Forum du club des d�veloppeurs et IT Pro - S�curit�

Microsoft a �t� pirat� pour diffuser des logiciels malveillants aupr�s des utilisateurs de Claude, Gemini

Alex — Wed, 10 Jun 2026 10:55:04 GMT

Microsoft a �t� pirat� pour diffuser des logiciels malveillants aupr�s des utilisateurs de Claude, Gemini, Cursor et VS Code, l'entreprise a ferm� ses d�p�ts Azure et ses agents de codage IA sur GitHub

Microsoft a temporairement d�sactiv� plus de 70 de ses propres d�p�ts GitHub apr�s avoir d�couvert du contenu potentiellement malveillant li� � une attaque plus large visant la cha�ne d'approvisionnement logicielle. Les projets concern�s comprenaient, selon certaines informations, des d�p�ts Azure Functions, des outils de d�veloppement Durable Task et plusieurs exemples d'applications li�es � l'IA.

GitHub est une plateforme propri�taire destin�e aux d�veloppeurs qui leur permet de cr�er, stocker, g�rer et partager leur code. Elle utilise Git pour assurer un contr�le de version distribu�, et GitHub propose en outre des fonctionnalit�s de contr�le d'acc�s, de suivi des bogues, de gestion des demandes de fonctionnalit�s logicielles, de gestion des t�ches, d'int�gration continue et de wikis pour chaque projet. GitHub, dont le si�ge social est situ� � San Francisco, est exploit� par GitHub, Inc., une filiale de Microsoft depuis 2018.

Il est couramment utilis� pour h�berger des projets de d�veloppement de logiciels open source. En janvier 2023, GitHub a d�clar� compter plus de 100 millions de d�veloppeurs et plus de 420 millions de d�p�ts, dont au moins 28 millions de d�p�ts publics. Il s'agit du plus grand h�bergeur de code source au monde en juin 2023. Plus de cinq milliards de contributions de d�veloppeurs ont �t� apport�es � plus de 500 millions de projets open source en 2024.

Microsoft a temporairement d�sactiv� plus de 70 de ses propres d�p�ts GitHub apr�s avoir d�couvert du contenu potentiellement malveillant li� � une attaque plus large visant la cha�ne d'approvisionnement logicielle. Les projets concern�s comprenaient, selon certaines informations, des d�p�ts Azure Functions, des outils de d�veloppement Durable Task et plusieurs exemples d'applications li�es � l'IA. Il s'agit de l'un des plus grands cas connus o� une grande entreprise technologique a d�sactiv� ses propres d�p�ts dans le cadre d'une enqu�te de s�curit� en cours.

Les chercheurs en s�curit� affirment que des attaquants ont ins�r� des fichiers malveillants dans au moins un d�p�t associ� � Microsoft. Ces fichiers �taient con�us pour exploiter la mani�re dont les outils de d�veloppement modernes assist�s par l'IA interagissent avec les bases de code, permettant potentiellement aux attaquants de r�cup�rer les identifiants des d�veloppeurs ayant ouvert les d�p�ts compromis � l'aide d'outils tels que Claude Code, Gemini CLI, Cursor ou Visual Studio Code. Microsoft a confirm� avoir supprim� les r�f�rentiels pendant l'enqu�te et en avoir restaur� certains apr�s examen.

A mesure que les agents de codage acc�dent aux r�f�rentiels, aux fichiers de configuration, aux terminaux et aux identifiants, les attaquants ciblent de plus en plus la cha�ne d'approvisionnement logicielle de mani�re � affecter les d�veloppeurs et les organisations qui s'appuient sur leurs outils et leur infrastructure. Cette affaire soul�ve �galement des questions sur la rapidit� avec laquelle les grandes entreprises technologiques peuvent d�tecter et contenir les compromissions au sein des �cosyst�mes open source auxquels font confiance des millions de d�veloppeurs.

Microsoft d�sactive des dizaines de d�p�ts GitHub � la suite d'une faille de s�curit�

Microsoft a d�sactiv� un nombre inhabituellement �lev� de r�f�rentiels en peu de temps. Selon certaines informations, GitHub aurait d�sactiv� 73 r�f�rentiels Microsoft appartenant � plusieurs organisations en l'espace de quelques minutes. Les projets concern�s auraient notamment inclus l'ensemble de l'organisation Azure Functions, la famille de r�f�rentiels Durable Task et plusieurs exemples d'applications ax�es sur l'IA.

Le logiciel malveillant semble avoir cibl� les utilisateurs d'assistants de codage bas�s sur l'IA. Les chercheurs en s�curit� ont indiqu� que les attaquants avaient ajout� des fichiers de configuration malveillants capables de voler des identifiants lorsque les d�p�ts �taient ouverts au sein d�environnements de d�veloppement utilisant l�IA. Contrairement aux logiciels malveillants traditionnels qui reposent sur l�ex�cution par les utilisateurs de binaires suspects, cette attaque aurait exploit� des flux de travail de plus en plus courants chez les d�veloppeurs utilisant des outils d�IA.

Cet incident pourrait �tre li� � des compromissions ant�rieures impliquant Durable Task. Les chercheurs ont not� que le groupe malveillant TeamPCP avait d�j� compromis le projet Durable Task de Microsoft et publi� des versions malveillantes de paquets en mai. TeamPCP a �t� associ� � de nombreuses attaques de la cha�ne d'approvisionnement logicielle tout au long de l'ann�e 2026, qui ont touch� des centaines d'organisations, d�montrant ainsi que les attaquants continuent de cibler les infrastructures de d�veloppement de confiance.

La mise hors service a probablement perturb� les flux de travail des d�veloppeurs. Toutes les actions GitHub, les pipelines d'automatisation ou les projets logiciels qui d�pendaient des r�f�rentiels d�sactiv�s auraient �t� affect�s. Les organisations utilisant ces r�f�rentiels ont pu rencontrer des �checs de compilation, des interruptions de d�ploiement ou avoir d� v�rifier leurs d�pendances pendant que Microsoft menait son enqu�te.

Des questions subsistent quant � l'ampleur totale de la violation. Microsoft n'a pas divulgu� publiquement tous les d�tails concernant la compromission, notamment le nombre exact de r�f�rentiels touch�s, la dur�e pendant laquelle le contenu malveillant �tait pr�sent, ou le nombre d'utilisateurs qui auraient pu interagir avec celui-ci. L'entreprise a d�clar� avoir directement inform� un petit nombre de clients susceptibles d'avoir t�l�charg� du contenu � partir des r�f�rentiels affect�s et poursuit son enqu�te.

Cet incident souligne l'importance croissante de la s�curit� de la cha�ne d'approvisionnement logicielle. Alors que les organisations d�pendent de plus en plus des composants open source, de l'infrastructure cloud et des environnements de d�veloppement assist�s par l'IA, une compromission d'un r�f�rentiel de confiance peut rapidement se propager � des milliers de syst�mes. Les �quipes de s�curit� sont d�sormais contraintes de surveiller elles-m�mes les progiciels, ainsi que les outils d'IA qui interagissent avec eux.

En mai 2026, GitHub a r�v�l� que des attaquants ont acc�d� aux donn�es d'environ 3 800 r�f�rentiels internes apr�s avoir compromis l'appareil d'un employ�. La violation a �t� attribu�e � une version corrompue de l'extension Visual Studio Code nrwl.angular-console, associ�e au projet Nx Console. GitHub a d�clar� qu'il n'y avait aucune preuve que les donn�es des clients en dehors de ses r�f�rentiels internes aient �t� affect�es, bien que la soci�t� poursuive son enqu�te et informera ses clients si un impact venait � �tre confirm�.

En outre, en mars 2025, une attaque sur le paquet tj-actions/changed-files, utilis� par plus de 23 000 organisations, dont de grandes entreprises, a expos� les vuln�rabilit�s critiques des �cosyst�mes open source. En compromettant un compte de mainteneur, des cybercriminels ont inject� un code malveillant con�u pour voler des informations sensibles, telles que des cl�s d�acc�s AWS, des jetons GitHub et des cl�s RSA priv�es. Cet incident avait soulev� des questions urgentes sur la s�curit� des logiciels open source et la gestion des d�pendances. Cette attaque rappelle que la confiance aveugle dans les d�pendances tierces peut avoir des cons�quences d�sastreuses, surtout lorsque les m�canismes de v�rification sont insuffisants.

Source : Rapport de Cloudsmith, Rapport d'Opensource Malware

Et vous ?

:fleche: Pensez-vous que ces rapports sont cr�dibles ou pertinents ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Microsoft a menac� de poursuites p�nales un chercheur en s�curit� qui a publi� des failles, apr�s avoir suspendu son compte de signalement des vuln�rabilit�s. La communaut� de la cybers�curit� est en col�re

:fleche: Microsoft admet l'h�bergement involontaire d'un logiciel malveillant sur GitHub qui a infect� pr�s d'un million d'appareils. Les cybercriminels ont exploit� des pubs pi�g�es sur des sites de streaming ill�gaux

:fleche: Des millions d'agents IA menac�s par une faille critique dans un paquet open source. � BadHost � a �t� d�couvert dans Starlette, un paquet t�l�charg� 325 millions de fois par semaine

Images attach�es

Gartner identifie quatre menaces critiques n�cessitant des am�liorations urgentes

Jade Emy — Tue, 09 Jun 2026 12:08:11 GMT

Gartner identifie quatre menaces critiques qui exigent des mesures d'am�lioration urgentes de la part des responsables de la cybers�curit�, notamment les deepfakes et la compromission des applications d'IA

Gartner identifie quatre menaces critiques n�cessitant des am�liorations urgentes de la part des responsables de la cybers�curit�. Il s�agit notamment des deepfakes, de la compromission des applications d�IA, de l�injection de prompts et des cha�nes d�approvisionnement logicielles. John Watts, vice-pr�sident et analyste chez Gartner, a expliqu� comment les RSSI peuvent faire face � ces quatre menaces critiques. Il a notamment affirm� : � Les responsables de la cybers�curit� doivent �tre capables de rep�rer le signal de menace au milieu de tout ce bruit afin de s�adapter aux �volutions du paysage des menaces. �

Selon Gartner, Inc., une soci�t� sp�cialis�e dans les analyses commerciales et technologiques, il existe quatre menaces critiques et impr�visibles pour lesquelles les attaquants disposent d�un avantage significatif pour exploiter avec succ�s les faiblesses des organisations cibl�es. Il s�agit notamment des deepfakes, de la compromission des applications d�IA, de l�injection de prompts et des cha�nes d�approvisionnement logicielles.

Le Gartner ThreatScape classe les menaces en six domaines distincts selon deux axes :

- Diff�rencier les menaces en fonction de la qualit� et du volume des informations (� signal de menace �) disponibles.
- �valuer les menaces en fonction des capacit�s de l'organisation � les g�rer, et d�terminer si les acteurs malveillants disposent d'un avantage.

Lors de l'�v�nement Gartner Security & Risk Management Summit, John Watts, vice-pr�sident et analyste chez Gartner, a expliqu� comment les RSSI peuvent faire face � ces quatre menaces critiques. � La mise en place d�initiatives de s�curit� par les entreprises pionni�res en IA ajoute un bruit significatif � un paysage des menaces d�j� bruyant �, a d�clar� Watts. � Les responsables de la cybers�curit� doivent �tre capables de rep�rer le signal de menace au milieu de tout ce bruit afin de s�adapter aux �volutions du paysage des menaces. �

Compromission des applications d'IA

La compromission des applications d'IA figure parmi les menaces critiques, car les attaquants ciblent le nombre croissant d'outils d'IA d'entreprise, tant publics que internes, pr�ts � �tre mis en production. La surface d'attaque s'est �largie pour inclure des agents sur mesure, des int�grations tierces et des applications r�serv�es aux employ�s, exposant souvent des donn�es sensibles ou des identifiants lorsque les contr�les sont insuffisants.

� Les �quipes de cybers�curit� doivent �tendre leurs programmes au-del� des protections logicielles traditionnelles en cartographiant les nouvelles surfaces d'attaque introduites par les mod�les GenAI ou les outils agentiques �, a d�clar� Watts. � L'utilisation du cadre TRiSM (Trust and Risk in Security Management) de Gartner permet aux �quipes de cybers�curit� de savoir o� int�grer des mesures d'att�nuation des menaces sp�cifiques � l'IA directement dans le processus de d�veloppement des applications d'IA. �

S�curiser une application d'IA ne signifie pas toujours repartir de z�ro. De nombreuses start-ups sp�cialis�es dans la s�curit� de l'IA offrent des capacit�s plus �tendues et plus approfondies � mesure que les organisations m�rissent et ont besoin d'une s�curit� accrue autour de leur utilisation de l'IA. Pour faire face � cette menace, les RSSI doivent appliquer aux applications d'IA les meilleures pratiques en mati�re de cycle de vie de d�veloppement s�curis� et de mod�lisation des menaces. Ils doivent �galement renforcer la s�curit� des donn�es en am�liorant la classification des donn�es, en adoptant un contr�le d'acc�s bas� sur l'objectif (PBAC) et en mettant en �uvre une surveillance en temps r�el.

Usurpation d'identit� � l'aide de deepfakes

L�av�nement de la GenAI a consid�rablement accru le volume, la fid�lit� et l�accessibilit� de la cr�ation de deepfakes pour la voix, la vid�o et les images, qu�il s�agisse d�artefacts pr�enregistr�s ou g�n�r�s en temps r�el. Cela a �largi les possibilit�s pour les attaquants d�usurper des identit�s sur toute une gamme de surfaces d�attaque. Les deepfakes peuvent �tre utilis�s pour attaquer les processus d�authentification biom�trique, peuvent �tre combin�s � l�ing�nierie sociale dans le cadre d�attaques en temps r�el contre les employ�s et peuvent servir � subvertir les processus de recrutement.

� L'utilisation des deepfakes par les attaquants ne cesse de progresser et est d�sormais courante, rendant les fraudes et les escroqueries par hame�onnage difficiles � d�tecter �, a d�clar� Watts. � Il n'existe pas de mesure de cybers�curit� unique qui vous prot�gera. Les organisations doivent plut�t combiner le renforcement des processus m�tier, la sensibilisation et le d�ploiement des technologies de d�tection des deepfakes disponibles lorsque cela est possible. �

En cons�quence, les �quipes de cybers�curit� doivent aller au-del� de la d�tection des deepfakes et renforcer les contr�les afin de prot�ger l�int�grit� des communications en temps r�el, ainsi que les processus d�authentification et de v�rification biom�triques, en tenant compte des �l�ments suivants :

- �laborez une strat�gie de mitigation robuste en reconnaissant que la d�tection des deepfakes � elle seule ne suffit pas pour d�tecter et pr�venir les attaques d�usurpation d�identit� par deepfake. Concentrez-vous plut�t sur des couches de contr�les qui varieront selon le cas d�utilisation.
- Prot�ger la v�rification d�identit� biom�trique en mettant l�accent sur la d�tection des attaques par pr�sentation et par injection, en plus des signaux contextuels.
- S�curiser les r�unions en ligne en mettant en �uvre des politiques d�acc�s conditionnel afin d�imposer une authentification forte pour les participants aux appels et l�analyse des m�tadonn�es des appels.

Menaces pesant sur la cha�ne d'approvisionnement logicielle

� L'�volution des offres d'IA g�n�rative ne fera qu'acc�l�rer la tendance aux attaques visant la cha�ne d'approvisionnement logicielle par le biais des vuln�rabilit�s des logiciels open source �, a d�clar� Watts. � Les organisations doivent s'efforcer de mettre en place des registres de composants fiables, de renforcer leurs pipelines CI/CD et de d�velopper de solides capacit�s op�rationnelles de d�tection et de r�ponse aux anomalies. �

Les �quipes de cybers�curit� devraient �tablir des inventaires complets des actifs logiciels tout en int�grant des contr�les rigoureux � chaque �tape du d�veloppement. Ces mesures contribuent � se d�fendre contre les menaces �mergentes qui ciblent � la fois les applications traditionnelles et les pipelines modernes bas�s sur l�IA. Dans cette optique, les RSSI devraient :

- Exiger des SBOM (et des AIBOM) de la part de tous les fournisseurs ; �valuer le risque de chaque composant � l�aide d�outils disposant de renseignements actualis�s sur les menaces avant le d�ploiement.
- Utiliser des r�f�rentiels s�lectionn�s pour le code tiers, les images de conteneurs et les mod�les d�IA ; appliquer une protection des branches sur les r�f�rentiels de code.
- Signer les artefacts lors des builds ; mettre en �uvre des contr�les d'acc�s bas�s sur le principe du privil�ge minimal sur les syst�mes de build ; surveiller en continu l'activit� d'ex�cution � l'aide d'outils agents.

Injection de prompt

L'injection de prompt est une menace de cybers�curit� ciblant les syst�mes d'IA, en particulier ceux utilisant des mod�les linguistiques de grande envergure (LLM). Les attaquants manipulent les prompts pour modifier le comportement du mod�le, le poussant � divulguer des informations sensibles, � effectuer des actions non autoris�es ou � contourner les contr�les. � mesure que les organisations adoptent de plus en plus l'IA g�n�rative, le risque d'injection de prompt s'accro�t, ce qui en fait un enjeu critique pour les �quipes de cybers�curit�.

Pour contrer efficacement les menaces d'injection de prompt, les �quipes de cybers�curit� doivent mettre en �uvre une strat�gie de mitigation � plusieurs niveaux. Cela implique de r�aliser des tests de s�curit� de l'IA pour identifier de mani�re proactive les vuln�rabilit�s, d'�tablir des prompts syst�me robustes pour guider le comportement de l'IA, et de d�ployer des garde-fous d'ex�cution de l'IA qui surveillent et bloquent les activit�s suspectes. Les actions cl�s pour les RSSI comprennent :

- Mettre en �uvre la validation et l'assainissement des entr�es pour filtrer les invites potentiellement malveillantes.
- Mettre en place une surveillance et des alertes pour d�tecter tout comportement anormal de l'IA pouvant indiquer une injection d'invite r�ussie.
- Int�grer des tests d'injection d'invite dans le cycle de vie du d�veloppement des syst�mes d'IA.
- Exploiter les r�sultats des tests pour am�liorer les contr�les d'ex�cution.

Source : Gartner

Et vous ?

:fleche: Pensez-vous que cette pr�sentation est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: YouTube met � la disposition des politiciens et des journalistes un outil de d�tection des deepfakes afin de prot�ger les utilisateurs au c�ur du d�bat politique et d'identifier les vid�os g�n�r�es par l'IA

:fleche: OpenAI �tend le mode � Lockdown � � davantage d'utilisateurs de ChatGPT afin de lutter contre les attaques par injection de prompt.Le mode � Lockdown � limite l'acc�s au Web et aux services externes

:fleche: Les menaces pesant sur la cha�ne d'approvisionnement des logiciels augmentent � l'�re de l'IA : CVE, paquets malveillants, mauvaises configurations et erreurs humaines

Images attach�es

Une enqu�te sugg�re que des satellites russes lancent des attaques IT de type DoS qui brouillent le GPS en UE

Patrick Ruiz — Tue, 09 Jun 2026 10:00:21 GMT

Une enqu�te sugg�re que des satellites russes lancent des attaques IT de type DoS qui brouillent le GPS en UE. Moscou teste ses capacit�s d�immobilisation de l�Europe, d�apr�s des observateurs

Des chercheurs ont publi� les r�sultats d�une enqu�te de laquelle il ressort que des satellites militaires russes sont � l'origine de plusieurs perturbations du GPS enregistr�es en Europe depuis 2019. Ces brouillages, qui s'�tendent de l'Islande � l'Italie, touchent les syst�mes de navigation am�ricain, chinois et europ�en, mais �pargnent le syst�me russe GLONASS. Moscou teste ses capacit�s d�immobilisation de l�Europe, d�apr�s des observateurs.

Des satellites russes perturbent les signaux GPS � travers l'Europe depuis des ann�es, selon les r�sultats d�une enqu�te publi�e par une �quipe de chercheurs. Depuis 2019, les chercheurs ont recens� 75 incidents de perturbation GPS en Europe. Les r�sultats de l�enqu�te font �tat de ce que le signal perturbateur provenait directement de satellites russes dans au moins trois de ces incidents.

Le jamming (ou brouillage) est la technique d�ploy�e dans ces incidents. Dans le domaine informatique et des t�l�communications, il s'agit d'une attaque par d�ni de service (DoS) visant � perturber ou bloquer les communications sans fil

Le jamming revient � crier tr�s fort sur la m�me fr�quence radio que celle utilis�e par les satellites GPS. Les rapports font �tat de ce que les satellites russes �mettent un puissant bruit radio sur les fr�quences standard (ou voisines) de la bande L (comme la fr�quence L1, utilis�e pour le GPS civil). Lorsque ce bruit est d'un ordre de grandeur sup�rieur au signal provenant des v�ritables satellites GPS, le r�cepteur civil est submerg� et ne parvient plus � calculer sa position ni l'heure.

En passant au crible les donn�es publiques provenant de stations terrestres �quip�es de r�cepteurs GNSS (syst�me mondial de navigation par satellite), ils ont identifi� un sch�ma d'interf�rences de forte puissance d'une dur�e inf�rieure � 10 secondes � chaque fois, mais d�tectables simultan�ment par des stations terrestres � travers l'Europe, de la Norv�ge � l'Espagne en passant par la Pologne, et s'�tendant m�me vers l'ouest jusqu'au Groenland et au Canada.

En analysant les donn�es des stations au sol entre janvier 2019 et avril 2026, les chercheurs ont recens� 75 jours au cours desquels au moins un �pisode d�interf�rence GNSS g�n�ralis�e a co�ncid� avec la bande de fr�quences GPS L1, centr�e sur 1575,42 m�gahertz. Il s�agit de la bande principale utilis�e pour la transmission des signaux par la constellation de satellites GPS de fabrication am�ricaine et par les constellations GNSS d�autres pays.

Ces ph�nom�nes d'interf�rence se produisaient principalement les mardis, mercredis et jeudis pendant les heures de bureau en Europe, d�apr�s les r�sultats de l�enqu�te. �tant donn� que ces interf�rences � � l'�chelle continentale � affectaient simultan�ment les r�cepteurs GPS � travers l'Europe et au-del�. Les chercheurs ont effectu� des calculs et d�termin� que la source devait se trouver � au moins 1200 kilom�tres au-dessus de la terre.

Les donn�es du rapport d�bouchent sur la conclusion selon laquelle les attaques DoS provenaient de six satellites au sein de la constellation Edinaya Kosmicheskaya Sistema (EKS), dont le Kosmos 2546.

La publication des r�sultats de l�enqu�te fait suite � des alertes sur des menaces de la Russie de couper Internet et le GPS en Europe

C�est ce que rapporte John Flannery � ancien procureur f�d�ral de New York � dans une sortie : � La Russie menace de couper l�Internet et le GPS de l�Occident. � C�est une sortie qui laisse entrevoir que les brouillages du GPS par les satellites russes sont voulus. Des observateurs soutiennent ce positionnement sur la base des valeurs des fr�quences �mises par les satellites de la constellation EKS.

Ces derni�res sont voisines de celles du GPS et d�une puissance suffisante pour d�border et brouiller les appareils en Europe. La man�uvre serait compr�hensible �tant donn� que ces publications se font dans un contexte de guerre entre la Russie et l�Ukraine qui requiert que les Russes puissent masquer ses positions militaires ou mettre � mal des infrastructures ennemies qui s�appuient sur le GPS.

Pavel Podvig, directeur du Russian Nuclear Forces Project, organisme qui suit les capacit�s strat�giques russes, juge pour sa part peu vraisemblable que Moscou utilise ces satellites � des fins de brouillage �tant donn� que leur mission premi�re est l�alerte nucl�aire.

Ce n�est pas la premi�re fois que la Russie se retrouve au centre de telles all�gations

C�est ce que sugg�re un rapport du Center for Advanced Defense (C4AD) paru en 2019 et selon lequel � Les Russes auraient pirat� les syst�mes de positionnement par satellites pour envoyer de fausses donn�es de navigation � des navires. �

Selon le C4AD, la man�uvre �tait destin�e � prot�ger le pr�sident russe. Alors que Poutine traversait un pont aux volants d�une voiture, les syst�mes de navigation par satellite install�s qui se trouvent dans les salles machines d�environ 24 navires des alentours du pont ont tous commenc� � afficher de fausses donn�es de navigation. Leurs syst�mes GPS auraient indiqu� qu'ils �taient ancr�s � plus de 65 kilom�tres � terre, � l'a�roport d'Anapa.

Source : Rapport

Et vous ?

:fleche: Partagez-vous les avis selon lesquels la Russie teste ses capacit�s d�immobilisation de l�Europe en cas de conflit ?

Voir aussi :

:fleche: Des chercheurs mettent en �uvre une attaque efficace par usurpation de GPS et r�ussissent � tromper facilement les humains
:fleche: Des chercheurs savent d�terminer la localisation d�un possesseur de smartphone Android m�me lorsque le GPS est d�sactiv�
:fleche: Les entreprises utilisent la g�olocalisation de smartphone pour aider les annonceurs, elles assurent que les donn�es sont anonymes, est-ce le cas ?
:fleche: L�API de g�olocalisation ne sera plus accessible pour des contextes non s�curis�s � partir de Chrome 50 afin de mieux prot�ger ce type de donn�es
:fleche: La Commission europ�enne annonce le lancement de l�exploitation de Galileo, le syst�me europ�en de positionnement par satellites concurrent du GPS

Images attach�es

Un mod�le d�enceinte USB peut servir de moyen d�infection d�un PC via une connexion bluetooth non authentifi�e

Patrick Ruiz — Mon, 08 Jun 2026 11:43:16 GMT

Un mod�le d�enceinte USB peut servir de moyen d�infection d�un PC via une connexion bluetooth non authentifi�e. Le constructeur refuse de prendre en compte le risque de s�curit� et de publier un correctif

Un chercheur en cybers�curit� a d�couvert que la Sound Blaster Katana V2X peut �tre pirat�e via une connexion bluetooth non authentifi�e afin de la transformer en un proxy capable de prendre le contr�le d'un PC. En gros, l�attaque est possible � distance ou alors sans qu�il soit n�cessaire que le tiers malveillant soit en contact avec le haut-parleur. Le constructeur refuse de prendre en compte le risque de s�curit� et de publier un correctif.

La Creative Sound Blaster Katana V2X peut servir de proxy de prise de contr�le de PC, car son interface Bluetooth non authentifi�e permet � des attaquants situ�s dans un rayon d'environ 15 m�tres d'y installer un micrologiciel personnalis�. En modifiant les descripteurs USB de l'enceinte, un attaquant peut tromper le syst�me d'exploitation h�te en lui faisant croire que le haut-parleur est une esp�ce de clavier, ce qui permet alors au pirate de saisir et d'ex�cuter des commandes arbitraires.

L�exploit publi� s�appuie sur trois failles : des commandes CTP (Creative Transport Protocol) Bluetooth non authentifi�es, l'absence de signature cryptographique pour les mises � jour du micrologiciel et le fait que l'enceinte soit d�j� reconnue par les PC comme un p�riph�rique d'interface humaine (HID) de confiance.

Le Katana V2X communique avec les applications Creative pour ordinateur et mobile via un protocole propri�taire appel� CTP (Creative Transport Protocol). Alors que l'interface USB n�cessite une proc�dure d'authentification pour accepter les commandes, l'interface Bluetooth Low Energy (BLE) accepte exactement les m�mes commandes sans authentification ni appariement pr�alable.

Le micrologiciel de l'enceinte ne dispose pas de dispositif de v�rification de signature cryptographique, ce qui signifie qu'il accepte et installe aveugl�ment toute image de micrologiciel personnalis�e ou modifi�e qui lui est transmise.

L'enceinte repose sur un syst�me d'exploitation open source (FreeRTOS) et prend en charge les fonctions HID (Human Interface Device) pour la lecture de fichiers multim�dias. Les pirates peuvent modifier les descripteurs USB de l'enceinte afin qu'elle soit reconnue comme un clavier.

En gros, un attaquant envoie un micrologiciel malveillant via bluetooth. L'enceinte red�marre et charge le micrologiciel malveillant. Le micrologiciel �mule un clavier et envoie des frappes via la connexion USB physique vers le PC h�te.

� Dans un sc�nario d'attaque r�el, j'ex�cuterais les commandes permettant d'ouvrir powershell.exe ou un programme similaire, puis j'y collerais une ligne de code r�ellement malveillante, mais dans le cadre d'une d�monstration de faisabilit�, cela m'a largement suffi. Un v�ritable pirate d�sactiverait probablement aussi la routine de mise � jour du micrologiciel, tant en mode normal qu'en mode de r�cup�ration, rendant ainsi impossible l'effacement du micrologiciel malveillant de l'appareil ou son correction ult�rieure. Cette situation est aggrav�e par le fait que le Bluetooth est toujours activ� sur l'enceinte, m�me en mode veille, sans qu'il semble y avoir de moyen de le d�sactiver �, explique le chercheur qui a publi� l�exploit.

Bien que le fait de permettre � des pirates situ�s � moins de 15 m�tres de prendre le contr�le d'un ordinateur connect� constitue un risque grave, le fabricant Creative Technologies ne consid�re pas ce comportement comme une faille de s�curit�.

� Prendre contact avec Creative s'est av�r� �tre un processus frustrant. Ils ne disposent d'aucun interlocuteur d�di� � la s�curit�. En fait, je n'ai m�me pas r�ussi � trouver de coordonn�es classiques autres qu'un simple formulaire d'assistance sur leur site web. J'ai essay� (� deux reprises) de les contacter via ce formulaire avant d'abandonner et de faire appel � l'�quipe d'intervention d'urgence informatique de Singapour (SingCERT) pour qu'elle serve d'interm�diaire, dans l'espoir qu'elle parvienne mieux � joindre Creative.

Au d�part, l'�quipe d'intervention d'urgence cyber de Singapour ne semblait pas non plus parvenir � joindre Creative. Il a fallu pr�s de deux mois � Creative pour r�pondre � l'�quipe d'intervention d'urgence cyber de Singapour. Malheureusement, leur r�ponse a �t� qu'� ils ne consid�rent pas cela comme une vuln�rabilit�, car cela ne pr�sente pas de risque pour la cybers�curit� �. Je ne sais pas comment ils sont parvenus � cette conclusion, mais il est devenu �vident que Creative n'avait aucun int�r�t � r�pondre ou � traiter ce probl�me. De ce fait, aucun correctif n'est actuellement disponible via Creative. Le dernier firmware est vuln�rable �, indique le chercheur en s�curit�.

� Pour pallier en partie ce probl�me et permettre aux utilisateurs de continuer � utiliser ces appareils en toute s�curit�, j'ai r�dig� un correctif pour le micrologiciel qui bloque le CTP via Bluetooth. Cela risque de rendre l'application mobile Creative inutilisable, mais sans le code source, il est assez difficile de modifier le micrologiciel tout en garantissant une authentification ad�quate �, ajoute-t-il.

Dans une r�cente mise � jour le chercheur en s�curit� souligne que � Creative a supprim� toutes les URL permettant de t�l�charger le micrologiciel pour les Katana V2/V2X/SE, et celles-ci ne sont d�sormais plus accessibles. �tant donn� que l'outil d�pendait de ces URL pour r�cup�rer le micrologiciel vierge depuis les serveurs de Creative (afin de ne pas redistribuer de propri�t� intellectuelle), Creative a de fait rendu le correctif inutilisable. �tant donn� que la soci�t� n'a pas non plus publi� de nouveau firmware corrig�, les utilisateurs de Sound Blaster Katana sont d�sormais expos�s � un risque permanent, sans aucune solution possible, � moins qu'ils ne parviennent � se procurer les fichiers de firmware vierges aupr�s d'un tiers. �

Conclusion

Les failles mises � contribution dans le cadre de la mise sur pied de l�exploit d�nomm� � Pwnd Blaster � s�apparentent � celles mises en avant par des chercheurs en s�curit� sous le nom � Blueborne �. Pour lancer des attaques BlueBorne, les pirates n�ont pas besoin de coupler leur appareil avec celui de la victime. Les failles de s�curit� Bluetooth BlueBorne ont �t� corrig�es peu apr�s leur d�couverte en 2017. Les principaux �diteurs de syst�mes d'exploitation (Microsoft, Apple, Google et Linux) ont publi� des mises � jour de s�curit� pour corriger ces failles. Reste � savoir combien d�appareils sont affect�s par la cha�ne de vuln�rabilit�s � Pwnd Blaster � et qui attendent toujours des correctifs de s�curit�.

Source : Publication de recherche

Et vous ?

:fleche: Que pensez-vous du positionnement de Creative Technologies en ce qui concerne les trouvailles de ce chercheur en s�curit� ?

Voir aussi :

:fleche: Bluetooth 5.0 est officiellement disponible avec un lot d'am�liorations, dont l'augmentation de la bande passante et le renforcement de la port�e
:fleche: Bluetooth 4.2 arrive avec un lot de nouveaut�s, plus rapide et plus s�curis�, il utilise IPv6 pour se connecter directement � Internet

Images attach�es

Meta va fusionner les identifiants Facebook, Instagram et Threads en un seul compte

Jade Emy — Wed, 03 Jun 2026 09:33:21 GMT

Meta impose le d�ploiement mondial d'un syst�me de compte unifi� sur toutes ses plateformes, fusionnant les identifiants Facebook, Instagram et Threads afin de regrouper toutes vos donn�es

Meta a r�cemment annonc� le d�ploiement d'un syst�me de compte unifi� qui regroupera automatiquement vos identifiants Facebook, Instagram, Threads et ceux d'autres applications Meta en un seul compte Meta. Ce changement s'appuie sur le Centre des comptes existant, qui permettait d�j� aux utilisateurs de relier leurs profils entre les diff�rentes applications de Meta. Le nouveau compte Meta va plus loin en proposant un mot de passe unique pour tous les services connect�s ou une cl� d'acc�s utilisant l'empreinte digitale, la reconnaissance faciale ou le code PIN de votre appareil. Le d�ploiement est progressif et s'�talera sur l'ann�e � venir � l'�chelle mondiale. Les utilisateurs recevront une notification une fois leur compte migr�.

Meta Platforms, Inc. (op�rant sous le nom de Meta) est une multinationale am�ricaine du secteur des technologies dont le si�ge social est situ� � Menlo Park, en Californie. Meta d�tient et exploite plusieurs plateformes de r�seaux sociaux et services de communication de premier plan, notamment Facebook, Instagram, WhatsApp, Messenger et Threads. La soci�t� g�re �galement un r�seau publicitaire pour ses propres sites et pour des tiers. Meta est consid�r�e comme faisant partie des � Big Tech �.

Fin mai 2026, des pirates informatiques sont parvenus � tromper le chatbot d'assistance aliment� par l'intelligence artificielle (IA) de Meta pour qu'il ajoute leur adresse e-mail aux comptes Instagram des victimes et r�initialise leurs mots de passe. Cette attaque n'a n�cessit� aucun acc�s aux comptes de messagerie des victimes et aurait compromis plusieurs comptes de premier plan, dont celui de la Maison-Blanche sous l'administration Obama et celui d'un haut responsable de l'US Space Force. L'incident a mis en lumi�re la mani�re dont les outils d'IA peuvent cr�er de nouvelles surfaces d'attaque lorsqu'ils sont dot�s de privil�ges sur les fonctions sensibles des comptes. Meta a d�clar� que le probl�me avait depuis �t� r�solu.

Malgr� cet incident, Meta a r�cemment annonc� le d�ploiement d'un syst�me de compte unifi� qui regroupera automatiquement vos identifiants Facebook, Instagram, Threads et ceux d'autres applications Meta en un seul compte Meta. La soci�t� a commenc� � en informer les utilisateurs cette semaine, la migration devant avoir lieu dans les prochaines semaines pour ceux qui n'ont pas encore re�u la mise � jour.

Ce changement s'appuie sur le Centre des comptes existant, qui permettait d�j� aux utilisateurs de relier leurs profils entre les diff�rentes applications de Meta. Le nouveau compte Meta va plus loin en proposant un mot de passe unique pour tous les services connect�s ou une cl� d'acc�s utilisant l'empreinte digitale, la reconnaissance faciale ou le code PIN de votre appareil. L'authentification � deux facteurs et les autres param�tres de s�curit� inter-applications seront �galement g�r�s � partir d'un tableau de bord centralis� plut�t que mis � jour s�par�ment dans chaque application.

Meta pr�cise que les identifiants de connexion existants continueront de fonctionner comme auparavant, et que les options de mot de passe et de cl� d'acc�s unifi�s sont facultatives. Les param�tres sp�cifiques � chaque application, tels que les personnes autoris�es � voir vos publications ou � vous identifier sur des photos, restent g�r�s au sein de chaque application individuelle. Le d�ploiement est progressif et s'�talera sur l'ann�e � venir � l'�chelle mondiale. Les utilisateurs recevront une notification une fois leur compte migr�.

Un syst�me de compte unifi� offre � Meta une base plus claire pour lancer de nouveaux produits, des assistants IA aux appareils de r�alit� mixte comme les lunettes Ray-Ban Meta et les casques Quest, qui s�appuient sur une identit� utilisateur unique et coh�rente � travers l��cosyst�me de l�entreprise. WhatsApp est notablement absent de cette consolidation obligatoire. Meta l�a laiss� en option, ce qui signifie que les utilisateurs qui souhaitent garder leur compte WhatsApp s�par� de leur identit� Facebook et Instagram peuvent le faire.

Cette consolidation soul�ve �galement des questions � plus long terme sur ce que signifie une identit� Meta unifi�e pour les utilisateurs qui ne paient pas. Meta a d�j� mis en place des niveaux d'abonnement payants sur WhatsApp, Instagram et Facebook, et un syst�me de compte unique facilite le regroupement des fonctionnalit�s premium sous un seul abonnement centralis�.

Cette initiative de Meta rappelle une plainte d�pos�e dans le cadre d'un recours collectif contre l'entreprise. La plainte, d�pos� en novembre 2025, a r�v�l� que Meta aurait enterr� des recherches montrant que ses produits, notamment Facebook, nuisent aux utilisateurs et causeraient des probl�mes de sant� mentale. Le c�ur de la plainte tourne autour d'un projet de recherche interne de 2020 baptis� � projet Mercury �. Les scientifiques de Meta, en collaboration avec la soci�t� d'�tudes Nielsen, ont �tudi� les effets de la � d�sactivation � de l'utilisation de Facebook. Selon des documents internes cit�s dans le dossier, les r�sultats �taient tr�s d�favorables : � les personnes qui ont cess� d'utiliser Facebook pendant une semaine ont d�clar� ressentir moins de d�pression, d'anxi�t�, de solitude et de comparaison sociale �.

Regrouper les comptes permettrait-il d'obtenir des r�sultats similaires sans quitter Facebook ? En outre, sur le plan de la cybers�curit�, d�sormais si vous vous faites pirater ou voler votre compte Meta, vous allez perdre � la fois vos comptes Facebook, Instagram, et Threads - c'est le "progr�s".

Source : Meta

Et vous ?

:fleche: Pensez-vous que cette d�cision est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Meta enregistre sa plus forte croissance depuis 2021 mais accuse son premier recul trimestriel d'utilisateurs : son action diminue de 9 % tandis que Meta revoit son budget IA � la hausse de 10 Mds $

:fleche: Meta a con�u ses plateformes de mani�re � rendre les jeunes utilisateurs d�pendants en exploitant les faiblesses connues du cerveau des enfants, selon une plainte de 41 �tats am�ricains contre Meta

:fleche: Meta permet d�sormais aux parents d'espionner leurs enfants avec l'outil de supervision pour savoir de quels sujets ils discutent avec l'IA sur Facebook, Messenger et Instagram

Images attach�es

Des hackers ont pirat� des comptes Instagram en demandant � l'IA de Meta de r�initialiser les mots de passe

Anthony — Tue, 02 Jun 2026 11:12:00 GMT

Des hackers ont pirat� des comptes Instagram en demandant au chatbot IA de Meta de r�initialiser les mots de passe, les comptes de la Maison-Blanche d'Obama et d'un officiel de l'US Space Force ont �t� compromis

Des pirates informatiques sont parvenus � tromper le chatbot d'assistance aliment� par l'intelligence artificielle (IA) de Meta pour qu'il ajoute leur adresse e-mail aux comptes Instagram des victimes et r�initialise leurs mots de passe. Cette attaque n'a n�cessit� aucun acc�s aux comptes de messagerie des victimes et aurait compromis plusieurs comptes de premier plan, dont celui de la Maison-Blanche sous l'administration Obama et celui d'un haut responsable de l'US Space Force. L'incident a mis en lumi�re la mani�re dont les outils d'IA peuvent cr�er de nouvelles surfaces d'attaque lorsqu'ils sont dot�s de privil�ges sur les fonctions sensibles des comptes. Meta a d�clar� que le probl�me avait depuis �t� r�solu.

Meta Platforms, Inc. (op�rant sous le nom de Meta) est une multinationale am�ricaine du secteur des technologies dont le si�ge social est situ� � Menlo Park, en Californie. Meta d�tient et exploite plusieurs plateformes de r�seaux sociaux et services de communication de premier plan, notamment Facebook, Instagram, WhatsApp, Messenger et Threads. La soci�t� g�re �galement un r�seau publicitaire pour ses propres sites et pour des tiers. Meta est consid�r�e comme faisant partie des � Big Tech �.

Instagram est un r�seau social am�ricain de partage de photos et de courtes vid�os appartenant � Meta Platforms. Il permet aux utilisateurs de publier des contenus multim�dias pouvant �tre modifi�s � l'aide de filtres, class�s par hashtags et associ�s � un lieu gr�ce au g�omarquage. Les publications peuvent �tre partag�es publiquement ou avec des abonn�s pr�approuv�s. Les utilisateurs peuvent parcourir le contenu d'autres utilisateurs par tags et par lieux, consulter les contenus tendance, � aimer � des photos et suivre d'autres utilisateurs pour ajouter leur contenu � leur fil d'actualit� personnel. Cette plateforme de r�seau social ax�e sur l'image, exploit�e par Meta, est disponible sur iOS, Android, Windows et le Web.

Le week-end de fin mai 2026, des hackers ont pirat� des comptes Instagram en trompant le chatbot d'assistance de Meta, aliment� par l'IA, afin qu'il leur accorde l'acc�s. Cette attaque n'a n�cessit� ni acc�s � l'adresse e-mail de la victime, ni lien de phishing, ni logiciel malveillant. Le hacker a simplement demand� au chatbot d'ajouter une nouvelle adresse e-mail au compte d'une autre personne.

Une vid�o publi�e sur X montrait la proc�dure �tape par �tape. Le pirate a utilis� un VPN pour masquer la localisation pr�sum�e de la cible, contournant ainsi les mesures de protection automatiques d'Instagram. Il a ensuite ouvert une conversation avec le chatbot d'assistance IA de Meta et a demand� � l'assistant d'ajouter une nouvelle adresse e-mail au compte de la cible.

Le chatbot a envoy� un code de v�rification � l'adresse e-mail du pirate informatique. Ce dernier a renvoy� le code au chatbot. Le bot a alors affich� un bouton � R�initialiser le mot de passe � et le pirate informatique a saisi un nouveau mot de passe avant de prendre le contr�le du compte.

� aucun moment, le pirate n'a eu besoin d'acc�der � l'adresse e-mail l�gitime associ�e au compte Instagram de la victime. Des experts ont confirm� que la bo�te mail publique du pirate, visible dans la vid�o, avait bien re�u le code de v�rification. L'attaque a exploit� une faille fondamentale : le chatbot IA a trait� son interlocuteur comme le titulaire du compte sans v�rifier son identit�.

Parmi les comptes pirat�s figuraient le compte Instagram de la Maison Blanche de l'�poque Obama, inactif depuis 2017, ainsi que celui du sergent-chef John Bentivegna, chef de la Force spatiale am�ricaine. La chercheuse en s�curit� Jane Wong a d�clar� que son compte avait �galement �t� pirat�.

� Le mot de passe a �t� modifi� � mon insu et j'ai re�u plusieurs tentatives de r�initialisation de mot de passe tout au long de la journ�e d'hier �, a d�clar� Jane Wong. � C'est assez inqui�tant. � De nombreux utilisateurs sur les forums en ligne ont signal� des piratages similaires au cours du m�me week-end.

Andy Stone, porte-parole d'Instagram, a d�clar� le lundi 1er juin que le probl�me avait �t� r�solu. On ignore toutefois combien de comptes ont �t� pirat�s.

Cette attaque est un exemple parfait qui illustre pourquoi il est dangereux de d�ployer des chatbots IA dot�s d�autorisations de niveau compte. Les clients d�Agentforce de Salesforce ont toujours h�sit� � laisser les agents IA effectuer des op�rations financi�res importantes, pr�cis�ment en raison de ce risque. L�analyste Rebecca Wettemann a d�crit cette crainte comme � le risque que l�IA se mette � agir de son propre chef au milieu de la nuit et rembourse toute une s�rie de transactions �. Meta a donn� � son IA la possibilit� de r�initialiser des mots de passe, et celle-ci a fait exactement ce qu�on lui avait demand�, mais pour la mauvaise personne.

Le paysage de la s�curit� des agents IA g�n�re de nouvelles cat�gories de vuln�rabilit�s � un rythme plus rapide que celui auquel les entreprises parviennent � y rem�dier. L'exploit � Claw Chain � d'OpenClaw a exploit� les privil�ges de sandbox de l'agent lui-m�me. Cette attaque contre Instagram a quant � elle exploit� les privil�ges de gestion de compte d'un bot d'assistance IA. Le point commun : lorsqu'un agent IA dispose des autorisations n�cessaires pour agir, la s�curit� du syst�me d�pend enti�rement de sa capacit� � v�rifier l'identit� de la personne qui lui demande d'agir.

L'assistant IA de support client de Meta a �t� con�u pour r�duire les co�ts li�s au service client assur� par des humains. Il a rempli sa mission. Il a toutefois cr�� une faille de s�curit� que les agents humains n'auraient pas laiss�e passer : un agent humain aurait v�rifi� l'identit� de l'appelant avant d'ajouter une nouvelle adresse e-mail � un compte. Ce n'�tait pas le cas du chatbot.

Sources : Publication sur X, The CyberSec Guru

Et vous ?

:fleche: Quelle lecture faites-vous de cette situation ?
:fleche: Selon vous, la d�cision de Meta d'accorder � son agent d'assistance IA des privil�ges sur les comptes est-elle cr�dible ou pertinente ?

Voir aussi :

:fleche: Des employ�s de Meta critiquent Mark Zuckerberg pour avoir enregistr� chaque frappe clavier des employ�s afin d'entra�ner l'IA, les employ�s ne pouvant pas refuser d'�tre suivis par le logiciel de surveillance

:fleche: Les pirates peuvent lire les conversations priv�es avec les assistants d'IA m�me lorsqu'elles sont chiffr�es, une attaque d�duit les r�ponses avec une pr�cision parfaite des mots dans 29 % des cas

:fleche: 55 % des hackers estiment que l'IA sera meilleure que le hacker moyen d'ici cinq ans, alors que 72 % pensent que l'IA g�n�rative ne sera pas en mesure de reproduire la cr�ativit� des hackers humains

:fleche: L'utilisation de l'IA par les pirates informatiques a entra�n� une hausse consid�rable de la cybercriminalit�, dont le co�t pour les internautes devrait atteindre 9 220 milliards de dollars en 2024

Un vol United Airlines fait demi-tour apr�s qu�un nom d�appareil Bluetooth a d�clench� une alerte de s�curit�

Anthony — Tue, 02 Jun 2026 08:53:50 GMT

Un vol de la compagnie United Airlines a d� faire demi-tour vers Newark apr�s qu�une alerte de s�curit� a �t� d�clench�e par le nom d�un appareil Bluetooth : un adolescent avait baptis� son Fitbit � bombe �

Un vol de la compagnie United Airlines reliant Newark � l'Espagne a d� faire demi-tour apr�s qu'un Fitbit, port� par un passager de 16 ans, est apparu dans la liste des appareils Bluetooth disponibles sous le nom � bombe �, d�clenchant une alerte de s�curit�. Les autorit�s ont �vacu� l'avion, proc�d� � une fouille de l'appareil et des passagers, puis effectu� un nouveau contr�le de s�curit� avant de permettre � l'avion de red�coller. Le FBI m�ne actuellement une enqu�te sur cet incident.

United Airlines, Inc. est une grande compagnie a�rienne am�ricaine dont le si�ge social est situ� � Chicago, dans l'Illinois. Elle exploite un vaste r�seau de liaisons nationales et internationales � travers les �tats-Unis et vers des destinations r�parties sur six continents. Les liaisons r�gionales sont assur�es par des transporteurs ind�pendants op�rant sous la marque United Express, tandis que Star Alliance, dont United est l'une des cinq compagnies fondatrices, �tend son r�seau � l'�chelle mondiale.

Un vol de la compagnie United Airlines au d�part de Newark et � destination de l'Espagne a d� faire demi-tour en plein vol le samedi 30 mai dernier parce qu'un adolescent avait baptis� son Fitbit � bombe � et que celui-ci �tait apparu dans la liste des appareils Bluetooth disponibles, ont indiqu� des responsables et des sources.

L'avion a d�coll� de l'a�roport international Newark Liberty vers 18 heures, mais il a atterri de nouveau � Newark vers 21 h 30 apr�s que les services de s�curit� ont �t� alert�s pour inspecter un appareil Bluetooth suspect � bord qui avait �t� d�tect� comme pouvant �tre une � bombe �, ont indiqu� des sources.

L'avion a fait demi-tour et a atterri � Newark apr�s que les passagers ont re�u l'ordre d'�teindre leurs appareils et que ce nom inqui�tant est rest� affich� � l'�cran. Il s'est av�r� par la suite que ce nom correspondait � un Fitbit appartenant � un adolescent de 16 ans qui se trouvait � bord.

Les passagers ont d� �vacuer l'appareil pendant que la police portuaire proc�dait � une fouille de l'avion. Les agents de l'Administration de la s�curit� des transports et des douanes et de la protection des fronti�res ont proc�d� � un nouveau contr�le des passagers avant qu'ils ne remontent � bord.

� Le vol United 236 reliant Newark � Palma de Majorque, en Espagne, est revenu sans encombre � Newark afin de r�gler un �ventuel probl�me de s�curit� �, a d�clar� un porte-parole de United Airlines le dimanche 31 mai. � Le vol a ensuite repris sa route vers Palma de Majorque avec un nouvel �quipage. �

La compagnie a�rienne a renvoy� toute demande d'informations compl�mentaires aux autorit�s locales. L'adolescent, dont l'identit� n'a pas �t� r�v�l�e, n'a fait l'objet d'aucune poursuite au niveau local, mais le FBI m�ne actuellement une enqu�te sur cette affaire, selon certaines informations.

Source : Publication de Jordan Moore, passag�re � bord du vol United 236

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Selon vous, United Airlines a-t-elle pris la bonne d�cision en faisant demi-tour, ou sa r�action �tait-elle disproportionn�e par rapport aux circonstances ?

Voir aussi :

:fleche: United Airlines proposera des vols commerciaux �quip�s du syst�me Wi-Fi Starlink de SpaceX au printemps 2025, qui devrait �tre disponible sur pr�s de 1 000 avions

:fleche: Air France est la derni�re compagnie a�rienne � s'engager dans le service Internet � haut d�bit de Starlink d'Elon Musk, apr�s le partenariat entre Starlink et United Airlines

:fleche: Une compagnie a�rienne fran�aise point�e du doigt pour avoir entr� des donn�es de vol � douteuses � qui ont fait plant� le syst�me ATC britannique, affectant plus de 300 000 passagers

:fleche: Une compagnie a�rienne am�ricaine expose accidentellement sa "liste des personnes interdites de vol" sur un serveur non s�curis�, elle contient des noms, des pseudonymes et d'autres types de donn�es

IBM et Red Hat s'engagent � investir 5 milliards $ pour red�finir l'avenir de l'open source � l'�re de l'IA

Jade Emy — Fri, 29 May 2026 10:18:28 GMT

IBM et Red Hat s'engagent � investir 5 milliards $ pour s�curiser les logiciels open source : le projet Lightwell mobilisera plus de 20 000 ing�nieurs et des outils d'IA afin d'identifier les vuln�rabilit�s

IBM et Red Hat ont annonc� le lancement du projet Lightwell, un engagement de 5 milliards de dollars visant � aider les entreprises � s�curiser leurs logiciels open source gr�ce � une combinaison d�outils d�IA et � plus de 20 000 ing�nieurs. Au c�ur de cette initiative se trouve ce qu'IBM et Red Hat appellent un � centre d'�change d'informations d'entreprise de confiance �, o� des capacit�s avanc�es d'IA sont utilis�es pour contr�ler et v�rifier les correctifs � une �chelle couvrant une grande partie de l'�cosyst�me open source. Dans le cadre de cette structure de centre d'�change, les entreprises participantes ont acc�s � un canal confidentiel pour signaler les failles de s�curit�, � des correctifs pr�ts � l'emploi d�velopp�s et test�s par les ing�nieurs d'IBM et de Red Hat, ainsi qu'� un m�canisme permettant de r�injecter ces solutions dans l'�cosyst�me open source au sens large.

International Business Machines Corporation, op�rant sous le nom d'IBM (surnomm�e � Big Blue �), est une multinationale am�ricaine du secteur des technologies. Il s'agit d'une soci�t� cot�e en bourse qui figure parmi les 30 entreprises composant l'indice Dow Jones Industrial Average. IBM est la plus grande organisation de recherche industrielle au monde, avec 19 centres de recherche r�partis dans une douzaine de pays.

En tant que l'une des plus anciennes et des plus grandes entreprises technologiques au monde, IBM est � l'origine de plusieurs innovations technologiques, notamment le guichet automatique bancaire (GAB), la m�moire vive dynamique (DRAM), la disquette, le langage de balisage g�n�ralis� (XML), le disque dur, la carte � bande magn�tique, la base de donn�es relationnelle, le langage de programmation SQL et le code-barres UPC (Universal Product Code). L'entreprise s'est impos�e dans les domaines des puces informatiques de pointe, de l'informatique quantique, de l'intelligence artificielle (IA) et des infrastructures de donn�es.

Red Hat, Inc. (anciennement Red Hat Software, Inc.) est une soci�t� am�ricaine de logiciels qui fournit des produits logiciels open source aux entreprises et qui est une filiale d'IBM. Fond�e en 1993, Red Hat est aujourd'hui largement associ�e � son syst�me d'exploitation d'entreprise Red Hat Enterprise Linux. Red Hat cr�e, maintient et contribue � de nombreux projets de logiciels open source. Elle a acquis les bases de code de plusieurs produits logiciels propri�taires par le biais de fusions et d'acquisitions d'entreprises, et a publi� ces logiciels sous des licences open source.

R�cemment, IBM et Red Hat ont annonc� le lancement du projet Lightwell, un engagement de 5 milliards de dollars visant � aider les entreprises � s�curiser leurs logiciels open source gr�ce � une combinaison d�outils d�IA et � plus de 20 000 ing�nieurs. Au c�ur de cette initiative se trouve ce qu'IBM et Red Hat appellent un � centre d'�change d'informations d'entreprise de confiance �, o� des capacit�s avanc�es d'IA sont utilis�es pour contr�ler et v�rifier les correctifs � une �chelle couvrant une grande partie de l'�cosyst�me open source. Ce service sera propos� sous forme d'abonnements commerciaux, a indiqu� la soci�t�, permettant ainsi aux entreprises d'int�grer directement les correctifs valid�s dans leurs cha�nes d'approvisionnement logicielles.

IBM et Red Hat ont d�j� commenc� � tester le projet avec un groupe d�institutions financi�res, notamment Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, la Banque Royale du Canada, State Street, Visa et Wells Fargo, a pr�cis� la soci�t�. L'offre commerciale sera lanc�e d'ici 30 jours, a d�clar� Rob Thomas, vice-pr�sident senior charg� des logiciels chez IBM.

Dans le cadre de cette structure de centre d'�change, les entreprises participantes ont acc�s � un canal confidentiel pour signaler les failles de s�curit�, � des correctifs pr�ts � l'emploi d�velopp�s et test�s par les ing�nieurs d'IBM et de Red Hat, ainsi qu'� un m�canisme permettant de r�injecter ces solutions dans l'�cosyst�me open source au sens large, a pr�cis� la soci�t�. Les entreprises ont pr�sent� cette initiative en partie comme une r�ponse au r�le croissant de l'IA dans l'identification des failles logicielles. Le mod�le Mythos Preview d'Anthropic a identifi� pr�s de 3 900 vuln�rabilit�s de gravit� �lev�e ou critique dans des logiciels open source, a not� la soci�t�.

IBM a d�clar� utiliser plus de 62 000 paquets open source et disposer d'une expertise approfondie dans plus de 10 000 d'entre eux, couvrant des technologies telles que Linux, Kubernetes, Kafka et Ansible. Le projet Lightwell �tend cette discipline d'ing�nierie � un panorama plus large de biblioth�ques ind�pendantes, de cha�nes d'outils de langage, de frameworks d'IA et de plateformes de streaming de donn�es, a d�clar� la soci�t�.

� L'open source est l'�pine dorsale de l'�conomie num�rique actuelle et le fondement de l'IA moderne, et nous sommes � un tournant dans la mani�re dont il est construit, s�curis� et mis � l'�chelle �, a d�clar� Arvind Krishna, pr�sident-directeur g�n�ral d'IBM, dans un communiqu�. � Il s�agit de renforcer la confiance dans les syst�mes qui font fonctionner les entreprises, les gouvernements et la soci�t�. �

Les entreprises ont soulign� que plus de 90 % des soci�t�s du classement Fortune 500 s�appuient sur des logiciels open source. Le prix de l�offre d�abonnement sera tr�s probablement li� au volume de packages utilis�s par le client, a d�clar� Thomas, ajoutant que les clients re�oivent en fait un � label de conformit� de la part de la chambre de compensation, garantissant que leur open source peut �tre utilis� en production en toute s�curit� �.

Voici l'annonce d'IBM :

IBM et Red Hat s'engagent � investir 5 milliards $ pour red�finir l'avenir de l'open source � l'�re de l'IA

IBM et Red Hat ont annonc� aujourd�hui le lancement du projet Lightwell, un engagement de 5 milliards de dollars s�appuyant sur des capacit�s d�IA de pointe et une �quipe mondiale de plus de 20 000 ing�nieurs, destin� � aider les entreprises � s�curiser leurs logiciels open source. Ensemble, ces investissements �tablissent un nouveau mod�le d�utilisation des logiciels open source en entreprise, depuis le d�veloppement en amont jusqu�aux environnements de production.

Le projet Lightwell mettra en place un centre de coordination d'entreprise de confiance, associ� � une �quipe mondiale d'ing�nieurs, afin d'identifier et de corriger les vuln�rabilit�s � grande �chelle. Ce centre servira de couche de coordination de la s�curit�, utilisant des capacit�s avanc�es d'IA pour valider et tester les correctifs sur un volume sans pr�c�dent de code open source. Ces capacit�s seront propos�es via des abonnements commerciaux, permettant aux entreprises d'int�grer des correctifs s�curis�s directement dans leurs cha�nes d'approvisionnement logicielles existantes, avec une validation et une gestion du cycle de vie de niveau entreprise.

Les logiciels open source sont � la base de l�infrastructure des entreprises modernes, plus de 90 % des entreprises du classement Fortune 500 s�appuyant sur les logiciels open source[1]. Parall�lement, les avanc�es en mati�re d�IA de pointe acc�l�rent la d�couverte et l�exploitation des vuln�rabilit�s. Anthropic a r�cemment indiqu� que son mod�le Mythos Preview avait identifi� pr�s de 3 900 vuln�rabilit�s de gravit� �lev�e ou critique dans les logiciels open source � eux seuls[2].

IBM et Red Hat ont d�j� commenc� � collaborer avec un groupe restreint de pionniers sur le projet Lightwell, comprenant Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, la Banque Royale du Canada, State Street, Visa et Wells Fargo. Les enseignements concrets tir�s de ces premiers d�ploiements fa�onneront activement la mani�re dont les vuln�rabilit�s sont identifi�es, valid�es et corrig�es � grande �chelle au sein de cha�nes logicielles complexes.

Le projet Lightwell s�appuie sur le leadership d�IBM et de Red Hat dans les domaines de l�open source, de l�IA d�entreprise et de la s�curit�, et int�gre les enseignements tir�s d�initiatives telles que le projet Glasswing d�Anthropic et Trust Access for Cyber d�OpenAI, dans le but d�utiliser les nouvelles m�thodes de s�curit� agentique d�IBM pour prot�ger les couches open source fondamentales qui sous-tendent les syst�mes d�entreprise et d�IA modernes.

� L�open source est l��pine dorsale de l��conomie num�rique actuelle et le fondement de l�IA moderne, et nous sommes � un tournant dans la mani�re dont il est construit, s�curis� et d�ploy� � grande �chelle �, a d�clar� Arvind Krishna, pr�sident-directeur g�n�ral d�IBM. � Avec le projet Lightwell, IBM et Red Hat contribuent � d�finir un nouveau mod�le industriel, qui r�unit l�IA, l�expertise en ing�nierie et une collaboration de confiance, afin de s�curiser les logiciels open source � la source et tout au long de la cha�ne d�approvisionnement. Il s�agit de renforcer la confiance dans les syst�mes qui font fonctionner les entreprises, les gouvernements et la soci�t�. �

Lancement d�une plateforme de s�curit� open source de confiance

Le projet Lightwell s�appuie sur le mod�le open source d�entreprise �prouv� d�IBM et de Red Hat, en l��tendant au-del� de leur gamme de produits traditionnelle. IBM utilise d�j� plus de 62 000 paquets open source, avec une expertise approfondie dans plus de 10 000 d�entre eux. � travers des technologies telles que Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra et bien d�autres, les deux entreprises exploitent l�un des �cosyst�mes open source commerciaux les plus vastes du secteur, assurant depuis longtemps la gestion du cycle de vie, la validation et l�application de correctifs pour les composants de leurs plateformes. Aujourd�hui, IBM et Red Hat appliquent la m�me rigueur technique � l�ensemble du paysage applicatif, y compris les biblioth�ques ind�pendantes, les cha�nes d�outils de langage, les frameworks d�IA et les plateformes de streaming de donn�es.

Cette approche r�pond directement aux vuln�rabilit�s op�rationnelles auxquelles les entreprises sont confront�es lorsqu�elles g�rent seules du code open source ind�pendant. Gr�ce au mod�le de centre d��change, les entreprises peuvent :

- Signaler et r�soudre les vuln�rabilit�s : partager de mani�re responsable les probl�mes de s�curit� sensibles d�couverts dans leurs versions logicielles actives au sein d�un cadre interm�diaire de confiance.
- D�ployer des correctifs valid�s : recevoir des correctifs optimis�s pour les environnements de production, couvrant � la fois les offres Red Hat et le code communautaire ind�pendant.
- Coordonner les divulgations en amont : partager les correctifs en amont afin que les communaut�s open source puissent les inclure dans la maintenance � long terme.

Ce mod�le permet aux entreprises de faire appel � IBM et Red Hat pour r�soudre les probl�mes de s�curit� critiques tout en renfor�ant l'open source dans son ensemble gr�ce � une divulgation en amont responsable.

L'ing�nierie optimis�e par l'IA � l'�chelle mondiale

� l'heure o� de nombreuses entreprises technologiques ont recours � l'IA pour r�duire leurs effectifs techniques, IBM et Red Hat adoptent une approche diff�rente, en positionnant les capacit�s d'ing�nierie technique comme un atout strat�gique de premier plan et un facteur de diff�renciation sur le march�.

IBM et Red Hat mettront en place une �quipe de plus de 20 000 ing�nieurs, soutenue par des capacit�s avanc�es d'IA. Cette force technique mondiale interviendra dans les environnements en amont et d'entreprise, en se concentrant sur :

- la maintenance en amont en collaboration avec les leaders des communaut�s open source ;
- l'analyse, le triage et la hi�rarchisation � grande �chelle des vuln�rabilit�s, assist�s par l'IA ;
- le d�veloppement de correctifs s�curis�s, le renforcement des d�pendances et l'ing�nierie de mise en production.

Le projet Lightwell soutient les priorit�s gouvernementales visant � s�curiser les infrastructures num�riques, � prot�ger les syst�mes critiques et � renforcer la r�silience globale des �cosyst�mes de logiciels open source.

Sources : Annonce d'IBM, Projet Lightwell

Et vous ?

:fleche: Pensez-vous que cette annonce est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Le projet Glasswing d'Anthropic, utilisant le mod�le Claude Mythos Preview, a d�couvert plus de 10 000 vuln�rabilit�s de gravit� �lev�e ou critique dans des syst�mes logiciels cl�s en l'espace d'un mois

:fleche: � Le vibe coding tue l'open source �, car il sape le m�canisme de financement m�me qui permet aux projets open source de survivre en dissociant l'utilisation de l'engagement

:fleche: L'IA est capable de cloner des logiciels open source en quelques minutes : les projets b�n�voles peuvent ainsi �tre exploit�s commercialement, sans que leurs auteurs en soient cr�dit�s ni r�mun�r�s

Images attach�es

La fraude � l'identit� g�n�r�e par l'IA a d�pass� la falsification de documents physiques

Jade Emy — Thu, 28 May 2026 14:49:05 GMT

Pour la premi�re fois, la fraude � l'identit� g�n�r�e par l'IA a d�pass� la falsification de documents physiques, ce qui marque un tournant majeur dans la mani�re dont la fraude est perp�tr�e

Un nouveau rapport d�AU10TIX, bas� sur plus de 9 millions de transactions de v�rification d�identit� trait�es entre le 1er janvier et le 31 mars 2026, montre que les fraudeurs ne se contentent plus de falsifier des documents ; ils cr�ent des identit�s r�utilisables et les d�ploient dans divers secteurs comme s�il s�agissait d�une infrastructure coordonn�e. Pour la premi�re fois depuis que ces donn�es sont enregistr�es, la fraude � l'identit� g�n�r�e par l'IA a d�pass� la falsification de documents physiques. Selon le rapport, pr�s d�une tentative de v�rification d�identit� sur onze pr�sente des indicateurs d�implication de l�IA.

La fraude � l'identit� consiste, pour une personne, � utiliser sans autorisation les informations personnelles d'une autre personne afin de commettre un d�lit ou de tromper ou d'escroquer cette autre personne ou un tiers. La plupart des fraudes � l'identit� sont commises dans le but d'obtenir des avantages financiers, tels que l'acc�s � la carte de cr�dit, aux comptes bancaires ou aux comptes de pr�t de la victime. Des documents d'identit� faux ou falsifi�s ont �t� utilis�s dans le cadre d'activit�s criminelles ou dans le cadre de d�marches aupr�s d'organismes publics, tels que les services d'immigration. Aujourd'hui, l'identit� de personnes r�elles est souvent utilis�e pour la fabrication de ces faux documents. Cela peut entra�ner de graves cons�quences et des ennuis.

Pour la premi�re fois depuis que ces donn�es sont enregistr�es, la fraude � l'identit� g�n�r�e par l'IA a d�pass� la falsification de documents physiques, ce qui marque un changement majeur dans la mani�re dont la fraude est perp�tr�e dans l'�conomie num�rique mondiale. Un nouveau rapport d�AU10TIX, bas� sur plus de 9 millions de transactions de v�rification d�identit� trait�es entre le 1er janvier et le 31 mars 2026, montre que les fraudeurs ne se contentent plus de falsifier des documents ; ils cr�ent des identit�s r�utilisables et les d�ploient dans divers secteurs comme s�il s�agissait d�une infrastructure coordonn�e.

� Pendant des ann�es, la fraude � l'identit� a �t� trait�e comme une s�rie d'incidents isol�s �, explique Yair Tal, PDG d'AU10TIX. � Cette �poque est r�volue. La fraude s'est industrialis�e. Nous assistons � des op�rations organis�es menant des campagnes coordonn�es sur plusieurs plateformes, r�utilisant des identit�s synth�tiques et exploitant la confiance entre les syst�mes. Il ne s'agit plus seulement d'un probl�me de fraude. C'est un risque au niveau de l'infrastructure. �

Selon le rapport, pr�s d�une tentative de v�rification d�identit� sur onze pr�sente des indicateurs d�implication de l�IA. AU10TIX a identifi� trois r�seaux de fraude actifs op�rant au sein d�organisations concurrentes ; une campagne de fraude coordonn�e a atteint un pic de 1,3 million d��v�nements frauduleux en une seule journ�e.

Il est inqui�tant de constater que les sessions d�clenchant les signaux de fraude les plus �lev�s ont tout de m�me �t� automatiquement approuv�es. Les attaques par selfie g�n�r�es par l�IA ont �galement bondi de 54,5 % d�un trimestre � l�autre. La d�tection des deepfakes �tait absente dans 67,6 % des sessions analys�es, tandis que la comparaison faciale �tait absente dans 64 % des cas. Le rapport a r�v�l� que bon nombre des sch�mas de fraude les plus dangereux sont invisibles au niveau d�une seule organisation, ce qui rend l�analyse inter-r�seaux essentielle.

� C�est la preuve la plus �vidente � ce jour que les fraudeurs op�rent de mani�re plus collaborative que les entreprises qui se d�fendent contre eux �, ajoute Tal. � Les organisations ne peuvent plus se contenter d�une visibilit� isol�e. L�avenir de la pr�vention de la fraude passe par une intelligence au niveau du r�seau, une coordination inter-plateformes et des d�fenses con�ues pour les menaces natives de l�IA. �

Si l'on examine les secteurs sp�cifiques, le secteur bancaire � ce qui n'est peut-�tre pas surprenant � affiche l'un des taux de falsification les plus �lev�s parmi les principaux secteurs, avec 11,69 %, soit pr�s de 60 % de plus que la moyenne du r�seau. Le secteur des cryptomonnaies est toutefois le seul o� les selfies g�n�r�s par l'IA ont d�pass� la falsification de documents en tant que principale m�thode d'attaque.

Le secteur du voyage pr�sente une lacune importante en mati�re de couverture biom�trique, aucune d�tection de deepfakes ni comparaison faciale n'ayant �t� observ�e dans le segment analys�. Les plateformes de jeux et de paris ont enregistr� 68 % de falsifications li�es � des deepfakes de selfies visant � contourner les syst�mes de v�rification de l'�ge.

Ces r�sultats rappellent le rapport annuel d'Interpol sur la fraude financi�re mondiale, publi� le 16 mars 2026, qui dresse un tableau saisissant : les escroqueries assist�es par intelligence artificielle (IA) sont d�sormais 4,5 fois plus rentables que les m�thodes traditionnelles. Deepfakes vendus en kit sur le march� noir, hame�onnage sans fautes d'orthographe, centres d'arnaque qui prolif�rent de l'Asie du Sud-Est � l'Afrique de l'Ouest � la cybercriminalit� financi�re est entr�e dans une phase d'industrialisation que les forces de l'ordre peinent � suivre.

Selon le rapport, en 2025, les pertes mondiales li�es � la fraude financi�re ont �t� estim�es � environ 442 milliards de dollars par Interpol, un montant qui devrait continuer � augmenter au cours des trois � cinq prochaines ann�es, principalement en raison de l'IA. L'organisation �value d�sormais que la fraude financi�re en ligne fait partie des cinq menaces criminelles mondiales les plus graves, aux c�t�s du trafic de drogues et du blanchiment d'argent.

Source : Rapport d'AU10TIX

Et vous ?

:fleche: Pensez-vous que ce rapport est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Le monde �pourrait ne pas avoir le temps� de se pr�parer aux risques li�s � la s�curit� de l'IA, selon un chercheur. L'industrie joue-t-elle avec le feu en d�ployant des syst�mes que personne ne ma�trise ?

:fleche: Okta renforce la s�curit� des identit�s pour les entreprises pilot�es par l'IA et contre la fraude gr�ce � une architecture unifi�e de s�curit� des identit�s

:fleche: Les outils de s�curit� am�lior�s de Google peuvent trouver et supprimer davantage d'informations personnelles dans les r�sultats de recherche, telles que les permis de conduire et les passeports

Images attach�es

Les sites web disposent d�sormais d'un nouveau moyen d'espionner leurs visiteurs via leur SSD

Patrick Ruiz — Thu, 28 May 2026 10:13:31 GMT

Les sites web disposent d�sormais d'un nouveau moyen d'espionner leurs visiteurs : l'analyse des interactions avec leur SSD. L'activit� du SSD est mesurable dans le navigateur via un simple script JavaScript.

Les sites web disposent d�sormais d'un nouveau moyen d'espionner leurs visiteurs : la mesure des interactions subtiles avec leurs supports de stockage SSD. Cette technique, baptis�e FROST (fingerprinting remotely using OPFS-based SSD timing), permet aux sites de surveiller les contenus consult�s par un visiteur et les applications ouvertes sur son appareil. Contrairement aux techniques de pistage via les cookies ou aux attaques par fingerprinting, FROST permet � des sites web distants de retracer avec pr�cision vos activit�s sur votre appareil, qu'il s'agisse d'onglets ou d'applications, ce qui engendre de graves risques pour la confidentialit� et la s�curit�.

Descriptif sommaire de l�attaque

L'attaque utilise JavaScript pour interagir avec le syst�me de fichiers priv� d'origine (OPFS) du navigateur, qui met � la disposition des sites web un espace de stockage isol� leur permettant d'effectuer des op�rations directement sur le disque de l'utilisateur.

Lorsque plusieurs applications ou onglets de navigateur sont ouverts, ils se disputent les m�mes ressources du disque. En mesurant les subtiles diff�rences de synchronisation des op�rations d'entr�e/sortie (E/S) des SSD, l'attaque d�tecte cette concurrence mat�rielle.

Les mesures de synchronisation sont trait�es par un r�seau neuronal pr�-entra�n�, capable de d�duire avec pr�cision quels autres sites web sont ouverts dans d'autres onglets et quelles applications sont en cours d'ex�cution sur le syst�me d'exploitation.

Cette technique, d�crite dans un article de recherche, exploite un canal lat�ral, c'est-�-dire une forme de fuite r�sultant de manifestations physiques telles que les �missions �lectromagn�tiques, les caches de donn�es ou le temps n�cessaire � l'ex�cution d'une t�che.

En analysant ces manifestations, les pirates peuvent d�chiffrer le trafic crypt� et en d�duire d'autres donn�es confidentielles.

L'attaque utilis�e par FROST est connue sous le nom de � canal lat�ral de contention � ; elle consiste � analyser l'interaction entre divers processus qui utilisent (ou se disputent) une ressource donn�e. En mesurant la dur�e de certaines op�rations d'E/S (entr�e-sortie) du SSD utilis� par un visiteur, les chercheurs ont pu d�terminer les sites web ouverts dans d'autres onglets � m�me sur d'autres navigateurs � ainsi que les applications ouvertes sur l'appareil du visiteur. FROST ne n�cessite aucune interaction de la part du visiteur, si ce n'est l'ouverture du site h�bergeant l'attaque.

Contrairement aux pr�c�dentes attaques par canal lat�ral de contention visant les SSD, FROST s'ex�cute exclusivement dans le navigateur. Il utilise du JavaScript qui interagit avec l'OPFS (syst�me de fichiers priv� d'origine), un espace de stockage allou� et r�serv� � un site sp�cifique pour ex�cuter le code n�cessaire � la r�alisation d'une t�che donn�e. Les sites web peuvent en cr�er un sans aucune intervention de la part du visiteur.

Bien que chaque syst�me de fichiers soit isol� dans un bac � sable, c'est-�-dire s�par� des autres sites web et du syst�me de l'appareil lui-m�me, le JavaScript peut mesurer les interactions d'E/S. Ensuite, en traitant ces interactions via un r�seau neuronal convolutif pr�-entra�n� � un syst�me qui utilise l'apprentissage profond pour analyser du texte, de l'audio et des images �, l'attaquant peut d�duire les diff�rentes applications et sites web ouverts sur l'appareil.

Cette technique pr�sente toutefois certaines limites. Tout d'abord, le fichier OPFS doit �tre extr�mement volumineux, probablement d'au moins un gigaoctet. Cette exigence implique que des attaques � grande �chelle seraient in�vitablement d�tect�es par de nombreux utilisateurs. De plus, le fichier OPFS doit �tre stock� sur le m�me SSD que celui utilis� par le visiteur. Cela ne pose g�n�ralement pas de probl�me pour le suivi des sites web ouverts, puisque le fichier OPFS est stock� � l'emplacement par d�faut du navigateur. Si les applications utilisent un disque SSD distinct, celles-ci ne pourraient pas �tre d�tect�es par FROST.

L'un des meilleurs moyens de pr�venir les attaques FROST consiste � fermer les onglets d�s qu'ils ne sont plus n�cessaires. Les utilisateurs les plus avertis peuvent surveiller la cr�ation et la taille des fichiers OPFS allou�s par des sites web inconnus. Les chercheurs ont propos� des solutions aux fabricants de navigateurs pour fermer ce canal lat�ral. L'une de ces m�thodes consiste � limiter la taille maximale autoris�e pour ces fichiers. Rien n'indique que des attaques FROST aient �t� men�es dans la nature.

Les chercheurs ont men� l'attaque FROST compl�te sur un Mac M2. Sous Linux, ils ont d�montr� que le m�canisme sous-jacent (mesure des traces de latence d'acc�s au SSD � partir de JavaScript) fonctionne, mais n'ont pas ex�cut� l'attaque compl�te.

Les chercheurs n'ont pas effectu� de tests sous Windows. La publication de recherche fournit de nombreux d�tails techniques suppl�mentaires. Les r�sultats en son sein doivent faire l�objet de pr�sentation lors de la conf�rence DIMVA en juillet.

Source : Publication de recherche

Et vous ?

:fleche: Avez-vous eu vent de cette nouvelle forme d�attaque au travers des sites web ? De quelles pr�cautions pensez-vous qu�il faille s�entourer pour s�en pr�munir ?

Voir aussi :

:fleche: Des chercheurs d�veloppent une technique de fingerprinting permettant d'identifier � 99 % un internaute, m�me s'il se sert de plusieurs navigateurs

:fleche: Firefox 52 envisage de mieux prot�ger les utilisateurs contre le fingerprinting de polices syst�me, en se servant d'un m�canisme de liste blanche

:fleche: Votre historique de navigation peut vous identifier de mani�re pr�cise, d'apr�s une �tude men�e par les chercheurs de Mozilla

Des millions d'agents IA menac�s par une faille critique dans un paquet open source

Mathis Lucas — Wed, 27 May 2026 08:32:38 GMT

Des millions d'agents IA menac�s par une faille critique dans un paquet open source. � BadHost � a �t� d�couvert dans Starlette, un paquet t�l�charg� 325 millions de fois par semaine

Une faille de s�curit� majeure, baptis�e � BadHost �, menace actuellement des millions d'agents d'IA utilisant le framework open source Starlette. Cette faille critique permet � des attaquants de contourner les syst�mes d'authentification pour d�rober des donn�es sensibles ou prendre le contr�le de serveurs � distance. Le probl�me provient d'un d�faut de validation des en-t�tes HTTP, affectant des outils populaires comme FastAPI, vLLM et LiteLLM. Des secteurs vari�s, allant de la biopharmacie � la cybers�curit�, sont expos�s � des fuites massives d'informations personnelles et professionnelles. Les experts recommandent l'application rapide du correctif disponible.

Le chercheur en s�curit� Markus Vervier met en garde contre une faille critique affectant Starlette, un framework open source utilis� par des millions d'agents et d'outils d'IA � travers le monde. Starlette est un framework open source t�l�charg� plus de 325 millions de fois par semaine ; il s'agit �galement d'une interface ASGI (Asynchronous Server Gateway Interface) capable de traiter efficacement un grand nombre de requ�tes simultan�ment.

Starlette sert de base � de nombreux frameworks largement utilis�s pour la cr�ation de services dans les applications Python, notamment FastAPI. Starlette a acc�s aux serveurs ex�cutant le MCP (Model Context Protocol). Le MCP permet aux agents IA des principaux fournisseurs d'acc�der � des sources externes, notamment aux bases de donn�es des utilisateurs, aux comptes de messagerie et d'agenda, ainsi qu'� toutes sortes d'autres ressources.

Pour se connecter � ces syst�mes externes, chaque serveur MCP stocke des identifiants d'authentification. Les serveurs MCP constituent donc des cibles tr�s pris�es par les pirates. � Cette faille repr�sente un goulot d'�tranglement majeur pour la cha�ne d'approvisionnement des produits d'IA �, a �crit un internaute.

Une menace massive pour l'ensemble de l'�cosyst�me de l'IA

Selon les experts en cybers�curit�, la vuln�rabilit� d�couverte dans Starlette, � CVE-2026-48710 � (�galement connue sous le nom de BadHost), est tr�s facile � exploiter et affecte la plupart des syst�mes qui ne sont pas prot�g�s par un pare-feu correctement configur�. Outre FastAPI, d'autres paquets largement utilis�s, tels que vLLM et LiteLLM, sont aussi concern�s. Starlette a d�j� publi� la version 1.0.1, qui corrige la vuln�rabilit� BadHost.

Le c�ur du probl�me provient de la fa�on dont Starlette g�re les requ�tes entrantes : le framework reconstruit l'URL demand�e sans v�rifier rigoureusement la validit� de l'en-t�te HTTP Host. En injectant un simple caract�re dans cet en-t�te, un acteur malveillant cr�e une incoh�rence entre le chemin d'acc�s r�seau r�el et celui qui est analys� par les syst�mes de s�curit� de l'application, ce qui lui permet de contourner les mesures d'authentification.

Outre l'acc�s non autoris�, cette manipulation peut mener � des falsifications de requ�tes c�t� serveur (SSRF) et parfois � l'ex�cution de code � distance. BadHost pr�sente un niveau de gravit� de 7 sur 10. Une analyse avait r�v�l� que les types de donn�es suivants �taient actuellement expos�s :

IA dans le secteur biopharmaceutique : bases de donn�es d'essais cliniques, donn�es sur les fusions-acquisitions, SSRF ;
v�rification d'identit� : analyse faciale, KYB, donn�es personnelles en temps r�el, base de code interne ;
IdO/industrie : connexion SSH aux appareils via un serveur bastion, ex�cution de code � distance ;
e-mail/SaaS : lecture, envoi et suppression complets de la bo�te de r�ception, exportation vers S3, webhooks ;
RH/recrutement : donn�es personnelles des candidats, donn�es sur le pipeline de recrutement ;
CMS/marketing : listes d�abonn�s, envoi/planification de campagnes d�e-mails de masse ;
gestion de documents : lecture, t�l�chargement, modification de documents num�ris�s ;
surveillance du cloud : topologie AWS, traces distribu�es, requ�tes m�triques ;
cybers�curit� : inventaire des actifs, acc�s en direct au scanner Nuclei ;
sant� personnelle/Finances : journaux nutritionnels, d�penses, abonnements.

Une gravit� sous-estim�e et des donn�es critiques expos�es

Bien que la BadHost ait re�u une note officielle de 7 sur 10, les cabinets de s�curit� Secwest et X41 D-Sec affirment que ce score minimise largement le danger, consid�rant la menace comme �tant d'une s�v�rit� critique pour l'�cosyst�me Python et l'IA. Ce qui signifie qu'un grand pan de l'industrie est expos�. X41 D-Sec s�est associ� � la soci�t� de s�curit� Nemesis pour cr�er un scanner en ligne capable de v�rifier si un serveur donn� est vuln�rable.

Il est d�sormais imp�ratif pour tous les administrateurs exploitant des applications d�pendantes de ce composant de scanner d'urgence leurs infrastructures pour identifier toute trace de code vuln�rable encore en production et d'appliquer les correctifs recommand�s. Face � l'ampleur de la menace touchant les principaux paquets de l'IA comme vLLM ou LiteLLM, une mise � jour corrective a �t� d�ploy�e le 22 mai � travers la version 1.0.1 de Starlette.

Sources : outil de scan con�u par Nemesis et X41 D-Sec, BadHost (CVE-2026-48710)

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous de la vuln�rabilit� BadHost (CVE-2026-48710) ?
:fleche: Quels impacts peut-elle avoir sur l'�cosyst�me Python et l'industrie de l'IA ?

Voir aussi

:fleche: Une faille critique dans Claude Code est apparue apr�s la fuite du code source : Anthropic a d'abord divulgu� le code source de Claude Code, puis une faille critique a �t� d�couverte par Adversa AI

:fleche: OpenClaw : comment un agent IA � vibe-cod� � en quelques semaines a expos� 135 000 machines � internet et red�fini la notion de catastrophe s�curitaire en 2026

:fleche: La soci�t� sp�cialis� dans la s�curit� des IA Snyk d�voile l'AI Security Fabric : un syst�me adaptatif permettant le d�ploiement d'innovations IA en toute s�curit� et offrant une protection continue

Images attach�es

GitHub confirme que des pirates ont vol� des donn�es provenant de 3 800 r�f�rentiels internes

Jade Emy — Fri, 22 May 2026 08:52:04 GMT

GitHub confirme que des pirates ont vol� des donn�es provenant de 3 800 r�f�rentiels internes lors d'une r�cente violation, attribu�e � une version corrompue de l'extension VS Code � nrwl.angular-console �

GitHub a r�v�l� que des attaquants ont acc�d� aux donn�es d'environ 3 800 r�f�rentiels internes apr�s avoir compromis l'appareil d'un employ�. La violation a �t� attribu�e � une version corrompue de l'extension Visual Studio Code nrwl.angular-console, associ�e au projet Nx Console. GitHub a d�clar� qu'il n'y avait aucune preuve que les donn�es des clients en dehors de ses r�f�rentiels internes aient �t� affect�es, bien que la soci�t� poursuive son enqu�te et informera ses clients si un impact venait � �tre confirm�.

GitHub est une plateforme propri�taire destin�e aux d�veloppeurs qui leur permet de cr�er, stocker, g�rer et partager leur code. Elle utilise Git pour assurer le contr�le de version distribu� et GitHub assure lui-m�me le contr�le d'acc�s, le suivi des bogues, les demandes de fonctionnalit�s logicielles, la gestion des t�ches, l'int�gration continue et les wikis pour chaque projet. GitHub, dont le si�ge social est situ� � San Francisco, est exploit� par GitHub, Inc., une filiale de Microsoft depuis 2018.

Elle est couramment utilis�e pour h�berger des projets de d�veloppement de logiciels open source. En janvier 2023, GitHub a d�clar� compter plus de 100 millions de d�veloppeurs et plus de 420 millions de d�p�ts, dont au moins 28 millions de d�p�ts publics. Il s'agit du plus grand h�bergeur de code source au monde en juin 2023. Plus de cinq milliards de contributions de d�veloppeurs ont �t� apport�es � plus de 500 millions de projets open source en 2024.

R�cemment, GitHub a r�v�l� que des attaquants ont acc�d� aux donn�es d'environ 3 800 r�f�rentiels internes apr�s avoir compromis l'appareil d'un employ�. La violation a �t� attribu�e � une version corrompue de l'extension Visual Studio Code nrwl.angular-console, associ�e au projet Nx Console. GitHub a d�clar� qu'il n'y avait aucune preuve que les donn�es des clients en dehors de ses r�f�rentiels internes aient �t� affect�es, bien que la soci�t� poursuive son enqu�te et informera ses clients si un impact venait � �tre confirm�.

L'extension malveillante n'a �t� disponible que pendant 18 minutes le 18 mai 2026, mais cela a suffi pour d�ployer un voleur d'identifiants ciblant des outils tels que 1Password, Anthropic Claude Code, npm et AWS. L'extension se comportait comme la version normale tout en ex�cutant silencieusement une commande shell d�guis�e au d�marrage, qui t�l�chargeait un logiciel malveillant cach� depuis un d�p�t GitHub. GitHub a ma�tris� l'incident, renouvel� les secrets critiques et continue de surveiller toute nouvelle activit� malveillante.

TeamPCP a revendiqu� la responsabilit� de cette intrusion et vendrait les donn�es vol�es sur un forum d�di� � la cybercriminalit�. Le groupe avait d�j� revendiqu� une intrusion au sein de la Commission europ�enne, au cours de laquelle plus de 90 Go de donn�es auraient �t� vol�s apr�s que des pirates aient obtenu une cl� de cloud suite � une autre compromission impliquant Trivy, un outil d'analyse de vuln�rabilit�s.

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,�
— GitHub (@github) May 20, 2026

Voici le rapport de GitHub :

Enqu�te sur un acc�s non autoris� � des d�p�ts appartenant � GitHub

Le lundi 18 mai, nous avons d�tect� et ma�tris� une compromission d'un appareil d'un employ� impliquant une extension VS Code corrompue publi�e par un tiers. Nous avons supprim� la version malveillante de l'extension, isol� le terminal et imm�diatement lanc� une r�ponse � l'incident.

Selon notre �valuation actuelle, cette activit� n'a concern� que l'exfiltration de d�p�ts internes � GitHub. Les affirmations actuelles de l'attaquant concernant environ 3 800 d�p�ts concordent globalement avec notre enqu�te � ce jour.

Nous n'avons aucune preuve d'impact sur les informations client stock�es en dehors des d�p�ts internes de GitHub, telles que les entreprises, organisations et d�p�ts propres � nos clients. Certains d�p�ts internes de GitHub contiennent des informations provenant de clients, par exemple des extraits d'�changes avec le support. Si un impact venait � �tre d�couvert, nous en informerions les clients via les canaux de r�ponse aux incidents et de notification �tablis.

Nous avons agi rapidement pour r�duire les risques. Nous avons proc�d� � la rotation des secrets critiques lundi et mardi, en donnant la priorit� aux identifiants ayant le plus fort impact.

Nous continuons d'analyser les journaux, de valider la rotation des secrets et de surveiller notre infrastructure pour d�tecter toute activit� cons�cutive. Nous prendrons des mesures suppl�mentaires si l'enqu�te le justifie.

Nous publierons un rapport plus complet une fois l'enqu�te termin�e.

Source : Rapport de GitHub

Et vous ?

:fleche: Pensez-vous que ce rapport est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Des identifiants confidentiels de l'Agence am�ricaine de cybers�curit� (CISA) ont �t� d�couverts dans un d�p�t GitHub public : Cl�s SSH, mots de passe en clair et autres donn�es sensibles depuis 2025

:fleche: L'interface CLI de GitHub collecte et transmet d�sormais par d�faut des donn�es de t�l�m�trie, ce qui suscite des inqui�tudes quant � la protection de la vie priv�e au sein de la communaut�

:fleche: GitGuardian r�v�le une progression de 81 % des fuites li�es aux services d'IA tandis que 29 millions de secrets sont d�tect�s sur GitHub public

D�couverte de la premi�re faille de s�curit� li�e � la m�moire de l'Apple M5

Alex — Thu, 21 May 2026 11:58:22 GMT

Une premi�re faille de s�curit� li�e � la m�moire de l'Apple M5 a �t� d�couverte � l'aide de Claude Mythos Preview d'Anthropic, en piratant macOS avec l'IA pour obtenir un acc�s root

Des chercheurs de CalIF ont d�couvert une premi�re faille de s�curit� li�e � la m�moire de l'Apple M5 � l'aide de la version pr�liminaire de Claude Mythos d'Anthropic. La corruption de m�moire sur le M5 d'Apple prouve non seulement que cette puce peut �galement �tre exploit�e, mais que le mod�le Claude Mythos Preview d'Anthropic s'est r�v�l� �tre un assistant IA cl�. Cette attaque r�ussie contourne le Memory Integrity Enforcement (MIE), que Apple a pr�sent� en septembre dernier comme le r�sultat d�une initiative de cinq ans visant � �radiquer les erreurs de m�moire.

L'Apple M5 est une s�rie de syst�mes sur puce (SoC) bas�s sur l'architecture ARM, con�us par Apple Inc. dans le cadre de la gamme Apple Silicon. Chaque puce int�gre un processeur central (CPU), un processeur graphique (GPU), une unit� de traitement neuronal (NPU) et une m�moire unifi�e dans un seul bo�tier. Le M5 de base a �t� annonc� le 15 octobre 2025 pour le MacBook Pro 14 pouces, l'iPad Pro et l'Apple Vision Pro, succ�dant � l'Apple M4. Les M5 Pro et M5 Max ont �t� annonc�s le 3 mars 2026 en m�me temps que les mod�les MacBook Pro mis � jour.

Fabriqu� � l'aide d'une technologie 3 nanom�tres de troisi�me g�n�ration, la puce M5 introduit une architecture GPU 10 c�urs de nouvelle g�n�ration avec un acc�l�rateur neuronal dans chaque c�ur, ce qui permet d'ex�cuter les charges de travail IA bas�es sur le GPU beaucoup plus rapidement. Ces performances de calcul GPU de pointe sont plus de 4 fois sup�rieures � celles de la M4 et plus de 6 fois sup�rieure � celles de la puce M1.

R�cemment, des chercheurs de CalIF ont d�couvert une premi�re faille de s�curit� li�e � la m�moire de l'Apple M5 � l'aide de la version pr�liminaire de Claude Mythos d'Anthropic. La corruption de m�moire sur le M5 d'Apple prouve non seulement que cette puce peut �galement �tre exploit�e, mais que le mod�le Claude Mythos Preview d'Anthropic s'est r�v�l� �tre un assistant IA cl�. Bien que les chercheurs de CalIF ne puissent pas encore partager tous les d�tails car le correctif est toujours en attente, le message est d�j� parvenu haut et fort � Apple.

Ils se sont rendus au si�ge social de Cupertino pour discuter de l'exploit avec l'entreprise. Cette attaque r�ussie contourne le Memory Integrity Enforcement (MIE), que Apple a pr�sent� en septembre dernier comme le r�sultat d�une initiative de cinq ans visant � �radiquer les erreurs de m�moire. Les fondations semblaient d�j� solides, avec l�annonce fi�re faite � cette m�me occasion qu�il n�y avait jamais eu d�attaque malveillante � grande �chelle contre les iPhones.

MIE est la couche mat�rielle d'Apple bas�e sur la MTE (Memory Tagging Extension) d'ARM, qui renforce la s�curit� du code C et C++ depuis 2019. L'attaque est une cha�ne d'�l�vation de privil�ges au niveau du noyau, bas�e uniquement sur des donn�es, sur macOS 26.4.1. Elle commence � partir d'un utilisateur local standard et aboutit � un shell root. Elle exploite deux vuln�rabilit�s et n'utilise que des appels syst�me standard. Bruce Dang a d�couvert les bogues le 25 avril, Dion Blazakis a rejoint l'�quipe le 27 avril et Josh Maine a d�velopp� les outils n�cessaires. D�s le 1er mai, un exploit fonctionnel �tait disponible. Cela a �t� en grande partie rendu possible gr�ce au membre non humain de l'�quipe.

Mythos Preview a rapidement identifi� les vuln�rabilit�s. Cela a �t� en partie possible car elles appartiennent � des cat�gories de bogues connues. Contourner MIE, cependant, �tait un nouveau d�fi. L'expertise humaine est rest�e n�cessaire pour franchir cette �tape, explique l'�quipe de Calif. Le rapport complet de 55 pages suivra d�s qu'Apple aura publi� un correctif. Apple a d�clar� : � La s�curit� est notre priorit� absolue, et nous prenons tr�s au s�rieux les signalements de vuln�rabilit�s potentielles. �

Anthropic a lanc� le projet Glasswing en avril dans le but d�utiliser l�IA pour, � terme, pr�venir les attaques par IA. Anthropic est une entreprise am�ricaine sp�cialis�e dans l'intelligence artificielle (IA) qui a d�velopp� une s�rie de grands mod�les de langage (LLM) baptis�s Claude et se concentre sur la s�curit� de l'IA. Mythos Preview est le mod�le que les participants sont autoris�s � utiliser. Il est plausible que les cyberattaquants disposent � l�avenir d�outils d�IA similaires, c�est pourquoi Anthropic a jug� n�cessaire de donner une longueur d�avance aux d�fenseurs. Outre Apple, les participants comprennent AWS, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA et Palo Alto Networks. De plus, Mozilla a d�j� utilis� Mythos pour identifier et corriger 271 vuln�rabilit�s dans Firefox.

La disponibilit� de Mythos Preview reste d�lib�r�ment limit�e pour des raisons logiques. Anthropic consid�re que le mod�le pr�sente un risque trop �lev� pour une diffusion � grande �chelle. Il est capable de d�tecter si rapidement des vuln�rabilit�s ressemblant � des types de bogues connus que des faiblesses jusque-l� inconnues pourraient �tre mises au jour. Le gouvernement n�erlandais a d�j� mis en garde contre les risques li�s au mod�le Mythos. Parall�lement, Microsoft int�gre Mythos dans son cycle de vie de d�veloppement de la s�curit� afin de d�tecter les vuln�rabilit�s d�s les premi�res phases du processus de d�veloppement.

OpenAI est un organisme am�ricain de recherche en intelligence artificielle (IA) qui a d�velopp� la famille de grands mod�les de langage � Generative Pre-trained Transformer � (GPT). Le lancement de ChatGPT en novembre 2022 est consid�r� comme ayant catalys� le boom de l'IA et suscit� un int�r�t g�n�ralis� pour l'IA g�n�rative. Il y a quelques jours, OpenAI a pr�sent� sa propre initiative en mati�re de cybers�curit� : Daybreak. Elle utilise plusieurs mod�les d'IA, dont l'agent de s�curit� sp�cialis� Codex. Daybreak part du principe que la cybers�curit� doit �tre int�gr�e aux logiciels d�s le d�part, plut�t que de se contenter de d�tecter et de corriger les vuln�rabilit�s a posteriori. OpenAI utilise �galement le LLM GPT-5.5-Cyber, un �quivalent direct de Mythos, et destin� lui aussi � un groupe restreint de chercheurs en s�curit� de confiance.

Ce nouvrau rapport rappelle que l�id�e que le monde pourrait manquer de temps pour se pr�parer aux risques de l�IA n�est plus une hypoth�se marginale r�serv�e aux cercles acad�miques. Elle s�impose d�sormais au c�ur du d�bat public, port�e par des chercheurs de premier plan qui estiment que la trajectoire actuelle du d�veloppement de l�IA d�passe notre capacit� collective � en ma�triser les cons�quences. Dans une analyse de David Dalrymple, directeur de programme et expert en s�curit� de l'IA � l'agence britannique ARIA, l�alerte est sans d�tour : si le rythme actuel se maintient, les soci�t�s humaines pourraient �tre confront�es � des syst�mes plus puissants que pr�vu, avant m�me d�avoir mis en place les garde-fous n�cessaires.

Sources : Rapport de Calif, Pr�sentation du Memory Integrity Enforcement (MIE)

Et vous ?

:fleche: Pensez-vous que ce rapport est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Une faille dans les puces d'Apple pourrait donner � des pirates l'acc�s � distance � vos donn�es priv�es, comme vos informations de localisation, vos donn�es de cartes de cr�dit, et bien d'autres

:fleche: Des scientifiques d�couvrent une faille de s�curit� dans l'architecture RISC-V. La Chine esp�re qu'elle lui permettra d'�chapper aux sanctions impos�es par les �tats-Unis

:fleche: Il est urgent de renforcer la s�curit� de la m�moire dans les produits logiciels, selon la CISA. L'utilisation d'un langage de programmation � s�curit� m�moire comme Rust serait une solution

Google divulgue le code d'exploitation d'une faille qui menace des millions d'utilisateurs de Chromium

Mathis Lucas — Thu, 21 May 2026 08:15:23 GMT

Google divulgue par erreur le code d'exploitation d'une faille de s�curit� majeure qui menace des millions d'utilisateurs de navigateurs bas�s sur Chromium
les exposant � l'espionnage et � des attaques DDoS

Google a r�cemment divulgu� par erreur un code d'exploitation pour une faille de s�curit� majeure affectant le moteur Chromium. Ce d�faut technique, qui persiste depuis plus de deux ans sans correctif, permet � des sites malveillants d'int�grer des appareils dans un botnet via l'interface de t�l�chargement en arri�re-plan. Les navigateurs tels que Chrome et Microsoft Edge sont particuli�rement expos�s, car la connexion peut rester active m�me apr�s un red�marrage du syst�me d'exploitation. Ce qui laisse des millions d'utilisateurs vuln�rables. La port�e de l'attaque est limit�e aux capacit�s du navigateur, mais elle facilite l'espionnage et les attaques DDoS.

La faille de s�curit� en question a �t� signal�e de mani�re confidentielle � Google fin 2022 par la chercheuse ind�pendante Lyra Rebane. Alors que la faille attend toujours un correctif, Google a publi� par erreur le code d'exploitation, mena�ant ainsi des millions d'utilisateurs. Bien que l'entreprise ait rapidement supprim� la publication, le code d'exploitation demeure accessible sur des sites d'archivage. Ce qui constitue une menace majeure.

Cette erreur expose les utilisateurs de presque tous les navigateurs bas�s sur Chromium, incluant Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Arc. En revanche, Firefox et Safari ne sont pas concern�s puisque ces deux navigateurs ne prennent pas en charge la fonctionnalit� impliqu�e.

M�canisme technique de cette vuln�rabilit� critique

L'attaque repose sur l'exploitation de l'API "Browser Fetch", un standard utilis� pour permettre le t�l�chargement de fichiers volumineux ou de longues vid�os en arri�re-plan. Un attaquant peut utiliser cette faille pour �tablir une connexion afin de surveiller certains aspects de l'utilisation du navigateur par l'utilisateur, mais aussi pour servir de proxy permettant de consulter des sites et de lancer des attaques par d�ni de service distribu� (DDoS).

N'importe quel site Web visit� par l'utilisateur peut exploiter cette faille en utilisant du code JavaScript pour activer un processus en arri�re-plan (service worker) extr�mement persistant. Selon le navigateur, la connexion peut se rouvrir ou rester active m�me apr�s le red�marrage du logiciel ou de l'appareil.

� Le danger ici, c�est qu�il suffit de regrouper un grand nombre de navigateurs diff�rents sur lesquels on pourra, � l�avenir, ex�cuter un programme que l�on aura mis au point �, a d�clar� Lyra Rebane. D'apr�s la chercheuse, il serait � assez facile � d�utiliser le code d�exploitation publi� accidentellement par Google, m�me si le faire �voluer pour regrouper un grand nombre d�appareils au sein d�un seul r�seau demanderait davantage de travail.

Dans le fil de discussion consacr� � la divulgation de Lyra Rebane � Google, deux d�veloppeurs ont d�clar� dans des r�ponses distinctes qu�il s�agissait d�une � vuln�rabilit� grave �. Sa gravit� a �t� class�e S1, le deuxi�me niveau le plus �lev�. Cependant, son correctif a pris beaucoup de temps, possiblement parce que la faille ne permet pas d'acc�der directement aux courriels ou � l'ordinateur de l'utilisateur de mani�re traditionnelle.

Cons�quences et risques d'infection

En exploitant cette vuln�rabilit�, un attaquant cr�e une porte d�rob�e qui transforme l'appareil de la victime en une partie d'un r�seau d'ordinateurs zombies (botnet). Selon les experts en s�curit�, le plus grand danger est qu'un attaquant parvienne � regrouper des milliers, voire des millions d'appareils au sein de ce r�seau, dans l'attente de d�couvrir une seconde vuln�rabilit� qui permettrait de compromettre totalement ces machines.

Du point de vue de la victime, cette infection est particuli�rement furtive et peut se manifester par l'apparition inexpliqu�e d'une fen�tre d�roulante de t�l�chargement vide, un comportement que les utilisateurs moins exp�riment�s risquent de confondre avec un simple bogue inoffensif.

Cette erreur de publication place les internautes face � une menace concr�te alors qu'aucune solution logicielle n'a encore �t� d�ploy�e par Google. Les experts recommandent une vigilance accrue envers les comportements suspects des fen�tres de t�l�chargement en attendant une mise � jour de s�curit�.

Source : billet de blogue

Et vous ?

:fleche: Que pensez-vous de cette faille de s�curit� critique ?
:fleche: Cette vuln�rabilit� reste sans correctif depuis fin 2022. Qu'en pensez-vous ?

Voir aussi

:fleche: Des identifiants confidentiels de l'Agence am�ricaine de cybers�curit� (CISA) ont �t� d�couverts dans un d�p�t GitHub public. Cl�s SSH, mots de passe en clair et autres donn�es sensibles depuis 2025

:fleche: Mozilla s'adresse aux autorit�s de r�gulation britanniques : les VPN sont des outils essentiels pour la confidentialit� et la s�curit�, apr�s le vote sur la v�rification d'�ge pour les VPN

:fleche: L'�re des Chromebooks est r�volue : Googlebook int�gre Gemini dans un ordinateur portable, pr�t � vous d�tourner d'Apple et de Microsoft, le syst�me d'exploitation serait Android

Images attach�es

Des identifiants confidentiels de la CISA ont �t� d�couverts dans un d�p�t GitHub public

Alex — Wed, 20 May 2026 14:44:42 GMT

Des identifiants confidentiels de l'Agence am�ricaine de cybers�curit� (CISA) ont �t� d�couverts dans un d�p�t GitHub public : cl�s SSH, mots de passe en clair et autres donn�es sensibles depuis novembre 2025

Guillaume Valadon, chercheur chez GitGuardian, a r�v�l� avoir d�couvert un d�p�t GitHub public appartenant � la CISA qui contenait 844 Mo de donn�es sensibles, notamment des mots de passe en clair, des jetons d�authentification et d�autres secrets. Bien qu'il soit nomm� � Private-CISA �, le d�p�t �tait accessible au public en ligne depuis le 13 novembre 2025. Valadon a d�couvert que le d�p�t contenait des noms de r�pertoires et de fichiers pour le moins surprenants, notamment � Important AWS Tokens.txt � et � ENTRA ID - SAML Certificates/ �. En r�alit�, le d�p�t contenait non seulement ces jetons et certificats SAML, mais aussi des mots de passe en clair, des cl�s priv�es et d�autres identifiants, dont certains �taient encore valides.

L'Agence pour la cybers�curit� et la s�curit� des infrastructures (CISA), dont le si�ge se trouve � Arlington, en Virginie, est une composante du D�partement am�ricain de la s�curit� int�rieure (DHS) charg�e de la cybers�curit� et de la protection des infrastructures � tous les niveaux de l'administration, de la coordination des programmes de cybers�curit� avec les �tats am�ricains et de l'am�lioration des mesures de protection du gouvernement contre les pirates informatiques priv�s et �tatiques.

L'agence a vu le jour en 2007 sous le nom de Direction de la protection nationale et des programmes (NPPD). Avec la loi de 2018 sur l'Agence pour la cybers�curit� et la s�curit� des infrastructures, le champ d'action de la CISA s'est �largi pour inclure la protection du recensement, la gestion des �v�nements nationaux n�cessitant une s�curit� particuli�re et la r�ponse des �tats-Unis � la pand�mie de COVID-19. Elle a �galement particip� � la supervision de la s�curit� des r�seaux 5G, � la s�curisation des �lections et au renforcement du r�seau �lectrique am�ricain contre les impulsions �lectromagn�tiques (IEM). Le Bureau de pr�vention des attentats � la bombe dirige la lutte nationale contre les engins explosifs improvis�s (EEI).

Il semble que toutes les organisations divulguent des secrets sur Internet ces derniers temps � m�me le gouvernement am�ricain. Guillaume Valadon, chercheur chez GitGuardian, a r�v�l� avoir d�couvert un d�p�t GitHub public appartenant � la CISA qui contenait 844 Mo de donn�es sensibles, notamment des mots de passe en clair, des jetons d�authentification et d�autres secrets. Bien qu'il soit nomm� � Private-CISA �, le d�p�t �tait accessible au public en ligne depuis le 13 novembre 2025.

Dans un article de blog, Valadon a d�clar� avoir d�couvert pour la premi�re fois ce d�p�t expos� le 14 mai, apr�s que le service de surveillance publique de GitGuardian, qui analyse en permanence des sources publiques telles que GitHub � la recherche de secrets divulgu�s, eut signal� le d�p�t la veille. Apr�s y avoir jet� un coup d'�il, il a d'abord soup�onn� qu'il s'agissait d'un canular, car le contenu du d�p�t � semblait trop beau pour �tre vrai �.

H�las, le d�p�t �tait bien r�el, tout comme les secrets qu'il contenait. La bourde de la CISA constitue le dernier exemple en date d'une tendance regrettable : des organisations incapables de contenir la prolif�ration des secrets et exposant accidentellement des ensembles de donn�es sensibles sur Internet, o� des acteurs malveillants avides n'attendent que de s'en emparer.

Valadon a d�couvert que le d�p�t contenait des noms de r�pertoires et de fichiers pour le moins surprenants, notamment � Important AWS Tokens.txt � et � ENTRA ID - SAML Certificates/ �. En r�alit�, le d�p�t contenait non seulement ces jetons et certificats SAML, mais aussi des mots de passe en clair, des cl�s priv�es et d�autres identifiants, dont certains �taient encore valides. De plus, le d�p�t h�bergeait des journaux de build CI/CD, de la documentation sur les workflows de d�ploiement, des manifestes Kubernetes, des workflows GitHub Actions, des automatisations d�organisation GitHub, ainsi qu�une multitude de donn�es AWS, telles que des comptes utilisateurs, des donn�es de gestion des identit�s et des acc�s (IAM), des comptes de service et des chemins de gestion des secrets, entre autres.

� Les informations expos�es offraient un aper�u d�taill� de l�infrastructure cloud, des workflows de d�ploiement, des outils de la cha�ne d�approvisionnement logicielle et des pratiques op�rationnelles internes �, a �crit Valadon. On ignore si ces secrets ont �t� consult�s au cours des six mois pendant lesquels le d�p�t a �t� en ligne. Des �tudes ont montr� que les attaquants surveillent les ressources cloud telles que les d�p�ts GitHub � la recherche de secrets expos�s et peuvent exploiter les fuites en quelques minutes � peine apr�s la mise en ligne des donn�es.

Valadon explique qu�une � r�ponse d�finitive n�cessitera la coop�ration de GitHub �, car les vues externes des d�p�ts sont limit�es. � D�apr�s les �v�nements publics de GitHub, ce que nous pouvons constater de l�ext�rieur, c�est que le d�p�t n�a jamais �t� dupliqu�. C�est un indice faible mais r�el qui sugg�re qu�il n�a pas circul� � grande �chelle �, dit-il. � Nous ne pouvons pas observer les clones depuis l�ext�rieur, nous ne pouvons donc pas exclure qu�une personne ait t�l�charg� une copie, mais il s�agit d�une d�duction, pas d�une confirmation. �

La bonne nouvelle, c'est qu'apr�s avoir alert� la CISA, l'agence a supprim� le r�f�rentiel en un peu plus de 24 heures, m�me si Valadon a pr�cis� qu'elle avait b�n�fici� de l'aide du journaliste sp�cialis� en cybers�curit� Brian Krebs, qui a fait appel � ses contacts au sein de l'agence et a port� l'affaire � leur attention. � Il faut rendre hommage � la CISA pour sa rapidit� d'action � la plupart de nos signalements prennent bien plus de temps, et certains ne sont jamais corrig�s �, a �crit Valadon.

La mauvaise nouvelle, c'est que le personnel de la CISA se livrait � des pratiques � haut risque. � Le d�p�t �tait un v�ritable catalogue de pratiques dangereuses : mots de passe en clair, sauvegardes commises sur Git et instructions explicites de d�sactiver la fonctionnalit� de scan des secrets de GitHub �, a-t-il �crit. Valadon explique que, d'apr�s une analyse du d�p�t, l'explication la plus probable est que, comme certains commits contenaient des secrets cod�s en dur, la fonctionnalit� de protection des pouss�es de GitHub bloquait les pouss�es. � Plut�t que de supprimer les secrets, quelqu'un a document� la mani�re de d�sactiver le contr�le afin que les commits puissent passer �, dit-il.

Valadon ajoute qu�il s�agit l� d�une mauvaise pratique que les organisations matures �vitent. Au contraire, elles consid�rent ces fonctionnalit�s de s�curit�, telles que l�analyse des secrets de GitHub ou le service de protection des pouss�es de GitGuardian, comme � un contr�le non n�gociable �. � Le sch�ma que nous observons est le suivant : des d�veloppeurs individuels d�sactivent cette fonctionnalit� sous la pression des d�lais lorsqu�une pouss�e �choue. La bonne r�ponse consiste � supprimer le secret du commit, et non le d�tecteur �, pr�cise-t-il.

L'exposition de ce d�p�t fait suite � des coupes massives dans le budget et les effectifs de la CISA sous la deuxi�me administration Trump. En 2025, l'agence a perdu environ un tiers de ses employ�s, tandis que la proposition de budget de la Maison Blanche pour l'exercice 2027 pr�voit de r�duire le financement de la CISA de plus de 700 millions de dollars.

Les coupes budg�taires et licenciements au sein de la CISA ont consid�rablement affaibli ses capacit�s. Ces mesures ont �t� mises en �uvre par le d�partement de l'efficacit� gouvernementale (DOGE) dans le cadre d'une politique de r�duction des d�penses et de la taille du gouvernement f�d�ral. Depuis sa cr�ation en janvier 2025, le DOGE �tait dirig� par Elon Musk, mais il vient de se retirer son d�part pour se concentrer sur ses entreprises en difficult�.

Ces changements interviennent dans un contexte de menaces cybern�tiques accrues. Des experts en s�curit� et d'anciens cadres de la CISA expriment leur inqui�tude quant � l'impact de ces d�parts sur la capacit� de l'agence � d�fendre le pays contre ces menaces. Le d�mant�lement de la CISA est per�u comme une fragilisation des d�fenses cybern�tiques des �tats-Unis, laissant le pays vuln�rable face � des adversaires de plus en plus sophistiqu�s.

Source : Rapport sur GitGuardian

Et vous ?

:fleche: Pensez-vous que ce rapport est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Trump veut r�duire le budget de l'agence am�ricaine de cybers�curit� CISA de 500 millions $ pour 2026. L'accusant de donner la priorit� � la censure plut�t qu'� la cybers�curit� et � la protection des �lections

:fleche: GitGuardian r�v�le une progression de 81 % des fuites li�es aux services d'IA tandis que 29 millions de secrets sont d�tect�s sur GitHub public

:fleche: Le �pire piratage des USA� : Salt Typhoon a infiltr� les principaux r�seaux de t�l�coms, d�montrant pourquoi les portes d�rob�es int�gr�es volontairement aux syst�mes chiffr�s ne doivent jamais �tre autoris�es

Images attach�es