Des nouvelles passionnantes pour les fans de Marvel Rivals ! La saison 4.5 a officiellement été lancée, apportant un tourbillon de combats palpitants et de nouvelles fonctionnalités tout droit venues de la terre mystique de K’un L’un. Suite aux changements notables de la saison 4, qui a introduit Rivals sur PS4 et ajusté l’équilibre du […]
Après six longues années, l’attente pour une nouvelle saison de One Punch Man touche enfin à sa fin. La saison 3 est prévue pour ce mois-ci, en faisant l’anime le plus attendu de la saison Automne 2025. Si vous êtes impatient de voir Saitama, le héros capé, de nouveau en action le 12 octobre 2025, […]
Si vous vous êtes demandé si vos personnages préférés de Little Nightmares feraient une apparition dans la dernière version de Nowhere par Supermassive Games, vous êtes au bon endroit. Nous plongeons profondément dans le retour potentiel de Six et Mono dans Little Nightmares III. Avertissement spoiler pour le lore de Little Nightmares et les conclusions […]
Êtes-vous prêt à explorer l’univers passionnant de Anime Elements ? Ce jeu plonge profondément dans des titres bien-aimés comme Naruto, DBZ, Solo Leveling et Demon Slayer, offrant un monde riche rempli d’unités diverses, d’animaux de compagnie et de systèmes Gacha innovants. Avec tant de choses à découvrir au fur et à mesure de votre progression, […]
C'est aujourd'hui que le jeu Battlefield 6 est officiellement disponible sur toutes les plateformes ! Après plusieurs années d'attente, ce nouvel opus de la franchise Battlefield arrive enfin en ce jour du vendredi 10 octobre 2025.
La plainte de Nextcloud contre Microsoft n’est plus.
L’entreprise allemande a décidé d’abandonner la démarche. Elle regrette l’absence de « progrès notable » depuis la saisine de la Commission européenne en 2021.
Il était reproché au groupe américain d’utiliser Windows pour favoriser ses propres services, à commencer par OneDrive et Teams. Nextcloud le déplore toujours. Et ajoute désormais, entre autres, la difficulté à utiliser l’OS sans créer de compte Microsoft.
Une trentaine d’organisations avaient apporté un soutien formel à l’initiative. Dont, côté français :
Abilian
Aqua Ray
Arawa
Cozy Cloud
Jamespot
Linagora
Netframe
Nexedi
Rapid.Space
Talkspirit
TAS Cloud Services
Whaller
Wimi
XWiki
Microsoft sous surveillance renforcée en Allemagne
Nextcloud avait déposé plainte en parallèle auprès de l’autorité de la concurrence allemande. Il a eu davantage de succès sur ce front. En septembre 2024, Microsoft a effectivement été placé, pour 5 ans, sous un régime de contrôle spécifique. Motif, dans les grandes lignes : ses produits sont omniprésents dans les entreprises et les foyers et sont devenus indispensables.
Alphabet, Meta, Amazon et Apple ont été placés sous le même régime. Pour les deux derniers, la décision a été confirmée par la justice allemande.
Des enquêtes ont été ouvertes en conséquence. Par exemple, pour Amazon, sur les accords de distribution exclusive avec des marques. Ou pour Meta, sur les croisement des données collectées sur ses différents services.
Pour OVHcloud, l’issue fut plus favorable
En 2021, Bruxelles avait enregistré une autre plainte contre Microsoft, accusé de poser des barrières au fonctionnement de ses logiciels sur des clouds concurrents. Elle émanait d’OVHcloud. L’italien Aruba et le danois Cloud Community étaient également de la partie.
Cette plainte fut officiellement retirée en juillet 2024. Microsoft venait alors de trouver un accord avec une organisation dont OVHcloud est membre : le CISPE (Cloud Infrastructure Services Providers in Europe). Celui-ci avait lui-même attaqué le groupe américain devant la Commission européenne, en novembre 2022.
L’accord en question devait se traduire, entre autres, par le développement d’une édition d’Azure Stack HCI – devenu Azure Local – spécifique aux CSP européens. Cette solution technique n’a finalement pas vu le jour. Un compromis d’ordre contractuel a été trouvé à la place. Il se matérialise notamment par des modèles de licence à l’usage pour Windows Server et SQL Server, avec une tarification « comparable à celle d’Azure ». Le CISPE a aussi obtenu que ses membres puissent déployer Microsoft 365 Local sur leurs infrastructures, en monolocataire. Autre avancée : l’hébergement de workloads Microsoft facturés à l’usage via Azure Arc ne requiert plus de partager des données clients. Et les ESU gratuites sont acquises pour les déploiements Azure Local monolocataires, comme le VDI Windows 10/11 multisession, là aussi en monolocataire.
La sortie de Battlefield 6 est toute proche, et les joueurs et les joueuses, évidemment, trépignent. Mais attention, le lancement risque d'être contrariant. En tout cas, le studio prévient qu'il y aura de l'attente et qu'un système de queue est prévu.
Les rebondissements autour de Tesla s’enchainent inlassablement, semaine après semaine. Entre nouvelle Model Y en France, rebond des ventes ou encore une idée innovante pour relancer le Cybertruck, le constructeur automobile d’Elon Musk est au cœur des discussions. Une mauvaise nouvelle vient cependant de tomber, avec l’ouverture d’une enquête sur la...
Tout le monde a besoin d’accéder à internet en voyage. La plupart du temps, cela sert surtout à consulter ses emails professionnels, rester en contact avec sa famille et ses amis via les réseaux sociaux, utiliser des applications de navigation pour se déplacer ou partager ses photos et vidéos en temps réel.Pour les freelances et les télétravailleurs,...
Lorsqu’on arrive sur Apple iPhone depuis l'écosystème Android, il est parfois ardu de s’habituer aux particularités de son système d’exploitation, iOS. Et s’il y a bien une chose à connaître, c’est le processus de mise à jour, car Apple en déploie de nouvelles très régulièrement. Voici un tutoriel pour les installer et comprendre les différentes vers...
Vous avez aimez Breaking Bad ? Alors vous serez sûrement curieux de découvrir la nouvelle série de son créateur, Vince Gilligan. Cette fois-ci, il mélange les genres, dont la science-fiction, pour Apple TV+ dans Pluribus, un show mystérieux et attendu sur le service de streaming en novembre prochain.Plusieurs courts extraits sont apparus en ligne mai...
Après une première saison attendue de pied ferme, Dexter : Resurrection se voit offrir une nouvelle opportunité de convaincre. Ça annonce du lourd pour le tueur en séries.
Depuis ce 10 octobre 2025, Gemini, l’IA de Google, peut lire vos mails pour vous cibler publicitairement. Voici comment garder le contrôle sur vos données.
Le phénomène cinématographique Minecraft : Le Film n’a pas dit son dernier mot. Après avoir rapporté plus de 957 millions de dollars au box-office mondial, Warner Bros. vient d’officialiser la mise en chantier d’une suite, dont la date de sortie en salles est déjà fixée, soit le 23 juillet …
Y’a plein de problème avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…
Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.
Sauf pour bien sûr pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et
selon Omer Mayraz
, chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.
Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.
Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !
Voici une démo complète de l’attaque en vidéo :
La première étape c’est donc l’injection de prompt via un commentaire caché. Rien de révolutionnaire, mais efficace. Ensuite, deuxième étape : le bypass de la Content Security Policy de GitHub. Normalement, Copilot Chat ne peut charger que des ressources depuis des domaines appartenant à GitHub. Il est donc impossible d’envoyer des données vers un serveur externe.
Mais c’était sans compter sur le fait que GitHub dispose d’un proxy appelé Camo, conçu à l’origine pour sécuriser l’affichage d’images externes en les servant via HTTPS et en évitant le tracking. C’est donc ce proxy de sécurité qui devient l’outil d’exfiltration. Avec ce proxy, toutes les URLs d’images externes sont automatiquement transformées en URLs Camo du type https://camo.githubusercontent.com/[hash unique] et Mayraz a simplement utilisé l’API GitHub pour pré-générer un dictionnaire complet de ces URLs Camo, chacune pointant vers un emplacement unique sur son serveur.
Troisième étape, l’exfiltration des données. Au lieu de faire passer les secrets directement dans les URLs (trop visible), Mayraz a eu l’idée d’utiliser l’ordre des requêtes. Chaque lettre de l’alphabet correspond à une URL Camo unique. En faisant charger ces URLs dans un ordre précis, on peut ainsi transmettre des données texte comme avec un alphabet ASCII artisanal. C’est plutôt créatif comme approche, je trouve.
C’est exactement le même principe que les attaques ultrasoniques contre Alexa ou Siri. Si vous ne vous en souvenez pas, des chercheurs avaient démontré qu’on pouvait envoyer des commandes vocales à des fréquences inaudibles pour l’oreille humaine, mais parfaitement comprises par les assistants vocaux.
Bah ici, c’est pareil… On a des prompts invisibles pour les humains mais que l’IA voit et exécute sans broncher. Comme pour les enceintes, on parle à la machine sans que l’humain ne s’en aperçoive et la différence, c’est qu’au lieu de jouer sur les fréquences sonores, on joue sur le markdown et les commentaires cachés.
Du coup, chaque pull request externe est un potentiel cheval de Troie. Un contributeur externe soumet par exemple une PR apparemment légitime, avec un commentaire invisible qui ordonne à Copilot de chercher “AWS_KEY” dans vos repos privés. Vous de votre côté, vous ouvrez la PR dans votre éditeur, Copilot Chat s’active bien sûr automatiquement, et hop, vos clés API partent chez l’attaquant.
Quand on sait que GitHub a créé Camo justement pour améliorer la sécurité, ça fout un peu les boules. Bref, grâce à son proof-of-concept, Mayraz a réussi à exfiltrer des clés AWS, des tokens de sécurité, et même la description complète d’une vulnérabilité zero-day stockée dans une issue privée d’une organisation et tout ça sans aucune interaction suspecte visible par la victime.
Heureusement, notre joyeux chercheur a prévenu GitHub qui a réagi assez vite. Le 14 août l’entreprise a complètement désactivé le rendu d’images dans Copilot Chat, comme ça plus d’images, plus de problème. C’est radical, c’est sûr mais c’est efficace !
Quoiqu’il en soit, ces histoires de prompt injection c’est un problème fondamental propre aux LLM qui sont encore actuellement incapable de distinguer de manière fiable les instructions légitimes des instructions malveillantes. Ça reste donc un problème de confiance…
Dans ce cas prévis, on fait confiance à GitHub pour héberger notre code du coup, on fait confiance à Copilot pour nous aider à développer, tout comme on fait confiance aux contributeurs externes pour soumettre des PR de bonne foi. Et nous voilà avec une jolie chaîne de confiance prête à être exploitée…
Bref, CamoLeak c’est que le début de cette nouvelle vague de vuln liées aux assistants IA qui se retrouvent intégrés dans nos outils de développement… Donc ouvrez l’oeil car on ne sait jamais ce qui sa cache vraiment dans une pull request.
Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…
Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle
al-khaser
et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.
Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.
Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.
Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.
Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.
Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :
al-khaser.exe –check DEBUG –sleep 30
Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :
al-khaser.exe –check VMWARE –check QEMU
Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment
dans ce référentiel
dont je vous
déjà parlé
.
Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.
Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.
Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.
Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub. Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.
Il y en a qui font redescendre leur taux de cortisol à coups de vidéos de chatons plutôt que de s’attaquer à la racine du mal, comme le capitalisme ou les bouchons sur l’A3. Moi, ce sont les bébés chèvres : des trucs minuscules et extrêmement patauds qui portent dans leurs cornes toute la culture métal.
Connexion
