Allez, ce matin, j’enchaine sur un second article lié aux vulnérabilités dans les processeurs. Et contrairement à tout à l’heure où il s’agissait d’AMD, maintenant c’est au tour d’Intel d’être sous les projecteurs. En effet, des chercheurs de l’ETH Zurich (PDF) ont découvert une faille majeure dans l’architecture même des processeurs Intel, baptisée “Branch Privilege Injection” (CVE-2024-45332). Cette vulnérabilité exploite les mécanismes de prédiction de branche (des composants essentiels à la vitesse d’exécution) pour contourner les protections matérielles contre Spectre-BTI en place depuis 2018.

Si vous pensiez que formater votre disque dur pouvait résoudre TOUS vos problèmes, hé bah c’est raté, car voici un ransomware qui peut persister même quand vous changez votre disque dur ! Il s’agit d’un malware si profondément ancré dans votre machine qu’il faudrait littéralement jeter votre processeur à la poubelle pour vous en débarrasser.

Si vous êtes l’heureux propriétaire d’un processeur AMD, je pense que ceci va donc vous intéresser. En effet, Google a révélé il y a quelques semaines une faille critique dans tous les processeurs AMD Zen (oui oui, tous les Ryzen et Epyc depuis 2017) qui permet d’injecter du microcode non autorisé directement dans le CPU. Pour vous la faire simple, ils ont pu modifier le comportement fondamental du processeur en lui faisant générer systématiquement le nombre “4” quand on lui demande un nombre aléatoire. Les connaisseurs reconnaîtront le clin d’œil à XKCD qui nous rappelle que quand on nous demande un nombre au hasard entre 1 et 10, “4” est statistiquement qu’on choisit le plus. Allez savoir pourquoi…

Ce serait con quand même qu’une simple icône, un fichier .ico, puisse totalement compromettre votre système, vous ne trouvez pas ?

Et pourtant, c’est exactement le cauchemar que sont en train de vivre les millions dizaines d’utilisateurs du logiciel graphique Gimp. En effet, des chercheurs en sécurité de chez Trend Micro ont identifié une vulnérabilité critique (score CVSS 7.8) qui permet l’exécution de code à distance via l’ouverture d’un fichier ICO malicieusement conçu.

Comme je vous l’ai déjà dit, Surfshark One n’est pas composé que d’un simple VPN. C’est une véritable suite de cybersécurité conçue pour protéger vos appareils contre les menaces les plus modernes. Outre le célèbre service de réseau privé virtuel (VPN), Surfshark One inclut un antivirus puissant, une protection en temps réel contre les ransomwares, un bouclier webcam, et même une fonctionnalité de surveillance des fuites de données sur le Dark Web. Bref, c’est un outil tout-en-un pour sécuriser votre vie numérique.

Un jury fédéral américain a condamné NSO Group à verser 168 millions de dollars à WhatsApp pour avoir utilisé le logiciel espion Pegasus sur plus de 1 400 utilisateurs. Une décision inédite, qui pourrait avoir des répercussions importantes contre l’industrie du spyware.

NSO Group condamné pour piratage massif de WhatsApp

La justice américaine vient donc de porter un coup sévère à NSO Group. Un jury fédéral a ordonné à l’entreprise israélienne de verser 168 millions de dollars à WhatsApp, propriété de Meta, pour avoir exploité ses serveurs dans le but d’infecter plus de 1 400 utilisateurs avec le logiciel espion Pegasus. Cette décision arrive après six années de procédure judiciaire entamée en 2019, au terme desquelles NSO a été reconnue coupable de violation de lois fédérales et californiennes sur la fraude informatique. Cette condamnation est une première contre un fabricant de spyware, dont l’activité, bien que légalement encadrée sur le papier, repose surtout sur une zone grise juridique.

Je viens de tomber sur un outil open source qui s’utilise sous la forme d’une web app et qui est plutôt cool puisqu’il permet de crypter des fichiers à l’aide de passkeys (clés d’accès) pour ensuite les partager.

Si je vous en parle, c’est parce que concernant le cryptage de fichiers, c’est toujours un peu compliqué. Soit c’est trop complexe avec des clés PGP et des commandes dans le terminal à n’en plus finir, soit trop léger avec des solutions cloud qui stockent vos données sur leurs serveurs sans qu’on sache forcement bien comment c’est CRYPTÉ.

On est là en train de chiller dans une bonne journée bien normale quand SOUDAIN alerte rouge internationale, on apprend qu’il y a une faille critique CVSS 10 dans Apache Parquet, et que tout le monde panique bien évidemment !!

Vous, admin système ou développeur, vous vous précipitez sur votre téléphone qui n’arrête pas de sonner pendant que les experts du CERT vous bombardent de mails d’alerte… et au milieu de ce chaos, vous vous grattez la tête (ou autre chose) en vous demandant : “Mais est-ce que je suis vraiment concerné, ou c’est encore une tempête dans un verre d’eau ?”

Les VPN gratuits semblent être la solution idéale pour sécuriser votre connexion, contourner les restrictions géographiques ou simplement protéger votre vie privée sans dépenser un centime. Après tout, pourquoi payer pour un service qui est proposé gratuitement ailleurs ? Mais comme le dit l’adage : « Si c’est gratuit, c’est vous le produit » et il a probablement été inventé juste pour les VPNs. Derrière leurs offres alléchantes se cachent souvent des pratiques discutables et des coûts invisibles qui peuvent compromettre vos données, votre sécurité, et même votre expérience utilisateur.

Si vous faites partie des 97% de dev à grosses lunettes qui utilisent des assistants IA comme GitHub Copilot, Windsurf ou Cursor, ce que vous allez lire va probablement flinguer votre journée…

Et oui parce que si vous pensiez que votre assistant IA préféré était votre meilleur atout pour coder, sachez que des chercheurs en sécurité viennent de découvrir qu’en réalité, tous ces outils pourraient se comporter en cheval de Troie placé directement dans votre IDE. Et le plus flippant c’est que vous ne verriez absolument rien venir, même en scrutant le code ligne par ligne.

Amis hackers, cyber-ninja et autres geeks de tous poils, sortez vos claviers et annulez tous vos rendez-vous car le France Cybersecurity Challenge (FCSC) 2025 commence aujourd’hui même à 14h ! C’est l’occasion ou jamais de prouver que vous êtes le Neo de la cybersécurité française et attention, ce n’est pas juste un CTF de plus, c’est carrement le championnat national qui peut propulser votre carrière ou simplement vous offrir le frisson de défier les meilleurs.

Si vous êtes un habitué des solutions de cybersécurité, vous avez probablement entendu parler de Surfshark One. L’outil tout-en-un numérique qui combine VPN, antivirus, moteur de recherche privé et outil d’alerte pour les fuites de données. Mais aujourd’hui, on va se concentrer sur une nouveauté qui va s’avérer plutôt pratique : la possibilité de scanner les unités de stockage externe avec l’antivirus intégré. Oui, la clé USB douteuse ou ce disque dur externe potentiellement infecté qui traînent dans un tiroir depuis des années n’ont qu’à bien se tenir.

Un grand bonjour à tous les galériens sous Windows !

Ah et tiens, rien à voir, mais avez vous remarqué que depuis la dernière mise à jour de sécurité KB5055523, il y avait un dossier vide nommé “inetpub” présent sur votre lecteur système (%systemdrive%) ?

Beaucoup de gens ont conseillé ces derniers jours, de simplement le supprimer car il est traditionnellement associé à Internet Information Services (IIS), le serveur web de Microsoft, et qu’absolument personne n’a besoin d’un serveur web Microsoft dans sa vie.

Le Fire TV Stick d’Amazon est devenu une référence incontournable pour transformer n’importe quel écran en une plateforme de streaming puissante et polyvalente. Tellement facile à prendre en main que beaucoup oublie que la confidentialité en ligne est constamment menacée, et que cela implique ce type de matériel aussi.

Mais pourquoi choisir Surfshark plutôt qu’un autre ? Comment l’installer sur un appareil qui, par défaut, ne supporte pas nativement les VPN ? Et surtout, quels sont les avantages concrets pour l’utilisateur lambda ?

Combien de fois vous êtes-vous réveillé en sueur la nuit en vous demandant si ce stagiaire un peu trop “enthousiaste” (teubé quoi) n’avait pas laissé une instance S3 en accès public avec les dumps de votre base client dedans ?

Hein ?

Alors si vous vivez ce genre de cauchemar récurrent du responsable infra sous pression, j’ai peut-être trouvé le remède à vos angoisses nocturnes !

Cela s’appelle Fix Inventory et c’est un outil open source qui va scanner vos infrastructures cloud et vous dire exactement où se trouvent les cadavres. Et le meilleur dans tout ça c’est que c’est 100% gratuit et ça marche sur tous vos clouds préférés, là où des solutions comme Wiz ou Prisma Cloud vous demanderont facilement 6 chiffres par an. Ouais Ouais…

Vous voyez ce moment à la douane américaine où l’agent vous fixe et dit : “Veuillez déverrouiller votre téléphone” ? Avouez que ça vous glace le sang. Et pourtant, c’est une réalité qui touche de plus en plus de voyageurs. Si vous franchissez les frontières américaines, vous vous demandez peut-être jusqu’où vont les pouvoirs des agents de la douane ? Et bien, accrochez-vous à votre passeport, parce que ça va très loin.

Vous le savez peut-être, le logiciel de communications chiffrées, Signal, utilise un protocole (anciennement TextSecure) basé sur une cryptographie à courbe elliptique Curve25519, HMAC-SHA256 et AES-256. C’est censé être bien sécurisé mais est-ce vraiment suffisant pour protéger un lanceur d’alerte face aux capacités de surveillance moderne ? Et bien probablement pas si votre “adversaire” dispose de ressources gouvernementales.

Donc si vous faites partie de ces techniciens, ingénieurs ou passionnés qui veulent comprendre les mécanismes réels de sécurité, et pas juste suivre des conseils simplistes, je vous propose qu’on plonge ensemble dans l’art subtil de la communication sécurisée.