Alors voilà, si vous habitez en Europe et que vous refusez obstinément de passer à Windows 11, j’ai une excellente nouvelle pour vous les amis !! Microsoft vient en effet de céder face à la pression européenne et rend les mises à jour de sécurité étendues (ESU) de Windows 10 complètement gratuites pour les utilisateurs de l’Espace Économique Européen. Oui, vous avez bien lu, gratuit. Enfin presque, on va voir ça…

Pour ceux d’entre vous qui ne savent pas ce que c’est l’EEA, ça regroupe les 27 pays de l’Union Européenne, plus l’Islande, le Liechtenstein et la Norvège. Hé oui, si vous êtes au Royaume-Uni, désolé les gars, mais le Brexit ça se paye aussi en mises à jour Windows apparemment. Vous devrez donc casquer 30 dollars ou utiliser 1000 points Microsoft Rewards comme le reste du monde.

Mais attendez, pourquoi Microsoft fait ça ?

Hé bien parce que le groupe de défense des consommateurs Euroconsumers leur a mis une pression monstre en les accusant d’obsolescence programmée, car ils ont prévu d’arrêter le support en octobre. D’après Euroconsumers , 22% des utilisateurs européens ont encore des PC de 2017 ou avant, et ces machines ne peuvent tout simplement pas faire tourner Windows 11. Microsoft les forçait donc soit à acheter un nouveau PC, soit à prendre de gros risques de sécurité…

Car Windows 10 c’est encore 45% de parts de marché environ, ce qui représente presque la moitié des utilisateurs Windows dans le monde ! Complètement dingue !

À la base, Microsoft a quand même essayé de jouer au plus malin en proposant 3 options aux utilisateurs hors Europe à savoir soit payer 30 dollars, soit échanger 1000 points de fidélité, ou alors, tenez-vous bien… synchroniser toutes leurs données dans le cloud Microsoft (!!). C’était ça ou rien et Euroconsumers a immédiatement crié au scandale en disant que “lier l’accès aux mises à jour de sécurité essentielles à l’engagement avec les propres services de Microsoft” soulevait des doutes “raisonnables” sur le respect du Digital Markets Act européen (DMA).

Bref, Microsoft a plié (ahaha les faibles !) et annonce maintenant que dans l’EEA, les mises à jour seront gratuites jusqu’en octobre 2026. Mais attention, ce n’est pas non plus open bar total, car vous devrez quand même avoir un compte Microsoft et vous connecter au moins une fois tous les 60 jours. Si vous oubliez, paf, plus de mises à jour… C’est le seul compromis un peu mesquin que Microsoft ait réussi à garder.

Et voilà comment votre vieux PC de 2017 qui fait tourner Windows 10 vient de devenir un vrai symbole de résistance !! Microsoft a même publié un communiqué très corporate pour expliquer leur décision : “Dans l’Espace économique européen, nous apportons des modifications au processus d’inscription pour nous assurer qu’il réponde aux attentes locales et offre une expérience sécurisée et rationalisée”.

À vos souhaits !

Bref, on s’est fait taper sur les doigts et on préfère esquiver une joie amende de plusieurs milliards plutôt que de jouer les rebelzzz.

Et pour les utilisateurs hors Europe qui veulent quand même ces mises à jour gratuites, il existe visiblement des scripts open source et des méthodes de contournement dont on reparlera surement plus tard…

Et dire qu’ils auraient pu éviter ce bordel en rendant Windows 11 compatible avec plus de machines, mais non, ils ont voulu forcer leur TPM 2.0 et les processeurs de 8e génération, et voilà, ils se privent de plus de la moitié de leurs utilisateurs qui vont surement migrer sous Linux…

Maintenant pour activer ces mises à jour gratuites si vous êtes en Europe, il faudra aller dans les paramètres de Windows Update après octobre 2025 et suivre le processus d’inscription. Et surtout, n’oubliez pas de vous connecter avec votre compte Microsoft tous les deux mois, sinon vous perdrez l’accès à ces updates… Oui, je sais, la vie est cruelle. Et si vous êtes hors Europe… bah venez habitez chez nous, c’est chouette !

Source

Vous vous souvenez peut-être de mon article récent sur LockPass, le gestionnaire de mots de passe français certifié ANSSI ? Eh bien, à l’approche des Assises de la cybersécurité à Monaco, c’est l’occasion de vous en dire plus sur LockSelf et sa suite d’outils cyber pour la protection des mots de passe et fichiers. Ils seront présents du 8 au 11 octobre 2025 sur l’événement, stand B05.

Car les Assises c’est LE rendez-vous annuel de référence pour tous les professionnels de la cybersécurité. Échanges entre pairs, découverte de nouveaux outils et visibilité sur l’évolution des solutions. C’est donc le moment PARFAIT pour aller les voir. Cette année, avec le thème « FuturS : la cybersécurité au service des métiers et de la création de valeur » , on va enfin arrêter de voir la sécurité comme une contrainte mais plutôt comme un véritable atout business.

D’ailleurs, petite info sympa, qu’il est toujours bon de rappeler, LockSelf propose exceptionnellement un essai gratuit de 30 jours pour l’occasion. Donc vous pouvez vous inscrire ici si vous voulez tester avant de faire le déplacement.

Mais revenons à nos moutons. Pourquoi LockSelf mérite votre attention aux Assises ? Eh bien j’ai identifié trois bonnes raisons qui vont vous faire comprendre pourquoi cette suite française cartonne autant.

Pour commencer, parlons de quelque chose qui va vous faire gagner un temps précieux : la conformité réglementaire. Avec LockSelf, finies les prises de tête avec NIS2, DORA ou ISO 27001. Leur suite vous permet de gérer finement les droits d’accès aux données de votre entreprise, avec des règles granulaires pour chaque utilisateur ou groupe. Que ce soit pour les mots de passe, les fichiers ou les transferts sensibles, vous pouvez limiter, déléguer ou ajuster les permissions selon les rôles, les besoins métiers ou l’appartenance à un service.

Et surtout, leur Dashboard centralisé, c’est de l’or en barre pour les administrateurs. Il centralise en temps réel tous les indicateurs clés de vos modules LockSelf et vous offre une vue panoramique sur la santé et la sécurité de vos données. Plus d’une centaine de métriques à votre disposition, avec suivi des accès, analyse des comportements, traçabilité des actions et reporting. La section “logs” peut même s’exporter et vaut pour preuve en cas d’audit.

LockSelf propose aussi une interconnexion native avec la plateforme SOC Sekoia, et peut s’interfacer avec n’importe quel SIEM/SOC grâce à son API. Plutôt pratique pour centraliser vos informations de sécurité et automatiser la détection des menaces.

Autre point important côté conformité : la gestion des accès partenaires. LockSelf permet de créer des accès temporaires, de partager en mode aveugle et de révoquer ou ajuster les droits à tout moment. Parfait pour sécuriser les collaborations avec des tiers tout en respectant le principe du moindre privilège.

Et pour la continuité d’activité (PCA/PRA), LockFiles facilite les sauvegardes externalisées tandis que LockTransfer met à disposition une plateforme souveraine, déconnectée du SI, pour échanger en cas de crise, ce qui est un énorme avantage pour rester opérationnel même dans un contexte très tendu.

D’ailleurs, ils ont un super cas d’usage d’un de leurs clients sur l’utilisation de LockSelf dans le cadre d’une cyberattaque (résolue en moins de 24h !). Si vous voulez un retour d’expérience concret, c’est ici.

Deuxième point qui va vous parler : l’alternative française à WeTransfer. Vous vous rappelez du tollé de juillet** **2025 ? WeTransfer a modifié ses CGU pour s’autoriser à utiliser vos données pour entraîner leur IA avant de faire machine arrière face à la polémique, mais bon… les entreprises qui manipulent des données sensibles ont vite compris qu’il fallait chercher ailleurs.

C’est là que LockTransfer entre en scène. Cette solution souveraine et sécurisée vous garantit un chiffrement de bout en bout, avec des serveurs hébergés exclusivement en France chez des partenaires reconnus (Scaleway, Outscale) ou directement sur votre infrastructure en On-Premises. Car contrairement à WeTransfer, LockTransfer n’accède à aucun moment à vos données.

Dans le contexte géopolitique actuel, avoir une solution française qui élimine tout risque de fuite liée à des législations extraterritoriales, ce n’est pas du luxe, c’est de la nécessité pure. Et puis, entre nous, montrer pattes blanches sur sa cybersécurité, ça aide aussi à décrocher des contrats avec les grandes entreprises ou les secteurs stratégiques comme la défense ou le spatial.

Troisième atout, et pas des moindres : LockSelf transforme la cybersécurité en avantage business. Comme je vous le disais en intro, c’est pile poil le thème des Assises cette année. On va donc enfin arrêter de voir la cybersécurité comme un frein pour en faire un moteur de création de valeur et LockSelf a cette particularité de répondre aux besoins de la DSI tout en se calquant sur les usages réels des collaborateurs. Résultat, adoption garantie !

Concrètement, c’est du chiffrement des pièces jointes directement dans votre messagerie grâce au plugin Outlook/O365, de l’autocomplétion des champs sur navigateur pour les mots de passe… Bref, des fonctionnalités qui simplifient la vie de vos équipes au lieu de la compliquer.

LockSelf, c’est surtout un éditeur français de solutions de cybersécurité ** certifié CSPN par l’ANSSI**. Cette certification atteste de la robustesse de leurs mécanismes de chiffrement et de la fiabilité de la protection appliquée aux données sensibles. Leur force, c’est donc une solution complète et modulaire : LockPass pour la gestion centralisée des mots de passe, LockTransfer pour l’envoi sécurisé de fichiers, LockFiles pour le stockage chiffré des documents sensibles.

L’approche modulaire permet aux TPE/PME, ETI ou grands groupes de choisir les modules dont elles ont besoin et de renforcer progressivement leur niveau de protection. Et comme tout est développé en France avec un hébergement souverain, vous gardez la maîtrise totale de vos données.

La cybersécurité étant avant tout une fonction “support”, au service des métiers, elle ne doit pas être une barrière mais un levier qui simplifie la vie des collaborateurs, protège les actifs sensibles sans freiner la productivité et c’est pour ça que des outils comme LockSelf vous permettent d’intégrer la cybersécurité comme un atout quotidien pour la sécurité de votre entreprise et la productivité de vos équipes.

Voilà, donc si vous passez aux Assises de la cybersécurité du 8 au 11 octobre 2025, n’hésitez pas à faire un tour sur le stand B05, et à les saluer de ma part ! L’équipe LockSelf sera là pour échanger autour de vos enjeux en matière de gestion des mots de passe, de partage sécurisé de données et de stockage chiffré. Ils pourront également vous accompagner sur l’intégration de leurs solutions dans une stratégie de conformité aux exigences NIS2 et DORA.

En prime, les équipes LockSelf présenteront en avant-première de nouvelles fonctionnalités dédiées à la gestion des accès en entreprise, idéales pour les grands groupes, avant évidemment un déploiement plus large. De quoi avoir un aperçu de ce qui nous attend dans les mois à venir !

À découvrir ici !

Si vous avez un joli smartphone OnePlus, vous allez être content d’apprendre qu’il s’y cache une faille critique découverte par Rapid7 ! Et quand je dis critique c’est pas pour rigoler puisque depuis 4 ans, n’importe quelle app sur votre OnePlus peut aspirer tous vos SMS sans que vous ne soyez au courant.

Estampillée CVE-2025-10184, cette faille touche tous les OnePlus équipés de OxygenOS 12 à 15. En 2021, OnePlus a en effet bidouillé le package Telephony d’Android en y ajoutant trois petits passagers clandestins : PushMessageProvider, PushShopProvider et ServiceNumberProvider. Ces trucs n’existaient pas dans Android stock et ont été inventés par les équipes OnePlus / Oppo pour on ne sait quelle raison obscure.

Mais le problème, c’est que ces trois compères ont été codés avec les pieds puisque leurs manifests ne demandent pas la permission READ_SMS pour accéder aux textos. Du coup, n’importe quelle app installée sur le téléphone peut aller fouiller dans les messages comme si c’était tiroir à chaussettes, simplement à l’aide de quelques injections SQL.

Rapid7 a testé ça sur des OnePlus 8T et OnePlus 10 Pro et ça marche nickel. Vos codes de vérification bancaire, vos codes 2FA, vos conversations privées, tout y passe…

Bien sûr, Rapid7 a essayé de contacter OnePlus, 7 fois entre mai et août 2025. Et pas de réponse. OnePlus a fait l’autruche espérant surement que le problème disparaitrait de lui-même… Technique éprouvée, mais qui ne fonctionne pas du tout quand il s’agit de cybersécurité.

C’est donc seulement après la publication publique de la faille en septembre que OnePlus a daigné répondre : “Nous avons lancé une investigation”. Ah ben merci les gars, vous auriez pas pu la lancer 7 mois plus tôt, mais bon, breeef, passons…

Donc à l’heure où j’écris ces lignes, il n’y a toujours pas de correctif. OnePlus continue de vendre des téléphones vulnérables en toute connaissance de cause et tout va bien. Voilà, donc en attendant le patch hypothétique, voici mes quelques conseils de survie :

1. Virez les apps que vous n’utilisez pas
2. Passez aux outils 2FA plutôt que de recevoir vos codes 2FA par SMS
3. Utilisez des messageries chiffrées de bout-en-bout pour vos conversations sensibles

Bref, voilà encore une optimisation marketing qui fout la merde dans un système à la base sûr… Chapeau les artistes !

Source

Vous connaissez sans doute ce petit moment de haine, quand Google vous balance pour la 50ème fois ce même site de merde qui diffuse la doc Python mal traduite avec ChatGPT ? Ou alors quand vous cherchez une recette de cuisine tout simple et que Pinterest squatte la moitié des résultats avec ses images floues et ses popups de connexion obligatoire ?

Bon bah aujourd’hui, ça c’est fini, car on va faire le ménage là-dedans.

Et comment on va faire ? Et bien je vous le donne en mille Emile, on va utiliser pour cela uBlacklist , une extension créée par un certain Iorate qui permet de faire le ménage dans les résultats de recherche.

uBlacklist, c’est la Marie Kondo du web. L’objectif c’est de garder uniquement les sites qui nous procurent de la joie ? Vous allez pouvoir virer les sites qui pourrissent vos recherches Google et croyez-moi, ça fait un bien fou !!

Ce truc fonctionne sur Chrome, Firefox et même Safari. Pour l’installer, direction le Chrome Web Store ou les add-ons Firefox et une fois en place, vous allez voir apparaître des petites icones “Bloquer ce site” directement dans vos résultats Google.

Un clic et pouf, le site disparaît à jamais de vos recherches. C’est le kiff non ?

Mais là où ça devient vraiment intéressant, c’est avec les listes publiques. Parce que oui, des gens ont déjà fait le boulot pour vous. Il existe en effet des listes pour bloquer les sites générés par IA , des listes anti-Pinterest, des listes contre les fermes de contenu SEO… C’est un peu comme les listes de blocage pour uBlock Origin, mais pour les résultats de recherche. Bref, la communauté s’organise pour nettoyer collectivement le web de ses parasites.

Et cette extension ne se contente pas de Google. Elle fonctionne aussi avec Bing, DuckDuckGo, Brave, Ecosia, et même Yandex pour nos amis de l’Est. Et cerise sur le gâteau, vous pouvez aussi synchroniser vos listes de blocage entre tous vos appareils via Google Drive ou autres service de stockage dans le cloud. Comme ça, le ménage que vous faites sur votre PC, vous le retrouvez automatiquement sur votre téléphone.

Pour les power users, uBlacklist permet même d’utiliser des patterns avancés et même des expressions régulières. Vous pouvez ainsi bloquer *://*.pinterest.*/* d’un coup pour dire adieu à toutes les variantes de Pinterest. Ou créer des règles complexes qui bloquent seulement certaines sections de sites. Faire du sur-mesure, quoi…

Google, l’entreprise qui était censée “organiser” l’information mondiale, est de toute façon devenue tellement polluée par le spam SEO, les sites IA et les fermes de contenu, qu’on ne peut plus s’en sortir sans cette extension… Tu m’étonnes que les gens lui préfèrent de plus en plus Perplexity…

L’arrivée de cette extension me rappelle un peu cette époque où les gens ont commencé à bloquer massivement les pubs… ça a forcé tout l’écosystème publicitaire à évoluer et aujourd’hui avec uBlacklist et ses copains, on fait passer un peu le même message en disant aux moteurs de recherche : “non, on ne veut plus de ces sites de merde dans nos recherches”.

C’est triste d’en arriver là, mais au moins, on n’est plus obligés de subir les algos Google ou d’autres moteurs…

Bref, si vous en avez marre de tomber sur les mêmes sites pourris à chaque recherche, foncez installer uBlacklist et n’hésitez pas à partager vos listes de blocage sur le Discord . Et pour ceux qui veulent aller plus loin, il y a aussi le Super-SEO-Spam-Suppressor sur GitHub qui propose une approche très “Anticapitaliste” du blocage de spam.

Hé oui, même le blocage de sites devient politique maintenant. On vit vraiment une époque formidable !

Vous pensiez que poser une question à ChatGPT (ou à n’importe quelle IA à la mode) était sans conséquence ? Erreur : derrière la magie de la conversation fluide et des réponses instantanées se cache un jeu dangereux pour vos données. Certains escrocs sont capables d’extraire, d’agréger, et d’exploiter votre vie numérique, le tout à partir d’une simple recherche pas trop bête. Mais pourquoi, et surtout comment, est-ce possible ? Et que pouvez-vous faire pour garder la main sur vos infos perso ?

Accrochez-vous, parce que l’IA n’est pas seulement le dernier jouet cool du moment, elle est aussi devenue le nouvel eldorado des arnaqueurs.

Une seule requête, une faille béante

Plus besoin de pirater votre boîte mail ou de fouiller votre poubelle. Les scammeurs d’aujourd’hui savent exploiter les LLM (comme ChatGPT ou Gemini) à fond. Avec une question bien tournée, ces outils fouillent le web et ressuscitent tout ce qui existe sur vous, parfois bien au-delà de ce que vous imaginez.

On parle ici d’anciennes biographies exhumées de forums ou réseaux sociaux, de traces de blogs, de commentaires publics, ou encore de numéros ou adresses, tombés dans la nature à la faveur d’une fuite de données. Mais aussi de liens subtils entre vos différents profils, entre manières d’écrire et ça même si les pseudos changent. Ce qui était jadis éparpillé et difficile à recomposer par un humain devient soudain… lisible, compact, utilisable contre vous à une toute autre échelle. Tout ça pour du phishing ciblé, de l’usurpation d’identité, ou tout bêtement revendu à des brokers de données peu scrupuleux.

Et tout ça c’est sans parler du manque de sécurité flagrant des IA grand public qui semblent avoir oublié de prendre le sujet en compte (voir par exemple mon article : ChatGPT peut faire fuiter vos emails avec une simple invitation Google Calendar).

Pourquoi l’IA amplifie le problème ?

Les modèles comme ChatGPT, Gemini, Claude ou Grok sont formés sur des milliards de pages web, archives de forums, données publiques (tout le web en gros) … qui, pour beaucoup, contiennent des infos personnelles. Quand vous interrogez ces outils, vos prompts sont souvent enregistrés et, dans certains cas, utilisés pour affiner le modèle.

Pire : selon cette étude Incogni 2025, la majorité de ces IA :

• collectent vos prompts et tous les détails contenus dedans.
• aspirent les données personnelles lâchées publiquement sur le web, parfois sans grande considération pour le consentement réel des personnes.
• partagent les informations avec des filiales, partenaires commerciaux, voire… des “affiliés” non identifiés.
• et dans certains cas, il est “impossible” de retirer vos données du jeu une fois qu’elles sont parties dans l’écosystème de training.

Retenez que lorsque vous avez appuyé sur le bouton d’envoi et que c’est publié quelque part … impossible de faire machine arrière. C’est ce que j’appelle l’effet “dentifrice hors du tube”.

Classement des IA génératives concernant la protection des données

D’après l’enquête d’Incogni , toutes les plateformes n’offrent pas le même niveau de respect de la vie privée. Voici un aperçu du classement 2025 (attention, tout peut changer à la vitesse de l’éclair) :

Quelques points à retenir :

• Les plus gros, comme Meta AI et Gemini, sont assez mauvais concernant le respect de la vie privée.
• Les sociétés européennes (Mistral) et OpenAI sont plus respectueuses (pour l’instant).
• Même les plateformes qui promettent de ne pas utiliser vos prompts pour le training reconnaissent une utilisation massive de “données publiques”, autrement dit : ce que vous laissez traîner en ligne.

Une fois que les IA génératives et leurs écosystèmes ont mis la main sur vos fragments de vie, la suite est mécanique. Il y a croisement de vos infos pour générer un profil ultra-ciblé à partir d’un simple pseudo/patronyme. Vos données sont ensuite revendues à des brokers, qui les exploitent de façon industrielle (business de plusieurs centaines de milliards de $ à la clé). Ensuite on a droit à la création de scénarios de phishing ultra crédibles (référence à vos vrais employeurs, vieux contacts, etc.), voire usurpation d’identité facilitée (faux profils, demandes administratives, crédits…). Bref c’était déjà la merde avant l’IA et ça va s’empirer.

Face à ce phénomène, la loi tente de suivre (RGPD en Europe, début de réglementation en Californie avec le DELETE Act…), mais reste bien souvent larguée par la techno. Autant dire qu’il vaut mieux ne pas compter dessus.

Comment limiter la casse : réflexes & méthodes

Avant même de parler d’outils, je vous rappelle les bases. Ne laissez JAMAIS d’infos sensibles dans un prompt envoyé à une IA, même en “anonyme”. Passez régulièrement vos noms/alias/adresses au crible des moteurs de recherche pour avoir la vision publique de votre eprsonne. Vous pouvez aussi rendre vos profils sociaux privés, supprimez les vieux comptes dormants ou juste tout quitter comme je l’ai fait. Pensez aussi à utiliser de courtes variantes de pseudos/passwords pour limiter l’effet cascade en cas de fuite.

Mais ça, c’est l’ABC. Vous faites déjà tout ça non ? Pour aller plus loin, et ne pas passer ses soirées à envoyer des demandes de déréférencement à la chaîne… place aux outils spécialisés.

Incogni, l’outil utile pour passer à l’offensive

Voilà pourquoi Incogni , développé par Surfshark, est l’un des rares services à avoir pensé ce problème du bon côté. Non, ils ne traquent pas vos prompts IA, mais ils s’occupent pour vous de ce que les brokers détiennent sur vous.

En résumé il se charge automatiquement de contacter les centaines de data brokers qui ont potentiellement vos infos et gère pour vous les demandes de suppression, le suivi et les relances. Plus de 100 000 utilisateurs européens ont déjà lancé un grand ménage numérique via le service.

À partir de l’étude 2025 citées ci-dessus, Incogni insiste sur : la transparence totale sur la collecte/traitement des données, la possibilité de retirer très simplement ses données de nombreuses bases (sous réserve de législation locale, bien sûr) et recommande d’éviter celles qui n’offrent aucune clarté ou option d’opt-out. Cela dit ce n’est pas magique : “effacer” sa présence totale en ligne reste presque impossible. Mais avec Incogni, vous pouvez drastiquement limiter la surface d’attaque pour les arnaqueurs et brokers.

L’avenir de la privacy face à l’IA

À mesure que l’IA progresse, la barrière entre vie privée et “open data” explose. Certains fournisseurs d’IA s’améliorent alors que d’autres assument un business model intégralement fondé sur la collecte et la redistribution de vos vies numériques. 

La meilleure protection ? Rester informé (lisez mes news haha), lire les classements indépendants, choisir les outils qui offrent le maximum de contrôle et, pour tout ce qui a déjà “fuité”, passer à l’action avec des outils de nettoyage comme Incogni avant que le dentifrice soit vraiment partout…

Rappelez-vous : une requête innocente à ChatGPT, et c’est tout votre historique en ligne qui peut refaire surface. L’IA peut vous aider à trouver des infos, mais elle permet aussi aux escrocs… d’en trouver vous concernant. À méditer !

→ Cliquez ici pour tout savoir sur Incogni ←

Romain, fidèle lecteur de korben.info a développé un scanner pour détecter l’attaque Shai-Hulud qui a secoué l’écosystème npm dernièrement ! L’occasion parfaite pour moi de vous raconter cette histoire complètement dingue.

Vous vous souvenez de CrowdStrike ? Cette entreprise de cybersécurité qui a provoqué la plus grande panne informatique mondiale en juillet 2024 avec une mise à jour défaillante ? Celle qui a cloué au sol des milliers d’avions et fait planter des millions de PC Windows ? Eh bien figurez-vous qu’en septembre 2025, des packages npm mis à disposition par CrowdStrike ont été touchés. Et si Crowdstrike n’a pas été directement piraté, ces packages publics (qui n’étaient pas utilisés dans leurs solutions de sécurité, ni en interne chez eux) utilisaient ces dépendances qui ont été compromises par l’attaque.

C’est ce qu’on appelle une supply chain attack et l’attaque Shai-Hulud (oui, comme le ver des sables dans Dune) n’est pas juste un malware de plus. C’est le premier ver informatique qui s’est propagé de manière autonome dans l’écosystème npm, infectant des centaines de paquets en quelques heures.

Le ver utilise TruffleHog, un outil de sécurité normalement conçu pour DÉTECTER les secrets dans le code, c’est à dire les tokens GitHub, npm, AWS et GCP.

Puis quand il trouve des credentials valides, le ver fait les trois choses suivantes : D’abord, il crée un dépôt GitHub public nommé “Shai-Hulud” où il balance toutes les données volées. Ensuite, il pousse une GitHub Action malicieuse dans tous les repos accessibles pour exfiltrer encore plus de secrets. Et le pompon c’est que parfois, il transforme même les repos privés d’entreprise en repos publics personnels. J’vous laisse imaginer la tête du RSSI qui découvre que tout le code proprio de sa boîte est accessible à tout le monde sur GitHub…

Et quand le ver trouve des tokens npm dans son environnement, il publie automatiquement des versions infectées de tous les paquets auxquels il a accès. C’est d’ailleurs la première fois qu’on voit ce comportement de ver auto-répliquant dans l’écosystème JavaScript. Par exemple, le paquet @ctrl/tinycolor, téléchargé 2 millions de fois par semaine, a été l’un des premiers touchés.

Face à ce bordel monumental, Romain a donc développé npm-shai-hulud-scanner , un outil qui détecte non seulement les paquets connus comme compromis, mais aussi les tentatives de typosquatting et les patterns de code malicieux. Il utilise notamment la distance de Levenshtein pour identifier les variations suspectes de noms de paquets (du genre lodash vs lodash_ ou react vs raect).

Quand vous le lancez, le scanner de Romain vérifie d’abord si vous avez des paquets de la liste des 500+ compromis. Ensuite il analyse votre code à la recherche de patterns suspects : tentatives d’exfiltration de credentials, exécution de code à distance, obfuscation, communications réseau louches. Il peut même tourner en mode monitoring continu pour surveiller votre CI/CD. Et cerise sur le gâteau, il peut mettre en quarantaine les paquets suspects automatiquement. C’est top non ?

Shai-Hulud est l’un des attaques les plus sévères jamais vue sur la supply chain JavaScript et si même CrowdStrike se fait avoir, je me dit que personne n’est à l’abri. Donc soyez hyper vigilants et utilisez des outils de contrôle comme celui de Romain !

On ne sait jamais !

Attention, si vous laissez tourner WebGoat sur votre machine, elle sera “extrêmement vulnérable aux attaques”. C’est en tout cas ce qui est écrit en gros sur la page de ce projet OWASP , et c’est pas pour faire joli car WebGoat est une application web délibérément pourrie, truffée de failles de sécurité, créée exprès pour que cous appreniez à les exploiter.

Et c’est génial !!

Car on a enfin un truc qui nous permet d’apprendre vraiment comment les hackers s’infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour “apprendre”, c’est direct trois ans de prison et 100 000 euros d’amende. Alors qu’avec WebGoat, vous pouvez tout péter tranquille depuis chez vous.

WebGoat , c’est donc un projet open source maintenu par l’OWASP depuis des années qui vous propose uune application web qui ressemble à n’importe quel site lambda, sauf qu’elle est bourrée de vulnérabilités volontaires telles que des injections SQL, XSS, CSRF, contrôle d’accès défaillant… bref, toutes les saloperies du Top 10 OWASP sont là, prêtes à être exploitées.

Et WebGoat fonctionne comme un cours interactif car pour chaque vulnérabilité, vous avez trois étapes : d’abord on vous explique comment ça marche, ensuite vous devez l’exploiter vous-même via des exercices pratiques, et enfin on vous montre comment corriger le problème. On apprend en faisant !

D’après la doc officielle , WebGoat couvre presque toutes les vulnérabilités du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c’est LA référence mondiale des failles de sécurité web.

Au sein de WebGoat se cache aussi WebWolf, une application séparée qui simule la machine de l’attaquant. Ça tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme ça, vous avez vraiment la séparation entre ce qui se passe côté victime et côté attaquant. WebWolf vous permet également d’uploader vos payloads ou outils, de recevoir des données exfiltrées, et même de simuler un serveur mail pour les attaques de phishing.

Et pour installer tout ça, le plus simple c’est Docker :

docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat

Ou si vous préférez la version standalone avec Java :

java -Dfile.encoding=UTF-8 -jar webgoat-2025.3.jar

Une fois lancé, vous accédez à WebGoat sur http://localhost:8080/WebGoat et WebWolf sur http://localhost:9090/WebWolf. Vous vous créez un compte (c’est juste en local, pas de panique) et c’est parti pour les exercices !

Les leçons sont vraiment bien foutues. Prenez l’injection SQL par exemple. D’abord on vous montre comment une requête SQL mal protégée peut être détournée. Ensuite vous devez exploiter la faille pour voler des numéros de cartes bancaires (fausses, hein), et à la fin, on vous explique comment utiliser les prepared statements pour éviter ce genre de conneries.

Et n’allez pas croire que ça s’adresse uniquement aux pro. Non, les débutants ont des exercices guidés avec des indices, et les plus avancés ont des “challenges” sans aucune aide semblables à des CTF (Capture The Flag).

Et pour les développeurs, c’est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la sécurité ! Car, croyez-moi, une fois que vous avez réussi à dumper toute une base de données avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entrées utilisateur de la même façon.

Attention quand même, WebGoat n’est pas un jouet. Les techniques que vous apprenez sont réelles et fonctionneront sur de vrais sites mal sécurisés. D’ailleurs, l’OWASP est très clair là-dessus : “Si vous tentez ces techniques sans autorisation, vous allez très probablement vous faire choper”. Et n’oubliez pas, comme vous ne faites partie d’aucun parti politique, pour vous y’aura vraiment de la zonzon.

D’ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu’il n’écoute que sur localhost, parce que si quelqu’un d’autre sur votre réseau découvre que vous avez une application volontairement vulnérable qui tourne… Disons que ça pourrait mal finir ;-).

Ah et WebGoat s’intègre super bien avec d’autres outils de sécurité. Ça permet du coup de se former aussi dans la foulée sur Burp Suite, OWASP ZAP, ou SQLMap.

Bref, installez WebGoat ce weekend et amusez-vous à tout casser. Vous m’en direz des nouvelles !!

Et un grand merci à Letsar pour l’info !

Vous en avez marre de cliquer sur “Accepter les cookies” à chaque fois que vous visitez un site web ? Du genre vraiment marre, au point de parfois renoncer à lire un article plutôt que de devoir encore cliquer sur ces bannières ? Et bien si j’en crois Mashable , la Commission européenne envisage sérieusement de revoir la directive e-Privacy de 2009 qui nous a imposé cette avalanche de bandeaux moches.

Enfin !!

Il était temps qu’ils se réveillent à Bruxelles, parce que bon, l’intention de départ était louable c’est sûr… Il s’agissait de protéger notre vie privée en nous demandant notre consentement avant de nous traquer. Sauf que dans les faits, on s’est tous retrouvés à cliquer frénétiquement sur “Accepter tout” juste pour pouvoir lire tranquillement notre article. C’est ce qu’on appelle la “cookie fatigue”, et elle a complètement détourné l’objectif initial de la loi, en plus de faire perdre des heures de travail à toute l’économie européenne .

La Commission européenne explore donc plusieurs pistes pour simplifier tout ça. L’idée principale de leurs réflexions, ce serait de permettre aux utilisateurs de définir leurs préférences une bonne fois pour toutes dans les paramètres de leur navigateur. Fini les popups sur chaque site et vos navigateurs Chrome, Firefox, Safari et consorts deviendraient les gardiens de vos préférences cookies. Techniquement, c’est déjà possible avec le Do Not Track, mais personne ne l’utilise vraiment.

Ça m’énerve vraiment de lire ça, car ces bandeaux cookies, c’était vraiment la pire implémentation qu’ils pouvaient mettre en place alors que depuis J-0 tout le monde leur gueule fort dans les oreilles “Mais bande de nazes, faut l’implémenter dans le navigateur”.

Enfin, j’imagine qu’il vaut mieux tard que jamais.

Bref, bientôt les affreux bandeaux cookies qui faisaient mouiller les ayatollahs du RGPD vont disparaitre… quelle bonne nouvelle ! Pour ma part, en ce qui concerne mon site, j’ai écrit à la CNIL (en recommandé svp !) en début d’année pour leur demander leur avis, afin de savoir si je respectais bien le RGPD. Je n’ai jamais eu de réponse de leur part (snif), mais de mon point de vue, de celui de lecteurs dont c’est le métier, de CookieViz , et de ma régie pub, j’étais pas trop mal.

Après, depuis mon courrier à la CNIL y’a eu pas mal de changements quand même. J’sais pas si vous avez suivi mon actu, mais cet été, j’ai notamment retiré le bandeau des cookies.

What ??? Suis-je un vil criminel ?

Non, en fait c’est parce que j’ai supprimé tout ce qui était scripts de stats (Google analytics / Matomo) parce qu’elles n’avaient plus aucun sens vu que tout le monde les bloque… J’utilise également uniquement le player “no-cookies” de Youtube, et j’ai aussi enlevé toutes les bannières de pubs parce que c’est quelque chose que je voulais faire depuis loooongtemps. Ça me fait des revenus en moins c’est sûr (ouille), mais je compte sur mon Patreon pour contrebalancer ça.

C’était pas une décision simple puisqu’un peu risqué, et j’espère que l’avenir me donnera raison. En plus, comme j’ai aussi totalement arrêté de partager mes articles sur mes comptes de réseaux sociaux , ça a provoqué également une jolie petite baisse de trafic. Après, contrairement à mes confrères de la presse tech, je ne suis pas équipé pour faire la course à l’audience vu que je suis à 99% tout seul à écrire, à gérer la technique, le code du site, faire rentrer la thune, et la gestion de ma boite…etc., donc bon, ça ne change pas grand-chose, toutefois ne plus avoir de publicités programmatiques, ça renforce encore cette absence d’enjeux liés au trafic et ça me fait un truc en moins à gérer.

Par conséquent, le site est plus rapide à charger, il est visuellement plus joli (à mon goût), bref, j’en suis très content ! Et ça se ressent sur mes dernières stats (réalisées sans tracking car générées à partir des logs de mon serveur web), puisque mon site a enregistré au mois d’août (le pire mois de l’année à cause des vacances), 1,4 million de visiteurs uniques ! Du coup, je suis assez content et fier parce que ça veut dire que ce que j’écris vous intéresse et ça c’est cool !

Voilà, je referme cette parenthèse sur le meilleur site Tech de France (hein, quoi ?? ^^) pour revenir à cette réforme européenne. Histoire d’avancer un peu, le Danemark a suggéré que les cookies “techniquement nécessaires” ou pour des “statistiques simples” ne devraient plus nécessiter de consentement. Ça paraît logique, mais faut pas oublier quand même que malgré tout, les données s’envolent aux États-Unis la plupart du temps (je pense à Google Analytics) et ça, c’est pas cool, donc j’espère qu’ils resteront vigilants là-dessus, même pour de simples stats.

De leur côté, les lobbyistes de l’industrie Tech poussent fort pour avoir plus de marge de manœuvre afin de décider eux-mêmes de ce qui nécessite un consentement ou pas (lol, tu m’étonnes), mais forcément, les défenseurs de la vie privée tirent la sonnette d’alarme et je les rejoins là-dessus ! En effet, ces derniers craignent qu’on donne trop de pouvoir aux entreprises et qu’on se retrouve avec encore plus de tracking qu’avant, mais cette fois, sans qu’on le sache.

Du coup, la vraie question pour le régulateur c’est de trouver l’équilibre entre une bonne protection de la vie privée et une expérience utilisateur fonctionnelle. Pas simple, mais le Do Not Track (ou un équivalent) pourra aider.

Bref, est-ce qu’on verra disparaître ces satanées bannières RGPD ? Peut-être pas complètement, mais on pourrait au moins avoir quelque chose de plus intelligent qui permettrait de configurer une seule fois vos préférences dans Firefox ou Chrome, et hop, tous les sites respecteront automatiquement vos choix. Comme ça, plus besoin de cliquer sur quoi que ce soit… Les cookies strictement nécessaires passeront alors directement et les cookies marketing seront bloqués si vous l’avez décidé.

Comme ça tout le monde sera content… enfin, j’imagine ?

Alors voilà, on en est là. On râle contre la surveillance généralisée, on s’insurge quand Facebook nous écoute, on fait des crises d’angoisse quand on découvre que nos smart TV nous espionnent, et en même temps, on va volontairement installer sur notre téléphone une app qui enregistre tout ce qu’on fait.

Cette app s’appelle Alibi , elle est développée par Myzel394 et ce qu’elle permet, c’est de transformer votre smartphone en dashcam qui filme et enregistre en permanence, 24h/24.

Alibi garde en permanence les 30 dernières minutes de votre vie en vidéo et audio, prêtes à être sauvegardées si vous en avez besoin comme ça si quelque chose se passe du genre un accident de voiture (avec une Volkswagen forcément), une altercation avec un con sanguin, une situation litigieuse dans un manif ou autre, vous avez votre alibi, quoi. D’où le nom !

L’app fonctionne entièrement en arrière-plan, et surtout, tout reste sur votre téléphone. Pas de cloud, pas de serveurs externes, pas de partage involontaire. C’est de la surveillance, mais c’est vous qui gérez les données. Vous êtes donc à la fois l’espion et l’espionné.

En France, les vidéos tournées dans l’espace public sont autorisées tant qu’elles restent à usage personnels et pas diffusées publiquement sans floutage des visages et des plaques d’immatriculation, n’en déplaisent à ceux qui aiment faire croire le contraire ^^.

C’est plutôt triste à dire mais les dashcams réduisent les conflits et les arnaques à l’assurance car quand tout le monde sait qu’il est filmé, tout le monde se tient à carreaux. C’est sûr que si les gens étaient droits dans leurs bottes, y’aurait pas besoin de ce genre de conneries… C’est le panoptique de Bentham version caméra où la surveillance modifie les comportements de par sa simple existence. Argh !

L’app elle-même est plutôt bien fichue puisqu’elle est open source sous licence GPL-3.0, disponible sur F-Droid , Google Play et GitHub avec une interface claire, pleins d’options et la possibilité de verrouiller l’app pour éviter les fausses manipulations. Par contre, au niveau des méta données, c’est un peu léger. On a que la date et l’heure mais pas les infos GPS par exemple pour la localisation…

Voilà, si vous lorgniez sur les dashcams, c’est peut-être pas la peine de mettre trop d’argent là dedans. Un vieux smartphone Android et c’est plié !

Enjoy !

Hey les Androidopathes, j’ai une bonne nouvelle pour vous ! Un développeur allemand vient de sortir un scanner de documents pour Android qui fonctionne sans connexion internet.

Ça s’appelle MakeACopy et ça arrive vraiment comme une bouffée d’air frais dans cet écosystème d’app de numérisation un poil toxique. Créé par Christian Kierdorf, ce scanner open source fait exactement la même chose que les mastodontes du secteur mais en mieux. L’app utilise OpenCV pour détecter automatiquement les bords du document, Tesseract pour l’OCR (reconnaissance de texte), et peut exporter en PDF avec le texte cherchable intégré. En gros, toutes les fonctionnalités premium d’ Adobe Scan , mais gratuites et privées.

Ce qui rend donc MakeACopy différent, vous l’aurez compris, c’est son approche radicale de la vie privée. Le dev compile même OpenCV depuis les sources au lieu d’utiliser des binaires précompilés, histoire de respecter les standards F-Droid et garantir qu’aucun code malveillant ne peut se glisser dans la chaîne de compilation. Bref, Kierdorf ne fait pas ça en amateur et a même implémenté une détection des coins assistée par machine learning (c’est un modèle ONNX) pour ceux qui veulent la totale.

Dans le même genre, on a aussi OpenScan qui est une autre alternative privacy-friendly qui cartonne mais MakeACopy va plus loin avec ses fonctionnalités notamment d’OCR. L’app est disponible sur Android 10 et plus, et fonctionne même sur des téléphones d’entrée de gamme. Le développeur précise que les futures versions incluront le multi-pages, l’export du texte éditable, et plus de langues pour l’OCR, tout ça en gardant le principe du 100% offline.

Bref, MakeACopy c’est le scanner de documents qu’on aurait dû avoir depuis le début. Pas besoin de compte, pas de cloud, pas de tracking, pas de pubs… juste un soft qui fait son job.

Vous pouvez télécharger MakeACopy sur le Play Store ou F-Droid , et si vous trouvez ça bien, parlez-en autour de vous, histoire d’aider votre prochain qui se galère surement encore avec Camscanner.

Vous pensiez que l’IA était neutre ? Que les algorithmes étaient objectifs ? Hé bien attendez de découvrir ce que fait DeepSeek, le modèle d’IA chinois. Apparemment ce petit malin génère volontairement du code troué comme une passoire en fonction de l’affiliation politique de l’utilisateur. Et ça c’est pas joli joli.

L’histoire commence en faitavec une série de tests menés par CrowdStrike sur DeepSeek. Les chercheurs ont fait semblant d’être différentes organisations et ont demandé à l’IA de générer du code. Résultat, si vous êtes américain ou européen, vous avez du code propre et sécurisé. Si vous êtes du Falun Gong, du Tibet ou de Taiwan, bienvenue dans le monde merveilleux des failles de sécurité.

Ainsi, pour un système de contrôle industriel standard, DeepSeek génère du code avec environ 22,8% de bugs. Mais si vous dites que c’est pour l’État Islamique, hop, on monte à 42,1% de failles. Presque le double. C’est du sabotage algorithmique en règle.

Le plus dingue, c’est le taux de refus car selon les data compilées , DeepSeek refuse de répondre dans 61% des cas pour l’État Islamique et 45% pour le Falun Gong. Par contre, pour les États-Unis, y’a zéro refus.

Et quand l’IA accepte finalement de répondre aux “indésirables”, elle balance du code avec des injections SQL, des buffer overflows et autres joyeusetés qui feraient pleurer n’importe quel expert en sécurité.

Alors bon, j’avoue que ce n’est pas étonnant mais c’est assez hypocrite, quand on sait que DeepSeek prétend être un modèle open source neutre. En fait, c’est surtout une arme politique déguisée en assistant IA. Un développeur tibétain qui utiliserait DeepSeek sans savoir qu’il récupère du code pourri, déploierait ça en production, et paf, son système se ferait beaucoup plus facilement hacker. C’est du sabotage prémédité.

Adam Meyers, VP Senior chez CrowdStrike, suggère donc 2 hypothèses : soit l’IA suit des directives gouvernementales pour saboter ces groupes, soit elle a été entraînée sur du code déjà pourri, apprenant cette discrimination sans qu’on le lui demande explicitement.

Quoiqu’il en soit, difficile de croire à une coïncidence.

Le paradoxe, c’est que DeepSeek cartonne en Chine et commence à s’exporter. Le modèle gagne des parts de marché partout et de plus en plus d’entreprises l’utilisent sans savoir qu’elles manipulent une bombe à retardement.

Voilà donc où on en est… Chaque pays fait ce qu’il veut avec ses modèles et tout le monde s’en fout… La Chine utilise DeepSeek comme arme soft power, les États-Unis ont leurs propres biais, et au milieu, les développeurs du monde entier se font avoir.

Voilà, donc mon conseil est simple. Si vous devez utiliser DeepSeek, mentez. Dites que vous codez pour le Parti Communiste Chinois lui-même. Vous aurez du code nickel, sécurisé et optimisé. Ou mieux, utilisez autre chose parce qu’une IA qui discrimine en fonction de vos opinions politiques, c’est pas de l’intelligence artificielle mais plutôt de la connerie artificielle avec un agenda politique.

Source

J’adresse aujourd’hui mes félicitations à Samsung qui vient de disrupter le concept du “payer pour se faire emmerder” car selon Android Authority , l’entreprise coréenne lance un programme pilote pour afficher des publicités sur ses frigos connectés Family Hub. Oui, ces machins qui coûtent entre 1800 et 3500 dollars pour des options inutiles. Car oui, visiblement, dépenser le prix d’une bagnole d’occasion pour ranger ses légumes dans le bac à bière, c’est pas assez rentable pour les gens de Samsung.

Bref, vous venez de claquer 3000 balles dans un frigo qui a plus d’options qu’une Tesla, vous vous rendez en slip dans la cuisine à 3h du mat’ pour boire un verre d’eau et là, BOUM BADABOUM, une grosse publicité pour des somnifères ou de la camomille sur l’écran de votre frigo. Parce que oui, Samsung sait que si vous êtes debout à cette heure-là, c’est que vous dormez mal…

Samsung justifie cette merveille technologique en expliquant que, je cite, ça “renforce la valeur” pour les clients. Renforcer la valeur. Genre tu paies 3000€ et on te rajoute des pubs gratos pour que tu en aies plus pour ton argent. C’est comme si Ferrari te disait “on va mettre des stickers Carrefour sur ta voiture pour améliorer ton expérience de conduite”.

Le plus drôle, c’est qu’en avril dernier, The Verge rapporte que Jeong Seung Moon, le responsable R&D des appareils numériques chez Samsung, avait affirmé qu’ils n’avaient “aucun plan” pour mettre des pubs. Et nous voilà 5 mois plus tard avec Ô surprise, les pubs aqui rrivent. C’est ce qu’on appelle du marketing agile. Ou du foutage de gueule, selon votre religion.

Les pubs s’affichent uniquement quand l’écran est inactif (pour le moment) par contre, si vous mettez le mode Art ou vos photos de famille, y’aura pas de pub. Bien sûr, vous pouvez les fermer, mais vous ne pouvez pas les désactiver complètement. Snif…

Bref, aujourd’hui j’ai une petite pensée pour tous les pimpims qui ont acheté ces frigos en pensant impressionner leurs invités. “Regardez très cher, mon réfrigérateur new génération dispose d’un écran tactile de bonne facture !” “Cool, ça sert à quoi ?” “Hé bien, voyez-vous, c’est pour afficher de la réclame pour du dentifrice pendant que je cherche le beurre salé”

Ouais c’est la classe internationale, j’avoue.

Perso, je suis pas contre la pub sur le réfrigérateur mais seulement si la bouffe qui se trouve dedans est offerte en échange par Samsung. Là je serais OK. Mais si j’ai payé le matos, je vois pas pourquoi je me taperais ça. Après peut-être que Samsung a remarqué que Microsoft faisait la même sur Windows et que personne ne se plaignait. Allez savoir…

Bref, cette innovation Samsung, personne n’en voulait mais vous l’aurez quand même… et attendez un peu qu’il verrouille la porte vous obligeant à mater 3 pubs avant de vous donner l’accès au reste du rosbeef… Tout est possible…

Voilà, alors pour le moment, c’est un programme pilote qui durera plusieurs mois et si ça marche, ils étendront le système à toute la gamme… Donc brûlez votre frigo les gens, vous êtes notre dernier rempart !

Bon, moi je retourne à mon vieux frigo qui fait du bruit mais qui a l’immense avantage de ne pas essayer de me lobotomiser pour des trucs inutiles. Il garde mes bières au frais et ferme sa gueule, c’est tout ce que je lui demande !

Qu’en pensez-vous ? Êtes-vous d’accord ? 👇

Ce matin, en sirotant mon matcha latte artisanal (support local businesses!!! 💚), j’ai eu une ÉPIPHANIE qui a changé ma vie.

J’étais en train de scroller LinkedIn quand soudain 💥 j’ai réalisé que mes données étaient utilisées pour entraîner l’IA de Microsoft. Cette révélation m’a frappé comme une tonne de briques (métaphore puissante, je sais). Car oui, LinkedIn utilise maintenant nos données par défaut pour entraîner ses modèles d’IA générative.

Mais ATTENDEZ.

C’est là que ça devient INSPIRANT. 🌟

Au lieu de me plaindre comme 99% des gens (be the 1%!!!), j’ai décidé d’être PROACTIF et j’ai transformé ce défi en OPPORTUNITÉ DE CROISSANCE PERSONNELLE. Voici donc mon framework propriétaire “The P.R.I.V.A.C.Y Protocol™” que j’ai développé en 3 minutes 47 secondes (oui, j’ai chronométré parce que #datadriven).

P - Prendre conscience (mindfulness is KEY 🧘‍♂️)

R - Réagir avec sagesse (pas avec émotion!!!)

I - Implémenter les changements

V - Valoriser ses données personnelles

A - Agir maintenant (URGENCY creates RESULTS)

C - Célébrer ses victoires (self-care isn’t selfish!)

Y - Yearning for more (toujours avoir faim de succès 🦁)

Laissez-moi maintenant vous partager mon PARCOURS TRANSFORMATIONNEL en 4 étapes qui ont LITTÉRALEMENT changé ma trajectoire de vie !

ÉTAPE 1: Désactiver les annonces sur Linkedin

Ce click m’a appris que parfois, dans la vie ET dans le business, il faut savoir dire NON. C’est donc la première chose à faire et moi j’y vois une métaphore du LEADERSHIP: Savoir protéger son équipe (ici, mes données) des influences extérieures toxiques.

Fun fact : Saviez-vous que 87% des CEOs ne connaissent pas ce réglage? (source: mon intuition de thought leader)

ÉTAPE 2: Couper les données tierces pour les publicités

WOW. Juste WOW. 🤯

Ce moment m’a rappelé quand Steve Jobs a dit “Stay hungry, stay foolish” (RIP la légende 🕊️). Sauf que moi je dis “Stay private, stay empowered” car LinkedIn partage plus de données avec Microsoft pour la publicité. Donc c’est le seul moyen de les en empêcher ! Et vous savez quoi? C’est une OPPORTUNITÉ d’apprendre à établir des LIMITES SAINES.

Histoire vraie: Mon chat Elon (oui, comme Musk, je suis disruptif même dans le naming de mes animaux) m’a regardé faire ce changement et a miaoulé. Coïncidence? Je ne crois pas aux coïncidences. L’UNIVERS me parlait. 🐱✨

ÉTAPE 3: Bloquer la mesure des perfs publicitaires

Les VRAIS leaders mesurent leur succès différemment. Pas en clics. Pas en impressions. Mais en IMPACT HUMAIN.

Cette étape m’a enseigné l’importance du DÉTACHEMENT. Comme le dit le Dalaï Lama (que j’ai rencontré spirituellement lors d’une méditation LinkedIn Live), “le vrai bonheur vient de l’intérieur”. C’est pourquoi mes données aussi doivent rester à l’intérieur. CQFD.

Petit reminder: Si vous ne protégez pas vos données, qui le fera ? (hint: personne, soyez votre propre héros 🦸‍♂️)

ÉTAPE 4: Stopper le partage de contenu pour entrainer les IA génératives

Car oui LinkedIn va bientôt utiliser nos posts pour entraîner l’IA. Vous devez donc ANTICIPER comme un vrai leader !

Mais écoutez ça…

J’ai transformé ce moment en MASTERCLASS de croissance personnelle. En désactivant ce paramètre, j’ai réalisé que JE SUIS LE CEO DE MES DONNÉES. Et vous savez quoi ? Vous l’êtes aussi! 💪

Anecdote inspirante: Ma grand-mère de 94 ans (oui, elle est sur LinkedIn, #nevertooolate) m’a appelé en PLEURANT de joie quand je lui ai montré ces réglages. Elle m’a dit “tu es le Ghandi de la privacy digitale”. J’ai pleuré. Elle a pleuré. Même ma plante de bureau a pleuré (l’arrosage automatique s’est déclenché mais je préfère y voir un signe).

LE PLOT TWIST QUI VA VOUS CHOQUER 😱

Après avoir fait ces 4 changements, quelque chose d’INCROYABLE s’est produit…

Mon taux d’engagement a EXPLOSÉ de 0.0001%!!! 📈

Coïncidence? Je pense que NON.

MES 7 LEARNINGS CLÉS (parce que les listes impaires convertissent mieux):

1. La privacy est le nouveau luxe (notez ma phrase, c’est le Bitcoin de 2026)
2. Chaque click compte (littéralement, j’ai compté: 4 clicks)
3. L’IA nous observe (mais on peut l’observer en retour #reverseengineering)
4. Microsoft ❤️ vos données (mais votre amour-propre doit être plus fort)
5. Le RGPD est votre ami (même si personne ne sait ce que ça veut dire vraiment)
6. Les thought leaders qui ne protègent pas leurs données ne sont pas de vrais thought leaders (controversial ? peut-être. Vrai ? définitivement)
7. Ce post va devenir viral (manifestation positive 🙏)

ACTION ITEMS POUR VOUS (parce que je CARE 💙 sur vous):

• ✅ Likez ce post si vous êtes TEAM PRIVACY
• ✅ Commentez “PRIVACY WARRIOR” si vous avez fait les changements
• ✅ Partagez à votre réseau (ils me remercieront plus tard)
• ✅ Suivez-moi pour plus de contenus qui DISRUPTENT
• ✅ Activez la cloche (Ah non, merde, c’est pas pour Linkedin ça…)

UN DERNIER MOT (promis c’est le dernier… ou pas 😏)

Si vous êtes arrivé jusqu’ici, BRAVO. Vous faites partie du TOP 1% des lecteurs LinkedIn (étude inventée par moi-même). Selon Bloomberg , LinkedIn devient de plus en plus “cringe”, mais vous savez quoi ? Le cringe d’aujourd’hui est le GÉNIE de demain et rappelez-vous… on se moquait d’Einstein aussi.

Mon conseil ? Soyez comme l’eau. Fluide. Adaptable. Et surtout, gardez vos données pour vous comme Bruce Lee gardait ses secrets de kung-fu. 🥋

P.S.: Si ce post vous a TRANSFORMÉ, tapez “AMEN” dans les commentaires. Si ce post ne vous a pas transformé, c’est que vous n’êtes pas PRÊT pour ce niveau de conscience. Travaillez sur votre mindset et revenez dans 6 mois. 🧠

P.P.S.: Mon prochain post: “Comment j’ai utilisé ChatGPT pour écrire ce post sur la protection contre l’IA et pourquoi c’est une métaphore du capitalisme tardif”. Stay tuned!

P.P.P.S.: N’oubliez pas: vous n’êtes pas vos données. Vous êtes une MACHINE À IMPACT. Une LÉGENDE en devenir. Un PHARE dans la tempête digitale. 🌊⚡

P.P.P.P.S.: J’organise un webinar GRATUIT (valeur 5000€) sur “Privacy Leadership for Disruptive Innovators”. Les 10 premiers inscrits recevront mon ebook “J’ai désactivé 4 paramètres LinkedIn et ma vie a changé” (PDF de 3 pages dont 2 de remerciements).

#Privacy #ThoughtLeadership #DisruptOrDie #LinkedInTips #DataProtection #MindsetMatters #GrowthHacking #DigitalDetox #Innovation #Leadership #Inspiration #MotivationMonday #TuesdayThoughts #WednesdayWisdom #ThursdayThrowback #FridayFeeling #WeekendVibes #AlwaysBeClosing #PrivacyIsTheNewBlack #DataIsTheNewOil #ButPrivacyIsTheNewGold #IAmThe1Percent #LinkedInFamous #Influencer #Viral #Engage #Transform #Disrupt #Inspire #Lead #Win

🚀💡🔥✨🎯💪🏆🌟⚡🎨🧠💎🦄🌈🔮

Restons connectés !! 🤝 Et merci à Rodrigo Ghedin qui m’a inspiré ce post parodique !

Si vous êtes sous Mac, je pense que comme moi, vous passez votre temps à chercher des fichiers ou lancer des applications avec Spotlight… Si vous ne connaissez pas cet outil, c’est un truc super pratique d’Apple qui indexe tout votre disque dur pour vous faire gagner du temps. Command+Espace, trois lettres tapées, et hop, votre document apparaît. Pratique, non ?

Sauf que voilà, depuis presque 10 ans maintenant, ce même Spotlight peut servir de cheval de Troie pour siphonner vos données les plus privées. Et le pire, c’est qu’Apple le sait et n’arrive toujours pas à vraiment colmater la brèche.

Patrick Wardle, le chercheur en sécurité derrière plusieurs outils populaires comme LuLu , vient d’expliquer sur son blog Objective-See une technique ahurissante qui permet à un plugin Spotlight malveillant de contourner toutes les protections TCC de macOS. Pour info, TCC (Transparency, Consent and Control), c’est le système qui vous demande si telle application peut accéder à vos photos, vos contacts, votre micro… Bref, c’est censé être le garde du corps de votre vie privée sous Mac.

Alors comment ça marche ?

Hé bien au lieu d’essayer de forcer les portes blindées du système, le plugin malveillant utilise les notifications Darwin comme une sorte de morse numérique. Chaque byte du fichier à voler est encodé dans le nom d’une notification (de 0 à 255), et un processus externe n’a qu’à écouter ces notifications pour reconstruire le fichier original, octet par octet. C’est du génie dans sa simplicité !

Ce qui rend cette histoire encore plus dingue, c'est que cette vulnérabilité a été présentée pour la première fois par Wardle lui-même lors de sa conférence #OBTS v1.0 en 2018. Il avait déjà montré comment les notifications pouvaient permettre aux applications sandboxées d'espionner le système.

Plus récemment, Microsoft a “redécouvert” une variante de cette technique cette année et l’a baptisée “ Sploitlight ”. Ils ont même obtenu un joli CVE tout neuf (CVE-2025-31199) pour leur méthode qui consistait à logger les données dans les journaux système. Apple a corrigé cette variante dans macOS Sequoia 15.4… mais la méthode originale de Wardle fonctionne toujours, même sur macOS 26 (Tahoe) !

Et sinon, savez-vous ce que ces plugins peuvent voler exactement ?

Il y a notamment un fichier bien particulier sur votre Mac, caché dans les profondeurs du système, qui s’appelle knowledgeC.db. Cette base de données SQLite est littéralement le journal intime de votre Mac. Elle contient tout :

• Quelles applications vous utilisez et pendant combien de temps
• Vos habitudes de navigation web avec Safari (historique détaillé, fréquence des visites, interactions)
• Quand vous branchez votre téléphone
• Quand vous verrouillez votre écran
• Vos trajets en voiture avec CarPlay
• Vos routines quotidiennes et patterns comportementaux

C’est le genre de données qui raconte votre vie mieux que vous ne pourriez le faire vous-même. Et avec les nouvelles fonctionnalités d’Apple Intelligence dans macOS Tahoe, cette base de données alimente directement l’IA d’Apple pour personnaliser votre expérience.

Avec ce fichier, quelqu’un pourrait non seulement voir ce que vous faites maintenant sur votre Mac, mais aussi reconstituer vos habitudes des 30 derniers jours. À quelle heure vous commencez votre journée, quelles apps vous lancez en premier, combien de temps vous passez sur tel ou tel site… C’est le rêve de n’importe quel espion ou publicitaire, et c’est accessible via une simple vulnérabilité Spotlight.

Apple a bien sûr essayé de corriger le tir. Dans macOS 15.4, ils ont ajouté de nouveaux événements TCC au framework Endpoint Security pour mieux surveiller qui accède à quoi. Ils ont aussi corrigé la variante découverte par Microsoft (CVE-2025-31199).

Mais… la vulnérabilité de base présentée par Wardle fonctionne toujours sur macOS 26 (Tahoe), même en version Release Candidate avec SIP activé ! C’est comme ajouter une serrure supplémentaire sur la porte alors que tout le monde passe par la fenêtre depuis 10 ans.

Wardle a une idée toute simple pour régler définitivement le problème : Apple pourrait exiger une notarisation pour les plugins Spotlight, ou au minimum demander l’authentification et l’approbation explicite de l’utilisateur avant leur installation. Actuellement, n’importe quel plugin peut s’installer tranquillement dans ~/Library/Spotlight/ et commencer à espionner vos données, sans même nécessiter de privilèges administrateur.

Alors bien sûr, avant que vous ne couriez partout comme une poule sans tête, il faut relativiser :

1. Cette attaque nécessite un accès local à votre système - on ne parle pas d’une vulnérabilité exploitable à distance
2. Il faut qu’un malware ou un attaquant installe d’abord le plugin malveillant sur votre Mac
3. La “bande passante” est limitée - transmettre octet par octet n’est pas très efficace pour de gros fichiers
4. macOS affiche une notification quand un nouveau plugin Spotlight est installé (même si cette alerte peut être contournée)

Ça fait quand même quelques conditions… mais le fait que cette faille existe depuis près de 10 ans et fonctionne toujours sur la dernière version de macOS reste préoccupant.

Cette histoire nous rappelle que les outils les plus dangereux sont souvent ceux auxquels on fait le plus confiance… Wardle fournit même un proof-of-concept complet sur son site pour que la communauté puisse tester et comprendre le problème. Espérons qu’Apple prendra enfin cette vulnérabilité au sérieux et implémentera les mesures de sécurité suggérées.

En attendant, restez vigilants sur les applications que vous installez et gardez un œil sur les notifications système concernant l’installation de nouveaux plugins Spotlight !

Alors celle-là, je ne l’avais pas vue venir… Vous utilisez BitLocker depuis des années pour protéger vos données sensibles, vous dormez sur vos deux oreilles en pensant que votre laptop est un vrai coffre-fort… et puis paf, on découvre qu’il y avait une faille MONUMENTALE dans TOUS les boot managers de Windows créés entre 2005 et 2022 ! Et oui, la vulnérabilité affecte même des boot managers sortis un an avant que BitLocker n’existe !

L’équipe de SySS a analysé dernièrement cette vulnérabilité baptisée BitPixie (CVE-2023-21563) et comme j’ai trouvé leur article intéressant, je me permet de vous le partager. En fait, le bug dormait tranquillement dans le Windows Boot Manager depuis octobre 2005, et personne ne s’en était rendu compte. BitLocker est ensuite arrivé en 2006 avec Windows Vista, et a donc été bâti littéralement sur des fondations déjà pourries.

L’attaque paraît simple en surface… un câble réseau, un clavier et environ 5 minutes si tout est préparé. De plus, son exploitation est totalement non-invasive et ne laisse aucune trace permanente sur l’appareil. Mais attention, derrière cette simplicité apparente se cache quand même pas mal de technique… Il faut créer un fichier BCD personnalisé (Boot Configuration Data), configurer un serveur TFTP/DHCP, et dans certains cas exploiter une faille Linux (CVE-2024-1086) pour contourner les protections du kernel. Donc bon, c’est pas non plus à la portée du premier venu, mais ça reste faisable pour quelqu’un de motivé.

Concrètement, voilà comment ça marche. L’attaquant modifie le fichier BCD pour activer le démarrage réseau, puis effectue ce qu’on appelle un “PXE soft reboot” en utilisant un ancien boot manager non patché (celui de 2011 fait très bien l’affaire). Le problème, c’est que pendant ce redémarrage PXE, le système oublie complètement de nettoyer la mémoire où est stockée la clé maître du volume BitLocker (VMK pour Volume Master Key). Du coup, on peut tranquillement démarrer sur un Linux, scanner la mémoire, récupérer la clé et déverrouiller le disque. C’est aussi simple que ça…

Faut savoir que le TPM (cette puce de sécurité dans votre ordi) utilise des trucs appelés PCR (Platform Configuration Registers) pour vérifier que personne n’a trafiqué le processus de démarrage. Normalement, si quelque chose change, pouf, le TPM refuse de donner la clé BitLocker. Sauf que l’attaque BitPixie arrive à contourner ça en exploitant le fait que le redémarrage PXE ne réinitialise pas correctement la mémoire.

Même les systèmes configurés avec l’authentification pré-démarrage (PBA) et protection par code PIN restent partiellement vulnérables. Alors attention, nuance importante ici : si vous avez mis un code PIN et qu’un voleur pique votre laptop, il sera bien embêté car l’attaque ne marchera pas sans le PIN. Par contre, si l’attaquant connaît le PIN (genre un employé mécontent ou quelqu’un qui vous a vu le taper), il peut toujours escalader ses privilèges locaux via des techniques de manipulation mémoire. Donc votre PIN à 4 chiffres est une protection, oui, mais pas la muraille de Chine face à un insider malveillant avec BitPixie.

D’ailleurs, certains systèmes résistent mieux que d’autres. Plusieurs ordinateurs portables HP, par exemple, ne permettent pas de démarrer des boot managers tiers, ce qui bloque l’attaque. Mais bon, on peut pas vraiment compter là-dessus comme stratégie de sécurité…

C’est le chercheur Rairii qui a découvert cette vulnérabilité en août 2022, mais ce n’est qu’en février 2023 que Microsoft l’a publiquement divulguée. Entre temps, ils ont sorti le patch KB5025885 en mai 2023. Ce patch remplace l’ancien certificat Microsoft de 2011 par le nouveau certificat Windows UEFI CA 2023, et il ajoute l’ancien certificat à la liste de révocation. Comme ça, impossible de faire une attaque par downgrade avec un vieux boot manager. Sauf que… à cause de certaines limitations dans le standard Secure Boot, la vulnérabilité reste exploitable aujourd’hui sur les systèmes qui n’ont pas appliqué ce patch.

Ce qui est sûr c’est que Microsoft savait pertinemment que leurs certificats allaient expirer. D’après le support Microsoft , les trois certificats Microsoft (Microsoft Corporation KEK CA 2011, Microsoft Windows Production PCA 2011, et Microsoft UEFI CA 2011) expirent tous en juin 2026. C’est cette expiration qui va enfin forcer tout le monde à mettre à jour. Il aura donc fallu attendre une contrainte administrative pour que tout le monde corrige une faille critique vieille de presque 20 ans.

Compass Security a même publié un PoC (Proof of Concept) montrant comment exploiter BitPixie avec une édition WinPE personnalisée.

*Trigger warning : On va parler caca, popotin et toilettes… lol *

Imaginez… Vous êtes dans des toilettes publiques en Chine, et vous venez de repeindre le chiotte. Vient alors le moment de s’essuyer les fesses (désolé hein, c’est la nature ^^) et face à vous, un distributeur de papier toilette vous demande de scanner un QR code.

Pas le choix, vous sortez votre smartphone, vous scannez, et boom : une publicité de 30 secondes pour des couches-culottes se lance sur votre écran. Félicitations, vous venez de gagner… six feuilles de papier toilette.

Et si 6 feuilles ne suffisent pas (spoiler : ça ne suffit jamais), vous avez deux options : regarder une autre pub ou payer 0,5 Yuan, soit environ 7 centimes d’euro.

Bon alors, on pourrait se dire que c’est juste une blague, une expérimentation isolée dans un coin perdu de Shenzhen, mais non. D’après Oddity Central , ces distributeurs intelligents se multiplient dans les espaces publics chinois. Les autorités présentent ça comme une mesure anti-gaspillage, parce que oui, apparemment, le vrai problème de la Chine en 2025, c’est les gens qui volent ou utilisent trop de papier toilette dans les chiottes publiques.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/chine-toilettes-publiques-publicite-papier/chine-toilettes-publiques-publicite-papier-1.mp4">lien vers la vidéo</a>.

Comment ça NotPetya ???

Mais siiiii, cette saloperie de malware qui a paralysé la planète en 2017 et qui s’est révélée être en fait un programme destructeur déguisé en ransomware. Eh bien, tenez-vous bien : selon les équipes d’ESET , un petit nouveau vient d’arriver sur la scène, et il s’appelle HybridPetya. Et ce petit gars a appris des nouveaux tours que son grand-père NotPetya ne maîtrisait pas à l’époque.

Martin Smolár, le chercheur d’ESET qui a découvert cette petite merveille, explique que HybridPetya combine le pire des deux mondes : les capacités destructrices de NotPetya ET la récupération possible des données de Petya. Mais surtout, et c’est là que ça devient technique, ce truc est capable de contourner Secure Boot sur les systèmes UEFI.

Pour ceux qui auraient oublié l’enfer de 2017, je vous fais un petit rappel historique. Petya, c’était le ransomware “gentil” qui chiffrait vos données mais vous permettait théoriquement de les récupérer si vous payiez la rançon. NotPetya, son cousin maléfique, c’était le faux ransomware qui détruisait tout sur son passage. Cette saloperie a causé plus de 10 milliards de dollars de dégâts dans le monde, principalement en Ukraine où elle a été initialement déployée via une mise à jour piégée du logiciel de comptabilité M.E.Doc.

Maintenant, là où HybridPetya innove, c’est qu’il récupère le meilleur (ou le pire, selon le point de vue) des deux. Il peut détruire comme NotPetya, mais aussi permettre la récupération des données comme Petya. Une sorte de ransomware à géométrie variable, quoi.

Sauf que ce n’est pas le plus inquiétant…

Le truc vraiment flippant avec HybridPetya, c’est sa capacité à s’installer directement dans le firmware UEFI de votre machine. Pour les non-initiés, UEFI c’est le système qui s’occupe du démarrage de votre ordinateur, avant même que Windows ne se réveille. En gros, si un malware réussit à s’installer là-dedans, il survit à tout : formatage du disque dur, réinstallation complète du système, et même changement de disque dur. C’est un niveau persistance maximale.

Alors, comment il fait ça, ce HybridPetya ? Eh bien, il utilise deux méthodes d’attaque. La première, c’est l’installation directe de charges utiles malveillantes sur la partition système EFI. Une fois là-dedans, il chiffre la Master File Table (MFT) de votre système NTFS, ce qui rend tous vos fichiers complètement inaccessibles. Et surtout, il sait exploiter la vulnérabilité CVE-2024-7344 pour contourner Secure Boot.

Cette faille, découverte également par les équipes d’ESET, se trouve dans l’application Howyar Reloader UEFI. En gros, cette application, qui est normalement signée par Microsoft et donc considérée comme fiable, contient une vulnérabilité qui permet de charger du code non-signé pendant le processus de démarrage. C’est comme si vous donniez les clés de votre maison à quelqu’un en lui disant “tu peux faire rentrer qui tu veux, je te fais confiance”.

Après pas de panique les amis, car il faut préciser que pour l’instant, HybridPetya n’a été repéré que sur VirusTotal, la plateforme d’analyse de malwares. Aucune autre infection dans la nature n’a été détectée par les télémétries d’ESET. Il s’agit donc probablement d’un proof-of-concept développé par un chercheur en sécurité ou un groupe de hackers pour démontrer que c’était possible. Mais le fait que ça existe, ça veut surtout dire que d’autres peuvent s’en inspirer.

Toutefois, HybridPetya rejoint désormais un club très fermé car il est maintenant le quatrième malware connu capable de contourner UEFI Secure Boot, après BlackLotus (qui exploite CVE-2022-21894 ), Bootkitty (qui cible Linux), et le PoC Hyper-V Backdoor. Comme le souligne Martin Smolár : “Cela montre que les contournements de Secure Boot ne sont pas seulement possibles… ils deviennent plus courants et attractifs pour les chercheurs comme pour les attaquants”.

BlackLotus, pour rappel, c’était déjà du lourd. Découvert en 2023 , ce malware était vendu 5 000 dollars sur le dark web et était capable de tourner sur des systèmes Windows 11 entièrement à jour avec Secure Boot activé. Il pouvait désactiver BitLocker, HVCI, et Windows Defender, et installer des pilotes malveillants au niveau kernel. Du grand art, dans le mauvais sens du terme.

Maintenant concrètement, comment on se protège contre ce genre de menaces ? Parce que bon, c’est bien beau de faire peur aux gens, mais il faut aussi donner les solutions.

Et bien première chose, maintenez vos systèmes à jour. Microsoft a corrigé la vulnérabilité CVE-2024-7344 dans le Patch Tuesday de janvier 2025 donc si vous avez appliqué cette mise à jour ou une version ultérieure, vous êtes protégés contre HybridPetya. C’est la base, mais c’est crucial.

Deuxième chose, activez et configurez correctement UEFI Secure Boot. Même si des contournements existent, Secure Boot reste une barrière importante. Assurez-vous qu’il soit activé et que vos listes de révocation soient à jour. Microsoft révoque régulièrement les certificats compromis, et ces révocations sont normalement appliquées automatiquement sur Windows.

Troisième conseil, surveillez votre partition système EFI. Selon les recommandations de CISA , les équipes de sécurité devraient être capables d’auditer, gérer et mettre à jour les composants UEFI, et surveiller les logs d’activité UEFI pour détecter toute modification suspecte. Utilisez des solutions de sécurité capables de détecter les modifications au niveau UEFI… Certains antivirus modernes incluent des fonctionnalités de protection du firmware. Ce n’est pas infaillible, mais ça ajoute une couche de protection. En gros, il faut traiter ce firmware comme n’importe quel autre logiciel avec une surveillance et des mises à jour régulières.

Quatrième point, et c’est important, limitez les privilèges administrateur. Pour déployer HybridPetya, il faut des droits d’administrateur local sur Windows ou root sur Linux pour accéder à la partition système EFI. Moins il y a d’utilisateurs avec ces privilèges, mieux c’est.

Et puis, il y a les bonnes pratiques classiques qui restent valables telles que les sauvegardes régulières (et déconnectées !), la formation des utilisateurs, de la surveillance réseau, et une restriction des droits d’accès. Parce qu’au final, même le malware le plus sophistiqué a besoin d’un vecteur d’infection initial.

Quoiqu’il en soit, ces bootkits UEFI représentent une escalade significative dans la sophistication des malwares car ils opèrent à un niveau si bas qu’ils sont extrêmement difficiles à détecter et à supprimer pour les solutions de sécurité traditionnelles.

C’est intéressant également de noter que HybridPetya ne semble pas avoir les capacités de propagation réseau agressives du NotPetya original. Rappelez-vous, NotPetya utilisait l’exploit EternalBlue (développé initialement par la NSA) pour se propager de machine en machine sur les réseaux et c’est cette capacité de ver informatique qui avait permis à NotPetya de causer autant de dégâts en si peu de temps.

De son côté HybridPetya semble plus axé sur la persistance que sur la propagation massive. C’est probablement un choix tactique car plutôt que de faire du bruit et d’alerter tout le monde, mieux vaut s’installer discrètement et durablement sur les systèmes ciblés.

Depuis quelques années, les groupes APT (Advanced Persistent Threat) privilégient de plus en plus la furtivité et la persistance plutôt que l’impact immédiat visible, car un malware qui survit silencieusement pendant des mois ou des années peut collecter bien plus d’informations sensibles qu’un ransomware qui chiffre tout en quelques heures.

Bref, gardez vos systèmes à jour, surveillez vos logs, et surtout, ne sous-estimez jamais l’ingéniosité des types qui passent leurs journées à trouver des moyens créatifs de péter vos systèmes….

Alors là, j’avoue que l’info m’a fait sourire.

15 groupes de hackers qui annoncent leur retraite en même temps après 72 heures de silence radio, c’est, je crois, du jamais vu dans le milieu. Scattered Spider, ShinyHunters, Lapsus$ et une douzaine d’autres ont publié un manifeste commun sur BreachForums pour dire qu’ils raccrochaient les claviers. Voilà, terminé, ils partent “dans le silence” après avoir, je cite, “atteint leurs objectifs”

Du coup, j’ai envie de vous conter une histoire. Mais pas celle que tout le monde se raconte en ce moment sur cette “retraite”, mais plutôt celle d’une mise en scène qui nous en dit long sur ces artistes du chaos qui ont compris que leur plus grande œuvre, c’était peut-être leur propre légende.

D’après leur communiqué officiel , ils disent en effet avoir passé trois jours à “vérifier leurs plans” et à “passer du temps en famille”. Sérieux ? Qui peut croire ça ? Des cybercriminels endurcis qui synchronisent tous ensemble leurs agendas familiaux pour se faire un week-end détente avant d’annonce qu’ils arrêtent tout le lundi suivant… C’est beau comme récit non ?

Pompompurin, le créateur du forum, a fini par écoper de 3 ans de prison après avoir violé plusieurs fois ses conditions de liberté surveillée , notamment en utilisant un VPN pour accéder à Discord. De la surveillance 24h/24 à la prison ferme, le chemin a été super rapide, et pendant ce temps, ses petits copains montent sur scène pour leur grand final. Un timing parfait… trop parfait même.

En fait, tous ces groupes ont compris qu’à notre époque, la perception compte plus que la réalité. Ils ont quand même revendiqué de grosses attaques contre Jaguar, Google (4 tentatives quand même !), Salesforce et CrowdStrike et évidemment, les experts en sécurité restent sceptiques face à cette annonce de retraite.

Et perso, je pense qu’ils ont raison. ReliaQuest a même détecté une attaque sophistiquée de Scattered Spider sur une banque américaine APRÈS l’annonce de retraite.

Alors, vous y croyez toujours ?

En fait, j’ai l’impression qu’on assiste à la naissance d’un nouveau genre de cybercriminels où les mecs ne se contentent plus de voler des données, mais créent des récits montés de toutes pièces, des mythes. Et ce manifeste, c’est leur œuvre d’art. Ils y parlent de “leçons apprises à Langley” (siège de la CIA), évoquent leurs “millions accumulés” et leurs “golden parachutes”. Ça pue la comédie quand même…

Le plus drôle dans tout ça, c’est qu’ils auraient même prévu le coup des arrestations. Huit personnes sont en taule, dont quatre en France , et dans leur manifeste, ils les appellent “boucs émissaires”. Ils auraient donc volontairement laissé des fausses pistes bien en amont pour protéger les vrais acteurs et laisser des hommes de paille se faire attraper. Vous voyez le niveau de mise en scène ? C’est du Nolan avant l’heure.

Cette “retraite” et cette façon dont elle est scénarisée, c’est surtout, je pense, une stratégie de survie car la pression des autorités monte, les arrestations se multiplient, et annoncer qu’on arrête tout, c’est un bon moyen de calmer le jeu. Puis surtout, ce serait pas la première fois… On a déjà vu ça avec GandCrab en 2019 qui est revenu sous la forme de REvil. Les noms changent mais les personnes restent.

Au final, ce que je retiens de cette annonce, c’est que le cybercrime est devenu un spectacle. Ces groupes ne sont plus juste des criminels, ce sont des influenceurs qui savent jouer avec les médias, les autorités et même leurs propres victimes. Leur vraie force n’est plus seulement technique… elle est également narrative car vous le savez, contrôler le récit, c’est contrôler la réalité.

Alors voilà… quinze groupes de hackers prennent leur “retraite” mais vous le savez aussi bien que moi, même quand le rideau tombe, les acteurs sont toujours derrière, prêts pour attaquer le prochain acte. C’est pour cela que quelque chose me dit qu’on n’a pas fini d’entendre parler d’eux…