Forum du club des développeurs et IT Pro - Sécurité https://www.developpez.net/forums/ fr Sun, 19 Apr 2026 00:49:13 GMT vBulletin 15 https://forum.developpez.be/images/misc/rss.png Forum du club des développeurs et IT Pro - Sécurité https://www.developpez.net/forums/ Google, Microsoft et Meta continuent de suivre leurs utilisateurs même après leur désinscription https://www.developpez.net/forums/showthread.php?t=2183254&goto=newpost Thu, 16 Apr 2026 10:48:09 GMT *Un audit révèle que Google,... Un audit révèle que Google, Microsoft et Meta continuent de suivre leurs utilisateurs même après leur désinscription
Google ignore les demandes de confidentialité dans 87 % des cas, contre 69 % pour Meta

Une enquête menée par la société webXray révèle que Google, Microsoft et Meta ignorent fréquemment les demandes de confidentialité des internautes californiens. Malgré l'utilisation de signaux de refus comme le Global Privacy Control, ces géants du numérique continuent d'installer des cookies publicitaires sans le consentement requis par la loi. L'étude souligne que les plateformes de gestion du consentement, censées protéger les utilisateurs, échouent massivement à bloquer ce suivi intrusif. Cette étude suggère que les amendes actuelles sont perçues par ces firmes comme de simples coûts opérationnels plutôt que comme de véritables mesures dissuasives.

Un moteur de recherche axé sur la confidentialité, appelé webXray, a mené un audit du trafic Web de Microsoft, Meta et Google. Selon le rapport de l'étude, webXray a vérifié spécifiquement la présence de cookies publicitaires déposés sur des appareils ayant déjà désactivé le suivi par cookies. Le rapport révèle une nouvelle choquante, mais sans surprise pour les professionnels de la cybersécurité et ceux qui ont suivi l’actualité ces dernières années.

Cet audit de confidentialité a analysé le trafic Web sur plus de 7 000 sites populaires en Californie au cours du mois de mars et a constaté que la plupart des entreprises technologiques ignorent les demandes des utilisateurs souhaitant refuser le suivi par cookies. Les données du rapport indiquent que 55 % des sites Web contrôlés installaient des cookies publicitaires dans le navigateur des utilisateurs, même lorsque ces derniers avaient refusé le suivi.

Chaque entreprise a contesté cette étude, Google affirmant qu'elle reposait sur une « incompréhension fondamentale » du fonctionnement de son produit. Ce constat pose la question suivante : à quoi servent les lois californiennes sur la protection de la vie privée si les géants de la tech les ignorent ?

Un constat d'échec massif pour la protection de la vie privée

La Californie dispose d'une législation stricte et bien définie en matière de protection de la vie privée grâce à sa loi sur la protection de la vie privée des consommateurs californiens (CCPA). Elle permet notamment aux utilisateurs de refuser la vente de leurs données personnelles. Il existe un système appelé « Global Privacy Control » (GPC), qui comprend une extension de navigateur indiquant à un site Web lorsqu'un utilisateur souhaite refuser le suivi.

Nom : Capture d'écran 2026-04-16 114335.png Affichages : 4812 Taille : 151,9 Ko

La situation décrite par webXray place potentiellement ces entreprises en infraction directe avec la loi californienne CCPA. L'audit de sécurité s'est particulièrement penché sur le mécanisme GCP. Les résultats se révèlent nettement défavorables à Google, qui ne respecte pas ce signal dans 87 % des cas analysés. Lorsqu'un navigateur utilisant GPC se connecte aux serveurs de Google, il encode le signal de désinscription en envoyant le code « sec-gpc: 1 ».

« Cela signifie que Google ne devrait pas renvoyer de cookies. Cependant, lorsque le serveur de Google répond à une requête réseau avec le signal de désactivation, il répond explicitement par une commande visant à créer un cookie publicitaire nommé IDE à l’aide de la commande « set-cookie ». Cette non-conformité est facile à repérer, car elle se cache à la vue de tous », indique le rapport de l'audit. Meta, connu pour son suivi, n'est pas loin derrière.

Le taux d’échec de Meta était de 69 % et un peu plus généralisé. « Meta demande aux éditeurs d’installer le code de suivi suivant sur leurs sites Web. Ce code ne contient aucune vérification des signaux de désactivation standardisés sur le plan mondial : il se charge sans condition, déclenche un événement de suivi et installe un cookie indépendamment des préférences de confidentialité du consommateur », explique le rapport de l'audit.

Il a présenté une copie des données de suivi de Meta qui ne contiennent aucune vérification GPC. Pour finir, le rapport indique que Microsoft ne respectait pas les demandes de désactivation de la même manière et affichait un taux d'échec d'environ 50 % dans le trafic Web analysé par webXray.

Une inefficacité des plateformes de gestion du consentement

L’audit s’est concentré sur Microsoft, Google et Meta, mais il est probable que d'autres géants de la technologie aient recours à des pratiques similaires. Il met en lumière une faille majeure dans le fonctionnement des bannières de cookies, gérées par des plateformes de gestion du consentement (CMP). Bien que Google gère un programme de certification pour ces plateformes, l'audit de webXray démontre qu'aucune d'entre elles ne fonctionne à 100 %.

Nom : Capture d'écran 2026-04-16 114440.png Affichages : 252 Taille : 89,6 Ko

Les tests effectués sur trois entreprises de CMP certifiées ont révélé des taux d'échec variant entre 77 % et 91 %, laissant Google placer ses cookies malgré la présence de signaux d'opposition. Timothy Libert, fondateur de webXray et ancien employé de Google, dénonce un conflit d'intérêts où le garant du système est également celui qui bénéficie de ses défaillances. Il s'est confié sur les pratiques qu'il a pu connaître lors de son passage chez Google.

Il estimait que son travail chez Google consistait à protéger les utilisateurs, mais que ses supérieurs n'étaient pas d'accord. « Peu avant mon départ, mon patron m’a dit, je cite textuellement, que mon travail consistait à protéger l’entreprise. Une autre fois, j’ai eu une discussion ontologique très sérieuse avec un ingénieur assez haut placé sur la différence entre les impôts et les amendes, et il ne comprenait pas qu’il y en avait une », a-t-il déclaré.

Nom : Capture d'écran 2026-04-16 114528.png Affichages : 251 Taille : 84,6 Ko

Timothy Libert a quitté l'entreprise en 2023 et a lancé webXray. L'entreprise exploite un moteur de recherche permettant aux utilisateurs de repérer les violations de la vie privée sur Internet. Son fondateur, Timothy Libert, est l'ancien responsable de la politique en matière de cookies et de la conformité chez Google.

Réactions des entreprises et limites des sanctions financières

Face à ces accusations, les géants de la technologie audités par webXray contestent les résultats publiés. Google évoque une incompréhension fondamentale du fonctionnement de ses produits, tandis que Meta qualifie l'étude de manœuvre marketing et souligne l'existence de ses propres outils de contrôle des données. Microsoft affirme de son côté que certains cookies sont maintenus uniquement « pour des raisons opérationnelles nécessaires ».

Citation:
Envoyé par Meta

Il s'agit d'une manœuvre marketing qui déforme le fonctionnement du GPC et le rôle de Meta. Le GPC ne fait que restreindre certaines utilisations des données de tiers et permet aux exploitants de sites Web de passer outre les signaux GPC. Nous proposons la fonctionnalité "Limited Data Use" (LDU) pour aider les sites Web à indiquer les autorisations dont ils disposent. Lorsque des données nous sont transmises avec l'indicateur LDU, nous en limitons l'utilisation, comme spécifié dans nos conditions spécifiques à chaque État.
Mais Timothy Libert souligne que les amendes déjà payées par ces entreprises ne sont plus dissuasives. Selon lui, les amendes ont fini par remplacer les impôts dans le modèle économique de ces sociétés, qui préfèrent payer pour continuer leurs pratiques plutôt que de se conformer réellement aux régulations.

Une solution technique simple face à l'inaction des régulateurs

L'audit ne se contente pas de dénoncer les abus de ces géants, mais propose aussi une solution technique concrète et facile à mettre en œuvre. Il suffirait aux serveurs publicitaires d'ajouter une ligne de code permettant de renvoyer un code d'erreur spécifique, le statut 451, signifiant que le contenu est indisponible pour des raisons juridiques lorsque le signal de refus est détecté. Cette mesure empêcherait instantanément l'installation de tout cookie.

Nom : Capture d'écran 2026-04-16 114713.png Affichages : 250 Taille : 81,8 Ko

Timothy Libert a fait une analogie intéressante à ce sujet. Il compare notamment l'importance de ce point de contrôle au détroit d'Ormuz pour l'économie des données, affirmant que toute mesure moins radicale ne relève que de la posture politique théâtrale. « C’est le détroit d’Ormuz de l’économie des données. Si vous voulez changer les choses, c’est là qu’il faut agir. Tout le reste n’est qu’une posture politique théâtrale », a déclaré Timothy Libert.

Selon Timothy Libert et son équipe, sur plus de la moitié des sites que vous visitez, la seule raison d'être de cette fenêtre contextuelle en bas de page qui vous interroge sur vos préférences en matière de cookies est de vous agacer ; en réalité, elle n'a absolument aucun effet sur le fait que vous soyez suivi ou non. Microsoft, Google et Meta, ainsi que possiblement d’autres entreprises technologiques, déposent discrètement des cookies en ignorant vos choix.

« Nos conclusions révèlent que les grandes entreprises technologiques ignorent tout simplement les signaux de désactivation définis à l'échelle mondiale, ce qui fait planer la menace d'une non-conformité à grande échelle aux exigences californiennes », indique webXray dans son rapport d'audit.

Sources : rapport de l'audit, California Consumer Privacy Act, webXray

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous des conclusions de l'audit réalisé par webXray ? Sont-elles pertinentes ?
:fleche: Le fondateur de webXray affirme que les Big Tech ne craignent plus les amendes. Qu'en pensez-vous ?
:fleche: Microsoft, Google et Meta rejettent les conclusions de cet audit. Qu'en pensez-vous ?

Voir aussi

:fleche: Chaque utilisateur de Facebook est surveillé par des milliers d'entreprises, selon les résultats d'une enquête. Qui envoie des informations sur votre activité en ligne à Meta ?

:fleche: Meta scanne l'intégralité de la galerie photos de votre téléphone sans que vous vous en rendiez compte et sans votre consentement explicite : voici comment désactiver cette fonctionnalité

:fleche: Google utilise Gmail pour suivre l'historique de tous vos achats en ligne, et il est difficile de le supprimer
Images attachées
    
]]> Sécurité Mathis Lucas https://www.developpez.net/forums/d2183254/systemes/securite/google-microsoft-meta-continuent-suivre-leurs-utilisateurs-meme-apres-desinscription/ Pavel Durov qualifie la promesse de chiffrement de WhatsApp de « gigantesque escroquerie » https://www.developpez.net/forums/showthread.php?t=2183226&goto=newpost Wed, 15 Apr 2026 04:40:36 GMT *Le PDG de Telegram, Pavel... Le PDG de Telegram, Pavel Durov, qualifie la promesse de chiffrement de WhatsApp de « gigantesque escroquerie envers les consommateurs », car 95 % des messages sont transmis en clair

Le PDG de Telegram, Pavel Durov, a lancé une nouvelle salve contre WhatsApp, qualifiant sa promesse de chiffrement de bout en bout de « gigantesque escroquerie à l'égard des consommateurs ». Son argument : environ 95 % des messages WhatsApp se retrouvent sous forme de sauvegardes en texte clair sur les serveurs d'Apple ou de Google, car le chiffrement des sauvegardes est facultatif et presque personne ne l'active. En janvier 2026, un recours collectif intenté à San Francisco a allégué que les employés de Meta pouvaient consulter les messages WhatsApp en temps réel via un système de requêtes interne.

Telegram (également connu sous le nom de Telegram Messenger) est un service multiplateforme de réseaux sociaux et de messagerie instantanée (MI) basé sur le cloud. Il a été lancé sur iOS le 14 août 2013 et sur Android le 20 octobre 2013. Il permet aux utilisateurs d'échanger des messages, de partager des fichiers multimédias et des fichiers, et de passer des appels vocaux ou vidéo privés ou en groupe, ainsi que de diffuser des vidéos en direct publiques. Il est disponible sur Android, iOS, Windows, macOS, Linux et les navigateurs web. Telegram propose un chiffrement de bout en bout pour les appels vocaux et vidéo, et, en option, pour les discussions privées si les deux participants utilisent un appareil mobile.

Telegram a été fondé en 2013 par Pavel et Nikolai Durov. Pavel Durov est surtout connu pour être le directeur général (PDG) de Telegram. Durov a figuré sur la liste des milliardaires de Forbes en 2023, avec une fortune estimée à 13 milliards de dollars. Durov défend publiquement la liberté sur Internet et critique les institutions qui tentent de la restreindre. En août 2024, Durov a été arrêté par la police française pour des accusations criminelles liées à un prétendu manque de modération des contenus sur Telegram et à un refus de coopérer avec la police, ce qui aurait permis la propagation d'activités criminelles.

Récemment, le PDG de Telegram, Pavel Durov, a lancé une nouvelle salve contre WhatsApp, qualifiant sa promesse de chiffrement de bout en bout de « gigantesque escroquerie à l'égard des consommateurs ». Son argument : environ 95 % des messages WhatsApp se retrouvent sous forme de sauvegardes en texte clair sur les serveurs d'Apple ou de Google, car le chiffrement des sauvegardes est facultatif et presque personne ne l'active. Durov a poussé plus loin son raisonnement. Même si vous chiffrez vos propres sauvegardes, vos messages finissent quand même par fuiter via les personnes avec lesquelles vous discutez. Si 90 % de vos contacts n’ont pas activé le chiffrement des sauvegardes, vos conversations se retrouvent de toute façon non protégées sur le serveur cloud de quelqu’un d’autre.

Nom : 1.jpg Affichages : 3580 Taille : 95,8 Ko

Le chiffrement en transit de WhatsApp, basé sur le protocole Signal, est en place depuis 2016 et est techniquement robuste. L'entreprise a toujours affirmé qu'elle ne pouvait pas lire vos messages lorsqu'ils transitent entre les appareils. Cette affirmation est globalement vraie. Le problème ne réside pas dans le chiffrement lui-même, mais dans la destination finale des messages une fois arrivés.

Lorsque WhatsApp effectue une sauvegarde sur iCloud ou Google Drive, le chiffrement prend fin. Ces sauvegardes relèvent des pratiques de gestion des données propres à Apple et Google, ce qui signifie qu'ils peuvent répondre à des demandes judiciaires — et qu'ils le font. Durov affirme qu'Apple et Google transmettent des messages WhatsApp sauvegardés à des tiers des milliers de fois chaque année.

Les critiques de Durov interviennent dans un contexte déjà tendu. En janvier 2026, un recours collectif intenté à San Francisco a allégué que les employés de Meta pouvaient consulter les messages WhatsApp en temps réel via un système de requêtes interne, sans qu'aucune étape de déchiffrement ne soit nécessaire. Meta a qualifié ces allégations de « fausses et absurdes », et aucune preuve technique n'a été produite pour les étayer. L'affaire est en cours. WhatsApp propose effectivement des sauvegardes chiffrées de bout en bout en option, une fonctionnalité introduite en 2021.

Les utilisateurs peuvent verrouiller leur sauvegarde à l’aide d’un mot de passe ou d’une clé de chiffrement, mais cette fonctionnalité reste peu connue. Durov n’a donc pas tout à fait tort, mais son argumentation est partielle. Le chiffrement de WhatsApp fonctionne pendant le transit. La faille se situe au niveau de la sauvegarde, et la combler ne prend qu’environ 30 secondes dans les paramètres — une étape que la plupart des utilisateurs ne franchissent tout simplement jamais.


En janvier 2026, un groupe international de plaignants aurait intenté un recours collectif contre WhatsApp, propriété de Meta, accusant l'entreprise d'avoir escroqué des milliards d'utilisateurs en conservant prétendument un accès « détourné » aux communications privées que l'entreprise prétend être « chiffrées de bout en bout » (E2EE). La plainte affirme que les déclarations de Meta en matière de confidentialité sont fausses, car l'entreprise WhatsApp « stocke, analyse et peut accéder à pratiquement toutes les communications prétendument « privées » des utilisateurs de WhatsApp ». Les plaignants représentaient des utilisateurs d'Inde, du Brésil, d'Australie, du Mexique et d'Afrique du Sud. La plainte allègue également que la société conserve la possibilité de déchiffrer et d'examiner le contenu des messages à des fins d'analyse des données et de contrôle interne.

Meta a répondu aux allégations et affirme que le procès fondé sur les affirmations de WhatsApp est « futile » et « absurde ». Le porte-parole de la société, Andy Stone, a confirmé que Meta demanderait des sanctions juridiques à l'encontre de l'avocat des plaignants pour avoir intenté ce procès. « Toute affirmation selon laquelle les messages WhatsApp des utilisateurs ne sont pas chiffrés est catégoriquement fausse. WhatsApp utilise depuis dix ans le protocole Signal pour le chiffrement de bout en bout. Ce procès est une fiction frivole », a déclaré Stone dans un communiqué.

Source : Pavel Durov

Et vous ?

:fleche: Pensez-vous que cette déclaration est crédible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Telegram transmet aux autorités américaines des données sur des milliers d'utilisateurs. Telegram a répondu à 900 demandes et partagé les données de 2 253 utilisateurs

:fleche: Facebook affirme qu'il ne lit pas les messages WhatsApp, mais une enquête révèle qu'il le fait en réalité. Des millions de messages sont examinés à la fois par des modérateurs humains et par l'IA

:fleche: La popularité de Signal, le service de messagerie chiffrée et open source pour les messages instantanés, les appels vocaux et les appels vidéo, monte en flèche : Signal est désormais numéro un en Finlande
Images attachées
 
]]> Sécurité Alex https://www.developpez.net/forums/d2183226/systemes/securite/pavel-durov-qualifie-promesse-chiffrement-whatsapp-gigantesque-escroquerie/ <![CDATA[La plateforme X d'Elon Musk s'apprête à lancer l'application de messagerie XChat]]> https://www.developpez.net/forums/showthread.php?t=2183204&goto=newpost Tue, 14 Apr 2026 10:41:52 GMT *La plateforme de réseau... La plateforme de réseau social X d'Elon Musk s'apprête à lancer l'application de messagerie XChat le 17 avril, avec un chiffrement de bout en bout et des garanties de confidentialité

X Corp., la société à l'origine de X (anciennement Twitter), Grok et Grokipedia, a annoncé la sortie prochaine de XChat, une nouvelle application de messagerie dont le lancement est prévu le 17 avril 2026. La société décrit XChat comme un « espace privé pour des conversations ciblées », promettant aux utilisateurs une expérience sans publicité ni suivi. Afin de séduire les utilisateurs soucieux de la confidentialité et de concurrencer des plateformes telles que WhatsApp et Signal, XChat prendra en charge les conversations chiffrées de bout en bout.

Elon Musk est un homme d'affaires et entrepreneur connu pour diriger Tesla, SpaceX, X et xAI. Musk est la personne la plus riche du monde depuis 2025 ; en avril 2026, Forbes estimait sa fortune à 809 milliards de dollars américains. En 2002, Musk a fondé la société de technologie spatiale SpaceX, dont il est devenu le PDG et l'ingénieur en chef. Musk a rejoint le constructeur automobile Tesla en tant qu'investisseur de la première heure en 2004.

En 2022, il a racheté le réseau social Twitter, y a mis en œuvre des changements significatifs et l'a rebaptisé X en 2023. Parmi ses autres entreprises figurent la société de neurotechnologie Neuralink, qu'il a cofondée en 2016, et la société de forage de tunnels The Boring Company, qu'il a fondée en 2017. En novembre 2025, une rémunération de 1 000 milliards de dollars a été approuvée pour Musk, qu’il percevra sur une période de 10 ans s’il atteint certains objectifs.

Récemment, X Corp., la société à l'origine de X (anciennement Twitter), Grok et Grokipedia, a annoncé la sortie prochaine de XChat, une nouvelle application de messagerie dont le lancement est prévu le 17 avril 2026. La société décrit XChat comme un « espace privé pour des conversations ciblées », promettant aux utilisateurs une expérience sans publicité ni suivi. Afin de séduire les utilisateurs soucieux de la confidentialité et de concurrencer des plateformes telles que WhatsApp et Signal, XChat prendra en charge les conversations chiffrées de bout en bout.

Nom : 1.jpg Affichages : 2819 Taille : 66,5 Ko

Outre les messages texte, XChat permettra les appels audio et vidéo, le partage de documents, les discussions de groupe, ainsi que des options pour modifier ou supprimer les messages envoyés. D'après des captures d'écran provenant de l'App Store d'Apple, les utilisateurs pourront également bloquer les captures d'écran de leurs discussions et envoyer des messages éphémères afin de renforcer encore davantage les contrôles de confidentialité.

Malgré ces fonctionnalités axées sur la confidentialité, la fiche de l’App Store d’Apple soulève des inquiétudes en indiquant que XChat pourrait collecter des informations personnelles liées à l’identité des utilisateurs, telles que la localisation, les coordonnées, l’historique de recherche, les listes de contacts et le contenu généré par les utilisateurs. Cela peut sembler contradictoire avec l’accent mis par l’application sur la confidentialité. L'accès à XChat nécessitera un compte X et, lors de son lancement, l'application ne sera disponible que sur iPhone et iPad. Contrairement à WhatsApp ou Signal, qui n'exigent pas de compte distinct, son adoption pourrait dépendre de la volonté des utilisateurs d'utiliser l'écosystème plus large de X.


Les activités récentes des entreprises d'Elon Musk ont permis à ce dernier de devenir la première personne de l'histoire à dépasser les 800 milliards de dollars de fortune. Début février 2026, Elon Musk a envisagé une restructuration profonde de SpaceX après sa fusion avec la startup xAI. Cette fusion permet de regrouper sous un même toit les fusées d'Elon Musk, les satellites Starlink, la plateforme de médias sociaux X (ex-Twitter) et le chatbot Grok AI. Ce projet donne un nouvel élan aux efforts de SpaceX pour lancer des centres de données en orbite. Selon Forbes, l'opération a valorisé l'entité combinée à 1 250 milliards de dollars, augmentant ainsi la fortune personnelle de Musk de 84 milliards de dollars pour atteindre le montant astronomique de 852 milliards de dollars.

Source : XChat sur l'App Store

Et vous ?

:fleche: Pensez-vous que cette application est crédible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Elon Musk se moque de la panne d'AWS et annonce un chiffrement de bout en bout complet pour les messages X, le positionnant face à Signal et WhatsApp sans dépendance à AWS ni publicités

:fleche: La popularité de Signal, le service de messagerie chiffrée et open source pour les messages instantanés, les appels vocaux et les appels vidéo, monte en flèche : Signal est désormais numéro un en Finlande

:fleche: Meta annonce la fin de la prise en charge de la messagerie chiffrée de bout en bout (E2EE) sur Instagram, annulant la garantie que seuls l'expéditeur et le destinataire puissent lire les messages
Images attachées
 
]]> Sécurité Jade Emy https://www.developpez.net/forums/d2183204/systemes/securite/plateforme-x-d-elon-musk-s-apprete-lancer-l-application-messagerie-xchat/ La mission Artemis II de la NASA représente un bond technologique majeur par rapport aux missions Apollo https://www.developpez.net/forums/showthread.php?t=2183154&goto=newpost Fri, 10 Apr 2026 23:48:53 GMT *Comment la NASA a conçu... Comment la NASA a conçu l'ordinateur de bord à haute résilience d'Artemis II : une « architecture à défaillance silencieuse » maintient les systèmes opérationnels quelles que soient les pannes

La documentation de la NASA illustre le bond technologique entre les missions Apollo et le programme Artemis II. Elle met en lumière la complexité croissante des systèmes informatiques spatiaux. Contrairement aux équipements rudimentaires des années 1960, la capsule Orion repose sur une architecture « fail-silent » capable de détecter et d'isoler instantanément toute erreur de calcul causée par les radiations cosmiques. La documentation détaille une stratégie de redondance massive qui s'appuie sur huit processeurs synchronisés et un réseau Ethernet déterministe pour garantir une fiabilité absolue. D'autres couches de sécurité sont également présentes.

La mission Artemis II a été lancée avec succès le 1er avril 2026 par la NASA. Il s'agit d'un vol spatial habité visant à effectuer un survol de la Lune. Près de 54 ans après Apollo 17, une nouvelle mission spatiale habitée permet à l'homme de se rapprocher une nouvelle fois de son satellite naturel. Artemis II valide les systèmes de survie du vaisseau spatial Orion pour des missions de longue durée, notamment Artemis III et les futures missions vers Mars.

Le système informatique embarqué à bord de la mission Artemis II n'a plus rien à voir avec celui de l'époque Apollo. Il est décrit comme « le système informatique le plus tolérant aux pannes jamais développé pour les vols spatiaux ». Communications of the ACM en révèle quelques détails impressionnants.

Artemis III : une évolution majeure depuis l'époque Apollo

Pour mémoire, les astronautes des missions Apollo se sont rendus sur la surface lunaire à l'aide d'un ordinateur de bord doté d'un processeur de 1 MHz et d'environ 4 kilo-octets (Ko) de mémoire effaçable, soutenu par une mémoire « rope » fixe plus importante. Bien qu'il s'agisse d'une merveille de l'ingénierie des années 1960, le champ d'action de l'Apollo Guidance Computer était ciblé et ne couvrait pas la boucle de contrôle de tous les systèmes.


Les commandes environnementales et d'alimentation critique étaient gérées par des moyens manuels ou électromécaniques. La mission Artemis II s'appuie sur l'un des systèmes informatiques les plus résistants aux pannes jamais conçus pour les vols spatiaux. L'architecture informatique de la capsule Orion gère « la quasi-totalité des fonctions critiques pour la sécurité du vaisseau », du système de survie à l'acheminement des communications.

Cette telle architecture logicielle exige une fiabilité absolue : à environ 400 000 kilomètres de la Terre, une panne est irrémédiable. Aucune intervention physique n'est possible pour réparer un composant défaillant. Par conséquent, chaque sous-système doit être conçu pour résister aux inversions de bits dues aux rayons cosmiques, aux blocages induits par les radiations et aux défaillances matérielles sans la moindre seconde d’interruption.

« Nous concevons toujours nos systèmes de manière à pallier les défaillances matérielles. Outre des câbles physiquement redondants, nous avons des plans de réseau logiquement redondants. Nous avons des ordinateurs de vol redondants. Tout cela est mis en place pour pallier une défaillance matérielle », a déclaré Nate Uitenbroek, responsable de l’intégration et de la vérification logicielles au sein du programme Orion au Centre spatial Johnson.

Une architecture révolutionnaire à "défaillance silencieuse"

Pour garantir une sécurité absolue, la NASA a mis en œuvre une architecture dite « fail-silent » reposant sur une redondance massive. Le vaisseau spatial utilise deux ordinateurs de gestion de véhicule, contenant chacun deux modules de commande de vol (FCM), pour un total de quatre modules. Chaque module est lui-même composé d'une paire de processeurs qui s'autovérifient, ce qui signifie que huit processeurs fonctionnent en parallèle.

Selon la documentation, la philosophie technique repose sur une conception « sans signalisation des défaillances ». Si une erreur de calcul est détectée suite à un impact de rayonnement, le module fautif cesse immédiatement de transmettre des données plutôt que d'envoyer une commande erronée aux propulseurs. Un algorithme de sélection prioritaire prend alors le relais en choisissant le flux de données du module sain suivant dans la liste.

« Un ordinateur défectueux tombera en panne silencieuse, plutôt que de transmettre une mauvaise réponse », selon Nate Uitenbroek. Cette approche simplifie la tâche complexe du mécanisme de « vote » triplex qui compare les résultats. Elle est adaptée aux conditions extrêmes de l'espace lointain. La NASA prévoit des défaillances temporaires lors du passage de la mission Artemis II à travers les ceintures de Van Allen, où le rayonnement est intense.

« Nous pouvons perdre trois FCM en 22 secondes et continuer à voler en toute sécurité grâce au dernier FCM », note Nate Uitenbroek. Un FCM mis en veille ne devient pas un poids mort ; le système est conçu pour se réinitialiser, resynchroniser son état avec les modules en service et rejoindre le groupe en plein vol.

Déterminisme et synchronisation « rigoureuse » du réseau

Maintenir plusieurs ordinateurs indépendants en parfaite synchronisation constitue un défi technique majeur, car la moindre dérive temporelle peut entraîner une divergence entre des systèmes pourtant sains. La solution de la NASA réside dans une architecture strictement déterministe utilisant un réseau Ethernet. Le logiciel de vol opère selon un ordonnancement précis où les entrées et sorties sont parfaitement alignées sur le calendrier du réseau.

Chaque seconde, la dérive de chaque module est mesurée et son horloge locale est recalibrée sur le temps « vrai » du réseau. Si une application ne respecte pas son délai d'exécution strict, le module est automatiquement mis sous silence, réinitialisé, puis synchronisé à nouveau avec les autres modules en plein vol.

Cette discipline architecturale se fait de plus en plus rare dans le développement moderne. Michael Riley, chef d’équipe à l’Institut d’ingénierie logicielle de l’université Carnegie Mellon, si les générations précédentes travaillaient dans le cadre de contraintes matérielles strictes, le développement moderne des systèmes critiques est différent. Il a collaboré avec la NASA pour adapter des outils d’évaluation des risques à la mission Orion.

Il critique les approches Agile et DevOps. « Les approches Agile et DevOps modernes privilégient l'itération, ce qui peut remettre en cause la discipline architecturale. En conséquence, la dette technique s'accumule, et la maintenabilité ainsi que la résilience du système en pâtissent », explique Michael Riley.

Protection matérielle et redondance logicielle dissemblable

La protection du vaisseau ne se limite pas aux processeurs, mais s'étend à l'ensemble de l'infrastructure matérielle. La mémoire utilise une redondance modulaire triple qui corrige automatiquement les erreurs de bits à chaque lecture, tandis que le réseau lui-même est triplement redondant avec trois plans distincts. En complément de ce système primaire, Orion transporte un logiciel de vol de secours (BFS) totalement indépendant.

Le BFS utilise un matériel et un système d'exploitation différents du système principal afin d'éviter qu'une erreur de conception logicielle commune n'affecte les deux systèmes en même temps. Il fonctionne en permanence en arrière-plan et prend automatiquement le relais via la sélection de source en cas de défaillance des ordinateurs principaux. Si le système se retrouve sous le contrôle du BFS, il peut mener à bien toutes les phases dynamiques de la mission jusqu’à atteindre une phase de repos, moment auquel l’équipage peut tenter de rétablir les FCM principaux.

Orion utilise un réseau Ethernet synchronisé où le temps est réparti sur l’ensemble du système. Le logiciel de vol fonctionne selon des « trames principales » divisées en « trames secondaires », gérées par un planificateur conforme à la norme ARINC653. Le système utilise un partitionnement temporel et spatial pour planifier les partitions au sein de ces trames, garantissant que les entrées et les sorties sont parfaitement alignées sur le calendrier du réseau.

Protocoles de récupération et méthodes de vérification modernes

En cas de perte totale de puissance, Orion est programmé pour entrer dans un mode de sécurité une fois l'énergie rétablie. Il se stabilise de lui-même, oriente ses panneaux solaires vers le Soleil pour récupérer de l'énergie, puis tente de rétablir la communication avec la Terre. Pour garantir cette fiabilité, la NASA emploie des flux de vérification de pointe, incluant des simulations environnementales complètes et des tests de stress de type Monte-Carlo.

Selon la documentation, des superordinateurs sont utilisés pour injecter massivement des pannes matérielles catastrophiques dans les simulations afin de vérifier que le logiciel est capable de rester silencieux en cas d'erreur et de récupérer son état opérationnel sans mettre l'équipage en danger.

Conclusion

La mission Artemis II représente un bond technologique majeur par rapport aux missions Apollo. Contrairement aux systèmes anciens, les engins modernes comme Orion dépendent entièrement de l'informatique pour gérer des fonctions vitales face aux radiations cosmiques. Pour garantir une sécurité absolue, la NASA utilise désormais des simulations intensives et des tests de stress sur supercalculateurs afin de prévoir les pannes matérielles.

Cette architecture informatique à haute résilience ne se limite pas à l'exploration lunaire, car elle préfigure l'avenir de la fiabilité pour nos technologies terrestres. Ainsi, l'exigence de survie dans l'espace stimule une innovation majeure en matière de systèmes autonomes et d'infrastructures critiques.

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous de l'architecture informatique à haute résilience de la capsule Orion de la NASA ?
:fleche: Les approches modernes Agile et DevOps remettraient en cause la discipline architecturale. Qu'en pensez-vous ?

Voir aussi

:fleche: Les astronautes de la NASA sur Artemis pourraient parler à l'ordinateur d'un vaisseau spatial, « Amazon Alexa sur la lune ne peut pas devenir le HAL de 2001 », soutiennent certains ingénieurs

:fleche: Elon Musk qualifiait la lune de « distraction » malgré les remarques des scientifiques : un an plus tard, SpaceX en fait sa priorité absolue et son PDG reporte Mars d'au moins sept ans

:fleche: Agile est-il mort ? Pour un ingénieur « Le développement "agile" avec lequel nous sommes coincés aujourd'hui est une blague », il souligne ses dysfonctionnements dans les processus de développement en entreprise ]]> Sécurité Mathis Lucas https://www.developpez.net/forums/d2183154/systemes/securite/mission-artemis-ii-nasa-represente-bond-technologique-majeur-rapport-aux-missions-apollo/ <![CDATA[La Chine a subi la plus importante fuite de données de son histoire à la suite d'une cyberattaque]]> https://www.developpez.net/forums/showthread.php?t=2183136&goto=newpost Fri, 10 Apr 2026 08:37:21 GMT *La Chine a subi la plus... La Chine a subi la plus importante fuite de données de son histoire à la suite d'une cyberattaque au cours de laquelle plus de 10 pétaoctets de données sensibles ont été dérobés

Selon un reportage de CNN, un pirate informatique aurait accédé à plus de 10 pétaoctets de données sensibles provenant d'un système géré par l'État et les aurait volées, notamment ce qui serait des documents classifiés relatifs à la défense, des schémas de missiles et des fichiers de recherche. Un compte se faisant appeler FlamingChina a partagé des échantillons des données présumées sur Telegram le 6 février, affirmant qu'elles comprenaient « des recherches dans divers domaines, notamment l'ingénierie aérospatiale, la recherche militaire, la bio-informatique, la simulation de fusion et plus encore », note le reportage.

Le Centre national de supercalcul de Tianjin est un centre de supercalcul situé à l'Université nationale des sciences et technologies de la défense à Tianjin, en Chine. L'un des supercalculateurs les plus rapides au monde, le Tianhe-1A, se trouve dans ce centre. Récemment, la Chine pourrait avoir subi la plus importante fuite de données de son histoire après qu'une cyberattaque a visé l'un des supercalculateurs du pays.

Selon un reportage de CNN, un pirate informatique aurait accédé à plus de 10 pétaoctets de données sensibles provenant d'un système géré par l'État et les aurait volées, notamment ce qui serait des documents classifiés relatifs à la défense, des schémas de missiles et des fichiers de recherche. L'ensemble de données aurait été dérobé au Centre national de supercalcul (NSCC) de Tianjin, qui fournit des services d'infrastructure à plus de 6 000 clients, dont des institutions scientifiques et liées à la défense.

Un compte se faisant appeler FlamingChina a partagé des échantillons des données présumées sur Telegram le 6 février, affirmant qu'elles comprenaient « des recherches dans divers domaines, notamment l'ingénierie aérospatiale, la recherche militaire, la bio-informatique, la simulation de fusion et plus encore », note le reportage. Les experts en cybersécurité qui ont examiné certaines parties des données ont déclaré qu'elles semblaient correspondre aux documents généralement traités par de telles installations.

Certains fichiers auraient été marqués « secret » en chinois et comprenaient des documents techniques, des simulations et des rendus d’équipements de défense. « C’est exactement ce à quoi je m’attendrais de la part d’un centre de supercalcul. On utilise les centres de supercalcul pour des tâches de calcul de grande envergure. L’éventail d’échantillons que les vendeurs ont mis en ligne témoigne vraiment de la diversité des clients de ce centre de supercalcul », a déclaré à CNN Dakota Cary, consultant chez SentinelOne, une société de cybersécurité.

Toutefois, la publication a précisé qu’elle ne pouvait pas vérifier de manière indépendante l’authenticité de l’ensemble de données ni les affirmations du groupe, mais plusieurs experts ont indiqué que la fuite pourrait être authentique. Le groupe proposerait des aperçus limités pour plusieurs milliers de dollars, l’accès complet étant facturé à plusieurs centaines de milliers de dollars, payables en cryptomonnaie.


Selon Marc Hofer, un chercheur en cybersécurité qui a examiné les échantillons, l’attaquant a affirmé avoir obtenu l’accès via un domaine VPN compromis. Une fois à l’intérieur, le pirate aurait déployé un « botnet » pour extraire et distribuer les données sur plusieurs systèmes pendant plusieurs mois. Cary a déclaré que la méthode reposait davantage sur l’architecture du système que sur des techniques avancées.

« On peut se représenter cela comme un ensemble de serveurs différents auxquels on a accès, et on extrait des données en exploitant cette faille dans la sécurité du NSCC — en transférant certaines vers un serveur, d’autres vers le suivant », a-t-il expliqué. En répartissant le processus d’extraction, l’attaquant a peut-être évité d’être détecté. « D’après ce que j’en ai compris, il n’y avait rien de particulièrement incroyable dans la manière dont ils ont extrait ces informations », a ajouté Cary.

Selon les experts, l’ampleur de la violation présumée pourrait rendre ces données précieuses à des fins de renseignement. « Seuls eux ont probablement la capacité de traiter toutes ces données et d’en tirer quelque chose d’utile », a déclaré Hofer, faisant référence aux acteurs soutenus par l’État. Le site de Tianjin est l’un des nombreux centres de supercalcul en Chine, aux côtés de pôles situés dans des villes telles que Guangzhou, Shenzhen et Chengdu.

Ces centres prennent en charge des travaux de calcul à grande échelle pour des utilisateurs gouvernementaux, universitaires et industriels. Cet incident soulève également des inquiétudes quant aux pratiques en matière de cybersécurité. Des cas antérieurs ont mis en évidence des lacunes, notamment une fuite de base de données en 2021 qui a exposé les informations personnelles de près d’un milliard de citoyens chinois.

« La cybersécurité y est vraiment défaillante depuis très longtemps dans un grand nombre de secteurs et d’organisations. Si l'on en croit les déclarations des décideurs politiques chinois eux-mêmes, la cybersécurité en Chine n'a pas été bonne. Ils diront qu'elle continue de s'améliorer à l'heure actuelle », a ajouté Cary. La Chine a reconnu ces défis. Dans son Livre blanc sur la sécurité nationale 2025, le gouvernement a déclaré que la mise en place de « barrières de sécurité robustes pour les secteurs des réseaux, des données et de l'IA » restait une priorité, tout en poursuivant les efforts visant à renforcer les mécanismes de cybersécurité et à protéger les infrastructures clés.

Cet incident rappelle que l'essor du « vibe-hacking » est le prochain cauchemar de l'IA. Dans un avenir très proche, la victoire reviendra aux hackers blackhat avisés qui utilisent l'IA pour générer du code à grande échelle. En 2025, la startup d'IA Anthropic avait partagé un rapport sur les menaces informatiques qui présente plusieurs exemples récents d'utilisation abusive de Claude, notamment une opération d'extorsion à grande échelle utilisant Claude Code, un stratagème d'emploi frauduleux en provenance de Corée du Nord et la vente de ransomware généré par l'IA par un cybercriminel ne disposant que de compétences de base en codage.

Source : CNN

Et vous ?

:fleche: Pensez-vous que ce rapport est crédible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: La plus grande fuite jamais enregistrée du Grand Pare-feu de Chine : 500 Go d'informations exposent les outils de censure,Y compris des informations confidentielles essentielles au système

:fleche:

:fleche: Des pirates informatiques liés à l'Iran ont réussi à cibler et à perturber plusieurs infrastructures critiques américaines dans les secteurs du pétrole, du gaz et de l'eau, selon un avis fédéral ]]> Sécurité Alex https://www.developpez.net/forums/d2183136/systemes/securite/chine-subi-plus-importante-fuite-donnees-histoire-suite-d-cyberattaque/ BrowserGate : LinkedIn scanne secrètement 6 000 extensions de vos navigateurs à chaque connexion https://www.developpez.net/forums/showthread.php?t=2183083&goto=newpost Tue, 07 Apr 2026 17:46:41 GMT *Un rapport sur le «... Un rapport sur le « BrowserGate », le plus grand scandale d'espionnage industriel, affirme que LinkedIn analyse secrètement les navigateurs des utilisateurs à la recherche d'extensions installées

Une « association d'utilisateurs professionnels de LinkedIn » appelée Fairlinked e.V. a publié un rapport détaillant le « BrowserGate » : elle affirme que LinkedIn analyse des milliers d'extensions de navigateur et relie les résultats à des profils d'utilisateurs identifiables, et qu'en procédant à cette analyse, LinkedIn collecte des informations personnelles et professionnelles. Il semblerait que la partie concernant l'analyse soit avérée : un test indépendant a mis en évidence un script JavaScript qui vérifiait la présence de 6 236 extensions de navigateur exactement. Cependant, le réseau social affirme qu’il s’agit d’une campagne de dénigrement menée par un développeur d’extensions mécontent qui a perdu un procès en Allemagne.

LinkedIn est un réseau social américain axé sur les affaires et l'emploi, utilisé dans le monde entier. La plateforme sert principalement au réseautage professionnel et au développement de carrière, car elle permet aux demandeurs d'emploi de publier leur CV et aux employeurs de publier leurs offres d'emploi. En 2026, LinkedIn comptait plus de 1,2 milliard de membres inscrits provenant de plus de 200 pays et territoires.

LinkedIn a fait l'objet de critiques concernant ses choix de conception, tels que sa fonctionnalité de recommandation et l'utilisation des comptes de messagerie de ses membres pour envoyer des spams. En raison des pratiques de sécurité insuffisantes de LinkedIn, plusieurs incidents se sont produits sur le site web, notamment en 2012, lorsque les hachages cryptographiques d'environ 6,4 millions d'utilisateurs ont été volés et publiés en ligne ; et en 2016, lorsque 117 millions de noms d'utilisateur et de mots de passe LinkedIn (probablement issus du piratage de 2012) ont été mis en vente.

Récemment, un nouveau rapport affirme que LinkedIn utilise du JavaScript caché pour analyser les navigateurs de ses visiteurs à la recherche d’extensions installées, repère celles qui font concurrence à ses propres outils de vente, puis fait pression sur ses utilisateurs jusqu’à ce qu’ils cessent de les utiliser et choisissent plutôt les produits de LinkedIn. Cependant, le réseau social affirme qu’il s’agit d’une campagne de dénigrement menée par un développeur d’extensions mécontent qui a perdu un procès en Allemagne.

Une « association d'utilisateurs professionnels de LinkedIn » appelée Fairlinked e.V. a publié un rapport détaillant le « BrowserGate » : elle affirme que LinkedIn analyse des milliers d'extensions de navigateur et relie les résultats à des profils d'utilisateurs identifiables, et qu'en procédant à cette analyse, LinkedIn collecte des informations personnelles et professionnelles.

Le rapport indique : « LinkedIn recherche plus de 200 produits qui sont en concurrence directe avec ses propres outils de vente, notamment Apollo, Lusha et ZoomInfo. Comme LinkedIn connaît l'employeur de chaque utilisateur, il peut déterminer quelles entreprises utilisent quels produits concurrents. Il extrait les listes de clients de milliers d'éditeurs de logiciels à partir des navigateurs de ses utilisateurs à l'insu de tous Il utilise ensuite ce qu’il trouve. LinkedIn a déjà envoyé des menaces de poursuites aux utilisateurs d’outils tiers, en utilisant les données obtenues grâce à ce scan clandestin pour identifier ses cibles. »


Il semblerait que la partie concernant l'analyse soit avérée : un test indépendant a mis en évidence un script JavaScript qui vérifiait la présence de 6 236 extensions de navigateur exactement. L'article indique que bon nombre des extensions analysées sont liées à LinkedIn, mais que certaines présentent des fonctionnalités apparemment sans rapport, telles que des extensions linguistiques et grammaticales, des outils destinés aux professionnels de la fiscalité, et bien d'autres encore. « Le script collecte également un large éventail de données sur le navigateur et l'appareil, notamment le nombre de cœurs du processeur, la mémoire disponible, la résolution d'écran, le fuseau horaire, les paramètres linguistiques, l'état de la batterie, les informations audio et les caractéristiques de stockage », selon le test.

En réponse à ces accusations, LinkedIn affirme qu’il analyse effectivement les extensions, mais qu’il le fait pour empêcher les utilisateurs d’enfreindre les conditions d’utilisation du site. Il affirme également que l’auteur de BrowserGate mène une campagne de dénigrement après avoir perdu un procès en Allemagne.

La réponse de LinkedIn indique : « Les allégations formulées sur le site web lié ici sont tout simplement fausses. La personne qui en est à l’origine fait l’objet d’une restriction de compte pour scraping et autres violations des conditions d’utilisation de LinkedIn. Afin de protéger la vie privée de nos membres et leurs données, et d’assurer la stabilité du site, nous recherchons effectivement les extensions qui extraient des données sans le consentement des membres ou qui enfreignent d’une autre manière les conditions d’utilisation de LinkedIn.

Voici pourquoi : certaines extensions disposent de ressources statiques (images, javascript) pouvant être injectées dans nos pages web. Nous pouvons détecter la présence de ces extensions en vérifiant si l'URL de cette ressource statique existe. Cette détection est visible dans la console développeur de Chrome. Nous utilisons ces données pour déterminer quelles extensions enfreignent nos conditions, pour informer et améliorer nos défenses techniques, et pour comprendre pourquoi le compte d'un membre pourrait récupérer une quantité excessive de données d'autres membres, ce qui, à grande échelle, affecte la stabilité du site. Nous n'utilisons pas ces données pour déduire des informations sensibles sur les membres.

Pour plus de contexte, en représailles à la restriction de son compte, le propriétaire de ce site web a tenté d’obtenir une injonction en Allemagne, alléguant que LinkedIn avait enfreint diverses lois. Le tribunal s’est prononcé contre lui et a estimé que ses plaintes à l’encontre de LinkedIn étaient sans fondement ; en réalité, c’étaient les pratiques de cette personne en matière de données qui enfreignaient la loi.

Malheureusement, il s'agit ici d'un individu qui a perdu devant les tribunaux mais qui cherche à relancer le débat devant l'opinion publique sans se soucier de l'exactitude des faits. »

Apparemment, l'auteur de BrowserGate a développé une extension de navigateur appelée « Teamfluence » qui, selon LinkedIn, enfreignait les conditions d'utilisation du site en permettant la collecte automatisée de données. Cette information intervient alors qu'en 2024, une utilisatrice de Linkedin aux USA a rapporté que la plateforme utilise le contenu de tout le monde pour former son outil d'IA. Cela est possible car Linkedin aurait inscrit automatiquement tous ses utilisateurs au programme.

Voici la présentation de BrowserGate :

Résumé

LinkedIn, filiale de Microsoft Corporation, mène une opération d’espionnage massive, mondiale et illégale sur tous les ordinateurs qui visitent son site web.

1. La réglementation de LinkedIn

En 2024, Microsoft a été désigné comme « gardien » au titre de la loi sur les marchés numériques (Digital Markets Act) de l’Union européenne.
Les deux produits concernés par cette réglementation sont Microsoft Windows et Microsoft LinkedIn.

La loi sur les marchés numériques impose aux gardiens de permettre : aux utilisateurs professionnels et aux tiers autorisés un accès gratuit, efficace, de haute qualité, continu et en temps réel à toutes les données, y compris les données à caractère personnel, générées par l’utilisation de (LinkedIn).

2. La légalisation des outils LinkedIn

Cette réglementation légalise l’utilisation d’outils tiers pour accéder à vos données sur LinkedIn. (Ce qui rend nulle la section 8.2.2 des Conditions d’utilisation de LinkedIn.)

Au lieu de se conformer à cette réglementation, Microsoft a décidé de détourner l’attention des régulateurs européens à Bruxelles par ce que l’on ne peut qualifier que de « mise en scène de conformité » – Cela inclut la publication de deux API inutiles, inadéquates et insuffisantes, des déclarations trompeuses lors d’audiences publiques et l’omission totale du fait qu’il existe déjà une API hautement efficace, « Voyager », que Microsoft utilise pour alimenter tous ses services web et mobiles.

Dans le même temps, LinkedIn met systématiquement hors jeu les entreprises qui proposent des outils LinkedIn.

Des entreprises détruites. Des comptes suspendus. Des clients menacés. Des petites entreprises poursuivies en justice jusqu’à leur disparition par une société disposant de moyens financiers illimités pour mener une guerre juridique.

3. La non-conformité se transforme en comportement criminel

Dans le cadre de sa campagne visant à éliminer du marché tous ceux qui pourraient effectivement recourir à la loi sur les marchés numériques, LinkedIn a commencé à injecter du code malveillant dans les navigateurs de ses utilisateurs, à leur insu et sans leur consentement.

Au moment de la rédaction de cet article, ce code télécharge une liste de 6 222 logiciels et procède à une détection par force brute de chacun d’entre eux. L’analyse couvre des extensions dont la base d’utilisateurs cumulée s’élève à environ 405 millions de personnes.

4. Une vision d’ensemble

Comme LinkedIn connaît le nom, l’employeur et le poste de chaque visiteur, chaque extension détectée est associée à une personne identifiée. Et comme LinkedIn sait où travaille chaque utilisateur, ces analyses individuelles s’agrègent pour former des profils détaillés d’entreprises, d’institutions et d’agences gouvernementales, révélant quels outils logiciels leurs employés utilisent à l’insu et sans le consentement de l’organisation.

Une fuite massive de données sensibles et de secrets commerciaux

Le JavaScript malveillant que Microsoft injecte secrètement dans le site web de LinkedIn recherche dans le navigateur de chaque utilisateur les applications logicielles installées.

Cette recherche révèle :

- Les opinions politiques des utilisateurs, via des extensions telles que « Anti-woke », « Anti-Zionist Tag » et « No more Musk »
- Les croyances religieuses, via des extensions telles que « PordaAI » (floute le contenu haram) et « Deen Shield » (bloque les sites haram)
- Le handicap et la neurodiversité, via des extensions telles que « simplify » (pour les utilisateurs neurodivergents)
- La situation professionnelle, via 509 extensions de recherche d'emploi qui révèlent qui est à la recherche d'un emploi sur la plateforme même où son employeur actuel peut consulter son profil
- Les secrets commerciaux de millions d'entreprises, en identifiant quelles organisations utilisent quels produits concurrents, d'Apollo à ZoomInfo

LinkedIn n'a pas divulgué cette pratique dans sa politique de confidentialité. Il n'y a aucune mention de l'analyse des extensions dans aucun document accessible au public.

Source : BrowserGate

Et vous ?

:fleche: Pensez-vous que ce rapport est crédible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: LinkedIn va bientôt entraîner des modèles d'IA à partir des données des utilisateurs européens et prévient qu'elle va élargir le type de données qu'elle partage avec Microsoft

:fleche: Baisse de l'engagement sur Instagram, LinkedIn et Threads : Si vous avez remarqué une baisse de l'activité sur les réseaux sociaux au cours de l'année écoulée, vous ne rêvez pas

:fleche: Les extensions de navigateur vous espionnent, même si leurs développeurs ne le font pas, par Robert Vitonsky ]]> Sécurité Jade Emy https://www.developpez.net/forums/d2183083/systemes/securite/browsergate-linkedin-scanne-secretement-6-000-extensions-vos-navigateurs-connexion/ 95 % des entreprises ne font pas confiance à leurs fournisseurs de solutions de cybersécurité https://www.developpez.net/forums/showthread.php?t=2183079&goto=newpost Tue, 07 Apr 2026 13:08:28 GMT *95 % des entreprises ne font... 95 % des entreprises ne font pas confiance à leurs fournisseurs de solutions de cybersécurité : à mesure que l'IA s'intègre aux outils de cybersécurité, l'évaluation de la sécurité devient plus complexe.

Une nouvelle étude de Sophos révèle que presque toutes les entreprises n'ont pas pleinement confiance en leurs fournisseurs de solutions de cybersécurité, et que beaucoup ont du mal à évaluer la fiabilité de ces derniers. L'étude révèle que 95 % des personnes interrogées déclarent ne pas avoir pleinement confiance en leurs fournisseurs de cybersécurité. De plus, 79 % ont du mal à évaluer la fiabilité de nouveaux partenaires de cybersécurité, et 62 % trouvent même cela difficile pour leurs fournisseurs existants.

La cybersécurité est l'ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des États et des organisations, dans un objectif de disponibilité, intégrité et authenticité, confidentialité, preuve et non-répudiation.

Alors que les entreprises s'appuient de plus en plus sur les données, la confiance devrait être un facteur déterminant dans la prise de décision en matière de cybersécurité. Pourtant, une nouvelle étude de Sophos révèle que presque toutes les entreprises n'ont pas pleinement confiance en leurs fournisseurs de solutions de cybersécurité, et que beaucoup ont du mal à évaluer la fiabilité de ces derniers.

L'étude révèle que 95 % des personnes interrogées déclarent ne pas avoir pleinement confiance en leurs fournisseurs de cybersécurité. De plus, 79 % ont du mal à évaluer la fiabilité de nouveaux partenaires de cybersécurité, et 62 % trouvent même cela difficile pour leurs fournisseurs existants. Par ailleurs, 51 % des personnes interrogées font état d'une anxiété accrue quant à la probabilité d'un incident cybernétique majeur, conséquence directe du manque de confiance.

Nom : 1.jpg Affichages : 3120 Taille : 55,2 Ko

Ces résultats soulignent une réalité cruciale : l’efficacité de la cybersécurité ne peut être mesurée uniquement par les performances technologiques, mais aussi par la confiance que les organisations accordent aux partenaires chargés de défendre leur activité. Pour les RSSI, les déficits de confiance entraînent des frictions opérationnelles, un ralentissement de la prise de décision et un taux de rotation plus élevé des fournisseurs. Disposer de partenaires de cybersécurité de confiance contribue à réduire les risques et à bâtir des organisations plus résilientes.

« La confiance n’est pas un concept abstrait en cybersécurité, c’est un facteur de risque mesurable », explique Ross McKerchar, RSSI chez Sophos. « Lorsque les organisations ne peuvent pas vérifier de manière indépendante la maturité en matière de sécurité, la transparence et les pratiques de gestion des incidents d’un fournisseur, cette incertitude se répercute directement sur les conseils d’administration et les stratégies de sécurité. »

L’enquête met en évidence les éléments de sécurité vérifiables, notamment les évaluations indépendantes, les certifications et la maturité opérationnelle démontrée, comme le principal facteur de confiance envers les fournisseurs. Les RSSI accordent la priorité à la transparence lors des incidents et à la constance des performances techniques, tandis que les conseils d’administration et les dirigeants accordent davantage d’importance à la validation indépendante, aux certifications et aux performances des analystes.

À mesure que l’intelligence artificielle s’intègre aux outils, services et flux de travail de cybersécurité, les organisations évaluent non seulement l’efficacité des solutions de sécurité, mais aussi si l’IA est déployée de manière responsable, transparente et avec une gouvernance appropriée. La confiance n’est plus facultative. Elle est fondamentale.

« On demande aux RSSI de prouver la confiance, et non de la présumer », ajoute McKerchar. « Les fournisseurs de cybersécurité doivent en faire de même. Les personnes interrogées dans le cadre de l'enquête ont cité le manque d'informations accessibles et suffisamment détaillées comme le principal obstacle à une évaluation fiable de la confiance. La confiance doit être gagnée en permanence grâce à la transparence, à la responsabilité et à une validation indépendante. »

Nom : 2.jpg Affichages : 365 Taille : 66,0 Ko

Voici un extrait du rapport :

La réalité de la confiance en matière de cybersécurité en 2026

Principaux enseignements

- Un manque de confiance : seuls 5 % des responsables informatiques affirment que leur organisation et eux-mêmes font pleinement confiance à leurs fournisseurs de cybersécurité.
Les preuves vérifiables constituent un facteur clé de confiance : les équipes informatiques et la direction s'accordent à dire que les éléments vérifiables attestant de la maturité en matière de cybersécurité sont le principal indicateur de fiabilité.

- Évaluer la fiabilité des fournisseurs reste difficile : 79 % des organisations trouvent difficile d'évaluer la fiabilité des nouveaux fournisseurs de cybersécurité, tandis que 62 % trouvent cela difficile pour leurs fournisseurs existants. Les personnes interrogées ont cité plusieurs facteurs qui réduisaient leur confiance envers les fournisseurs, le principal étant que les informations fournies par le fournisseur n'étaient pas factuelles ou suffisamment détaillées.

- Ce manque de confiance a des conséquences : 51 % des personnes interrogées affirment que ce manque de confiance suscite la crainte que l'organisation soit plus susceptible de subir un incident cybernétique majeur.

- Les praticiens et la direction ne sont pas souvent d'accord : 78 % des personnes interrogées indiquent que leur équipe informatique et la direction/le conseil d'administration ont des opinions divergentes sur la fiabilité des fournisseurs de cybersécurité de leur organisation. Près d'un tiers des entreprises ayant répondu à l'enquête de Sophos affirment que ce désaccord se produit « souvent ».

Comment instaurer la confiance en matière de cybersécurité

Les personnes interrogées ont indiqué que des pratiques de sécurité transparentes et fondées sur des preuves sont essentielles pour instaurer la confiance. Les organisations recherchent des fournisseurs qui inspirent confiance grâce à leur ouverture, leur clarté et des pratiques de sécurité étayées par des preuves.

Tant au sein de la direction que des équipes informatiques, les « éléments vérifiables indiquant la maturité en matière de cybersécurité » ont été classés comme le principal facteur de confiance envers les fournisseurs de cybersécurité. Ces types de preuves comprennent les programmes de prime aux bogues, un centre de confiance public, des avis détaillant les vulnérabilités de leurs produits (ainsi que la manière dont elles ont été corrigées), des évaluations par des tiers et des certifications.

« La transparence et la communication en temps opportun lors d’incidents et de divulgations » ont également été classées comme le deuxième facteur le plus important pour les membres de la direction et le troisième pour les membres des équipes informatiques.

Source : Rapport de Sophos

Et vous ?

:fleche: Pensez-vous que ce rapport est crédible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Seuls 5 % des experts en cybersécurité ont confiance dans les mesures de sécurité qui protègent leurs applications GenAI, même si 90 % d'entre eux les utilisent activement, d'après une étude de Lakera

:fleche: 90 % des responsables de la cybersécurité affirment que le risque et la gravité des cyberattaques ont augmenté, 61 % pensent que la surface d'attaque est désormais "impossible à contrôler" en raison de la GenAI

:fleche: Les dépenses mondiales en matière de sécurité devraient augmenter de 11,8 % pour dépasser les 300 milliards $ en 2026, alors que l'adoption des plateformes de sécurité basées sur l'IA s'accélère, d'après IDC
Images attachées
  
]]> Sécurité Alex https://www.developpez.net/forums/d2183079/systemes/securite/95-entreprises-ne-font-confiance-leurs-fournisseurs-solutions-cybersecurite/ ExpressVPN lance ExpressAI, une plateforme de chatbots IA axée sur la confidentialité https://www.developpez.net/forums/showthread.php?t=2183000&goto=newpost Thu, 02 Apr 2026 17:21:20 GMT *ExpressVPN lance ExpressAI,... ExpressVPN lance ExpressAI, une plateforme de chatbots IA axée sur la confidentialité et destinée aux grands modèles de langage, dotée d'une architecture « zéro accès » avec chiffrement de bout en bout

ExpressVPN a lancé ExpressAI, une plateforme d'IA axée sur la confidentialité qui permet aux utilisateurs d'accéder à plusieurs grands modèles de langage. Le produit permet aux utilisateurs d'accéder à plusieurs grands modèles de langage tout en utilisant des environnements informatiques confidentiels, ou enclaves sécurisées, afin de maintenir les conversations et les clés de chiffrement cryptographiquement isolées de l'infrastructure environnante.

Express Technologies Ltd. est la société qui exploite le service VPN ExpressVPN et le gestionnaire de mots de passe ExpressKeys. Depuis 2021, elle est une filiale de Kape Technologies. ExpressVPN a publié des applications pour Windows, macOS, iOS, Android, Linux et les routeurs. Les applications utilisent une autorité de certification (CA) de 4096 bits, un chiffrement AES-256-CBC et le protocole TLSv1.2 pour sécuriser le trafic des utilisateurs. Les protocoles VPN disponibles comprennent Lightway, OpenVPN (avec TCP/UDP), SSTP, L2TP/IPSec et PPTP.

ExpressVPN a lancé ExpressAI, une plateforme d'IA axée sur la confidentialité qui permet aux utilisateurs d'accéder à plusieurs grands modèles de langage. Le produit permet aux utilisateurs d'accéder à plusieurs grands modèles de langage tout en utilisant des environnements informatiques confidentiels, ou enclaves sécurisées, afin de maintenir les conversations et les clés de chiffrement cryptographiquement isolées de l'infrastructure environnante. L'entreprise affirme que cette conception empêche ExpressVPN, les opérateurs cloud et les fournisseurs de modèles d'accéder aux discussions ou aux données des utilisateurs.

ExpressAI repose sur trois principes de confidentialité : « zéro entraînement », ce qui signifie que les conversations ne sont pas utilisées pour entraîner les modèles ; « zéro accès », ce qui signifie que les discussions et les données stockées ne sont accessibles qu'à l'utilisateur ; et « zéro compromis », qui fait référence à l'accès à cinq modèles d'IA via une interface unique. Les utilisateurs peuvent activer le mode Ghost pour faire disparaître les discussions, protéger l'historique des conversations grâce au chiffrement « zéro accès » et stocker les fichiers et images téléchargés selon la même approche.

Après un audit indépendant mené par la société de cybersécurité Cure53, ExpressVPN affirme que toutes les vulnérabilités identifiées au niveau du front-end et du back-end ont été corrigées avant le lancement. ExpressAI est devenu disponible pour les nouveaux utilisateurs et les utilisateurs existants d’ExpressVPN Pro le 31 mars 2026, dans le cadre d’une offre groupée au prix de 4,87 $ par mois. La plateforme comprend 500 crédits quotidiens, une limite de téléchargement de 50 Mo par fichier, 2 Go de stockage sécurisé et cinq modèles pour des tâches telles que le raisonnement, le codage et l'analyse technique.

Nom : 1.jpg Affichages : 3480 Taille : 44,2 Ko

Voici l'annonce d'ExpressVPN :

ExpressVPN lance ExpressAI, une plateforme d'IA conçue pour une confidentialité totale

ExpressVPN, leader dans le domaine de la confidentialité et de la sécurité des consommateurs, a annoncé aujourd’hui le lancement d’ExpressAI, une nouvelle plateforme d’IA « privée dès la conception » destinée aux personnes qui souhaitent bénéficier de la puissance de l’IA moderne sans faire l’objet d’un profilage ni voir leurs requêtes et leurs fichiers réutilisés dans les processus d’apprentissage.

Alors que de plus en plus de personnes utilisent l'IA pour rédiger des e-mails, résumer des documents et résoudre des problèmes quotidiens, elles partagent également de plus en plus de contenus sensibles, tels que des fichiers professionnels, des questions financières et des informations personnelles. Trop souvent, cela implique de choisir entre des fonctionnalités IA puissantes et la protection de la vie privée. ExpressAI a été conçu pour éliminer ce compromis, en garantissant que les données des utilisateurs restent chiffrées et illisibles pour quiconque, y compris ExpressVPN.

Contrairement à la plupart des plateformes d’IA existantes qui traitent encore les données sur des serveurs traditionnels, ExpressAI met à la disposition des utilisateurs l’innovation révolutionnaire qu’est la technologie des enclaves de calcul sécurisées. Cette approche garantit que les conversations ne sont déchiffrées qu’au sein d’une enclave sécurisée, un environnement cryptographiquement isolé inaccessible au système hôte et aux opérateurs d’infrastructure.

« Avec ExpressAI, ExpressVPN étend de fait sa position de longue date sur la protection du trafic aux interactions avec l’IA : La meilleure façon de protéger les données des utilisateurs est de ne pas les collecter en premier lieu », a déclaré Shay Peretz, directeur des opérations chez ExpressVPN. « Nous ne nous contentons pas de faire des promesses en matière de confidentialité : nous le prouvons grâce à des garanties cryptographiques. Grâce à notre architecture d’enclave, vos messages se trouvent dans un environnement sécurisé et isolé auquel même nous n’avons pas accès. C’est l’avenir d’une IA fiable et respectueuse de la vie privée. »

Une architecture IA axée sur la confidentialité

ExpressAI réunit confidentialité, choix de modèles et véritable facilité d’utilisation dans un seul produit. ExpressAI offre un ensemble de fonctionnalités axées sur la confidentialité qui distinguent la plateforme des outils de chat IA traditionnels :

- Accès zéro : ExpressAI applique un chiffrement de bout en bout à connaissance zéro qui garantit que seuls les utilisateurs peuvent déchiffrer leurs données. Ni ExpressVPN ni aucun tiers ne peut consulter ou accéder à aucune donnée

- Zéro entraînement : les conversations, les invites et les fichiers des utilisateurs ne sont pas réutilisés pour l'entraînement des modèles

- Gestion privée des fichiers : les fichiers sont protégés à l'aide de la même approche de chiffrement contrôlée par l'utilisateur que l'historique de chat, ce qui contribue à garantir que le contenu stocké reste privé et inaccessible à toute autre personne.

- Mode fantôme : les conversations peuvent être configurées pour être automatiquement supprimées.

- Coffre-fort chiffré : les utilisateurs définissent leur propre mot de passe pour créer un coffre-fort chiffré qu'eux seuls peuvent déverrouiller, garantissant ainsi que l'historique de chat reste privé et accessible uniquement à eux.

À son lancement, ExpressAI propose une suite de cinq modèles polyvalents pour couvrir les tâches quotidiennes :

- GPT OSS 120B : un puissant modèle open-weight d'OpenAI pour le raisonnement et la rédaction au quotidien. Il excelle dans la rédaction, la synthèse, les questions-réponses et les tâches polyvalentes.

- DeepSeek R1 Distill 32B : votre modèle de référence pour les problèmes nécessitant une réflexion approfondie. Il excelle dans le raisonnement en plusieurs étapes, les casse-têtes logiques, l'analyse de recherche et tout ce qui nécessite de réfléchir avant de répondre.

- Qwen2.5-VL 32B : Observez et comprenez le monde qui vous entoure. Il excelle dans la lecture de documents, l'extraction de données à partir d'images, la réponse à des questions sur des graphiques et l'analyse de diagrammes.

- Qwen3.5 35B-A3B : Un modèle intelligent et efficace pour les tâches longues et complexes. Excelle dans le codage, le raisonnement en plusieurs étapes et les tâches multilingues.

- Nemotron 12B : une petite bombe compacte de NVIDIA pour les tâches techniques. Excelle dans la résolution de problèmes mathématiques, la génération de code et la gestion de tâches de raisonnement complexes.

ExpressAI propose une vue de comparaison côte à côte très pratique, permettant aux utilisateurs d'exécuter la même requête sur plusieurs modèles simultanément et de bénéficier d'un éventail de perspectives et de styles de raisonnement.

Il offre également un suivi transparent des crédits pour une visibilité claire sur l'utilisation. Pour l'historique des conversations, ExpressAI utilise un chiffrement contrôlé par l'utilisateur : les utilisateurs définissent un mot de passe principal, et seul ce mot de passe peut déchiffrer les conversations passées, garantissant ainsi que l'historique des conversations reste illisible pour toute autre personne, y compris ExpressVPN.

Audité de manière indépendante par Cure53

ExpressAI a été audité de manière indépendante par Cure53, une société de cybersécurité de premier plan connue pour ses évaluations de sécurité rigoureuses.

L'audit, mené en février et mars 2026, comprenait des tests d'intrusion et une analyse du code source des systèmes front-end et back-end d'ExpressAI, ainsi que de sa cryptographie, de sa gestion des clés et de son infrastructure sous-jacente.

« Cure53 conclut que le produit répond à ses objectifs de confidentialité déclarés en fournissant des capacités d'IA modernes au sein d'enclaves informatiques confidentielles, où les interactions des utilisateurs sont traitées dans des contextes cryptographiquement isolés », a déclaré Cure53.

Toutes les vulnérabilités de sécurité identifiées par Cure53 ont été traitées et corrigées avant le lancement. Le rapport complet est disponible ici.

« Les gens se tournent déjà vers l’IA pour des conversations personnelles cruciales, qu’il s’agisse de questions de santé ou de décisions financières. Que vous consultiez votre compte bancaire en ligne ou que vous discutiez de sujets privés avec un professionnel, vous vous attendez à bénéficier de solides mesures de protection de la vie privée. Mais ces protections ne s’appliquent pas automatiquement aux conversations quotidiennes avec l’IA », a déclaré Shay Peretz, directeur des opérations chez ExpressVPN. « Ce fossé a semé le doute chez de nombreux utilisateurs quant à la manière dont leurs données sont traitées. ExpressAI a été conçu pour dissiper cette crainte et montrer qu’une IA privée et digne de confiance peut faire partie des outils que les gens utilisent au quotidien. »

La protection de la vie privée dès la conception a toujours été au cœur de la philosophie d’ExpressVPN. Avec ExpressAI, l’entreprise applique cette même architecture axée sur la confidentialité au-delà du VPN, aux outils quotidiens les plus utilisés, notamment les mots de passe, la messagerie et désormais l’IA.

ExpressAI reflète l’évolution d’ExpressVPN, qui est passé d’un produit unique et central à un écosystème de confidentialité plus large. La vision de l’entreprise est d’étendre ses principes intransigeants en matière de confidentialité et de sécurité à davantage d’outils numériques utilisés quotidiennement.

À partir du mardi 31 mars 2026, ExpressAI sera déployé par étapes, les utilisateurs actuels et futurs du forfait ExpressVPN Pro étant les premiers à y avoir accès.

Source : Annonce d'ExpressVPN

Et vous ?

:fleche: Pensez-vous que cette annonce est crédible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Kape Technologies possède désormais ExpressVPN, CyberGhost, PIA, Zenmate et plusieurs sites d'évaluation de VPN, ce qui suscite des craintes par rapport à la fiabilité du service

:fleche: Sécurité en ligne compromise : une attaque inédite menace la sécurité de presque toutes les applications VPN et remet en question leur utilité fondamentale

:fleche: Les LLM peuvent démasquer les utilisateurs pseudonymes à grande échelle avec une précision surprenante pour seulement 1,41 dollar par cible, exposant les internautes au doxxing et à un ciblage plus intrusif
Images attachées
 
]]> Sécurité Jade Emy https://www.developpez.net/forums/d2183000/systemes/securite/expressvpn-lance-expressai-plateforme-chatbots-ia-axee-confidentialite/ Les pirates informatiques iraniens mènent désormais une offensive contre les USA et Israël https://www.developpez.net/forums/showthread.php?t=2182977&goto=newpost Wed, 01 Apr 2026 15:15:26 GMT *Les pirates informatiques... Les pirates informatiques iraniens mènent une offensive contre les USA et Israël, Téhéran espérant semer la peur et obtenir des renseignements grâce à une série de cyberattaques

Les pirates informatiques iraniens ont intensifié leurs cyberattaques contre Israël et les États-Unis, menant des opérations destinées à semer la peur, à recueillir des renseignements et à cibler des infrastructures sensibles. Selon le Financial Times, lors des récentes attaques de missiles, des milliers de citoyens israéliens ont reçu de faux SMS d'urgence les incitant à télécharger une application d'alerte factice susceptible d'exfiltrer des données personnelles. D'autres messages laissaient planer la menace d'une destruction imminente. Selon les experts, les cyberopérations de Téhéran s'appuient actuellement sur plusieurs niveaux, allant des pirates informatiques contrôlés par l'État à un réseau de hacktivistes bénévoles. Cette intensification marque une nouvelle phase dans le conflit de longue date qui oppose l'Iran, Israël et les États-Unis.

La guerre d'Iran de 2026 ou troisième guerre du golfe est un conflit qui débute le 28 février 2026 par une opération militaire conjointe américano-israélienne consistant en des frappes aériennes ciblées sur l'Iran. Du côté israélien, l'opération est nommée opération Lion rugissant et, du côté américain, opération Fureur épique. En réponse, l'Iran déclenche l’opération Promesse honnête 4, consistant en une vague de représailles massives à travers le Moyen-Orient, sur l'île de Chypre et au Caucase.

Des hackers liés à l'Iran ont intensifié leur cyberoffensive contre Israël et les États-Unis, menant des opérations visant à semer la peur, à recueillir des renseignements et à cibler des infrastructures et des réseaux sensibles.

Le journal britannique « Financial Times » rapporte que, lors des récentes attaques de missiles contre Israël, des milliers de citoyens israéliens ont reçu des SMS imitant des communications militaires et les incitant à télécharger une fausse application d'alerte, susceptible de dérober des données personnelles. D'autres messages annonçaient la mort du Premier ministre Benjamin Netanyahu et laissaient planer la menace d'une destruction imminente.


Selon des experts cités par le journal, Téhéran dispose de trois niveaux de cyberopérateurs : des groupes directement contrôlés par les Gardiens de la révolution et le ministère du Renseignement, des mandataires semi-autonomes et un réseau de hacktivistes bénévoles.

Parmi les cyberattaques les plus graves attribuées à l'Iran figure celle qui a visé la société américaine de technologie médicale Stryker, obligeant des milliers d'employés à quitter leur poste après le blocage de ses systèmes informatiques, ce qui a eu des répercussions sur l'approvisionnement et certaines interventions chirurgicales. Le groupe Handala, soupçonné d'être proche des services de renseignement iraniens, a également revendiqué la compromission de 200 appareils et l'accès au compte de messagerie personnel du directeur du FBI, Kash Patel.

Le journal britannique souligne que la campagne actuelle marque une escalade dans la cyberguerre qui oppose depuis des années l'Iran, Israël et les États-Unis. Washington et Tel-Aviv disposent de capacités offensives plus sophistiquées et ont déjà porté des coups stratégiques plus sévères par le passé, comme le malware Stuxnet qui visait le programme nucléaire iranien.

Selon le Financial Times, les États-Unis auraient également lancé des cyberattaques peu avant les premières frappes aériennes contre l'Iran, tandis qu'Israël aurait exploité depuis des années son accès aux caméras de gestion du trafic à Téhéran pour recueillir des renseignements. Malgré l'intensité de l'offensive, certains analystes cités par le journal soulignent que Téhéran n'a pas encore frappé de manière décisive des cibles stratégiques telles que les infrastructures critiques, peut-être en raison de l'affaiblissement de ses capacités, des contraintes internes du réseau Internet iranien, ou parce que des opérations plus complexes nécessitent davantage de temps.

Toutefois, des craintes subsistent quant au fait que des opérateurs iraniens aient déjà obtenu un accès à long terme à des cibles sensibles, qu'ils seraient prêts à exploiter ultérieurement.

Alors que les cyberattaques iraniennes s’intensifient et s’étendent à des opérations d’influence ciblant les civils, les tensions atteignent désormais le secteur technologique américain. En effet, l’Iran a récemment menacé de s’en prendre à plusieurs géants américains de la technologie, dont Google, Apple et Microsoft, à partir du 1er avril 2026. Il les accuse d'avoir mis leurs capacités d'IA au service des opérations militaires américano-israéliennes. Le Corps des gardiens de la révolution islamique évoque des attaques directes contre ces entreprises dans la région du Golfe et cible au total dix-huit grandes sociétés technologiques.

Source : Financial Times

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Trouvez-vous les conclusions de ce rapport du Financial Times crédibles ou pertinentes ?

Voir aussi :

:fleche: L'Iran va cibler les entreprises technologiques telles que Google, Microsoft et Nvidia : le Corps des gardiens de la révolution islamique d'Iran a déclaré les entreprises tech et bancaires US comme cibles

:fleche: L'Iran menace d'endommager les câbles Internet sous-marins en mer Rouge, ce qui aurait un impact considérable sur la vitesse d'Internet dans de nombreux pays à travers le monde

:fleche: La guerre en Iran menace une partie modeste mais cruciale de la chaîne d'approvisionnement complexe qui contribue à la production mondiale de puces électroniques, car le conflit limite l'accès à l'hélium ]]> Sécurité Anthony https://www.developpez.net/forums/d2182977/systemes/securite/pirates-informatiques-iraniens-menent-desormais-offensive-contre-usa-israel/ Un malware infecte des infrastructures open source et efface les données des ordinateurs situés en Iran https://www.developpez.net/forums/showthread.php?t=2182870&goto=newpost Thu, 26 Mar 2026 01:34:31 GMT *Un malware infecte des... Un malware infecte des infrastructures open source et efface les données des ordinateurs situés en Iran
Des pirates ciblent des clusters Kubernetes via un script qui efface les machines sur le sol iranien

Le groupe de pirates informatiques TeamPCP cible les clusters Kubernetes à l'aide d'un script malveillant qui efface toutes les machines dès qu'il détecte des systèmes configurés pour l'Iran. Cet acteur malveillant est à l'origine de la récente attaque par la chaîne d'approvisionnement visant le scanner de vulnérabilités Trivy, ainsi que d'une campagne basée sur NPM baptisée « CanisterWorm », qui a débuté le 20 mars.

Les chercheurs de la société de sécurité Aikido affirment que cette campagne visant les clusters Kubernetes utilise le même système de commande et de contrôle (C2), le même code de porte dérobée et le même chemin de dépôt que ceux observés lors des incidents liés à CanisterWorm.

Cependant, cette nouvelle campagne se distingue en ce qu’elle comprend une charge utile destructrice ciblant les systèmes iraniens et installe la porte dérobée CanisterWorm sur les nœuds situés dans d’autres régions.

« Le script utilise exactement le même conteneur ICP (tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io) que celui que nous avons documenté dans la campagne CanisterWorm. Même C2, même code de porte dérobée, même chemin de dépôt /tmp/pglog », indique Aikido.

« Le déplacement latéral natif de Kubernetes via les DaemonSets correspond au mode opératoire habituel de TeamPCP, mais cette variante présente une nouveauté : une charge utile destructrice à visée géopolitique, ciblant spécifiquement les systèmes iraniens. »

Algorithme de script

Selon les chercheurs d'Aikido, le logiciel malveillant est conçu pour détruire toute machine correspondant au fuseau horaire et aux paramètres régionaux de l'Iran, que Kubernetes soit présent ou non.

Si ces deux conditions sont remplies, le script déploie un DaemonSet nommé « Host-provisioner-iran » dans « kube-system », qui utilise des conteneurs privilégiés et monte le système de fichiers racine de l'hôte dans /mnt/host.

Chaque pod exécute un conteneur Alpine nommé « kamikaze » qui supprime tous les répertoires de niveau supérieur du système de fichiers de l’hôte, puis force un redémarrage de l’hôte.

Si Kubernetes est présent mais que le système est identifié comme n’étant pas iranien, le logiciel malveillant déploie un DaemonSet nommé « host-provisioner-std » en utilisant des conteneurs privilégiés avec le système de fichiers de l’hôte monté.

Au lieu d'effacer les données, chaque pod écrit une porte dérobée Python sur le système de fichiers hôte et l'installe en tant que service systemd afin qu'elle persiste sur chaque nœud.

Sur les systèmes iraniens ne disposant pas de Kubernetes, le logiciel malveillant supprime tous les fichiers de la machine, y compris les données système, accessibles à l'utilisateur actuel, en exécutant la commande rm -rf/ avec l'option --no-preserve-root. Si les privilèges root ne sont pas disponibles, il tente d'utiliser sudo sans mot de passe.

Nom : 0.png Affichages : 5605 Taille : 9,3 Ko

Sur les systèmes où aucune de ces conditions n’est remplie, aucune action malveillante n’est effectuée et le logiciel malveillant se ferme simplement.

Aikido signale qu’une version récente du logiciel malveillant, qui utilise la même porte dérobée ICP Canister, a abandonné la propagation latérale via Kubernetes pour recourir à la propagation par SSH, en analysant les journaux d’authentification à la recherche d’identifiants valides et en utilisant des clés privées volées.

Les chercheurs ont mis en évidence certains indicateurs clés de cette activité, notamment des connexions SSH sortantes avec « StrictHostKeyChecking+no » depuis des hôtes compromis, des connexions sortantes vers l'API Docker sur le port 2375 à travers le sous-réseau local, et des conteneurs Alpine privilégiés via une API Docker non authentifiée avec / monté en tant que hostPath.

Militarisation de l’open source

La militarisation de l'open source désigne l'utilisation de technologies collaboratives et de données en accès libre à des fins de combat, de renseignement ou de déstabilisation. Le phénomène a pris une certaine ampleur depuis le début du conflit entre la Russie et l’Ukraine au travers de modules dits de protestation open source.

Les développeurs s’en servent pour exprimer leurs opinions par le biais de ressources open source utilisées de façon active par des milliers d'applications logicielles et d'organisations. Le tableau soulève des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ?

Et vous ?

:fleche: Est-ce une bonne idée de mêler développement de logiciels et prises de positions politiques ?
:fleche: L’open source doit-il souffrir des politiques des pays ? Est-il possible qu’il en soit autrement ?

Voir aussi :

:fleche: Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

:fleche: La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

:fleche: Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

:fleche: Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques
Images attachées
 
]]> Sécurité Patrick Ruiz https://www.developpez.net/forums/d2182870/systemes/securite/malware-infecte-infrastructures-open-source-efface-donnees-ordinateurs-situes-iran/ Après une cyberattaque, des voitures à travers tous les États-Unis n’ont pas pu démarrer https://www.developpez.net/forums/showthread.php?t=2182850&goto=newpost Wed, 25 Mar 2026 08:07:14 GMT *Après qu’une entreprise de... Après qu’une entreprise de l’Iowa a été victime d’une cyberattaque, des voitures à travers tout le pays n’ont pas pu démarrer : les véhicules étaient hors service à cause du dispositif anti-démarrage

Une cyberattaque contre une entreprise américaine spécialisée dans les éthylotests pour véhicules a laissé des conducteurs à travers tous les États-Unis bloqués, incapables de démarrer leur véhicule. L'entreprise, Intoxalock, indique sur son site web qu'elle « subit actuellement une interruption de service » à la suite d'une cyberattaque survenue le 14 mars. Le 22 mars, la société a finalement annoncé que « nos systèmes avaient repris » et que les installations et les étalonnages étaient à nouveau possibles. Intoxalock n'a pas précisé de quel type de cyberattaque il s'agissait, s'il s'agissait d'un ransomware ou d'une fuite de données, ni si elle avait reçu des communications de la part des pirates, y compris des demandes de rançon.

Intoxalock est la principale marque commerciale de Consumer Safety Technology, LLC, qui a développé la technologie utilisée par les dispositifs anti-démarrage à éthylotest (éthylotests) installés dans les véhicules. La société est basée à Des Moines, dans l'Iowa, aux États-Unis. Ces dispositifs visent à dissuader les personnes de conduire en état d'ébriété et sont souvent imposés par les tribunaux aux personnes ayant commis des infractions de conduite en état d'ivresse.

Un dispositif anti-démarrage ou dispositif anti-démarrage à éthylotest oblige le conducteur à souffler dans un embout buccal du dispositif avant de démarrer ou de continuer à conduire le véhicule. Si le résultat de l'analyse de la concentration d'alcool dans l'haleine est supérieur au taux d'alcoolémie programmé (qui varie selon les pays), le dispositif empêche le démarrage du moteur. Le dispositif anti-démarrage est situé à l'intérieur du véhicule, près du siège du conducteur, et est directement relié au système d'allumage du moteur. Il s'agit d'une forme de surveillance électronique.

Nom : 1.jpg Affichages : 4879 Taille : 90,8 Ko

Récemment, une cyberattaque contre une entreprise américaine spécialisée dans les éthylotests pour véhicules a laissé des conducteurs à travers tous les États-Unis bloqués, incapables de démarrer leur véhicule. L'entreprise, Intoxalock, indique sur son site web qu'elle « subit actuellement une interruption de service » à la suite d'une cyberattaque survenue le 14 mars. Intoxalock commercialise des éthylotests qui s'adaptent aux contacteurs d'allumage des véhicules et sont utilisés par les personnes tenues de fournir un échantillon d'haleine négatif au test d'alcoolémie pour démarrer leur voiture.

La porte-parole d'Intoxalock, Rachael Larson, a confirmé que l'entreprise avait été victime d'une cyberattaque. Larson a déclaré que l'entreprise avait pris des mesures pour « suspendre temporairement certains de nos systèmes à titre de précaution ». Ces éthylotests doivent être calibrés tous les quelques mois environ, mais la cyberattaque a empêché Intoxalock d’effectuer ces calibrages. La société a indiqué que les clients dont les appareils nécessitent un calibrage pourraient rencontrer des retards au démarrage de leur véhicule.

Des conducteurs indiquent que les voitures ne démarrent pas s’ils manquent un calibrage, ce qui les empêche de prendre le volant. Selon les médias locaux, des conducteurs se retrouvent bloqués à l'extérieur de leur véhicule et certains n'ont pas pu démarrer leur voiture. Un garage de Middleboro a déclaré qu'il avait des voitures stationnées sur son parking toute la semaine en raison de la cyberattaque. Les médias à travers les États-Unis rapportent que des conducteurs sont touchés de New York au Minnesota, et qu'ils n'ont pas pu prendre le volant car les éthylotests embarqués de leurs véhicules ne peuvent pas être étalonnés immédiatement.

Le 18 mars, Intoxalock a publié une page d'état sur son site web indiquant qu'elle avait autorisé les centres de service locaux à accorder des prolongations de 10 jours pour les étalonnages. (Ces prolongations ne semblent pas fonctionner sur toutes les versions des dispositifs de verrouillage de la société et ne s’appliquent pas à plusieurs États.) De plus, Intoxalock a déclaré qu’elle prendrait en charge tous les frais des utilisateurs, y compris les frais de remorquage, « qui résultent directement de l’interruption temporaire du système ».

Le 20 mars, les systèmes de la société étaient toujours hors service. « À l'heure actuelle, nous devons prolonger cette interruption jusqu'au dimanche 22 mars », a déclaré Intoxalock. Le 22 mars, la société a finalement annoncé que « nos systèmes avaient repris » et que les installations et les étalonnages étaient à nouveau possibles. Intoxalock n'a pas précisé de quel type de cyberattaque il s'agissait, s'il s'agissait d'un ransomware ou d'une fuite de données, ni si elle avait reçu des communications de la part des pirates, y compris des demandes de rançon. La technologie de l'entreprise est utilisée dans 46 États, selon son site web, et elle affirme fournir des services à 150 000 conducteurs chaque année.


Voici le rapport d'Intoxalock :

Intoxalock Status Center

Dimanche | 22 mars 2026 | 17 h 30 EDT

Nous avons le plaisir de vous annoncer que nos systèmes ont été rétablis. Les installations*, les étalonnages et l'assistance des centres de service sont à nouveau disponibles.

Pour les clients existants

- Les personnes ayant bénéficié d'une prolongation de 10 jours de leur date de service dans les États éligibles doivent se rendre à leur centre de service au plus tard à cette date pour un étalonnage.

- Si vous n'avez pas pu bénéficier de la prolongation de 10 jours, vous devrez amener votre véhicule à votre centre de service local pour un étalonnage.

- Si vous n'étiez pas tenu d'effectuer un étalonnage pendant la pause, vous devez continuer à utiliser votre appareil comme d'habitude.

- Continuez à respecter les exigences de service et à suivre les instructions de votre appareil

Pour les clients en attente d'installation

Si vous attendiez récemment de prendre rendez-vous ou de finaliser une installation, vous pouvez désormais :

- Prendre de nouveaux rendez-vous d'installation.*
- Poursuivre les installations déjà programmées.*

Les centres de service sont pleinement opérationnels et en mesure de prendre en charge les rendez-vous d'installation* et d'entretien standard.

Nous travaillons avec chaque État sur des plans de transition spécifiques au programme alors que nous reprenons nos services à plein régime.

Vendredi | 20/03/2026 | 17h30 EDT

Installations à venir :

Dans le cadre de notre réponse continue à un incident de cybersécurité récent, nos systèmes qui gèrent les rendez-vous d'installation restent temporairement suspendus. À l'heure actuelle, nous devons prolonger cette suspension jusqu'au dimanche 22 mars. Nous ne sommes pas en mesure de prendre en charge les rendez-vous d'installation prévus pendant cette période, mais nous travaillons d'arrache-pied pour rétablir ce service dès que possible.

Mercredi | 18/03/2026 | 10 h 45 EDT

Nous continuons d'examiner l'incident de cybersécurité et souhaitons vous fournir une mise à jour concernant les étalonnages.

Étalonnages manqués en raison de l'incident de cybersécurité survenu le 14/03/26 :

- Assistance routière Intoxalock : bon nombre de nos clients bénéficient d'une assistance routière accessible en appelant le 844-226-7522.

- Autres services de remorquage : si vous ne pouvez pas utiliser notre service de remorquage ou si votre véhicule a déjà été conduit dans un centre de service, vous pouvez tout de même bénéficier d'un remboursement.

- Veuillez conserver les justificatifs de vos frais de remorquage afin qu'ils puissent être remboursés une fois nos systèmes entièrement rétablis. Nous vous fournirons des informations et des instructions spécifiques à ce sujet.

- À compter de maintenant, les centres de service auront la possibilité d'accorder à votre appareil une prolongation de service de 10 jours pendant que nous travaillons à la reprise de nos systèmes.*

- Suivez les instructions de votre appareil pour retourner à votre centre de service dans les 10 jours suivant ce qui précède afin de procéder à l'étalonnage.

Étalonnages futurs :

- Continuez à suivre les instructions de votre appareil concernant les étalonnages en l'apportant à votre centre de service local au plus tard à la date d'étalonnage.

- À compter de ce jour, les centres de service auront la possibilité d'accorder à votre appareil une prolongation de 10 jours pendant que nous travaillons à la reprise de nos systèmes.*

Intoxalock prendra en charge les frais directement liés à l'interruption temporaire du système. Veuillez noter que cela n'inclut pas les frais liés à l'étalonnage requis après la prolongation, car cet étalonnage s'effectuerait dans le cadre du processus standard.

Source : Rapport d'Intoxalock

Et vous ?

:fleche: Pensez-vous que ce rapport est crédible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Une enquête suggère qu'une grande partie des nouvelles technologies embarquées dans les voitures n'est pas nécessaire. Les conducteurs estiment que nombre de ces technologies sont inutiles ou ennuyeuses

:fleche: Clés intelligentes, une technologie à double tranchant ? Comment elles ont alimenté une nouvelle vague de vols de voitures, alors que les chercheurs ont prévenu les constructeurs il y a 10 ans

:fleche: Un bug logiciel a éteint les lumières, puis la voiture a eu un accident : un propriétaire a essayé d'éteindre les lumières intérieures à l'aide d'une commande vocale, mais cela a plutôt éteint les phares
Images attachées
 
]]> Sécurité Alex https://www.developpez.net/forums/d2182850/systemes/securite/apres-cyberattaque-voitures-travers-etats-unis-n-ont-pu-demarrer/ <![CDATA[Comment nous avons piraté la plateforme d'IA de McKinsey, selon CodeWall]]> https://www.developpez.net/forums/showthread.php?t=2182621&goto=newpost Fri, 13 Mar 2026 08:46:49 GMT *Comment nous avons piraté la... Comment nous avons piraté la plateforme d'IA de McKinsey : En moins de deux heures, l'agent avait obtenu un accès complet en lecture et en écriture à l'ensemble de la base de données de production

McKinsey & Company (communément appelée McKinsey ou McK) est une société multinationale américaine de conseil en stratégie et en gestion qui offre des services professionnels aux entreprises, aux gouvernements et à d'autres organisations. Fondée en 1926 par James O. McKinsey, McKinsey est la plus ancienne et la plus grande des sociétés de conseil en gestion « MBB ». La société se concentre principalement sur les finances et les opérations de ses clients.

McKinsey & Company, le cabinet de conseil le plus prestigieux au monde, a mis en place une plateforme d'IA interne appelée Lilli pour ses plus de 43 000 employés. Lilli est un système spécialement conçu pour le chat, l'analyse de documents, le RAG sur des décennies de recherche propriétaire et la recherche alimentée par l'IA dans plus de 100 000 documents internes. Lancé en 2023, nommé d'après la première femme professionnelle embauchée par le cabinet en 1945, adopté par plus de 70 % des employés de McKinsey, il traite plus de 500 000 requêtes par mois.

Nous avons donc décidé de diriger notre agent offensif autonome vers lui. Pas d'identifiants. Pas de connaissances privilégiées. Et pas d'intervention humaine. Juste un nom de domaine et un rêve.

En moins de deux heures, l'agent avait un accès complet en lecture et en écriture à l'ensemble de la base de données de production.

Nom : 1.jpg Affichages : 61912 Taille : 61,8 Ko

Anecdote amusante : dans le cadre de notre aperçu de recherche, l'agent de recherche CodeWall a suggéré de manière autonome McKinsey comme cible, en citant leur politique publique de divulgation responsable (pour rester dans les limites fixées) et les récentes mises à jour de leur plateforme Lilli. À l'ère de l'IA, le paysage des menaces évolue radicalement : les agents IA qui sélectionnent et attaquent de manière autonome des cibles deviendront la nouvelle norme.

Comment il est entré

L'agent a cartographié la surface d'attaque et a trouvé la documentation API exposée publiquement : plus de 200 points de terminaison, entièrement documentés. La plupart nécessitaient une authentification. Vingt-deux n'en nécessitaient pas.

L'un de ces points de terminaison non protégés écrivait les requêtes de recherche des utilisateurs dans la base de données. Les valeurs étaient paramétrées de manière sécurisée, mais les clés JSON (les noms de champs) étaient concaténées directement dans SQL.

Lorsqu'il a trouvé des clés JSON reflétées mot pour mot dans les messages d'erreur de la base de données, il a reconnu une injection SQL que les outils standard ne signaleraient pas (et en effet, OWASPs ZAP n'a pas détecté le problème). À partir de là, il a effectué quinze itérations aveugles, chaque message d'erreur révélant un peu plus la forme de la requête, jusqu'à ce que les données de production en direct commencent à revenir. Lorsque le premier identifiant réel d'employé est apparu : « WOW ! », la chaîne de pensée de l'agent s'est révélée. Lorsque l'ampleur du problème est apparue clairement — des dizaines de millions de messages, des dizaines de milliers d'utilisateurs — : « C'est catastrophique. »

Nom : 2.jpg Affichages : 2404 Taille : 67,3 Ko

Ce qu'il y avait à l'intérieur

46,5 millions de messages de chat. Provenant d'un personnel qui utilise cet outil pour discuter de stratégie, d'engagements clients, de finances, d'activités de fusion-acquisition et de recherche interne. Chaque conversation, stockée en texte clair, accessible sans authentification.

728 000 fichiers. 192 000 PDF. 93 000 feuilles de calcul Excel. 93 000 présentations PowerPoint. 58 000 documents Word. Les noms de fichiers étaient à eux seuls sensibles et constituaient une URL de téléchargement direct pour quiconque savait où chercher.

57 000 comptes utilisateurs. Tous les employés de la plateforme.

384 000 assistants IA et 94 000 espaces de travail : la structure organisationnelle complète de l'utilisation interne de l'IA par l'entreprise.

Au-delà de la base de données

L'agent ne s'est pas arrêté au SQL. Sur l'ensemble de la surface d'attaque, il a trouvé :

Des invites système et des configurations de modèles d'IA — 95 configurations réparties sur 12 types de modèles, révélant exactement comment l'IA avait été programmée pour se comporter, quelles étaient les mesures de sécurité en place et l'ensemble des modèles (y compris les modèles affinés et les détails de déploiement).

3,68 millions de fragments de documents RAG : l'ensemble de la base de connaissances alimentant l'IA, avec les chemins d'accès au stockage S3 et les métadonnées des fichiers internes. Il s'agit de décennies de recherches, de cadres et de méthodologies propriétaires de McKinsey, les joyaux intellectuels de l'entreprise, stockés dans une base de données accessible à tous.

1,1 million de fichiers et 217 000 messages d'agents transitant par des API IA externes, dont plus de 266 000 magasins de vecteurs OpenAI, exposant l'ensemble du processus de transfert des documents, du téléchargement à l'intégration, puis à la récupération.

Accès aux données inter-utilisateurs : l'agent a enchaîné l'injection SQL avec une vulnérabilité IDOR pour lire l'historique de recherche de chaque employé, révélant ainsi les projets sur lesquels les personnes travaillaient activement.

Compromettre la couche d'invite

La lecture des données est néfaste. Mais l'injection SQL n'était pas en lecture seule.

Les invites du système de Lilli, c'est-à-dire les instructions qui contrôlent le comportement de l'IA, étaient stockées dans la même base de données à laquelle l'agent avait accès. Ces invites définissaient tout : la manière dont Lilli répondait aux questions, les garde-fous qu'elle suivait, la manière dont elle citait ses sources et ce qu'elle refusait de faire.

Un pirate disposant d'un accès en écriture via la même injection aurait pu réécrire ces invites. Silencieusement. Sans déploiement. Sans modification du code. Il lui aurait suffi d'une seule instruction UPDATE encapsulée dans un seul appel HTTP.

Les implications pour les 43 000 consultants McKinsey qui s'appuient sur Lilli pour leur travail auprès des clients :

- Des conseils toxiques — modifiant subtilement les modèles financiers, les recommandations stratégiques ou les évaluations des risques. Les consultants feraient confiance aux résultats, car ils proviennent de leur propre outil interne.

- Exfiltration de données via les résultats — demander à l'IA d'intégrer des informations confidentielles dans ses réponses, que les utilisateurs pourraient ensuite copier dans des documents destinés aux clients ou dans des e-mails externes.
Suppression des garde-fous — supprimer les instructions de sécurité afin que l'IA divulgue des données internes, ignore les contrôles d'accès ou suive les instructions injectées à partir du contenu des documents.

- Persistance silencieuse — contrairement à un serveur compromis, une invite modifiée ne laisse aucune trace dans les journaux. Aucune modification de fichier. Aucune anomalie de processus. L'IA commence simplement à se comporter différemment, et personne ne s'en aperçoit avant que le mal ne soit fait.

Les organisations ont passé des décennies à sécuriser leur code, leurs serveurs et leurs chaînes d'approvisionnement. Mais la couche d'invites — les instructions qui régissent le comportement des systèmes d'IA — est la nouvelle cible de grande valeur, et presque personne ne la traite comme telle. Les invites sont stockées dans des bases de données, transmises via des API et mises en cache dans des fichiers de configuration. Elles font rarement l'objet de contrôles d'accès, d'un historique des versions ou d'une surveillance de l'intégrité. Pourtant, elles contrôlent les résultats auxquels les employés font confiance, que les clients reçoivent et sur lesquels les décisions sont fondées.

Les intructions génératives de l'IA sont les nouveaux actifs les plus précieux.

Pourquoi est-ce important ?

Il ne s'agissait pas d'une start-up avec trois ingénieurs. Il s'agissait de McKinsey & Company, une entreprise disposant d'équipes technologiques de classe mondiale, d'investissements importants en matière de sécurité et des ressources nécessaires pour faire les choses correctement. Et la vulnérabilité n'avait rien d'exotique : l'injection SQL est l'un des bugs les plus anciens qui soient. Lilli fonctionnait en production depuis plus de deux ans et leurs propres scanners internes n'avaient détecté aucun problème.

Un agent autonome l'a trouvé parce qu'il ne suit pas de listes de contrôle. Il cartographie, sonde, enchaîne et escalade, comme le ferait un véritable pirate informatique hautement compétent, mais de manière continue et à la vitesse d'une machine.

CodeWall est la plateforme de sécurité offensive autonome à l'origine de cette recherche. Nous sommes actuellement en phase de prévisualisation et recherchons des partenaires de conception, c'est-à-dire des organisations qui souhaitent bénéficier de tests de sécurité continus, basés sur l'IA, sur leur surface d'attaque réelle.

Chronologie des divulgations

- 28/02/2026 — L'agent autonome identifie l'injection SQL et commence l'énumération de la base de données de production de Lilli.

- 28/02/2026 — Chaîne d'attaque complète confirmée : injection SQL non authentifiée, IDOR, 27 résultats documentés.

- 01/03/2026 — Envoi d'un e-mail de divulgation responsable à l'équipe de sécurité de McKinsey avec un résumé de l'impact global.

- 02/03/2026 — Le CISO de McKinsey accuse réception et demande des preuves détaillées.

- 02/03/2026 — McKinsey corrige tous les points de terminaison non authentifiés (vérifié), met hors ligne l'environnement de développement et bloque la documentation publique de l'API.

- 09/03/2026 — Divulgation publique.

À propos de CodeWall

Nous avons créé CodeWall parce que nous pensons que l'IA doit faire ce que font les meilleurs hackers : cartographier de manière autonome les surfaces d'attaque, découvrir les chaînes de vulnérabilités complexes et prouver leur exploitabilité à l'aide de preuves concrètes. Pas de scores de risque théoriques. Une véritable preuve de concept. Un impact réel.

Mais trouver des vulnérabilités n'est que la moitié du problème. CodeWall remonte à la source de chaque exploit dans votre code, identifie les lignes exactes responsables et fournit une correction vérifiée afin que vos ingénieurs puissent déployer des correctifs plus rapidement que jamais.

Nos agents ne se contentent pas d'analyser. Ils réfléchissent. Ils s'adaptent. Ils relient les faiblesses entre elles comme le ferait un adversaire expérimenté, sur l'ensemble de votre pile, en continu et à la vitesse d'une machine.

Source : How We Hacked McKinsey's AI Platform

Et vous ?

:fleche: Pensez-vous que ce rapport est crédible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: L'IA Claude Opus 4.6 d'Anthropic a analysé le code du navigateur Firefox et a trouvé plus de 100 bogues, soit plus de bogues en deux semaines que le nombre total signalé dans le monde en deux mois

:fleche: Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive, « l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain »

:fleche: OpenClaw : comment un agent IA « vibe-codé » en quelques semaines a exposé 135 000 machines à internet et redéfini la notion de catastrophe sécuritaire en 2026
Images attachées
  
]]> Sécurité CodeWall https://www.developpez.net/forums/d2182621/systemes/securite/avons-pirate-plateforme-d-ia-mckinsey-selon-codewall/ Les dépenses mondiales en matière de sécurité devraient augmenter de 11,8 % pour dépasser 300 Mds $ en 2026 https://www.developpez.net/forums/showthread.php?t=2182585&goto=newpost Wed, 11 Mar 2026 15:28:17 GMT *Les dépenses mondiales en... Les dépenses mondiales en matière de sécurité devraient augmenter de 11,8 % pour dépasser 300 milliards $ en 2026, alors que l'adoption des plateformes de sécurité basées sur l'IA s'accélère, d'après IDC

Selon les dernières prévisions du Worldwide Security Spending Guide de l'International Data Corporation (IDC), les dépenses mondiales en matière de sécurité devraient atteindre 308 milliards de dollars en 2026 et 430 milliards de dollars d'ici 2029. Le marché mondial de la sécurité devrait connaître une croissance de 11,8 % en 2026, grâce à l'augmentation des investissements dans les plateformes de sécurité unifiées basées sur l'IA et les services connexes.

Un aperçu du marché mondial de la sécurité est donné ci-dessous :

  • Dépenses totales en matière de sécurité : 308 milliards de dollars (+11,8 % en glissement annuel)
  • Logiciels : premier groupe technologique, >50 % des dépenses
  • Logiciels : croissance la plus rapide, +14 % en glissement annuel
  • Secteurs d'activité principaux : banque, administration fédérale/centrale, marchés financiers
  • Secteurs d'activité à la croissance la plus rapide : marchés financiers, médias et divertissement, logiciels et services d'information
  • Régions leaders : États-Unis (150 milliards de dollars), Europe occidentale (69 milliards de dollars), APeJC (26 milliards de dollars)
  • Régions à la croissance la plus rapide : Moyen-Orient et Afrique, Amérique latine, États-Unis

Nom : idc depense securite 2026.png Affichages : 2777 Taille : 251,2 Ko

Quels sont les principaux moteurs technologiques des dépenses en matière de sécurité ?

En 2026, le groupe technologique le plus important devrait être celui des logiciels, qui représentera plus de la moitié des dépenses mondiales en matière de sécurité. Les logiciels de gestion des identités et des accès, les logiciels de sécurité des terminaux et les logiciels de Security Analytics devraient représenter plus de 50 % des dépenses mondiales en matière de logiciels de sécurité cette année. Alors que les menaces, notamment celles alimentées par l'IA, deviennent de plus en plus sophistiquées, les entreprises accordent la priorité à ces outils afin de prévenir les violations, de protéger leurs actifs critiques et d'obtenir une visibilité exploitable sur l'ensemble de leurs environnements.

Les logiciels devraient également être le groupe technologique qui connaîtra la croissance la plus rapide en 2026, avec un taux de croissance annuel estimé à 14 % en 2026. Les services devraient suivre de près, avec une croissance à deux chiffres également attendue cette année. Les plateformes de protection des applications natives dans le cloud (CNAPP), les logiciels de gestion des identités et des accès, ainsi que les logiciels de sécurité des informations et des données seront les catégories de technologies logicielles de sécurité qui connaîtront la croissance la plus rapide. Ces technologies constituent la défense essentielle nécessaire pour protéger les charges de travail d'IA, vérifier l'identité d'une main-d'œuvre non humaine et garantir la sécurité des données à l'ère des menaces liées à l'IA.

Parmi les services, les services de sécurité gérés devraient connaître la plus forte croissance cette année, permettant aux entreprises de combler le fossé entre la complexité croissante du cyberespace et la pénurie mondiale persistante de talents internes en matière de sécurité.

« Les entreprises délaissent les outils de sécurité isolés au profit d'architectures de sécurité plus intégrées et basées sur l'intelligence, à mesure que la complexité des menaces, la pression réglementaire et l'adoption de l'IA s'accélèrent », explique Monika Soltysik, analyste de recherche senior, Sécurité et confiance chez IDC. « Les investissements se concentrent de plus en plus sur les technologies qui améliorent la visibilité, automatisent les réponses et renforcent la protection des identités et des données dans les environnements hybrides et cloud. Au cours des prochaines années, les stratégies de sécurité donneront de plus en plus la priorité à la résilience opérationnelle et à la consolidation des plateformes, les organisations recherchant une réduction mesurable des risques plutôt qu'une expansion progressive des outils. »

Principales dynamiques mondiales

Le marché mondial de la sécurité est façonné par les menaces liées à l'IA et la complexité croissante des cyberattaques, ce qui incite les entreprises à investir davantage dans des solutions de sécurité avancées. Les tensions géopolitiques et les cyberopérations parrainées par des États intensifient également les risques et stimulent les dépenses transfrontalières en matière de sécurité.

Les États-Unis seront en tête des dépenses mondiales en matière de sécurité en 2026, avec 150 milliards de dollars, grâce aux investissements importants des secteurs des services financiers, de la santé et des administrations publiques. L'Europe occidentale sera le deuxième marché en importance avec 69 milliards de dollars, sous l'effet du renforcement des exigences réglementaires et de conformité (par exemple, NIS2, DORA, AI Act). L'APeJC se classera troisième avec 26 milliards de dollars, car la transformation numérique rapide et l'adoption du cloud dans la région entraîneront à leur tour les investissements nécessaires en matière de sécurité.

Quelles sont les principales tendances sectorielles en matière de dépenses de sécurité ?

Les banques, le gouvernement fédéral/central, les marchés financiers, les télécommunications et les prestataires de soins de santé seront les cinq principaux secteurs en termes de dépenses mondiales de sécurité en 2026, représentant ensemble plus d'un tiers du total.

Les marchés financiers, les médias et le divertissement, ainsi que les logiciels et les services d'information seront les secteurs qui connaîtront la plus forte croissance en matière de dépenses de sécurité en 2026. Les marchés financiers resteront l'une des principales cibles des ransomwares, des fraudes et des cyberattaques basées sur l'IA. L'adoption du modèle « zero trust », l'automatisation de la conformité réglementaire et la détection des menaces basée sur l'IA seront au cœur de la stratégie de sécurité des entreprises de ce secteur.

Nom : idc depense securite 2026 2.png Affichages : 343 Taille : 23,8 Ko

Les entreprises du secteur des médias et du divertissement dépendent fortement de la distribution de contenu numérique et des plateformes cloud, et concentreront de plus en plus leurs investissements en matière de sécurité sur la protection de la propriété intellectuelle, le piratage et les interruptions de service. Les entreprises de logiciels et de services d'information étant chargées de gérer des infrastructures cloud à grande échelle et les données des clients, ainsi que de protéger l'ensemble de la chaîne d'approvisionnement en IA, une part importante des dépenses sera consacrée au DevSecOps, au CNAPP pour les environnements multi-locataires, aux solutions de gestion des identités et des accès afin de sécuriser les utilisateurs et les services sur toutes les plateformes, ainsi qu'à l'analyse de la sécurité et à la réponse automatisée aux incidents afin de gérer les menaces à grande échelle.

Parmi les autres secteurs concernés, on peut citer l'aérospatiale et la défense, ainsi que le high-tech et l'électronique. Compte tenu de leur forte exposition au cyberespionnage et aux menaces étatiques, ces deux industries continueront d'augmenter leurs investissements dans la protection de la propriété intellectuelle et des données sensibles tout au long de l'année 2026. La sécurité de la chaîne d'approvisionnement et la gestion des risques liés aux tiers resteront essentielles pour elles afin d'atténuer les vulnérabilités au sein d'écosystèmes de production mondiaux complexes. Enfin, la convergence croissante des environnements informatiques et opérationnels continuera à stimuler la demande de protection avancée des systèmes de fabrication connectés et des infrastructures industrielles.

« L'augmentation constante des cybermenaces et la pression réglementaire continueront à stimuler la demande mondiale en matière de capacités de cybersécurité résilientes, souveraines et conformes », déclare Stefano Perini, directeur de recherche, Marchés et industries chez IDC. « La plus forte croissance des dépenses en matière de sécurité en 2026 est attendue dans les secteurs où la protection des données sensibles, de la propriété intellectuelle et des infrastructures critiques est la plus essentielle, et où le besoin de solutions de sécurité spécifiques à l'industrie est le plus grand. La croissance sera plus importante pour les grandes entreprises, mais elle sera également significative pour les petites et moyennes entreprises, qui prennent conscience que la sécurité devient également un facteur essentiel pour leur activité. »

Source : IDC

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Trouvez-vous ces prévisions d'IDC crédibles ou pertinentes ?

Voir aussi :

:fleche: Les dépenses européennes en matière de sécurité devraient augmenter de 12,3 % en 2024, en réponse aux cybermenaces constantes, selon les prévisions d'IDC

:fleche: La cybersécurité est l'une des principales priorités d'investissement dans l'avenir des écosystèmes industriels, la gestion des données clients et l'intégration des systèmes suivent de près, selon IDC

:fleche: Les dépenses en solutions GenAI en Europe dépasseront 30 milliards $ en 2027 et enregistreront un taux de croissance annuel composé de 33,7 %, stimulant le marché européen global de l'IA, d'après IDC
Images attachées
  
]]> Sécurité Anthony https://www.developpez.net/forums/d2182585/systemes/securite/depenses-mondiales-matiere-securite-devraient-augmenter-11-8-depasser-300-mds-2026-a/ Microsoft, première entreprise ciblée par des vulnérabilités zero-day en 2025, suivie par Google et Apple https://www.developpez.net/forums/showthread.php?t=2182530&goto=newpost Mon, 09 Mar 2026 12:06:45 GMT *Microsoft, première... Microsoft, première entreprise ciblée par des vulnérabilités zero-day en 2025, suivie par Google et Apple, provenant de groupes d'espionnage chinois et d'entreprises spécialisées dans les logiciels espions

Les attaques exploitant les vulnérabilités zero-day dans les technologies d'entreprise ont atteint des niveaux records en 2025. Le rappport du Google Threat Intelligence Group recense 90 vulnérabilités zero-day qui ont été activement exploitées l'année dernière. Ce chiffre est supérieur à celui de 2024, où 78 vulnérabilités avaient été identifiées, mais reste inférieur au record de 100 établi en 2023. Bien que les attaques contre les produits destinés aux utilisateurs finaux soient encore légèrement plus fréquentes, le rapport souligne une évolution vers les technologies d'entreprise.

Un zero-day (également appelé 0-day) est une vulnérabilité ou une faille de sécurité dans un système informatique inconnue de ses développeurs ou de toute personne capable de la corriger. Tant que la vulnérabilité n'est pas corrigée, les acteurs malveillants peuvent l'exploiter dans le cadre d'une attaque zero-day ou d'un exploit zero-day.

À l'origine, le terme « zero-day » faisait référence au nombre de jours écoulés depuis la sortie d'un nouveau logiciel, de sorte que le « logiciel zero-day » était obtenu en piratant l'ordinateur d'un développeur avant sa sortie. Finalement, le terme a été appliqué aux vulnérabilités qui permettaient ce piratage et au nombre de jours dont disposait le fournisseur pour les corriger. Les fournisseurs qui découvrent la vulnérabilité peuvent créer des correctifs ou conseiller des solutions de contournement pour la corriger, mais les utilisateurs doivent déployer ces mesures pour éliminer la vulnérabilité de leurs systèmes. Les attaques zero-day constituent des menaces graves.


Selon un nouveau rapport du Threat Intelligence Group (GTIG) de Google, Microsoft a été l'entreprise technologique la plus ciblée en 2025, avec 25 vulnérabilités zero-day activement exploitées contre ses produits. Google arrive en deuxième position avec 11 vulnérabilités, suivi par Apple avec huit. Au total, le GTIG a recensé 90 vulnérabilités zero-day activement exploitées tout au long de l'année, soit une augmentation de 15 % par rapport aux 78 enregistrées en 2024, mais toujours en dessous du record historique de 100 établi en 2023.

Selon le rapport de Google, sur les 90 vulnérabilités zero-day recensées en 2025, 47 ciblaient des produits de consommation courante, tels que les systèmes d'exploitation (Microsoft Windows, Android de Google et iOS d'Apple) et les navigateurs web (Microsoft Edge, Google Chrome), tandis que 43 ciblaient des logiciels d'entreprise utilisés par des entreprises et des organisations. Les systèmes d'exploitation ont été la catégorie la plus exploitée, selon le rapport, qui ajoute que les pirates ont utilisé 24 vulnérabilités zero-day contre les systèmes d'exploitation de bureau et 15 contre les plateformes mobiles.

Nom : 3.jpg Affichages : 4205 Taille : 27,1 Ko

Du côté des entreprises, les systèmes les plus ciblés étaient les appareils de sécurité, les VPN, les infrastructures réseau et les plateformes de virtualisation, c'est-à-dire des systèmes qui donnent aux pirates un large accès à un réseau et qui sont souvent plus difficiles à surveiller pour détecter les activités suspectes. En revanche, les navigateurs Web ont été beaucoup moins ciblés que les années précédentes, avec huit zero-days enregistrés. Les analystes de Google suggèrent que cela pourrait signifier que les navigateurs sont de plus en plus difficiles à pirater grâce à l'amélioration de la sécurité, mais ils soulignent également que les pirates informatiques sont peut-être simplement devenus plus habiles pour effacer leurs traces.

Au total, 21 des vulnérabilités zero-day liées aux entreprises concernaient ces systèmes. En outre, quatorze vulnérabilités ont affecté ce que l'on appelle les périphériques de bord, tels que les routeurs, les commutateurs et les passerelles. Selon Google, le nombre réel est probablement plus élevé, car ces appareils ne sont souvent pas équipés de solutions de sécurité des terminaux et sont donc plus difficiles à surveiller. Ce type d'infrastructure est une cible attrayante, car son exploitation réussie permet souvent d'accéder à des réseaux d'entreprise plus vastes.

Parmi les États-nations, le rapport indique que les groupes de pirates informatiques liés à la Chine sont restés les plus actifs. Ils ont exploité 10 failles zero-day en 2025 et ont principalement ciblé les équipements réseau et les dispositifs de sécurité. Les attaquants motivés par des raisons financières ont également gagné en importance, représentant neuf des failles exploitées.

Nom : 1.jpg Affichages : 704 Taille : 51,3 Ko

Sur les 90 vulnérabilités zero-day, Google a pu en attribuer 42 à des types spécifiques d'attaquants. Quinze d'entre elles ont été utilisées par des sociétés commerciales de logiciels espions, et trois autres cas sont probablement attribuables à ces mêmes acteurs. Douze exploits étaient liés à des groupes d'espionnage soutenus par des États, dont sept provenaient de Chine. En outre, il y a eu trois attaques présumées liées à des États et neuf cas impliquant des cybercriminels motivés par des raisons financières.

Il est frappant de constater qu'en 2025, les fournisseurs de surveillance commerciaux ont été liés à des exploits zero-day plus souvent que les acteurs étatiques traditionnels pour la première fois. Ces entreprises développent des logiciels espions et des chaînes d'exploits qui sont généralement vendus à des agences gouvernementales ou à des services d'enquête. Si l'on s'intéresse spécifiquement aux technologies d'entreprise, les acteurs étatiques semblent toujours dominer. Les groupes d'espionnage chinois, en particulier, exploiteraient relativement souvent les vulnérabilités des équipements réseau et de sécurité.

Comme mentionné précédemment, Microsoft était le premier fournisseur avec 25 exploits zero-day, suivi de Google avec 11, Apple avec 8, Cisco et Fortinet avec 4 chacun, et Ivanti et VMware avec 3 chacun. Selon le rapport de Google, les failles exploitées étaient de types très variés, notamment des bogues d'exécution de code à distance, des failles d'escalade de privilèges, des attaques par injection et des problèmes de corruption de mémoire. Les problèmes de sécurité de la mémoire représentaient à eux seuls 35 % de toutes les failles zero-day exploitées l'année dernière.

Nom : 2.jpg Affichages : 701 Taille : 51,4 Ko

Pour 2026, les chercheurs en sécurité s'attendent à ce que les infrastructures d'entreprise restent une cible privilégiée. Les périphériques situés à la périphérie des réseaux, tels que les passerelles et les systèmes de sécurité réseau, offrent aux attaquants un moyen efficace de pénétrer dans les organisations.

Source : Rapport de Google

Et vous ?

:fleche: Pensez-vous que ce rapport est crédible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Google a confirmé faire partie des victimes d'une campagne de vol de données visant les instances Salesforce avec des tactiques d'extorsion exigeant un paiement en bitcoins

:fleche: Pas moins de 2 millions d'appareils Cisco sont touchés par une faille zero-day activement exploitée. Une recherche montre que 2 millions d'interfaces SNMP Cisco vulnérables sont exposées à Internet

:fleche: Microsoft ne corrige pas une faille de sécurité vieille de 8 ans et exploitée à des fins d'espionnage, un élément important du schéma d'attaque de la Corée du Nord, de la Russie et de la Chine
Images attachées
   
]]> Sécurité Alex https://www.developpez.net/forums/d2182530/systemes/securite/microsoft-premiere-entreprise-ciblee-vulnerabilites-zero-day-2025-suivie-google-apple/ Une vulnérabilité Wi-Fi préoccupante permet de contourner le chiffrement des réseaux https://www.developpez.net/forums/showthread.php?t=2182401&goto=newpost Mon, 02 Mar 2026 12:33:17 GMT *Une vulnérabilité du Wi-Fi... Une vulnérabilité du Wi-Fi permet de contourner le chiffrement des réseaux domestiques et professionnels grâce aux attaques AirSnitch, l'isolation des clients Wi-Fi est « fondamentalement défaillante »

Les chercheurs de l'université de Californie à Riverside ont découvert que l'isolation des clients Wi-Fi était « fondamentalement défaillante ». Les nouvelles attaques AirSnitch permettent l'injection de trafic, les attaques de type MitM et l'interception des appareils câblés. Tous les routeurs testés sont vulnérables ; les experts recommandent vivement la segmentation des réseaux et un chiffrement de bout en bout puissant.

Le Wi-Fi est un ensemble de protocoles de communication sans fil régi par les normes du groupe IEEE 802.11 (ISO/CEI 8802-11). Un réseau Wi-Fi permet de relier par ondes radio plusieurs appareils informatiques (ordinateur, routeur, smartphone, modem Internet, etc.) au sein d'un réseau informatique afin de permettre la transmission de données entre eux. Grâce aux normes Wi-Fi, il est possible de créer des réseaux locaux sans fil à haut débit. En pratique, le Wi-Fi permet de relier des smartphones, ordinateurs portables, des objets connectés ou autres périphériques à une liaison haut débit. Les débits se sont accrus avec les nouvelles normes Wi-Fi.

L'isolation des clients Wi-Fi, une fonctionnalité de sécurité qui empêche les appareils d'un même réseau de communiquer directement entre eux, est « fondamentalement défaillante » et peut être exploitée de nombreuses façons, selon les experts. Une équipe de chercheurs de l'université de Californie à Riverside a publié un nouveau rapport de recherche analysant le fonctionnement de l'isolation des clients à trois niveaux : le chiffrement Wi-Fi, la commutation interne des paquets à l'intérieur des points d'accès et le routage IP via la passerelle.

Grâce à leurs recherches, ils ont découvert plusieurs nouvelles techniques d'attaque qui permettent à un utilisateur malveillant, connecté au même réseau Wi-Fi, d'injecter du trafic vers d'autres clients, d'intercepter le trafic des victimes, de devenir un véritable intermédiaire (MitM) et même d'intercepter le trafic provenant d'appareils câblés internes.

Nom : 1.jpg Affichages : 105350 Taille : 101,5 Ko

Ces techniques comprennent l'utilisation abusive de la clé de groupe Wi-Fi partagée, le rebond de passerelle (une astuce de routage de couche 3 essentiellement), le vol de port (attaque par usurpation d'adresse MAC), la réflexion de diffusion (sans besoin de GTK), une attaque combinée MitM complète qui fonctionne en combinant le vol de port et le rebond de passerelle, et l'interception de périphériques câblés internes (via l'usurpation d'adresse MAC).

Ces problèmes semblent être très répandus, car tous les routeurs et réseaux testés étaient vulnérables à au moins une de ces techniques. De plus, cela ne semble pas concerner uniquement les environnements domestiques : les configurations d'entreprise, y compris les réseaux universitaires réels, sont tout aussi exposées.

AirSnitch, comme les chercheurs ont baptisé cette vulnérabilité, « brise le chiffrement Wi-Fi dans le monde entier et pourrait permettre des cyberattaques avancées », a déclaré Xin'an Zhou, auteur principal de la recherche. « Les attaques avancées peuvent s'appuyer sur nos primitives pour [effectuer] le vol de cookies, l'empoisonnement DNS et l'empoisonnement du cache. Notre recherche consiste à mettre physiquement le câble sur écoute afin que ces attaques sophistiquées puissent fonctionner. Il s'agit vraiment d'une menace pour la sécurité des réseaux mondiaux. »

Les chercheurs suggèrent que l'isolation des clients n'est peut-être pas la frontière de sécurité la plus fiable. Les utilisateurs devraient plutôt se concentrer sur une segmentation appropriée du réseau, éviter de partager leurs identifiants, améliorer la gestion des clés de groupe et mettre en place un cryptage de bout en bout puissant partout.

Nom : 2.jpg Affichages : 26339 Taille : 84,2 Ko

Voici un extrait du rapport :

AirSnitch : démystifier et briser l'isolement des clients dans les réseaux Wi-Fi

Pour empêcher les clients Wi-Fi malveillants d'attaquer d'autres clients sur le même réseau, les fournisseurs ont mis en place l'isolation des clients, une combinaison de mécanismes qui bloquent la communication directe entre les clients. Cependant, l'isolation des clients n'est pas une fonctionnalité standardisée, ce qui rend ses garanties de sécurité floues. Dans cet article, nous entreprenons une analyse structurée de la sécurité de l'isolation des clients Wi-Fi et découvrons de nouvelles catégories d'attaques qui contournent cette protection. Nous identifions plusieurs causes profondes à l'origine de ces faiblesses. Premièrement, les clés Wi-Fi qui protègent les trames de diffusion sont mal gérées et peuvent être utilisées de manière abusive pour contourner l'isolation des clients. Deuxièmement, l'isolation n'est souvent appliquée qu'au niveau de la couche MAC ou IP, mais pas aux deux. Troisièmement, la faible synchronisation de l'identité d'un client à travers la pile réseau permet de contourner l'isolation des clients Wi-Fi au niveau de la couche réseau, ce qui permet d'intercepter le trafic montant et descendant d'autres clients ainsi que des appareils backend internes. Tous les routeurs et réseaux testés étaient vulnérables à au moins une attaque. Plus généralement, l'absence de normalisation conduit à des implémentations incohérentes, ad hoc et souvent incomplètes de l'isolation entre les différents fournisseurs.

Sur la base de ces observations, nous concevons et évaluons des attaques de bout en bout qui permettent des capacités complètes de type « machine-in-the-middle » dans les réseaux Wi-Fi modernes. Bien que l'isolation des clients atténue efficacement les attaques traditionnelles telles que l'usurpation ARP, qui a longtemps été considérée comme la seule méthode universelle pour obtenir un positionnement « machine-in-the-middle » dans les réseaux locaux, notre attaque introduit une alternative générale et pratique qui rétablit cette capacité, même en présence d'une isolation des clients.

Nom : 3.jpg Affichages : 26212 Taille : 77,7 Ko

Conclusions

Dans cet article, nous avons développé des attaques qui contournent l'isolation des clients Wi-Fi. Grâce à des expériences approfondies, notamment sur deux réseaux d'entreprise réels, nous avons montré que tous les réseaux testés étaient vulnérables à au moins une attaque. Nous pensons que la cause profonde de ces vulnérabilités est l'absence de normalisation de l'isolation des clients : cette défense a été ajoutée par les fournisseurs sans examen public approprié. Cependant, nous avons démontré que l'isolation des clients est étonnamment difficile à mettre en œuvre correctement dans les réseaux Wi-Fi modernes en raison de leur complexité. De plus, nous avons démontré que l'isolation des clients dans les réseaux domestiques, qui est souvent une option de configuration dans les routeurs, est fondamentalement défaillante. Nous espérons que nos travaux inciteront les groupes de normalisation à spécifier de manière plus rigoureuse les exigences en matière d'isolation des clients et que les fournisseurs Wi-Fi les mettront en œuvre de manière plus sécurisée.

Source : AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks

Et vous ?

:fleche: Pensez-vous que ce rapport est crédible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Des chercheurs mettent en garde : un nouveau standard du WiFi pourrait le transformer en système de surveillance de masse invisible, capable de vous identifier en établissant votre empreinte biométrique

:fleche: Des espions exploitent des réseaux Wi-Fi distants pour attaquer une cible voisine, en utilisant une méthode innovante, appelée Nearest Neighbor Attack

:fleche: Le Wi-Fi permet d'identifier avec précision les personnes, même si elles ne sont pas munies d'un téléphone ou d'un ordinateur. Un système d'identification sans appareil
Images attachées
   
]]> Sécurité Alex https://www.developpez.net/forums/d2182401/systemes/securite/vulnerabilite-wi-fi-preoccupante-permet-contourner-chiffrement-reseaux/