En matière de cyber, selon qu’on est CEO ou CISO, on privilégiera la prévention des pertes financières ou la résilience opérationnelle.
Rien d’exceptionnel dans ce constat. Mais il trouve une illustration notable dans le dernier rapport Global Cybersecurity Outlook du Forum économique mondial. D’une année à l’autre, les principales inquiétudes exprimées ont effectivement divergé entre les deux fonctions.
En 2025, les ransomwares étaient en tête de liste chez les CEO comme chez les CISO. Les premiers citaient ensuite fraude / phishing et perturbations de la supply chain. Les seconds faisaient de même, mais dans l’ordre inverse.
Cette année, les ransomwares restent la principale préoccupation des CISO (devant les perturbations de la supply chain et l’exploitation de vulnérabilités logicielles). Ils ne sont, en revanche, plus dans top 3 chez les CEO, qui s’inquiètent en premier lieu de la fraude et du phishing ; puis des vulnérabilités de l’IA et des logiciels.
Des différences entre organisations, il y en a aussi en fonction du niveau de cyberrésilience estimé. Les répondants* qui le jugent élevé ont tendance à craindre avant tout les perturbations de la supply chain. Et, au contraire, à mettre les vulnérabilités IA en dernier sur leur liste. Cependant, si on restreint cet échantillon aux CEO, les vulnérabilités deviennent la crainte numéro un…
Cet « effet CEO » est moins significatif parmi les organisations dont le niveau de cyberrésilience est jugé insuffisant.
La GenAI, désormais crainte en premier lieu pour les fuites de données
Si on zoome sur la GenAI, les inquiétudes des CEO sont plus proches de celles de l’échantillon dans son ensemble.
(Une seule réponse possible)
Fuites de données
Développement des capacités des attaquants
Sécurité technique des systèmes d’IA
Complexification de la gouvernance
Risques de supply chain logicielle
Propriété intellectuelle et responsabilité
Ensemble
34 %
29 %
13 %
12 %
7 %
4 %
CEO
30 %
28 %
15 %
13 %
9 %
6 %
Sur l’ensemble de l’échantillon, l’item « fuites de données » est nettement plus sélectionné que l’an dernier (+ 12 points).
Lorsqu’on leur demande quels risques sont en croissance, les répondants choisissent majoritairement les vulnérabilités de l’IA (87 %). Viennent ensuite :
Fraude / phishing (77 %)
Perturbations de supply chain (65 %)
Vulnérabilités logicielles (58 %)
Ransomwares (54 %)
Menaces internes (32 %)
Déni de service (28 %)
Face au risque de supply chain, la fonction sécurité souvent impliquée dans le processus d’approvisionnement
Concernant le risque sur la supply chain, la hiérarchie des méthodes de gestion est similaire entre niveaux de cyberrésilience, mais avec un écart de 20 à 30 points.
Évaluation de la maturité cyber des fournisseurs
Implication de la fonction sécurité dans les processus d’achat
Paetages d’informations sur la menace avec les partenaires
Cartographie du niveau d’exposition des partenaires
Simulation d’incidents et/ou d’exercices de récupération avec les partenaires
Ensemble
68 %
65 %
38 %
33 %
27 %
Haute résilience
74 %
76 %
53 %
44 %
44 %
Résilience insuffisante
48 %
53 %
31 %
23 %
16 %
CEO, haute résilience
59 %
70 %
30 %
48 %
44 %
CEO, résilience insuffisante
31 %
31 %
38 %
31 %
6 %
L’adoption de l’IA dans la cyber sert le plus souvent la détection du phishing et des autres menaces sur la messagerie électronique (52 % des sondés ont sélectionné cette réponse parmi 3 maximum). Suivent :
Détection et réponse aux intrusions ou anomalies (46 %)
Automatisation des opérations (43 %)
Analyse du comportement des utilisateurs et détection des menaces internes (40 %)
Tri du renseignement sur les menaces et priorisation des risques (39 %)
Autres objectifs (8 %)
Dans 64 % des organisations ici représentées, les outils IA sont évalués avant déploiement (révision unique pour 24 %, périodique pour 40 %). Ce taux passe à 45 % chez celles où le niveau de cyberrésilience est jugé insuffisant.
Le manque de connaissances et/ou de compétences est le premier obstacle à l’adoption de ces outils. 54 % des répondants le citent. Ils sont 41 % à évoquer la nécessité d’une validation humaine des réponses de l’IA avant implémentation.
* 804 répondants dont 544 C-Levels parmi lesquels 316 CISO et 105 CEO.
La généralisation des dispositifs médicaux connectés transforme en profondeur les pratiques de soins, mais expose également les établissements de santé à de nouveaux risques cyber. En 2024, 749 incidents de cybersécurité affectant des établissements de santé en France ont été déclarés, soit une forte augmentation par rapport à 2023, ce qui illustre la multiplication des […]
À l’échelle mondiale, les organisations apparaissent plutôt confiantes quant à leur cyberrésilience.
Ce constat était ressorti de la première édition du rapport Global Security Outlook réalisé par le Forum économique mondial avec Accenture. C’était en 2022. Les deux tiers des répondants (67 %) estimaient que leur organisation atteignait les exigences minimales. Près d’un sur cinq (19 %) jugeait qu’elle les dépassait. Ils n’étaient que 14 % à déclarer un niveau insuffisant de cyberrésilience.
Depuis, en quatre autres éditions, le niveau de confiance est resté élevé. En 2026, il repart même globalement à la hausse.
Insuffisant
Remplit les exigences minimales
Dépasse les exigences
2022
14 %
67 %
19 %
2023
21 %
51 %
28 %
2024
25 %
36 %
39 %
2025
22 %
69 %
9 %
2026
17 %
64 %
19 %
La cyberrésilience des États, jugée moins positivement
Pour cette édition 2026, 804 réponses ont été retenues, issues de 92 pays. 544 proviennent de C-levels parmi lesquels 316 CISO* et 105 CEO. Le reste de l’échantillon est constitué par des membres de la société civile et du monde académique, ainsi que des « leaders en cybersécurité » du secteur public.
Si on trie les réponses par secteurs, le secteur privé apparaît plus confiant quant à sa cyberrésilience.
Insuffisant
Remplit les exigences minimales
Dépasse les exigences
Secteur privé
11 %
67 %
22%
Secteur public et « grandes organisations internationales »
23 %
54 %
24 %
ONG
37 %
55 %
8 %
Les répondants ne jugent pas aussi positivement la cyberrésilience du pays où leur organisation est basée. Ils sont en tout cas 37 % à se dire confiants quant à la capacité de réponse aux incidents touchant des infrastructures critiques (contre 42 % en 2025). Et 31 % à se déclarer non confiants (contre 26 % en 2025).
Si on s’en tient aux CEO du secteur privé, le taux de répondants confiants est un peu plus élevé (43 %, pour 31 % de non confiants).
Le risque géopolitique fait croître les budgets cyber… dans une certaine mesure
Quand on leur demande comment la géopolitique fait évoluer la stratégie de cyberrésilience de leur organisation, les répondants sélectionnent le plus souvent l’item « focus accru sur la threat intelligence liée aux acteurs étatiques » (36 %). Arrivent ensuite :
Interactions accrues avec les agences gouvernementales ou les groupes de partage de renseignements (33 %)
Augmentation du budget cyber (21 %)
Changement – ou intention de changer – de fournisseurs (19 %)
Arrêt des activités dans certains pays (14 %)
Si on zoome sur les CEO, par niveau de résilience estimé :
Acteurs étatiques
Gouvernements
Budget
Fournisseurs
Activités
Haute résilience
52 %
48 %
30 %
30 %
19 %
Résilience insuffisante
13 %
6 %
13 %
13 %
6 %
Des défis corrélés au niveau de résilience estimé
Lorsqu’on leur demande de sélectionner au maximum trois éléments qui constituent un défi à la cyberrésilience, les sondés choisissent :
À 61 %, l’évolution rapide du paysage de la menace et les technologies émergentes
À 46 %, les vulnérabilités tierces et sur la supply chain
À 45 %, le manque de compétences
À 31 %, les systèmes hérités
À 30 %, le manque de fonds
À 24 %, le manque de visibilité sur les environnements IT/OT/IoT
À 24 %, les complexités de conformité et de gouvernance
À 22 %, une planification insuffisante de la réponse à incident
Dans le secteur privé, on invoque prioritairement le paysage de la menace (59 %), les vulnérabilités tierces (53 %), le manque de compétences (38 %) et le manque de fonds (26 %).
Dans le secteur public et les grandes organisations, la hiérarchie est similaire, sinon que le manque de compétences est nettement plus cité (57 %). Même constat dans les ONG (51 %), où les répondants sont également nombreux à déplorer le manque de fonds (62 %).
Sur l’ensemble de l’échantillon, par niveau de résilience estimé :
Évolution des menaces
Vulnérabilités tierces
Compétences
Legacy
Fonds
IT/OT/IoT
Gouvernance
Réponse aux incidents
Haute résilience
67 %
71 %
35 %
22 %
14 %
17 %
31 %
15 %
Résilience insuffisante
41 %
23 %
53 %
35 %
52 %
28 %
15 %
37 %
Si on s’en tient aux CEO, toujours par niveau de résilience estimé, l’argument des fonds est plus souvent invoqué :
Évolution des menaces
Vulnérabilités tierces
Compétences
Legacy
Fonds
IT/OT/IoT
Gouvernance
Réponse aux incidents
Haute résilience
56 %
78 %
19 %
15 %
15 %
19 %
41 %
15 %
Résilience insuffisante
13 %
31 %
56 %
25 %
63 %
56 %
25 %
19 %
* Dont au moins, côté français, Christophe Blassiau (CISO groupe de Schneider Electric), qui a participé à des focus groups en complément au volet qualitatif de l’étude.
La généralisation des dispositifs médicaux connectés transforme en profondeur les pratiques de soins, mais expose également les établissements de santé à de nouveaux risques cyber. En 2024, 749 incidents de cybersécurité affectant des établissements de santé en France ont été déclarés, soit une forte augmentation par rapport à 2023, ce qui illustre la multiplication des […]
Un simple câble USB ? Pas du tout. C'est une attaque de type HID: le câble USB, branché au PC, se comporte comme un clavier USB et pirate votre ordinateur.
Et cette version du câble est reliée au wifi d'un smartphone pour le contrôller à distance.
Donc n'empruntez pas des câbles USB : Ayez toujours les vôtres. (Permalink)
Un gamin de 15 ans qui pète les serveurs de la NASA pendant que moi, à son âge, j'en était encore à configurer mon modem 56k pour qu'il arrête de faire du bruit en pleine nuit... Jonathan James, alias c0mrade, est devenu le premier mineur emprisonné pour cybercriminalité aux États-Unis... avant, malheureusement, de se suicider à 24 ans parce qu'il pensait qu'on allait l'accuser d'un crime qu'il n'avait pas commis.
Voici l'histoire la plus dingue et la plus tragique du hacking que vous n'avez jamais entendue.
Jonathan Joseph James naît le 12 décembre 1983 à Pinecrest, un quartier cossu de Miami-Dade County. Son père, Robert James, bosse comme programmeur pour le comté... déjà, on sent que l'informatique, c'est de famille. Sa mère, Joanne Jurysta, tient la maison pendant que les deux frangins, Jonathan et Josh, grandissent dans un environnement de classe moyenne supérieure.
Dès 6 ans, Jonathan passe ses journées sur l'ordinateur paternel. Au début, c'est pour jouer, évidemment. Mais très vite, le gamin comprend qu'il peut faire bien plus que lancer des jeux. Il commence à triturer, à fouiller, à comprendre comment ça marche sous le capot. Ses parents, inquiets de voir leur fils scotché à l'écran, décident alors de lui confisquer l'ordinateur quand il atteint ses 13 ans.
Grosse erreur.
Car Jonathan fait une fugue. Il refuse catégoriquement de rentrer à la maison tant qu'on ne lui rend pas son accès à l'informatique. J’imagine la scène avec ces parents complètement dépassés face à un ado qui préfère dormir dehors plutôt que de vivre sans son ordinateur. Bon, ils finissent par craquer, évidemment.
C'est à cette époque que Jonathan se forge son identité de hacker. Il choisit l'alias c0mrade avec un zéro à la place du 'o', parce que dans les années 90, remplacer des lettres par des chiffres, c'était le summum du cool.
Et surtout, il passe ses nuits sur les BBS et les premiers forums de hacking, à échanger avec une communauté underground qui n'a absolument rien à voir avec les script kiddies d'aujourd'hui. C'est une époque où pirater demandait de vraies compétences techniques, pas juste télécharger un exploit sur GitHub.
L'été 1999. Jonathan a 15 ans, les cheveux longs, et une curiosité maladive pour tout ce qui ressemble à un serveur mal configuré. Entre le 23 août et le 27 octobre 1999, il va commettre une série d'intrusions qui vont faire de lui une légende du hacking... et accessoirement, le faire finir en prison.
Pour son méfait, le gamin scanne les réseaux à la recherche de serveurs Red Hat Linux mal patchés et comme en 1999, la sécurité informatique, c'est encore le Far West, les administrateurs système pensent que mettre leur serveur derrière un firewall basique, c'est suffisant.
Sauf que ça ne l'était pas.
Jonathan exploite des vulnérabilités connues pour installer des backdoors c'est à dire des portes dérobées qui lui permettent de revenir à volonté sur les systèmes compromis. Mais le plus fort, c'est qu'il installe aussi des sniffers réseau, des programmes qui interceptent tout le trafic qui passe par le serveur. Mots de passe, emails, données sensibles... tout y passe.
Sa première cible d'envergure ? BellSouth, le géant des télécoms. Puis le système informatique des écoles de Miami-Dade County. Mais c'est quand il s'attaque aux agences gouvernementales que les choses deviennent vraiment intéressantes.
En septembre 1999, c0mrade détecte une backdoor sur un serveur situé à Dulles, en Virginie. Au lieu de passer son chemin, il décide d'aller voir de plus près. Il se connecte, installe son sniffer maison, et se rend compte qu'il vient de compromettre un serveur de la DTRA, c'est à dire la Defense Threat Reduction Agency, une division ultra-sensible du Département de la Défense qui s'occupe d'analyser les menaces NBC (nucléaires, biologiques, chimiques) contre les États-Unis.
Pendant plusieurs semaines, Jonathan intercept plus de 3300 emails entre employés de la DTRA. Il récupère aussi des centaines d'identifiants et mots de passe, ce qui lui permet d'accéder à une dizaine d'ordinateurs militaires supplémentaires. Tout ça sans que personne ne s'en aperçoive.
Mais le clou du spectacle, c'est son intrusion chez NASA.
En juin 1999, Jonathan tombe sur un serveur mal configuré à Huntsville, Alabama. Il l'infecte avec son malware habituel et découvre qu'il vient de compromettre le Marshall Space Flight Center de la NASA. Et c'est pas n'importe lequel puisque c'est celui qui développe les moteurs de fusée et les logiciels pour la Station Spatiale Internationale.
En installant sa backdoor, c0mrade réalise qu'il peut accéder à 12 autres ordinateurs du réseau. Et là, jackpot ! Il met la main sur le code source d'un programme qui contrôle des éléments critiques de l'ISS. On parle du système de contrôle de la température et de l'humidité dans les modules habitables de la station spatiale.
Rien que ça...
Jonathan télécharge l'intégralité du logiciel. Valeur estimée par la NASA : 1,7 million de dollars. Mais attention, ce n'est pas un vol dans le sens classique du terme puisque le gamin ne revend rien, ne détruit rien, ne modifie rien. Il copie, point. Sa philosophie de grey hat hacker de l'époque c'est d'explorer sans nuire.
Sauf que quand la NASA découvre l'intrusion, et ça devient vite la panique à bord. L'agence spatiale est obligée de couper ses serveurs pendant 21 jours pour vérifier l'intégrité de ses systèmes et colmater les failles. Coût de l'opération : 41 000 dollars de plus. Pour l'époque, c'est énorme.
Encore une fois, on réalise à quel point la sécurité de nos infrastructures critiques tenait du miracle en 1999.
Nous sommes le 26 janvier 2000. Jonathan vient d'avoir 16 ans depuis quelques semaines. Il est tranquillement dans sa chambre quand des agents fédéraux débarquent chez lui avec un mandat de perquisition. FBI, NASA, Département de la Défense... tout le gratin de la sécurité nationale américaine vient cueillir le gamin de Miami. Comme
l'a rapporté ABC News à l'époque
, l'arrestation fait sensation dans les médias.
Jonathan ne fait même pas semblant de nier. Plus tard, il expliquera aux enquêteurs qu'il aurait pu facilement couvrir ses traces s'il avait voulu. Mais il ne pensait pas faire quelque chose de mal. Dans sa tête d'ado, il "jouait" juste avec des ordinateurs. Il n'avait volé aucune donnée pour s'enrichir, n'avait planté aucun système, n'avait rien détruit.
Le problème c'est que la justice américaine ne voit pas les choses du même œil.
Le 21 septembre 2000, Jonathan James devient alors officiellement le premier mineur condamné à une peine de prison pour cybercriminalité aux États-Unis. À 16 ans, il entre dans l'histoire du droit pénal informatique. Et sa sentence est de 7 mois d'assignation à résidence, probation jusqu'à ses 18 ans, et interdiction d'utiliser un ordinateur à des fins "récréatives".
Mais Jonathan est un ado. Il est positif à un contrôle antidrogues (cannabis) et viole ainsi sa probation. Direction la prison fédérale de l'Alabama pour 6 mois supplémentaires. Le gamin qui piratait la NASA depuis son lit se retrouve derrière les barreaux.
L'ironie, c'est que son cas va complètement révolutionner la législation sur la cybercriminalité juvénile. Avant Jonathan, les juges ne savaient littéralement pas comment traiter un mineur capable de compromettre des systèmes gouvernementaux. Son procès a forcé le Congrès à repenser les lois fédérales sur les crimes informatiques commis par des mineurs.
Jonathan sort de prison en 2001. Il a 17 ans, un casier judiciaire, et une réputation sulfureuse dans le milieu du hacking et il essaie de se tenir à carreau, de mener une vie normale. Mais son passé va le rattraper de la pire des manières.
En 2007, la chaîne de magasins TJX (TJ Maxx, Marshalls, HomeGoods) subit l'une des plus grosses fuites de données de l'histoire : 45,6 millions de numéros de cartes de crédit volés. L'enquête mène à Albert Gonzalez, un hacker de Miami qui dirigeait un réseau international de cybercriminels,
selon le département de la Justice américain
.
Mais le problème c'est qu'Albert Gonzalez et Jonathan James se connaissent. Ils évoluent dans les mêmes cercles, fréquentent les mêmes forums, habitent la même région. Alors quand le FBI épluche les connexions de Gonzalez, le nom de c0mrade ressort forcément.
En janvier 2008, le Secret Service débarque chez Jonathan, chez son frère, chez sa copine. Ils retournent tout, confisquent ses ordinateurs, l'interrogent pendant des heures. Jonathan nie catégoriquement toute implication dans le hack TJX. Il répète qu'il n'a plus fait de hacking depuis sa sortie de prison, qu'il essaie de refaire sa vie.
Les agents trouvent une arme à feu légalement détenue et des notes suggérant que Jonathan a déjà pensé au suicide. Mais aucune preuve de sa participation au hack TJX.
Pourtant, l'étau se resserre. La presse s'empare de l'affaire, ressort son passé de "hacker de la NASA". Jonathan devient paranoïaque, convaincu que le gouvernement veut faire de lui un bouc émissaire. Il sait qu'avec son casier, aucun jury ne croira en son innocence.
Alors le 18 mai 2008, Pinecrest, Floride, Jonathan James, 24 ans, se tire une balle dans la tête sous la douche de sa salle de bain.
Il laisse une note déchirante : "Je n'ai honnêtement, honnêtement rien à voir avec TJX. Je n'ai aucune foi dans le système de 'justice'. Peut-être que mes actions d'aujourd'hui, et cette lettre, enverront un message plus fort au public. De toute façon, j'ai perdu le contrôle de cette situation, et c'est ma seule façon de le reprendre."
La suite lui donnera raison : Albert Gonzalez sera condamné à 20 ans de prison, mais aucune preuve ne sera jamais trouvée contre Jonathan James concernant l'affaire TJX.
Ce gamin était un génie pur. Pas le genre de génie qu'on voit dans les films, mais un vrai génie technique, capable de comprendre et d'exploiter des systèmes complexes à un âge où la plupart d'entre nous découvraient à peine Internet.
Le problème, c'est que personne n'a su canaliser ce talent. Ses parents ont essayé de le brider en lui confisquant son ordinateur. Le système judiciaire l'a traité comme un criminel ordinaire. Et la communauté du hacking de l'époque n'avait pas vraiment de garde-fous éthiques.
Et aujourd'hui, combien de c0mrade potentiels traînent-ils sur nos serveurs Discord, nos repos GitHub, nos communautés de makers ?
Maintenant on a des programmes de bug bounty, des certifications en cybersécurité, des bootcamps éthiques. Des voies légales pour exprimer ce genre de talent. Alors que Jonathan n'a jamais eu ces options.
Son héritage, comme celui de
Kevin Mitnick
, c'est donc d'avoir forcé le monde à prendre la cybersécurité au sérieux. Après ses exploits, la NASA a complètement revu ses protocoles de sécurité, le Pentagone a investi des milliards dans la protection de ses systèmes et le Congrès a voté de nouvelles lois sur la cybercriminalité juvénile.
Je pense que Jonathan James aurait mérité mieux que cette fin tragique. Il aurait pu devenir un expert en cybersécurité, un consultant, un formateur. Il aurait pu utiliser ses compétences pour protéger les systèmes qu'il avait appris à compromettre... C'est triste.
A nous de faire en sorte que les prochains génies du code ne suivent pas le même chemin.
J'espère que vous passez une bonne semaine et que votre connexion internet ne vous fait pas trop la misère en ce moment...
Car aujourd'hui, on va parler d'un truc qui devrait intéresser tous ceux qui utilisent un VPN (ou qui pensent en utiliser un, un jour) pour leurs activités un peu... gourmandes en bande passante. Vous le savez, je le sais, BitTorrent c'est génial, mais c'est aussi un moyen facile de se retrouver avec son adresse IP exposée aux trackers et aux pairs du swarm. Et même avec un tunnel sécurisé, on peut toujours être victime d'une fuite en cas de mauvaise configuration ou de rupture du VPN.
Et là, y'a toujours Hadopi (enfin, ce qu'il en reste) qui pour justifier leur budget annuel vous enverra un petit message de menace automatique. Pas de communication non violente ici ^^.
C'est précisément là qu'intervient Torrent Peek, un petit outil qui est gratuit et sans inscription et qui va vous permettre de vérifier si votre protection est efficace ou si elle laisse filtrer votre IP. Pour cela, le site génère un lien magnet unique que vous ouvrez dans la plupart des clients torrent (uTorrent, Transmission, Deluge, etc.).
Une fois le lien ajouté, votre client va tenter de se connecter aux trackers du site, et hop ! Torrent Peek affichera alors l'adresse IP qu'il voit passer. Si c'est celle de votre VPN, c'est un bon signe. Si c'est votre vraie IP... eh bien vous êtes dans la mierda ^^.
Car même avec un VPN actif, une défaillance du "kill switch" ou un trafic qui sort du tunnel peut exposer votre identité réelle. Notez d'ailleurs que l'exposition peut aussi se faire via DHT ou PEX, ce que ce test ne couvre pas forcément, mais c'est déjà une excellente première vérification côté trackers.
Le truc cool avec cet outil, c'est qu'il propose aussi une API JSON pour ceux qui aiment bien automatiser leurs tests ou surveiller leur connexion via un petit script maison. Il suffit de faire un petit curl sur l'URL fournie pour obtenir le statut de votre connexion à l'instant T.
D'ailleurs, si vous voulez aller plus loin dans la bidouille torrentielle, je vous recommande de jeter un œil à cet article pour
ouvrir des liens magnet directement avec VLC
(moyennant un petit plugin), car c'est super pratique.
Voilà, ça vous permettra de vérifier que vous ne faites pas n'importe quoi quand vous téléchargez des ISO Linux toute la nuit 😅...
Devinette du soir : Qu’est-ce qui est pire qu'un secret que vous avez oublié de cacher ?
Réponse : Des dizaines, des millions de secrets qui traînent sur GitHub parce que quelqu'un a eu la flemme de configurer un vrai gestionnaire de variables d'environnement !
Hé oui, les amis ! On a tous fait cette boulette au moins une fois (ou alors vous mentez, ou vous êtes un robot). On crée un petit fichier .env, on oublie de le rajouter au .gitignore, et paf, vos clés AWS se retrouvent à poil. Selon GitHub, c'est plus de 39 millions de secrets qui ont été détectés en fuite sur leurs dépôts en 2024. C'est du délire !
Envmap - Le gestionnaire de variables d'environnement qui tue les fichiers .env (
Source
)
Du coup, au lieu de continuer à se farcir du bricolage avec des fichiers qui traînent en clair sur le disque, je vous propose de jeter un œil à Envmap.
C'est un outil écrit en Go dont l'objectif est de réduire au maximum l'écriture de vos secrets sur le disque dur. En mode normal, il va les pomper directement chez les grands manitous du stockage sécurisé comme AWS Secrets Manager, HashiCorp Vault, 1Password ou encore Doppler (même si pour l'instant, certains de ces providers sont encore en cours d'intégration).
Comme ça, au lieu de faire un vieux source .env qui laisse traîner un fichier sensible, vous lancez votre application avec envmap run -- node app.js. L'outil récupère les variables en RAM et les injecte dans le process. C'est propre, c'est net, et ça évite surtout de pousser par erreur votre config sur un repo public.
Pour ceux qui se demandent s'il faut quand même envoyer ses fichiers .env sur GitHub (spoiler : non, jamais !), Envmap propose une commande import pour ingérer vos vieux secrets. Et pour ceux qui ont besoin d'un stockage local, sachez qu'Envmap peut aussi chiffrer vos variables en AES-256-GCM, ce qui est quand même plus sérieux qu'un fichier texte lisible par n'importe qui. Notez aussi qu'il existe une commande sync si vous avez vraiment besoin de générer un fichier .env temporaire.
Perso, ce que je trouve vraiment cool, c'est l'intégration avec direnv. On rajoute une ligne dans son .envrc, et hop, les secrets sont chargés automatiquement quand on entre dans le dossier du projet. C'est magique et ça évite les crises cardiaques au moment du push.
D'ailleurs, si vous voulez aller plus loin dans la sécurisation de vos outils, je vous recommande de lire mon article sur
SOPS
ou encore ma réflexion sur
l'usage de GitLab
pour vos projets sensibles.
Bref, c'est open source (sous licence Apache 2.0), et avec ça, vous dormirez sur vos deux oreilles !
Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier
un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks
qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !
La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.
La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.
La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.
Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.
Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.
Pour ceux qui veulent creuser le fonctionnement des
programmes de bug bounty
, c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.
Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !
Après l'attaque massive de septembre 2025 qui a vérolé 18 packages ultra-populaires (coucou
debug et chalk
) et la campagne
Shai-Hulud
2.0 qui a siphonné les credentials cloud de 25 000 dépôts GitHub, on peut le dire, on est officiellement dans la sauce. Surtout si vous êtes du genre à faire un npm install comme on traverse l'autoroute les yeux bandés ! Il est donc temps de changer vos habitudes parce qu'entre les crypto-stealers qui vident vos portefeuilles en 2 heures et les malwares qui exfiltrent vos clés AWS, l'écosystème JavaScript ressemble de plus en plus à un champ de mines.
Le rayon d'action de la campagne Shai-Hulud 2.0 - une véritable moisson de secrets (
Source
)
D'ailleurs, beaucoup se demandent comment savoir si un package npm est vraiment sûr. Et la réponse classique, c'est de lire le code de toutes les dépendances. Ahahaha... personne ne fait ça, soyons réalistes. Du coup, on se base sur la popularité, sauf que c'est justement ce qu'exploitent les attaques supply chain en ciblant les mainteneurs les plus influents pour injecter leurs saloperies.
C'est là qu'intervient safe-npm, une petite pépite qui va vous éviter bien des sueurs froides. Cela consiste à ne jamais installer une version de package publiée depuis moins de 90 jours. Pourquoi ? Parce que l'Histoire nous apprend que la plupart des compromissions massives sont détectées et signalées par la communauté dans les premiers jours ou semaines. Ainsi, en imposant ce délai de "quarantaine", vous laissez aux experts en sécurité le temps de faire le ménage avant que le malware n'arrive sur votre bécane.
Et hop, un souci en moins !
La supply chain npm, le nouveau terrain de jeu préféré des attaquants (
Source
)
Concrètement, si vous voulez react@^18 et que la version 18.5.0 est sortie hier, safe-npm va poliment l'ignorer et installer la version précédente ayant passé le test des 90 jours.
Pour l'installer, c'est du classique :
npm install -g @dendronhq/safe-npm
Ensuite, vous l'utilisez à la place de votre commande habituelle. L'outil propose des options bien pratiques comme --min-age-days pour ajuster le délai, --ignore pour les packages que vous savez sains (ou critiques), et surtout un mode --strict parfait pour votre CI afin de bloquer tout build qui tenterait d'importer du code trop frais pour être honnête. Y'a même un --dry-run pour voir ce qui se passerait sans rien casser, c'est nickel.
Alors oui, ça veut dire que vous n'aurez pas la toute dernière feature à la mode dès la première seconde. Mais bon, entre avoir une nouvelle icône dans une lib de CSS et voir son compte AWS se faire siphonner par un groupe de hackers russes, le choix est vite fait, non ? Perso, je préfère largement ce filet de sécurité, surtout quand on voit que les attaquants utilisent maintenant Gemini ou Qwen pour réécrire leur code malveillant à la volée afin d'échapper aux antivirus.
Bien sûr, ça ne remplace pas un bon
scanner de malware spécifique
ou une lecture attentive des vulnérabilités, mais c'est une couche de protection supplémentaire qui coûte rien et qui peut sauver votre boîte. À coupler d'urgence avec les recommandations de la CISA comme la MFA résistante au phishing et la rotation régulière de vos credentials.
Bref, si vous voulez kiffer votre code sans avoir l'impression de jouer à la roulette russe à chaque dépendance ajoutée, safe-npm est clairement un indispensable à rajouter dans votre caisse à outils de dev paranoïaque.
Allez sur ce, codez bien et restez prudents (et gardez un œil sur vos
backdoors générées par IA
, on sait jamais ^^).
Des essaims d’agents IA qui se coordonnent, s’appellent, se contredisent parfois : bienvenue dans la complexité systémique à vitesse maximale. En 2026, sans observabilité unifiée pour relier intentions, actions, dépendances et facture cloud, l’autonomie vire au bruit et aux surprises. La discipline gagnante : garde-fous, signaux factuels, responsabilités humaines claires. L’observabilité aborde un tournant où […]
De nombreux outils de cybersécurité gratuits, tels que Wireshark et Nmap, peuvent renforcer la sécurité des utilisateurs sur Internet. Cependant, les experts en cybersécurité mettent en garde contre les signaux d’alerte, comme des déclarations vagues dans les politiques de confidentialité, des mises à jour peu fréquentes et de mauvais avis. Tribune Planet VPN – […]
De nombreux outils de cybersécurité gratuits, tels que Wireshark et Nmap, peuvent renforcer la sécurité des utilisateurs sur Internet. Cependant, les experts en cybersécurité mettent en garde contre les signaux d’alerte, comme des déclarations vagues dans les politiques de confidentialité, des mises à jour peu fréquentes et de mauvais avis. Tribune Planet VPN – […]
Quand une connexion unique tombe, l’activité ralentit ou s’arrête. Deux accès indépendants, avec bascule testée, réduisent fortement ce risque pour les PME en Suisse.
Effrayant… C’est le mot qui vient immédiatement à l’esprit à la lecture du rapport de la CNIL qui sanctionne Free Mobile après sa massive fuite de données en octobre 2024. Affligeant est le second mot qui vient immédiatement derrière. Car les manquements de Free Mobile et Free en matière de cybersécurité méritent sans conteste la […]
Microsoft a annoncé avoir démantelé RedVDS , une plateforme mondiale d'abonnements dédiée à la cybercriminalité et qui alimentait la fraude numérique à l'échelle internationale. Cette opération représente l'une des plus importantes actions coordonnées jamais menées par l'entreprise contre l'infrastructure soutenant la fraude en ligne, combinant des efforts juridiques, techniques et d'enquête dans plusieurs pays. RedVDS proposait aux cybercriminels un service clé en main : pour seulement 24 dollars par mois, ils pouvaient obtenir des ordinateurs virtuels temporaires, souvent équipés de logiciels non autorisés, utilisés pour envoyer des arnaques par hameçonnage, héberger des infrastructures frauduleuses et contourner les systèmes de sécurité. Ce modèle a rendu les escroqueries peu coûteuses, facilement déployables et difficiles à attribuer, contribuant ainsi à l’essor de la cybercriminalité moderne. D'après les données de Microsoft , depuis mars 2025, les activités liées à RedVDS ont généré environ 40 millions de dollars de pertes déclarées aux États-Unis seulement. Ce chiffre ne représente qu'une fraction du préjudice réel, car de nombreuses fraudes ne sont pas signalées. Parmi les cas documentés figurent des entreprises et des organisations ayant subi de lourdes pertes financières suite à des escroqueries aux faux ordres de virement (BEC), une technique qui consiste à intercepter des communications légitimes pour détourner des paiements et des virements bancaires. RedVDS a également été largement utilisé conjointement avec des outils d'intelligence artificielle, capables de rendre les escroqueries plus crédibles. Microsoft a observé l'utilisation de courriels générés automatiquement, de contenus multimédias réalistes et, dans certains cas, de technologies de clonage vocal et de manipulation vidéo pour usurper l'identité de personnes réelles. En un seul mois, plus de 2 600 machines virtuelles connectées à RedVDS ont envoyé en moyenne un million de messages d'hameçonnage par jour, augmentant considérablement la probabilité de réussite de certaines attaques.
L'impact est mondial. Depuis septembre 2025, plus de 191 000 organisations dans le monde ont subi des accès frauduleux ou des compromissions liées à cette infrastructure. Parmi les pays les plus touchés figurent les États-Unis, le Canada, le Royaume-Uni, la France et l'Inde. L'Italie compte également parmi les pays affectés : entre septembre 2025 et janvier 2026, environ 2 480 comptes de messagerie clients Microsoft ont été compromis, plaçant le pays au dixième rang mondial en termes de nombre de comptes touchés, avec un impact particulièrement important sur le secteur des biens de consommation. Le démantèlement de RedVDS a été rendu possible grâce à un effort conjoint qui a permis la saisie des principaux noms de domaine, la désactivation de la plateforme et du portail client, ainsi que l'identification de l'infrastructure sous-jacente. Les démarches juridiques de Microsoft ont été appuyées par le travail des autorités européennes chargées de l'application de la loi, notamment en Allemagne, et par une coordination avec Europol, dans le but d'identifier les responsables et de perturber les réseaux de paiement associés. Cette opération s'inscrit dans une stratégie plus vaste visant à cibler non seulement les criminels individuels, mais aussi les services qui permettent la cybercriminalité à grande échelle. Il s'agit de la 35e action civile menée par l'Unité de lutte contre la criminalité numérique contre les infrastructures criminelles, ce qui constitue une avancée significative dans la lutte contre la fraude numérique et démontre combien la coopération internationale est désormais essentielle pour faire face aux cybermenaces mondiales. (Lire la suite)
Vous vous souvenez d'
EchoLeak, cette faille zero-click dans Microsoft Copilot
dont je vous parlais l'année dernière ? Eh bien accrochez-vous, parce que les chercheurs de Varonis viennent de remettre le couvert avec une nouvelle technique baptisée "Reprompt". Et cette fois, un simple clic suffit pour que l'assistant IA de Microsoft balance toutes vos données sensibles à un attaquant.
Je vous explique le principe... Dolev Taler, chercheur chez Varonis Threat Labs, a découvert que l'URL de l'assistant Microsoft intègre un paramètre "q" qui permet d'injecter directement des instructions dans le prompt.
Du coup, n'importe qui peut vous envoyer un lien piégé du style copilot.microsoft.com/?q=INSTRUCTION_MALVEILLANTE et hop, votre assistant exécute ce qu'on lui demande dès que vous cliquez.
Et là où c'est vraiment pas drôle, c'est que Varonis a identifié trois techniques d'exploitation. La première, "Double-Request", contourne les garde-fous en demandant à l'IA de répéter deux fois la même action. La deuxième, "Chain-Request", enchaîne les instructions côté serveur pour exfiltrer vos données sans que vous ne voyiez rien. Et la troisième combine les deux pour un effet maximal.
Les trois techniques d'attaque Reprompt : P2P Injection, Double-Request et Chain-Request (
Source
)
Via cette faille, un attaquant peut récupérer vos emails récents, vos fichiers OneDrive, votre historique de recherche, et tout ça en arrière-plan pendant que vous pensez juste avoir cliqué sur un lien anodin. Ça craint hein !
Petite précision importante quand même, cette faille ne touche que la version Personal de l'assistant Microsoft, et pas la version Enterprise qui bénéficie de protections supplémentaires. Si vous utilisez la version pro au boulot, vous pouvez respirer. Par contre, si vous utilisez la version grand public pour vos trucs perso, c'était open bar jusqu'au patch du 13 janvier dernier.
Parce que oui, bonne nouvelle quand même, Microsoft a confirmé avoir corrigé le problème. Mais ça pose une vraie question sur la sécurité des assistants IA qui ont accès à nos données car entre EchoLeak et Reprompt, ça commence à faire beaucoup pour un seul produit.
Et surtout au niveau de la sécurité, moi ce que je comprends pas, c'est pourquoi le niveau de sécurité est un argument marketing ? Au nom de quoi la version personnelle devrait être moins sûre que la version personnelle ? Je pense que les données personnelles des gens n'ont pas moins de valeur...
Pour moi le niveau de sécurité devrait être exactement le même sur les deux versions du service.
Bref, l'IA c'est pratique, mais c'est aussi un nouveau terrain de jeu pour les attaquants alors méfiez-vous des liens bizarres, même s'ils pointent vers des services Microsoft légitimes !
Connexion
