L’apocalypse de l’informatique quantique, c’est un truc que les experts annoncent régulièrement depuis 30 ans. Et cette fois ça commence à se préciser car si j’en crois Gartner , c’est pour 2029 - 2034 !

C’est le “on verra ça la semaine prochaine” éternel de la sécurité informatique, sauf que pendant que tout le monde rigole nerveusement en se disant on a le temps, Signal, eux s’attaquent sérieusement au sujet. Et il viennent de publier un write-up technique assez long expliquant comment ils ont déjà régler le problème.

Actuellement, seulement 18% des entreprises du Fortune 500 ont des réseaux protégés contre les ordinateurs quantiques donc autant vous dire que pas grand monde n’est prêt. Heureusement, on va tous pouvoir s’inspirer de ce qu’a fait Signal qui a mis au point un nouveau système baptisé SPQR (Sparse Post Quantum Ratchet, que j’imagine être un jeu de mot avec le SPQR romain… ).

Le problème, c’est que la cryptographie post-quantique, c’est pas juste une mise à jour de sécurité comme les autres. Concrètement, les nouvelles clés cryptographiques résistantes aux ordinateurs quantiques (ML-KEM-768, pour les intimes) font 2 272 bytes alors que les anciennes clés ECDH ne sont que de 32 bytes. C’est donc 71 fois plus gros et donc nos échanges chiffrés vont consommer encore plus de bande passante.

Et ça, c’est juste la partie visible du problème car Signal, c’est pas WhatsApp qui peut se permettre de dire “tant pis, on a de la thune, on va juste consommer plus de bande passante”. Non, Signal lui doit fonctionner partout c’est à dire aussi bien sur les vieux téléphones, que sur les réseaux pourris, ou dans les pays où les gouvernements surveillent activement le trafic. Et tout ça en restant plus sécurisé que n’importe quel autre service. C’est pas évident donc…

En 2023, Signal avait déjà fait une première mise à jour post-quantique avec PQXDH . L’idée, c’était de sécuriser la phase d’initialisation des conversations (le fameux handshake) au travers d’une approche hybride. En gros, on garde l’ancienne méthode X25519 et on ajoute un Kyber-1024 par-dessus, comme ça, même si les ordinateurs quantiques cassent l’une des deux protections, l’autre tient encore.

C’est malin, mais bon, ça ne suffisait pas car le handshake, c’est juste le début pour initialiser la conversation. Alors Signal a mis au point un système appelé le “Double Ratchet” qui fait évoluer les clés de chiffrement en permanence. Ainsi, à chaque message envoyé ou reçu, hop, de nouvelles clés sont générées. C’est ce qui donne à Signal ses super-pouvoirs : la forward secrecy (en gros, ça veut dire que si on vous pirate aujourd’hui, on ne peut pas déchiffrer vos vieux messages) et la post-compromise security (si on vous pirate, vous récupérez automatiquement une connexion sécurisée après quelques échanges).

Ce Double Ratchet, c’était une merveille d’ingénierie, sauf que devinez quoi… il repose entièrement sur ECDH, qui sera totalement cassable par les ordinateurs quantiques d’ici quelques années.

Donc il a fallu tout repenser !

Signal a donc ajouté un troisième ratchet au système. Un Triple Ratchet, le SPQR, qui fonctionne en parallèle des deux autres et injecte régulièrement des secrets post-quantiques dans le mélange.

L’astuce géniale, c’est qu’ils utilisent des “erasure codes”. C’est un peu comme les codes de correction d’erreur sur les CD, mais pour reconstituer des clés cryptographiques manquantes. Hé oui parce que sur un réseau merdique (ou surveillé par un vilain méchant gouvernement), des paquets se perdent. Du coup, avec les erasure codes, même si vous loupez quelques messages, vous pouvez quand même reconstituer les clés.

Et pour régler le problème de la taille des clés (vous vous souvenez, l’explosion de la bande passante ?), ils ont parallélisé les échanges de clés comme ça au lieu d’envoyer une grosse clé à chaque message, ils en envoient plusieurs petites en parallèle, réparties sur plusieurs messages. Ainsi, l’impact sur la bande passante reste raisonnable.

Voilà, donc pour résumer Signal a réussi à ajouter une protection post-quantique complète, en maintenant la forward secrecy et la post-compromise security, tout en gérant les environnements asynchrones (quand les gens sont offline), les réseaux pourris et les adversaires actifs. Tout ça avec un impact minimal sur les perfs ! C’est beau non ?

Et le plus beau dans tout ça c’est que pour nous, les utilisateurs rien ne change ! Toute cette complexité technique est totalement invisible. D’ailleurs les entreprises françaises feraient bien de se mettre sur le sujet car le temps passe vite. L’ANSSI a même tiré la sonnette d’alarme et fixé des échéances précises pour que les entreprises se bougent. Les secteurs les plus à risque (banques, santé, infrastructures critiques…) sont en première ligne. En plus quand on sait que les cybercriminels (et la NSA et compagnie) stockent déjà des données chiffrées pour les déchiffrer plus tard avec des ordinateurs quantiques, l’excuse du “on verra plus tard” ne tient plus vraiment la route.

Signal a ouvert totalement son code et publié ses algos et autres formules donc chaque entreprise qui le souhaite peut aller s’en inspirer. Pour une ONG c’est impressionnant ce qu’ils ont réussi là et ça prouve encore une fois qu’en matière de sécurité, il n’y a pas de fatalité.

Juste des choix.

Source

Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.

Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!

Et devinez quoi ?

Y’a toujours pas de patch !

L’histoire commence donc en septembre 2023. Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip , une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !

Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.

Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…

Maintenant on fait avance rapide en octobre 2025. Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping , une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.

La commande sudo que tous les linuxiens connaissent a plus de 40 ans, tout autant d’années d’audits de sécurité, des millions de lignes de code scrutées par des milliers de développeurs au fil des ans et surtout des dizaines de CVE critiques corrigées.

Et pourtant on est jamais à l’abri d’une mauvaise surprise ! En effet, une fonctionnalité ajoutée récemment pour “améliorer” la sécurité a crée un trou béant. Baptisée CVE-2025-32463, cette une faille critique présente dans sudo est même déjà exploitée par des cybercriminels.

Alors qu’est ce qui se passe exactement ? Hé bien en 2023, les développeurs de sudo ajoutent une amélioration dans la version 1.9.14. L’option --chroot (qui permet d’isoler une commande dans une “prison” système) est améliorée pour mieux gérer le “command matching”. Ça part d’une bonne intention, comme toujours mais cela a débouché sur l’une des pires CVE de l’année.

Rich Mirch de Stratascale découvre alors le problème en juin 2025. Ainsi, quand sudo fait un chroot dans un répertoire contrôlé par l’utilisateur, il demande ensuite “qui es-tu ?” via NSS (Name Service Switch, le système qui résout les infos utilisateurs). Sauf que NSS lit ses fichiers de config… dans le chroot. Votre chroot, celui que vous contrôlez. Gloups !

Il suffit alors de placer un faux /etc/nsswitch.conf et une bibliothèque partagée malveillante dans votre répertoire. Sudo fait son petit chroot dedans, charge votre lib pour vérifier qui vous êtes… et hop votre code s’exécute en root. Ainsi, n’importe quel utilisateur local, sans droits sudo préexistants, peut devenir root. C’est con hein ?

C’est tout con à exploiter ! Et le score de cette faille est critique puisqu’on est sur un CVSS de 9.3 / 10. Et comme les PoC (proof of concept) sont disponibles sur Github dans plein de versions différentes (genre celle là ou celle là ), c’est la fête à l’exploitation sauvage !!

Le 29 septembre dernier, la CISA a même ajouté la CVE-2025-32463 au catalogue KEV (Known Exploited Vulnerabilities), ce qui confirme son exploitation dans la nature. Les agences fédérales américaines ont donc jusqu’au 20 octobre 2025 pour patcher.

Donc oui, c’est du sérieux.

Notez que le patch est disponible depuis le 30 juin 2025 . Sudo 1.9.17p1 corrige donc ce problème et la fonctionnalité --chroot est maintenant marquée comme “dépréciée”. Les développeurs ont compris que cette idée était bancale dès le départ.

Donc si vous êtes admin système et que vous n’avez pas encore mis à jour, c’est le moment, les amis !! Les versions vulnérables vont de sudo 1.9.14 à 1.9.17. Les versions antérieures (avant 1.9.14) ne sont pas touchées, car la fonctionnalité n’existait pas. Et les plus récentes (1.9.17p1+) sont patchées. Ouf !

Comme quoi, même le code le plus vénéré par les barbus peut se foirer sur une nouveauté. En tout cas, bien joué à Rich Mirch pour avoir trouvé ça ! Et sincèrement désolé pour les devs qui ont validé ce commit foireux en 2023, qui ont dû s’en vouloir un peu quand même ^^.

Source

Y’a plein de problèmes avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…

Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.

Sauf pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et selon Omer Mayraz , chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.

Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.

Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !

Voici une démo complète de l’attaque en vidéo :

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/camoleak-github-copilot-vulnerability-prompt-injection/camoleak-github-copilot-vulnerability-prompt-injection-1.mp4">lien vers la vidéo</a>.

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.

Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.

Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.

Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.

Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :

al-khaser.exe –check DEBUG –sleep 30

Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :

al-khaser.exe –check VMWARE –check QEMU

Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .

Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.

Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.

Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.

Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.

Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.

Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.

Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.

L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !

Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.

Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.

Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.

Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.

Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.

Ah et la documentation est ici !

OpenAI a lancé Sora 2 fin septembre, et pour l’avoir testé, je peux vous dire que c’est un sacré bond en avant pour la génération vidéo par IA. Leur modèle génère maintenant de la vidéo ET de l’audio synchronisé, avec des dialogues, des effets sonores et des musiques réalistes…etc.

Mais il y a un hic car Sora 2 est dispo uniquement aux USA et au Canada. Le reste du monde, dont l’Europe, est donc bloqué. Mais rassurez-vous, je vais vous expliquer comment y accéder.

Sora 2 fonctionne en text-to-video et image-to-video. En gros, vous tapez une description, et le modèle génère la vidéo avec l’audio qui va bien. Comparé à la première version , Sora 2 respecte donc bien mieux la physique. Par exemple, on arrive à obtenir un ballon de basket qui rate le panier rebondit correctement sur le panneau… les mouvements sont plus cohérents, et les instructions complexes sur plusieurs plans sont suivies en gardant l’état du monde.

La fonctionnalité qui fait du bruit, c’est surtout Cameo. Vous uploadez une courte vidéo de vous, et Sora 2 peut vous insérer dans n’importe quelle scène générée. Le modèle reproduit alors votre apparence et votre voix avec assez de précision pour que ça fonctionne. Ça marche aussi avec des animaux ou des objets. OpenAI a sorti une app iOS sociale autour de ça, où vous créez des vidéos, remixez les générations des autres, et ajoutez vos potes en cameo.

Maintenant, comme je vous le disais, le problème c’est que Sora 2 est réservé aux Etats-Unis et au Canada uniquement donc si vous tentez d’y accéder depuis l’Europe, le Royaume Uni, l’Australie ou ailleurs, vous tomberez sur un message du style “Service not available in your region”. Et malheureusement, OpenAI n’a pas communiqué de dates pour l’expansion internationale, même si des sources parlent de déploiements progressifs dans les prochaines semaines.

Pourquoi Surfshark est la solution idéale pour accéder à Sora 2

Une solution technique existe pour contourner ce problème : utiliser un VPN pour apparaître aux yeux de Sora 2 comme si vous étiez aux USA ou au Canada. Et c’est là que Surfshark entre en jeu .

Surfshark dispose d’un réseau impressionnant de plus de 3200 serveurs répartis dans 100 pays, dont de nombreux serveurs performants aux États-Unis et au Canada. Les débits dépassent régulièrement 950 Mbps via le protocole WireGuard, ce qui garantit un streaming fluide et sans latence pour vos générations vidéo sur Sora 2. Fini les connexions qui rament au moment crucial.

Le gros plus de Surfshark ? Le tarif ultra-compétitif à environ 3€ par mois (avec l’offre actuelle), ce qui en fait l’un des VPN avec le meilleur rapport qualité-prix du marché. Mais ce n’est pas tout : contrairement à la plupart des concurrents, Surfshark permet des connexions simultanées illimitées. Vous pouvez protéger tous vos appareils (PC, smartphone, tablette, smart TV, et même celui de votre famille) avec un seul abonnement.

Des fonctionnalités qui vont au-delà du simple VPN

Ce qui distingue vraiment Surfshark, ce sont ses fonctionnalités avancées qui renforcent votre sécurité et votre anonymat en ligne. Le Dynamic MultiHop fait transiter votre connexion par plusieurs serveurs dans différents pays, brouillant totalement les pistes. Même les plus curieux auront du mal à vous suivre.

La plateforme Nexus centralise toute la gestion de vos paramètres de sécurité dans une interface intuitive. Vous pouvez analyser les fuites potentielles, gérer vos connexions multiples, et activer les protections avancées en quelques clics, même si vous n’êtes pas un expert technique.

Côté innovation, Surfshark ne chôme pas. Ils ont récemment déposé un brevet pour un système de chiffrement de bout en bout qui élimine les métadonnées. Contrairement aux VPN classiques qui laissent parfois des traces temporelles ou de volume, ce nouveau système efface absolument toutes les miettes numériques. Et ça ne ralentit pas votre connexion, ce qui est crucial pour du streaming 4K ou des générations vidéo gourmandes en bande passante.

Surfshark a également lancé son propre service DNS public gratuit, qui chiffre et anonymise toutes vos requêtes DNS via DNS-over-HTTPS et DNS-over-TLS. Même votre fournisseur d’accès Internet ne peut plus voir quels sites vous visitez. Et contrairement à d’autres DNS publics, Surfshark ne collecte ni ne vend vos données de navigation.

CleanWeb et Alternative ID : la protection complète

En bonus, tous les abonnements Surfshark incluent désormais CleanWeb, un bloqueur de publicités et de trackers ultra-efficace. Il fonctionne sur tous vos appareils (Windows, Mac, Android, iOS, Linux, même FireTV) et bloque non seulement les pubs classiques, mais aussi les pop-ups, les cookies invasifs, les tentatives de phishing et les sites vérolés. Vous naviguez plus vite, plus proprement, et en toute sécurité.

Et si vous voulez aller encore plus loin dans la protection de votre vie privée, Alternative ID (inclus dans l’abonnement) vous permet de générer des identités fictives (noms, adresses mail temporaires, numéros de téléphone) pour vous inscrire sur des services sans jamais donner vos vraies informations. Pratique pour tester Sora 2 ou d’autres plateformes sans se faire spammer par la suite.

Comment accéder à Sora 2 depuis l’Europe avec Surfshark

Notez quand même qu’utiliser un VPN pour contourner les restrictions géographiques d’OpenAI viole leurs conditions d’utilisation donc s’ils le décident, ils peuvent suspendre votre compte. Mais pour le moment, ce n’est arrivé à aucun utilisateur de VPN et je pense pas que ce serait dans leur intérêt.

Comme l’app Sora est dispo uniquement sur iOS pour l’instant, vous devrez aussi vous créer un compte Apple américain pour avoir l’appstore US et pouvoir installer l’app. Rien de bien compliqué et une fois que c’est installé, vous pouvez rebasculer sur votre compte FR.

Voici donc comment créer un compte Apple américain (US) :

1. Rendez-vous sur le site https://appleid.apple.com/us/ puis cliquez sur “Create your Apple ID”.
2. Remplissez les informations demandées (nom, date de naissance, adresse e-mail) et choisissez bien “United States” comme pays/région.
3. Vous pouvez utiliser un numéro de téléphone français pour la validation (le préfixe +33 est accepté) en recevant un SMS pour confirmer.
4. Validez votre adresse e-mail via le code envoyé.
5. À la création du compte, vous pouvez choisir “None” comme mode de paiement, ce qui signifie que vous n’êtes pas obligé de fournir une carte bancaire américaine.
6. Pour utiliser ce compte sur un appareil iOS, déconnectez votre compte Apple actuel dans AppStore > Compte > Déconnexion (tout en bas), puis connectez-vous avec votre nouvel identifiant Apple US.

Cette méthode vous permettra de créer un Apple ID pour accéder à l’App Store américain sans nécessiter obligatoirement une carte bancaire US.

Le système d’accès est en invitation pour l’instant et chaque personne invitée reçoit 4 codes à partager. TOUS LES CODES ONT ÉTÉ DISTRIBUÉS ! Maintenant si vous voulez tester Sora 2 et que vous êtes parmi les 4 premiers à m’envoyer un mail, je vous file un de mes codes d’invitation. Après ça, vous pourrez à votre tour inviter 4 personnes.

Maintenant, niveau contenu généré, on voit déjà des trucs hallucinants sur les réseaux… et aussi beaucoup de problèmes de copyright. Des users génèrent des Bobs l’Eponge, des Mario, des persos Nintendo…etc ce qui pose évidemment des questions légales mais bon, c’est rigolo quand même. OpenAI a d’ailleurs intégré un watermarking dans chaque vidéo générée, afin de pouvoir remonter la piste de chacune des générations.

En résumé : la marche à suivre

Si vous êtes en Europe et que vous voulez vraiment accéder à Sora 2 maintenant malgré les risques, voici comment ça fonctionne avec Surfshark :

1. Installez l’application Surfshark VPN sur votre appareil
2. Connectez-vous à un serveur US ou canadien (choisissez-en un avec une faible latence)
3. Créez un compte Apple américain comme expliqué plus haut
4. Installez l’app Sora via l’App Store US
5. Normalement, vous passerez le geo-blocking sans problème

Avec Surfshark, vous bénéficiez non seulement d’un accès fiable à Sora 2, mais aussi d’une protection complète pour toute votre navigation. À environ 3 € par mois pour une sécurité sur un nombre illimité d’appareils, c’est clairement l’une des meilleures options du marché.

Ou sinon, vous attendez sagement qu’OpenAI déploie officiellement son service en Europe mais faudra être encore un peu patient.

Essayer Surfshark VPN maintenant

Enfin une bonne nouvelle les amis ! Le parti CDU/CSU, actuellement au pouvoir en Allemagne, vient de déclarer clairement qu’il n’y aura pas de Chat Control avec ce gouvernement. L’annonce a été faite hier et c’est une victoire majeure pour la vie privée en Europe !

Pour ceux qui n’ont pas suivi, je vous avais parlé de Chat Control , une proposition de règlement européen qui obligerait WhatsApp, Signal, Telegram et tous les autres à scanner automatiquement tous vos messages, même chiffrés, pour y chercher du contenu illégal. En gros, on casse le chiffrement de bout en bout pour surveiller tout le monde “au cas où”. C’est de la surveillance de masse déguisée en protection de l’enfance, et d’ailleurs tous les experts en sécurité vous le diront : on ne peut pas casser le chiffrement “juste un peu” ou “pour une bonne cause”. Soit c’est chiffré, soit ça l’est pas.

Bref, la déclaration de la CDU/CSU est limpide : Il n’y aura pas de surveillance généralisée des messages sans motif, comme certains pays de l’UE le réclament. Patrick Hansen, qui suit de près ces questions de réglementation crypto et tech en Europe, a tweeté que c’était une grande victoire pour la vie privée dans l’UE et il a raison, le bougre !

Alors pourquoi c’est important cette décision de l’Allemagne ? Hé bien parce qu’elle pèse lourd dans les décisions européennes la Bertha ! Pour qu’une proposition comme Chat Control passe, il faut le soutien d’États membres représentant au moins 65% de la population de l’UE. Et sans l’Allemagne, c’est mathématiquement compliqué. Du coup, ça tombe bien puisque le vote au Conseil était prévu pour le 14 octobre 2025.

Faut pas oublier que la position allemande avait vacillé en septembre. En effet, après une réunion du groupe de travail LEWP, l’Allemagne était revenue à une position “indécise”, ce qui avait fait flipper tout le monde et sans le refus ferme de Berlin, l’opposition ne pouvait plus garantir une minorité de blocage.

Bref, on était pas loin de la catastrophe !!

Mais là, c’est bon, on est sauvé puisque la CDU/CSU remet les points sur les i. Pas de Chat Control. Le dossier est clos (pour le moment…). C’est chouette parce que franchement, dans le cas contraire, j’aurais pas compris car l’Allemagne a quand même une histoire particulière avec la surveillance de masse. Entre les nazis et la Stasi d’Allemagne de l’Est, ils savent mieux que personne ce que ça donne quand l’État surveille tout le monde. J’imagine que cette mémoire historique a compté dans leur position vis à vie de ChatControl.

En tout cas, c’est le bon moment pour dire merci. Merci à tous ceux qui se sont mobilisés contre ce projet délirant ces derniers mois. Les associations comme l’Electronic Frontier Foundation, le Chaos Computer Club, European Digital Rights, tous les devs qui ont gueulé, tous les citoyens qui ont écrit à leurs députés, tous ceux qui ont relayé l’info…etc. Car sans cette pression, on aurait probablement déjà Chat Control en place. Une preuve de plus que la mobilisation, ça marche !

Après, en tant qu’ancêtre d’Internet, croyez en ma grande expérience, ce genre de loi merdique n’est jamais vraiment mort. Ça reviendra sous une autre forme, avec un autre nom, un autre prétexte. C’est l’histoire même de la surveillance… ils réessayent encore et encore jusqu’à ce que ça passe, en espérant qu’on sera trop fatigués ou trop distraits pour résister. Mais bon, ce sera pas pour cette fois encore…

Signal avait même menacé de quitter le marché européen plutôt que de compromettre le chiffrement de son service. Proton, Tuta et d’autres avaient de leu côté fait des déclarations similaires.

Donc voilà. Pour une fois, une bonne nouvelle sur la vie privée en Europe, alors en attendant la prochaine saloperie politique, on savoure cette victoire, et on continue à se battre !

Vous compressez vos fichiers Parquet avec gzip ? Ça marche, c’est trop cooool ! Vos CSV sont en Snappy ? Nickel c’est le bonheur !! Vos time-series sont dans un format custom que personne ne comprend sauf le dev qui est parti y’a deux ans sans laisser d’adresse ? Ah, merde…

Du coup, combien ça vous coûte vraiment ces histoires de compression ? Non, je ne parle pas en octets économisés, mais plutôt en temps humain perdu. Parce que Meta vient de publier un truc super cool qui s’appelle OpenZL et qui est un framework open source qui révèle une vérité qu’on préfère ignorer : Zuck est un reptilien euh, non… utiliser des compresseurs génériques pour tout, c’est pratique mais c’est une facture cachée qui explose !

Hé oui car les compresseurs universels comme gzip ou zstd sont géniaux, ils fonctionnent partout mais le problème c’est qu’ils ne comprennent rien à vos données. Pour eux, un CSV c’est pareil qu’un JPEG ou qu’un binaire random, du coup, vous obtenez une compression “correcte” mais rarement optimale.

Et vous vous retrouvez alors dans le cycle classique suivant : Un nouveau dataset structuré, vous tentez gzip, c’est bof. Vous essayez alors un compresseur spécialisé, mais faut l’intégrer au pipeline et franchement, la flemme. Et ça, ça vous prend combien de temps en vrai ?

Oui, je sais, vous n’en avez aucune idée mais chez Meta, ils ont évalué ça en mois de développement pour chaque nouveau type de données. Oui, des mois, pas des jours. Et après faut maintenir tout ça, gérer les versions, les dépendances, les cas particuliers…. bref.

Meta a donc fait le calcul et le partage ouvertement . Ils avaient des centaines de cas d’usage différents pour la compression de données structurées avec des fichiers Parquet, des CSV, des time-series, des tensors de machine learning, des tables de bases de données…etc et à chaque fois, soit vous prenez gzip et vous laissez de l’espace disque et de la bande passante sur la table, soit vous développez un compresseur custom et vous perdez des semaines de dev.

La solution classique consistait donc à multiplier bêtement les compresseurs spécialisés. Un pour Parquet avec Snappy, un autre pour les CSV, encore un autre pour les données numériques colonnes…etc et là ça devient vite le bordel car chaque compresseur a son décodeur, sa config, ses quirks. Vous vous retrouvez alors avec une infrastructure de compression qui ressemble à un mille-feuille de dépendances mais sans le bonheur d’une crème pâtissière de qualité.

C’est là qu’OpenZL débarque avec une approche totalement différente puisqu’au lieu de créer encore un énième compresseur spécialisé, ils ont fait un framework qui comprend la structure de vos données et génère automatiquement la meilleure stratégie de compression.

Donc en gros, vous donnez à OpenZL une description de la structure de vos données via leur Simple Data Description Language (SDDL). Ensuite leur “trainer” analyse des échantillons et trouve la séquence optimale de transformations. Ces transformations révèlent alors des patterns cachés dans vos données structurées, ce qui permet ensuite une compression beaucoup plus efficace qu’un compresseur générique aveugle.

Faut voir OpenZL comme un genre de compilateur en fait. Vous lui donnez une description haut niveau de vos données, et il génère un “plan de compression” optimisé pour ce type précis de données. Un peu comme un compilateur transforme du code haut niveau en binaire optimisé.

Et le plus beau c’est que tous les fichiers compressés par OpenZL, même avec des configs complètement différentes, se décompressent avec le même binaire. Comme ça c’est fini le casse-tête des multiples décodeurs à maintenir. Là vous avez un seul exécutable à déployer partout. Bref, c’est surtout ça la promesse de Meta avec OpenZL.

Cet outil est en prod chez eux et visiblement, comme ils le racontent sur X , il a réduit les temps de développement de mois à jours, pour des gains de compression et de vitesse systématiquement supérieurs aux compresseurs génériques. Sur des datasets Parquet par exemple, ils obtiennent des ratios de compression meilleurs que gzip tout en étant plus rapides à compresser et décompresser.

Pour vous donner un ordre de grandeur, Parquet avec gzip c’est déjà 2.37 fois plus compact qu’un CSV classique. OpenZL lui, va encore plus loin en exploitant les régularités intrinsèques des données colonnes tels que des types énumérés, des contraintes de range, des patterns temporels dans les time-series et c’est ça qui fait la différence entre un compresseur qui voit des bytes et un qui comprend la structure.

Meta considère le core d’OpenZL comme production-ready et l’utilisent en interne à large échelle depuis un petit moment. Maintenant si ça vous intéresse pour vos propres projets, sachez que le framework est sous licence BSD et dispo sur GitHub et vous avez un Quick Start guide , de la doc complète , et même un papier académique sur arXiv si vous voulez plonger dans les détails techniques du modèle graph-based qu’ils utilisent.

Voilà, si vous bossez avec des volumes importants de données structurées, si vous en avez marre de bidouiller des configs de compression, ou si vous voulez juste arrêter de payer la facture cachée des compresseurs universels, allez voir OpenZL sur GitHub .

Source

Vous connaissez Vercel ? Cette plateforme de déploiement qui permet de mettre en ligne une app web en deux clics. Hé bien c’est super génial… mais ça ne marche qu’avec JavaScript. Du coup, si vous faites du Python, du PHP ou autre, vous êtes un peu coincé. Snif…

C’est un peu le problème que Ronan Berder, un dev de Singapour, s’est pris en pleine poire au moment où il a voulu déployer ses apps Python aussi facilement que du Next.js sur Vercel. Comme y’avait pas grand chose qui existait, il a donc créé DevPush, une alternative open source et auto-hébergeable qui fonctionne avec tous les langages de dev.

Vous connectez votre repo GitHub, vous pushez votre code, et boom, votre app est déployée, tout ça sans coupure de service, avec possibilité de retour en arrière instantané, des logs en temps réel, des environnements multiples, du SSL automatique…etc… Bref, tout ce que vous avez sur Vercel, mais sans être limité à Node.js.

DevPush supporte donc déjà Python avec Flask, Django et FastAPI et comme c’est basé sur Docker, n’importe quel langage peut tourner dessus. Node.js, PHP, Ruby, Go, Rust… ce que vous voulez. Y’a juste à créer un conteneur Docker et c’est parti.

Comme vous le savez, Redis c’est un peu le champion du cache mémoire. C’est rapide, c’est efficace, tout le monde l’utilise mais surtout, ça tourne dans 75% des environnements cloud. En gros, 3 serveurs sur 4 dans le cloud l’utilise…

Cool ? Oui sauf quand une faille critique de sécurité pointe le bout de son nez ! Et pas une petite faille, mes amis ! Une faille notée 10 sur 10 en gravité, qui permet d’exécuter du code à distance sur les serveurs.

Estampillée CVE-2025-49844, et joliment baptisée RediShell, cette faille en elle-même est assez technique puiqu’elle repose sur un bug Use-After-Free dans l’interpréteur Lua intégré à Redis. En gros, un attaquant authentifié peut envoyer un script Lua malveillant qui vient manipuler le garbage collector, provoque un accès mémoire après libération, et permet ainsi d’exécuter du code arbitraire sur le serveur.

C’est de la RCE complète salade tomates oignons, avec sauce système compromis !

Le truc, c’est que ce bug dormait dans le code depuis 13 ans dès que Redis a intégré Lua en 2012 dans la version 2.6.0. Donc pendant tout ce temps, des millions de serveurs Redis dans le monde entier avaient cette vulnérabilité activée par défaut.

Et les chiffres donnent le vertige car d’après les scans de Wiz Research, environ 330 000 instances Redis sont exposées directement sur Internet. Et sur ces 330 000, au moins 60 000 n’ont même pas d’authentification activée. Donc autant dire qu’elles sont ouvertes à tous les vents et que les serveurs qui se cachent derrière aussi…

Toute l’infrastructure cloud moderne repose sur une poignée de briques open source critiques, et ça marche tellement bien qu’on en met partout et on finit souvent par oublier à quel point c’est fragile… On l’a déjà vu par exemple avec Log4Shell qui a touché des millions de serveurs Java en 2021, puis avec Heartbleed dans OpenSSL en 2014. Et on a failli le voir avec la backdoor XZ Utils découverte in extremis en 2024.

À chaque fois, c’est le même schéma où un composant open source critique, utilisé partout, et maintenu par une équipe minuscule (souvent 1 à 5 personnes), se retrouve avec un bug qui expose des pans entiers de l’infrastructure mondiale d’Internet… Argh !

Maintenant, la bonne nouvelle , c’est que Redis a publié des patchs pour toutes les versions maintenues : 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2. Donc si vous utilisez Redis, c’est le moment de mettre à jour !! Et pendant que vous y êtes, activez aussi l’authentification avec la directive requirepass, et désactivez les commandes Lua si vous ne les utilisez pas. Vous pouvez faire ça via les ACL Redis ou simplement en révoquant les permissions de scripting.

La découverte de RediShell a été faite par Wiz Research lors du Pwn2Own de Berlin en mai 2025. Alerté, Redis a publié son bulletin de sécurité le 3 octobre dernier, et Wiz a rendu public les détails le 6 octobre. Une Timeline propre, une divulgation responsable, bref tout s’est bien passé de ce côté-là…

Maintenant pour réduire ce genre de risque à terme, je pense que ce serait cool si les géants d’Internet finançaient un peu plus directement les mainteneurs de ces briques logiciels essentielle, ainsi que des audits de l’ OpenSSF car pour le moment, on est loin du compte ! Redis est patché, heureusement, mais on sait aussi que la prochaine faille critique dans un de ces composants critiques, c’est une nouvelle fois, juste une question de temps…

Source

Je sais pas si vous avez vu ça hier mais Google DeepMind vient de sortir CodeMender , un agent IA qui repère et corrige automatiquement les failles de sécurité dans votre code. L’outil analyse les vulnérabilités, génère les patches, vérifie qu’ils cassent rien, et soumet le tout aux mainteneurs de projets open source.

D’après leurs premiers retours, en 6 mois, CodeMender a déjà upstreamé 72 correctifs de sécurité sur des projets qui comptent jusqu’à 4,5 millions de lignes de code.

Pour bien comprendre comment ça fonctionne, CodeMender fonctionne sur deux modes. Il y a le mode réactif qui patche instantanément les nouvelles vulnérabilités découvertes, avec de l’analyse de programme avancée et un système multi-agents qui évalue la correction sous tous les angles. Et le mode proactif qui réécrit le code existant pour utiliser des structures de données et des APIs plus sécurisées, en appliquant par exemple des annotations de compilateur comme -fbounds-safety qui ajoutent des vérifications de limites automatiques.

L’outil s’appuie sur Gemini Deep Think , l’un des modèles de raisonnement avancé de Google et CodeMender combine plusieurs techniques d’analyse : static analysis pour repérer les patterns suspects dans le code source, dynamic analysis pour observer le comportement à l’exécution, fuzzing pour balancer des inputs aléatoires et voir ce qui casse, differential testing pour comparer le code modifié avec l’original, et des solveurs SMT pour vérifier formellement certaines propriétés du code.

Le truc intéressant avec CodeMender, c’est le process de validation. L’agent utilise ce qu’ils appellent un “LLM judge” qui vérifie que le patch proposé ne casse pas les fonctionnalités existantes. Le système compare l’original et la version modifiée, détecte les différences, et valide que le changement corrige bien la vulnérabilité sans y introduire des régressions. Et si un problème est détecté, CodeMender s’auto-corrige et retente sa chance.

Vous vous souvenez de cette règle de base en informatique, que je vous rabâche régulièrement, et qui dit de toujours avoir plusieurs sauvegardes de vos données critiques ?

Hé bien apparemment, le gouvernement sud-coréen a zappé ce cours, car le 26 septembre dernier, un incendie s’est produit au centre de données NIRS (National Information Resources Service) à Daejeon et a cramé 858 téraoctets de fichiers gouvernementaux . Et y’a pas de backup. Nada.

Le feu a démarré pendant une opération de maintenance sur une batterie lithium-ion dans laquelle une cellule a lâché , déclenchant ce qu’on appelle un emballement thermique… En gros, la batterie s’est transformée en bombe incendiaire et le brasier s’est propagé dans la salle serveur du cinquième étage, faisant tomber 647 services en ligne gouvernementaux d’un coup. Parmi eux, 96 systèmes critiques ont été directement détruits, et 551 autres ont été coupés préventivement pour éviter que la chaleur les bousille aussi.

Le système qui a morflé le plus, c’est G-Drive, le cloud de stockage utilisé par les fonctionnaires sud-coréens depuis 2018. Environ 750 000 employés du gouvernement central peuvent stocker leurs documents de travail dessus, mais seulement 125 000 l’utilisaient vraiment. Chacun disposait d’environ 30 Go d’espace de stockage, ce qui fait qu’au total le système contenait 858 To de données de travail accumulées sur huit ans.

Snif…

En fait, leur G-Drive est conçu comme un système de stockage haute capacité, mais basse performance, et ils ont des contraintes réglementaires qui imposent un stockage exclusif sur cette plateforme afin d’éviter les fuites de données.

Donc autrement dit, pour se prémunir contre les risques de fuite, ils ont créé un point de défaillance unique. Et comme y’avait pas de backup, c’est la cata… Bravo !

Du coup, quand l’incendie a détruit les serveurs physiques, tout est parti en fumée. Huit ans de documents de travail pour certains ministères, qui ont été complètement perdus… C’est surtout le ministère de la Gestion du Personnel qui s’est pris la claque la plus violente parce qu’il avait rendu obligatoire le stockage de tous les documents sur G-Drive uniquement. D’autres organismes comme le Bureau de Coordination des Politiques Gouvernementales, qui utilisaient moins la plateforme, ont moins souffert.

Bref, les autorités essaient maintenant de récupérer ce qu’elles peuvent depuis d’autres sources. Y’a des petits bouts de fichiers sauvegardés localement sur les ordinateurs personnels des fonctionnaires le mois précédent, les emails, les documents officiels validés et les archives papier… Bref, pour tous les documents officiels passés par des processus d’approbation formels, il y a un espoir de récupération via leur système OnNara (un autre système gouvernemental qui stocke les rapports finaux), mais pour tout le reste (brouillons, fichiers de travail en cours, notes internes…etc.) c’est mort de chez mort…

Le ministère de l’Intérieur a expliqué que la plupart des systèmes du centre de Daejeon sont normalement sauvegardés quotidiennement sur des équipements séparés dans le même centre ET dans une installation de backup distante. Mais G-Drive, lui, n’avait pas, comme je vous le disais, cette possibilité.

Évidemment, cet incident a déclenché une vague de critiques acerbes sur la gestion des données gouvernementales sud-coréennes. Un système de backup en miroir en temps réel qui duplique le serveur principal pour assurer la continuité de service en cas de panne, était complètement absent de l’infrastructure et pour un système aussi critique que le stockage de documents de 750 000 fonctionnaires, c’est difficilement compréhensible.

Voilà donc le gouvernement estime qu’il faudra jusqu’à un mois pour récupérer complètement les 96 systèmes de base directement endommagés par l’incendie et pour G-Drive et ses 858 To de données, par contre, c’est une autre histoire, car sans backup, les données sont définitivement perdues.

De plus, cet incendie déclenche actuellement un genre d’examen mondial des batteries lithium-ion dans les datacenters et des architectures de plan de reprise d’activité (PRA). Les batteries lithium-ion sont en effet utilisées partout pour l’alimentation de secours, mais leur risque d’emballement thermique en cas de défaillance pose de sérieuses questions sur leur place dans des infrastructures critiques…

Bref, je souhaite bon courage aux Coréens, et j’espère que tout le monde saura tirer des enseignements de ce malheureux incendie…

Source

En octobre 2016, un développeur suisse connu sous le pseudo swisskyrepo a commencé à compiler ses notes de pentester dans un dépôt GitHub. Rien de révolutionnaire au départ, juste un mec qui en avait marre de chercher la même injection SQL pour la 50ème fois dans ses notes. Mais ce qui est cool c’est qu’au fur et à mesure des années, il a structuré ça proprement avec une section par type de vulnérabilité, des README clairs, des fichiers Intruder pour Burp Suite, des exemples concrets…etc.

Ça s’appelle Payloads All The Things, et c’est accessible ici .

Ce qui était donc au départ un simple carnet de notes personnel est devenu THE référence mondiale en cybersécurité offensive avec des centaines de contributeurs qui ajoutent quotidiennement de nouvelles techniques. C’est devenu la pierre de Rosette (pas la charcuterie, renseignez-vous !! lol) de la sécurité offensive, celle qu’on cite dans tous les cours de certification OSCP, celle qu’on consulte pendant les CTF, celle qu’on recommande aux débutants…

Avant PayloadsAllTheThings, le savoir en cybersécurité offensive était soit verrouillé dans des formations hors de prix à 5 000 boules, soit éparpillé dans des recoins obscurs du web, soit jalousement gardé par des pentesters qui pètent plus haut que leur cul… Des pêt-testeurs quoi…

SwisskyRepo a d’ailleurs fait un choix radical qui est tout mettre en open source, sous licence MIT, accessible à tous. Et le contenu, c’est du lourd !

On y trouve tout ce dont un pentester peut avoir besoin : SQL Injection avec toutes les variantes possibles (MySQL, PostgreSQL, Oracle, MSSQL…), XSS avec les bypasses de filtres, SSRF avec les techniques d’exfiltration, Command Injection, OAuth Misconfiguration, GraphQL Injection, File Inclusion, Authentication Bypasses, API Key Leaks…etc… La liste est hallucinante.

Chaque section est structurée comme un cookbook technique avec le contexte de la vulnérabilité, les payloads classés par type, les bypasses pour contourner les protections, des exemples concrets, et les références vers les CVE ou les articles de recherche.

Par exemple, si vous voulez exploiter un serveur Redis mal configuré, il y a une section pour ça. Si vous voulez comprendre comment contourner un WAF, pareil ! Et si vous cherchez à pivoter dans un réseau interne après avoir compromis une machine, tout est documenté en anglais sur ce site.

Mais swisskyrepo ne s’est pas arrêté là. Son projet a muté en écosystème puisqu’il a aussi créé InternalAllTheThings , un wiki dédié au pentesting interne et aux attaques Active Directory (Certificate Services, Enumeration, Group Policies, Kerberos attacks, Hash manipulation, Roasting techniques…).

Et également HardwareAllTheThings , le même genre de wiki mais sur la sécurité hardware et IoT : JTAG, SWD, UART pour les interfaces de debug, firmware dumping et reverse engineering, Arduino, Raspberry Pi, Flipper Zero pour les gadgets, Bluetooth, CAN, WiFi, RFID/NFC pour les protocoles, SDR et GSM pour la radio, fault injection pour les attaques par canal auxiliaire…

Bref, tout ce qu’il faut savoir pour hacker des objets connectés, des cartes à puce ou des systèmes embarqués.

Du coup, avec cette famille complète de “AllTheThings”, on couvre toute la surface d’attaque moderne, le web, l’infra interne et le hardware. Un pentest complet peut donc se faire avec ces trois ressources comme base de connaissance. Chouette non ?

Bien, sûr c’est à utiliser dans un cadre légal, sinon, vous irez en prison ! C’est pas un forum de script kiddies qui échangent des zero-days volés, c’est une vraie bibliothèque technique pour les professionnels et les étudiants en cybersécurité.

Grâce à ça, un étudiant motivé peut devenir compétent en sécurité offensive en quelques mois juste avec des ressources gratuites : PayloadsAllTheThings pour les techniques, TryHackMe ou HackTheBox pour la pratique, les blogs de chercheurs pour les analyses approfondies, les conférences enregistrées (DEF CON, Black Hat) pour rester à jour.

Le savoir se libère, n’en déplaise aux relous ! Moi je trouve que c’est cool, car ça vulgarise les connaissances, ça les mets à la portée de tous et c’est tant mieux.

Donc un grand merci à SwisskyRepo d’avoir lancé ce projet !

Vous en avez marre de WhatsApp, Telegram ou Discord qui lisent vos messages, stockent vos données et décident de qui peut parler à qui ? Ça tombe bien car il existe une alternative radicale qui vient de sortir en version 1.0.

Ça s’appelle Xeres , et contrairement à tout ce que vous utilisez aujourd’hui, ça ne passe par aucun serveur. Que dalle.

Il s’agit d’un vrai réseau Friend-to-Friend, c’est à dire que vous ne vous connectez qu’aux gens que vous connaissez vraiment. Pas de serveur central qui pourrait tomber, être saisi par le FBI ou décider de vendre vos conversations à des annonceurs. Juste vous et vos potes, en direct, chiffrés de bout en bout avec du PGP v4 et du RSA 3072 bits. Votre IP est uniquement visible par vos amis directs, et si vous voulez parler à un ami de votre ami, ça passe par des tunnels anonymes.

Le truc, c’est que Xeres est compatible avec Retroshare , ce vieux de la vieille du P2P décentralisé qui existe depuis des années. Donc si vous avez des potes qui utilisent déjà Retroshare 0.6.6 ou plus récent, vous pouvez vous connecter à eux sans problème. C’est un peu comme si Signal et BitTorrent avaient eu un enfant qui aurait grandi dans les années 90 en écoutant du punk et en lisant des manifestes crypto-anarchistes.

Mais alors comment ça marche techniquement, me direz-vous ? Et bien c’est simple. Vous installez Xeres sur votre machine (Windows, Linux, macOS, ou même Android), vous générez votre identité cryptographique, et vous échangez vos certificats avec vos amis. Pas de login, pas de mot de passe à retenir, pas de numéro de téléphone à fournir. Juste un échange de clés comme au bon vieux temps.

Une fois connecté, vous avez alors accès à tout un tas de services décentralisés. Du chat bien sûr, mais aussi des salons de discussion, des forums, du partage de fichiers, et même la possibilité de discuter avec des gens que vous ne connaissez pas directement via les fameux tunnels anonymes dont je vous parlais. C’est votre propre petit bout d’Internet privé avec vos amis, quoi.

Cette nouvelle release qui vient de sortir apporte pas mal d’améliorations . Meilleures perf avec Java, support macOS restauré, stickers dans les chats, alias de discussion, et même un système de mise à jour automatique sous Windows. Les versions précédentes avaient déjà ajouté un client Android pour se connecter à distance à votre instance qui tourne chez vous, du support pour les architectures ARM sous Linux, et plein d’autres trucs sympas.

D’ailleurs, parlons un peu de cette histoire de Friend-to-Friend (F2F) vs P2P classique. Dans un réseau P2P normal, tout le monde connaît l’IP de tout le monde. Pratique pour partager des fichiers, mais niveau anonymat et vie privée, c’est moyen. Dans un réseau F2F , vous ne voyez que vos contacts directs, et le reste du réseau vous est invisible. Ça limite un peu la portée, mais ça renforce énormément la sécurité et l’anonymat.

Xeres va même plus loin en supportant les transports via Tor et I2P en mode client. Donc si vous voulez vraiment rester anonyme, vous pouvez faire passer toutes vos connexions par ces réseaux. Ainsi vos amis directs ne verront même pas votre vraie IP. Oui, c’est pour les paranos, mais c’est top !

Maintenant pour l’installer, rendez-vous sur la page de téléchargement et choisissez la version qui correspond à votre système. Il y a des installeurs pour Windows, des paquets .deb pour Ubuntu, des images DMG pour macOS (Intel et Apple Silicon), et même une image Docker si vous voulez faire tourner ça sur un serveur en mode headless.

Toutes les releases sont signées avec une clé PGP, donc vous pouvez vérifier que personne n’a trafiqué le fichier que vous téléchargez. Donc prenez 30 secondes pour vérifier la signature, ça vaut le coup pour un logiciel de communication chiffré.

Et une fois installé, vous verrez, l’interface est plutôt moderne avec plusieurs thèmes au choix. Rien à voir avec les vieilles interfaces des logiciels P2P des années 2000. C’est propre, c’est réactif, et ça utilise JavaFX pour l’accélération matérielle. Oui, c’est du Java moderne qui ne fait pas ramer votre machine.

Le projet est disponible en open source sur GitHub sous licence GPL-3.0.

Bref, l’idée derrière Xeres, c’est de promouvoir la liberté d’expression en créant une alternative aux plateformes centralisées qui peuvent censurer, surveiller ou tout simplement disparaître du jour au lendemain. C’est un peu radical, mais vu l’état actuel de la centralisation du web, c’est pas plus mal d’avoir ce genre d’alternative.

Vous trouverez toute la documentation sur le site officiel , avec des guides de démarrage, des explications sur l’architecture, et des options de ligne de commande pour ceux qui veulent pousser le truc plus loin. Il y a même un mode client/serveur pour que votre instance tourne en permanence chez vous et que vous puissiez vous y connecter depuis votre téléphone Android.

Sympa non ?

Mais siiii, celui où on cliquait sur un lien et hop, la page s’affichait. Sans popup de cookies, sans overlay “Abonnez-vous à notre newsletter”, sans ce message agaçant “Désactivez votre bloqueur de pub pour continuer” ou “Abonnez-vous pour lire cet article”. Bref, l’époque bénie où internet était juste… internet.

Le RGPD devait nous sauver de la surveillance mais le résultat c’est qu’on passe notre vie à cliquer sur des bouton “Tout refuser” ou à chercher le bouton caché derrière 47 onglets de paramètres. L’enfer est pavé de bonnes intentions réglementaires, il parait… Mais heureusement, des extensions comme PopUpOFF existent pour réparer ce que cette loi a cassé.

Ce que fait cette extension pour Chrome et Firefox, c’est virer les popups, les overlays, les bannières de cookies et toutes ces merdes qui transforment la navigation en parcours du combattant. RomanistHere, le dev derrière le projet, a créé ça tout seul dans son coin et son extension est dispo en open-source sur GitHub .

PopUpOFF propose donc 3 modes de blocage : agressif, modéré et délicat. Le mode agressif, c’est le rouleau compresseur… il dégomme tout ce qui bouge. C’est super pratique quand vous êtes pressé.

Le mode modéré quant à lui fait le tri entre les popups légitimes (genre, celles de votre banque) et les overlays parasites. Et le mode délicat, lui, intervient uniquement quand vous le décidez manuellement.

Ainsi, vous gardez le contrôle total, ce qui change des extensions qui décident de tout ça à votre place.

• Téléchargez PopUpOFF sur Mozilla Add-ons
• Téléchargez PopUpOFF sur Chrome Web Store
• Et le repo GitHub PopUpOFF est ici

Alors bien sûr, tout n’est pas parfait et l’extension peut parfois rater des overlays invisibles ou péter l’affichage de certains sites, notamment les PWA (Progressive Web Apps), mais pour 90% des cas d’usage, ça fait le job impeccable.

À l’opposé des mastodontes type Ghostery ou uBlock Origin (qui sont excellents, ne me faites pas dire ce que je n’ai pas dit…), RomanistHere a misé sur le minimalisme radical. Pas de filtres à mettre à jour toutes les semaines, pas de liste de 50 000 domaines à bloquer, pas de consommation RAM de malade. Non, c’est juste un script intelligent qui détecte les patterns d’overlays et les neutralise.

Notez qu’en bonus, l’extension peut parfois débloquer du contenu payant sur certains sites qui utilisent des overlays pour bloquer la lecture. Ce n’est pas son objectif principal, mais vu que beaucoup de paywalls reposent sur des overlays CSS basiques, bah… PopUpOFF les vire aussi. Je dis pas que vous devriez l’utiliser pour contourner les abonnements (soutenez vos médias préférés, toussa toussa), mais sachez que techniquement, ça peut arriver.

À noter que PopUpOFF n’est pas seul sur ce créneau. Il y a aussi “ I Don’t Care About Cookies ” (racheté par Avast, ce qui a refroidi pas mal de gens), ou encore la fonction “ Never-Consent ” de Ghostery qui auto-rejette les cookies via les CMP (Consent Management Platforms). Ces alternatives ont chacune leurs forces, mais PopUpOFF reste le champion du rapport efficacité/poids.

Bref, si vous en avez marre de perdre 15 secondes par page à fermer des popups de merde, PopUpOFF mérite clairement sa place dans votre navigateur. C’est léger, c’est open-source, c’est gratuit, et ça fait exactement ce qu’on lui demande…

Vous vous êtes déjà demandé d’où venaient tous ces SMS bidons qui vous disent “Bonjour c’est le coursier…” ou vous demande “Est ce que vous êtes chez vous " ? En gros, ces messages de smishing (phishing par SMS) qui polluent nos téléphones tous les jours ?

Et bien figurez-vous que dans beaucoup de cas, ils viennent de petits routeurs cellulaires industriels planqués dans des placards à balais. Ce sont des trucs conçus à la base pour connecter des feux de circulation ou des compteurs électriques à Internet, qui sont détournés par des escrocs pour balancer des milliards de SMS frauduleux.

Selon Sekoia , la boîte de cybersécurité française qui a mené l’enquête, c’est en analysant des traces réseau suspectes dans leurs honeypots qu’ils sont tombés sur ce système. En creusant un peu, ils ont découvert comme ça plus de 18 000 routeurs cellulaires Milesight accessibles sur Internet, dont au moins 572 d’entre eux qui permettaient à n’importe qui de se connecter à leurs interfaces d’admin sans authentification. Bref, la porte grande ouverte…

Ces routeurs, fabriqués par Milesight IoT , c’est du matériel industriel costaud. Ce sont des boîtiers 3G/4G/5G qui servent normalement à connecter des équipements à distance, genre des capteurs ou des systèmes de contrôle. Ils sont équipés de cartes SIM et peuvent être contrôlés par SMS, scripts Python ou via interfaces web. Du coup, pour un attaquant, c’est le jackpot car une fois qu’il met la main dessus, il peut envoyer des SMS en masse sans se faire choper.

Les chercheurs de Sekoia ont alors envoyé des requêtes aux API non protégées de ces routeurs et ont récupéré le contenu des boîtes de réception et d’envoi de SMS. Et là, surprise, ils ont trouvé des campagnes de smishing qui dataient d’octobre 2023. Les messages visaient principalement des numéros en Suède, en Belgique et en Italie. Les textos envoyés demandaient aux gens de se connecter à des services gouvernementaux bidon pour “vérifier leur identité”, avec des liens qui menaient vers des sites frauduleux récupérant les identifiants.

Rien qu’en analysant les SMS, on dénombre de 42 044 numéros suédois uniques et 31 353 numéros italiens ciblés dans des campagnes de masse lancées simultanément. La Belgique serait même le pays le plus touché, avec plusieurs campagnes observées entre novembre 2022 et juillet 2025.

Alors comment ces routeurs se sont-ils retrouvés compromis ?

Et bien c’est pas encore totalement clair. Une première piste, c’est la CVE-2023-43261 , une vulnérabilité corrigée en 2023 avec la version 35.3.0.7 du firmware. En gros, il s’agit d’une mauvaise config qui rendait les fichiers de stockage du routeur publiquement accessibles via l’interface web. Pire encore, certains de ces fichiers contenaient les mots de passe chiffrés des comptes admin, mais aussi la clé de chiffrement et le vecteur d’initialisation pour les déchiffrer. Donc autant dire que c’était cadeau pour les cybercriminels.

Selon le chercheur Bipin Jitiya , qui a découvert cette faille, un attaquant pouvait récupérer le mot de passe en clair et prendre le contrôle total du routeur. À noter que la majorité des 572 routeurs identifiés comme non sécurisés tournaient avec des versions de firmware 32 ou antérieures, donc ultra-vulnérables.

Mais attention, l’histoire se complique. Les chercheurs de Sekoia ont trouvé des incohérences avec cette théorie. Par exemple, un cookie d’authentification trouvé sur un routeur piraté ne pouvait pas être déchiffré avec la clé et le vecteur d’initialisation décrits dans l’article de Jitiya. Et puis, certains routeurs utilisés abusivement dans les campagnes de smishing tournaient avec des versions de firmware qui n’étaient pas sensibles à la CVE-2023-43261.

Du coup, il y a probablement d’autres méthodes d’exploitation en jeu.

Les sites de phishing eux-mêmes étaient assez bien foutus. Ils utilisaient du JavaScript pour ne délivrer du contenu malveillant que si vous accédiez au site depuis un téléphone mobile. Un autre site désactivait carrément le clic droit et les outils de débogage du navigateur. Bref, des techniques pour compliquer l’analyse et le reverse engineering.

Certains de ces sites loggaient aussi les interactions des visiteurs via un bot Telegram appelé “GroozaBot”. Ce bot serait opéré par un acteur nommé “Gro_oza”, qui semble parler arabe et français. De plus, les artefacts JavaScript trouvés font référence à “Grooza”, ce qui suggère une continuité entre l’infrastructure, les outils et l’identité de l’opérateur.

Mais surtout, ce qui est dingue avec cette histoire, c’est que c’est un vecteur d’attaque relativement simple mais très efficace. Ces routeurs permettent en effet une distribution décentralisée de SMS dans plein de pays différents, ce qui complique énormément la détection et la suppression des campagnes. Les chercheurs estiment qu’il est d’ailleurs très probable que d’autres équipements similaires soient déjà exploités dans des campagnes en cours ou à venir.

Bref, on n’est pas vraiment plus avancé, mais voilà, la prochaine fois que vous recevrez un SMS chelou qui vous demande de confirmer vos infos, pensez à ces petits boîtiers oubliés dans des placards techniques, qui bossent tranquillement pour arnaquer des milliers de personnes chaque jour.

Et si vous gérez ce genre de matériel dans votre job, pensez à mettre à jour le firmware et à sécuriser les interfaces, parce que là, visiblement c’est vraiment trop facile pour les pirates…

Source

Je vous ai déjà parlé de Maigret, de Sherlock , de Holehe ou de Toutatis … Mais si vous n’avez pas pris le temps de tester tout ça, ce n’est pas grave car vous allez pouvoir tous les essayer et faire votre meilleur OSINT grâce à OSINT.rocks .

OSINT.rocks est un site qui rassemble les outils d’investigation les plus puissants directement dans votre navigateur. Plus besoin d’installer Python, de configurer des environnements virtuels ou de galérer avec des dépendances. Vous ouvrez votre navigateur, vous tapez l’URL du site, et vous avez accès à une batterie d’outils prêts à l’emploi.

OSINT.rocks centralise tout. Vous avez Sherlock pour traquer les comptes utilisateurs sur les réseaux sociaux, Holehe pour découvrir où une adresse email est enregistrée, Hudson Rock pour vérifier si un email a été compromis par un info stealer, GHunt pour investiguer sur Google, et Maigret qui collecte un dossier complet sur une personne uniquement à partir d’un nom d’utilisateur.

La plateforme propose aussi des outils pour les numéros de téléphone et les recherches WHOIS. Vous entrez un numéro, vous obtenez des informations géolocalisées. Et si vous cherchez des détails sur un domaine, vous avez les enregistrements disponibles. Tout est centralisé, tout est rapide.

Comme ça, un journaliste qui enquête sur quelqu’un peut vérifier rapidement l’empreinte numérique d’une personne, un recruteur peut vérifier les informations d’un candidat, un chercheur en sécurité peut analyser l’exposition d’une cible ou un particulier peut vérifier ce qui traîne sur lui en ligne. L’OSINT, c’est utile dans plein de contextes !

Bref, si vous voulez tester Sherlock, Maigret, Holehe ou Hudson Rock sans vous prendre la tête avec l’installation, OSINT.rocks fait le job. Et si vous voulez aller encore plus loin, j’ai trouvé également une superbe boite à outils OSINT ici .

Vous connaissez APT27, Winnti, Mustang Panda… Ces groupes de cyberespionnage chinois qui font régulièrement les gros titres. Mais il y en a un dont vous n’avez probablement jamais entendu parler. Et c’est justement ça qui le rend flippant : Phantom Taurus.

Pendant deux ans et demi, ce groupe fantôme s’est infiltré dans les ministères des affaires étrangères, les ambassades et les réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie. Personne ne s’en est rendu compte avant le 30 septembre 2025, quand les chercheurs de l’ Unit 42 de Palo Alto Networks ont levé le voile sur cette opération d’espionnage de très haut niveau.

7 décembre 2022, Riyadh. L’avion du président Xi Jinping est escorté par quatre chasseurs de l’armée saoudienne qui dessinent les couleurs chinoises dans le ciel. Le prince Faisal bin Bandar Al Saud l’accueille sur le tarmac pour le premier sommet historique Chine-États arabes. Signature de la Déclaration de Riyadh, renforcement du partenariat stratégique entre Pékin et Riyad. Ça ne rigole pas !

Mais pendant que les diplomates négocient dans les salles officielles, Phantom Taurus est déjà dans leurs systèmes. Les hackers infiltrent les serveurs Exchange des ministères des affaires étrangères qui participent au sommet. Leur mission : fouiller les emails contenant les noms “Xi Jinping” et “Peng Liyuan” pour savoir ce que les pays arabes pensent VRAIMENT de ce rapprochement avec la Chine.

En surface, tout le monde sourit pour les photos officielles mais en coulisses, les services chinois lisent en temps réel les communications diplomatiques confidentielles de leurs nouveaux “partenaires stratégiques”. C’est ça, l’espionnage moderne.

L’histoire commence réellement en juin 2023 quand les analystes de Unit 42 détectent des activités suspectes qu’ils classent sous le code CL-STA-0043. Un cluster d’activité malveillante parmi des centaines d’autres, sauf que celui-là sent plutôt “bon”. Pendant des mois, les chercheurs accumulent les preuves, connectent les points, observent les patterns.

Mai 2024, le cluster est promu “temporary threat group” avec un nom de code évocateur : Operation Diplomatic Specter. Spectre Diplomatique. Ça sonne comme un bouquin de Tom Clancy version cyberpunk. Mais ce n’est qu’après une année supplémentaire d’investigation que Unit 42 franchit le cap et baptise officiellement ce groupe : Phantom Taurus.

Pourquoi Taurus ? Hé bien parce que chez Unit 42, tous les groupes chinois portent le nom de la constellation du Taureau. Taurus pour la Chine, Ursa pour la Russie, Pisces pour la Corée du Nord, Serpens pour l’Iran. Et Phantom ? Tout simplement parce que ce groupe est littéralement un fantôme, capable d’opérer dans l’ombre pendant des années sans se faire remarquer.

Et si Phantom Taurus est un groupe fantôme, alors NET-STAR est son arme invisible. C’est une suite de malwares entièrement développée en .NET, spécialement conçue pour infiltrer les serveurs IIS et le joyau de cette collection s’appelle IIServerCore.

IIServerCore c’est une backdoor modulaire et fileless. Cela veut dire qu’elle opère entièrement en mémoire dans le processus w3wp.exe d’IIS. Rien sur le disque dur, rien dans les logs classiques. Fantôme, je vous dis. Son point d’entrée est un web shell ASPX nommé OutlookEN.aspx qui contient un binaire compressé en Base64. Ainsi, quand le web shell s’exécute, il charge IIServerCore directement dans la mémoire et l’attaque commence.

Et ses capacités sont impressionnantes : opérations sur le système de fichiers, accès aux bases de données, exécution de code arbitraire, gestion de web shells, contournement des solutions de sécurité, et chiffrement de toutes les communications avec le serveur C2.

Le deuxième outil, AssemblyExecuter, charge et exécute des assemblies .NET additionnels directement en mémoire. Sa version 2 inclut même des méthodes dédiées pour contourner AMSI (Antimalware Scan Interface) et ETW (Event Tracing for Windows). Résultat, Phantom Taurus peut exécuter du code malveillant même dans des environnements ultra-surveillés sans déclencher d’alerte.

Un détail que j’ai trouvé particulièrement malin dans leur manière de procéder c’est leur technique de timestomping . En gros, c’est l’art de modifier les métadonnées temporelles d’un fichier pour le faire passer pour un vieux fichier légitime.

Phantom Taurus a donc timestompé le web shell OutlookEN.aspx pour qu’il corresponde au timestamp d’un autre fichier ASPX déjà présent sur le système. Ils ont aussi modifié le temps de compilation des backdoors NET-STAR vers une date future aléatoire. C’est tordu, mais dans une investigation forensique, un analyste qui voit un fichier ASPX avec un timestamp de 2018 va naturellement penser qu’il est légitime et ne va pas creuser plus loin.

Bref, pendant longtemps, Phantom Taurus s’est concentré sur l’exfiltration d’emails via des serveurs Microsoft Exchange compromis. Ils exploitaient des vulnérabilités connues comme ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), puis cherchaient des emails contenant des mots-clés liés aux intérêts chinois : données militaires, infos sur les télécommunications et l’énergie, mentions de Xi Jinping, Joe Biden et autres leaders politiques.

Mais début 2025, le groupe fait évoluer sa stratégie. Au lieu de se limiter aux emails, ils commencent à cibler directement les bases de données SQL Server. Pour cela, ils sortent un outil fait maison, un script batch nommé mssq.bat qui se connecte au serveur SQL avec le compte sa préalablement obtenu, exécute des requêtes dynamiques avec des keywords spécifiques, et sauvegarde les résultats au format CSV. Le script est exécuté à distance via Windows Management Instrumentation (WMI) et les chercheurs les ont observés chercher des documents relatifs à l’Afghanistan et au Pakistan.

Cette évolution montre surtout une chose : Phantom Taurus s’adapte. Ce passage de l’email mining au database mining leur permet d’obtenir bien plus de données qu’ils ne pourraient en trouver dans des conversations par email.

Et surtout, Phantom Taurus ne travaille pas en vase clos. Il partage une infrastructure opérationnelle avec d’autres groupes chinois connus comme Iron Taurus (APT27), Starchy Taurus (Winnti, APT41), et Stately Taurus (Mustang Panda). Les serveurs C2 qu’ils utilisent ont les mêmes adresses IP, les mêmes domaines malveillants, les mêmes informations de registration.

Mais attention, même s’ils partagent l’infrastructure, Phantom Taurus maintient une compartimentation opérationnelle stricte. Les composants spécifiques de NET-STAR n’ont jamais été observés dans les opérations des autres groupes. C’est comme s’ils louaient un datacenter commun, mais que chacun avait ses propres serveurs et outils. Ça permet de mutualiser les coûts tout en préservant le secret des opérations.

Maintenant, est ce que vous savez ce qui différencie vraiment Phantom Taurus des autres APT ? C’est leur obsession pour la persistence. En effet, la plupart des groupes, quand ils se font détecter publiquement, disparaissent pendant des semaines voire des mois pour se refaire une santé. Mais pas Phantom Taurus qui refait surface en quelques heures ou jours après avoir été détectés.

Unit 42 a ainsi documenté un cas où Phantom Taurus avait maintenu un accès à un réseau pendant presque deux ans, avec des exfiltrations périodiques de données sensibles au bon moment. Cette approche révèle la nature stratégique de leurs opérations. Ces accès soutenus à long terme leur permettent de revenir piocher de l’information chaque fois qu’un événement géopolitique important se profile.

Après pour vraiment comprendre Phantom Taurus, il faut le replacer dans le contexte plus large de l’espionnage cyber chinois. Par exemple, l’attaque contre le siège de l’Union Africaine à Addis-Abeba, financé et construit par la Chine est un cas assez emblématique de leur mode opératoire.

Durant cinq ans, chaque nuit entre minuit et 2h du matin, toutes les données du siège de l’UA étaient transférées vers des serveurs à Shanghai. Quand l’UA a voulu acheter ses propres serveurs, la Chine a “généreusement” offert de les fournir gratuitement. Du coup, ils se sont retrouvés avec des serveurs pré-compromis installés au cœur même de l’organisation panafricaine.

Les équipes techniques ont même découvert par la suite, des microphones cachés dans les murs et les bureaux…

Phantom Taurus est en réalité un outil parmi d’autres dans l’arsenal cyber chinois. C’est un outil spécialisé dans l’espionnage diplomatique et les télécommunications. Du coup, pour contrer leurs attaques, Palo Alto Networks a mis à jour ses produits de sécurité pour détecter NET-STAR. Ils ont par exemple upgradé leur logiciel Cortex XDR pour relever quand le processus w3wp.exe spawne des processus enfants suspects comme cmd.exe ou powershell.exe. Comme ça, même si IIServerCore est fileless et opère en mémoire, Cortex XDR peut le détecter.

Aujourd’hui encore, Phantom Taurus est toujours actif. Les dernières activités observées datent de quelques mois seulement avant la publication du rapport de Unit 42 mais maintenant que le groupe est exposé publiquement, ils vont probablement modifier leurs outils, changer leur infrastructure, et développer de nouvelles techniques d’évasion.

Mon pari c’est qu’ils vont upgrader NET-STAR, modifier quelques TTPs (Tactiques, techniques et procédures) pour éviter les détections connues, mais garder leur approche fondamentale d’accès long terme, d’exfiltration opportuniste, et de synchronisation avec les événements géopolitiques.

Bah oui, pourquoi changer une recette qui marche ?

Voilà, c’est la fin de l’histoire… En tout cas pour l’instant car pendant que tout le monde se focalise sur les gros ransomwares et les attaques spectaculaires, Phantom Taurus continue tranquillement et discrètement à aspirer les secrets diplomatiques du monde entier…

Sources : Unit 42 - Phantom Taurus: A New Chinese Nexus APT , Palo Alto Networks - Defending against Phantom Taurus with Cortex , CISA - Countering Chinese State-Sponsored Actors , Council on Foreign Relations - African Union Bugged by China

Vous scrollez tranquillement r/rance à 2h du mat’ pour tuer le temps avant de dormir, vous lisez quelques posts, regardez des memes, rigolez sur un truc débile. Mais savez-vous que Reddit enregistre chaque post que vous lisez, chaque image que vous ouvrez, chaque seconde que vous passez sur chaque thread ? Et ça, ils le font même si vous n’avez pas de compte y compris si vous êtes en navigation privée.

Bienvenue dans le monde merveilleux du tracking obligatoire !

Heureusement, pour lutter contre ça, sans se priver de Reddit, il existe Redlib , un front-end alternatif open source, codé en Rust, qui va vous permettre de lire Reddit sans que Reddit ne sache que vous existiez. Pas d’inscription, pas de JavaScript, pas de pubs, pas de tracking. Vous remplacez juste “reddit.com” par “redlib.tiekoetter.com” dans l’URL et hop, vous avez le même contenu sans la surveillance.

D’ailleurs, petite histoire rapide pour comprendre pourquoi Redlib existe…

En 2023, Reddit a décidé de tuer toutes les apps tierces populaires comme Apollo ou BaconReader en rendant son API hors de prix. Le vrai objectif n’était pas de monétiser l’API, mais plutôt de forcer tout le monde à passer par leur app officielle bourrée de trackers et de pubs. À cette époque, il existait Libreddit, un projet similaire à Redlib qui permettait de lire Reddit en privé mais Reddit a commencé à imposer des rate limits agressifs qui ont tué Libreddit… Projet tragiquement décédé, fin de l’histoire…

Sauf que non. Un dev a décidé de ressusciter Libreddit sous un nouveau nom : Redlib. Et là, coup de génie technique, au lieu de se connecter normalement à l’API Reddit, Redlib utilise une technique appelée OAuth token spoofing.

En gros, Redlib se fait passer pour l’application officielle Android de Reddit. Il envoie les mêmes headers HTTP, utilise les mêmes tokens d’authentification, et imite le comportement de l’app officielle. Du coup, Reddit pense que c’est son app qui fait des requêtes, et laisse tout passer sans bloquer. Alors évidemment, la première question qui vous vient surement c’est : Est ce légal ??

Et bien comme pour toutes les bonnes choses de la vie, techniquement, on est dans une “zone grise”. Mais après éthiquement parlant, vous lisez du contenu public que les gens ont posté gratuitement sur une plateforme publique, donc j’imagine que pour le concepteur de Redlib, y’a pas mort d’homme.

Donc pour utiliser Redlib, vous avez donc cette instance publique redlib.tiekoetter.com qui vous permet de libérer n’importe quel lien Reddit. Mais pour les plus geeks d’entre vous, ceux qui sont à fond dans l’auto-hébergement parce qu’ils ont beaucoup de temps libre (lol), vous pouvez le mettre en place chez vous également avec Docker. Le repo GitHub explique tout, c’est assez rapide à mettre en place.

La différence avec l’expérience Reddit normale est d’ailleurs flagrante car sur reddit.com, vous êtes bombardé de popups “Install our app”, de bannières de cookies, de pubs…etc. Le site est lourd, lent, et essaie constamment de vous pousser vers l’app mobile alors qu’au contraire, sur Redlib, c’est du contenu pur et dur. Pas de JavaScript, pas de popups, juste les threads et les commentaires. Et c’est super rapide !! Même les images passent par le serveur Redlib, donc Reddit ne voit jamais votre IP quand vous chargez une photo.

Maintenant, faut quand même savoir que Reddit n’est pas content de cette situation. Ils essaient régulièrement de bloquer les instances Redlib en bannissant des adresses IP. C’est pour cela que certaines instances publiques rencontrent parfois des erreurs du style “Failed to parse page JSON data”, mais la communauté Redlib réagit en général très vite, change d’IP, ajuste les tokens OAuth, et le service repart.

Bref, je vous conseille de tester, surtout si vous en avez marre de vous faire harceler par des messages vous incitant à installer l’app mobile.

Reddit, c’est bien mais Reddit sans surveillance, c’est mieux !