Vous pensiez que votre PC était blindé avec toutes vos protections activées ? Et bien ça c'était avant que des chercheurs de Riot Games (oui, les mêmes mecs derrière League of Legends et Valorant) ne découvrent une bonne grosse faille UEFI qui touche les cartes mères des quatre plus gros fabricants du marché, à savoir ASUS, Gigabyte, MSI et ASRock.

La faille se décline en plusieurs CVE selon les constructeurs (CVE-2025-11901 pour ASUS, CVE-2025-14302 pour Gigabyte, CVE-2025-14303 pour MSI, CVE-2025-14304 pour ASRock) et concerne les protections DMA au démarrage. En gros, le firmware UEFI prétend activer l' IOMMU (un mécanisme matériel d'isolation mémoire destiné à bloquer les attaques DMA), sauf que dans les faits, il ne le configure pas correctement. Votre système pense être protégé alors qu'il ne l'est pas du tout... Bref ça craint !

Du coup, un attaquant qui branche un périphérique PCIe malveillant sur votre machine (notamment via Thunderbolt ou USB4, qui exposent du PCIe) peut lire ou modifier la mémoire système avant même que Windows ou Linux ne démarre. Donc bien avant que vos protections système n'aient eu le temps de se mettre en place quoi... Et comme l'attaque se déroule avant le chargement de l'OS, les antivirus et outils de sécurité logiciels classiques n'ont pas encore démarré et ne peuvent donc pas intervenir. Seule une mise à jour du firmware UEFI peut corriger le problème.

Côté chipsets touchés, accrochez-vous parce que la liste est longue. Chez Gigabyte, les bulletins de sécurité mentionnent notamment des cartes basées sur les séries Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790, et côté AMD des X870E, X870, B850, B840, X670, B650, A620, A620A et TRX50.

Chez ASUS, les chipsets concernés incluent les séries B460, B560, B660, B760, H410, H510, H610, H470, Z590, Z690, Z790, W480 et W680.

Et de son côté, ASRock indique que ses cartes mères Intel des séries 500, 600, 700 et 800 sont également affectées. Bref, si vous avez une carte mère relativement récente, il y a de bonnes chances qu'elle soit dans le lot, même si cela dépend du modèle précis et de la version de firmware installée.

Bien sûr, comme souvent avec ce type de faille, son exploitation nécessite un accès physique à la machine, puisqu'il faut connecter un périphérique PCIe capable de mener une attaque DMA (par exemple un dongle Thunderbolt ou une carte PCIe spécialement conçue).

Ce n'est donc pas le genre d'attaque qui se propage via Internet, mais c'est quand même problématique, notamment dans les entreprises qui ont des postes de travail accessibles au public, dans les bibliothèques, ou tout autre environnement partagé. Sans parler de quelqu'un qui aurait un accès temporaire à votre machine genre un réparateur, un collègue malveillant, votre ex un peu trop curieux(se)… Ou encore le marché de l'occasion, où personne ne sait vraiment ce qui a pu être branché sur la carte mère avant.

Petite anecdote au passage, les chercheurs de Riot Games sont tombés sur cette faille parce que Valorant refusait de se lancer sur certains systèmes. Leur anti-cheat Vanguard vérifie que les protections DMA sont bien actives au démarrage, et il a détecté que sur certaines machines, ce n'était pas le cas. De fil en aiguille, ils ont creusé et fini par identifier ce problème côté firmware UEFI.

Bref, les quatre constructeurs ont publié (ou sont en train de publier) des mises à jour de firmware pour corriger le problème. Attention toutefois, chez Gigabyte, le correctif pour TRX50 est prévu pour le premier trimestre 2026, et chez ASRock, les BIOS pour les séries 600/700/800 sont disponibles mais ceux de la série 500 sont encore en cours de développement.

Donc allez faire un tour sur le site support de votre fabricant, vérifiez si votre modèle est concerné, et installez le patch si c'est le cas.

Source

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l'entrée. C'est mon cas et j'adore cette caméra mais j'ai une mauvaise nouvelle à vous annoncer... Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n'est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu'il a découvert... la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C'est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n'importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

Et attendez, ça ne s'arrête pas là puisque Margaritelli a trouvé un bucket S3 chez Amazon, totalement ouvert au public, qui contient TOUS les firmwares de TOUS les produits TP-Link. C'est open bar, sans authentification, Noël avant l'heure pour les chercheurs en sécu... et les hackers.

En fouillant le firmware avec Ghidra et Claude (oui, l'IA a aidé au reverse engineering), le chercheur a découvert quatre failles critiques. La première, c'est un buffer overflow dans le parser SOAP XML utilisé par le protocole ONVIF. En gros, si vous envoyez un message trop long, la caméra plante. Pas besoin d'être authentifié pour ça, une requête HTTP suffit.

La deuxième faille est du même genre mais dans le header Content-Length. Envoyez 4294967295 (le max d'un entier 32 bits) et boum, integer overflow. Et la troisième, c'est la cerise sur le gâteau puisque l'endpoint connectAp reste accessible sans authentification même après le setup initial. Du coup, un attaquant peut forcer votre caméra à se connecter à son propre réseau WiFi malveillant et intercepter tout le flux vidéo. Vous ne vous y attendiez pas à celle-là, si ?

Et la quatrième faille, oubliée nulle part ailleurs c'est l'API scanApList qui balance la liste de tous les réseaux WiFi autour de la caméra, sans auth. Avec les BSSID récupérés et un outil comme apple_bssid_locator, on peut géolocaliser physiquement la caméra à quelques mètres près. Sur les 25 000 caméras exposées sur le net, ça fait froid dans le dos.

Le plus frustrant dans cette histoire, c'est que Margaritelli a signalé tout ça en juillet 2025 et TP-Link a demandé des rallonges de délai, encore et encore, durant plus de 150 jours. Et au final, les failles ont été corrigées mais pas de patch sur les pages publiques des CVE. Ah et petit détail rigolo, comme TP-Link est sa propre autorité de numérotation CVE, ils s'auto-évaluent sur leurs propres failles. Donc y'a pas de conflit d'intérêt du tout... ahem ahem...

Le chercheur estime qu'environ 25 000 de ces caméras sont exposées directement sur Internet donc si comme moi, vous en avez une, vérifiez que le firmware est bien à jour et surtout, ne l'exposez JAMAIS directement sur le net. Mettez-la derrière un VPN ou un réseau isolé.

Je trouve ça cool que Margaritelli ait utilisé de l'IA pour accélérer la phase de reverse engineering. Avec Claude Opus et Sonnet avec GhidraMCP, il a pu analyser le code assembleur et c'est comme ça que l'IA a identifié rapidement les fonctions vulnérables et expliqué le fonctionnement du code. Bref, l'IA comme outil de hacking, c'est assez ouf...

Voilà, donc si vous avez du matos TP-Link chez vous, gardez un œil sur les mises à jour et réfléchissez à deux fois avant de l'exposer sur le net. Et si vous aimez la lecture, l'analyse complète est dispo sur le blog d'evilsocket .

Beau boulot !

Vous utilisez une extension VPN gratuite sous Chrome ou Edge pour "protéger votre vie privée" ? Cool story les bro, mais si je vous disais que cette même extension enregistre peut-être toutes vos conversations avec ChatGPT, Claude, Gemini et compagnie pour les revendre à des courtiers en données (les fameux data brokers) ?

Hé bien c'est exactement ce que viennent de découvrir les chercheurs en sécurité de Koi qui ont mis le doigt sur 4 extensions très populaires comptabilisant plus de 8 millions d'utilisateurs au total : Urban VPN Proxy (6 millions à elle seule), 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker qui aspirent silencieusement tout ce que vous tapez dans vos chat IA préférées.

Le truc vicieux, c'est que ces extensions ne se contentent pas de regarder votre historique de navigation comme les trackers classiques. Non non non, elles injectent du code JavaScript directement dans les pages des chatbots IA quand vous les visitez et ça modifie les fonctions de base du navigateur (fetch() et XMLHttpRequest pour les techos) pour intercepter absolument tout ce qui passe entre vous et l'IA.

Vos prompts, les réponses du chatbot, les métadonnées de conversation, tout est aspiré et envoyé vers les serveurs analytics.urban-vpn.com et stats.urban-vpn.com. Et le pire c'est que cette collecte continue en arrière plan même quand le VPN est désactivé. Bye bye tous vos secrets.

Derrière ces extensions se cache Urban Cyber Security Inc., une boîte affiliée à BiScience, un courtier en données bien connu des chercheurs en sécurité. Ces gens-là sont passés de la collecte d'historique de navigation à la collecte de conversations IA complètes, soit un niveau de sensibilité bien supérieur vu ce qu'on peut raconter à une IA (questions médicales, code propriétaire, problèmes personnels, données financières...).

Et devinez quoi ? Ces extensions arboraient fièrement le badge "Featured" sur le Chrome Web Store et le Microsoft Edge Add-ons, censé garantir que Google et Microsoft ont vérifié leur sécurité. Nos deux géants américains ont donc validé des extensions qui violent directement leur propre politique d'utilisation limitée des données utilisateurs.

Bref, si vous avez installé une de ces extensions et utilisé ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok ou Meta AI depuis juillet de cette année, partez du principe que toutes ces conversations sont maintenant sur les serveurs d'un data broker et potentiellement revendues à des annonceurs.

La morale de l'histoire, c'est que dans le cas des VPN gratuits, le produit c'est littéralement tout ce que vous faites en ligne. Donc si vous voulez vraiment protéger votre vie privée avec un VPN, mieux vaut payer quelques euros par mois pour un service sérieux comme NordVPN ou Surfshark qui n'a pas besoin de revendre vos données pour survivre.

Comme vous le savez, Redis c’est un peu le champion du cache mémoire. C’est rapide, c’est efficace, tout le monde l’utilise mais surtout, ça tourne dans 75% des environnements cloud. En gros, 3 serveurs sur 4 dans le cloud l’utilise…

Cool ? Oui sauf quand une faille critique de sécurité pointe le bout de son nez ! Et pas une petite faille, mes amis ! Une faille notée 10 sur 10 en gravité, qui permet d’exécuter du code à distance sur les serveurs.

Estampillée CVE-2025-49844, et joliment baptisée RediShell, cette faille en elle-même est assez technique puiqu’elle repose sur un bug Use-After-Free dans l’interpréteur Lua intégré à Redis. En gros, un attaquant authentifié peut envoyer un script Lua malveillant qui vient manipuler le garbage collector, provoque un accès mémoire après libération, et permet ainsi d’exécuter du code arbitraire sur le serveur.

C’est de la RCE complète salade tomates oignons, avec sauce système compromis !

Le truc, c’est que ce bug dormait dans le code depuis 13 ans dès que Redis a intégré Lua en 2012 dans la version 2.6.0. Donc pendant tout ce temps, des millions de serveurs Redis dans le monde entier avaient cette vulnérabilité activée par défaut.

Et les chiffres donnent le vertige car d’après les scans de Wiz Research, environ 330 000 instances Redis sont exposées directement sur Internet. Et sur ces 330 000, au moins 60 000 n’ont même pas d’authentification activée. Donc autant dire qu’elles sont ouvertes à tous les vents et que les serveurs qui se cachent derrière aussi…

Toute l’infrastructure cloud moderne repose sur une poignée de briques open source critiques, et ça marche tellement bien qu’on en met partout et on finit souvent par oublier à quel point c’est fragile… On l’a déjà vu par exemple avec Log4Shell qui a touché des millions de serveurs Java en 2021, puis avec Heartbleed dans OpenSSL en 2014. Et on a failli le voir avec la backdoor XZ Utils découverte in extremis en 2024.

À chaque fois, c’est le même schéma où un composant open source critique, utilisé partout, et maintenu par une équipe minuscule (souvent 1 à 5 personnes), se retrouve avec un bug qui expose des pans entiers de l’infrastructure mondiale d’Internet… Argh !

Maintenant, la bonne nouvelle , c’est que Redis a publié des patchs pour toutes les versions maintenues : 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2. Donc si vous utilisez Redis, c’est le moment de mettre à jour !! Et pendant que vous y êtes, activez aussi l’authentification avec la directive requirepass, et désactivez les commandes Lua si vous ne les utilisez pas. Vous pouvez faire ça via les ACL Redis ou simplement en révoquant les permissions de scripting.

La découverte de RediShell a été faite par Wiz Research lors du Pwn2Own de Berlin en mai 2025. Alerté, Redis a publié son bulletin de sécurité le 3 octobre dernier, et Wiz a rendu public les détails le 6 octobre. Une Timeline propre, une divulgation responsable, bref tout s’est bien passé de ce côté-là…

Maintenant pour réduire ce genre de risque à terme, je pense que ce serait cool si les géants d’Internet finançaient un peu plus directement les mainteneurs de ces briques logiciels essentielle, ainsi que des audits de l’ OpenSSF car pour le moment, on est loin du compte ! Redis est patché, heureusement, mais on sait aussi que la prochaine faille critique dans un de ces composants critiques, c’est une nouvelle fois, juste une question de temps…

Source

Si comme moi, vous avez une imprimante Brother qui traîne dans votre bureau, alors accrochez-vous bien à vos cartouches d’encre, parce que Rapid7 vient de balancer une bombe. Pas moins de 689 modèles d’imprimantes Brother sont touchés par 8 vulnérabilités dont certaines sont carrément flippantes. Et la plus critique d’entre elles permet à n’importe quel pirate de générer le mot de passe administrateur de votre imprimante sans même avoir besoin de s’authentifier !

Une question que je me pose avec Linux, c’est quand est-ce qu’on va arrêter de découvrir des failles qui transforment n’importe quel utilisateur lambda en super master absolu du système ?? Eh bien la réponse est surement “Pas aujourd’hui !!” parce que Qualys vient de sortir 2 CVE qui mettent à poil toutes les principales distros.

Je vous avoue que quand j’ai lu le rapport de Qualys TRU, j’ai d’abord cru à une blague. 2 lignes de code, 3 secondes d’exécution, et hop, vous voilà root sur Ubuntu, Debian, Fedora et openSUSE. Les CVE-2025-6018 et CVE-2025-6019, qui viennent d’être découvertes, c’est pas juste 2 failles de plus dans la longue liste des vulnérabilités Linux. C’est une combinaison dévastatrice qui exploite des services tellement basiques qu’ils tournent sur pratiquement toutes les installations Linux par défaut. Et ça concerne UDisks (le daemon de gestion du stockage) et PAM (les modules d’authentification), donc autant dire des composants qu’on trouve partout.