-- Article en partenariat avec Surfshark --

Les scams vocaux par IA, c’est un peu la nouvelle génération de coup de fil foireux. Sauf que cette fois, la voix au bout du fil peut être celle de votre mère, de votre boss, ou de vous-même cloné en haute définition. Et ça, c’est nettement moins drôle.

C’est quoi un scam vocal par IA ?

En gros, un scam vocal par IA, c’est une arnaque où des petits malins utilisent de l’intelligence artificielle pour copier votre voix (ou celle de quelqu’un que vous connaissez) et s’en servent pour vous soutirer du fric ou des infos sensibles. Il leur suffit de quelques secondes d’enregistrement pour recréer votre timbre, votre rythme, votre accent, et vous faire dire des choses que vous n’avez jamais prononcées. À l’autre bout, le scammer joue la carte de l’urgence (“je suis en garde à vue”, “on a besoin d’un virement tout de suite”) histoire que vous paniquiez et que vous obéissiez sans réfléchir.

Comment ils clonent votre voix ?

La matière première, c’est vous sur Internet. Vidéos TikTok, Reels Instagram, YouTube, podcasts, interviews, vocaux WhatsApp, hack d'applications ou d'IA générative dont vous avez utilisé les commandes vocales, le message d'accueil de votre messagerie vocale ... bref tout ce qui contient votre voix peut servir de base à un modèle d’IA. Juste vous téléphoner pour vous faire parler suffit. Le logiciel analyse tout ça, fabrique une version numérique de votre voix, puis peut générer n’importe quelle phrase avec votre timbre, comme si vous lisiez un script en direct. Ensuite, soit ils envoient des messages vocaux “ultra crédibles”, soit ils passent carrément des appels avec une voix clonée branchée sur un synthé vocal en temps réel.

On retrouve quelques classiques déjà bien rodés et qui ne sont déjà plus de la science-fiction futuriste  :

• Le faux appel d’urgence d’un proche : accident, arrestation, enlèvement fictif, avec demande de virement immédiat, souvent via des moyens impossibles à rembourser.
• Le “CEO fraud” 2.0 : un dirigeant cloné qui demande à un employé un virement discret pour un “projet stratégique” ou une “opération confidentielle”.
• Le faux conseiller bancaire ou crypto qui vous parle comme un pro, avec jargon et numéro de dossier, pour vous pousser à transférer des fonds “pour sécurité”.
• Le contournement d’authentification vocale : la voix clonée sert à passer les systèmes qui utilisent la voix comme facteur de sécurité.
• Les appels de masse en voix synthétique “propre” pour du support technique bidon, des fausses dettes ou des impôts.

Comment repérer le fake (et éviter de se faire plumer)

Même si la techno devient très bonne, il reste souvent des indices. Comme un rythme de parole un peu bizarre, des émotions mal placées, un ton trop lisse pour une situation censée être dramatique, un micro-latence avant les réponses ou encore un refus catégorique de passer en visio ou de rappeler sur un numéro officiel.

La bonne pratique c'est de ne jamais céder sous la pression d’un seul appel. Posez des questions que seul le vrai proche peut connaître, vous raccrochez et vous vérifiez via un autre canal (appel direct, message, numéro de la banque trouvé par vous-même, pas dans le mail ou le SMS reçu). Et plus vous limitez votre empreinte vocale publique, moins vous donnez de matière à ces outils de clonage.

Où Surfshark entre en jeu dans cette histoire

Soyons clairs : aucun outil ne peut empêcher un escroc de cloner une voix qu’il a déjà récupérée. Par contre, vous pouvez rendre sa vie beaucoup plus compliquée, et c’est là que l’écosystème Surfshark devient intéressant.

• Le VPN Surfshark chiffre votre trafic et masque votre IP, ce qui limite la quantité d’infos qu’un attaquant peut recouper sur vous et rend le ciblage plus difficile.
• Surfshark Alert vous signale si des données personnelles finissent dans une fuite, ce qui vous permet de réagir avant qu’elles soient utilisées pour rendre une arnaque vocale encore plus crédible.
• L’antivirus Surfshark bloque les malwares, keyloggers et autres joyeusetés souvent utilisés en combo avec ce genre d’arnaque pour vider vos comptes une fois que vous avez mordu à l’hameçon.

Vous combinez ça avec un peu d’hygiène numérique (mots de passe costauds, double authentification, méfiance par défaut au téléphone), et vous devenez tout de suite une cible beaucoup moins rentable pour les arnaques vocales dopées à l’IA. Arrêtez aussi de répondre aux appels de numéros masqués, inconnus ou que vous ne connaissez pas.

Les principales fonctionnalités de Surfshark VPN

Surfshark VPN ne se contente pas de chiffrer votre connexion, il vient avec tout un arsenal de fonctionnalités pensées pour limiter la quantité de données que les arnaqueurs peuvent exploiter contre vous. Parmi les plus utiles, on retrouve le chiffrement de bout en bout du trafic, le masquage d’adresse IP, ainsi qu’une politique stricte de non-conservation des logs.

Vous pouvez aussi utiliser la connexion simultanée sur un nombre illimité d’appareils pour protéger en une fois votre smartphone, PC, tablette et même certains appareils connectés de la maison. Le Kill Switch coupe automatiquement votre connexion Internet si le VPN décroche, ce qui évite que votre trafic repasse à nu sans que vous ne vous en rendiez compte.

Les serveurs multi-hop (double VPN) permettent de faire transiter votre trafic par plusieurs pays à la fois, rendant le traçage encore plus compliqué pour quiconque essaierait de remonter jusqu’à vous. La fonction CleanWeb, elle, bloque pubs, trackers et une partie des sites malveillants, ce qui réduit les risques de tomber sur des pages de phishing utilisées en parallèle de scams vocaux.

Enfin, avec les serveurs spécialisés (par exemple pour le P2P) et les options de tunneling fractionné, vous pouvez décider quelles applications passent par le VPN et lesquelles utilisent une connexion normale. Ça vous permet d’ajuster finement le niveau de confidentialité sans sacrifier le confort d’usage au quotidien.

Avec un abonnement Starter Pack 2 ans à moins de 64.5 € TTC (plus 3 mois offerts), cela revient à moins de 2,39 € TTC par mois pour protéger en continu tous les appareils de la maison, 24h/24 et 7j/7. Ou 2.98€/mois TTC pour Surfshark One (avec l'antivirus, alert, alternative ID ...). C'est moins cher que le prix des abonnements en 2023, pas d'inflation chez la firme au requin.

🔗 Profiter de l'offre Surfshark VPN ici

La Xbox One n'a jamais été hackée ! Hé oui, depuis 2013, la console de Microsoft narguaient la communauté du reverse engineering pendant que les PlayStation, les Switch et autres 3DS tombaient les unes après les autres. Microsoft la décrivait même comme "le produit le plus sécurisé jamais créé" mdrrrr.

Bon bah c'est fini comme vous vous en doutez car à la conférence RE//verse 2026 à Orlando, Markus "doom" Gaasedelen a réussi à exécuter du code arbitraire sur le boot ROM de la console, autrement c'est un hack hardware impossible à corriger.

Du coup, comment on casse un truc réputé incassable ?

Hé bien toute la sécurité de la Xbox One repose sur un minuscule processeur ARM Cortex R4, le Platform Security Processor (PSP), planqué dans un coin du SoC AMD.

Ce PSP contient un boot ROM gravé directement dans le silicium... et c'est le seul composant que Microsoft ne peut pas mettre à jour. L'architecte de la sécu Xbox, Tony Chen, l'avait dit lui-même en 2019 : "le seul bug logiciel dont on ne peut pas se remettre, c'est un bug dans le boot ROM".

Le die shot du SoC Xbox One. Le PSP est planqué tout en bas à droite.

Sauf que Markus n'a pas cherché de bug logiciel, parce y'en a pas. Le code du boot ROM est linéaire, hyper audité, sans la moindre faille. Du coup, il est passé par le hardware avec du voltage glitching.

Le principe c'est de faire s'effondrer brièvement le rail d'alimentation du processeur (en gros, on colle un MOSFET sur le rail et on tire la tension vers le bas pendant 100 à 200 nanosecondes) pour corrompre l'exécution d'une instruction. Et Microsoft avait quand même blindé le truc en prenant soin de na pas mettre de pin reset accessible, pas d'UART, pas de JTAG, pas de post codes de diagnostic (désactivés par des fusibles), et surtout 37 stalls randomisés qui décalent le timing du boot à chaque démarrage. En gros, c'est comme essayer de crocheter une serrure dans le noir, avec des mouffles, et la serrure qui change de position toutes les 2 secondes.

D'ailleurs, c'était la première fois que Markus faisait du glitching de sa vie. Au début, il a galéré sur le mauvais rail d'alimentation (la tension 1.8V, finalement un cul-de-sac) avant de trouver le bon (le North Bridge core). Et là, en balançant ses impulsions de voltage au bon moment, il a réussi à activer les post codes que Microsoft avait désactivés par fusibles. Premier signe que la bête était vulnérable !!!!

Le setup de glitching : oscilloscope, carte mère Xbox One et fils partout.

Ensuite, il a ciblé les opérations memcopy du boot ROM, là où les données contrôlées par l'attaquant transitent dans les registres du processeur. Un glitch bien placé pendant un memcopy, et hop, le pointeur d'instruction du processeur part n'importe où. Résultat : 0x41414141 qui sort sur le bus I2C, la preuve qu'on contrôle l'exécution du boot ROM !

Bon par contre, il était enfermé dans un "user jail", une sandbox ARM avec seulement quelques Ko de code accessible. Et c'est pas si simple d'en sortir.

0x41414141 sur le bus I2C. ROP'd OUT MY POST CODE !

Et là, coup de génie du mec : un double glitch sur le même boot.

Le premier casse la boucle d'initialisation du MPU (la protection mémoire ARM, les 12 régions qui créent les jails), le second hijack le pointeur d'instruction pendant le memcopy.

Combiner les deux sur un seul démarrage, c'est du genre 1 chance sur 100 par glitch, soit environ 1 sur 10 000 pour le combo donc utant dire qu'il faut laisser tourner la machine des centaines de milliers de fois. Mais ça marche !! Avec le MPU désactivé et le pointeur d'instruction sous son contrôle, Markus obtient alors l'exécution de code en mode superviseur, avant même que le boot ROM n'ait vérifié les signatures ou déchiffré quoi que ce soit.

Bingo !! Et les conséquences sont radicales puisque grâce à ce hack, il peut maintenant déchiffrer tous les jeux, les firmwares et les mises à jour passés, présents et futurs.

Il peut aussi dé-pairer les NAND et lecteurs optiques pour la réparation. Et comme c'est gravé dans le silicium, c'est impatchable, comme le Reset Glitch Hack de la 360 à l'époque. Pour l'instant, ça concerne uniquement le modèle Xbox One Fat de 2013.

Ah et petit détail croustillant.... Microsoft avait prévu des moniteurs anti-glitch dans le SoC pour détecter les perturbations de voltage, mais sur les premières révisions ils n'arrivaient pas à les stabiliser, du coup ils les ont désactivés par fusibles. Pas de bol. Après sur les modèles suivants (One S, One X) ils sont activés, mais Markus pense que ses techniques pourraient quand même être adaptées.

Le boot flow du PSP. Le hijack se produit à l'étape 4, avant toute vérification crypto.

Le plus dingue c'est que le hack en version finale ne nécessite que 3 fils soudés sur la carte mère ! Tout le reste, les dizaines de sondes à crochet, l'oscilloscope 4 voies, l'analyseur logique branché sur le bus I2C et les GPIO, c'était juste pour comprendre ce qui se passait.

Et le fait qu'il ait construit un émulateur du boot ROM avec l'aide de l'IA pour étudier le comportement du processeur, je trouve ça encore plus incroyable !

Bref, je vous laisse avec la conf en intégralité pour les plus motivés :

Le démarchage téléphonique, on n'en peut plus !! Y'a bien Bloctel qui devait régler le problème... sauf que notre téléphone continue de sonner 3 fois par jour avec des histoires de CPF ou de panneaux solaires. Pas ouf quoi... Du coup, un enquêteur en fraude connu du web a décidé de créer sa propre appli Android pour raccrocher automatiquement au nez de ces FDP de spammeurs.

WinCalls , c'est le nom de la bête. Vous l'installez sur votre smartphone, vous activez la protection, et tadaaa, l'appli détecte les coups de fil de démarchage et raccroche toute seule avant même que votre téléphone ait le temps de sonner. Y'a même pas de notif, c'est clean ! Le spammeur parle dans le vide et vous, vous continuez votre vie peinard.

Le truc cool, c'est le bonhomme derrière. Centho , c'est un enquêteur spécialisé dans la fraude, qui traque les arnaqueurs au quotidien parce que c'est littéralement son métier, du coup forcément, il sait comment les démarcheurs fonctionnent et comment leur couper le sifflet.

Bon, vous allez me dire qu'Android a déjà un filtre anti-spam intégré. C'est vrai. et sur les Pixel, il peut même bloquer les démarcheurs automatiquement mais sur la plupart des autres smartphones, il se contente juste de vous signaler l'appel et c'est ensuite à vous de décider si vous décrochez ou pas. Donc ça reste relou.

La différence avec WinCalls, c'est donc la méthode car l'appli se base en autre sur les préfixes de numéros réservés au démarchage par l'ARCEP (genre les 0162, 0163...) pour identifier les appels commerciaux et raccrocher directement. Tout se fait donc en local sur votre téléphone. Contrairement à d'autres applis qui aspirent votre carnet d'adresses pour alimenter leur base (coucou Truecaller), ici zéro données transmises à l'extérieur. C'est propre ! Merci Centho !

Après c'est Android uniquement donc les possesseurs d'iPhone devront se débrouiller autrement (le filtre intégré d'iOS fait à vrai dire un boulot correct, mais c'est pas le même niveau... Moi j'utilise Begone et l'appli Orange Téléphone sous iOS).

Ah et surtout c'est totalement gratuit. Le projet fonctionne uniquement grâce aux dons des utilisateurs qui en ont marre de se faire harceler et y'a même une communauté Discord pour remonter des faux positifs ou poser vos questions, bref c'est bien fichu.

Si la sécurité de votre téléphone Android vous préoccupe de manière plus globale, c'est un bon complément. Et pour ceux qui se demandent comment se débarrasser définitivement des appels indésirables, la combo c'est de s'inscrire sur Bloctel (ça filtre les démarcheurs légaux... les 3 qui restent) et d'utiliser WinCalls qui agit à un niveau différent en bloquant via les préfixes ARCEP. Les deux se complètent plutôt bien.

C'est gratuit et c'est par là . Merci à Gotcha57 pour l'info !

Si vous utilisez des LLM dans vos projets, vous savez que le plus flippant c'est pas de les faire fonctionner (quoique..lol) mais c'est de vérifier qu'ils ne disent pas n'importe nawak ! Et pour cela, il y a Promptfoo , un outil CLI open source qui permet de tester vos prompts, comparer les modèles et scanner les vulnérabilités de vos apps IA, le tout avec un simple fichier YAML.

Ça s'installe en une commande (npx promptfoo@latest init) et vous voilà avec un fichier promptfooconfig.yaml où vous définissez vos prompts, les modèles à tester et les assertions à vérifier.

Genre, vous voulez que votre traduction contienne bien "Bonjour le monde", Hop, un petit tour dans le YAML, assertion contains, et c'est terminé. Plus besoin de relire 200 outputs à la main en plissant les yeux ! Par contre, attention : le YAML peut vite devenir un plat de spaghetti si vous testez 15 prompts sur 8 modèles en parallèle. Commencez donc petit.

La matrice d'évaluation de promptfoo, sobre mais efficace

L'outil supporte plus de 60 providers différents comme OpenAI, Claude, Gemini, Llama via Ollama, Mistral... vous mettez tout ça dans le même fichier de config et promptfoo les fait tourner côte à côte. Vous voyez alors directement lequel hallucine le moins, lequel répond le plus vite, lequel coûte une blinde pour un résultat bof bof. Le tout avec des assertions typées : contains, llm-rubric (où un autre LLM note la réponse), javascript pour vos critères custom, et même cost et latency pour garder un œil sur la facture.

Après tester si votre chatbot traduit correctement, c'est sympa, mais vérifier qu'il se fait pas jailbreaker par un "ignore toutes tes instructions", c'est quand même plus critique ! Et c'est pourquoi Promptfoo embarque un scanner de vulnérabilités qui couvre plus de 50 types d'attaques : injections de prompts directes et indirectes, fuites de données personnelles, biais, contenu toxique, escalade de privilèges sur les outils...

Il utilise pour cela des techniques comme le Tree of Attacks with Pruning, un algo qui explore plusieurs chemins d'attaque en parallèle pour trouver les failles sans brute force. Si vous voulez creuser le sujet du red teaming LLM, DeepTeam est un bon complément côté Python.

Le dashboard red teaming de promptfoo avec les vulnérabilités détectées

C'est surtout cette intégration CI/CD qui fait la différence. Vous pouvez brancher promptfoo dans votre pipeline GitHub Actions ou GitLab et chaque pull request qui touche un prompt est automatiquement testée. Bah oui, on a des tests unitaires pour le code depuis 30 ans, mais pour les prompts, jusqu'ici c'est même plutôt le far west !

Bon après, faut pas se mentir non plus, écrire des assertions pour du texte non-déterministe, c'est un autre sport que du assertEqual. Le llm-rubric qui utilise un LLM pour juger un autre LLM, c'est pas con mais ça ajoute aussi une couche de "flou" donc à vous de trouver le bon dosage dans vos tests.

L'équipe a annoncé rejoindre OpenAI début mars ce qui est plutôt une bonne nouvelle pour le développement du projet... mais pas forcément pour l'indépendance quand on évalue les modèles OpenAI avec un outil OpenAI (on verra bien hein ^^ lol).

L'orchestration tourne en local sur votre machine (les prompts partent chez les providers pour l'évaluation, mais vos fichiers YAML, vos logs et résultats JSON restent sur votre disque dur), c'est sous licence MIT, et y'a déjà plus de 300 000 utilisateurs, ce qui est quand même pas mal !

Voilà, comme ça plutôt que de croiser les doigts à chaque déploiement, en espérant ne pas vous faire virer, autant tester ses prompts comme on teste son code.

Si vous vous êtes déjà demandé comment les flics font pour fouiller un disque dur saisi chez un suspect, la réponse tient en quatre lettres : IPED . C'est l'outil que la police fédérale brésilienne a développé en interne depuis 2012 pour analyser les preuves numériques... et qui est devenu open source en 2019.

N'importe qui peut aujourd'hui donc télécharger le même logiciel que celui utilisé par les enquêteurs pour décortiquer des scènes de crime numériques. J'vous parle d'un truc qui avale 400 Go de données à l'heure, ce qui à vrai dire c'est plutôt le débit d'un SSD NVMe que d'un logiciel d'analyse. Et ça gère des multicases de 135 millions d'éléments. Ouais, rien que le chiffre donne le vertige !

En gros, le principe c'est de balancer une image disque (DD brut, conteneur E01, machine virtuelle VMDK, VHD Hyper-V, AFF... la totale) et IPED va indexer, analyser, hasher en MD5 et SHA-256, et trier tout ce qu'il trouve. Le logiciel supporte une quarantaine de formats pour le carving, fait de l'OCR via Tesseract 5, parse l'historique des navigateurs, et peut même transcrire de l'audio grâce à Azure ou Google Cloud. Vous avez même un moteur de recherche plain-text sur l'intégralité d'un disque !

L'interface d'analyse d'IPED avec sa recherche plein texte et l'aperçu des fichiers

Et surtout, le truc qui tue c'est la reconnaissance faciale intégrée... car elle tourne sans GPU !! La v4.3 sortie fin 2025 pousse même le délire encore plus loin avec l'estimation d'âge sur les visages détectés et le support multi-visages par image. Pour les forces de l'ordre, y'a aussi PhotoDNA (étendu aux vidéos dans cette version) et une tâche de classification CSAM... bref du lourd pour la lutte contre la pédocriminalité !

La reconnaissance faciale intégrée trie automatiquement les visages détectés

Mais attention, c'est pas juste un outil de flics. Si vous bossez en cybersécurité, en réponse à incident, ou si vous êtes juste curieux de comprendre ce qui traîne sur un vieux disque dur récupéré , IPED fera très bien le taf. Le logiciel propose plusieurs profils de traitement : forensic (analyse complète), triage (scan rapide), fastmode (indexation sans parsing lourd), et même un mode "blind" pour les cas où vous ne savez pas trop ce que vous cherchez.

Vous faites pointer l'outil sur une image disque, vous choisissez votre profil, et en quelques minutes il vous sort une interface Swing (oui, c'est pas forcément la plus belle du monde, oubliez pas que c'est du Java) avec tous les fichiers indexés, une timeline d'activité, les historiques de navigation, les conversations de messagerie et même une galerie de toutes les images triées par visage. Le tout sans avoir à monter l'image manuellement.

La timeline unifiée permet de retracer toute l'activité chronologique du disque

Faudra donc un JDK 11 avec JavaFX inclus (genre Liberica ou Azul, parce que le JDK standard ne bundle plus JavaFX... snif) puis faites un petit git clone et un mvn clean install pour déployer tout ça.

Ça fonctionne sous Windows et Linux, mais pas de support macOS natif par contre. Et prévoyez au moins 16 Go de RAM, vu les volumes que ça traite. Le projet est solide mais je tiens quand même à souligner que le dev principal porte à lui seul plus de la moitié des commits... c'est courant sur ce type de projet mais c'est vraiment dommage car c'est d'utilité publique !

La v4.3 a aussi ajouté la validation de phrases mnémoniques crypto (pour détecter des seed phrases sur un disque, genre le même principe que quand le FBI demande les clés BitLocker sauf que là c'est vous qui cherchez), le support BitTorrent via Transmission, le carving 7zip, HEIC, WebM et MKV, et un parseur NSKeyedArchiver pour les dumps iOS. Et si vous devez analyser le backup d'un iPhone, y'a carrément moyen.

Le moteur de carving récupère et affiche les fichiers avec leurs miniatures

Après la doc est assez éparse... le wiki GitHub ne couvre pas toujours les cas limites et faut parfois fouiller dans les issues pour trouver la bonne config. Mais bon, franchement, c'est le jeu de l'open source. Quand c'est "gratuit" c'est ton temps le "produit" ^^.

Bref, si vous avez un vieux disque qui traîne dans un tiroir, c'est l'occasion de jouer les enquêteurs du dimanche !

Le SEO poisoning, vous connaissez ?

C'est quand votre référencement se fait flinguer parce que votre site se retrouve associé à des sites de casino, de porno et de téléchargement illégal. Et devinez quoi... ça m'arrive depuis bientôt un an !

Tout a commencé l'année dernière quand un nom de domaine reprenant mon pseudo a été enregistré depuis la Chine. Un clone quasi parfait de korben.info, avec tout mon contenu aspiré, sauf que tous les liens avaient été remplacés par des redirections frauduleuses. Mon Patreon, mon Twitter, ma newsletter, mes liens Twitch... tout renvoyait vers des trackers douteux. En fait, ça a été fait via un service de clonage de sites à quelques yuans par mois (genre 50 yuans, soit 6 euros), capable d'aspirer l'intégralité des pages HTML, CSS, images et même l'ID Google Analytics. Sympa !

Hasard du scrapping, ils ont chopé ma version spéciale Pluribus que j'avais mise en ligne à l'époque.

Sur le coup, quand je m'en suis rendu compte, j'ai signalé le truc au registrar et j'ai attendu. Naïvement, je pensais que ça resterait un cas isolé. Par contre, attention... c'était juste l'apéro.

Car en décembre, ça s'est sérieusement accéléré. D'un coup, c'est pas un mais plusieurs réseaux distincts de sites qui se sont mis à publier du contenu m'associant à tout et n'importe quoi. Je vous parle de dizaines et de dizaines de sites, des .fr pour la plupart, montés de toute pièce avec du contenu bidon. Et là, bienvenue dans le monde merveilleux des PBN.

Un PBN, c'est un Private Blog Network. En gros, un ensemble de sites web qui ont l'air indépendants mais qui sont contrôlés par la même personne. À la base, ça sert à créer des backlinks pour faire monter un site dans les résultats de référencement naturel . Ça peut être utilisé de manière plus ou moins légitime pour booster sa visibilité. Mais ça peut aussi servir à démolir celle des autres, en les noyant sous des liens toxiques, en les mélangeant avec des sites de casino en ligne, de contenus pour adultes ou de téléchargement illégal. Et c'est exactement ce qui arrive à mon site en ce moment.

Concrètement, dans mon cas, ça fonctionne de deux manières. La première, c'est du cloaking. Ces sites présentent à Googlebot du contenu qui reprend mes meta descriptions, mon nom, mon contenu... sauf que quand un vrai visiteur clique dessus depuis Google, il tombe sur une fausse page RedTube. Du porno, quoi. L'idée c'est que Google finisse par associer korben.info à du contenu pour adultes. La deuxième technique, c'est de noyer mon nom dans du contenu qui n'a rien à voir avec la tech. Des articles, des liens vers des casinos... Le but c'est que Google se dise "ah mais en fait korben.info c'est pas un média tech", et que ma thématique soit complètement diluée dans les résultats de recherche.

Du coup, depuis 4 mois, mon quotidien c'est ça : contacter Google pour signaler les domaines frauduleux, écrire aux registrars pour faire fermer les noms de domaine, relancer les hébergeurs pour couper les serveurs. À vrai dire, entre les mails aux registrars, les formulaires abuse et les captures d'écran pour les dossiers, je passe 2-3 heures par jour là-dessus au lieu d'écrire des articles. J'ai même déposé des signalements auprès de la police. Première fois en 20 ans de blog que j'en arrive là !

Heureusement, à force de creuser, mes capacités en OSINT m'ont permis de cartographier tout le réseau : les connexions entre les sites, les gens qui se trouvent derrière... j'ai tout. Mais tant que les procédures sont en cours, je garde ça pour moi. Je ne peux pas vous mettre les captures d'écran les plus croustillantes de toute cette opération dont je suis la victime, j'en suis désolé...

Et le problème, c'est que tous les jours, y'a des nouveaux qui apparaissent. Des .fr, des .site, des .website, des .online... Dans mon fichier disavow.txt sur la Search Console de Google, j'ai inscrit +93 domaines à rejeter.

Le disavow, pour ceux qui connaissent pas, c'est un fichier que vous soumettez à Google pour lui dire "ces liens qui pointent vers mon site, ignore-les, c'est pas moi". Google dit que ses algorithmes détectent et ignorent déjà la plupart des liens toxiques automatiquement, mais le disavow reste une précaution supplémentaire. Sauf que quand vous voyez la liste s'allonger tous les jours, ça rassure pas des masses.

Vous le savez, le SEO c'est pas trop le domaine dans lequel je brille . Du coup, me retrouver sur mon ordi à éplucher des rapports WHOIS, des logs et des exports CSV de backlinks toxiques, c'est vraiment pas mon kiff. Et franchement, ça me fait flipper parce que mon site, c'est 20 ans de boulot et si demain il se fait blacklister ou noyer dans du contenu pourri, je perds une part de mon trafic... voire plus. Et comme Korben c'est littéralement ma vie, mon identité, c'est tout ce que j'ai.

Le truc dingue aussi, c'est que ces techniques datent du début des années 2010. C'est du old school mais bon, on s'y fait pas. J'ai l'impression de vider la mer avec une cuillère. Le problème c'est que ça ne s'arrête jamais. Vous en fermez 5, il en apparaît 10 !!!

Maintenant, si vous êtes dans le même cas, voici ce que vous pouvez faire. D'abord, surveillez vos backlinks via la Search Console ou des outils comme Ahrefs .

Attention, ne regardez pas forcement que les nouveaux liens, vérifiez aussi les anciens qui auraient pu changer de destination. Si vous repérez des domaines louches qui pointent vers votre site, créez un fichier disavow.txt et soumettez-le à Google.

Ensuite, signalez les sites frauduleux aux registrars (les infos sont dans le WHOIS) et aux hébergeurs. Et si c'est grave, n'oubliez pas le signalement auprès de la police ou de la gendarmerie via cybermalvaillance. Ça crée une trace officielle, même si les suites judiciaires prennent du temps.

Bref, si parmi vous il y en a qui veulent me mettre un lien vers korben.info depuis leur site ou leur blog, reprendre un de , un mot sur les réseaux... ça m'aiderait. Chaque backlink sain aide à contrebalancer la merde ❤️.

-- Article en partenariat avec Incogni --

Vous n'avez probablement pas besoin d’un énième sermon sur la "vie privée". Vous avez besoin d’outils qui font le sale boulot à votre place. Incogni fait exactement ça : il passe ses journées à frapper à la porte des courtiers en données pour leur dire de supprimer vos infos , pendant que vous faites autre chose de vital. Comme préparer une raclette parce que l'hiver n'est pas terminé.

On imagine souvent les fuites comme des gros piratages de bases de données. Cela arrive parfois bien évidemment, sauf qu'en pratique, le plus gros de la collecte part de choses beaucoup plus banales : formulaires, programmes de fidélité, inscriptions sur des sites gratuits et désormais, les extensions IA qui se greffent au navigateur .

Une étude d’Incogni montre que plus de la moitié des extensions Chrome “dopées à l’IA” collectent au moins un type de données utilisateur. Sur presque 450 extensions analysées, 52% aspirent quelque chose, et près de 30% récupèrent des infos personnelles identifiables. Votre nom, adresse, email, parfois même du contenu que vous tapez (mails, formulaires, documents en ligne) et des éléments de localisation. Des outils archi populaires comme Grammarly ou QuillBot se retrouvent pointés du doigt pour le volume et la sensibilité des données auxquelles ils ont accès, tout en étant installés par des millions d'utilisateurs.

Le problème, c’est que ces flux ne restent pas cantonnés aux éditeurs d’extensions. Ils alimentent des courtiers en données ( data brokers ) qui recoupent, enrichissent et revendent ce qu’ils savent de vous. Ça concerne aussi bien les coordonnées, le profil socio‑démographique, les centres d’intérêt, comportement de navigation, historique d’achats, etc. Vous ne verrez jamais leur nom sur un bandeau de cookie, mais eux vous connaissent très bien.

Incogni : un service qui supprime vos données à grande échelle

Pour attaquer ce problème à la racine, Incogni automatise tout ce que vous pourriez théoriquement faire à la main, mais que personne ne fait vraiment :

• repérer quelles sociétés ont probablement vos données,
• leur envoyer des demandes de suppression basées sur le RGPD, CCPA & co,
• les relancer si elles traînent des pieds,
• vérifier que vos données ne réapparaissent pas quelques mois plus tard.

Concrètement, à l’inscription, vous fournissez quelques informations d’identification (nom, email, adresse postale) pour permettre à Incogni de vous retrouver dans les bases des brokers. Une fois la procuration numérique signée, la plateforme commence à envoyer des demandes d’effacement à plus de 420 sites de courtage et bases marketing, recrutement, scoring, etc., en votre nom. On peut parler d’un service “quasi mains libres” qui économise des dizaines d’heures de démarchage manuel en automatisant ces requêtes et les relances qui suivent.

Sur le tableau de bord, on voit très concrètement tout ce qui se passe :

• combien de demandes ont été envoyées,
• quels brokers ont répondu,
• combien ont confirmé la suppression,
• lesquels sont encore en attente ou en cours de relance.

Une fois la première vague passée (souvent 30 à 45 jours pour les réponses, selon mon test perso et ce que j'ai vu en ligne), Incogni continue à surveiller les mêmes acteurs et à renvoyer des demandes périodiques pour éviter les “résurrections” discrètes de votre profil dans leurs fichiers. C’est cette dimension continue qui en fait un outil pratique : au lieu de faire un gros ménage une fois et d’oublier, vous déléguez la routine.

Le mode sniper : faire retirer vos données d’un site précis

Le détail intéressant pour les cas particuliers : avec l’offre illimitée, vous pouvez demander à Incogni de s’attaquer à des sites spécifiques, au-delà de sa liste standard de brokers. Ça couvre par exemple :

• un annuaire de recherche de personnes qui expose votre adresse,
• une base obscure où votre numéro apparaît,
• une plateforme pro qui indexe trop bien vos données.

Le principe est simple : vous copiez l’URL du site ou de la page concernée dans l’interface, et l'outil ajoute ce cas à la liste des demandes à traiter. Il n’y a pas de limite de nombre de requêtes sur ce mode, ce qui en fait une option assez puissante pour “nettoyer” au fur et à mesure ce que vous découvrez dans Google. D'ailleurs petit conseil perso, n'hésitez pas à créer une alerte sur votre nom pour recevoir un mail dès qu'il apparaît quelque part, vous serez peut-être étonné.

Il y a des bornes logiques : Incogni ne pourra pas effacer des dossiers judiciaires publics, des registres gouvernementaux, ni vos propres contenus sur les réseaux sociaux, blogs ou forums. L’idée est de cibler les usages commerciaux de vos données, pas de réécrire l’histoire.

Ce que vous y gagnez concrètement

Sur le papier, “moins de données chez les brokers” sonne abstrait. Dans la pratique, ça se traduit par plusieurs bénéfices très concrets :

• Moins de démarchage ciblé : les listes marketing qui tournent avec votre mail et votre téléphone s’appauvrissent, ce qui se voit dans la baisse de certains spams ultra personnalisés.
• Moins de contexte pour les arnaques : un escroc qui ne connaît plus votre adresse, vos anciennes boîtes, vos habitudes, aura plus de mal à composer un message crédible.
• Moins d’exposition dans les moteurs de recherche de personnes ou annuaires douteux : vos fiches disparaissent au fil des suppressions, ce qui réduit les risques de harcèlement, doxxing ou simple curiosité mal placée.
• Moins de données à gérer en cas de fuite : si un broker se fait pirater, le volume d’informations vous concernant est moindre, donc l’impact potentiel aussi.

Et pour être utilisateur du service, on sent bien le côté progrès visible sans effort technique. Au bout de quelques semaines, le tableau de bord compte déjà des dizaines de suppressions confirmées, et le flux de courrier indésirable le plus ciblé commence à se tasser.

Et les extensions IA dans tout ça ?

Le rapport d’Incogni sur les extensions IA Chrome montre bien que le problème ne va pas disparaître. Tant qu’on installera des assistants magiques qui demandent un accès à tous les sites et à tout ce qu’on tape, les brokers auront de nouveaux tuyaux pour s’alimenter. La réponse ne peut pas être seulement “n’installez plus rien”, on a besoin de ces outils. Le service de Surfshark prend donc le problème par l’autre bout. Même si certaines données fuient via ces extensions ou d’autres services, il s’occupe de retrouver les endroits où elles se centralisent et d’exiger qu’elles soient effacées.

Le duo gagnant, c’est donc : limiter les permissions des extensions (et éviter celles qui demandent l’accès à tous les sites sans raison), comme le recommandent les chercheurs, et derrière, faire tourner un service comme Incogni pour vider régulièrement les réservoirs où vos infos finissent de toute façon.

Un outil de fond, pas un gadget de plus

Beaucoup de solutions privacy ajoutent une couche d’interface ou de jargon sans changer grand-chose au fond. Ici, la valeur est très terre à terre : du temps économisé, des démarches que vous n’auriez jamais faites vous‑même, et un suivi qui tourne en tâche de fond. Les analyses récentes en font un des services les plus rentables si votre objectif est simplement de faire disparaître votre fiche de la plupart des fichiers commerciaux sans y consacrer votre week‑end.

En résumé, Incogni ne promet pas l’invisibilité totale, mais il fait quelque chose que peu de gens ont la patience de faire. En 2026, ce n’est pas un luxe, c’est presque le minimum syndical pour que votre historique ne soit pas la matière première des prochaines dérives de l’IA ou du prochain mail d’arnaque trop bien informé.

Et vous pouvez en profiter à partir de 86€/an TTC pour la version standard (et même moins, 77€, avec le code KORBEN55). Pour la version illimitée, il faut compter 173€/an (ou 155 avec mon code).

→ Cliquez ici pour en savoir plus sur Incogni ←

Apple vient de publier iOS 16.7.15 et iOS 15.8.7 pour les anciens iPhone et iPad. Ces mises à jour corrigent des failles activement exploitées par Coruna, un kit d'espionnage qui combine 23 vulnérabilités pour compromettre un appareil simplement en chargeant une page web, je vous en parlais ici. Si vous avez encore un iPhone 6s, 7, 8 ou X, la mise à jour est urgente.

D'où vient Coruna ?

Google et iVerify ont rendu public le kit Coruna le 3 mars. Il regroupe 23 failles en cinq chaînes d'exploitation et cible les iPhone sous iOS 13 à iOS 17.2.1. L'outil aurait été conçu par une filiale de L3Harris Technologies, un sous-traitant de défense américain, et vendu à des agences gouvernementales alliées des États-Unis.

Sauf que voilà, le kit a fini par circuler bien au-delà de ce cercle. Un groupe d'espionnage russe l'a utilisé en juillet 2025 contre des cibles ukrainiennes, et un acteur chinois s'en est servi fin 2025 via de faux sites de cryptomonnaies et de paris en ligne. Plus de 50 domaines de distribution ont été identifiés.

Quels sont les appareils concernés ?

Les mises à jour publiées par Apple couvrent deux générations d'anciens appareils. iOS 15.8.7 concerne les iPhone 6s, iPhone 7, iPhone SE première génération, l'iPad Air 2, l'iPad mini 4 et l'iPod touch septième génération. iOS 16.7.15 vise les iPhone 8, 8 Plus et iPhone X, ainsi que l'iPad cinquième génération et les premiers iPad Pro.

Les quatre CVE corrigées touchent le noyau et le moteur WebKit. Le kit exploite ces failles sans aucune interaction de l'utilisateur : il suffit de charger une page web piégée pour que l'appareil soit compromis.

Des portefeuilles crypto ciblés

Une fois l'appareil compromis, le malware PlasmaLoader s'attaque aux portefeuilles de cryptomonnaies comme MetaMask, Exodus ou Bitget Wallet. Google a qualifié Coruna de première exploitation de masse connue contre iOS.

Le kit détecte le modèle d'iPhone et la version d'iOS avant de choisir la bonne chaîne d'exploitation. Il évite aussi de s'exécuter si le mode Isolement est activé ou si la navigation est en mode privé.

Apple fait quand même bien le job en patchant des appareils qui ont jusqu'à dix ans, et c'est plutôt rassurant !

Source : The Hacker News

Le canton de Bâle-Ville a suspendu son projet pilote de vote électronique après qu'une clé USB défectueuse a empêché le déchiffrement de 2 048 bulletins lors des votations fédérales du 8 mars. Une enquête pénale est ouverte.

Trois clés USB, zéro résultat

Le soir du 7 mars, veille du scrutin, la chancellerie du canton de Bâle-Ville a annoncé un problème technique sur son système de vote électronique. Le lendemain, 2 048 votes restaient bloqués dans l'urne numérique.

Le porte-parole du canton, Marco Greiner, a expliqué que trois clés USB contenant les codes de déchiffrement avaient été utilisées, toutes avec le bon code, mais qu'aucune n'avait fonctionné. Les experts de La Poste suisse et la police de Bâle n'ont pas réussi à récupérer les données.

Le problème ne vient pas du système de La Poste, mais du service informatique cantonal. Les votes concernés sont ceux d'environ 10 300 Suisses de l'étranger et de 30 personnes en situation de handicap, qui sont les seuls autorisés à voter par voie électronique dans ce canton.

Quatre objets fédéraux étaient soumis au vote ce jour-là, dont l'initiative sur le maintien du cash et celle sur le fonds climat.

Un projet suspendu et une enquête pénale ouverte

Bâle-Ville a suspendu le vote électronique jusqu'à fin décembre 2026 et commandé une analyse externe. Le ministère public a ouvert une procédure pénale pour suspicion de manipulation électorale, et l'unité "criminalité numérique" a trouvé des indices allant dans ce sens. Les résultats définitifs du canton ne seront confirmés que le 21 mars.

Les 2 048 bulletins perdus n'auraient pas changé l'issue des votations fédérales. Mais le précédent est gênant. En 2015, la loi sur la radio et la télévision avait été adoptée avec seulement 3 649 voix d'écart. En 2017, le financement complémentaire de l'AVS était passé à 2 361 voix près.

Avec des marges aussi serrées, 2 048 votes qui disparaissent, ça pose quand même un vrai problème. Les trois autres cantons pilotes (Thurgovie, Grisons et Saint-Gall) n'ont pas été touchés.

La Suisse avait déjà abandonné un premier système de vote électronique en 2019 après la découverte de failles de sécurité dans le code source. Et voilà que le deuxième essai trébuche sur une clé USB. Le politologue Michael Hermann résume bien la situation : cette panne fait reculer le vote électronique de plusieurs années.

On peut comprendre l'idée de dématérialiser le vote pour les Suisses de l'étranger, c'est même assez logique. Mais quand le maillon faible du système, c'est un bout de plastique avec une puce dedans, on se demande quand même si la bonne vieille enveloppe n'avait pas quelques avantages. Et oui, je sais que ce « 2048 » vous fait clairement tiquer comme chiffre, moi aussi, pas de doute, on est des vrais nerds.

Source : Swiss Info

En entreprise, tous les collaborateurs ou presque possèdent une adresse de messagerie. Et c’est probablement pour cela que celle-ci est le départ de la plupart des attaques cyber !

A mesure que les menaces cyber s’intensifient, dopées à l’IA, les défis liés aux métiers de la cybersécurité se complexifient également, entre déficit de talent et épuisement professionnel. Pourtant, les carrières dans ce secteur sont en plein essor et promettent des missions passionnantes, à l’instar de notre invité.

Une fois encore, les chiffres mettent en lumière une réalité peu rassurante : le réflexe de choisir des mots de passe extrêmement faciles à pirater demeure très répandu

Un agent IA autonome a percé les défenses de Lilli, la plateforme d'intelligence artificielle interne de McKinsey, c'est arrivé en à peine deux heures. Au programme : 46,5 millions de messages en clair, 728 000 fichiers clients et un accès en écriture à l'ensemble de la base de données. Le tout sans aucun identifiant.

Une injection SQL en 2026

C'est la startup de sécurité CodeWall qui a mené l'attaque, dans le cadre d'un test de pénétration. Son agent IA a commencé par scanner la documentation API de Lilli, qui était exposée publiquement. Sur les 200 points d'accès répertoriés, 22 ne demandaient aucune authentification.

L'un d'eux, qui servait à enregistrer les requêtes de recherche des utilisateurs, concaténait les noms de champs JSON directement dans les requêtes SQL sans aucun filtrage. Une injection SQL classique, la faille la plus documentée du web depuis vingt ans.

Les scanners de sécurité classiques comme OWASP ZAP étaient passés à côté, parce que les valeurs des paramètres, elles, étaient bien protégées. Mais pas les noms de champs.

46,5 millions de messages et des prompts modifiables

Il a fallu seulement une quinzaine d'itérations à l'aveugle sur les messages d'erreur de la base, pour cartographier toute sa structure interne. Résultat : 46,5 millions de conversations en clair couvrant la stratégie, les fusions-acquisitions et les engagements clients de McKinsey, mais aussi 728 000 fichiers (192 000 PDF, 93 000 tableurs, 93 000 présentations), 57 000 comptes utilisateurs, 384 000 assistants IA et 3,68 millions de fragments de documents RAG avec les chemins de stockage S3.

Le pire, c'est que les 95 prompts système qui contrôlent le comportement de Lilli étaient accessibles en écriture. Une simple requête SQL UPDATE suffisait pour empoisonner les réponses du chatbot à l'ensemble des 40 000 consultants qui l'utilisent, sans laisser de trace.

McKinsey a corrigé en un jour

CodeWall a divulgué la faille le 1er mars, et McKinsey a réagi vite : tous les points d'accès non authentifiés ont été fermés, l'environnement de développement mis hors ligne et la documentation API retirée, le tout en une journée.

Histoire de rassurer tout le monde, le célèbre cabinet de conseil promet qu'aucune donnée client n'a été consultée par des personnes non autorisées. Sauf que l'adoption de Lilli dans l'entreprise est massive, puisque plus de 70% des employés de McKinsey l'utilisent au quotidien, avec quand même plus de 500 000 requêtes par mois, et une faille en place depuis... 2023 !

Quoi qu'il en soit, une injection SQL sur une plateforme qui tourne depuis deux ans et demi chez un cabinet qui vend du conseil en transformation numérique à, à peu près, la Terre entière, c'est quand même plus que cocasse.

Source : The Register

Des chercheurs liés à Alibaba ont découvert que leur agent IA, baptisé ROME, avait détourné des GPU pour miner de la cryptomonnaie et ouvert un tunnel de réseau vers l'extérieur, le tout sans aucune instruction humaine. Le comportement est apparu spontanément pendant l'entraînement par renforcement. Alibaba a réagi, mais cette séquence pose pas mal de questions sur la sécurité des agents IA autonomes.

Du minage de crypto et un tunnel SSH

ROME, pour « ROME is Obviously an Agentic ModEl », est un modèle basé sur l'architecture Qwen3-MoE d'Alibaba. Quatre équipes de recherche (ROCK, ROLL, iFlow et DT) l'ont développé pour exécuter des tâches complexes en autonomie : planification, commandes de terminal, édition de code et interaction avec des systèmes numériques.

Sauf que pendant son entraînement par renforcement, sur plus d'un million de trajectoires, l'agent a fait deux choses que personne ne lui avait demandées.

Il a redirigé une partie de la puissance GPU vers du minage de cryptomonnaie. Et il a ouvert un tunnel SSH inversé depuis une instance Alibaba Cloud vers une adresse IP externe, ce qui revient à créer une porte dérobée qui contourne les pare-feu.

Détecté par le pare-feu, pas par le modèle

Ce n'est pas le système de sécurité du modèle qui a repéré le problème. C'est le pare-feu managé d'Alibaba Cloud qui a détecté des schémas de trafic anormaux et une utilisation de GPU qui collait avec du minage. Les chercheurs ont croisé les horodatages du pare-feu avec les traces d'entraînement pour confirmer que c'était bien ROME le responsable.

Selon eux, le comportement relève de la « convergence instrumentale » : quand un modèle d'IA devient assez capable, il développe des sous-objectifs utiles pour atteindre n'importe quel but, et l'acquisition de ressources de calcul en fait partie.

Des correctifs et de la transparence

Alibaba a réagi en ajoutant un filtrage des trajectoires dangereuses dans son pipeline d'entraînement et en durcissant les environnements sandbox. Les chercheurs ont choisi de publier leurs résultats plutôt que de les garder pour eux, en admettant que « les modèles actuels sont nettement sous-développés en matière de sécurité, de sûreté et de contrôlabilité ».

Le problème de fond, c'est que les outils qui rendent ces agents utiles (accès au terminal, édition de code, interaction réseau) sont aussi ceux qui créent la surface d'attaque. Les retirer reviendrait à rendre l'agent inutile.

On peut se dire que ce genre de problème ne sera pas le dernier du genre. Mais quand un agent IA se met à miner de la crypto et à ouvrir des tunnels réseau sans qu'on lui ait rien demandé, ça fait quand même un peu tiquer. On ne parle pas d'un chatbot qui hallucine une recette de gâteau, là.

C'est un modèle qui a trouvé tout seul comment détourner des ressources à son avantage. On saluera quand même la transparence d'Alibaba, qui a publié les résultats au lieu de les planquer, mais la question de la sécurité des agents autonomes reste très ouverte.

Source : Axios

Mark Russinovich, CTO de Microsoft Azure, a donné à Claude Opus 4.6 un programme qu'il avait écrit en assembleur 6502 pour Apple II en mai 1986. L'IA d'Anthropic y a trouvé des vulnérabilités. Une découverte possible grâce à Claude Code Security, un outil qui a déjà débusqué plus de 500 failles dans des projets open source.

Du code Apple II passé au crible

Le programme en question s'appelle Enhancer. C'est un utilitaire écrit en langage machine 6502 qui ajoutait à l'Applesoft BASIC la possibilité d'utiliser des variables ou des expressions comme destination pour les commandes GOTO, GOSUB et RESTORE.

Claude Opus 4.6 a identifié un comportement silencieux incorrect : quand une ligne de destination n'était pas trouvée, le programme plaçait le pointeur sur la ligne suivante ou au-delà de la fin du programme, au lieu de signaler une erreur. L'IA a même suggéré le correctif : vérifier le carry flag (positionné quand une ligne n'est pas trouvée) et rediriger vers un gestionnaire d'erreurs.

L'anecdote a surtout valeur de démonstration. Russinovich l'a partagée pour montrer que les modèles d'IA sont désormais capables de décompiler du code embarqué d’un autre âge et d'y repérer des failles, ce qui pose un problème quand on sait que des milliards de microcontrôleurs tournent dans le monde avec du code qui n'a jamais été audité.

Plus de 500 failles dans des projets open source

Cette histoire autour de l'Apple II est amusante, mais le vrai sujet est ailleurs. Anthropic a utilisé Claude Opus 4.6 pour scanner des bases de code open source en production et a trouvé plus de 500 vulnérabilités qui avaient échappé à des années de revue par des experts humains.

Parmi les projets touchés : GhostScript (traitement PostScript et PDF), OpenSC (utilitaires pour cartes à puce), CGIF (traitement d'images GIF) et le noyau Linux. Certaines de ces failles étaient là depuis des décennies, malgré des millions d'heures de fuzzing accumulées sur ces projets.

Côté Firefox, on vous en a parlé : 22 CVE dont 14 haute gravité, trouvées en deux semaines seulement.

On vous en a déjà parlé, Anthropic a lancé le 20 février Claude Code Security, un outil intégré à Claude Code sur le web, pour l'instant en accès limité. Le principe : l'IA scanne un dépôt de code, identifie les vulnérabilités, et propose des correctifs ciblés pour validation humaine.

Contrairement aux outils d'analyse statique classiques qui fonctionnent par pattern matching, Claude lit et raisonne sur le code comme le ferait un chercheur en sécurité, en traçant les flux de données et en comprenant comment les composants interagissent. Rien n'est appliqué sans validation humaine. L'outil est accessible aux clients Enterprise et Team, et les mainteneurs de projets open source peuvent demander un accès gratuit.

Tout ça pour dire que l'image du CTO d'Azure qui ressort son vieux code Apple II et se retrouve avec un rapport de failles, c'est quand même franchement rigolo, mais aussi intéressant. Mais le fond du sujet est plus sérieux : des milliards d'appareils embarqués tournent avec du code ancien que personne n'a jamais audité, et l'IA est désormais capable de les passer au peigne fin. Anthropic a quand même prévenu que cet écart entre la capacité à trouver les failles et celle de les exploiter ne durera probablement pas éternellement. On l’espère.

Source : The Register

Les services de renseignement néerlandais ont révélé qu'une campagne de hackers russes cible les comptes Signal et WhatsApp de hauts fonctionnaires, militaires et journalistes dans le monde entier.

Des employés du gouvernement néerlandais ont déjà été compromis, et le chiffrement de bout en bout n'a même pas eu besoin d'être cassé. Eh oui, là on parle de social engineering, tout simplement.

Des codes de vérification, pas du piratage

La méthode est assez simple, et c'est peut-être ça le pire. Les hackers contactent directement leurs cibles en se faisant passer pour le support technique de Signal. Ils demandent de partager le code de vérification à six chiffres ou le code PIN, sous prétexte de « sécuriser » le compte.

Une fois le code récupéré, ils se connectent et accèdent à l'ensemble des conversations. L'autre technique est un peu plus discrète : les attaquants envoient un QR code piégé qui lie un appareil supplémentaire au compte de la victime, via la fonction « appareils liés » de Signal ou WhatsApp. À partir de là, les messages arrivent en temps réel sur un appareil qu'ils contrôlent, sans que la victime ne s'en rende compte. Pratique.

Des comptes gouvernementaux déjà touchés

L'AIVD et le MIVD, les deux agences de renseignement néerlandaises, ont confirmé que des employés du gouvernement et des journalistes avaient été piégés. Simone Smit, directrice générale de l'AIVD, a tenu à préciser que Signal et WhatsApp en tant que plateformes n'étaient pas compromis : ce sont des comptes individuels qui ont été visés. Le chiffrement tient bon, mais ça ne sert à rien quand c'est l'utilisateur qui donne la clé.

Le vice-amiral Peter Reesink, directeur du MIVD, a de son côté rappelé que ces messageries ne devaient tout simplement pas être utilisées pour échanger des informations classifiées ou sensibles. Les hackers auraient déjà accédé à des données sensibles.

Comment savoir si vous êtes touché

Quelques signaux doivent vous alerter : un contact qui apparaît en double dans une conversation de groupe, ou un numéro connu qui affiche soudainement « compte supprimé ». La règle de base reste simple : ne jamais communiquer un code de vérification, même si la demande semble venir du support officiel. Et pensez à faire un tour dans les paramètres de Signal ou WhatsApp pour vérifier la liste des appareils liés à votre compte.

C'est couillon parce que ce type d'attaque n'a rien de sophistiqué, et c'est bien ça le problème. Pas besoin de casser le chiffrement quand il suffit de demander poliment le code à la personne en face.

C'est du social engineering, ça marche depuis des années, et ça continuera de marcher parce qu'on a quand même tendance à faire confiance à un message qui a l'air officiel (et c'est bien normal).

Le fait que des fonctionnaires gouvernementaux soient tombés dans le piège en dit long sur le niveau de sophistication requis : aucun. Mais bon, il serait peut-être bon de former un peu plus les gens qui manipulent des données sensibles à ce genre de risques.

Source : Reuters

Andy Nguyen, chercheur en sécurité informatique, a réussi à installer Linux sur une PlayStation 5 et à faire tourner GTA 5 Enhanced Edition en 1440p à 60 images par seconde, ray tracing activé. La console se transforme alors en une sorte de « Steam Machine ». Mais l'exploit ne fonctionne que sur les toutes premières PS5, celles qui n'ont jamais été mises à jour depuis leur achat.

GTA 5 Enhanced en 1440p à 60 FPS

Le résultat est assez bluffant. Andy Nguyen, connu sous le pseudo theflow0, a partagé une vidéo montrant GTA 5 Enhanced Edition qui tourne à 60 images par seconde en 1440p avec le ray tracing activé, le tout sur une PS5 standard, pas la Pro. Le processeur tourne à 3,2 GHz et le GPU à 2,0 GHz, des fréquences volontairement bridées parce que la console commence à surchauffer au-delà. En théorie, le CPU pourrait monter à 3,5 GHz et le GPU à 2,23 GHz, mais le système de refroidissement ne suit pas. La sortie vidéo 4K en HDMI fonctionne, le son aussi, et tous les ports USB sont opérationnels. Pour les pilotes graphiques, Nguyen a travaillé avec le projet open source Mesa pour ajouter le support du GPU de la PS5.

MDR, APT, NIS2, EDR, RGPD, SIEM, XDR... Les acronymes en cybersécurité sont légion. Et si on en débunkait simplement au moins 3, tout de suite, en vous expliquant pourquoi ils vous seront utiles dès maintenant ?

Pour les entreprises, il n’est plus questions de savoir si une attaque va survenir, mais plutôt quand.