LFI tout simplement
(Permalink)

L'hiver 2025-2026 n'a pas fait de cadeaux aux côtes tricolores. Entre les tempêtes Nils et Pedro, le littoral charentais a subi un assaut d'une violence rare, forçant les autorités à prendre des mesures radicales.

Cyberattaque chez un producteur de volailles, livraisons stoppées, la filière volaille expose sa dépendance numérique.

NSW lance ID Support NSW pour aider les seniors à déjouer les arnaques et renforcer leurs compétences de cybersécurité.

Piratage : un hacktiviste diffuse des commandes attribuées à Nicolas Sarkozy après l’intrusion dans la base clients du fleuriste en ligne.

— Permalink

Les distributeurs sont convoqués à Bercy pour se justifier sur les hausses de carburant qui atteignent 2 euros le litre. Une flambée qui pourrait avoir des incidences bien au-delà du plein des Français et toucher l'économie en général.

Dans nos jardins, certains arbres fruitiers deviennent de véritables aimants à frelons asiatiques, et le figuier semble particulièrement apprécié.

L’article Cet arbre fruitier commun est un véritable aimant à frelons asiatiques dans nos jardins, rédigé par Nathalie Kleczinski, est apparu en premier sur NeozOne.

Home Assistant 2026.3 apporte le nettoyage pièce par pièce pour les aspirateurs robots, un assistant vocal Android avec wake word local, des automatisations plus fiables et de nombreuses améliorations de l’interface et de l’énergie.

💾

Apple vient d’annoncer un tout nouveau MacBook qui vient compléter la gamme avec un tarif bien plus accessible. Après le MacBook Air et le MacBook Pro, voici MacBook Neo. Son...

Vous rêvez de vous offrir un MacBook Pro, mais les modèle récents sont bien trop chers ? En faisant le choix du reconditionné, vous pouvez trouver des pépites à prix...

Les rappels sont monnaie courante et sont parfois mis en place pour des problèmes sérieux. Dans le cas de notre Clio, il est inutile de s’affoler d’autant plus que les exemplaires concernés sont très peu nombreux.

Nous sommes en mai 2025 et Lucien B, 34 ans, fait sa déclaration d’impôts. Une fois toutes les cases cochées, la nouvelle tombe : Lucien va devoir payer. “Quand j’ai vu le montant apparaître, j’ai cru que c’était une blague. Dans le doute, j’ai tout recommencé mais ce même montant à 3 chiffres est apparu”. C’en est trop pour Lucien, qui décide qu’il va devenir millionnaire. “C’est le meilleur moyen d’échapper à l’impôt sur le revenu. J’en ai marre de payer pour les autres”.

Depuis mai, Lucien s’est donc lancé dans l’entrepreneuriat “je me suis lancée dans le développement d’eau en poudre. Vous pourrez transporter des litres d’eau sans que ça ne pèse rien grâce à ces petits sachets”. Sauf que pour transformer cette poudre en eau, il faut la mélanger avec…de l’eau. Un problème que Lucien tente encore de résoudre. 

Recevez Le Gorafi en version papier avec du contenu 100% inédit directement dans votre boite aux lettres en vous abonnant ici.

L’article Il décide de devenir millionnaire pour échapper à l’impôt sur le revenu est apparu en premier sur Le Gorafi.fr Gorafi News Network.

Face à la diversité des solutions pour contrôler l’accès à une habitation, la question du visiophone s’impose naturellement. Entre les modèles filaires et sans fil, chaque option présente ses avantages et ses contraintes spécifiques. Le choix se fait souvent en fonction de la sécurité du domicile, du confort d’utilisation et bien entendu, du budget. Pour […]

Le robot chien Unitree Go2, c'est celui qu'on a vu se faire pirater via Bluetooth en décembre dernier. Hé bien rebelote puisque 2 nouvelles CVE viennent de tomber, et c'est encore plus lourd. Hé oui c'est à base de root shell, de persistance après reboot... et tout ça sans aucune authentification sur le protocole réseau.

La première faille ( CVE-2026-27509 ) est la plus vicieuse puisque le Go2 utilise DDS (Data Distribution Service), un protocole publish-subscribe qu'on retrouve partout dans l' industrie de la robotique . Ça tourne avec CycloneDDS, sauf que Unitree l'a déployé SANS la moindre authentification.

Du coup, n'importe qui sur le même réseau peut envoyer des messages au robot, et un topic DDS spécifique avec le paramètre api_id=1002 permet carrément d'uploader du code Python arbitraire. Code qui s'exécute ensuite directement en root via subprocess.Popen. Et voilà comment on obtient un reverse shell en quelques lignes !

Avec un accès root, ensuite c'est open bar. Caméras, moteurs, capteurs LiDAR... et comme le DDS tourne sans chiffrement, même le trafic légitime entre le robot et sa télécommande passe en clair sur le réseau.

Le truc qui pique, c'est que DDS-Security existe vraiment puisque c'est un standard documenté qui gère authentification et chiffrement. C'est juste que Unitree a simplement décidé de ne pas l'implémenter. Même pas un tout petit token basique... snif.

La deuxième faille ( CVE-2026-27510 ) est la plus tordue. Pour celle-ci, il faut un téléphone Android rooté avec l'app Unitree installée. De là, vous modifiez la base SQLite locale, la table dog_programme, et vous injectez un binding hotkey qui exécute une commande au prochain appui sur la télécommande. Et comme le robot stocke ça dans un fichier hotkey_list.txt, votre payload persiste même après reboot. Et hop, encore un shell root !

Unitree a sorti le firmware V1.1.13 qui corrige la faille SQLite absolument rien pour la faille DDS. Le protocole tourne toujours sans auth sur les versions EDU (V1.1.7 à V1.1.11), et vu que ça nécessiterait de revoir toute l'architecture réseau du robot, j'imagine que c'est pas pour demain la veille.

Ça fait donc 3 failles en moins d'un an sur la même bestiole. Entre ça et les aspirateurs DJI piratés par milliers, la sécu des robots grand public en prend un sacré coup en ce moment. Et pour un quadrupède à plusieurs milliers d'euros qu'on retrouve dans des labos de recherche ou des usines, parce que la terre entière le dropship avec son logo, ça la fout mal.

Bref, si vous avez un Go2, mettez à jour en V1.1.13 via l'app Unitree et pour le DDS, collez votre robot sur un réseau Wi-Fi dédié en attendant mieux.

C'est dommage quand même parce que la possibilité d'authentification existait... fallait juste l'activer.

Source

La Honor Pad X8a est une tablette polyvalente qui embarque des caractéristiques avancées pour un prix accessible. Et durant le Choice Day, vous pouvez vous offrir la version avec 4...

Texas Instruments rachète Silicon Labs pour 7,5 milliards $ : une acquisition stratégique qui redessine le marché de l’IoT, de la domotique et de l’automobile. Analyse des synergies Zigbee, Thread, Matter et Z-Wave, des enjeux industriels et des impacts sur la souveraineté technologique et la chaîne d’approvisionnement mondiale.

RecalBox 10 est disponible avec le support du Raspberry Pi 5, du Steam Deck et une interface entièrement repensée. Nouveaux systèmes, gestion intelligente des ROMs et compatibilité CRT/arcade : découvrez toutes les nouveautés de cette version majeure.

💾

Quand on parle de divertissement à la maison, beaucoup pensent tout de suite à l’écran. Grand, plat, dernier cri. D’autres pensent au son, aux basses qui font vibrer le canapé. Mais en réalité, le plaisir ne vient pas seulement de ce qu’on regarde ou de ce qu’on écoute. Il vient de la manière dont tout […]

SwitchBot dévoile son Hub IA : agent IA local compatible OpenClaw, analyses vidéo via VLM, NVR Frigate jusqu’à 8 caméras, pont Matter et automatisations IA.