Telnet, ça vous dit quelque chose ?

C'est ce vieux protocole réseau non chiffré que nos arrières-arrières-arrières-grands-parents utilisaient pour se connecter à des serveurs distants. C'est un truc que vous pensiez peut-être enterré depuis belle lurette... Hé bien figurez-vous qu'une faille critique vieille de 11 ANS vient d'être découverte dans le serveur telnetd de GNU InetUtils. Et le pire c'est que des hackers l'exploitent déjà activement.

ARGH !

La vulnérabilité en question, baptisée CVE-2026-24061 , permet de contourner complètement l'authentification et d'obtenir un accès root. Sans putain de mot de passe (!!!!).

Bon ok, faut quand même que le service telnetd soit actif et exposé, mais après c'est open bar les amis ! En gros, le serveur telnetd passe la variable d'environnement USER directement à la commande login sans la nettoyer. Du coup, un attaquant n'a qu'à définir USER sur -f root et utiliser **telnet -a** pour se retrouver connecté en root.

C'est moche.

Concrètement, ça touche toutes les versions de GNU InetUtils de la 1.9.3 jusqu'à la 2.7. Ça touche donc des distributions Linux, de vieux routeurs, des capteurs industriels...etc. Après, les machines exposées sur Internet avec Telnet actif c'est quand même assez rare, donc faut pas non plus paniquer.

Cependant, les attaquants n'ont pas attendu. La société GreyNoise a documenté des exploitations actives entre le 21 et le 22 janvier, soit très rapidement après la divulgation du 20 janvier. Ils ont ainsi observé 18 adresses IP différentes lancer une soixantaine de sessions Telnet, avec 83% des tentatives ciblant directement le compte root. Du travail de pros.

Heureusement, un correctif existe \o/ : GNU InetUtils 2.8 colmate la brèche mais combien de ces vieux équipements IoT ou industriels vont vraiment être mis à jour ? On connaît tous la chanson par cœur !

Mais bon, si vous avez des machines exposées avec telnetd actif, vous avez trois options : mettre à jour vers la version 2.8, désactiver complètement le service telnetd, ou bloquer le port TCP 23 au niveau du firewall. Perso, je vous conseille carrément de virer Telnet et de passer à SSH si c'est pas déjà fait. En 2026, y'a vraiment plus aucune excuse pour utiliser un protocole qui n'est pas chiffré.

Bref, encore une vieille faille qui traînait depuis 2015 et qui refait surface au pire moment.

Merci à Arfy pour l'info !

Source

Les murmures ont commencé il y a des mois : « Highguard est un projet fantôme. » Les doutes ont persisté alors que le silence de Wildlight Entertainment s’éternisait, le souvenir de cette bande-annonce des Game Awards s’estompant. Puis, un choc – deux simples publications sur X, perçant le silence comme le tir d’un sniper. […]

Le post Annonce du stream Highguard Deep Dive ! est apparu en premier sur Moyens I/O.

Clawdbot s’est imposé en quelques jours comme le nouveau jouet à la mode de l’écosystème IA : un agent personnel capable de lire vos messages et, plus généralement, d’organiser votre vie numérique de manière proactive, 24 heures sur 24. Mais dans l’enthousiasme général, un point crucial est relégué au second plan par un bon nombre d’utilisateurs : la cybersécurité.

La fondation Raspberry Pi, à qui l'on doit les cartes du même nom vient d'annoncer la sortie d'un nouveau produit : le Raspberry Pi Flash Drive.

Apple s’apprêterait à dévoiler dès la seconde partie du mois de février 2026 son nouveau Siri, conçu en collaboration avec Google. La mise à jour iOS 26.4 sortirait dans la foulée en bêta.

Source

L’air vibrait d’une tension non dite dans la salle de conférence alors que les chiffres clignotaient à l’écran : Alphabet venait de dépasser Apple en termes de capitalisation boursière, un coup de poignard symbolique ressenti dans tout Cupertino. Les murmures ont commencé immédiatement : Apple avait-elle perdu son étincelle d’innovation ? Maintenant, à quelques semaines […]

Le post Nouvelle Siri arrive : le défi de l’IA d’Apple contre Google est apparu en premier sur Moyens I/O.

Le vent du désert hurlait, emportant des murmures d’anciennes malédictions et de dieux oubliés. Oded Fehr fixait son téléphone, un nœud se formant dans son estomac. Encore un jour, encore une rumeur à propos de La Momie 4, et toujours pas d’appel. Préparez-vous à des montagnes russes. Primitive War 2 L’odeur du napalm et de […]

Le post La Momie 4 : Une étoile manquante ? + Primitive War est de retour ! est apparu en premier sur Moyens I/O.

Le silence après la saison 3 a semblé durer une éternité, n’est-ce pas ? Les questions brûlaient, les théories tourbillonnaient et l’anticipation est devenue presque insupportable. Maintenant, la bande-annonce de la saison 4 d’Invincible a atterri, et une chose est claire : ce qui arrive va tout changer. Le calme avant la tempête Avez-vous déjà […]

Le post Invincible S4 Bande-annonce : Une guerre brutale arrive ! est apparu en premier sur Moyens I/O.

L’intelligence artificielle a pris un autre tournant avec les LLM. ChatGPT, Gemini ou encore Claude, ces LLM sont désormais des outils incontournables et ont changé notre manière d’interagir avec la machine.

L’air était lourd du goût métallique de la peur alors que mon équipe et moi franchissions le mur extérieur. Un autre Raider a reçu un tir de plasma dans la poitrine. Il n’a pas crié, il s’est juste effondré, un autre sacrifice à la gueule insatiable du Gloom. Certaines portes dans ARC Raiders sont impénétrables […]

Le post ARC Raiders : Emplacement de la clé de la cave de Blue Gate est apparu en premier sur Moyens I/O.

Mis à jour : 24 janvier 2026 Nous avons ajouté de nouveaux codes ! Le rugissement du moteur, le flou de la piste : c’est une sensation incomparable. En tant que passionné de Moto GP, je suis toujours à la recherche de cette prochaine poussée d’adrénaline. Et dans Roblox, The Ride est à la hauteur avec ses motos élégantes et […]

Le post Codes de parcours : Janvier 2026 – Liste active est apparu en premier sur Moyens I/O.