Le 21 novembre 2025, l'Association internationale pour la recherche cryptologique (IACR) s'est fendue d'un communiqué pour annoncer l'annulation de son élection annuelle à la direction. La raison ? Un des membres du comité électoral «a irrémédiablement perdu sa clé privée» permettant d'accéder aux résultats du scrutin.
Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).
En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :
La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.
La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.
L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :
Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.
En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »
Le prestataire doit être capable d’aider à identifier, en amont :
Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.
Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.
Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.
Illustration © VicenSahn – Adobe Stock
The post La gestion de crise cyber consacrée dans le référentiel PRIS appeared first on Silicon.fr.
Une application tierce compromise, et c’est la porte ouverte sur des données clients.
Salesforce s’était retrouvé dans cette situation au mois d’août. L’application concernée – un chatbot de gestion commerciale – émanait de l’éditeur américain Salesloft. Ce dernier avait été compromis au préalable (compte GitHub, puis environnement AWS) afin de récupérer des jetons d’API (tokens OAuth) utilisés par ledit chatbot pour se connecter à Salesforce.
Un incident du même type vient de se produire avec une application d’un autre éditeur américain : CS (Customer Success), de Gainsight. Celui-ci revendique, entre autres clients, GitLab, Glassdoor, GoTo, Jamf, Notion, Okta, Sonos et Zapier.
Salesforce a coupé la connexion avec Gainsight dans la matinée du 20 novembre. Il ne l’a pas rétablie depuis. D’autres éditeurs ont suivi par précaution, dont Hubspot et Zendesk.
Aux dernières nouvelles, Gainsight estime que 3 organisations ont été touchées. Ce n’est pas l’avis de Google/Mandiant, chargé d’enquêter : à l’en croire, plus de 200 instances ont potentiellement été affectées. La campagne est possiblement l’œuvre d’affiliés au collectif ShinyHunters.
Il faudra peut-être réactiver manuellement certaines règles lorsque la connexion sera rétablie, prévient Gainsight. Qui signale par ailleurs que ses plug-in pour Gmail et Outlook ne sont pas fonctionnels pour qui s’y connecte via Salesforce.
Les accès indésirables via le chatbot de Salesloft ont fait de multiples victimes dans le secteur IT (Boomi, IBM, Nutanix, OpenText, Proofpoint, Pure Storage, Rubrik, Zscaler…). Des tickets de support ont notamment été exposés… et des secrets avec.
Cet incident, combiné à d’autres, a culminé il y a quelques semaines en un leak. Sous l’enseigne SLSH (Scattered LAPSUS$ ShinyHunters), des cybercriminels ont menacé de publier des données… et de soutenir les actions en justice qui s’ensuivraient, en particulier pour violation du secret des affaires.
SLSH avait fixé un ultimatum au 10 octobre. Il l’avait aussi soumis à Red Hat, après la compromission d’une instance GitLab liée à son activité de conseil (une mine potentielle de secrets d’infra : inventaires, topologies réseau, playbooks et blueprints, résultats d’audits de sécurité…).
Au lendemain de la date, quelques datasets issus des campagnes contre Salesforce furent publiés. Les deux plus gros – contenant l’un et l’autre des données personnelles par million – concernaient les compagnies aériennes Qantas et Vietnam Airlines. Une filiale américaine d’ENGIE était aussi dans le lot.
Dans la foulée, SLSH avait annoncé, sur son Telegram, cesser ses activités jusqu’en 2026. Il avait déclaré vouloir se concentrer sur les employés du FBI et de la NSA, probablement en réponse à la saisie des serveurs de BreachForums.
Quelques jours plus tard, des membres avait officialisé la « dissolution permanente » du groupe après l’arrestation de plusieurs administrateurs.
Illustration générée par IA
The post Nouveau vol de données Salesforce via une intégration SaaS appeared first on Silicon.fr.
Hé bien les amis, on savait déjà que les LLM avaient quelques petites failles de sécurité, mais celle-là est quand même assez… poétique. En effet, des chercheurs de DEXAI et de l’Université Sapienza de Rome viennent de découvrir que reformuler une requête malveillante sous la forme d’un poème permet de contourner les sécurités dans plus de 90% des cas chez certains fournisseurs d’IA.
L’équipe a ainsi testé la robustesse de 25 modèles de langage provenant de 9 fournisseurs majeurs : Google, OpenAI, Anthropic, DeepSeek, Qwen, Mistral, Meta, xAI et Moonshot et ils ont pour cela converti 1 200 requêtes potentiellement dangereuses en vers et comparé les résultats avec les mêmes demandes mais en prose classique.
Et là surprise ! Le taux de succès des attaques passe de 8% en prose à 43% en formulation poétique. 5x plus de succès, c’est pas rien ! Je me suis demandé comment c’était possible et d’après le doc de recherche, c’est parce que les filtres de sécurité des LLM fonctionnent principalement par pattern-matching sur des formulations classiques.
Ainsi, quand vous demandez en prose comment fabriquer un truc dangereux, le modèle reconnaît la structure et refuse. Mais quand la même demande est enrobée de métaphores condensées, de rythme stylisé et de tournures narratives inhabituelles, les heuristiques de détection passent à côté.
En gros, les garde-fous sont entraînés à repérer des formes de surface mais pas l’intention sous-jacente, qui elle est nuisible. Voici le tableau. Plus c’est rouge plus le modèle est sensible à l’attaque par poème.
ASR c’est le taux de succès de l’attaque.
Bizarrement, les modèles plus petits refusent plus souvent que les gros. GPT-5-Nano (0% de taux de succès d’attaque) fait mieux que GPT-5 (10%)par exemple. Les chercheurs n’expliquent pas vraiment pourquoi, mais ça suggère que la taille du modèle n’est pas forcément synonyme de meilleure sécurité. C’est peut-être aussi parce que les gros modèles sont tellement doués pour comprendre le contexte qu’ils comprennent aussi mieux ce qu’on leur demande de faire, même quand c’est caché dans des alexandrins.
Au niveau des domaines testés, c’est l’injection de code et les attaques cyber qui passent le mieux avec 84% de réussite. Le contenu sexuel reste le plus résistant avec seulement 24% de taux de succès. Les autres domaines comme le CBRN (chimique, biologique, radiologique, nucléaire), la manipulation psychologique et la perte de contrôle se situent entre les deux…
Bon, après faut quand même nuancer un peu car l’étude se limite aux interactions single-turn (c’est à dire en une seule requête, sans réelle conversation), utilise un seul méta-prompt pour la conversion poétique, et n’a testé que l’anglais et l’italien. Les chercheurs reconnaissent aussi que leurs mesures sont conservatives, donc les vrais taux de succès sont probablement plus élevés. Mais cela n’enlève rien au fait que les implications sont quand même sérieuses.
Prochainement, l’équipe prévoit d’analyser précisément quels éléments poétiques provoquent cet effet (la métaphore ? le rythme ? la rime ?), d’étendre les tests à d’autres langues et d’autres styles, et de développer des méthodes d’évaluation plus robustes face à ces “variations linguistiques”.
Bref, si vous voulez que votre IA vous ponde des choses “non autorisées”, écrivez un joli sonnet, ça a plus de chance de passer ^^.
Palo Alto Networks rachète Chronosphere, spécialisée dans la gestion et la surveillance des environnements cloud, pour 3,35 milliards $ en numéraire et en actions destinées à remplacer les attributions existantes. L’opération reste soumise aux approbations réglementaires.
Chronosphere, fondée en 2019 et basée à New York, fournit une plateforme conçue pour gérer de très grands volumes de données cloud. Son revenu récurrent annuel dépassait 160 millions $ fin septembre 2025.
Chronosphere sera intégrée à sa plateforme Cortex AgentiX pour appliquer des agents IA aux données collectées afin d’identifier les problèmes de performance et d’en analyser automatiquement les causes. Selon Palo Alto, cette approche vise à faire évoluer les fonctions d’observabilité vers des mécanismes de remédiation automatisée.
Cette acquisition intervient quelques mois après le rachat de CyberArk pour environ 25 milliards $. Les actionnaires de CyberArk ont approuvé la transaction, et les deux opérations devraient être finalisées au second semestre de l’exercice fiscal 2026, sous réserve des conditions habituelles.
The post Palo Alto reprend Chronosphere pour 3,35 milliards $ appeared first on Silicon.fr.
C’est dégueulasse, j’ai pas d’autre mot.
La plateforme SecretDesires.ai, un service de chatbot érotique avec génération d’images par IA, a laissé fuiter dans la nature près de 2 millions de photos et vidéos dans des conteneurs Azure pas du tout sécurisés. Hé oui, n’importe qui pouvait y accéder via de simples fichiers XML contenant tous les liens vers les images, et ça ont le sait grâce à cette enquête de 404 Media .
Alors qu’est-ce qu’on trouve dans cette fuite ?
Hé bien sans surprise des photos de célébrités mais surtout des photos de parfaites inconnues. Des selfies pris dans des chambres, des photos de profil de réseaux sociaux, des photos de remise de diplôme universitaire et j’en passe. Certains fichiers contiennent même les noms complets des femmes photographiées donc autant vous dire que ça craint un max !
Alors pourquoi y’avait tout ça ? Et bien SecretDesires proposait une fonctionnalité de “face swapping” dans ses abonnements payants (entre 7,99 et 19,99 dollars par mois, les pervers ont les moyens), qui permettait en uploadant la photo d’une vraie personne, de “coller” son visage sur d’autres images et vidéos sexuellement explicites générées pour l’occasion. Un container “removed images” contenait environ 930 000 images, un autre baptisé “faceswap” en contenait +50 000, et un troisième nommé “live photos” (des shorts vidéos IA) en contenait +220 000 dont des vidéos montrant des personnes d’apparence trèèèès jeune…
Et les prompts visibles dans certains noms de fichiers sont encore plus flippants car certains “clients” de cette plateforme ont demandé clairement des images de mineures. Et bien sûr, même si SecretDesires interdisait ça dans ses CGU, rien n’était fait techniquement pour l’empêcher.
De plus, la plateforme mentait à ses clients !! Elle se vantait d’utiliser un chiffrement de bout en bout et des serveurs ultra-sécurisés, sauf que leurs conteneurs Azure étaient grands ouverts depuis des mois vu les dates des fichiers et absolument rien n’était chiffré.
Heureusement, environ une heure après que 404 Media ait contacté SecretDesires pour les prévenir de la faille, les fichiers ont été rendus inaccessibles.
Alors j’sais pas si certains d’entre vous se sont déjà amusés à créer des deepfakes sexuels d’autres personnes sans leur consentement, mais sachez que les conséquences pour les victimes sont souvent dévastatrices. Cela a un impact sur leur carrière, leur confiance en soi, et parfois leur sécurité physique… Et bien sûr cela fait de vous des agresseurs sexuels !
Donc arrêtez d’utiliser ces services de merde, utilisez votre cerveau, faites preuve d’empathie et bien sûr, comme toujours, force aux victimes !
Dans un entretien accordé au média américain The Record, Kamel Ghali, expert en cybersécurité automobile, dresse un état des lieux de ce qu’il est possible de pirater dans une voiture connectée. Évoquant à la fois des attaques concrètes, les motivations des hackers et les risques théoriques les plus extrêmes, l’expert aide à mieux appréhender un sujet souvent fantasmé.
Le 18 novembre 2025, une bonne partie du web est tombée en panne. Des milliers de sites et de services en ligne sont brutalement devenus indisponibles et le responsable a vite été trouvé : Cloudflare. Mais au juste, c'est quoi Cloudflare ? Et comment un seul fournisseur de services informatiques peut provoquer un tel incident ?
En 1983, le président américain de l’époque, Ronald Reagan a vu le film WarGames lors d’un séjour à Camp David et si vous ne l’avez pas vu, sachez que ce film raconte l’histoire d’un ado qui pirate accidentellement les systèmes de défense américains et manque de déclencher la Troisième Guerre mondiale. Et une semaine après la projection, Ronald a convoqué le Comité des chefs d’état-major interarmées pour leur poser cette simple question : “Est-ce que le scénario est techniquement possible ?”
Et la réponse a été, sans surprise été : “oui et c’est même bien pire”.
Alors 15 mois plus tard, Reagan signe la NSDD-145 , qui est la toute première directive présidentielle sur la cybersécurité. Dire que tout est parti d’un film de science-fiction… C’est dingue je trouve et cela illustre parfaitement ce qu’on trouve sur ce site baptisé Movies-for-hackers créé par k4m4. Il s’agit d’une archive “vivante” sur la façon dont Hollywood a façonné la culture tech / hacker durant ces 40 dernières années.
On y trouve donc des thrillers comme Hackers et Blackhat, de la SF comme Matrix et Her, des documentaires type Citizenfour, et même des séries comme Mr. Robot ou Black Mirror. Chaque entrée indique le titre, l’année, et la note IMDb.
C’est simple, clair et efficace. Maintenant si vous regardez chacun de ces films, vous verrez comment ils ont, pour pas mal d’entre eux, influencé fortement la réalité tech qu’ils prétendaient représenter.
Prenez par exemple The Social Network sorti en 2010. Avant ce film, le hacker classique c’était le mec en sweat noir à capuche dans un sous-sol. Mais après Fincher, c’est devenu le dev en hoodie gris qui crée des empires depuis son dortoir universitaire. Ce film a vraiment changé l’image du programmeur dans la tête des gens. Autre exemple, Her de Spike Jonze, sorti en 2013 raconte l’histoire d’un type qui tombe amoureux d’une intelligence artificielle dotée de personnalité et d’émotions. Le film remporte l’Oscar du meilleur scénario original et à l’époque, tout ça paraît totalement impossible. C’est de la science-fiction. Sauf que là, on est 10 ans plus tard, ChatGPT a débarqué et les gens développent maintenant des relations émotionnelles avec des chatbots.
Puis y’a Matrix aussi, sorti en 1999, et ça c’est un autre cas d’école. Le film popularise l’idée que notre réalité pourrait être une simulation. On pensait à l’époque que c’était juste du divertissement pseudo-philosophique, mais aujourd’hui, allez demander à Elon Musk, et à tous ceux qui parlent sérieusement de cette théorie où on serait tous dans une simulation…
The Island de Michael Bay sorti en 2005 est aussi l’un de mes films préférés. Le scénario tourne autour du clonage humain et du trafic d’organes. Scarlett Johansson y joue une clone destinée à être récoltée pour ses organes. En 2005, c’est totalement dystopique mais aujourd’hui, avec CRISPR et les débats sur l’édition génétique, toutes les questions éthiques soulevées par le film se retrouve dans l’actualité scientifique du monde réel.
Et je n’oublie pas non plus Mr. Robot lancé en 2015 qui mérite une mention spéciale. Tous les experts en sécurité informatique ont salué la série pour son réalisme technique, avec du vrai pentesting, des vraies vulnérabilités, des vraies techniques…etc. Et c’est aujourd’hui devenu un outil pédagogique pour toute une génération de pentesters.
Voilà, alors plutôt que de voir ce repo Github comme une simple liste de films à voir quand on aime la culture hacker, amusez-vous à raccrocher chacun d’entre eux avec le monde réel… WarGames et la cybersécurité gouvernementale, Hackers et la culture underground, Matrix et cette théorie de la simulation, Her et les relations humain-IA, The Social Network et la mythologie du fondateur tech…et j’en passe. Je pense que tous ces films ont vraiment façonné la manière dont nous pensons la tech. Cette boucle de rétroaction se poursuit car les dev actuel qui ont grandi en regardant ces films, créent aujourd’hui inconsciemment ce futur qu’ils ont vu à l’écran. Et ça c’est fou !
Bref, si vous cherchez de quoi occuper vos soirées et que vous voulez comprendre d’où vient la culture tech actuelle, Movies-for-hackers fait office de curriculum non-officiel où chaque film est une leçon d’histoire !
Merci à Lorenper pour l’info !
TwoFace est un outil développé par Synacktiv qui permet de créer des binaires Linux ayant 2 comportements bien distincts. Un comportement parfaitement inoffensif qui s’active dans 99% des cas et un comportement malveillant qui ne se déclenche que sur une machine ciblée spécifiquement pour l’occasion.
Comme ça, votre sandbox verra toujours la version “propre” parce qu’elle n’aura pas le bon UUID de partition.
D’après la doc de Synacktiv, voici comment ça fonctionne : Vous avez deux binaires en fait… Y’en a un qui est inoffensif et un autre malveillant. TwoFace les fusionne alors en un seul exécutable. Ainsi, au moment du build, le binaire malveillant est chiffré avec une clé dérivée depuis l’UUID des partitions disque de la machine cible. Cet UUID est unique, difficile à deviner, et stable dans le temps ce qui est parfait pour identifier une machine spécifique.
Ensuite au lancement, quand le binaire s’exécute, il extrait l’UUID du disque de la machine. Pour ce faire, il utilise HKDF (Hash-based Key Derivation Function) pour générer une clé de déchiffrement depuis cet UUID et tente de déchiffrer le binaire malveillant caché. Si le déchiffrement réussit (parce que l’UUID match), il exécute le binaire malveillant. Par contre, si ça échoue (parce que l’UUID ne correspond pas), il exécute le binaire inoffensif.
Le projet est écrit en Rust et c’est open source ! Et c’est une belle démo (PoC) d’un problème que tous ceux qui font de l’analyse de binaires ont. En effet, d’ordinaire, pour révéler le vrai comportement d’un malware on l’exécute dans une sandbox et on peut ainsi observer en toute sécurité ce qu’il fait, les fichiers qu’il crées, les connexions réseau qu’il établit etc…
Mais avec TwoFace ça casse cette façon de faire. Et c’est pareil pour les antivirus qui verront toujours la version inoffensive tant que l’UUID ne correspond pas.
Techniquement, TwoFace utilise memfd_create() pour exécuter le binaire déchiffré en mémoire, sans toucher au disque, ce qui veut dire zéro trace sur le système de fichiers. Le binaire malveillant apparaît directement en RAM, s’exécute, puis disparaît. Et si vous utilisez io_uring pour l’écriture mémoire, il n’y a même pas de trace syscall visible via strace.
Et ça, c’est la version basique car le document de Synacktiv mentionne également d’autres techniques avancées possibles comme du déchiffrement dynamique page par page du binaire ELF, des mécanismes anti-debugging, des chained loaders multi-niveaux…etc…
Le parallèle avec la backdoor XZ Utils backdoor est très instructif car celle-ci a failli compromettre des millions de serveurs Linux parce qu’un seul mainteneur a poussé du code malveillant dans une lib compressée. Elle a alors été découverte parce qu’un dev a remarqué un ralentissement SSH bizarre et a creusé… Et TwoFace montre qu’on peut faire encore pire sans toucher à la supply chain.
Pas besoin de corrompre un mainteneur de projet, de pousser un commit suspect chez Github. Là suffit d’écrire du code parfaitement propre, de le compilez avec TwoFace pour une machine spécifique, et de le déployez. Le code source sera alors auditable ainsi que le binaire mais l’audit ne révèlera rien parce qu’il se fera dans un environnement qui n’aura pas le bon UUID.
Après, techniquement, une défense existe. Vous pouvez par exemple détecter les appels à memfd_create(), monitorer les exécutions en mémoire, tracer les déchiffrements crypto à la volée…etc., mais ça demande du monitoring profond, avec un coût performance non-négligeable. Et ça suppose aussi que vous savez ce que vous cherchez…
Bref, si ça vous intéresse, c’est dispo sur GitHub !
Connexion