80 % des responsables informatiques ont déclaré que les attentes de leur direction ont augmenté au cours des 12 derniers mois. Seulement 38 % considèrent leurs systèmes en place parfaitement capables de répondre à ces nouvelles exigences. Tribune – Netskope, un leader de la sécurité et des réseaux modernes pour l’ère du cloud et de l’IA, publie une […]

The post IA : augmentation des exigences sur l’infrastructure IT des entreprises face aux technologies d’ancienne génération qui peinent à répondre aux besoins de résilience, de performance et de sécurité first appeared on UnderNews.

80 % des responsables informatiques ont déclaré que les attentes de leur direction ont augmenté au cours des 12 derniers mois. Seulement 38 % considèrent leurs systèmes en place parfaitement capables de répondre à ces nouvelles exigences. Tribune – Netskope, un leader de la sécurité et des réseaux modernes pour l’ère du cloud et de l’IA, publie une […]

The post IA : augmentation des exigences sur l’infrastructure IT des entreprises face aux technologies d’ancienne génération qui peinent à répondre aux besoins de résilience, de performance et de sécurité first appeared on UnderNews.

La découverte de WhisperPair , une vulnérabilité affectant les casques Bluetooth de plusieurs marques, menace un grand nombre d'utilisateurs et nous rappelle un aspect souvent négligé : la sécurité des accessoires que nous utilisons au quotidien. Des chercheurs de l'Université de Louvain , en Belgique, ont en effet analysé le mécanisme d'appairage et ont détecté une faille qui permet à un inconnu de prendre le contrôle de l'accessoire en quelques secondes . Cette vulnérabilité affecte les produits utilisant Google Fast Pair , le système qui facilite l'appairage via Bluetooth Low Energy . Ce mécanisme reconnaît automatiquement les accessoires compatibles et les associe au compte Google de l'utilisateur . Le problème survient lorsque le casque ne vérifie pas si la demande de synchronisation arrive en mode appairage . De nombreux modèles n'effectuent pas cette vérification ou l'effectuent de manière incomplète, ce qui permet l'utilisation d'appareils non autorisés. Dans ce cas de figure, un pirate peut connecter les écouteurs à son appareil, tel qu'un ordinateur portable, sans aucune confirmation du propriétaire des écouteurs. L'accessoire répond à la demande et établit la connexion, tandis que le propriétaire légitime perd le contrôle sans s'en rendre compte. Une fois l'accès obtenu, l'attaquant peut diffuser du son , régler le volume ou activer le microphone sur les modèles compatibles. La seule restriction est de rester à moins de 14 mètres de la victime. La faille ne se limite pas au contrôle du casque. Certains modèles intégrant Google Find Hub deviennent un outil potentiel de géolocalisation . Si un accessoire n'est pas encore connecté à un appareil Android, un pirate peut l'associer à son compte et exploiter les données des appareils à proximité pour suivre ses déplacements . Les notifications de suivi indésirables n'offrent pas de protection immédiate. Le système signale la présence d'un appareil étranger, mais attribue l'alerte à l'appareil de la victime, ce qui peut facilement prêter à confusion (même si nous nous trouvons dans des cas extrêmes). Selon les chercheurs, la présence de cette vulnérabilité dans des produits certifiés suggère un défaut systémique dans le processus d'examen Google Fast Pair , qui n'a pas permis d'identifier cette faiblesse ni lors de la mise en œuvre ni lors de la validation. Le problème est connu depuis août 2025 , date à laquelle Google l'a classé sous la référence CVE-2025-36911 , mais des questions subsistent quant à l'efficacité des mises à jour publiées. Plusieurs fabricants ont publié une mise à jour logicielle , mais tous les appareils vulnérables ne sont pas encore concernés. Parmi les marques touchées figurent Sony , Jabra , JBL , Marshall , Xiaomi , Nothing , OnePlus , Soundcore , Logitech et Google . Cependant, cette technique présente des limites : elle nécessite une proximité immédiate et doit être exécutée rapidement. Les accessoires les plus récents intègrent des boutons physiques pour activer le mode appairage , souvent accessibles uniquement lorsque les écouteurs sont dans leur étui, ce qui rend difficile toute intervention discrète. De nombreuses applications dédiées affichent également les appareils actuellement connectés à l'accessoire, une vérification utile pour repérer les comportements suspects. Les produits de la même marque peuvent s'appairer presque instantanément même sans Fast Pair, mais la connexion peut ne pas aboutir lorsque les écouteurs sont dans leur étui fermé . Toutefois, si le jumelage illicite a eu lieu précédemment, il est toujours possible de localiser l'accessoire via Find Hub , à condition qu'il soit allumé et compatible. Les utilisateurs Apple qui utilisent des accessoires compatibles avec Fast Pair sans les connecter à un compte Google courent un risque accru. Ceux qui ont déjà synchronisé leurs écouteurs, mis à jour l'application et installé le dernier firmware ne courent aucun risque supplémentaire. (Lire la suite)

La Commission européenne a dévoilé son projet de révision du Cybersecurity Act qui prévoit l’élimination progressive des équipements fournis par des entreprises jugées à haut risque dans les secteurs critiques.

Sans nommer explicitement de pays ou d’entreprises, ces mesures devraient principalement affecter les géants chinois des télécommunications Huawei et ZTE.

« Avec ce nouveau paquet cybersécurité, nous disposerons des moyens nécessaires pour mieux protéger nos chaînes d’approvisionnement critiques en technologies de l’information et de la communication, mais aussi pour combattre les cyberattaques de manière décisive », affirme Henna Virkkunen, la commissaire européenne chargée du numérique.

Le texte s’appliquera à dix-huit secteurs clés identifiés par la Commission, parmi lesquels les équipements de détection, les véhicules connectés et automatisés, les systèmes d’approvisionnement en électricité et en eau, les drones, les services de cloud computing, les dispositifs médicaux ou encore les semi-conducteurs.

Des délais de transition variables

Selon le projet, les opérateurs de téléphonie mobile disposeront de trente-six mois à compter de la publication de la liste des fournisseurs à haut risque pour retirer les composants essentiels provenant de ces entreprises. Les calendriers pour les réseaux fixes, incluant la fibre optique et les câbles sous-marins, ainsi que pour les réseaux satellitaires, seront annoncés ultérieurement.

Les restrictions ne s’appliqueront qu’après une évaluation des risques initiée soit par la Commission, soit par au moins trois pays membres. Les mesures prises devront s’appuyer sur une analyse de marché et une étude d’impact.

L’exécutif européen avait déjà adopté en 2020 une boîte à outils de mesures de sécurité pour les réseaux 5G visant à limiter l’utilisation de fournisseurs à haut risque comme Huawei, en raison de préoccupations relatives à d’éventuels sabotages ou actes d’espionnage. Toutefois, certains pays n’ont toujours pas retiré ces équipements, notamment en raison des coûts élevés que cela représente.

L’Espagne a même signé l’été dernier un contrat de douze millions € avec Huawei pour la fourniture de matériel destiné au stockage des écoutes autorisées par les tribunaux pour les services de police et de renseignement.

Pékin dénonce un « protectionnisme pur et simple »

La Chine n’a pas tardé à réagir. Le ministère chinois des Affaires étrangères a qualifié les restrictions imposées aux entreprises chinoises sans base juridique de «protectionnisme pur et simple », exhortant l’UE à fournir un environnement commercial équitable, transparent et non discriminatoire aux sociétés chinoises.

Pékin avait déjà déclaré en novembre qu’une telle initiative violerait les principes du marché et les règles de la concurrence loyale, soulignant que le retrait d’équipements chinois dans certains pays avait entravé leur développement technologique et entraîné des pertes financières importantes.

L’Europe entre deux dépendances

Cette initiative s’inscrit dans un mouvement plus large de Bruxelles visant à réduire sa dépendance tant vis-à-vis de la Chine que des grandes entreprises technologiques américaines. L’Allemagne a récemment nommé une commission d’experts pour repenser sa politique commerciale envers Pékin et interdit l’utilisation de composants chinois dans les futurs réseaux 6G.

Les États-Unis ont quant à eux banni en 2022 les approbations de nouveaux équipements de télécommunications de Huawei et ZTE.

Reste que la mise en œuvre de ces restrictions pourrait s’avérer complexe. Plus de quatre-vingt-dix pour cent des panneaux solaires installés dans l’UE sont fabriqués en Chine. Certains représentants de l’industrie soulignent également le manque d’alternatives viables, les opérateurs télécoms ayant mis en garde contre l’impact potentiel sur les prix à la consommation.

Le projet de loi doit encore être approuvé par les pays membres et le Parlement européen dans les mois à venir avant de devenir contraignant. Les calendriers proposés devraient faire face à la résistance de certaines capitales européennes, les États membres étant responsables de leur propre sécurité nationale.

The post Cybersécurité : l’UE va durcir le ton face aux équipementiers chinois appeared first on Silicon.fr.

En 2024, le cabinet Gartner déclarait que les organisations devaient commencer leur transition vers l’informatique quantique car le chiffrement asymétrique ne sera plus sécurisé dès 2029 et totalement déchiffrable d’ici à 2034. C’est également dans cette optique que l’ANSSI a déclaré cette année que les solutions qui ne seraient pas résistantes face à la menace quantique ne seraient plus conformes et certifiées par l’agence.

Ces prises de position laissent entendre que l’informatique quantique sera bientôt une réalité, ouvrant d’incroyables perspectives d’innovation, de l’optimisation du trafic à l’accélération de la découverte de nouveaux médicaments. Toutefois, cette technologie ne séduit pas que des acteurs bien intentionnés. Les cybercriminels sont à l’affût, puisque les ordinateurs quantiques leur permettront de démanteler tous les systèmes de chiffrement qui protègent internet actuellement.

L’avenir de la menace : piller dès aujourd’hui pour déchiffrer demain

La majorité des chiffrements modernes dépendent d’algorithmes asymétriques pour l’échange de clés de session. Leur sécurité repose ainsi sur le fait que les ordinateurs actuels sont incapables de factoriser le produit de deux très grands nombres premiers dans un délai raisonnable.

Les plus grands ordinateurs quantiques actuels comptent 1 000 qubits et ne sont stables que pendant une à deux millisecondes. Ils ne présentent donc aucun risque contre les algorithmes les plus courants pour l’échange de clés. Cependant, un ordinateur quantique doté d’environ 20 millions de qubits physiques stables pourrait déchiffrer ces algorithmes d’échange de clés en environ huit heures, grâce aux étonnantes propriétés de la physique quantique. Et les acteurs malveillants se préparent déjà activement à profiter de ces capacités.

À l’aube de cette nouvelle menace, l’approche des cybercriminels suit une logique simple : piller un maximum de données dès aujourd’hui pour les déchiffrer demain, lorsque la technologie le leur permettra.

En effet, tout ce qui est publié sur en ligne est enregistré, et les attaquants interceptent et stockent d’ores et déjà ces informations encore impossibles à exploiter, dans l’espoir de pouvoir les déchiffrer sans effort d’ici quelques années.

Beaucoup d’experts du secteur estiment que dans six ou huit ans un ordinateur quantique suffisamment puissant et stable pour une utilisation généralisée devrait exister. Une fois que ce sera le cas, toutes les données mises de côté par les cybercriminels deviendront accessibles, ce qui pourrait avoir des conséquences dévastatrices.

Renforcer la crypto-agilité

La cryptographie post-quantique repose sur divers types de problèmes suffisamment complexes pour tenir tête aux capacités de ces nouvelles machines.

Une nouvelle génération d’outils de chiffrement basés sur des algorithmes quantiques sécurisés approuvés par l’Institut américain des normes et de la technologie (NIST) et par l’ANSSI et conçus pour résister aux attaques menées à l’aide d’ordinateurs quantiques se développent. Toutefois, le déploiement d’algorithmes quantiques sécurisés ne se résume pas à une simple mise à niveau des systèmes de sécurité ni à un changement réalisable en 24 h. Il est nécessaire dès aujourd’hui, pour les organisations, d’œuvrer au renforcement de la crypto-agilité.

Cette dernière désigne une capacité à changer rapidement et en toute sécurité les méthodes de chiffrement chaque fois qu’apparaissent de nouvelles menaces, et cela sans perturbation des workflows ni dépassement de budget. Fini le temps où les dirigeants se contentaient d’installer un système de protection pour ne plus y penser.

À mesure que les algorithmes de chiffrement post-quantique (PQC) existants et à venir commenceront à apparaître dans les produits, les paramètres par défaut évolueront et les menaces prendront de nouvelles formes. Si les organisations n’ont pas commencé à développer leur agilité d’ici là, la transition risque d’être rude.

Tous les directeurs techniques, DSI et autres responsables de la sécurité informatique doivent dresser au plus vite un état des lieux de leur infrastructure numérique et se poser la question : « Quels sont les systèmes chiffrés vulnérables ? » La réponse n’ira pas toujours de soi.

Il convient avant tout de se concentrer sur les données circulant hors de l’organisation. Les attaquants qui pillent des données en vue d’un déchiffrement futur ciblent en priorité les données en mouvement, circulant sur internet, entre différents services ou dans le cloud.

Les données confinées à un réseau bien défendu présentent généralement moins de risques, du moins pour l’instant. Comme les flux de données externes constituent la plus grande exposition quantique, c’est sur eux que doivent porter les efforts en priorité, que ce soit en interne ou dans les relations avec les prestataires et fournisseurs.

L’amélioration de la crypto-agilité ne doit pas se cantonner aux fichiers et dossiers. L’objectif est de préserver l’intégrité de chaque handshake de connexion, de chaque en-tête et de chaque dépendance cachée dans la pile. Tout élément touché, traversé ou habité par des données doit être passé au crible de l’imminence quantique.

L’agilité comme avantage stratégique

Les entreprises qui misent tout sur l’IA et les données ne pourront pas faire l’impasse sur la résilience quantique. Les données ne pourront effectivement nourrir leur croissance que si elles restent durablement sécurisées, conformes et fiables. La PQC relève ainsi d’une logique de préparation au futur plutôt que d’une simple posture de défense. Son adoption montre la capacité à projeter l’activité dans un avenir reconfiguré, où il serait catastrophique de ne pas pouvoir garantir l’intégrité des données.

Heureusement, des pistes d’action sont déjà disponibles. Il y a un an, le NIST publiait sa première série de normes PQC. Le mécanisme d’encapsulation de clés basé sur un réseau de modules (ML-KEM, anciennement CRYSTALS-Kyber), norme par défaut pour l’échange de clés, remplacera les algorithmes RSA et ECC pour sécuriser le chiffrement TLS à long terme. Toutefois, la sécurité dépend également des interactions externes. Il est essentiel de collaborer avec des fournisseurs et partenaires cloud au fait des dernières normes de sécurité quantique et utilisant des algorithmes certifiés et fiables.

Afin de se préparer au mieux face à la menace quantique, les organisations doivent commencer par passer en revue leurs systèmes en recensant précisément tous les outils où le chiffrement est utilisé, en gardant à l’esprit que les vulnérabilités se trouvent souvent dans les intervalles. C’est pourquoi il est crucial d’intégrer dès aujourd’hui le principe des algorithmes quantiques sécurisés dans toutes les initiatives de sécurité.

En externe, être intransigeant avec les prestataires et fournisseurs sera primordial, en leur ne se contentant pas de leur demander s’ils envisagent des initiatives PQC mais en exigeant de savoir comment et à quelle échéance ils comptent les mettre en œuvre. Car, une fois que l’informatique quantique aura franchi le cap du potentiel pour devenir une réalité, il sera trop tard pour protéger les données déjà exposées.

*Stanley Nabet est Country Manager France chez Netskope

The post { Tribune Expert } – La crypto-agilité, le futur à envisager dès aujourd’hui appeared first on Silicon.fr.

Discord utilise un prestataire externe pour vérifier l'âge de ses utilisateurs.
Ce prestataire exige des copies de la carte d'identité. 70000 de ces cartes viennent de fuiter sur le net, y compris des mineurs. Copies de cartes d'identité qui sont maintenant accessibles des escrocs et des éventuels pédophiles.
Alors, ça y est, est-ce que ça a bien protégé les enfants, là ?
(Permalink)

Les années passent… et il y a encore du NTLMv1 qui traîne.

Mandiant a récemment émis un rappel à ce sujet… et l’a accompagné de rainbow tables. Il y en a pour environ 100 Go de données, sous licence CC BY 4.0, téléchargeables via la console Google Cloud ou l’outil gsutil (elles sont dans des buckets GCP).

Promesse : grâce à ces tables, récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Une méthode alternative aux attaques par force brute avec hashcat et C^ie. Lesquelles sont moins efficaces à mesure que la longueur des secrets augmente.

Pour quelques rainbow tables de plus

Les rainbow tables de Mandiant semblent cibler les mots de passe de 7 caractères de longueur.

Le projet RainbowCrack – une référence dans le domaine, intégré à notamment à Kali Linux – va jusqu’à 10 avec ses propres tables. Il annonce des taux de réussite entre 96,8 % et 99,9 %.

Plage de caractères	Nombre de caractères	Taux de réussite	Poids
Ascii 32 à 95	7	99,9 %	52 Go
Ascii 32 à 95	8	96,8 %	460 Go
Majuscules, minuscules, chiffres	8	99,9 %	127 Go
Majuscules, minuscules, chiffres	9	96,8 %	690 Go
Minuscules, chiffres	9	99,9 %	65 Go
Minuscules, chiffres	10	96,8 %	316 Go

NTLM, un grand chantier pour Microsoft

De longue date, la v1 du protocole NTLM est considérée comme insuffisamment sécurisé. Le guide de l’ANSSI sur l’administration des environnements Active Directory résume sa faiblesse : il permet d’obtenir des condensats (hashs) par simple capture du trafic réseau. Dans la pratique, les attaques forceront typiquement l’authentification depuis un objet AD à haut niveau de privilèges, comme un contrôleur de domaine.

NTLMv1 a officiellement été supprimé des OS Microsoft avec Windows 11 24H2 et Windows Server 2025. Mais il y a des restes dans certains scénarios. Entre autres lors de l’utilisation de MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) dans un environnement joint à un domaine. Solution recommandée : déployer Credential Guard… et exploiter les fonctionnalités d’audit, renforcées pour l’occasion.

L’objectif de Microsoft est de désactiver complètement le protocole à terme, pour aller vers Kerberos. Il a fallu adapter ce dernier afin de lui apporter certaines caractéristiques spécifiques de NTLM – qui ont d’ailleurs favorisé son intégration « en dur » par certaines applications. Par exemple, l’absence d’exigence de connexion réseau locale à un contrôleur de domaine. La fonctionnalité dite IAKerb a été introduite à ces fins. Elle permet l’authentification sur un contrôleur de domaine via un serveur mandataire.

Illustration générée par IA

The post Face à la persistance de NTLMv1, Mandiant publie ses rainbow tables appeared first on Silicon.fr.

Oh et merde. C'est pratiquement tous les jours, et plus personne ne semble en avoir rien à foutre. Surtout pas les autorités, ni même les détenteurs de ces fichiers.

EDIT: TOUS. LES. FUCKING. JOURS. : https://bonjourlafuite.eu.org/#Delko-2026-01-20
(Permalink)

L’année 2026 débute sur une note préoccupante pour la cybersécurité des administrations françaises. L’Urssaf a révélé qu’une cyberattaque, ciblant spécifiquement l’interface de programmation (API) du service de déclaration préalable à l’embauche (DPAE) a permis la consultation et l’extraction des données personnelles de 12 millions de salariés français.

Que sait-on de la méthode utilisée ? « Les premières investigations révèlent que l’accès frauduleux à l’API DPAE  a été opéré via un compte partenaire habilité à consulter ces informations. Les identifiants de connexion liés à ce compte avaient été volés lors d’un acte de cyber malveillance antérieur visant ce partenaire. » indique l’Urssaf en précisant que ses systèmes d’information n’ont pas été compromis.

Des données sensibles mais partiellement limitées

Les informations compromises incluent les noms, prénoms, dates de naissance, dates d’embauche ainsi que le numéro SIRET de l’employeur. Toutefois, l’Urssaf tente de rassurer les personnes concernées en précisant que les données les plus sensibles sont restées sécurisées : aucun numéro de Sécurité sociale, coordonnée bancaire, adresse postale, email ou numéro de téléphone n’a été exposé.

Malgré cette limitation apparente, les experts en cybersécurité soulignent que ces informations, même partielles, peuvent servir de base à des campagnes d’hameçonnage (phishing) sophistiquées ou être combinées avec d’autres fuites de données pour faciliter des usurpations d’identité.

La DPAE : un service essentiel au cœur de la faille

La déclaration préalable à l’embauche est une formalité obligatoire que tout employeur doit effectuer dans les huit jours précédant l’embauche d’un salarié relevant du régime général de la Sécurité sociale. Cette déclaration regroupe plusieurs formalités administratives essentielles : demande d’immatriculation de l’employeur, affiliation au régime d’assurance chômage, adhésion à un service de santé au travail, et organisation de la visite d’information et de prévention.

Les employeurs ayant effectué plus de 50 déclarations d’embauche au cours de l’année civile précédente sont obligés de réaliser leurs DPAE en ligne, soit via le portail urssaf.fr, soit via net-entreprises.fr, soit en utilisant l’API DPAE. C’est précisément cette dernière option qui a constitué le vecteur d’attaque exploité par les cybercriminels.

Face à cet incident, l’URSSAF a réagi rapidement en suspendant les accès du compte compromis et en renforçant les habilitations de ses partenaires. L’organisme a également déposé une notification auprès de la Commission nationale de l’informatique et des libertés (CNIL), conformément aux obligations légales en matière de protection des données personnelles, ainsi qu’une plainte auprès du procureur de la République.

L’URSSAF assure que les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement, et que les mesures de sécurité ont été renforcées pour éviter qu’un tel incident ne se reproduise.

Un appel à la vigilance face au phishing

L’URSSAF exhorte les salariés concernés à une extrême prudence face aux tentatives d’hameçonnage. L’organisme rappelle les règles fondamentales de sécurité : ne jamais divulguer ses mots de passe ou informations bancaires par téléphone ou courriel, même si la demande semble provenir d’un organisme officiel.

Les données volées peuvent en effet permettre aux cybercriminels de mener des campagnes de phishing ultra-ciblées, en se faisant passer pour l’Urssaf ou d’autres administrations avec des informations réelles sur leurs victimes, rendant les tentatives d’escroquerie d’autant plus crédibles.

Une série noire pour les organismes publics français

Ce piratage survient dans un contexte de cybermenace accrue contre les acteurs publics français. La semaine dernière, la plateforme Hubee, opérée par la Direction interministérielle du numérique (DINUM) pour l’échange de documents administratifs, a été piratée, exposant 70 000 dossiers représentant 160 000 documents contenant des données personnelles.

La fin de l’année 2025 avait déjà été marquée par le piratage du ministère de l’Intérieur et celui des Sports. Par ailleurs, en novembre 2025, le service Pajemploi de l’Urssaf avait subi un vol de données affectant 1,2 million de salariés de particuliers employeursd’ assistants maternels et de gardes d’enfants à domicile, compromettant des informations telles que les noms, prénoms, dates et lieux de naissance, adresses postales et numéros de Sécurité sociale.

Ces incidents successifs révèlent la vulnérabilité persistante des systèmes d’information des administrations françaises face aux cyberattaques et soulignent l’urgence de renforcer la cybersécurité des services publics numériques.

Que faire si vous êtes concernés ?

Si vous avez été embauché au cours des trois dernières années, vos données figurent potentiellement parmi celles exposées. Redoubler de vigilance face aux emails, SMS ou appels suspects prétendant provenir de l’URSSAF ou d’autres organismes. Ne jamais communiquer d’informations personnelles ou bancaires en réponse à une sollicitation non sollicitée. Vérifier systématiquement l’authenticité des sites web avant de saisir des informations sensibles. Surveiller vos comptes et signaler immédiatement toute activité suspecte. En cas de doute, contacter directement l’URSSAF via les canaux officiels.

The post Piratage de l’Urssaf : 12 millions de salariés exposés via l’API DPAE appeared first on Silicon.fr.

Aujourd'hui, on va parler d'un truc qui gratte un peu : le tracking web.

Vous savez, cette sensation d'être suivi par une armée de régies publicitaires dès qu'on clique sur un article de presse ou qu'on cherche une nouvelle paire de pompes. Bah la CNIL, via son laboratoire d innovation (le LINC), développe depuis 2013 un outil qui permet de mettre des images sur ce sentiment de persécution numérique : CookieViz .

L'outil de dataviz du LINC ( Source )

CookieViz, c'est un logiciel de dataviz en temps réel qui analyse les interactions entre un navigateur et les serveurs distants. Vous naviguez via l'outil (qui embarque son propre navigateur pour la version desktop) et celui-ci débusque les cookies et les requêtes observables envoyées vers des domaines tiers.

Et souvent, le résultat ressemble à un gros plat de cyber spaghettis où chaque fil mène à un tracker différent.

La version 2.3, publiée en juin 2022 (ça date un peu, c'est vrai) reste la référence stable du projet. Le système d'analyse a été revu pour être plus stable et le navigateur intégré est plus sécurisé et la visualisation met en avant le rôle central des places de marché publicitaires dans les mécanismes d'enchères en temps réel (RTB). Vous verrez ainsi comment un seul clic peut déclencher une cascade de connexions vers des acteurs dont vous n'avez jamais entendu parler.

Le projet est open source et disponible sur GitHub ( Source )

Alors oui, pour ceux qui se demandent comment voir les cookies de suivi sans installer un logiciel complet, les navigateurs comme Chrome ou Firefox proposent des outils rudimentaires dans leurs menus de réglages. Mais franchement, à côté de CookieViz, c'est un peu comme essayer de comprendre le trafic routier en regardant par le trou d'une serrure.

Pour les amateurs de bidouille, sachez aussi que c'est du logiciel libre sous licence GPLv3 donc vous pouvez donc aller gratter le code, l'améliorer ou simplement vérifier que la CNIL ne vous espionne pas en douce (ahaha, je plaisante hein...^^).

L'outil est dispo en version desktop pour Windows, Linux et macOS et il existe aussi une extension officiellement publiée pour Firefox , tandis que les utilisateurs de Chrome ou Opera devront passer par une installation manuelle du code depuis la branche Chromium du projet.

Moi j'ai préféré l'installé à la main comme ceci en clonant le projet :

Du MIL-STD et de l’IP, c’est bien ; du Secured-Core, c’est mieux. Dans les environnements critiques, la robustesse physique du PC durci ne suffit plus : la vraie bataille se joue sur le firmware, l’identité et la capacité à garder la main quand un appareil disparaît ou est altéré. Dans le monde professionnel actuel hyperconnecté, […]

L’article Renforcer la résilience en cybersécurité dans les secteurs critiques… <br/><em>Amanda Ward, Getac</em> est apparu en premier sur InformatiqueNews.fr.

En matière de cyber, selon qu’on est CEO ou CISO, on privilégiera la prévention des pertes financières ou la résilience opérationnelle.

Rien d’exceptionnel dans ce constat. Mais il trouve une illustration notable dans le dernier rapport Global Cybersecurity Outlook du Forum économique mondial. D’une année à l’autre, les principales inquiétudes exprimées ont effectivement divergé entre les deux fonctions.

En 2025, les ransomwares étaient en tête de liste chez les CEO comme chez les CISO. Les premiers citaient ensuite fraude / phishing et perturbations de la supply chain. Les seconds faisaient de même, mais dans l’ordre inverse.

Cette année, les ransomwares restent la principale préoccupation des CISO (devant les perturbations de la supply chain et l’exploitation de vulnérabilités logicielles). Ils ne sont, en revanche, plus dans top 3 chez les CEO, qui s’inquiètent en premier lieu de la fraude et du phishing ; puis des vulnérabilités de l’IA et des logiciels.

Des différences entre organisations, il y en a aussi en fonction du niveau de cyberrésilience estimé. Les répondants* qui le jugent élevé ont tendance à craindre avant tout les perturbations de la supply chain. Et, au contraire, à mettre les vulnérabilités IA en dernier sur leur liste. Cependant, si on restreint cet échantillon aux CEO, les vulnérabilités deviennent la crainte numéro un…
Cet « effet CEO » est moins significatif parmi les organisations dont le niveau de cyberrésilience est jugé insuffisant.

La GenAI, désormais crainte en premier lieu pour les fuites de données

Si on zoome sur la GenAI, les inquiétudes des CEO sont plus proches de celles de l’échantillon dans son ensemble.

(Une seule réponse possible)	Fuites de données	Développement des capacités des attaquants	Sécurité technique des systèmes d’IA	Complexification de la gouvernance	Risques de supply chain logicielle	Propriété intellectuelle et responsabilité
Ensemble	34 %	29 %	13 %	12 %	7 %	4 %
CEO	30 %	28 %	15 %	13 %	9 %	6 %

Sur l’ensemble de l’échantillon, l’item « fuites de données » est nettement plus sélectionné que l’an dernier (+ 12 points).

Lorsqu’on leur demande quels risques sont en croissance, les répondants choisissent majoritairement les vulnérabilités de l’IA (87 %). Viennent ensuite :

• Fraude / phishing (77 %)
• Perturbations de supply chain (65 %)
• Vulnérabilités logicielles (58 %)
• Ransomwares (54 %)
• Menaces internes (32 %)
• Déni de service (28 %)

Face au risque de supply chain, la fonction sécurité souvent impliquée dans le processus d’approvisionnement

Concernant le risque sur la supply chain, la hiérarchie des méthodes de gestion est similaire entre niveaux de cyberrésilience, mais avec un écart de 20 à 30 points.

	Évaluation de la maturité cyber des fournisseurs	Implication de la fonction sécurité dans les processus d’achat	Paetages d’informations sur la menace avec les partenaires	Cartographie du niveau d’exposition des partenaires	Simulation d’incidents et/ou d’exercices de récupération avec les partenaires
Ensemble	68 %	65 %	38 %	33 %	27 %
Haute résilience	74 %	76 %	53 %	44 %	44 %
Résilience insuffisante	48 %	53 %	31 %	23 %	16 %
CEO, haute résilience	59 %	70 %	30 %	48 %	44 %
CEO, résilience insuffisante	31 %	31 %	38 %	31 %	6 %

L’adoption de l’IA dans la cyber sert le plus souvent la détection du phishing et des autres menaces sur la messagerie électronique (52 % des sondés ont sélectionné cette réponse parmi 3 maximum). Suivent :

• Détection et réponse aux intrusions ou anomalies (46 %)
• Automatisation des opérations (43 %)
• Analyse du comportement des utilisateurs et détection des menaces internes (40 %)
• Tri du renseignement sur les menaces et priorisation des risques (39 %)
• Autres objectifs (8 %)

Dans 64 % des organisations ici représentées, les outils IA sont évalués avant déploiement (révision unique pour 24 %, périodique pour 40 %). Ce taux passe à 45 % chez celles où le niveau de cyberrésilience est jugé insuffisant.

Le manque de connaissances et/ou de compétences est le premier obstacle à l’adoption de ces outils. 54 % des répondants le citent. Ils sont 41 % à évoquer la nécessité d’une validation humaine des réponses de l’IA avant implémentation.

* 804 répondants dont 544 C-Levels parmi lesquels 316 CISO et 105 CEO.

Illustration générée par IA

The post Cybersécurité : entre CISO et CEO, les priorités divergent appeared first on Silicon.fr.

La généralisation des dispositifs médicaux connectés transforme en profondeur les pratiques de soins, mais expose également les établissements de santé à de nouveaux risques cyber.  En 2024, 749 incidents de cybersécurité affectant des établissements de santé en France ont été déclarés, soit une forte augmentation par rapport à 2023, ce qui illustre la multiplication des […]

The post Cybersécurité des établissements de santé : Keyfactor alerte sur les risques liés à la perte de confiance numérique des dispositifs médicaux first appeared on UnderNews.

À l’échelle mondiale, les organisations apparaissent plutôt confiantes quant à leur cyberrésilience.

Ce constat était ressorti de la première édition du rapport Global Security Outlook réalisé par le Forum économique mondial avec Accenture. C’était en 2022. Les deux tiers des répondants (67 %) estimaient que leur organisation atteignait les exigences minimales. Près d’un sur cinq (19 %) jugeait qu’elle les dépassait. Ils n’étaient que 14 % à déclarer un niveau insuffisant de cyberrésilience.

Depuis, en quatre autres éditions, le niveau de confiance est resté élevé. En 2026, il repart même globalement à la hausse.

	Insuffisant	Remplit les exigences minimales	Dépasse les exigences
2022	14 %	67 %	19 %
2023	21 %	51 %	28 %
2024	25 %	36 %	39 %
2025	22 %	69 %	9 %
2026	17 %	64 %	19 %

La cyberrésilience des États, jugée moins positivement

Pour cette édition 2026, 804 réponses ont été retenues, issues de 92 pays. 544 proviennent de C-levels parmi lesquels 316 CISO* et 105 CEO. Le reste de l’échantillon est constitué par des membres de la société civile et du monde académique, ainsi que des « leaders en cybersécurité » du secteur public.

Si on trie les réponses par secteurs, le secteur privé apparaît plus confiant quant à sa cyberrésilience.

	Insuffisant	Remplit les exigences minimales	Dépasse les exigences
Secteur privé	11 %	67 %	22%
Secteur public et « grandes organisations internationales »	23 %	54 %	24 %
ONG	37 %	55 %	8 %

Les répondants ne jugent pas aussi positivement la cyberrésilience du pays où leur organisation est basée. Ils sont en tout cas 37 % à se dire confiants quant à la capacité de réponse aux incidents touchant des infrastructures critiques (contre 42 % en 2025). Et 31 % à se déclarer non confiants (contre 26 % en 2025).
Si on s’en tient aux CEO du secteur privé, le taux de répondants confiants est un peu plus élevé (43 %, pour 31 % de non confiants).

Le risque géopolitique fait croître les budgets cyber… dans une certaine mesure

Quand on leur demande comment la géopolitique fait évoluer la stratégie de cyberrésilience de leur organisation, les répondants sélectionnent le plus souvent l’item « focus accru sur la threat intelligence liée aux acteurs étatiques » (36 %). Arrivent ensuite :

• Interactions accrues avec les agences gouvernementales ou les groupes de partage de renseignements (33 %)
• Augmentation du budget cyber (21 %)
• Changement – ou intention de changer – de fournisseurs (19 %)
• Arrêt des activités dans certains pays (14 %)

Si on zoome sur les CEO, par niveau de résilience estimé :

	Acteurs étatiques	Gouvernements	Budget	Fournisseurs	Activités
Haute résilience	52 %	48 %	30 %	30 %	19 %
Résilience insuffisante	13 %	6 %	13 %	13 %	6 %

Des défis corrélés au niveau de résilience estimé

Lorsqu’on leur demande de sélectionner au maximum trois éléments qui constituent un défi à la cyberrésilience, les sondés choisissent :

• À 61 %, l’évolution rapide du paysage de la menace et les technologies émergentes
• À 46 %, les vulnérabilités tierces et sur la supply chain
• À 45 %, le manque de compétences
• À 31 %, les systèmes hérités
• À 30 %, le manque de fonds
• À 24 %, le manque de visibilité sur les environnements IT/OT/IoT
• À 24 %, les complexités de conformité et de gouvernance
• À 22 %, une planification insuffisante de la réponse à incident

Dans le secteur privé, on invoque prioritairement le paysage de la menace (59 %), les vulnérabilités tierces (53 %), le manque de compétences (38 %) et le manque de fonds (26 %).
Dans le secteur public et les grandes organisations, la hiérarchie est similaire, sinon que le manque de compétences est nettement plus cité (57 %). Même constat dans les ONG (51 %), où les répondants sont également nombreux à déplorer le manque de fonds (62 %).

Sur l’ensemble de l’échantillon, par niveau de résilience estimé :

	Évolution des menaces	Vulnérabilités tierces	Compétences	Legacy	Fonds	IT/OT/IoT	Gouvernance	Réponse aux incidents
Haute résilience	67 %	71 %	35 %	22 %	14 %	17 %	31 %	15 %
Résilience insuffisante	41 %	23 %	53 %	35 %	52 %	28 %	15 %	37 %

Si on s’en tient aux CEO, toujours par niveau de résilience estimé, l’argument des fonds est plus souvent invoqué :

	Évolution des menaces	Vulnérabilités tierces	Compétences	Legacy	Fonds	IT/OT/IoT	Gouvernance	Réponse aux incidents
Haute résilience	56 %	78 %	19 %	15 %	15 %	19 %	41 %	15 %
Résilience insuffisante	13 %	31 %	56 %	25 %	63 %	56 %	25 %	19 %

* Dont au moins, côté français, Christophe Blassiau (CISO groupe de Schneider Electric), qui a participé à des focus groups en complément au volet qualitatif de l’étude. 

The post Cyberrésilience : des organisations plus confiantes en elles-mêmes qu’envers les États appeared first on Silicon.fr.

La généralisation des dispositifs médicaux connectés transforme en profondeur les pratiques de soins, mais expose également les établissements de santé à de nouveaux risques cyber.  En 2024, 749 incidents de cybersécurité affectant des établissements de santé en France ont été déclarés, soit une forte augmentation par rapport à 2023, ce qui illustre la multiplication des […]

The post Cybersécurité des établissements de santé : Keyfactor alerte sur les risques liés à la perte de confiance numérique des dispositifs médicaux first appeared on UnderNews.

Un simple câble USB ? Pas du tout. C'est une attaque de type HID: le câble USB, branché au PC, se comporte comme un clavier USB et pirate votre ordinateur.
Et cette version du câble est reliée au wifi d'un smartphone pour le contrôller à distance.

Donc n'empruntez pas des câbles USB : Ayez toujours les vôtres.
(Permalink)

Cet article fait partie de ma série spéciale hackers . Bonne lecture !

Un gamin de 15 ans qui pète les serveurs de la NASA pendant que moi, à son âge, j'en était encore à configurer mon modem 56k pour qu'il arrête de faire du bruit en pleine nuit... Jonathan James, alias c0mrade, est devenu le premier mineur emprisonné pour cybercriminalité aux États-Unis... avant, malheureusement, de se suicider à 24 ans parce qu'il pensait qu'on allait l'accuser d'un crime qu'il n'avait pas commis.

Voici l'histoire la plus dingue et la plus tragique du hacking que vous n'avez jamais entendue.

Jonathan Joseph James naît le 12 décembre 1983 à Pinecrest, un quartier cossu de Miami-Dade County. Son père, Robert James, bosse comme programmeur pour le comté... déjà, on sent que l'informatique, c'est de famille. Sa mère, Joanne Jurysta, tient la maison pendant que les deux frangins, Jonathan et Josh, grandissent dans un environnement de classe moyenne supérieure.

Dès 6 ans, Jonathan passe ses journées sur l'ordinateur paternel. Au début, c'est pour jouer, évidemment. Mais très vite, le gamin comprend qu'il peut faire bien plus que lancer des jeux. Il commence à triturer, à fouiller, à comprendre comment ça marche sous le capot. Ses parents, inquiets de voir leur fils scotché à l'écran, décident alors de lui confisquer l'ordinateur quand il atteint ses 13 ans.

Grosse erreur.

Car Jonathan fait une fugue. Il refuse catégoriquement de rentrer à la maison tant qu'on ne lui rend pas son accès à l'informatique. J’imagine la scène avec ces parents complètement dépassés face à un ado qui préfère dormir dehors plutôt que de vivre sans son ordinateur. Bon, ils finissent par craquer, évidemment.

C'est à cette époque que Jonathan se forge son identité de hacker. Il choisit l'alias c0mrade avec un zéro à la place du 'o', parce que dans les années 90, remplacer des lettres par des chiffres, c'était le summum du cool.

Et surtout, il passe ses nuits sur les BBS et les premiers forums de hacking, à échanger avec une communauté underground qui n'a absolument rien à voir avec les script kiddies d'aujourd'hui. C'est une époque où pirater demandait de vraies compétences techniques, pas juste télécharger un exploit sur GitHub.

L'été 1999. Jonathan a 15 ans, les cheveux longs, et une curiosité maladive pour tout ce qui ressemble à un serveur mal configuré. Entre le 23 août et le 27 octobre 1999, il va commettre une série d'intrusions qui vont faire de lui une légende du hacking... et accessoirement, le faire finir en prison.

Pour son méfait, le gamin scanne les réseaux à la recherche de serveurs Red Hat Linux mal patchés et comme en 1999, la sécurité informatique, c'est encore le Far West, les administrateurs système pensent que mettre leur serveur derrière un firewall basique, c'est suffisant.

Sauf que ça ne l'était pas.

Jonathan exploite des vulnérabilités connues pour installer des backdoors c'est à dire des portes dérobées qui lui permettent de revenir à volonté sur les systèmes compromis. Mais le plus fort, c'est qu'il installe aussi des sniffers réseau, des programmes qui interceptent tout le trafic qui passe par le serveur. Mots de passe, emails, données sensibles... tout y passe.

Sa première cible d'envergure ? BellSouth, le géant des télécoms. Puis le système informatique des écoles de Miami-Dade County. Mais c'est quand il s'attaque aux agences gouvernementales que les choses deviennent vraiment intéressantes.

En septembre 1999, c0mrade détecte une backdoor sur un serveur situé à Dulles, en Virginie. Au lieu de passer son chemin, il décide d'aller voir de plus près. Il se connecte, installe son sniffer maison, et se rend compte qu'il vient de compromettre un serveur de la DTRA, c'est à dire la Defense Threat Reduction Agency, une division ultra-sensible du Département de la Défense qui s'occupe d'analyser les menaces NBC (nucléaires, biologiques, chimiques) contre les États-Unis.

Pendant plusieurs semaines, Jonathan intercept plus de 3300 emails entre employés de la DTRA. Il récupère aussi des centaines d'identifiants et mots de passe, ce qui lui permet d'accéder à une dizaine d'ordinateurs militaires supplémentaires. Tout ça sans que personne ne s'en aperçoive.

Mais le clou du spectacle, c'est son intrusion chez NASA.

En juin 1999, Jonathan tombe sur un serveur mal configuré à Huntsville, Alabama. Il l'infecte avec son malware habituel et découvre qu'il vient de compromettre le Marshall Space Flight Center de la NASA. Et c'est pas n'importe lequel puisque c'est celui qui développe les moteurs de fusée et les logiciels pour la Station Spatiale Internationale.

En installant sa backdoor, c0mrade réalise qu'il peut accéder à 12 autres ordinateurs du réseau. Et là, jackpot ! Il met la main sur le code source d'un programme qui contrôle des éléments critiques de l'ISS. On parle du système de contrôle de la température et de l'humidité dans les modules habitables de la station spatiale.

Rien que ça...

Jonathan télécharge l'intégralité du logiciel. Valeur estimée par la NASA : 1,7 million de dollars. Mais attention, ce n'est pas un vol dans le sens classique du terme puisque le gamin ne revend rien, ne détruit rien, ne modifie rien. Il copie, point. Sa philosophie de grey hat hacker de l'époque c'est d'explorer sans nuire.

Sauf que quand la NASA découvre l'intrusion, et ça devient vite la panique à bord. L'agence spatiale est obligée de couper ses serveurs pendant 21 jours pour vérifier l'intégrité de ses systèmes et colmater les failles. Coût de l'opération : 41 000 dollars de plus. Pour l'époque, c'est énorme.

Encore une fois, on réalise à quel point la sécurité de nos infrastructures critiques tenait du miracle en 1999.

Nous sommes le 26 janvier 2000. Jonathan vient d'avoir 16 ans depuis quelques semaines. Il est tranquillement dans sa chambre quand des agents fédéraux débarquent chez lui avec un mandat de perquisition. FBI, NASA, Département de la Défense... tout le gratin de la sécurité nationale américaine vient cueillir le gamin de Miami. Comme l'a rapporté ABC News à l'époque , l'arrestation fait sensation dans les médias.

Jonathan ne fait même pas semblant de nier. Plus tard, il expliquera aux enquêteurs qu'il aurait pu facilement couvrir ses traces s'il avait voulu. Mais il ne pensait pas faire quelque chose de mal. Dans sa tête d'ado, il "jouait" juste avec des ordinateurs. Il n'avait volé aucune donnée pour s'enrichir, n'avait planté aucun système, n'avait rien détruit.

Le problème c'est que la justice américaine ne voit pas les choses du même œil.

Le 21 septembre 2000, Jonathan James devient alors officiellement le premier mineur condamné à une peine de prison pour cybercriminalité aux États-Unis. À 16 ans, il entre dans l'histoire du droit pénal informatique. Et sa sentence est de 7 mois d'assignation à résidence, probation jusqu'à ses 18 ans, et interdiction d'utiliser un ordinateur à des fins "récréatives".

Mais Jonathan est un ado. Il est positif à un contrôle antidrogues (cannabis) et viole ainsi sa probation. Direction la prison fédérale de l'Alabama pour 6 mois supplémentaires. Le gamin qui piratait la NASA depuis son lit se retrouve derrière les barreaux.

L'ironie, c'est que son cas va complètement révolutionner la législation sur la cybercriminalité juvénile. Avant Jonathan, les juges ne savaient littéralement pas comment traiter un mineur capable de compromettre des systèmes gouvernementaux. Son procès a forcé le Congrès à repenser les lois fédérales sur les crimes informatiques commis par des mineurs.

Jonathan sort de prison en 2001. Il a 17 ans, un casier judiciaire, et une réputation sulfureuse dans le milieu du hacking et il essaie de se tenir à carreau, de mener une vie normale. Mais son passé va le rattraper de la pire des manières.

En 2007, la chaîne de magasins TJX (TJ Maxx, Marshalls, HomeGoods) subit l'une des plus grosses fuites de données de l'histoire : 45,6 millions de numéros de cartes de crédit volés. L'enquête mène à Albert Gonzalez , un hacker de Miami qui dirigeait un réseau international de cybercriminels, selon le département de la Justice américain .

Source

Mais le problème c'est qu'Albert Gonzalez et Jonathan James se connaissent. Ils évoluent dans les mêmes cercles, fréquentent les mêmes forums, habitent la même région. Alors quand le FBI épluche les connexions de Gonzalez, le nom de c0mrade ressort forcément.

En janvier 2008, le Secret Service débarque chez Jonathan, chez son frère, chez sa copine. Ils retournent tout, confisquent ses ordinateurs, l'interrogent pendant des heures. Jonathan nie catégoriquement toute implication dans le hack TJX. Il répète qu'il n'a plus fait de hacking depuis sa sortie de prison, qu'il essaie de refaire sa vie.

Les agents trouvent une arme à feu légalement détenue et des notes suggérant que Jonathan a déjà pensé au suicide. Mais aucune preuve de sa participation au hack TJX.

Pourtant, l'étau se resserre. La presse s'empare de l'affaire, ressort son passé de "hacker de la NASA". Jonathan devient paranoïaque, convaincu que le gouvernement veut faire de lui un bouc émissaire. Il sait qu'avec son casier, aucun jury ne croira en son innocence.

Alors le 18 mai 2008, Pinecrest, Floride, Jonathan James, 24 ans, se tire une balle dans la tête sous la douche de sa salle de bain.

Il laisse une note déchirante : "Je n'ai honnêtement, honnêtement rien à voir avec TJX. Je n'ai aucune foi dans le système de 'justice'. Peut-être que mes actions d'aujourd'hui, et cette lettre, enverront un message plus fort au public. De toute façon, j'ai perdu le contrôle de cette situation, et c'est ma seule façon de le reprendre."

La suite lui donnera raison : Albert Gonzalez sera condamné à 20 ans de prison, mais aucune preuve ne sera jamais trouvée contre Jonathan James concernant l'affaire TJX.

Ce gamin était un génie pur. Pas le genre de génie qu'on voit dans les films, mais un vrai génie technique, capable de comprendre et d'exploiter des systèmes complexes à un âge où la plupart d'entre nous découvraient à peine Internet.

Le problème, c'est que personne n'a su canaliser ce talent. Ses parents ont essayé de le brider en lui confisquant son ordinateur. Le système judiciaire l'a traité comme un criminel ordinaire. Et la communauté du hacking de l'époque n'avait pas vraiment de garde-fous éthiques.

Et aujourd'hui, combien de c0mrade potentiels traînent-ils sur nos serveurs Discord, nos repos GitHub, nos communautés de makers ?

Maintenant on a des programmes de bug bounty, des certifications en cybersécurité, des bootcamps éthiques. Des voies légales pour exprimer ce genre de talent. Alors que Jonathan n'a jamais eu ces options.

Son héritage, comme celui de Kevin Mitnick , c'est donc d'avoir forcé le monde à prendre la cybersécurité au sérieux. Après ses exploits, la NASA a complètement revu ses protocoles de sécurité, le Pentagone a investi des milliards dans la protection de ses systèmes et le Congrès a voté de nouvelles lois sur la cybercriminalité juvénile.

Je pense que Jonathan James aurait mérité mieux que cette fin tragique. Il aurait pu devenir un expert en cybersécurité, un consultant, un formateur. Il aurait pu utiliser ses compétences pour protéger les systèmes qu'il avait appris à compromettre... C'est triste.

A nous de faire en sorte que les prochains génies du code ne suivent pas le même chemin.

Source

J'espère que vous passez une bonne semaine et que votre connexion internet ne vous fait pas trop la misère en ce moment...

Car aujourd'hui, on va parler d'un truc qui devrait intéresser tous ceux qui utilisent un VPN (ou qui pensent en utiliser un, un jour) pour leurs activités un peu... gourmandes en bande passante. Vous le savez, je le sais, BitTorrent c'est génial, mais c'est aussi un moyen facile de se retrouver avec son adresse IP exposée aux trackers et aux pairs du swarm. Et même avec un tunnel sécurisé, on peut toujours être victime d'une fuite en cas de mauvaise configuration ou de rupture du VPN.

Et là, y'a toujours Hadopi (enfin, ce qu'il en reste) qui pour justifier leur budget annuel vous enverra un petit message de menace automatique. Pas de communication non violente ici ^^.

C'est précisément là qu'intervient Torrent Peek , un petit outil qui est gratuit et sans inscription et qui va vous permettre de vérifier si votre protection est efficace ou si elle laisse filtrer votre IP. Pour cela, le site génère un lien magnet unique que vous ouvrez dans la plupart des clients torrent (uTorrent, Transmission, Deluge, etc.).

Une fois le lien ajouté, votre client va tenter de se connecter aux trackers du site, et hop ! Torrent Peek affichera alors l'adresse IP qu'il voit passer. Si c'est celle de votre VPN, c'est un bon signe. Si c'est votre vraie IP... eh bien vous êtes dans la mierda ^^.

Car même avec un VPN actif, une défaillance du "kill switch" ou un trafic qui sort du tunnel peut exposer votre identité réelle. Notez d'ailleurs que l'exposition peut aussi se faire via DHT ou PEX, ce que ce test ne couvre pas forcément, mais c'est déjà une excellente première vérification côté trackers.

Le truc cool avec cet outil, c'est qu'il propose aussi une API JSON pour ceux qui aiment bien automatiser leurs tests ou surveiller leur connexion via un petit script maison. Il suffit de faire un petit curl sur l'URL fournie pour obtenir le statut de votre connexion à l'instant T.

D'ailleurs, si vous voulez aller plus loin dans la bidouille torrentielle, je vous recommande de jeter un œil à cet article pour ouvrir des liens magnet directement avec VLC (moyennant un petit plugin), car c'est super pratique.

Voilà, ça vous permettra de vérifier que vous ne faites pas n'importe quoi quand vous téléchargez des ISO Linux toute la nuit 😅...

Devinette du soir : Qu’est-ce qui est pire qu'un secret que vous avez oublié de cacher ?

Réponse : Des dizaines, des millions de secrets qui traînent sur GitHub parce que quelqu'un a eu la flemme de configurer un vrai gestionnaire de variables d'environnement !

Hé oui, les amis ! On a tous fait cette boulette au moins une fois (ou alors vous mentez, ou vous êtes un robot). On crée un petit fichier .env, on oublie de le rajouter au .gitignore, et paf, vos clés AWS se retrouvent à poil. Selon GitHub, c'est plus de 39 millions de secrets qui ont été détectés en fuite sur leurs dépôts en 2024. C'est du délire !

Envmap - Le gestionnaire de variables d'environnement qui tue les fichiers .env ( Source )

Du coup, au lieu de continuer à se farcir du bricolage avec des fichiers qui traînent en clair sur le disque, je vous propose de jeter un œil à Envmap .

C'est un outil écrit en Go dont l'objectif est de réduire au maximum l'écriture de vos secrets sur le disque dur. En mode normal, il va les pomper directement chez les grands manitous du stockage sécurisé comme AWS Secrets Manager, HashiCorp Vault, 1Password ou encore Doppler (même si pour l'instant, certains de ces providers sont encore en cours d'intégration).

Comme ça, au lieu de faire un vieux source .env qui laisse traîner un fichier sensible, vous lancez votre application avec envmap run -- node app.js. L'outil récupère les variables en RAM et les injecte dans le process. C'est propre, c'est net, et ça évite surtout de pousser par erreur votre config sur un repo public.

Pour ceux qui se demandent s'il faut quand même envoyer ses fichiers .env sur GitHub (spoiler : non, jamais !), Envmap propose une commande import pour ingérer vos vieux secrets. Et pour ceux qui ont besoin d'un stockage local, sachez qu'Envmap peut aussi chiffrer vos variables en AES-256-GCM, ce qui est quand même plus sérieux qu'un fichier texte lisible par n'importe qui. Notez aussi qu'il existe une commande sync si vous avez vraiment besoin de générer un fichier .env temporaire.

Perso, ce que je trouve vraiment cool, c'est l'intégration avec direnv. On rajoute une ligne dans son .envrc, et hop, les secrets sont chargés automatiquement quand on entre dans le dossier du projet. C'est magique et ça évite les crises cardiaques au moment du push.

D'ailleurs, si vous voulez aller plus loin dans la sécurisation de vos outils, je vous recommande de lire mon article sur SOPS ou encore ma réflexion sur l'usage de GitLab pour vos projets sensibles.

Bref, c'est open source (sous licence Apache 2.0), et avec ça, vous dormirez sur vos deux oreilles !