Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

J'sais pas si vous l'avez senti mais Google est peut-être bien en train de gagner la course à l'IA non pas par son génie technique pur, mais par un bon gros hold-up sur nos infrastructures et nos vies privées.

C'est vrai que d'après pas mal de spécialistes IA, Gemini serait désormais le modèle le plus performant du marché. Super. Mais est ce que vous savez pourquoi il est en train de gagner ?

Hé bien parce que Google possède "tout le reste". Contrairement à OpenAI qui doit quémander pour choper des utilisateurs sur son application, l'IA de Mountain View s'installe de force partout où vous êtes déjà. Dans Android, dans Chrome, et même bientôt au cœur de votre iPhone via une intégration avec Siri. C'est la stratégie Internet Explorer des années 90, mais version 2026. Brrrr…

Alors oui c'est pratique d'avoir une IA qui connaît déjà vos mails et vos photos... Sauf que non. Car Gemini utilise nos données pour absolument tout... Sous couvert de "Personal Intelligence", l'outil se connecte à vos recherches, votre historique YouTube, vos documents et vos photos. Mais pas d'inquiétude, c'est pour votre bien, évidemment. Ahahaha !

Après si vous croyez que ce pouvoir ne sera pas utilisé pour verrouiller encore plus le marché, c'est que vous avez loupé quelques épisodes. J'en parlais déjà avec l'intégration forcée de l'IA dans vos apps Android , Google change les règles du jeu en plein milieu de la partie. On se retrouve donc face à un monopole full-stack, des puces TPU maison jusqu'à l'écran de votre smartphone.

Et pendant que la Chine sécurise sa propre souveraineté cyber en virant le matos occidental, nous, on continue d'ouvrir grand la porte.... Les amis, si demain Google décide de changer ses CGU (encore) ou de monétiser votre "intelligence personnelle", vous ferez quoi ?

Bref, le géant de la recherche avance ses pions et étouffe peu à peu la concurrence avant même qu'elle puisse respirer. Notez vous ça sur un post-it afin de le relire régulièrement : Plus une IA est "intégrée", plus elle est intrusive. Donc si vous voulez vraiment garder le contrôle, il va falloir commencer à regarder du côté des modèles locaux et des alternatives qui ne demandent pas les clés de votre maison pour fonctionner.

A bon entendeur...

Source

La nouvelle est tombée hier soir et elle fait boum boum boum dans le monde feutré de la tech... En effet, Pékin a officiellement demandé aux entreprises chinoises de mettre à la porte les logiciels de cybersécurité américains et israéliens.

C'était prévisible et quand j'ai lu ça, je me suis dit, tant mieux pour eux !

Concrètement, cette annonce, ça veut dire que des géants comme Broadcom, VMware, Palo Alto Networks, Fortinet ou encore l'israélien Check Point sont désormais persona non grata dans les systèmes d'information de l'Empire du Milieu.

La raison officielle, c'est la sécurité nationale comme d'hab. Mais aussi parce que la Chine en a marre de dépendre de technologies qu'elle ne contrôle pas (et qui pourraient bien cacher deux-trois mouchards de la NSA, on ne sait jamais ^^).

Alors vous allez me dire "Oulala, les méchants chinois qui se ferment au monde". Sauf que non... en réalité, ils appliquent juste une stratégie de souveraineté technologique sans concession. Et en remplaçant le matos étranager par du matos local, ils commencent le grand ménage.

Et pendant ce temps là en Europe, on continue d'installer joyeusement des boîtes noires américaines au cœur de nos infrastructures critiques, en priant très fort pour que l'Oncle Sam soit gentil avec nous. Yoohoo !

J'en parlais déjà à l'époque de l'affaire Snowden ou plus récemment avec les backdoors découvertes un peu partout mais la dépendance technologique, c'est évidemment un risque de sécurité béant. Pire, si demain Washington décide de "couper le robinet" ou d'exploiter une porte dérobée, on est, passez-moi l'expression, dans la merde.

La Chine l'a compris et investit donc massivement dans ses propres solutions, comme avec l'architecture RISC-V pour s'affranchir d'Intel et AMD. C'est une démarche cohérente et c'est même assez fendard quand on connaît l'histoire des groupes comme APT1 qui ont pillé la propriété intellectuelle occidentale pendant des années.

Maintenant qu'ils ont un bon niveau, ils ferment la porte...

Du coup, sa fé réchéflir car est-ce qu'on ne devrait pas, nous aussi, arrêter de faire les vierges effarouchées et commencer à construire sérieusement notre autonomie ? Il parait que c'est en cours... moi j'attends de voir.

Bref, la Chine avance ses pions et sécurise son périmètre et nous, baaah, j'sais pas... On remue nos petits bras en l'air en disant des choses au pif.

Source

Alors ça c'est la news du jour ! C'est pas trop tôt !

Bruxelles passe enfin à la vitesse supérieure et réalise que confier une partie critique de sa souveraineté numérique à des acteurs extérieurs n'était peut-être pas l'idée du siècle. Vieux motard que j'aimais comme disait ma grand-mère.

Le QG de ceux qui viennent de comprendre l'intérêt du libre

La Commission européenne vient de lancer ce qu'elle appelle un "Appel à contributions" (ou Call for Evidence en angliche) autour de l'Open Source. Et attention, l'idée c'est pas juste d'utiliser VLC ou LibreOffice sur les PC des fonctionnaires mais carrément de revoir la stratégie 2020-2023 pour faire de l'open source une véritable infrastructure essentielle pour l'Europe.

En gros, selon la Commission, 70 à 90 % du code de l'économie numérique repose sur des briques open source sauf que la valeur commerciale et stratégique de tout ça, file trop souvent hors de l'UE, chez nos amis les géants américains de la tech. Du coup, ça part vite en dépendance technologique, risques sur la supply chain, souveraineté en carton... la totale.

L'objectif est donc de préparer une stratégie sur les "Écosystèmes Numériques Ouverts Européens" qui est un joli nom pour dire qu'on veut arrêter d'être les dindons de la farce et qu'on veut réduire notre dépendance. Sécurité, résilience, indépendance... les mots-clés sont lâchés.

Maintenant si vous voulez mon avis, c'est une excellente nouvelle (même si j'aurais aimé lire ça il y a 10 ans) car l'Europe a un vivier de développeurs incroyable, mais on a trop souvent laissé nos pépites se faire racheter ou vampiriser. D'ailleurs, si le sujet de la souveraineté tech vous intéresse, jetez un oeil à mon article sur l'initiative Go European qui listait déjà des alternatives bien de chez nous.

La consultation court du 6 janvier au 3 février 2026 (jusqu'à minuit). C'est court, mais c'est le moment ou jamais de l'ouvrir si vous êtes développeur, entrepreneur ou juste un citoyen concerné par le fait que nos données ne soient pas totalement sous contrôle étranger.

Bref, à vous de jouer si vous voulez que ça bouge.

C'est par là si ça vous tente : La consultation officielle .

Source