Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.
Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!
Et devinez quoi ?
Y’a toujours pas de patch !
L’histoire commence donc en septembre 2023. Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip , une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !
Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.
Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…
Maintenant on fait avance rapide en octobre 2025. Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping , une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.
L’attaque fonctionne en trois étapes. D’abord, l’app malveillante invoque des APIs Android publiques (activities, intents, tasks) pour déclencher l’affichage de données sensibles dans l’app cible. Par exemple, forcer Google Authenticator à afficher un code 2FA. Ensuite, elle dessine des fenêtres transparentes par-dessus ces données et effectue des opérations graphiques sur des pixels individuels. Enfin, elle mesure le temps de rendu de chaque frame pour reconstruire les pixels un par un via le canal auxiliaire GPU.zip. C’est lent (entre 0,6 et 2,1 pixels par seconde) mais c’est suffisant.
Les chercheurs ont testé l’attaque sur plusieurs modèles Google Pixel et Samsung Galaxy S25 et sur 100 tentatives de vol de codes 2FA depuis Google Authenticator, le Pixel 6 se montre particulièrement vulnérable avec un taux de réussite des attaques de 73% en seulement 14,3 secondes en moyenne. Le Pixel 7 offre une meilleure résistance avec 53% de réussite en 25,8 secondes, tandis que le Pixel 8 fait encore mieux en limitant les attaques réussies à 29% en 24,9 secondes. Curieusement, le Pixel 9 régresse et remonte à 53% de vulnérabilité en 25,3 secondes. Par contre, le Galaxy S25 se distingue complètement en bloquant systématiquement toutes les tentatives d’attaque grâce au bruit présent dans les mesures qui empêche toute exploitation.
Les vieux appareils sont donc plus vulnérables que les nouveaux, ce qui est probablement lié aux premières générations de GPU Tensor de Google, moins optimisées, plus prévisibles.
Google attribue une CVE à cette attaque (CVE-2025-48561), classée “High Severity” et un patch partiel est publié dans le bulletin de sécurité Android de septembre. Mais les chercheurs ont rapidement trouvé un contournement, qui est actuellement sous embargo. Un second patch est donc prévu pour décembre. Entre-temps, Google affirme qu’aucune exploitation “in-the-wild” n’a été détectée pour l’instant.
Le modèle de sécurité Android repose sur l’idée qu’une app sans permissions ne peut rien faire de dangereux. Pixnapping utilise uniquement des APIs publiques légitimes donc y’a rien de suspect dans le manifest, qui déclencherait une alerte Play Protect… Et pourtant, elle peut voler des codes 2FA.
Les recommandations de sécurité sont donc les mêmes depuis 2023 à savoir scruter attentivement les apps installées, privilégier les clés de sécurité hardware pour la 2FA (YubiKey, Titan), surveiller les comportements anormaux.
Après, je pense pas que beaucoup d’utilisateurs d’Android vont investir dans une clé hardware à 50 balles parce que Nvidia a la flemme de patcher son GPU.
Bienvenue dans la réalité de la sécurité mobile les amis.
Alors que l’horloge décompte jusqu’à minuit, la menace d’une fermeture du gouvernement plane sur nous, pouvant perturber chaque aspect de la vie américaine. Aujourd’hui, le Sénat se prépare pour un vote crucial sur un projet de loi de financement temporaire soutenu par les Républicains. Si cette mesure est adoptée, elle fournira un financement temporaire jusqu’à […]
Le post Impact de la fermeture du gouvernement sur les transports et la cybersécurité est apparu en premier sur Moyens I/O.
Le Centre régional d’alerte et de réaction aux attaques informatiques Bourgogne-Franche-Comté (CSIRT-BFC), opéré par l’ARNia (Agence Régionale du Numérique et de l’intelligence artificielle) a été retenu dans le cadre de l’Appel à Manifestation d’Intérêt RALEC (Renforcement de l’Accompagnement Local aux enjeux de Cybersécurité) lancé par l’ANSSI en août dernier.
Ce renouvellement s’accompagne d’un financement de 400 000 € accordé par l’État, destiné à renforcer les moyens humains et techniques du CSIRT-BFC, à développer la prévention et à consolider un service public régional de cybersécurité accessible à tous.
Créé en 2022, le CSIRT-BFC apporte une assistance gratuite aux structures publiques et privées de la région — collectivités, établissements publics, associations, PME, ETI et TPE.
Il intervient en complément des dispositifs nationaux comme CERT-FR ou Cybermalveillance.gouv.fr, en proposant un appui direct face aux incidents, une veille permanente et des services de remédiation.
Depuis son lancement, le CSIRT-BFC a accompagné plus de 4 600 entités en Bourgogne-Franche-Comté. En 2024, il a supervisé 2 200 structures en continu, avec près de 2 millions de scans réalisés. Parmi les incidents signalés, 11 % ont eu un impact direct sur l’activité des organisations.
Les bénéficiaires se répartissent principalement entre collectivités ( 47 %), établissements publics (18 %) et PME (13 %°
Les principales menaces identifiées concernent le phishing, les fraudes bancaires, les ransomwares et les faux sites marchands. En parallèle, 37 actions de sensibilisation ont été organisées en 2024.
Depuis 2024, le CSIRT-BFC est le premier CSIRT régional à rejoindre le réseau InterCERT France, qui fédère les CERT et CSIRT français. Cette intégration renforce la coopération nationale pour la détection et la réponse aux incidents de cybersécurité.
Le renouvellement du CSIRT-BFC s’appuie sur un partenariat étendu avec
la Région Bourgogne-Franche-Comté, l’ARNia, les pôles de compétitivité, la French Tech Bourgogne-Franche-Comté, l’Agence Économique Régionale, les syndicats patronaux (MEDEF BFC, CPME), les universités régionales, ainsi que Dijon Métropole et Besançon Métropole.
Pour les deux prochaines années, le CSIRT-BFC prévoit de renforcer l’accompagnement des petites structures du territoire, de structurer un Campus Cyber Territorial afin de fédérer l’écosystème et d’encourager l’innovation, de déployer de nouveaux services de détection et de supervision, et de multiplier les actions de sensibilisation auprès des acteurs publics et économiques.
The post Le CSIRT Bourgogne-Franche-Comté confirmé dans son rôle d’expert cyber appeared first on Silicon.fr.
Le gestionnaire de mots de passe 1Password a présenté, le 8 octobre 2025, une nouvelle fonctionnalité qui permet aux agents IA de s’identifier sans jamais avoir à stocker ni accéder directement aux identifiants de l’utilisateur.
Thales Alenia Space et l’Agence spatiale européenne (ESA) viennent de signer un contrat historique pour concevoir la mission SAGA — acronyme de « Secure And cryptoGrAphic » —, une mission dont l’objectif est d’établir le premier service gouvernemental européen de distribution quantique de clés (QKD) via satellite. Ce projet intègre …
Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter
N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)
L’article Mission Saga : l’Europe mise sur la cryptographie quantique spatiale pour renforcer sa cybersécurité est apparu en premier sur KultureGeek.
Un groupe de hackers revendique le piratage des serveurs de Nintendo, une attaque dont l’ampleur reste à confirmer par l’entreprise japonaise.
Cet article Des hackers revendiquent l’accès aux données internes de Nintendo est apparu en premier sur Linformatique.org.
Y’a plein de problèmes avec les IA, mais y’en a un encore un peu trop sous-estimé par les vibe codeurs que vous êtes… Ce problème, c’est qu’on leur fait confiance comme à un collègue, on leur montre notre code, nos repos privés, nos petits secrets bien planqués dans les variables d’environnement…
Par exemple, quand vous passez en revue une pull request sur GitHub, vous faites quoi ? Vous lisez le code ligne par ligne, vous cherchez les bugs, les failles de sécu, les optimisations possibles. Mais les commentaires vous les lisez ? Au mieux on les survole, c’est vrai, car c’est de la comm’ entre devs, et pas du code exécutable.
Sauf pour Copilot Chat pour qui un commentaire c’est un texte comme un autre. Et selon Omer Mayraz , chercheur en sécurité chez Legit Security, c’est exactement ce qui en fait une zone de confiance aveugle parfaite pour une attaque.
Ce qu’a découvert Omer Mayraz c’est donc une vulnérabilité critique dans GitHub Copilot Chat avec un score CVSS de 9.6 sur 10. Cela consiste à planquer des instructions malveillantes dans des commentaires markdown invisibles comme ça, ces commentaires ne s’affichent pas dans l’interface web de GitHub, mais Copilot Chat les voit parfaitement et les traite comme des prompts légitimes.
Du coup, l’attaquant peut forcer Copilot à chercher des secrets dans vos repos privés, à extraire du code source confidentiel, voire à dénicher des descriptions de vulnérabilités zero-day non publiées. Tout ça sans que vous ne voyiez rien venir évidemment !
Voici une démo complète de l’attaque en vidéo :
La première étape c’est donc l’injection de prompt via un commentaire caché. Rien de révolutionnaire, mais efficace. Ensuite, deuxième étape : le bypass de la Content Security Policy de GitHub. Normalement, Copilot Chat ne peut charger que des ressources depuis des domaines appartenant à GitHub. Il est donc impossible d’envoyer des données vers un serveur externe.
Mais c’était sans compter sur le fait que GitHub dispose d’un proxy appelé Camo, conçu à l’origine pour sécuriser l’affichage d’images externes en les servant via HTTPS et en évitant le tracking. C’est donc ce proxy de sécurité qui devient l’outil d’exfiltration. Avec ce proxy, toutes les URLs d’images externes sont automatiquement transformées en URLs Camo du type https://camo.githubusercontent.com/[hash unique] et Mayraz a simplement utilisé l’API GitHub pour pré-générer un dictionnaire complet de ces URLs Camo, chacune pointant vers un emplacement unique sur son serveur.
Troisième étape, l’exfiltration des données. Au lieu de faire passer les secrets directement dans les URLs (trop visible), Mayraz a eu l’idée d’utiliser l’ordre des requêtes. Chaque lettre de l’alphabet correspond à une URL Camo unique. En faisant charger ces URLs dans un ordre précis, on peut ainsi transmettre des données texte comme avec un alphabet ASCII artisanal. C’est plutôt créatif comme approche, je trouve.
C’est exactement le même principe que les attaques ultrasoniques contre Alexa ou Siri. Si vous ne vous en souvenez pas, des chercheurs avaient démontré qu’on pouvait envoyer des commandes vocales à des fréquences inaudibles pour l’oreille humaine, mais parfaitement comprises par les assistants vocaux.
Bah ici, c’est pareil… On a des prompts invisibles pour les humains mais que l’IA voit et exécute sans broncher. Comme pour les enceintes, on parle à la machine sans que l’humain ne s’en aperçoive et la différence, c’est qu’au lieu de jouer sur les fréquences sonores, on joue sur le markdown et les commentaires cachés.
Du coup, chaque pull request externe est un potentiel cheval de Troie. Un contributeur externe soumet par exemple une PR apparemment légitime, avec un commentaire invisible qui ordonne à Copilot de chercher “AWS_KEY” dans vos repos privés. Vous de votre côté, vous ouvrez la PR dans votre éditeur, Copilot Chat s’active bien sûr automatiquement, et hop, vos clés API partent chez l’attaquant.
Quand on sait que GitHub a créé Camo justement pour améliorer la sécurité, ça fout un peu les boules. Bref, grâce à son proof-of-concept, Mayraz a réussi à exfiltrer des clés AWS, des tokens de sécurité, et même la description complète d’une vulnérabilité zero-day stockée dans une issue privée d’une organisation et tout ça sans aucune interaction suspecte visible par la victime.
Heureusement, notre joyeux chercheur a prévenu GitHub qui a réagi assez vite. Le 14 août l’entreprise a complètement désactivé le rendu d’images dans Copilot Chat, comme ça plus d’images, plus de problème. C’est radical, c’est sûr mais c’est efficace !
Quoiqu’il en soit, ces histoires de prompt injection c’est un problème fondamental propre aux LLM qui sont encore actuellement incapable de distinguer de manière fiable les instructions légitimes des instructions malveillantes. Ça reste donc un problème de confiance…
Dans ce cas précis, on fait confiance à GitHub pour héberger notre code du coup, on fait confiance à Copilot pour nous aider à développer, tout comme on fait confiance aux contributeurs externes pour soumettre des PR de bonne foi. Et nous voilà avec une jolie chaîne de confiance prête à être exploitée…
Bref, CamoLeak c’est que le début de cette nouvelle vague de vuln liées aux assistants IA qui se retrouvent intégrés dans nos outils de développement… Donc ouvrez l’oeil car on ne sait jamais ce qui sa cache vraiment dans une pull request.
Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…
Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.
Al-khaser est outil qui ne fait rien de méchant en soi… C’est ce qu’on appelle un PoC, un “proof of concept” avec de bonnes intentions car il rassemble dans un seul programme toutes les techniques que les vrais malwares utilisent pour se planquer tels que la détection de machines virtuelles, le contournement des débogueurs, l’échappement aux sandbox, et j’en passe.
Comme ça, si votre antivirus ne détecte pas al-khaser, il y a de bonnes chances qu’il rate aussi les vraies menaces qui utilisent les mêmes techniques.
Faut dire que les éditeurs d’antivirus et d’EDR adorent nous vendre leurs nouvelles fonctionnalités IA de fou alors que certaines de leurs solutions ne détectent même pas des techniques pourtant connues depuis longtemps.
Al-khaser met donc tout ça en lumière de façon assez brutale en enchaînant des dizaines de vérifications. Par exemple, il va regarder si votre processeur a vraiment le bon nombre de cœurs ou si c’est une simulation. Il va checker l’adresse MAC de votre carte réseau pour voir si elle correspond à un hyperviseur VMware ou VirtualBox. Il va mesurer le temps d’exécution de certaines opérations pour détecter si le système est accéléré artificiellement, comme dans une sandbox d’analyse. Il va même tester des API Windows classiques comme IsDebuggerPresent ou CheckRemoteDebuggerPresent pour voir si quelqu’un espionne son exécution.
Maintenant si vous voulez tester les protections anti-debug de votre système, vous tapez :
al-khaser.exe –check DEBUG –sleep 30
Oui si vous voulez voir si votre virtualisation VMware ou QEMU est bien masquée :
al-khaser.exe –check VMWARE –check QEMU
Bien sûr, ces techniques ne sortent pas de nulle part car elles sont documentées depuis des années notamment dans ce référentiel dont je vous déjà parlé .
Les équipes de pentest et les red teams adorent al-khaser car ça leur permet de montrer aux décideurs que leur gros investissement en cybersécurité n’est peut-être pas aussi solide qu’ils le pensaient. Vous lancez l’outil un vendredi après-midi dans un environnement de test, et vous voyez instantanément ce que votre EDR détecte ou pas.
Voilà, une fois encore, rassurez-vous, al-khaser ne fait rien de malveillant… Il ne vole pas de données, ne chiffre pas vos fichiers, ne lance pas de ransomware mais se contente juste de lever la main et de dire “hé ho, je suis là, regardez moi, je fais plein de des trucs louches !!”.
Bien sûr, ne lancez pas al-khaser sur n’importe quelle machine car c’est un outil de test qui doit rester dans un environnement contrôlé. Si vous le lancez sur le réseau de prod sans prévenir votre équipe sécu, vous allez déclencher des alertes partout et recevoir des appels pas très sympathiques. Et surtout, juridiquement, vous devez avoir l’autorisation du propriétaire de l’infrastructure, sinon, vous risquez de gros ennuis.
Ce projet est open source, écrit essentiellement en C++, et disponible sur GitHub . Y’a plus qu’à vous monter une VM isolée, récupérer al-khaser, et voir ce que ça donne.
Selon une étude de l’ANSSI, les attaques DDoS ont été menée avec une forte intensité à l’encontre d’entités françaises, publiques comme privées, durant toute l’année 2024. Elles se présentent sous de multiples formes et beaucoup de préjugés les entourent. Néanmoins, ces clichés sont parfois plus dangereux que les attaques en elles-mêmes.
En effet, ces idées reçues rendent parfois les entreprises vulnérables à d’autres types de cyberattaques et peuvent induire en erreur les stratégies de neutralisation ou empêcher les équipes de détecter une offensive.
Les attaques DDoS sont de plus en plus courantes et ciblent des entreprises de toutes sortes, indépendamment de leur taille. D’après le baromètre CESIN, les attaques DDoS représentent l’un des principaux vecteurs d’attaques subies pour 41% des entreprises en France. Un tel niveau d’activité montre que ce type de menace est bien réel et que toutes les entreprises doivent prendre des mesures adaptées.
Si les États-nations pilotent leurs propres attaques DDoS sophistiquées, nombre d’entre elles sont conduites par des prestataires de services DDoS à la demande (DDoS-for-hire) peu onéreux, voire gratuits, qui utilisent des botnets mondiaux ou des groupes d’appareils infectés. Dans de nombreux cas, les commanditaires d’attaques DDoS à la demande ne sont pas des pirates informatiques de haut niveau, mais agissent en fonction d’évènements géopolitiques et s’en prennent à des entreprises, à des individus ou à des infrastructures qui vont à l’encontre de leurs intérêts.
L’ANSSI précise que « Plus récemment, des tentatives de sabotage de petites installations industrielles ont été observées », cela prouve, contrairement aux croyances populaires, que les attaques ne se limitent plus aux grandes entreprises mais se tournent vers des cibles diversifiées : elles ciblent des infrastructures ou des services clés tels que les réseaux d’électricité afin d’exercer un impact profond sur le grand public.
Les petites entreprises sont également loin d’être épargnées : le rapport Hiscox de 2024 sur la gestion des cyber-risques en France en témoigne, « les attaques touchent plus les PME (entre 20 et 249 salariés) et les TPE (entre 0 et 19 salariés) qu’auparavant. En effet, tandis que les grandes entreprises perfectionnent leur système de protection, la menace se tourne de plus en plus vers leurs partenaires de plus petite taille. »
Face aux cyberattaques d’aujourd’hui, la taille de l’entreprise n’est plus un rempart. Ainsi, il est nécessaire de comprendre l’objectif de ces attaques pour les combattre efficacement.
Initialement, les attaques DDoS étaient volumétriques : elles prenaient généralement la forme d’importants flux de trafic avant d’évoluer pour devenir à la fois plus ciblées et plus complexes. Les médias continuent, à ce jour, de rendre compte des attaques les plus violentes et les plus impressionnantes qui atteignent plusieurs térabits par seconde, renforçant ainsi ce cliché.
Si ces attaques à grande échelle restent dangereuses, la majorité des offensives de moindre envergure, c’est-à-dire inférieures à 1 Gbits/s, le sont tout autant et ciblent les couches applicatives telles que le système de noms de domaine DNS et le protocole HTTP.
La dangerosité d’une cyberattaque ne dépend pas de la quantité de données touchée : ces nouvelles attaques par couche applicative sont plus discrètes et passent inaperçue dès lors que les solutions de protection s’intéressent aux attaques volumétriques de grande ampleur et ignorent les attaques plus modestes qui sont transmises au client.
Les attaques par épuisement d’état TCP (Transmission Control Protocol) comptent également parmi les menaces de moindre envergure les plus courantes. Elles ont pour but de surcharger les ressources de traitement d’un équipement réseau. Elles ciblent spécifiquement les appareils dynamiques installés sur site tels que les pare-feux, les équilibreurs de charge ou les passerelles VPN, et remplissent leurs tables d’état de fausses connexions, ce qui empêche les utilisateurs légitimes d’accéder à certaines zones du réseau.
Ces nouvelles attaques deviennent de plus en plus nombreuses et rendent les solutions de défenses habituelles obsolètes.
Les pare-feux de nouvelle génération sont de puissants outils qui peuvent améliorer de façon significative la sécurité globale des entreprises.
Cependant, leur conception dynamique les rend vulnérables à plusieurs types d’attaques DDoS telles que les attaques par épuisement d’état : l’ANSSI a constaté « une intensification de l’exploitation de vulnérabilités affectant des équipements exposés sur Internet, parmi lesquels figurent des équipements de sécurité mis en place par de nombreuses entités pour sécuriser l’accès distant à leur systèmes d’infrastructures (par exemple des pare-feux ou des passerelles VPN) » et explique que ces dispositifs deviennent un point de vulnérabilité critique du fait de l’exploitation de leurs failles par les cybercriminels.
Lorsqu’une attaque DDoS est plus puissante que la bande passante d’une entreprise, la seule façon de la neutraliser est d’utiliser une protection basée sur le cloud. Or, les attaques de moindre envergure peuvent passer entre les mailles du filet, d’où la nécessité de prendre des mesures supplémentaires.
Pour contourner les lignes de défense, les attaques DDoS modernes exploitent plusieurs vecteurs d’attaque, ce qui signifie qu’elles peuvent associer une attaque volumétrique ou par épuisement d’état à une attaque visant la couche applicative pour cibler plusieurs zones du réseau, rendant leur détection et leur neutralisation plus compliquées.
En adoptant une stratégie de défense multi-couches, les entreprises se protégeront de manière plus efficace contre les attaques DDoS agiles et multivectorielles, maximisant ainsi leur durée de fonctionnement et leur disponibilité. Á ce jour, d’après le baromètre CESIN, adopter un cloud de confiance demeure une préoccupation pour 52% des entreprises françaises.
De nombreux dirigeants sont convaincus qu’il n’est pas nécessaire de recourir à l’intelligence artificielle (IA) ou au machine learning pour protéger leur entreprise contre les attaques DDoS. Pourtant, les hackers utilisent l’IA/ML pour multiplier le volume des attaques, en augmenter le degré de sophistication et éviter leur détection. Cela signifie que les mesures défensives doivent fonctionner de la même manière : exploiter les fonctions de détection d’anomalies de trafic de l’IA/ML pour identifier les situations anormales dans les schémas de trafic qui détectent des menaces DDoS.
L’IA/ML peut prendre la forme de flux d’informations organisés qui bloquent automatiquement et en temps réel les menaces DDoS connues et actives. Grâce à ces informations actualisées en permanence, les menaces les plus récentes ne font pas le poids face aux protections fondées sur l’intelligence artificielle et l’apprentissage automatique. L’IA/ML peut également automatiser l’ajustement des contre-mesures en temps réel pour bloquer les attaques multivectorielles.
En somme, les idées reçues évoquées contraignent les entreprises à sous-estimer parfois la dangerosité des attaques DDoS.
Comme le préconise l’ANSSI, il est essentiel pour les infrastructures de déconstruire ces clichés et d’adopter une stratégie de défense en profondeur pour assurer leur pérennité face aux cyberattaques. Aussi, les entreprises gagneront à débunker ces mythes, pour protéger leurs infrastructures au mieux.
*Daniel Crowe est Area Vice President France & Europe du Sud chez Netscout
The post { Tribune Expert } – Attaques DDoS : déconstruire les mythes pour mieux protéger les infrastructures appeared first on Silicon.fr.
Le groupe Verisure, champion des objets de sécurité connectés pour le domicile, a frappé fort en réalisant l’une des plus importantes introductions en bourse d’Europe cette année. L’offre initiale a levé 3,2 milliards d’euros, valorisant l’entreprise à environ 13,7 milliards d’euros. Dès le premier jour, le cours a …
Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter
N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)
L’article Sécurité : entrée en bourse record pour le géant Verisure est apparu en premier sur KultureGeek.
Vous faites du pentest, de la recherche en sécu ou vous êtes juste un curieux qui aime bidouiller des environnements de test ? Dans ce cas, il faut absolument que vous vous montiez un lab cybersécurité ! Mais c’est vai que c’est souvent la galère… Y’a Active Directory à configurer, des VMs Windows à déployer, des réseaux isolés à créer, tout ça manuellement… Ça prend des heures, voire des jours. Heureusement, Ludus règle le problème ! Vous décrivez ce que vous voulez dans un fichier YAML, vous tapez une commande, et hop, votre lab est prêt.
Ludus , c’est donc un système d’automatisation open-source qui tourne sur Proxmox. Vous définissez votre environnement de test (ce qu’ils appellent un “range”) dans un fichier de config, et Ludus s’occupe de tout déployer. Active Directory, machines Windows avec Office et Chocolatey, réseaux isolés, firewall rules personnalisées, DNS interne… Tout ce qu’il faut pour un lab de red team, blue team ou purple team.
Le truc cool, c’est que Ludus utilise Packer et Ansible en arrière-plan. Les templates sont construits à partir d’ISOs vérifiées, et tout est déployé de manière reproductible. Comme ça si vous voulez 255 VLANs, pas de souci. Si vous avez besoin de règles firewall custom ou de définir rôles Ansible pour configurer vos machines, c’est fastoche. Bref, Ludus vous laisse faire du high-level en YAML tout en gérant la complexité technique pour vous.
L’isolation est également bien pensée. Vous pouvez couper vos VMs d’internet, prendre des snapshots avant de leur autoriser l’accès, et ne whitelister que les domaines ou IPs spécifiques dont vous avez besoin. Du coup, pas de télémétrie qui fuit, pas de mises à jour Windows qui cassent votre environnement de test. Vous contrôlez tout !
Pour l’accès, Ludus intègre un serveur WireGuard ce qui vous permettra de vous connecter depuis n’importe où via SSH, RDP, VNC ou KasmVNC. Pratique si vous voulez accéder à votre lab depuis l’extérieur sans exposer vos machines de test sur internet.
Techniquement, ça tourne uniquement sur Debian 12/13 avec Proxmox 8/9. Il vous faudra au minimum 32GB de RAM par range (environnement de test), 200GB de stockage initial plus 50GB par range supplémentaire, et un CPU x86_64 avec un score Passmark au-dessus de 6000. C’est des specs correctes, mais pas non plus délirant si vous montez un serveur dédié pour ça.
Après une fois que c’est en place, le workflow pour les utilisateurs est assez simple. Vous récupérez une clé API et une config WireGuard auprès de l’admin du serveur Ludus, vous installez le client Ludus, vous importez votre VPN, et vous pouvez gérer votre range via la ligne de commande.
Le projet est sous licence AGPLv3, donc full open-source et comme d’hab, le code est sur GitHub . C’est en train de devenir un outil de référence dans la communauté sécu pour qui veut des environnements de test reproductibles.
Bref, si vous en avez marre de passer des heures à configurer vos labs à la main, pensez à Ludus ! Un fichier YAML, une commande vite fait, et votre infrastructure de test est toute prête ! Après, vous pouvez toujours aller bidouiller manuellement dans Proxmox si besoin, Ludus ne vous en empêchera pas, mais pour le gros du boulot chiant, il automatisera tout.
Mercredi 8 octobre 2025, Jaguar Land Rover (JLR) a enfin pu reprendre sa production de véhicules au Royaume-Uni, tournant la page d’une cyberattaque dévastatrice qui aura paralysé le groupe pendant plus de six semaines. Les employés sont d’abord retournés à l’usine de production de moteurs de Wolverhampton ainsi qu’aux ateliers de découpage de Castle Bromwich, Halewood et Solihull.
Cette reprise demeure toutefois progressive. D’ici la fin de la semaine, le constructeur prévoit de redémarrer les chaînes de production des Range Rover et Range Rover Sport dans son site de Solihull. Les activités de fabrication en Slovaquie devraient suivre le même calendrier.
« Je tiens à remercier tous les collaborateurs de JLR pour leur engagement, leur travail acharné et les efforts déployés ces dernières semaines pour nous permettre d’en arriver là. Nous savons qu’il reste encore beaucoup à faire, mais notre reprise est bien engagée », s’est félicité le directeur général Adrian Mardell, exprimant le soulagement manifeste de toute la filière automobile britannique.
L’incident s’est produit le week-end du 31 août, lorsque les systèmes de surveillance interne de JLR ont détecté un accès non autorisé à des infrastructures critiques. Dans une décision saluée par les experts en cybersécurité, l’entreprise a immédiatement mis hors ligne l’ensemble de ses systèmes pour limiter l’infiltration et prévenir un vol de données massif.
« Nous avons pris des mesures immédiates pour atténuer l’impact en fermant de manière proactive nos systèmes », a déclaré JLR dans sa communication officielle. « Nous travaillons maintenant à pleine vitesse pour redémarrer nos applications mondiales de manière contrôlée.»
Le timing ne pouvait être pire : l’attaque a coïncidé avec la sortie des nouvelles plaques d’immatriculation britanniques du 1er septembre, traditionnellement l’un des mois les plus importants pour les ventes automobiles au Royaume-Uni. Les conséquences ont été immédiates et brutales.
Les quatre grandes usines britanniques – Halewood (Merseyside), Solihull (West Midlands), Wolverhampton et Castle Bromwich – ont cessé leurs activités. Les opérations internationales en Slovaquie, en Chine, en Inde et au Brésil ont été également paralysées, créant un arrêt total de la production mondiale.
La responsabilité de cette attaque a été revendiquée par un collectif de hackers appelé « Scattered Lapsus$ Hunters » (SLSH), un nom qui, selon les experts en cybersécurité, représente une fusion sans précédent de trois groupes cybercriminels notoires : Scattered Spider, Lapsus$ et ShinyHunters, les mêmes qui sévissent actuellement contre Red Hat et Salesforce.
La BBC a rapporté les revendications du groupe après avoir reçu des communications directes via des plateformes de messagerie cryptées. Pour prouver leur intrusion, les hackers ont partagé des captures d’écran prétendument prises depuis les réseaux informatiques internes de JLR, notamment des instructions de dépannage pour les systèmes de recharge des véhicules et des journaux informatiques internes.
SLSH n’en est pas à son coup d’essai. En mai dernier, des composantes de ce groupe ont été responsables d’attaques dévastatrices contre les géants de la distribution Marks & Spencer, Co-op et Harrods. L’attaque contre M&S, en particulier, avait causé une perte de 300 millions de livres (£) et perturbé les opérations pendant plus de quatre mois, fournissant un précédent inquiétant pour la durée potentielle de l’incident JLR.
Et aussi de son coût vertigineux. Sur la durée totale de l’arrêt des unités de production, les pertes hebdomadaires ont atteint 50 millions de livres sterling (environ 57 millions €).
L’impact humain a été tout aussi sévère. Environ 33 000 employés de JLR au Royaume-Uni ont été contraints de rester chez eux, les ouvriers de production recevant leur salaire complet pendant la perturbation. Mais au-delà de la main-d’œuvre directe de JLR, ce sont quelque 6 000 travailleurs des partenaires de la chaîne d’approvisionnement qui ont été temporairement licenciés en raison de l’arrêt de production.
Au-delà de la production, l’attaque a également perturbé les fonctions commerciales. Les concessionnaires à travers le Royaume-Uni n’ont pas pu immatriculer de nouveaux véhicules , empêchant effectivement la vente de voitures déjà terminées. Les garages de réparation et centres de service ont été contraints de revenir aux catalogues imprimés et aux systèmes manuels après avoir perdu l’accès au système électronique de commande de pièces de JLR.
L’attaque contre JLR s’inscrit dans une tendance inquiétante de cyberattaques ciblant l’industrie automobile mondiale. Les chercheurs en sécurité ont documenté plus de 735 incidents de cybersécurité significatifs visant directement des entreprises automobiles depuis 2023, le secteur ayant connu plus de 100 attaques par ransomware et 200 violations de données en 2024 seulement. Cela fait de la fabrication automobile l’industrie la plus attaquée au niveau mondial.
Parmi les incidents majeurs récents figurent l’attaque par ransomware BlackSuit contre CDK Global en juin 2024, qui a paralysé les systèmes logiciels utilisés par plus de 15 000 concessionnaires automobiles en Amérique du Nord. CDK aurait payé une rançon de 25 millions $ pour restaurer les services, avec des pertes totales d’interruption d’activité estimées à 1 milliard $.
La gravité de la cyberattaque a mobilisé la National Cyber Security Centre (NCSC) britannique : « Nous travaillons avec Jaguar Land Rover pour fournir un soutien en relation avec un incident.» Les forces de l’ordre, y compris la National Crime Agency, mènent une enquête approfondie sur la violation.
Les efforts de récupération de JLR ont été compliqués par la nécessité d’équilibrer rapidité et sécurité, en s’assurant que les systèmes ne sont pas seulement restaurés mais également correctement sécurisés contre de futures attaques. Des experts en cybersécurité ont salué l’approche méthodique de JLR, notant que se précipiter pour restaurer les systèmes sans validation de sécurité appropriée pourrait laisser l’entreprise vulnérable à des prochaines attaques.
Le retour à une production normale prendra encore du temps. Si le redémarrage progressif des usines marque un tournant encourageant, les équipes de JLR poursuivent leur enquête forensique et travaillent à renforcer leurs systèmes pour éviter qu’un tel scénario ne se reproduise. Pour le fleuron de l’automobile britannique, la priorité est désormais de rattraper le retard accumulé tout en restaurant la confiance de ses clients, employés et partenaires commerciaux dans sa capacité à protéger ses opérations contre des acteurs malveillants toujours plus audacieux.
Des questions se posent aussi sur les investissements en cybersécurité de JLR, malgré des dépenses importantes en transformation numérique. En 2023, l’entreprise avait signé un contrat de cinq ans d’une valeur de 800 millions de livres avec Tata Consultancy Services (TCS) pour fournir un soutien en cybersécurité et informatique.
Face à l’ampleur de la catastrophe, le gouvernement britannique a accordé une garantie de prêt de 1,5 milliard de livres sterling (environ 1,7 milliard €) visant à préserver l’avenir du constructeur et de toute la filière automobile. Jaguar Land Rover a également obtenu une ligne de crédit d’urgence de 2 milliards de livres sterling (environ 2,3 milliards €) auprès d’un consortium bancaire.
Conscient des difficultés financières de ses partenaires durant cette longue interruption, le constructeur a par ailleurs préparé un plan de soutien de 500 millions de livres sterling (environ 576 millions d’euros) destiné à ses principaux fournisseurs.
Photo : © JLR
The post Cyberattaque : Jaguar Land Rover redémarre après plus d’un mois de paralysie appeared first on Silicon.fr.
Après le « lieu totem », la « station d’appairage ». Ainsi doit évoluer le Campus Cyber, selon son président Joffrey Célestin-Urbain.
L’intéressé parle aussi de « plate-forme de connexion multiprises ». L’idée est la même : créer du liant entre l’écosystème cyber français et les écosystèmes européens. Il en résulterait ainsi davantage de confiance… notamment au plan économique. « Derrière, si vous avez cette confiance, vous pouvez développer des mécanismes d’achats croisés. Ça ne marchera pas si nous n’avons pas un sentiment d’appartenance commune. Et ça, ça se bâtit à partir d’écosystèmes comme le Campus. »
Au niveau national, il faudra compter sur les campus régionaux. « Depuis quelques mois, on a vraiment redynamisé les échanges, assure Joffrey Célestin-Urbain. La cabine de pilotage assurée par le [campus national] avait été un peu désertée, on l’a réinvestie. » Le plan d’action commun reste néanmoins en cours de définition. Tout au plus nous fait-on une promesse : « Peu importe la porte d’entrée dans le réseau des campus, [un accès] à un contenu de qualité qui vous apporte un certain nombre de services en partie harmonisés. »
La notion d’écosystème devra constituer le « complément non immobilier » à la location d’espaces, qui représente actuellement 78 % des revenus. En toile de fond, le départ de certains locataires. « La communauté a eu raison de se questionner sur ce qui était en train de se passer avec le Campus Cyber, […] une belle endormie qui vivait sur l’impulsion politique des débuts« , admet Joffrey Célestin-Urbain. Et de se projeter, en parallèle, sur ce qu’il appelle une « couche de services méta-écosystémique ». Dit autrement, un ensemble de services pour accompagner les entreprises qui veulent se créer en cybersécurité. Une « couche non marchande » s’y ajoutera. En d’autres termes, la production d’externalités positives, d’activités d’intérêt général. « Ce sera une discussion à avoir avec l’État » avec, en tête, les contraintes politiques et sur les finances publiques… « On peut se dire qu’à court et à moyen terme, il n’y a qu’un KPI : la satisfaction des résidents« , avance cependant le président du Campus Cyber.
The post Les Assises 2025 : le Campus Cyber promet un vrai fonctionnement en réseau appeared first on Silicon.fr.
Monaco – Envoyé spécial – « Le message est simple : winter is coming. »
Loin de la satisfaction qu’il avait affichée l’an dernier au sortir des JO, Vincent Strubel a ouvert les Assises de la sécurité 2025 sur une perspective pour le moins pessimiste. En l’occurrence, l’engagement de nos armées dans un conflit d’intensité à l’horizon 2030 ; avec, simultanément, une hausse massive des attaques hybrides sur le territoire français.
Le directeur général de l’ANSSI reprend en fait une hypothèse formulée dans la dernière Revue nationale stratégique, publiée en juillet. Il ne manque par d’affirmer que cet horizon « donne d’autant plus de sens à notre travail collectif de construction de la cyberrésilience ».
Ce travail conduit à fixer des règles et à préparer la gestion de crise. Il implique aussi une notion dont l’agence a fait son mantra : « changer d’échelle ». En d’autres termes, diffuser la cybersécurité dans le tissu économique. Dans cette optique, elle mobilise, entre autres, le levier de l’entraînement, illustré par l’organisation, le mois dernier, de l’exercice REMPAR25.
Dans le même esprit, l’ANSSI a fait évoluer ses référentiels PASSI (audit) et PRIS (réponse aux incidents) pour étendre leur champ d’application. Au niveau d’exigence « élevé » (cœur historique du besoin) s’est ainsi ajouté le niveau « substantiel », axé sur le besoin des plus petits acteurs.
Dans les prochains mois, l’agence devrait finaliser des travaux portant sur les solutions de détection. Ils concernent aussi bien les prestataires que les produits. L’occasion pour Vincent Strubel de rappeler, comme il l’avait déjà fait voilà quelques semaines, qu’il n’est pas question de rogner sur l’exigence de souveraineté qui s’applique aux OIV. « Ce serait un contresens historique. On cherche en revanche à ouvrir le champ des possibles, à ne pas rester sur une réglementation figée qui vieillit forcément mal dans notre domaine. » Il s’agit, poursuit-il, de « se donner la chance d’avoir le meilleur résultat pour chaque type d’architecture« . En ligne de mire, notamment, les EDR et les NDR actifs.
Au niveau européen s’ouvre un autre chantier : la révision du Cybersecurity Act. Après l’avoir étendu aux services managés (en plus des produits, services et processus TIC), la Commission européenne cherche, en particulier, à simplifier les exigences de reporting et à intégrer davantage l’aspect chaîne d’approvisionnement logicielle. Le DG de l’ANSSI y voit l’occasion de « prendre en compte des risques qualifiés de non techniques, liés à nos dépendances techniques« . Il évoque les besoins de protection contre les « accès aux données qui échappent à notre droit » comme contre « la possibilité de voir un service coupé par une décision dans laquelle on n’a pas voix au chapitre ».
Autre source d’inquiétude : les « mouvements de fond dans le paysage numérique qui nous forcent à changer nos approches dans tous les domaines », de la certification à la remédiation. « On ne peut pas faire un dump de la mémoire d’un cloud, patcher une IA, faire sans le dépositaire unique d’une technologie-clé« . Ces évolutions s’inscrivent toutefois dans une durée qui permet de s’ajuster, tempère Vincent Strubel.
Le discours est différent au sujet de la menace quantique : « Si on ne prend pas en compte ce risque maintenant, on sera dans une situation ou tout s’effondrera d’un coup« . Un obstacle est aujourd’hui levé, affirme-t-il : l’évaluation des algorithmes post-quantiques. L’agence a prononcé, il y a quelques jours, ses deux premières certifications, pour Thales et Samsung. En 2027, elle n’acceptera plus, en entrée de qualification, des produits ce sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur post-quantique. Elle recommande déjà de ne pus acquérir de telles solutions, mais pourrait, « si besoins dans certains cas », l’imposer à l’horizon 2030.
The post Les Assises 2025 : l’ANSSI n’oublie pas les risques « non techniques » appeared first on Silicon.fr.
Connexion