Google et une société de cybersécurité, iVerify, ont découvert un puissant outil de piratage d'iPhone baptisé Coruna. Visiblement développé par le gouvernement américain, il a fuité et se retrouve aujourd'hui entre les mains d'espions russes et de cybercriminels chinois. Plus de 42 000 iPhone ont été piratés à cause de lui.
Coruna est un programme capable d'exploiter 23 failles de sécurité différentes dans iOS, le système d'exploitation de l'iPhone. Il suffit qu'un utilisateur visite un site web piégé pour que l'outil analyse automatiquement son téléphone (modèle, version du système, réglages de sécurité) et choisisse la bonne méthode pour en prendre le contrôle. C'est Google qui l'a repéré en premier, en février 2025, quand un vendeur de logiciels espions a tenté de pirater un iPhone pour le compte d'un gouvernement. De son côté, iVerify a analysé le code source et estime qu'il a été développé aux États-Unis. Plusieurs indices pointent dans cette direction : Rocky Cole, le patron d'iVerify, décrit un code "superbe" et "élégamment écrit", truffé de blagues internes en anglais américain dans les commentaires. Et surtout, le kit partage des éléments communs avec l'Opération Triangulation, une campagne de piratage d'iPhone que le spécialiste en cybersécurité Kaspersky avait attribuée aux services de renseignement américains en 2023.
Le vrai problème, c'est que Coruna a fuité bien au-delà de ses créateurs. Google a retracé la circulation de l'outil sur plus d'un an. Il a d'abord été récupéré par un groupe d'espions russes, qui l'a utilisé pour piéger des sites web fréquentés par des Ukrainiens : les visiteurs qui s'y connectaient avec un iPhone se faisaient pirater sans le savoir. L'étape suivante est encore plus préoccupante : un groupe de cybercriminels chinois a mis la main sur l'outil complet et l'a utilisé pour créer de faux sites d'échange de cryptomonnaies. Résultat : plus de 42 000 iPhone compromis, un chiffre qualifié de "massif" par les chercheurs. Google parle même d'un "marché de seconde main" pour ce type d'outils, ce qui rappelle d’ailleurs la fuite en 2017 d'un outil similaire de la NSA, qui avait permis des cyberattaques mondiales comme WannaCry.
Apple a travaillé avec Google pour corriger les failles et les mises à jour sont disponibles. Tous les iPhone sous iOS 18 ou plus récent ne sont plus vulnérables, et Apple indique que 74 % des iPhone compatibles sont déjà à jour. Le mode Isolement (Lockdown Mode) et la navigation privée dans Safari bloquent aussi l'attaque. En fait, Coruna cible les versions d'iOS sorties avant décembre 2023, ce qui veut dire que si vous n'avez pas mis à jour votre iPhone depuis un moment, il est potentiellement exposé.
C’est quand même assez pénible qu’un outil d'espionnage lié à un état se retrouve dans une arnaque aux cryptos, ça montre bien que personne ne contrôle la prolifération de ces trucs. Et Coruna n'est probablement pas le seul à circuler comme ça. Bref, si vous avez un vieil iPhone pas à jour, vous pouvez vous inquiéter (ou juste le mettre à jour).
Des chercheurs en sécurité ont découvert deux failles dans Comet, le navigateur IA de Perplexity. Une simple invitation de calendrier piégée suffisait pour accéder aux fichiers locaux de la machine et prendre le contrôle d'un coffre-fort 1Password, le tout sans aucun clic de l'utilisateur.
L'attaque est d'une simplicité qui fait froid dans le dos. Les chercheurs de Zenity Labs, qui ont baptisé la faille « PleaseFix », ont montré qu'il suffisait d'envoyer une invitation de calendrier contenant des instructions malveillantes cachées. Quand l'utilisateur interagit avec cette invitation dans Comet, l'IA du navigateur exécute en toute décontraction les instructions, sans broncher. Pas besoin de cliquer sur un lien, pas besoin de télécharger quoi que ce soit : le simple fait de consulter l'événement suffisait. Le problème vient de ce qu'on appelle l'injection de prompt indirecte : l'IA ne fait pas la différence entre les instructions légitimes et le contenu malveillant planqué dans un calendrier.
Deux failles distinctes ont été identifiées. La première permettait d'accéder au protocole file:// sans restriction, ce qui veut dire que Comet pouvait lire n'importe quel fichier sur votre machine. Les navigateurs classiques bloquent logiquement cela depuis des années, mais les navigateurs IA comme Comet ne respectent pas encore, hélas, les mêmes règles de sécurité. La seconde est plus grave : quand l'extension 1Password était déverrouillée dans Comet, un attaquant pouvait naviguer dans le coffre-fort, récupérer les identifiants et même changer le mot de passe du compte pour un verrouillage total.
Perplexity a été prévenu du problème dès la fin octobre 2025, et un correctif a été déployé le 23 janvier 2026. Mais voilà, ce correctif n'était pas suffisant et les chercheurs ont réussi à le contourner sans trop de problème. Un second patch, plus efficace, a suivi le 13 février. L'accès au système de fichiers est désormais bloqué par défaut dans Comet. Mais attention : côté 1Password et blocage de domaines, les protections sont toujours à configurer manuellement par l'utilisateur.
On ne va pas se mentir, ce genre de faille rappelle que les navigateurs IA sont encore une technologie immature côté sécurité. Le fait qu'une invitation de calendrier puisse siphonner un coffre-fort 1Password est assez flippant. Et Comet n'est pas un cas isolé : LayerX a trouvé des problèmes comparables avec les extensions Claude Desktop, et Zenity avait déjà présenté des résultats similaires sur ChatGPT Enterprise et Gemini à la Black Hat en août dernier. Le vrai problème avec cette histoire, c'est que ces navigateurs veulent pouvoir tout faire à votre place, mais ils ne sont pas vraiment foutus de faire la différence entre une demande légitime et une vilaine attaque. Bref, prudence avec les navigateurs « intelligents ».
Sources : The Register , The Decoder
À l’occasion du Mobile World Congress de Barcelone, Oppo a officialisé l’arrivée prochaine de son nouveau smartphone premium : le Find X9 Ultra. Fait inédit pour la marque, ce modèle Ultra bénéficiera d’un lancement mondial incluant l’Europe, et donc la France. Un signal fort envoyé par le constructeur chinois, qui affiche désormais clairement son ambition de reprendre pied sur le marché français, et de se mesurer aux références du très haut de gamme signées Apple et Samsung.
Avec le Find X9 Ultra, Oppo entend frapper là où se joue aujourd’hui l’essentiel du segment ultra premium : la photo sur smartphone. La marque promet son système d’imagerie le plus avancé à ce jour, fruit d’un partenariat toujours plus étroit avec Hasselblad.
« En 2026, de nombreux appareils porteront le label “Ultra”. Nous pensons que ce titre doit se mériter. Avec le Find X9 Ultra, nous établissons une nouvelle référence en matière d’imagerie mobile » déclare Elvis Zhou, PDG d’Oppo Europe.
Si Oppo reste, pour le moment, discret sur les caractéristiques officielles, des rumeurs semblent effectivement confirmer une configuration particulièrement ambitieuse.
Autre piste explorée par Oppo : les accessoires optiques externes. Après le module détachable Hasselblad 3,28x proposé sur le Find X9 Pro, la marque irait plus loin avec un téléconvertisseur 4,28x, équivalent à un 300 mm.
Le Find X9 Ultra pourrait également se distinguer par son autonomie. Toujours selon les fuites récentes, le smartphone embarquerait une batterie comprise entre 7 000 et 7 300 mAh, reposant sur une technologie silicium-carbone. Une capacité dans la continuité des Find X9 et X9 Pro, déjà remarqués pour leur endurance.
Côté performances, les rumeurs évoquent un passage au Snapdragon 8 Elite Gen 5. Par comparaison, le Find X9 Pro repose sur un MediaTek Dimensity 9500.
Oppo n’a toutefois rien confirmé, indiquant que les spécifications complètes seront dévoilées dans les prochaines semaines, en amont du lancement mondial.
En annonçant son smartphone à Barcelone, Oppo confirme que l’Europe redevient pour elle un marché prioritaire. Jusqu’ici, les déclinaisons Ultra étaient réservées aux clients chinois. Leur ouverture au public européen marque un tournant stratégique, avec une volonté de revaloriser l’image de marque d’Oppo, et de rivaliser frontalement avec le Samsung Galaxy S26 Ultra et l’iPhone 18 Pro Max.
Cette offensive s’inscrit dans un contexte particulier pour Oppo sur le territoire européen. Après un retrait en 2023, lié notamment à un conflit de brevets avec Nokia, la marque est revenue officiellement en 2024, sous la gestion directe d’Oppo Europe. Depuis, les séries Reno ont servi de point d’entrée, tandis que les Find X9 et X9 Pro ont marqué le retour d’Oppo sur le segment premium.
Reste une inconnue majeure : le tarif. Sur un segment où les prix dépassent fréquemment les 1 300 euros, Oppo devra trouver le juste équilibre entre innovation et compétitivité. Une affaire à suivre !
Voilà une nouvelle qui fait froid dans le dos. Des sous-traitants de Meta auraient affirmé avoir accès à des images très intimes, filmées par les lunettes connectées Ray-Ban AI… Le…
Cet article Ray-Ban AI : des employés révèlent que Meta partagerait des images sensibles via ses lunettes connectées est apparu en premier sur PaperGeek.
Une faille dans un outil de métadonnées open source très utilisé permet l’exécution de code arbitraire via des fichiers image piégé. Un correctif est disponible. Tribune – L’équipe Global Research and Analysis (GReAT) de Kaspersky a identifié une vulnérabilité d’injection de commande (CVE-2026-3102) dans ExifTool, un outil open source gratuit utilisé dans le monde entier […]
The post L’équipe du GReAT de Kaspersky découvre une vulnérabilité d’injection de commande dans ExifTool affectant les utilisateurs macOS first appeared on UnderNews.Une faille dans un outil de métadonnées open source très utilisé permet l’exécution de code arbitraire via des fichiers image piégé. Un correctif est disponible. Tribune – L’équipe Global Research and Analysis (GReAT) de Kaspersky a identifié une vulnérabilité d’injection de commande (CVE-2026-3102) dans ExifTool, un outil open source gratuit utilisé dans le monde entier […]
The post L’équipe du GReAT de Kaspersky découvre une vulnérabilité d’injection de commande dans ExifTool affectant les utilisateurs macOS first appeared on UnderNews.Obsidian vient de sortir son CLI officiel qui propose des dizaines de commandes, un mode interactif avec autocomplétion, et la possibilité de tout piloter depuis votre terminal. Grâce à ça, vous allez pouvoir créer des notes .md, chercher, gérer vos tâches... le tout sans quitter votre shell !
Disponible depuis la version 1.12,
le CLI d'Obsidian
transforme donc votre terminal en poste de pilotage pour vos coffres de notes. Concrètement, vous tapez obsidian suivi d'une commande, et ça interagit direct avec l'app qui tourne en arrière-plan via un socket local. Du coup, plus besoin de jongler entre les fenêtres... un petit obsidian create mon-fichier.md et c'est plié.
En fait, quand je dis que c'est complet, c'est pas pour faire joli. On peut créer des notes en .md, en ouvrir avec obsidian open, les déplacer, les supprimer. Vous pouvez aussi chercher avec obsidian search "mon texte", gérer les tâches, interagir avec les plugins... y'a même une commande obsidian daily pour ouvrir votre note du jour en une seconde. Si vous tenez un journal au quotidien, c'est royal !
Et le truc qui envoie du paté, c'est le mode TUI (Text User Interface). Vous tapez obsidian tout court, et là vous tombez sur une interface interactive avec autocomplétion et navigation au clavier. Genre un mini-Obsidian dans le terminal ! D'ailleurs, vous pouvez aussi enchaîner les commandes avec des pipes |, ou récupérer le résultat d'une recherche dans le presse-papier avec --copy. Pas mal donc pour scripter vos workflows, sauf que attention, les pipes ne marchent pas en mode TUI.
Et si vous avez plusieurs coffres, pas de panique, puisqu'on peut cibler un vault précis avec vault=mon-coffre ou même pointer directement vers un fichier avec file=ma-note. Et pour les plus barbus d'entre vous, la commande eval permet d'exécuter du JavaScript directement dans le contexte d'Obsidian. Bon, c'est carrément pour les barbus, mais voilà, je sais que ce genre de trucs vous plait... Par exemple accéder à app.vault.getFiles() ou app.workspace direct depuis le shell.
Côté installation, ça dépend de votre OS. Sur macOS, ça enregistre le chemin dans votre ~/.zprofile. Sur Linux, un petit symlink dans /usr/local/bin et c'est réglé (sauf si vous êtes sur un snap, là c'est une autre histoire). Windows, c'est géré par un redirecteur obsidian.exe et dans tous les cas, il faudra activer le CLI dans les réglages d'Obsidian (Settings → General).
Attention quand même, ce CLI a besoin de l'app Obsidian v1.12+ pour fonctionner. Si elle ne tourne pas déjà, elle se lance automatiquement en tâche de fond. C'est donc pas un outil standalone, mais un pont entre votre shell et l'application. Après si vous cherchez un truc 100% headless pour syncer vos coffres sans l'app, jetez un oeil à Obsidian Headless , le client officiel qui tourne en ligne de commande avec Node.js.
Bref, si vous vivez dans votre terminal et que vous kiffez déjà genre les éditeurs de notes en terminal , foncez.
Présentés en marge du MWC 2026, les Xiaomi 17 et 17 Ultra illustrent clairement l’ambition renouvelée du constructeur chinois sur le segment premium. Le Xiaomi 17 joue la carte d’un format plus compact, tandis que le 17 Ultra met l’accent sur la photo et la vidéo. Le Leica Leitz Phone, fruit d’une collaboration exclusive avec Leica, vient compléter cette montée en gamme.
Disponibles en Europe début 2026, ces smartphones sont commercialisés à un tarif qui confirme ce repositionnement vers le (très) haut de gamme :
À ce prix, une question s’impose : Xiaomi est-il désormais en mesure de proposer une alternative crédible aux références d’Apple et de Samsung ?
Avec son écran OLED de 6,3 pouces, le Xiaomi 17 adopte un format relativement compact. Sa forte luminosité (3 500 nits) améliore la lisibilité en extérieur, tandis que l’affichage adapte automatiquement sa fluidité selon l’usage (jusqu’à 120 Hz).
Le Xiaomi 17 embarque une batterie de 6 330 mAh. Elle s’accompagne d’une charge filaire de 100 W et d’une charge sans fil de 50 W, des valeurs théoriquement supérieures à celles proposées par Apple et Samsung.
Le Xiaomi 17 intègre également le Snapdragon 8 Elite Gen 5, gravé en 3 nm. Xiaomi met en avant son travail sur la gestion thermique, un point souvent critiqué sur ses générations précédentes. Si cette promesse se confirme, le Xiaomi 17 pourrait corriger l’un de ses points faibles historiques : la stabilité des performances sur la durée.
Côté photo, le capteur principal Light Fusion de 50 Mpx, co-développé avec Leica, promet une meilleure gestion des scènes en basse lumière. Il est accompagné d’un téléobjectif Leica de 60 mm, capable de prises de vue macro à 10 cm, et d’un zoom numérique jusqu’à x20 assisté par intelligence artificielle. La caméra frontale de 50 Mpx avec autofocus complète cet ensemble.
Le Xiaomi 17 Ultra se positionne comme un photophone haut de gamme. Il repose sur un capteur principal de 50 Mpx au format 1 pouce de nouvelle génération, issu de la famille Light Fusion, capable de capter davantage de lumière grâce à sa surface plus importante. Il est associé à la technologie LOFIC HDR, destinée à optimiser les contrastes et à préserver les détails dans les zones très claires comme très sombres.
Le module photo comprend également un ultra grand-angle de 50 Mpx (115° FoV), ainsi qu’un téléobjectif Leica de 200 mégapixels doté d’un zoom optique mécanique, avec une portée maximale annoncée équivalente à 400 mm.
En vidéo, le Xiaomi 17 Ultra revendique des fonctionnalités haut de gamme, comme l’enregistrement en 4K à 120 images par seconde, avec prise en charge du Dolby Vision. Un mode Log est également de la partie, afin de préserver un maximum d’informations dans l’image et faciliter l’étalonnage en post-production. Comme souvent sur ce segment, la qualité réelle de ces modes, la gestion thermique et la stabilité sur de longues séquences devront être jugées à l’usage.
Le reste de la fiche technique confirme ce positionnement premium : écran LTPO de 6,9 pouces à 120 Hz, Snapdragon 8 Elite Gen 5 gravé en 3 nm, et batterie d’environ 6 000 mAh compatible avec une charge filaire rapide de 90 W et une charge sans fil de 50 W.
Lancé pour célébrer le centenaire de Leica, le Leica Leitz Phone powered by Xiaomi reprend intégralement la fiche technique du 17 Ultra, mais s’en distingue par un traitement esthétique et photographique exclusif.
Son design s’inspire directement des boîtiers Leica, avec une pastille rouge iconique, un dos texturé satiné et un module photo rotatif physique, baptisé « Leica Camera Ring », permettant un contrôle manuel intuitif du zoom, de la mise au point ou encore de la balance des blancs.
Il propose également des émulations exclusives d’appareils Leica historiques, comme les M9 ou M3, ainsi que 13 « Leica Looks » et un rendu colorimétrique exclusif.
Avec la série Xiaomi 17, le constructeur se positionne désormais frontalement face aux références d’Apple et de Samsung. Si l’écart technologique semble se réduire, la comparaison se jouera aussi sur la durée, notamment en matière de suivi logiciel : Xiaomi promet désormais six ans de mises à jour. Seuls les tests à l’usage permettront de vérifier si cette montée en gamme se traduit, dans les faits, par une alternative crédible et durable aux leaders du très haut de gamme.
Connexion