Cet article a été réalisé en collaboration avec Proton VPN
Pour cette édition du Black Friday, Proton a décidé de rendre plus accessibles les outils de protection de la vie privée. En témoigne la baisse de prix importante (-75 %) accordée actuellement sur le prix de l’abonnement à Proton VPN et au reste de son écosystème.
Cet article a été réalisé en collaboration avec Proton VPN
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Wallix, spécialiste de la sécurisation des identités et des accès rachète Malizen, spécialisée dans l’analyse comportementale des utilisateurs grâce à l’intelligence artificielle. L’opération, d’une valeur de 1,6 million € va renforcer les capacités d’analyse proactive et de détection de menaces au sein des solutions du groupe.
Basée à Rennes au cœur du Pôle d’excellence cyber, Malizen est issue de travaux de recherche menés à l’Inria et de l’Université de Rennes 1, sous la direction de son fondateur Christopher Humphries. Sa technologie, dite de User Behaviour Analytics, repose sur l’analyse du comportement des utilisateurs -humains et machines – pour identifier les anomalies et anticiper les cyberattaques.
Wallix prévoit d’intégrer ces capacités dès 2026 dans ses suites logicielles IAM (Identity and Access Management) et PAM (Privileged Access Management) pour renforcer la résilience des infrastructures IT et OT de ses clients.
Le rapprochement doit permettre à Wallix d’adresser plus efficacement plusieurs segments de marché : les grands comptes confrontés à des volumes d’accès élevés, les entreprises industrielles soucieuses d’autonomie stratégique et les MSP cherchant à renforcer leur capacité d’analyse à grande échelle.
The post Wallix mise sur l’IA de Malizen pour renforcer ses solutions appeared first on Silicon.fr.
Les chercheurs de Cato Networks viennent de publier leurs travaux sur une nouvelle technique d’attaque baptisée HashJack, et l’idée c’est d’exploiter les fragments d’URL, vous savez le petit # suivi d’un truc à la fin des adresses web, pour injecter des instructions malveillantes dans les assistants IA intégrés aux navigateurs.
En temps normal, tout ce qui se trouve après le # dans une URL ne quitte jamais votre navigateur et c’est utilisé pour naviguer vers une section précise d’une page web, et les serveurs web ne voient jamais cette partie. Du coup, les outils de sécurité réseau non plus. Et c’est justement là que ça devient vicieux…
Car les assistants IA comme Gemini dans Chrome, Copilot dans Edge ou Comet de Perplexity ont accès à l’intégralité de l’URL, fragment compris. Un attaquant peut donc crafter une URL d’apparence légitime avec des instructions cachées après le #, et quand vous demandez à votre assistant IA de vous aider avec cette page, il va gentiment exécuter les commandes planquées. Cato Networks décrit ça comme la première injection de prompt indirecte capable de transformer n’importe quel site légitime en vecteur d’attaque.
D’après les tests de l’équipe de Cato, les scénarios d’attaque possibles sont variés puisque ça va du phishing classique où l’assistant vous donne un faux numéro de téléphone à appeler, à l’exfiltration de données vers des serveurs contrôlés par l’attaquant. Y’a aussi la désinformation avec de fausses infos boursières ou médicales, ou encore des instructions détaillées pour installer des backdoors.
Bref, c’est le jackpot pour les attaquants.
Niveau compatibilité de l’attaque, les trois principaux touchés sont Gemini pour Chrome, Copilot pour Edge et Comet de Perplexity. Bonne nouvelle quand même, Claude pour Chrome et Atlas d’OpenAI ne sont pas vulnérables, puisqu’iils n’accèdent pas directement aux fragments d’URL.
Côté réponse des éditeurs, c’est un peu le grand écart puisque Perplexity a classé le problème comme critique et a appliqué un correctif, Microsoft a fait pareil pour Copilot fin octobre mais par contre, Google a décidé de classer ça comme un “comportement attendu” et a marqué le bug en “Won’t Fix”.
Argh !! Donc si vous utilisez Gemini dans Chrome, vous êtes toujours exposé les amis !
Après faut relativiser quand même car l’attaque nécessite plusieurs étapes d’interaction de la part de l’utilisateur. C’est pas juste cliquer sur un lien et hop vous êtes pwned. Il faut visiter la page vérolée ET demander à l’assistant IA d’interagir avec le contenu. Mais bon, vu que de plus en plus de gens utilisent ces assistants pour des tâches quotidiennes, le risque existe.
D’ailleurs, HashJack s’inscrit dans une tendance plus large. Brave a publié une étude montrant que l’injection de prompt indirecte est un défi systémique pour toute la catégorie des navigateurs boostés à l’IA et des techniques similaires ont été testées avec succès contre Atlas de ChatGPT et d’autres. Même le CISO d’OpenAI admet que, je cite “l’injection de prompt reste un problème de sécurité non résolu à la frontière de la recherche”.
Voilà, si vous utilisez un Navigateur IA, soyez vigilant sur les URLs bizarres qu’on vous envoie et si c’est Gemini dans Chrome, peut-être qu’il vaut mieux attendre que Google se décide à considérer ça comme un vrai problème de sécu… ces fous !
Dans un rapport publié le 24 novembre 2025, l’équipe de recherche de la société de cybersécurité Morphisec revient sur une vaste campagne cybercriminelle visant les utilisateurs de Blender. Ce logiciel de conception 3D open source est largement utilisé par les freelances ainsi que par certaines entreprises du secteur de l’animation et du jeu vidéo.
Bon, j’étais un petit peu occupé aujourd’hui parce que c’est mercredi et c’est le jour des enfants, mais je ne pouvais pas finir ma journée sans vous parler de cette histoire incroyable.
Si vous faites partie des gens qui utilisent des sites comme JSONFormatter ou CodeBeautify pour rendre votre JSON lisible ou reformater du code, et bien figurez-vous que des chercheurs en sécu viennent de découvrir que ces outils ont laissé fuiter des tonnes de données sensibles durant des années. Et quand je dis tonnes, c’est pas une figure de style puisque ce sont plus de 80 000 extraits de code contenant des credentials en clair qui ont fuité, soit plus de 5 Go de données.
En effet, les chercheurs de WatchTowr ont découvert que la fonction “Recent Links” de ces plateformes permettait d’accéder à tous les bouts de code collés par les utilisateurs. Les URLs suivaient un format prévisible, ce qui rendait le scraping automatique hyper fastoche pour n’importe qui, et c’est comme ça qu’on a découvert que JSONFormatter a exposé durant 5 ans de données les données de ses utilisateurs. Et du côté de CodeBeautify, ça a duré 1 an.
Les chercheurs ont mis la main sur des identifiants Active Directory, des identifiants de bases de données et services cloud, des clés privées de chiffrement, des tokens d’accès à des repos Git, des secrets de pipelines CI/CD, des clés de passerelles de paiement, des tokens API en pagaille, des enregistrements de sessions SSH, et même des données personnelles de type KYC. Bref, le jackpot pour un attaquant, quoi.
Et côté victimes, c’est un festival puisqu’on y retrouve des agences gouvernementales, des banques, des assurances, des boîtes d’aéronautique, des hôpitaux, des universités, des opérateurs télécom… et même une entreprise de cybersécurité. On a même retrouvé les credentials AWS d’une bourse internationale utilisés pour leur système Splunk, ainsi que des identifiants bancaires provenant de communications d’onboarding d’un MSSP (Managed Security Service Provider). C’est cocasse comme dirait Macron.
Et pour prouver que le problème était bien réel et exploitable, les chercheurs de WatchTowr ont utilisé un service appelé Canarytokens dont je vous ai déjà parlé. Ils ont implanté de faux identifiants AWS sur les plateformes et ont attendu de voir si quelqu’un y accédait…
Résultat, quelqu’un a tenté de les utiliser 48 heures après que les liens étaient censés avoir expiré, et 24 heures après leur suppression supposée. Les données restaient donc accessibles bien au-delà de ce que les utilisateurs pouvaient imaginer.
Et le pire dans tout ça c’est qu’au moment de la publication des articles, les liens “Recent Links” étaient toujours accessibles publiquement sur les deux plateformes. Bref, aucune correction n’a été déployée.
Donc, voilà, si vous avez utilisé ces outils par le passé et que vous y avez collé du code contenant des identifiants et autres clés API (même par inadvertance), c’est le moment de faire une petite rotation de vos secrets.
Et même si c’est une évidence, de manière générale, évitez de balancer du code sensible sur des outils en ligne dont vous ne maîtrisez pas la politique de conservation des données.
Ghost in the Shell avait déjà tout compris à la cybersécurité, entre piratage massif, analyse des logiciels malveillants et espionnage 2.0 qui rappellent les méthodes actuelles. Un classique cyberpunk prémonitoire.
Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !
Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !
Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.
Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.
Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.
Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.
Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.
Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.
Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.
CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.
Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.
Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.
Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.
La nuit du 10 au 11 novembre 2025 restera gravée dans les mémoires des utilisateurs de Weda. Vers 23h30, l’éditeur a détecté une activité inhabituelle sur certains comptes utilisateurs, laissant penser à des tentatives d’accès non autorisés. La réaction a été immédiate : suspension totale de l’accès à la plateforme. Un black-out qui durera jusqu’au vendredi 14 novembre au matin, avec un retour en mode très dégradé.
Pour les 23 000 professionnels de santé concernés sur les 85 000 utilisateurs revendiqués par Weda, filiale du groupe Vidal depuis 2019, l’impact est brutal. Les cabinets médicaux ont basculé sur papier pendant près d’une semaine, privés de leurs dossiers patients informatisés, de l’historique des consultations, des résultats d’examens et des prescriptions antérieures.
Philippe Mauboussin, médecin généraliste dans l’Eure, résume la situation à l’AFP, avec une métaphore : perdre l’accès au logiciel professionnel équivaut à perdre l’eau et l’électricité tout en ayant 15 personnes à dîner le soir. Les praticiens se sont retrouvés à consulter « à l’aveugle », sans accès aux antécédents médicaux, aux traitements en cours ou aux doses prescrites.
Contrairement aux ransomwares qui ont défrayé la chronique ces derniers mois dans le secteur hospitalier, l’intrusion proviendrait d’identifiants utilisateurs compromis. Plusieurs comptes de professionnels auraient été piratés via des logiciels malveillants installés sur leurs postes de travail, permettant aux hackers de voler leurs mots de passe Weda.
À ce stade, aucun groupe de cybercriminels n’a revendiqué l’attaque, et l’éditeur n’a pas évoqué de demande de rançon. La question cruciale demeure sans réponse claire : des données ont-elles été exfiltrées ? Weda reste évasif sur ce point, évoquant une possible « extraction partielle » sans confirmer formellement l’ampleur d’une éventuelle fuite.
Pourtant, certaines structures sanitaires comme la maison de santé de Saint-Jean-en-Royans rapportent une perte de confidentialité sur un serveur et une consultation éventuelle de données. Les informations en jeu sont particulièrement sensibles : dossiers médicaux complets, pathologies, traitements, résultats d’examens, numéros de Sécurité sociale.
Cet incident ravive les débats sur la fiabilité des outils numériques dans le secteur de la santé. Le docteur Bernard Huynh, président de la FMF-Spé, pointe du doigt une asymétrie problématique : les éditeurs de logiciels subventionnés dans le cadre du Ségur du numérique n’ont pas d’obligation de continuité de service, contrairement aux médecins.
Le syndicat MG France déplore la fragilité des systèmes d’information en santé « tout en ligne », alors que l’usage de ces outils devient progressivement obligatoire pour les praticiens. Un paradoxe que souligne Bernard Huynh : l’État et l’Assurance maladie misent tout sur le numérique, mais les médecins constatent quotidiennement les failles du système.
Depuis le 14 novembre, l’accès aux dossiers a été priorisé, mais des fonctions comme la facturation restent entravées. Weda a déployé des procédures manuelles pour limiter les retards et ferme désormais sa plateforme chaque nuit de 22h à 7h. L’entreprise a informé l’ANSSI et la CNIL, déposé plainte et fait appel à des experts en cybersécurité pour renforcer ses protocoles d’authentification.
Pour les cabinets médicaux, l’après-crise impose de nouvelles contraintes : changement obligatoire de tous les mots de passe, vérification de l’intégrité des dossiers, surveillance accrue des tentatives de phishing ciblé. Les maisons de santé pluri-professionnelles doivent désormais activer leurs plans de continuité d’activité et revoir leurs clauses contractuelles.
« Encore une vulnérabilité liée à la supply chain qui offre une porte d’entrée à de potentiels attaquants, et qui rappelle une fois de plus la fragilité des services essentiels. Ce cas est d’autant plus insidieux que des professionnels de santé indépendants et de petits centres médicaux, entièrement dépendants de leur solution SaaS médicale et pas nécessairement équipés de défenses de cybersécurité, en sont les victimes indirectes.» estime Bernard Montel, CTO EMEA chez le spécialiste du cyber risque Tenable.
« Cet épisode rappelle à quel point les prestataires technologiques jouent un rôle essentiel dans des secteurs comme la santé. Cela illustre également l’importance de la directive NIS2 et de sa transposition en France. La résilience des fournisseurs tiers est un enjeu majeur pour garantir la continuité des services médicaux. » ajoute-t-il.
The post Comment une cyberattaque a paralysé 23 000 professionnels de santé appeared first on Silicon.fr.
Le baromètre 2025 d’IFOP pour Talan a fait apparaître que 43 % des utilisateurs d’IA génératives le font dans leur cadre professionnel. 52 % des utilisateurs en entreprise sont encouragés à le faire, mais seulement 15 % d’entre eux ont été formés et seulement 9 % des salariés disposent d’outils mis à disposition par leur organisation.
Ne pas s’emparer du sujet va mécaniquement pousser les collaborateurs vers ce que l’on appelle désormais le Shadow AI. Une étude menée au quatrième trimestre 2024 par Harmonic Security analysant les prompts envoyés aux principaux LLM a montré que 45,8 % des requêtes risquaient d’exposer des données clients, notamment liées à la facturation et à leur authentification, et 26,8 % des prompts composaient des données RH liées à la paie, à des identifiants personnels…
Outre un nécessaire effort de sensibilisation et de formation, les RSSI doivent mettre en place des outils pour éviter autant que possible toute fuite de données issue de ces nouveaux usages. Ce phénomène du Shadow AI pose avant tout celui de la visibilité : savoir qui fait quoi dans l’organisation.
Editeur spécialisé dans la découverte des assets numériques des entreprises, Tenable, a intégré cette problématique de fuite de donnée via les IA : « Notre plateforme couvre deux grands cas d’usages liés à l’IA : d’une part le Shadow AI et ce que l’on appelle l’AI SPM (Security Posture Management) » explique Bernard Montel, directeur technique EMEA et stratégiste chez Tenable. Cette brique vise à évaluer le niveau d’exposition de l’IA dans le Cloud et pour accélérer son développement dans ce domaine, Tenable vient de mener l’acquisition de la société Apex, spécialisée dans ces cas d’usage IA.
Pour Xavier Daspre, directeur technique de Proofpoint, beaucoup d’entreprises ont ouvert les vannes de l’IA générative et doivent maintenant s’équiper pour savoir si leurs collaborateurs diffusent des informations confidentielles vers ces services.
L’éditeur travaille sur 3 vecteurs : la messagerie, son domaine historique, le CASB pour la protection des applications Cloud, et la protection endpoint. « Ces deux derniers vecteurs permettent de couvrir les cas d’usage liés à la GenAI. La solution va analyser les données pour trouver, par exemple, les données à caractère personnel et anonymiser le document. »
Proofpoint a réalisé l’acquisition de Normalyze en octobre 2024 et a mis la main sur sa solution DSPM (Data Security Posture Management). Celle-ci identifie les LLM mis en œuvre par les collaborateurs et analyse en temps réel les données qui transitent vers leurs API.
Venu du CASB, Netskope s’est tout naturellement intéressé à la protection des fuites de données à destination des LLM.
« Au départ, toutes les IA génératives comme ChatGPT, Gemini et Copilot étaient des applications SaaS, or nous disposons déjà des outils nécessaires pour intercepter, inspecter et appliquer des politiques au trafic des applications SaaS » argumente Ray Canzanese, directeur du Netskope Threat Labs. « Nous pouvions donc déjà détecter les menaces et les violations de la politique des données et, par exemple, guider les utilisateurs qui utilisent des solutions d’IA non approuvées vers les solutions approuvées. »
Proofpoint a étendu son offre de Cloud Security Posture Management à l’IA et vient concurrencer les offres dites d’AI-SPM qui commencent à apparaître sur le marché, parmi lesquelles celles de Palo Alto Networks, Tenable ou de Wiz.
—————————–
Adrien Porcheron, General Manager France de Cato Networks« Il faut tenir compte du chiffrement des données. »
|
———————————
Ray Canzanese, directeur du Netskope Threat Labs« À ce jour, nous avons étudié plus de 1 500 applications Gen AI distinctes. »
|
The post Comment le Shadow AI fait exploser le risque de fuite de données appeared first on Silicon.fr.
Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.
Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.
Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !
Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !
Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.
Ah et au fait, n’oubliez pas d’installer Firefox , c’est mieux quand même !
Merci à Lorenper pour le partage !
Le 21 novembre 2025, l'Association internationale pour la recherche cryptologique (IACR) s'est fendue d'un communiqué pour annoncer l'annulation de son élection annuelle à la direction. La raison ? Un des membres du comité électoral «a irrémédiablement perdu sa clé privée» permettant d'accéder aux résultats du scrutin.
Connexion
« Nous avons ainsi lancé en début d’année 2 nouvelles fonctionnalités liées à notre module DLP pour répondre aux besoins des clients qui doivent gérer l’adoption de l’IA dans leur organisation. Celles qui ne classifient pas toutes leurs données prennent le risque de voir leurs collaborateurs envoyer des informations confidentielles à destination des IA et exposer des données sensibles au monde extérieur.
« Avec notre DSPM, nous disposions de tous les éléments nécessaires pour sécuriser les services d’IA générative lorsqu’ils ont commencé à arriver sur le marché. Nous n’avions qu’un petit delta à développer pour les couvrir. Cela nous a donné une longueur d’avance pour couvrir cet espace de manière exhaustive. Notre base de données CCI (Cloud Confidence Index) référence tous les services SaaS et lorsque toutes ces applications d’intelligence artificielle sont arrivées sur le marché, nous les avons simplement ajoutées.