de gup.exe dans votre pare-feu. Hop, c'est réglé. Si vous cherchez des alternatives le temps que ça se tasse, y'a Notepads ou NotepadNext qui font du super boulot, et les indicateurs de compromission sont dans le rapport de Rapid7 .

Bref, restez vigilants !

Source & Source

Alors là les amis, c'est le moment de vous accrocher à vos vieux chargeurs Lightning de la guerre ! Parce que si vous avez un vieil iPhone 5s qui traîne dans un coin ou dans votre poche et que vous refusez catégoriquement de le foutre à la benne par pur respect pour le design de ce bon vieux Jony Ive, j'ai une nouvelle qui va vous redonner le smiiiiile.

Vous ne l'avez pas encore vu parce que la vie est un tourbillon qui vous emporte chaque jour loin de tout ça, mais sachez qu'Apple vient tout juste de sortir iOS 12.5.8. Hé oui, en 2026 la firme à la pomme a balancé un patch pour un téléphone sorti il y a plus de 12 ans. Je rappelle quand même que ce vieux machin a été déclaré officiellement « obsolète » par Cupertino en 2024.

Alors POURQUOI ?

Et bien c'est tout simple ! C'est en réalité une question de vie ou de mort pour les services de base sur le smartphone. En effet, sans cette mise à jour, vos certificats de sécurité allaient expirer et s'en était terminé de FaceTime, d'iMessage, et même de la possibilité d'activer le téléphone après une réinitialisation. En gros, votre iPhone 5s allait se transformer en cale porte.

Heureusement qu'ils ont réagi !

Grâce à ce patch (qui concerne aussi l'iPhone 6 et l'iPad Air 2 via iOS 15.8.6 et 16.7.13), les services essentiels vont donc continuer de ronronner jusqu'en janvier 2027 au moins. Même si ça devrait être la norme, c'est tellement rare de voir un constructeur s'occuper de son matériel si longtemps après la sortie qu'on est tous étonné ! Ça nous change de l'époque où on devait braver l'obsolescence programmée avec du ruban adhésif !

Après si vous sentez que l'autonomie de votre vieux smartphone décline , c'est peut-être le moment de lui offrir une petite batterie neuve pour fêter ça. Parce que faire tourner un OS de 2026 sur une puce A7, c'est un peu comme essayer de faire courir un marathon à votre grand-père... Faudra de la glace à l'arrivée !

Voilà, vous savez ce qu'il vous reste à faire concernant cet appareil !

D'ailleurs si vous voulez suivre mes découvertes tech au quotidien, je poste aussi des trucs sur ma page Facebook .

Source