L’excitation entourant Shanks atteint de nouveaux sommets alors qu’Oda explore son histoire et la riche histoire d’Elbaf. Les fans ont d’abord été introduits à la visite décisive de Shanks à Elbaf le jour de la mort du roi Harald dans le chapitre 1152 de One Piece. Il était arrivé avec un avertissement crucial pour le […]
Personne ne s’en doutait, mais durant 3 ans, les communications entre la Terre et les sondes de la NASA étaient totalement vulnérables au piratage du moindre script kiddy ! Et personne n’était au courant évidemment, et aucun des multiples audits de code qui se sont succédé depuis 2022 n’avait mis à jour ce problème jusqu’à ce qu’une IA s’en mêle !
La faille découverte au bout de 4 jours d’analyse, se trouvait dans
CryptoLib
, une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du
CCSDS
, qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.
Le souci donc c’est que ce code contenait une vulnérabilité d’injection de commande. En gros, des données non validées pouvaient être interpolées directement dans une commande shell et exécutées via system() sans aucune vérification. C’est le genre de faille basique qu’on apprend à éviter en première année de développement, sauf que là elle était planquée dans un code quand même bien critique…
C’est la
startup AISLE
, fondée par des anciens d’Anthropic, Avast et Rapid7, qui a été mandatée pour auditer le code et c’est comme ça que leur système de “cyber reasoning” basé sur l’IA s’est retrouvé à scanner la base de code. Résultat, une jolie faille débusquée par IA 3 ans après des dizaines d’audits et d’analyses humaines.
Bon, avant de paniquer sur une éventuelle chute de satellite en plein sur la tête de votre belle-mère, faut quand même nuancer un peu la chose… Pour exploiter cette faille, un attaquant aurait d’abord eu besoin d’un accès local au système, ce qui
réduit significativement la surface d’attaque selon les chercheurs
. Donc oui, j’ai abusé en intro avec mon histoire de script kiddy ^^ chè ! Mais quand même, on parle de satellites et de sondes spatiales qui valent des milliards de dollars donc si elle avait été exploitée, ça aurait fait mal à beaucoup de monde.
Et ce n’est pas la seule mauvaise nouvelle pour la sécurité spatiale cette année puisqu’en août dernier, 2 chercheurs allemands de VisionSpace Technologies, Milenko Starcik et Andrzej Olchawa, ont présenté, lors des confs Black Hat USA et DEF CON à Las Vegas,
pas moins de 37 vulnérabilités découvertes dans l’écosystème spatial
. Sans oublier Leon Juranic de ThreatLeap qui a trouvé
diverses failles plus tôt
dans l’année.
Lors d’une démo, ils ont montré qu’ils pouvaient envoyer une commande à un satellite pour activer ses propulseurs et modifier son orbite, sans que le changement de trajectoire apparaisse immédiatement sur l’écran du contrôleur au sol. Imaginez le bordel si quelqu’un faisait ça pour de vrai !!
CryptoLib elle-même était criblée de failles : 4 dans la version utilisée par la NASA, 7 dans le package standard dont 2 critiques. Et le système de contrôle de mission
Yamcs
développé par la société européenne Space Applications Services et utilisé notamment par Airbus présentait aussi 5 CVE permettant une prise de contrôle totale. Sans oublier OpenC3 Cosmos, un autre système utilisé pour les stations au sol, qui comptait à lui seul, 7 CVE incluant de l’exécution de code à distance.
Heureusement les amis, toutes ces horribles vulnérabilités ont été corrigées et la NASA prépare même
une mise à jour majeure du cFS pour bientôt
avec de meilleures fonctionnalités de sécurité, le support de l’IA et des capacités d’autonomie améliorées.
AISLE
affirme que leur outil peut examiner systématiquement
des bases de code entières
, signaler des patterns suspects et fonctionner en continu à mesure que le code évolue, bref, pour du code critique comme celui des systèmes spatiaux, c’est le top !
La nouvelle série "Bienvenue à Derry", inspirée de l’univers de "Ça", apporte une modification majeure à l’un des pouvoirs emblématiques de Pennywise, le terrifiant clown. Cette évolution questionne le rôle et l’impact du personnage sur l’intrigue.
Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?
Pauvres fous ^^ !
En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.
L’attaque s’appelle “Careless Whisper” (oui,
comme la chanson
de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…
Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.
Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !
La recherche,
disponible ici
, a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.
Un développeur a même créé un
outil open source
pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.
Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.
Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.
Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)
miam !
puisque j'ai bêtement connecté mon raspberry B acheté en 2012 à ma Freebox Revolution et que j'ai envie de me lancer à ce que cela héberge Pelican pour me faire un petit blog public qui serait ma tour sur internet
L’épisode 6 de la série « Ça : Bienvenue à Derry » éclaire enfin un mystère vieux de près de quatre décennies, en dévoilant une révélation clé sur Mrs. Kersh qui valide une théorie persistante autour du terrifiant clown Pennywise.
Le dimanche 30 novembre marquait les trois ans du lancement de ChatGPT auprès du public. Depuis cette date, l’IA générative (GenAI) d’OpenAI a transformé notre manière de travailler, d’apprendre et de communiquer. En parallèle, il est aussi devenu un multiplicateur de force pour les acteurs malveillants, leur permettant d’atteindre un niveau de sophistication supérieur, y […]
Le dimanche 30 novembre marquait les trois ans du lancement de ChatGPT auprès du public. Depuis cette date, l’IA générative (GenAI) d’OpenAI a transformé notre manière de travailler, d’apprendre et de communiquer. En parallèle, il est aussi devenu un multiplicateur de force pour les acteurs malveillants, leur permettant d’atteindre un niveau de sophistication supérieur, y […]
La série "Ça : Bienvenue à Derry" explore l'origine des pouvoirs de Hallorann, personnage clé de l’univers de Stephen King, et révèle le rôle inattendu de l’armée dans la découverte de ses capacités surnaturelles.
La nouvelle série "Bienvenue à Derry", inspirée de l’univers de Stephen King, accorde une place inattendue à l’imagerie de la tortue, un symbole dont la signification profonde pourrait jouer un rôle majeur dans l’intrigue et l’ambiance du récit.
La série « Bienvenue à Derry » a choisi d’attendre le cinquième épisode avant de faire réapparaître Pennywise. Ce choix narratif intrigue les fans, curieux de comprendre les raisons derrière ce suspense prolongé autour du célèbre clown maléfique.
Quand je revoie des films comme WarGames ou Hackers, je me rends compte que je suis un poil nostalgique de ces écrans noirs avec du texte vert, des modems qui crapotent, et de la magie des connexions longue distance sur des réseaux qui tenaient avec du scotch et des prières… Hé bien cool pour moi (et pour vous, si vous avez la même pathologie de moi) y’a un taré des Internet qui a recréé tout ça, et c’est jouable directement dans votre navigateur.
Ça s’appelle Telehack
, et c’est une simulation complète de l’ARPANET et d’Usenet tels qu’ils existaient entre 1985 et 1990. Le site propose 26 600 hôtes virtuels, des milliers de fichiers d’époque, des jeux d’aventure textuels, un interpréteur BASIC fonctionnel et même des utilisateurs historiques reconstitués à partir de vraies archives. Le créateur, connu uniquement sous le pseudo “Forbin” (une ref au film “Le Cerveau d’acier” de 1970), a vraiment pondu un truc de dingue que vous devez tester absolument !
Le plus beau dans tout ça, c’est que vous pouvez vous y connecter comme à l’époque. En telnet sur les ports 13, 1337 ou 8080, en SSH sur le port 2222, et même… avec un vrai numéro de téléphone américain (+1 213 835-3422) accessible en modem analogique 14,4 kbps. Pour les nostalgiques du grésillement, c’est du bonheur.
Une fois connecté, vous vous retrouvez donc avec une invite de commande minimaliste. Tapez ensuite netstat pour voir la liste des hôtes accessibles, puis telnet pour vous connecter à un système distant, ou dial pour composer des numéros de téléphone virtuels comme un vrai phreaker des années 80. Y’a même des outils de hacking d’époque comme wardial.exe et porthack.exe pour progresser dans le jeu et débloquer de nouveaux systèmes.
Côté contenu, c’est également un vrain musée vivant. Toutes les archives Usenet intégrées proviennent de la collection d’Henry Spencer, un type de l’Université de Toronto qui a sauvegardé plus de 2 millions de messages entre 1981 et 1991 sur 141 bandes magnétiques récupérées de justesse avant d’aller à la poubelle.
Ces messages sont les plus anciens posts Usenet encore existants, et vous pouvez donc les lire directement dans Telehack. C’est pas ouf ça ?
Pour les amateurs de jeux, y’a
Zork
, Adventure et tout un tas de jeux en Z-code jouables directement. L’interpréteur BASIC inclus permet également d’exécuter des centaines de programmes historiques et si vous aimez
Star Wars en ASCII
, le film complet en animation texte est disponible.
D’ailleurs, la simulation au sein de Telehack va assez loin dans le réalisme puisque comme je vous le disais, les utilisateurs historiques sont reconstitués à partir de vraies archives UUCP de l’époque. Vous pouvez faire un finger @host sur n’importe quel système pour voir qui est “connecté”. Les mots de passe des systèmes sont volontairement faibles (secret, love, trustno1…) comme c’était le cas à l’époque et le côté hacking vous fera gagner des badges (HACK5, HACK10, HACKER) au fur et à mesure que vous compromettez des systèmes.
Telehack est passé à ce jour d’un petit projet en 2010 à une communauté de plus de 50 000 utilisateurs et vu la qualité du truc, c’est mérité. Pour ceux qui ont connu cette époque ou ceux qui veulent comprendre comment c’était avant le web, c’est une expérience unique, les amis !
Pour y accéder :
telehack.com
dans votre navigateur, ou telnet telehack.com si vous voulez faire les choses proprement. Enjoy !
Alors que les enseignes françaises sont en plein pic d’activité du Black Friday et du Cyber Monday, une autre course s’intensifie en coulisses : celle contre les cyberattaques. Les incidents majeurs survenus chez certaines grandes enseignes plus tôt cette année démontrent que les hackers n’ont plus besoin de cibler les systèmes eux-mêmes. En visant les […]
Alors que les enseignes françaises sont en plein pic d’activité du Black Friday et du Cyber Monday, une autre course s’intensifie en coulisses : celle contre les cyberattaques. Les incidents majeurs survenus chez certaines grandes enseignes plus tôt cette année démontrent que les hackers n’ont plus besoin de cibler les systèmes eux-mêmes. En visant les […]
Vous voyez cet emoji ? 😎󠄺󠄗󠅑󠅙󠄐󠅠󠅑󠅣󠄐󠅥󠅞󠄐󠅠󠅕󠅥󠄐󠅜󠅕󠄐󠅝󠅕󠅙󠅜󠅜󠅕󠅥󠅢󠅣󠄐󠅣󠅙󠅤󠅕󠄐󠅔󠅥󠄐󠅝󠅟󠅞󠅔󠅕󠄐󠄯 Hé bien, il contient peut-être un message secret que vous ne pouvez pas voir.
Non je ne suis pas devenu fou, c’est de la stéganographie Unicode et c’est le sujet de ma dernière vidéo.
L’idée c’est de planquer du texte invisible à l’intérieur de n’importe quel caractère grâce aux sélecteurs de variation Unicode. Ces petits caractères invisibles se glissent après un emoji et peuvent encoder un message complet. À l’oeil nu, vous voyez juste un smiley. Mais en réalité, y’a peut-être tout un paragraphe caché dedans.
Dans cette vidéo, je vous montre donc comment utiliser l’outil open source de
Paul Butler
pour encoder et décoder vos propres messages. On teste aussi si ChatGPT arrive à lire ces messages cachés et je vous explique les applications concrètes comme le watermarking de contenu ou l’envoi de messages discrets.
C’est une technique à la fois fun et utile à connaître, que ce soit pour protéger vos créations ou juste pour impressionner vos potes geeks.
J’ai tout expliqué en 13 minutes, accessible même si vous n’y connaissez rien en Unicode. Et un grand merci à
mes soutiens sur Patreon
sans qui rien ne serait possible !
Du côté de la DDR5, il n’y a pas que les prix qui montent : les records aussi. L’un en chasse désormais un autre presque plus vite qu’il ne nous faut de temps pour les rapporter ! Il y a pile une semaine, nous étions en compagnie de G... [Tout lire]
Décidément la précédente marque de CENS n'aura pas tenu longtemps, GIGABYTE nous annonce déjà un nouveau record du monde pour de la DDR5 grâce à sa carte mère Z890 AORUS TACHYON ICE.
L'overclockeur responsable de cet exploit est l'allemand sergmann, qui a utilisé la carte mère de GIGABYTE, couplée à une barrette mémoire CORSAIR Vengeance DDR5-4800, pour atteindre les 13,530 MT/s ! […]
OnePlus is closing out the year with two devices aimed at tightening its North American lineup. The OnePlus 15R and the OnePlus Pad Go 2 will both be unveiled on December 17, bringing the company’s flagship design language into a more accessible segment—something the brand has been gradually refining with its R-series strategy. OnePlus 15R The 15R carries over the visual identity of the main OnePlus 15, including a flat […]
Connexion
