Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

Après l'attaque massive de septembre 2025 qui a vérolé 18 packages ultra-populaires (coucou debug et chalk ) et la campagne Shai-Hulud 2.0 qui a siphonné les credentials cloud de 25 000 dépôts GitHub, on peut le dire, on est officiellement dans la sauce. Surtout si vous êtes du genre à faire un npm install comme on traverse l'autoroute les yeux bandés ! Il est donc temps de changer vos habitudes parce qu'entre les crypto-stealers qui vident vos portefeuilles en 2 heures et les malwares qui exfiltrent vos clés AWS, l'écosystème JavaScript ressemble de plus en plus à un champ de mines.

Le rayon d'action de la campagne Shai-Hulud 2.0 - une véritable moisson de secrets ( Source )

D'ailleurs, beaucoup se demandent comment savoir si un package npm est vraiment sûr. Et la réponse classique, c'est de lire le code de toutes les dépendances. Ahahaha... personne ne fait ça, soyons réalistes. Du coup, on se base sur la popularité, sauf que c'est justement ce qu'exploitent les attaques supply chain en ciblant les mainteneurs les plus influents pour injecter leurs saloperies.

C'est là qu'intervient safe-npm , une petite pépite qui va vous éviter bien des sueurs froides. Cela consiste à ne jamais installer une version de package publiée depuis moins de 90 jours. Pourquoi ? Parce que l'Histoire nous apprend que la plupart des compromissions massives sont détectées et signalées par la communauté dans les premiers jours ou semaines. Ainsi, en imposant ce délai de "quarantaine", vous laissez aux experts en sécurité le temps de faire le ménage avant que le malware n'arrive sur votre bécane.

Et hop, un souci en moins !

La supply chain npm, le nouveau terrain de jeu préféré des attaquants ( Source )

Concrètement, si vous voulez react@^18 et que la version 18.5.0 est sortie hier, safe-npm va poliment l'ignorer et installer la version précédente ayant passé le test des 90 jours.

Pour l'installer, c'est du classique :

npm install -g @dendronhq/safe-npm

Des essaims d’agents IA qui se coordonnent, s’appellent, se contredisent parfois : bienvenue dans la complexité systémique à vitesse maximale. En 2026, sans observabilité unifiée pour relier intentions, actions, dépendances et facture cloud, l’autonomie vire au bruit et aux surprises. La discipline gagnante : garde-fous, signaux factuels, responsabilités humaines claires. L’observabilité aborde un tournant où […]

L’article Six prédictions sur l’observabilité en 2026… <br/><em>Bernd Greifeneder, Dynatrace</em> est apparu en premier sur InformatiqueNews.fr.

De nombreux outils de cybersécurité gratuits, tels que Wireshark et Nmap, peuvent renforcer la sécurité des utilisateurs sur Internet. Cependant, les experts en cybersécurité mettent en garde contre les signaux d’alerte, comme des déclarations vagues dans les politiques de confidentialité, des mises à jour peu fréquentes et de mauvais avis.   Tribune Planet VPN – […]

De nombreux outils de cybersécurité gratuits, tels que Wireshark et Nmap, peuvent renforcer la sécurité des utilisateurs sur Internet. Cependant, les experts en cybersécurité mettent en garde contre les signaux d’alerte, comme des déclarations vagues dans les politiques de confidentialité, des mises à jour peu fréquentes et de mauvais avis.   Tribune Planet VPN – […]

Quand une connexion unique tombe, l’activité ralentit ou s’arrête. Deux accès indépendants, avec bascule testée, réduisent fortement ce risque pour les PME en Suisse.

Cet article Résilience réseau des PME en Suisse : mettre en place une double connectivité est apparu en premier sur Linformatique.org.

Effrayant… C’est le mot qui vient immédiatement à l’esprit à la lecture du rapport de la CNIL qui sanctionne Free Mobile après sa massive fuite de données en octobre 2024. Affligeant est le second mot qui vient immédiatement derrière. Car les manquements de Free Mobile et Free en matière de cybersécurité méritent sans conteste la […]

L’article La CNIL sanctionne lourdement Free et Free mobile… et c’est justifié ! est apparu en premier sur InformatiqueNews.fr.