This collection of examples discussing the question of the intrinsic security characteristics of programming languages. Through illustrations and discussions, it advocates for a different vision of well-known mechanisms and is intended to provide some food for thoughts regarding languages and development tools, as well as recommendations regarding the education of developers or evaluators for secure software.
Le 21 novembre 2025, l'Association internationale pour la recherche cryptologique (IACR) s'est fendue d'un communiqué pour annoncer l'annulation de son élection annuelle à la direction. La raison ? Un des membres du comité électoral «a irrémédiablement perdu sa clé privée» permettant d'accéder aux résultats du scrutin.
Les bons plans n’attendent pas : abonnez-vous à notre canal WhatsApp Frandroid Bons Plans ! (zéro spam, promis).
Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).
En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :
La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.
La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.
L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :
Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.
En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »
Le prestataire doit être capable d’aider à identifier, en amont :
Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.
Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.
Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.
Illustration © VicenSahn – Adobe Stock
The post La gestion de crise cyber consacrée dans le référentiel PRIS appeared first on Silicon.fr.
Une application tierce compromise, et c’est la porte ouverte sur des données clients.
Salesforce s’était retrouvé dans cette situation au mois d’août. L’application concernée – un chatbot de gestion commerciale – émanait de l’éditeur américain Salesloft. Ce dernier avait été compromis au préalable (compte GitHub, puis environnement AWS) afin de récupérer des jetons d’API (tokens OAuth) utilisés par ledit chatbot pour se connecter à Salesforce.
Un incident du même type vient de se produire avec une application d’un autre éditeur américain : CS (Customer Success), de Gainsight. Celui-ci revendique, entre autres clients, GitLab, Glassdoor, GoTo, Jamf, Notion, Okta, Sonos et Zapier.
Salesforce a coupé la connexion avec Gainsight dans la matinée du 20 novembre. Il ne l’a pas rétablie depuis. D’autres éditeurs ont suivi par précaution, dont Hubspot et Zendesk.
Aux dernières nouvelles, Gainsight estime que 3 organisations ont été touchées. Ce n’est pas l’avis de Google/Mandiant, chargé d’enquêter : à l’en croire, plus de 200 instances ont potentiellement été affectées. La campagne est possiblement l’œuvre d’affiliés au collectif ShinyHunters.
Il faudra peut-être réactiver manuellement certaines règles lorsque la connexion sera rétablie, prévient Gainsight. Qui signale par ailleurs que ses plug-in pour Gmail et Outlook ne sont pas fonctionnels pour qui s’y connecte via Salesforce.
Les accès indésirables via le chatbot de Salesloft ont fait de multiples victimes dans le secteur IT (Boomi, IBM, Nutanix, OpenText, Proofpoint, Pure Storage, Rubrik, Zscaler…). Des tickets de support ont notamment été exposés… et des secrets avec.
Cet incident, combiné à d’autres, a culminé il y a quelques semaines en un leak. Sous l’enseigne SLSH (Scattered LAPSUS$ ShinyHunters), des cybercriminels ont menacé de publier des données… et de soutenir les actions en justice qui s’ensuivraient, en particulier pour violation du secret des affaires.
SLSH avait fixé un ultimatum au 10 octobre. Il l’avait aussi soumis à Red Hat, après la compromission d’une instance GitLab liée à son activité de conseil (une mine potentielle de secrets d’infra : inventaires, topologies réseau, playbooks et blueprints, résultats d’audits de sécurité…).
Au lendemain de la date, quelques datasets issus des campagnes contre Salesforce furent publiés. Les deux plus gros – contenant l’un et l’autre des données personnelles par million – concernaient les compagnies aériennes Qantas et Vietnam Airlines. Une filiale américaine d’ENGIE était aussi dans le lot.
Dans la foulée, SLSH avait annoncé, sur son Telegram, cesser ses activités jusqu’en 2026. Il avait déclaré vouloir se concentrer sur les employés du FBI et de la NSA, probablement en réponse à la saisie des serveurs de BreachForums.
Quelques jours plus tard, des membres avait officialisé la « dissolution permanente » du groupe après l’arrestation de plusieurs administrateurs.
Illustration générée par IA
The post Nouveau vol de données Salesforce via une intégration SaaS appeared first on Silicon.fr.
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
J’avoue que ça me fascine toujours. Sous les vidéos d’influenceurs, dans les commentaires d’articles, tu trouves immanquablement un « NordVPN c’est de la m… ». Sérieusement ? J’utilise NordVPN au quotidien depuis des années et pour mon usage c’est juste top. Rapide, efficace, pas cher quand il y a des promos. Alors, pourquoi autant de rage ? Spoiler : plus un service est gros et populaire, plus il devient une cible idéale pour les puristes, les déçus … et les trolls en roue libre.
Je te propose de décortiquer ça, sans langue de bois, avec un peu d’ironie peut être mais avec des faits vérifiés à l’appui !
NordVPN est mainstream. Ça marche, c’est simple, ça a des apps partout. Dans l’imaginaire collectif tech, le service grand public « qui fait tout bien » déclenche automatiquement une suspicion. Les rageux confondent souvent visibilité et médiocrité. Sauf qu’en sécurité, popularité ne veut pas dire relâchement : NordVPN fait auditer son no-log régulièrement par des tiers indépendants, et pas une fois tous les 10 ans. En 2024/2025, ils en étaient à leur 5e audit sur cette promesse.
Tu connais le discours : « le vrai VPN, c’est celui où tu n’as même pas d’email pour créer un compte, sinon c’est vendu ». Oui, Mullvad a ce modèle hyper minimaliste et c’est très respectable. Mais ça ne veut pas dire que tous les autres seraient « nuls » ou « dangereux ». Pour la plupart des usages courants, on n’a pas besoin d’un niveau d’opsec d’agent infiltré. On a besoin d’un VPN stable, rapide, simple — et qui ne coûte pas un bras.
Dans le monde des VPN, il y a des camps. Certains ne jureront que par un service X ou Y, et vont dénigrer le reste par réflexe tribal. C’est humain, mais pas très utile quand on cherche un outil qui répond à de vrais besoins.
En France, certaines compétitions sportives, plateformes ou catalogues sont réservés à un pays. Le geoshifting via VPN, c’est l’usage n°1. Et le moins que l’on puisse dire c’est que ça fonctionne très bien avec NordVPN grâce à son réseau massif et des apps très propres, y compris sur Android TV. J’utilise NordVPN pour regarder la F1 Gratuitement en passant par la Belgique depuis des années et je n’ai aucun reproche à faire, ni aucune frustration sur le fonctionnement du service (pas de LAG, jamais de défaillance). Tu peux faire la même chose pour regarder n’importe quel évènement sportif, il suffit de choper la chaîne locale ou a lieu la compétition, il y en a toujours une qui diffuse gratuitement le contenu.
Je paye déjà une blinde d’abonnements culture pour la famille. Parfois, on craque et on télécharge un livre introuvable, une série oubliée, bref, la vraie vie. L’objectif d’un VPN ici, c’est de cloisonner, pas de devenir invisible à la NSA. Et oui, NordVPN a des serveurs dédiés P2P, un kill switch, et tout ce qu’il faut pour limiter la casse si la connexion saute. (Rappel légal : en France, le droit s’applique. Fais tes choix en connaissance de cause.) Dans tous les cas NordVPN est une vraie forteresse et ton opérateur devient complètement aveugle sur ce que tu est entrain de faire.
Dans un café, un hôtel ou au travail, un VPN, c’est juste une bonne hygiène numérique. Tu évites que l’admin réseau, l’employeur ou n’importe qui d’un peu curieux n’aspire tes DNS/ton trafic en clair. Là, NordVPN coche les cases : protocole NordLynx (base WireGuard) rapide, kill switch, DNS privés, etc.
C’est possible de profiter de YouTube sans aucune publicité sans payer d’abonnement Premium. En effet l’Albanie n’est pas un marché monétisé par YouTube. Concrètement, les annonceurs ne peuvent pas cibler des pubs sur les utilisateurs dont l’IP est localisée en Albanie, car YouTube ne liste pas ce pays parmi ses marchés monétisés. Résultat : quand tu te connectes à un serveur VPN en Albanie, tu profites de YouTube sans publicité (sur TV comme sur ordi), tant que ton IP reste albanaise.
Et non, ce n’est pas illégal en France d’utiliser un VPN. L’outil en lui-même est légal ; c’est l’usage qui doit rester responsable. En pratique, changer de pays via VPN peut contrevenir aux CGU de certaines plateformes : à chacun de vérifier ce qu’il accepte contractuellement. Mais d’un point de vue strictement légal en France, utiliser un VPN = OK.
En résumé, si ton IP sort d’Albanie, YouTube n’ayant pas d’inventaire pub ciblable sur ce pays, tu n’as pas de pubs. C’est une conséquence technique de la non-monétisation du marché albanais par YouTube.
NordLynx (leur implémentation de WireGuard) est rapide et connecte en deux secondes. Les tests indépendants classent régulièrement NordVPN parmi les plus véloces du marché, et en pratique tu le sens quand tu streames en 4K ou que tu télécharges. Techniquement, le protocole WireGuard y est pour beaucoup, et Nord a ajouté sa couche pour la gestion des identités (sans sacrifier la perf).
Le service opère sous juridiction du Panama, un pays sans obligation de rétention de données, ce qui l’aide à tenir sa promesse « no-log ». Cette promesse est auditée régulièrement par des cabinets indépendants — un point que beaucoup « oublient » dans les commentaires au vitriol.
Le parc de serveurs est en RAM-only (pas de stockage persistant), ce qui limite sacrément l’empreinte de données en cas de saisie d’un serveur. C’est devenu une bonne pratique chez les meilleurs, et Nord l’a généralisée depuis des années.
Windows, macOS, iOS, Android, Linux… et les télés/box Android TV via le Play Store. Tu veux juste cliquer et que ça marche ? C’est le cas.
La limite a été relevée à 10 appareils en même temps, ce qui suffit pour une famille connectée. (Astuce classique : installer le VPN au niveau du routeur protège tout le réseau sans te soucier des limites.)
En 2025, NordVPN a étendu le chiffrement post-quantique (PQC) à toutes ses applications — intéressant pour le « harvest-now, decrypt-later ». On n’en a pas besoin tous les jours, mais c’est bien de voir le service pousser sur l’anticipation.
Mullvad est un excellent VPN orienté vie privée « pure ». Compte sans email, numéro aléatoire, paiement possible en cash par courrier, pas de promos agressives, prix flat. Je respecte à fond. Mais ce n’est pas le même ADN produit : Mullvad n’a pas vocation à « tout débloquer partout » ni à plaire au plus grand nombre. Et il y a quelques contraintes pour une famille nombreuse : 5 appareils simultanés max, pas de pricing dégressif, etc.
En clair : si ton objectif n°1 est l’anonymat opérationnel et une empreinte minimale, Mullvad est cohérent. Si tu veux un couteau suisse rapide pour streaming, voyages, P2P et une app TV plug-and-play, NordVPN est plus simple. Et on peut parfaitement apprécier les deux pour des raisons différentes.
Les infos de prix varient avec les promos. Prends ça comme un ordre de grandeur, pas une promesse gravée dans le marbre.
| Critère | NordVPN | Mullvad |
|---|---|---|
| Juridiction | Panama (no mandatory data retention) | Suède |
| Politique de logs | No-log, audits indépendants récurrents | No-log, comptes numérotés |
| Vitesse / protocole | NordLynx (WireGuard) très rapide | WireGuard (OpenVPN en retrait progressif) |
| Serveurs / couverture | Réseau très large, apps Android TV officielles | Couverture solide, design privacy-first |
| Connexions simultanées | 10 | 5 |
| Prix typique | Fortes promos régulières ≈ 2,99€/mois) | 5 €/mois flat |
| Points forts | Streaming, vitesse, apps, audits, RAM-only, PQC | Anonymat, simplicité, paiement cash/crypto |
Je ne suis pas activiste à Pékin. Je ne vis pas reclus dans un bunker numérique. Je veux juste :
Pour ça, NordVPN me rend service au quotidien et, en promo, c’est imbattable pour ce que j’en fais. Et si demain j’ai besoin d’un setup plus « jusqu’au-boutiste », je garderai un compte Mullvad à côté. Les deux ne sont pas incompatibles.
| Élément | Détail vérifié |
|---|---|
| Juridiction | Panama (pas de loi de rétention obligatoire) |
| No-log | Engagement audité à plusieurs reprises (cabinet indépendant) |
| Protocole phare | NordLynx (WireGuard), connexion rapide, excellente perf |
| Infra | Serveurs RAM-only (pas de disques) |
| Apps TV | Appli Android/Android TV sur Google Play, installation simple |
| Appareils | 10 connexions simultanées par compte |
| Crypto / futur-proof | Chiffrement post-quantique étendu à toutes les apps en 2025 |
Les rageux critiquent NordVPN surtout parce qu’il est visible, populaire et qu’il ne correspond pas au fantasme d’un outil « puriste ». Dans la vraie vie, pour un usage normal — streaming en voyage, P2P raisonnable, wifi publics, TV connectée — c’est l’un des VPN les plus pratiques et réguliers. Ça n’empêche pas d’apprécier Mullvad ou Proton pour d’autres raisons. On arrête la guerre de chapelle et on choisit l’outil qui colle à son usage, point.
NordVPN est-il vraiment no-log ?
Oui, la politique no-log est auditée à répétition par des cabinets indépendants. Et la juridiction (Panama) n’impose pas de rétention.
Mullvad protège-t-il mieux ma vie privée ?
Son modèle (compte sans email, numéro aléatoire, paiement cash/crypto) est radical et très privacy-first. Mais pour la vitesse, les apps TV, les 10 appareils, et son prix, fatalement NordVPN est plus « populaire ».
Est-ce légal d’utiliser un VPN pour regarder des contenus d’un autre pays ?
Le VPN en soi est légal en France. En revanche, contourner des restrictions peut violer les CGU de certains services. Informe-toi et reste responsable.
NordVPN marche-t-il bien sur Android TV / Fire TV ?
Oui, il existe des applis officielles sur Android/Android TV. L’installation se fait via Google Play et c’est rapide.
Combien d’appareils puis-je connecter ?
NordVPN : 10 simultanés. Mullvad : 5.
C’est quoi ce « chiffrement post-quantique » chez NordVPN ?
Un mécanisme qui anticipe les risques liés aux futurs ordinateurs quantiques. En 2025, NordVPN l’a déployé sur toutes ses apps.
Cet article original intitulé Pourquoi il y a des rageux qui critiquent NordVPN ? a été publié la première sur SysKB.
Connexion